Norm
DSG 2000 §1 Abs3 Z1Text
GZ: DSB-D122.754/0002-DSB/2018 vom 13.02.2018
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Ulrich A*** (Beschwerdeführer), vertreten durch Dr. Viktor A***, Rechtsanwalt, vom 21. Juli 2017 gegen die N**** Adressen & Direktmarketing GmbH (Beschwerdegegnerin), vertreten durch Mag. Walter C***, Rechtsanwalt, wegen Verletzung im Recht auf Auskunft wie folgt:
1. Der Beschwerde wird teilweise stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie keine vollständige und keine allgemein verständliche Auskunft erteilt hat.
2. Der Beschwerdegegnerin wird aufgetragen, binnen zweier Wochen bei sonstiger Zwangsvollstreckung eine die laut Spruchpunkt 1. festgestellten Mängel behebende datenschutzrechtliche Auskunft zu erteilen.
3. Insofern sich der Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt fühlt, dass die Beschwerdegegnerin ihm keine Auskunft gemäß § 49 Abs. 3 DSG 2000 erteilt hat, wird die Beschwerde abgewiesen.
Rechtsgrundlagen: § 1 Abs. 3, §§ 17 ff, § 26 Abs. 1 und 4, § 31 Abs. 1, 7 und 8 sowie § 49 Abs. 3 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF; § 151 der Gewerbeordnung 1994 (GewO 1994), BGBl. Nr. 194/1994 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Der Beschwerdeführer ersuchte die Beschwerdegegnerin mit Schreiben vom 25. Jänner 2017 um Auskunftserteilung hinsichtlich der den Beschwerdeführer betreffenden personenbezogener Daten. Mit Schreiben vom 07. Februar 2017 erteilte die Beschwerdegegnerin dem Beschwerdeführer Auskunft.
Der Beschwerdeführer brachte am 21. Juli 2017 eine Beschwerde ein und behauptete eine Verletzung im Recht auf Auskunft, da die am 07. Februar 2017 erteilte Auskunft unvollständig sei. In Fußnote 2 der Auskunft sei darauf hingewiesen worden, dass auch Anmerkungen über die voraussichtliche Richtigkeit und die Zuordnung zu regionalen Gliederungen verarbeitet würden. Diese Daten seien jedoch von der Beschwerdegegnerin nicht konkret beauskunftet worden. Hinsichtlich der Rechtsgrundlage sei allgemein auf die Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen der Beschwerdegegnerin verwiesen worden. Die diesbezüglichen Regelungen und insbesondere die Bestimmung des § 151 Abs. 5 GewO würden lediglich eine Rechtsgrundlage für die dort taxativ aufgezählten Datenarten darstellen. Laut Auskunft der Beschwerdegegnerin sei es jedoch offensichtlich, dass diese auch andere, den Beschwerdeführer betreffende personenbezogene Daten verwende; daher sei die erteilte Auskunft auch hinsichtlich der Angaben über Zweck und Rechtsgrundlage der Datenverwendung unvollständig.
Darüber hinaus sei in der erteilten Auskunft eine Tabelle mit Wahrscheinlichkeitswerten enthalten, die sich auf so genannte „Location***-Groups“ beziehen würden. Die diesbezüglich bekanntgegebenen Informationen seien jedoch nicht nachvollziehbar und würden keine allgemein verständliche Auskunft darstellen. Überdies habe die Beschwerdegegnerin zur Herkunft der personenbezogenen Daten des Beschwerdeführers keine bzw. nur ganz allgemeine Angaben gemacht. Diesbezüglich berufe sich die Beschwerdegegnerin auf die Tatsache, dass aufgrund der Vielzahl der vorhandenen Daten keine näheren Aufzeichnungen bzw. Dokumentation über die konkrete Herkunft dieser Daten verfügbar seien. Nach Angabe der Beschwerdegegnerin würden die Aufzeichnungen über die jeweils konkrete Herkunft jeder Datenart einen übermäßigen Aufwand im Sinne des DSG 2000 bedeuten. Es sei jedoch darauf hinzuweisen, dass in § 26 DSG 2000 hinsichtlich des Auskunftsrechts keine Einschränkung unter Berufung auf den beim Auftraggeber entstehenden Aufwand vorgesehen wäre. Schon nach § 6 Abs. 1 Z 1 DSG 2000 setze eine Datenverwendung nach Treu und Glauben eine Dokumentation über die Herkunft der verwendeten Daten voraus. Da die Beschwerdegegnerin nach eigenen Angaben jedoch die von ihr verwendeten Daten persönlich recherchiert bzw. statistisch hochgerechnet habe, wären wohl doch Informationen über die Datenherkunft vorhanden, die man dem Beschwerdeführer jedoch nicht offengelegt habe. Insofern eine Auskunft über die Datenherkunft wegen fehlender Aufzeichnungen bei der Beschwerdegegnerin nicht möglich sei, habe die Beschwerdegegnerin dennoch den Beschwerdeführer in seinem verfassungsgesetzlich gewährleisteten Recht auf Geheimhaltung verletzt.
Weiters habe die Beschwerdegegnerin in ihrer Auskunft lediglich allgemeine Empfängerkreise angeführt, was ebenso nicht den gesetzlichen Vorgaben entspreche. Da die Beschwerdegegnerin insbesondere auch Daten des Beschwerdeführers verwende, die Rückschlüsse auf die Bonität des Beschwerdeführers zuließen, stünde dem Beschwerdeführer jedenfalls ein Recht auf Auskunft über die konkreten Übermittlungsempfänger solcher Daten zu.
Schlussendlich fehle auch eine inhaltliche Auskunft gemäß § 49 Abs. 3 DSG 2000. Auftraggeber, die Wirtschaftsauskunftsdienste betreiben würden, seien gegebenenfalls auch als Auftraggeber einer automatisierten Einzelentscheidung anzusehen und zwar unabhängig davon, ob die aus solchen Bonitätsbeurteilungen folgenden Entscheidungen vom jeweiligen Auftraggeber selbst getroffen würden, oder nicht. Aus der Auskunft der Beschwerdegegnerin ergebe sich, dass auf Basis automatisierter Einzelentscheidungen (auch) bonitätsrelevante Daten errechnet würden. Die Beschwerdegegnerin sei daher als Auftraggeber anzusehen und somit zu einer Auskunft gemäß § 49 Abs. 3 DSG 2000 verpflichtet.
2. In ihrer Stellungnahme vom 28. August 2017 brachte die Beschwerdegegnerin im Wesentlichen vor, die behauptete Verletzung der Auskunftspflicht nicht begangen zu haben. Die in Fußnote 2 enthaltenen Anmerkungen würden nur dann beauskunftet werden, wenn solche zu den angefragten Daten auch vorhanden bzw. vom Auftraggeber gesondert gebildet würden. Im vorliegenden Fall würden jedoch keine derartigen Anmerkungen vorliegen (vor allem eigene Gliederungen der Beschwerdegegnerin). Grundsätzlich ziehe die Beschwerdegegnerin bei Adressdaten die allgemein gültigen politischen Regionen für deren Einteilung heran. Dass allgemein bekannte Tatsachen (Bundesländer, politische Bezirke samt Postleitzahlen) gesondert beauskunftet werden müssten, sei dem DSG 2000 jedoch nicht zu entnehmen.
Darüber hinaus teile die Beschwerdegegnerin sehr wohl den Zweck oder die Rechtsgrundlage der Datenverwendung mit; dies sei in den Punkten „Vertrags- und Rechtsgrundlagen“ bzw. „Herkunft, Übermittlung und Verwendung“ angeführt. Dass dabei das Wort „Zweck“ nicht vorkomme, sei unerheblich. Die Berechtigung bzw. Rechtsgrundlage zur Datenverarbeitung der Beschwerdegegnerin sei neben ihrer Gewerbeberechtigung auch ihre DVR-Anmeldung. In dieser DVR-Anmeldung wären auch jene Datenarten und Empfängerkreise angeführt, welche die Beschwerdegegnerin ermitteln bzw. speichern könne. Sofern diese Datenarten von der Beschwerdegegnerin auch entsprechend ermittelt und gespeichert wären, seien diese auch in der Auskunft vom 07. Februar 2017 entsprechend beauskunftet worden. Darüber hinaus sei auf die gültige DVR-Nummer zum Nachweis der Berechtigung zur Datenverwendung verwiesen worden. Die Beschwerdegegnerin sei als Adressverlag und Direktmarketingunternehmen somit aufgrund ihrer Gewerbeberechtigung bzw. ihrer DVR-Nummer zur Datenerhebung, -verwendung und -übermittlung im Rahmen der Gesetze berechtigt.
Hinsichtlich der Herkunft der Daten sei auszuführen, dass diese dann nicht zu beauskunften wäre, wenn diese nur mit unverhältnismäßig hohem Aufwand festgestellt werden könne. Die Beschwerdegegnerin sei ein Adressverlag, der über 6 Millionen Consumer-Daten verfüge. In den meisten Fällen könne nicht festgestellt werden, ob und gegebenenfalls wer neben der eigenen Recherche jeweils im einzelnen Fall noch tätig wäre bzw. wären derzeitige gesonderte Aufzeichnungen nicht vorhanden, da solche aufgrund der Datenmengen einen unverhältnismäßig hohen Aufwand verursachen würden. Dies insbesondere, da nahezu alle Daten von der Beschwerdegegnerin erst recherchiert worden wären. Gegenstand der zu erteilenden Auskunft wären die im Zeitpunkt des Einlangens des Auskunftsverlangens tatsächlich verarbeiteten Daten; hat die Beschwerdegegnerin keine Daten zu Übermittlungsempfängern oder zur Herkunft verarbeitet, so habe sie diese nicht und könne sie auch nicht beauskunften, sodass mangels gesonderter Aufzeichnungen über Datenherkunft und Empfänger eine inhaltlich richtige und vollständige Datenauskunft erteilt worden wäre.
Bezüglich der fehlenden Auskunft gemäß § 49 Abs. 3 DSG 2000 sei festzuhalten, dass die Beschwerdegegnerin ein Adressverlag und kein Wirtschaftsauskunftsdienst sei. Die nach § 151 Abs. 6 GewO grundsätzlich zulässigen Marketinganalyseverfahren wären keine automatisierte Einzelentscheidung im Sinne des § 49 Abs. 3 DSG. Die Zuschreibung von Marketingklassifikationen sei nämlich – entsprechend der Judikatur der Datenschutzbehörde – kein Vorgang der automatisierten Einzelentscheidung, da der Betroffene durch die diesbezügliche Datenverarbeitung nicht in einer für Dritte erkennbaren Weise als Einzelperson bewertet werden würde.
3. In der Stellungnahme vom 04. September 2017 brachte der Beschwerdeführer zusammengefasst vor, dass die Beschwerdegegnerin verpflichtet sei, alle konkret zum Beschwerdeführer verarbeiteten Daten zu beauskunften. Aus den Ausführungen der Beschwerdegegnerin ergebe sich, dass solche zusätzlichen Angaben zum Beschwerdeführer (regionale Gliederungen) tatsächlich verarbeitet würden. Darüber hinaus bestünden aufgrund der - lediglich allgemeinen - Angaben zu den „Location***-Groups“ nach wie vor Unklarheiten. Die Tatsache einer DVR-Registrierung könne keine Rechtsgrundlage für die Verwendung konkreter Daten darstellen. Dies ergebe sich aus den Bestimmungen der §§ 17 ff DSG 2000, wobei die erfolgte Registrierung weder eine eigene Rechtsgrundlage für eine Datenverwendung schaffe, noch in anderer Weise als „Bewilligung“ anzusehen wäre. Der von der Beschwerdegegnerin ins Treffen geführte, mit der Dokumentation der Informationen über die Datenherkunft allenfalls verbundene Aufwand könne niemals rechtfertigen, dass offensichtlich vorsätzlich und sogar absichtlich keinerlei Informationen über die Datenherkunft gespeichert würden. Ganz besonders gelte dies für Daten des Beschwerdeführers, die (auch) dessen Bonität betreffen würden. Gerade solche Daten wären über den Beschwerdeführer verwendet worden, weil auch Angaben zum Mindesteinkommen und Mindesthaushaltseinkommen vorhanden wären.
Wie aus einem parallel anhängigen Beschwerdeverfahren bei der Datenschutzbehörde bekannt sei (GZ: DSB-D122.634), wären Bonitätsdaten des Beschwerdeführers von der Beschwerdegegnerin auch an Dritte (Bemerkung Sachbearbeiter: gemeint ist die U***-Kreditinformationen Austria GmbH), welche nicht zu den von der Beschwerdegegnerin bekannt gegebenen Empfängern gehören würden, übermittelt worden und hätten auch negative Auswirkungen für den Beschwerdeführer gehabt.
Das der Stellungnahme des Beschwerdeführers vom 04. September 2017 beigefügte Schreiben vom 20. Jänner 2017 lautet auszugsweise:
[Anmerkung Bearbeiter: Das hier im Original als Faksimile wiedergegebene Schreiben kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst gibt der die U***-Kreditinformationen Austria GmbH vertretende Rechtsanwalt darin namens seiner Mandantin die ergänzende Auskunft, die (Stamm-) Daten, Name, Adresse, Geburtsdatum, Telefonnummer, Zahl der Personen im Haushalt, soziodemografische Daten, Einkommensdaten und Daten zu Immobilien von der Beschwerdegegnerin „bezogen“ zu haben.]
Darüber hinaus lautet ein weiteres, beigefügtes Schreiben vom 26. April 2017 auszugsweise:
[Anmerkung Bearbeiter: Das hier im Original als Faksimile wiedergegebene Schreiben kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst gibt der die U***-Kreditinformationen Austria GmbH vertretende Rechtsanwalt darin namens seiner Mandantin die Auskunft, dass den Beschwerdeführer betreffende Daten von der Beschwerdegegnerin bzw. aus dem Gewerberegister der WKO stammten. Weiters wird der einzige Empfänger von den Beschwerdeführer betreffenden Bonitätsdaten offengelegt.]
Es wäre jedoch keine gesonderte Beauskunftung solcher Übermittlungen an die U***-Kreditinformationen Austria GmbH erfolgt, obwohl diese unstrittig nicht zu den von der Beschwerdegegnerin angeführten allgemeinen Empfängerkreisen gehöre. Auch hinsichtlich der Auskunft über allfällige Dienstleister bestünden im Hinblick auf die Ausführungen in der Stellungnahme Bedenken.
Hinsichtlich der Ausführungen zu § 49 Abs. 3 DSG 2000 wiederholte der Beschwerdeführer grundsätzlich sein bisheriges Vorbringen. Die Beschwerdegegnerin übersehe darüber hinaus, dass sich eine Auskunft gemäß § 49 Abs. 3 DSG 2000 nicht auf die konkret verwendeten Daten beziehe, sondern auf die Berechnungslogik bzw. den Algorithmus, der solchen Angaben zugrunde liege. Die Datenschutzbehörde möge somit eine Verletzung im Grundrecht auf Datenschutz feststellen sowie der Beschwerdegegnerin auftragen, eine vollständige und den gesetzlichen Vorgaben des § 26 iVm § 49 Abs. 3 DSG 2000 entsprechende Auskunft zu erteilen.
B. Beschwerdegegenstand
Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie ihm mit Schreiben vom 07. Februar 2017 eine unvollständige und nicht allgemein verständliche Auskunft sowie gar keine Auskunft gemäß § 49 Abs. 3 DSG 2000 erteilt hat.
C. Sachverhaltsfeststellungen
1. Der Beschwerdeführer ersuchte die Beschwerdegegnerin mit Schreiben vom 25. Jänner 2017 um Auskunftserteilung hinsichtlich der den Beschwerdeführer betreffenden personenbezogener Daten. Mit Schreiben vom 07. Februar 2017 erteilte die Beschwerdegegnerin dem Beschwerdeführer Auskunft. Die Auskunftserteilung lautet auszugsweise:
[Anmerkung Bearbeiter: Das hier im Original als Faksimile wiedergegebene Schreiben kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst gibt die Beschwerdegegnerin, soweit für das weitere Verfahren relevant, Auskunft zu den konkret zur Person des Beschwerdeführers verarbeiteten Daten, einschließlich der nach Angabe der Beschwerdegegnerin auf Grundlage soziodemografischer Daten nach einer Wahrscheinlichkeitsrechnung zugeschriebenen Marketingklassifikationen.]
Beweiswürdigung: Die getroffenen Feststellungen beruhen auf der Auskunftserteilung der Beschwerdegegnerin vom 07. Februar 2017, die dem Akt beiliegt.
2. Die U***-Kreditinformationen Austria GmbH betreibt unter anderem eine Wirtschaftsauskunftei. Die Beschwerdegegnerin übermittelte folgende personenbezogene Daten über den Beschwerdeführer an die U***-Kreditinformationen Austria GmbH:
? Name
? Adresse
? Geburtsdatum
? Telefon
? Personen im Haushalt
? Sozialdemografische Daten
? Einkommen
? Immobilien
Die Übermittlung dieser Daten durch die Beschwerdegegnerin an die U***-Kreditinformationen Austria GmbH wurde dem Beschwerdegegner im Rahmen eines parallelen Verfahrens bei der Datenschutzbehörde zur GZ: DSB-D122.634 bekannt.
Beweiswürdigung: Die getroffenen Feststellungen beruhen auf dem Schreiben der U***-Kreditinformationen Austria GmbH an den Beschwerdeführer vom 20. Jänner 2017, das dem Akt beiliegt.
D. In rechtlicher Hinsicht folgt daraus:
Nach der Verfassungsbestimmung des § 1 Abs. 3 Z 1 DSG 2000 hat jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden.
Die Beschwerdegegnerin hatte gemäß § 31 Abs. 8 DSG 2000 die Möglichkeit, bis zum Abschluss des Verfahrens die behauptete Rechtsverletzung nachträglich zu beseitigen. Bis zum Abschluss des gegenständlichen Verfahrens blieben betreffend die Auskunftspflicht der Beschwerdegegnerin jedoch folgende Punkte offen bzw. ungeklärt:
1. Keine allgemein verständliche Auskunft
2. Fehlende Auskunft gemäß § 49 Abs. 3 DSG 2000
3. Keine vollständige Auskunft
1. Keine allgemein verständliche Auskunft:
1.1 „Location***-Groups“
Die Auskunft hat gemäß § 26 Abs. 1 DSG 2000 in allgemein verständlicher Form zu erfolgen. Grundsätzlich müssen etwa interne Codes, technische Abkürzungen oder fremdsprachige Ausdrücke für den Betroffenen verständlich verdeutlicht oder erläutert werden. Jedenfalls ist eine Auskunft derart zu gestalten, dass diese unter Anlegung einer Durchschnittsbetrachtung verständlich ist (Jahnel, Handbuch Datenschutzrecht [2010], 262; Pollirer/Weiss/Knyrim, DSG², § 26 Anm. 16, 180). Dies bedeutet konkret, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn zu verarbeiteten Daten aufzuklären ist, sondern dass ihm auch der Inhalt dieser Daten bekannt zu geben ist. Codes (im konkreten Fall: Dateninhalt, der nicht im Volltext, sondern durch Schlüsselbegriffe ausgedrückt wird, die nur dem organisationsinternen Gebrauch des Auftraggebers dienen) sind dem Betroffenen somit offen zu legen und zu erläutern (vgl. DSK vom 03. Oktober 2007, GZ K121.290/0015-DSK/2007, RIS; DSB vom 08. Juni 2017, GZ DSB-D122.641/0006-DSB/2017, RIS).
Bereits das allgemeine Auskunftsrecht gemäß § 26 Abs. 1 und 4 DSG 2000 umfasst in jedem Fall – und zwar unabhängig von einer weitergehenden Auskunftspflicht gemäß § 49 Abs. 3 DSG 2000 – verständliche Erklärungen für interne Schlüsselbegriffe (gegenständlich etwa: „Wahrscheinlichkeitswert_traditionelle“), für deren Bewertung und Zuordnung zum Einschreiter ebenfalls eine nähere Erklärung erforderlich ist (vgl. die Empfehlung der DSB vom 06. Dezember 2017, GZ: DSB-D216.435/0005-DSB/2017, RIS).
Im konkreten Fall sind somit jedenfalls die „Location***-Groups“ näher zu beschreiben. Es ist auszuführen, was konkret unter den jeweiligen Klassifikationen zu verstehen ist, wie etwa unter „Wahrscheinlichkeitswert_traditionelle“ (sei es durch Parameter und deren Gewichtung und der Aufzählung weiterer möglicher Kategorien oder anderer Kriterien).
Der Beschwerdeführer wurde in dieser Hinsicht in seinem Recht auf Auskunft verletzt.
1.2 „Fußnote 2“
Hinsichtlich Fußnote 2 führt die Beschwerdegegnerin aus, dass im vorliegenden Fall keine derartige Anmerkung (vor allem eigene Gliederungen der Beschwerdegegnerin) vorliegen würde. Diesbezüglich wäre jedoch dem Beschwerdeführer eine Angabe darüber zu machen, ob eine entsprechende Anmerkung vorliegt oder nicht.
Im gegenständlichen Fall hat die Beschwerdegegnerin mit einer entsprechenden Fußnote indiziert, dass eine „Anmerkung über voraussichtliche Richtigkeit und einschließlich Zuordnung zu regionalen Gliederungen, die vom Auftraggeber gebildet werden oder sich aus öffentlichen Quellen ergeben“ vorhanden sein könnte, gleichzeitig aber unbeantwortet gelassen, ob eine solche Anmerkung auch tatsächlich vorliegt. Der Beschwerdeführer muss beim Fehlen einer entsprechenden Anmerkung gemäß Fußnote 2 nicht den Umkehrschluss ziehen, dass keine diesbezügliche Anmerkung zu seiner Person vorhanden wäre. Deshalb ist dem Beschwerdeführer konkret Auskunft zu erteilen, ob eine entsprechende Anmerkungen zur voraussichtlichen Richtigkeit – wie durch die Beschwerdegegnerin indiziert – vorhanden ist oder nicht.
Darüber hinaus ist dem Beschwerdeführer auch Auskunft zu erteilen, welchen regionalen Gliederungen er konkret zugeordnet ist. Die Wortfolge „[…] regionalen Gliederungen, die vom Auftraggeber gebildet werden […]“ indiziert abermals, dass durch die Beschwerdegegnerin Gliederungen vorgenommen werden, wobei unklar und unbeantwortet bleibt, ob es sich dabei bloß um geografische Gliederungen handelt (beispielsweise bezogen auf einen Bezirk), oder hierbei weitere Elemente eine Rolle spielen (beispielsweise Einteilung von geografischen Bezirken entsprechend der statistisch berechneten Kaufkraft).
Folglich wurde der Beschwerdeführer in diesem Punkt in seinem Recht auf Auskunft verletzt.
2. Fehlende Auskunft gemäß § 49 Abs. 3 DSG 2000:
Grundsätzlich ist die Zuschreibung von Marketingklassifikationen gemäß § 151 Abs. 6 GewO kein Vorgang der automatisierten Einzelentscheidung, der dem besonderen Auskunftsrecht gemäß § 49 Abs. 3 DSG 2000 unterliegt, wonach das Gesetz dem Betroffenen ein besonderes Auskunftsrecht hinsichtlich der Logik des Verarbeitungsvorgangs einräumt, das über das allgemeine Auskunftsrecht gemäß § 26 Abs. 1 und 4 DSG hinausgeht. Der Grund, weshalb die Zuschreibung von Marketingklassifikationen kein Vorgang der automatisierten Einzelentscheidung gemäß § 49 Abs. 3 DSG 2000 ist, ist, dass der Betroffene durch diese Datenverarbeitung nicht in einer für Dritte erkennbaren Weise als Einzelperson bewertet wird. Die Zuschreibung einer Marketingklassifikation verfolgt entscheidend andere Zielsetzungen als etwa der Verarbeitungsvorgang einer Bonitätsbewertung. Bei einer Bonitätsbewertung wird eine Einzelfallprüfung durchgeführt, die für den Betroffenen beispielsweise die Konsequenz haben kann, dass der Empfänger der Ergebnisdaten einen Vertrag mit ihm ablehnt oder auf bestimmten Zahlungsbedingungen besteht (vgl. die Empfehlung der DSB vom 06. Dezember 2017, GZ: DSB-D216.435/0005-DSB/2017 mwN).
Auch statistisch berechnete Bonitätsdaten können grundsätzlich dazu verwendet werden, um eine Zuschreibung einer Marketingklassifikation vorzunehmen. Es wird zugestanden, dass auch Werbemaßnahmen bzw. Promotions an das jeweilige Einkommen geknüpft sein können. Es konnte im gegenständlichen Fall nicht festgestellt werden, dass die Beschwerdegegnerin die berechneten Bonitätsdaten (konkret: Angaben zum Mindest- und Mindesthaushaltseinkommen des Beschwerdeführers) dazu verwendete, um eine Bonitätsbewertung des Beschwerdeführers durchzuführen, die über die bloße Zuschreibung einer Marketingklassifikation hinausgeht.
Im vorliegenden Fall ergibt sich jedoch die besondere Konstellation, dass die Beschwerdegegnerin die Bonitätsdaten des Betroffenen zwar nicht selbst verwendete, um eine Bonitätsbewertung im Sinne einer automatisierten Einzelentscheidung gemäß § 49 Abs. 1 DSG 2000 durchzuführen, diese Bonitätsdaten jedoch, wie festgestellt, an die U***-Kreditinformationen Austria GmbH übermittelte. Die U***-Kreditinformationen Austria GmbH wiederum betreibt unter anderem eine Wirtschaftsauskunftei, die als solche unstrittig Bonitätsbewertungen im Sinne einer automatisierten Einzelentscheidung gemäß § 49 Abs. 1 DSG 2000 durchführt.
Die Übermittlung von bonitätsrelevanten Daten des Beschwerdeführers (statisch berechnete Angaben zum Einkommen) von der Beschwerdegegnerin an die U***-Kreditinformationen Austria GmbH begründet jedoch keine erweiterte Auskunftspflicht (§ 49 Abs. 1 DSG 2000) der Beschwerdegegnerin selbst. Dies aus drei Gründen:
Erstens ist die U***-Kreditinformationen Austria GmbH kein Dienstleister der Beschwerdegegnerin im Sinne von § 4 Z 5 DSG 2000.
Zweitens dürfen gemäß § 151 Abs. 6 GewO Gewerbetreibende nach Abs. 1 leg. cit. für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden, nur für Marketingzwecke verwenden und sie insbesondere an Dritte nur dann übermitteln, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden werden.
Wenn die U***-Kreditinformationen Austria GmbH die von der Beschwerdegegnerin übermittelten Bonitätsdaten zum Einkommen des Beschwerdeführers für andere Zwecke als Marketingzwecke verwendete – wie etwa einer Bonitätsbewertung im Sinne einer automatisierten Einzelentscheidung gemäß § 49 Abs. 1 DSG 2000 – wäre dies als etwaige Verletzung im Recht auf Geheimhaltung auf dem Gerichtsweg geltend zu machen (§ 32 Abs. 1 DSG 2000), ist aber hier nicht aufzugreifen.
Drittens konnte nicht festgestellt werden, dass die U***-Kreditinformationen Austria GmbH die von der Beschwerdegegnerin übermittelten Bonitätsdaten zum Einkommen des Beschwerdeführers auch tatsächlich einer Bonitätsbewertung im Sinne einer automatisierten Einzelentscheidung gemäß § 49 Abs. 1 DSG 2000 zugrunde legte. Vielmehr ergibt sich aus dem Schreiben der U***-Kreditinformationen Austria GmbH vom 20. Jänner 2017, dass es sich bei den Negativeinträgen über den Beschwerdeführer („[…] eine Zahlungserfahrung aus dem Bereich „Verlag“ zu Grunde liegt, die durch mehrmalige Inkassomahnungen bearbeitet wurden“) nicht um eine automatisierte Entscheidungsfindung handelt.
Wenn der Beschwerdeführer sich auf den Bescheid der Datenschutzbehörde vom 08. Juni 2017 zur GZ: DSB-D122.641/0006-DSB/2017 stützt und dazu ausführt, dass Auftraggeber, die Wirtschaftsauskunftsdienste betreiben würden, gegebenenfalls auch als Auftraggeber einer automatisierten Einzelentscheidung anzusehen wären und zwar unabhängig davon, ob die aus solchen Bonitätsbeurteilungen folgenden Entscheidungen vom jeweiligen Auftraggeber selbst getroffen würden, kann auf die obigen Ausführungen verwiesen werden und ist folgendes zusammengefasst festzuhalten:
Im vorliegenden Fall erfolgte keine Bonitätsbeurteilung als automatisierte Einzelentscheidung durch die Beschwerdegegnerin, sondern lediglich eine Zuschreibung einer Marketingklassifikation. Auch die bloße Zuschreibung einer Marketingklassifikation bzw. Werbemaßnahmen können an bonitätsrelevante Daten anknüpfen (gegenständlich: das statistisch berechnete Einkommen des Beschwerdeführers). Der Beschwerdeführer wurde aber nicht in einer für Dritte erkennbaren Weise hinsichtlich seiner Bonität beurteilt – und das ist das relevante Kriterium –, sondern lediglich einer Marketingklassifikation zugeteilt. Insbesondere ist die Beschwerdegegnerin als Gewerbetreibende gemäß § 151 Abs. 1 und 6 GewO gesetzlich verpflichtet, Marketingklassifikationen nur für Marketingzwecke zu verwenden.
Die Beschwerdegegnerin ist - mangels Durchführung einer solchen – daher nicht verpflichtet, gemäß § 49 Abs. 3 DSG 2000 dem Beschwerdeführer Auskunft zum logischen Ablauf der automatisierten Entscheidungsfindung zu erteilen.
3. Keine vollständige Auskunft
3.1 Übermittlung an U***-Kreditinformationen Austria GmbH
Die Beschwerdegegnerin machte hinsichtlich der Empfängerkreise auf Seite 3 der Auskunftserteilung vom 07. Februar 2017 folgende Angaben:
„Diese Daten wurden an Gewerbetreibende in Österreich und zwar im Einzel-, Retail- und Großhandel, sowie Banken, Versicherungen, Versandhäuser und Non Governmental Organisations (NGO´s), welche schriftlich Werbung betreiben, sowie an die Österreichische **** AG, ****straße *2, **** Wien, übermittelt“.
Es erfolgte eine Übermittlung von Daten des Beschwerdeführers - insbesondere zu dessen Einkommen - durch die Beschwerdegegnerin an die U***-Kreditinformationen Austria GmbH, die eine Wirtschaftsauskunftei betreibt. Da die U***-Kreditinformationen Austria GmbH somit nicht zu den angeführten Empfängerkreisen zählt und die Übermittlung an selbige nicht in der Auskunftserteilung angeführt ist, wurde der Beschwerdeführer diesbezüglich in seinem Recht auf Auskunft verletzt.
3.2 Auskunft über weitere Übermittlungsempfänger als die U***-Kreditinformationen Austria GmbH
Gemäß § 26 Abs. 1 DSG 2000 dürfen bzw. können zulässigerweise neben einzelnen Empfängern auch bloße Empfängerkreise beauskunftet werden.
Sowohl der Verfassungsgerichtshof als auch der Verwaltungsgerichtshof haben sich mit dem Verhältnis von § 26 Abs. 1 DSG 2000 und Art. 12 der Richtlinie 95/46/EG (DS-RL) einerseits, sowie mit der Frage, wann eine Beauskunftung von Empfängerkreisen ausreicht und wann konkrete Empfänger zu benennen sind, auseinandergesetzt hat (VfSlg. 18.230/2007 bzw. VwSlg. 17680 A/2009). Dabei haben beide Gerichtshöfe ausgeführt, dass es einer Einzelfallabwägung, in welche Gesichtspunkte der Datenschutzinteressen der Beteiligten und öffentlicher Geheimhaltungsinteressen einzubeziehen sind, bedarf um festzustellen, ob konkrete Empfänger oder lediglich Empfängerkreise zu beauskunften sind (siehe dazu auch Jahnel, Handbuch Datenschutzrecht [2010] Rz 7/32).
Eine derartige an den Rechtsschutzinteressen des Betroffenen orientierte Interessensabwägung ist nach der ständigen Rechtsprechung der Datenschutzbehörde erforderlich und wurde auch vom VwGH bestätigt. Übermittlungen sind jeweils so konkret zu beauskunften, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann (vgl. das Erkenntnis des VwGH vom 19. Dezember 2006, Zl. 2005/06/0111; den Bescheid der damaligen Datenschutzkommission vom 15. Februar 2005, GZ: K120.981/0002-DSK/2005, sowie die Ausführungen in der Empfehlung der Datenschutzbehörde vom 06. Jänner 2017, GZ. DSB-D216.435/0005-DSB/2017).
Aufgrund der Tatsache, dass die Beschwerdegegnerin bonitätsrelevante Daten des Beschwerdeführers an eine Wirtschaftsauskunftei übermittelte – und dieser Umstand dem Beschwerdeführer erst durch eine Stellungnahme seitens der U***-Kreditinformationen Austria GmbH bekannt wurde – ist dem Beschwerdeführer ein überwiegendes Interesse zuzugestehen, dass ihm weitere, einzelne Empfänger und nicht bloß Empfängerkreise zu nennen sind. Der berechtigte Verdacht des Beschwerdeführers, dass die Beschwerdegegnerin seine bonitätsrelevanten Daten auch an weitere Wirtschaftsauskunfteien übermittelte, wurde durch das Verhalten der Beschwerdegegnerin selbst ausgelöst und wurde durch die Beschwerdegegnerin bis zum Abschluss des Verfahrens nicht entkräftet. Im konkreten Fall besteht daher ein besonderes Interesse des Beschwerdeführers, zu erfahren, ob seine Daten an weitere Wirtschaftsauskunfteien übermittelt wurden.
Nur auf diese Weise kann der Beschwerdeführer seine Berechtigungs- und Löschungsrechte gegenüber etwaigen weiteren Übermittlungsempfängern – insbesondere eben Wirtschaftsauskunfteien – durchsetzen. Im Zusammenhang mit einer Bonitätsbeurteilung durch eine Wirtschaftsauskunftei ist wiederholt darauf hinzuweisen, dass es sich gerade nicht um die bloße Zuschreibung einer Marketingklassifikation handelt, sondern dem Betroffenen (konkret also dem Beschwerdeführer) durch diese Bonitätsbeurteilung konkrete finanzielle Nachteile erwachsen können, wie etwa ungünstige Vertragsbedingungen oder überhaupt die Ablehnung eines Vertragsabschlusses.
Der Beschwerdeführer wurde daher in diesem Punkt in seinem Recht auf Auskunft verletzt.
Insofern eine Auskunft über einzelne Empfänger bspw. wegen fehlender Aufzeichnungen nicht möglich ist, wäre diesbezüglich eine etwaige Verletzung im Recht auf Geheimhaltung auf dem Gerichtsweg geltend zu machen (§ 32 Abs. 1 DSG 2000).
3.3 Fehlende Auskunft über Zwecke und Rechtsgrundlage der Datenverwendung
Wenn der Beschwerdeführer ausführt, dass eine DVR-Anmeldung bzw. Registrierung keine Rechtsgrundlage einer Datenverwendung sein könne, so ist dem nicht entgegenzutreten: Die Registrierung im Datenverarbeitungsregister selbst bildet keine Legitimation oder Rechtsgrundlage für eine Datenverarbeitung, sondern hat bloß deklaratorischen Charakter und dient der Dokumentation der jeweiligen Datenanwendung sowie der Erfüllung der Meldepflicht gemäß §§ 17 ff DSG 2000 (vgl. auch den Titel des 4. Abschnitts des DSG 2000, „Publizität der Datenanwendungen“).
Die Beschwerdegegnerin stützt ihre Rechtsgrundlage zur Datenverwendung (auch) auf ihre Gewerbeberechtigung. Diesbezüglich fehlt jedoch die Angabe einer konkreten Rechtsgrundlage. Der allgemeine Verweis auf die Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen ist hierbei nicht ausreichend, vielmehr muss die genaue Rechtsgrundlage genannt werden. Dies insbesondere vor dem Hintergrund, da die bezeichnete Gewerbeberechtigung an unterschiedliche Voraussetzungen anknüpft: So wird hinsichtlich der Voraussetzungen der Verwendung der Daten in § 151 GewO etwa in Abs. 3 leg. cit. zwischen sensiblen und nicht-sensiblen Daten, in Abs. 5 leg. cit. zwischen vorhandener und nicht-vorhandener Zustimmung differenziert. Der bloß allgemeine Verweis auf die Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen, ohne dabei die einzelnen Tatbestände von § 151 GewO zu unterscheiden, ist als Auskunftserteilung hinsichtlich der Rechtsgrundlage nicht ausreichend.
Im gegebenen Zusammenhang ist erneut auf § 151 Abs. 6 GewO hinzuweisen, wonach gemäß Abs. 1 leg. cit. für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden, nur für Marketingzwecke verwendet und sie insbesondere an Dritte nur dann übermittelt werden dürfen, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden.
Vor dem Hintergrund dieser Ausführung ist dem Beschwerdeführer somit auch die konkrete Rechtsgrundlage mitzuteilen, auf die die Übermittlung der Daten des Beschwerdeführers (insbesondere sein Einkommen) an die U***-Kreditinformationen Austria GmbH – die eine Wirtschaftsauskunftei ist – gestützt wird.
Ebenso sind allgemein gehaltene Formulierungen wie „[…] die Einhaltungen der Bestimmungen des DSG im Rahmen der gesetzlichen Verpflichtungen“ und eine Abgleichung von Daten mit anderen Kunden- und Interessentendateien „im Rahmen der gesetzlichen Befugnisse […]“ nicht ausreichend, um die Auskunftspflicht zu erfüllen.
Es kann dem Beschwerdeführer nicht auferlegt werden, zu wissen bzw. zu recherchieren, welcher gesetzliche Rahmen konkret gemeint ist, zumal ein allgemeiner Verweis auf die Registrierung im DVR und die Gewerbeberechtigung nicht ausreichend ist (siehe oben). Vielmehr sind – wie bereits ausgeführt – die konkreten Rechtsgrundlagen zu anzugeben.
Auch diesbezüglich wurde der Beschwerdeführer in seinem Recht auf Auskunft verletzt.
3.4 Fehlende Auskunft über Datenherkunft
Hinsichtlich der Datenherkunft ist auszuführen, dass die Beschwerdegegnerin mit Fußnote 1 grundsätzlich angibt, welche Angaben statistisch berechnet wurden und die Auskunftspflicht insofern erfüllt. Hinsichtlich der übrigen Punkte (so beispielsweise Haushaltsgröße oder Altersklasse) ist jedoch keine Information zur Herkunft angegeben.
Klar ist, dass die Beschwerdegegnerin zumindest für einige Angaben die Datenherkunft nennen kann (so beispielsweise die Stellung im Haushalt, das Einkommen oder die Gebäudeart, die gemäß Fußnote 1 offensichtlich statistisch berechnet wurden). Insofern für die weiteren Angaben die Datenherkunft fehlt oder nicht genannt werden kann, muss jedoch auch eine entsprechende Auskunftserteilung erfolgen. So ist beispielsweise hinsichtlich der Angaben zur Haushaltsgröße und Altersklasse unklar, ob diese statistisch berechnet oder persönlich recherchiert wurden, oder ob zu diesen Angaben die Datenherkunft überhaupt fehlt.
Festzuhalten ist jedoch, dass nur verfügbare Informationen beauskunftet werden können. Wenn sich der Beschwerdeführer mangels Aufzeichnung bzw. Protokollierung über die Datenherkunft in seinem Recht auf Geheimhaltung als verletzt erachtet, ist er diesbezüglich auf den Gerichtsweg zu verweisen (§ 32 Abs. 1 DSG 2000; vgl. auch Jahnel, Handbuch Datenschutzrecht [2010] 7/29).
Auch in diesem Punkt war daher eine Verletzung im Recht auf Auskunft festzustellen.
3.5. Fehlende Auskunft über Dienstleister
Hinsichtlich der Auskunft über Dienstleister sind die Angaben der Beschwerdegegnerin vollständig. Die Beschwerdegegnerin fasst in der Auskunftserteilung die Kategorien „Dienstleister“ und „Internationaler Datenverkehr“ zwar in einem Punkt zusammen und führt abschließend an „Ansonsten gibt es keinen internationalen Datenverkehr“. Dies ist etwas missverständlich, da man gemäß dieser Wortfolge davon ausgehen könnte, dass nur Dienstleister im Rahmen des internationalen Datenverkehrs angegeben wurden. Es liegen jedoch keine Anhaltspunkte dafür vor, dass die vorgenommene Aufzählung unvollständig wäre.
4. Zusammenfassung:
Der Beschwerdeführer wurde in seinem Recht auf Auskunft dadurch verletzt, indem die Beschwerdegegnerin
a) keine allgemein verständliche Auskunft erteilte und
b) keine vollständige Auskunft erteilte.
Eine Verletzung im Recht auf Auskunft nach § 49 Abs. 3 DSG 2000 konnte hingegen nicht festgestellt werden.
Der Leistungsauftrag gemäß Spruchpunkt 2 gründet sich auf den Antrag des Beschwerdeführers gemäß § 31 Abs. 7 2. Satz DSG 2000 in der Beschwerde.
Schlagworte
Auskunft, Auftraggeber des privaten Bereichs, Adressverlag, Direktmarketing, Marketingklassifikationen, bonitätsrelevante Daten, Umfang des Auskunftsrechts, Inhaltsmängel, Übermittlungsempfänger, Datenherkunft, genaue RechtsgrundlagenEuropean Case Law Identifier (ECLI)
ECLI:AT:DSB:2018:DSB.D122.754.0002.DSB.2018Zuletzt aktualisiert am
29.01.2019