TE Bvwg Erkenntnis 2019/8/22 W256 2213660-1

W256 2213660-1/4E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende, der fachkundigen Laienrichterin Dr. Claudia Rosenmayr-Klemenz und dem fachkundigen Laienrichter Mag. Matthias Schachner als Beisitzer über die Beschwerde des XXXX , vertreten durch Dr. Michael-Paul Parusel gegen den Bescheid der Datenschutzbehörde vom 5. Dezember 2018, GZ: XXXX zu Recht erkannt:

A) Der Beschwerde wird Folge gegeben, und der angefochtene Bescheid

dahingehend abgeändert, dass der Spruch insgesamt zu lauten hat wie folgt:

"Die Beschwerde wird als unbegründet abgewiesen."

B) Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.

ENTSCHEIDUNGSGRÜNDE:

I. Verfahrensgang:

In seiner an die Datenschutzbehörde gerichteten Beschwerde vom 12. Juli 2018 brachte der Beschwerdeführer vor, er habe mit beiliegendem Schreiben vom 17. Mai 2018 einer Datenverwendung durch die XXXX (im Folgenden: mitbeteiligte Partei) gemäß §§ 27 und 28 DSG widersprochen und insofern eine Löschung seiner Daten begehrt. Davon ausdrücklich ausgenommen seien jedoch der - anhand einer ZMR Abfrage von der mitbeteiligten Partei aktuell zu haltende - Name und die Wohnadresse des Beschwerdeführers gewesen. Dennoch habe die mitbeteiligte Partei sämtliche Daten in Bezug auf den Beschwerdeführer gelöscht und dies dem Beschwerdeführer mit beiliegendem Schreiben vom 22. Mai 2018 auch mitgeteilt. Der Beschwerdeführer sei durch die "Weigerung" der mitbeteiligten Partei in seinem Grundrecht auf Datenschutz gemäß § 1 Abs. 3 Z 2 DSG verletzt. Auch mache er eine Verletzung nach Art. 5 Abs. 1 lit. d DSGVO geltend, wonach personenbezogene Daten "richtig" sein müssten. Die mitbeteiligte Partei habe bis zum 17. Mai 2018 "hoffnungslos veraltete" und damit zur Beurteilung der Kreditwürdigkeit des Beschwerdeführers unbrauchbare Daten über den Beschwerdeführer verarbeitet. Insofern habe der Beschwerdeführer "ganz bewusst" einen eingeschränkten Antrag auf Löschung dieser hoffnungslos veralteten Daten an die mitbeteiligte Partei gerichtet, welcher von der mitbeteiligten Partei jedoch "ignoriert" worden sei. Hinzu komme, dass der Beschwerdeführer durch das Löschverhalten der mitbeteiligten Partei als Person "im Ganzen" nicht mehr aufscheine und würde dies von abfragenden Dritten als mangelnde Kreditwürdigkeit interpretiert werden. Insofern sei das Löschverhalten der mitbeteiligten Partei als "unangemessen" im Sinne des Art 5 Abs. 1 lit. d DSGVO zu bezeichnen. Abschließend stellte der Beschwerdeführer den Antrag, die belangte Behörde möge diese Rechtsverletzung feststellen und der mitbeteiligten Partei jene Reaktion auftragen, die erforderlich sei um die festgestellte Rechtsverletzung zu beseitigen.

Mit Schreiben vom 27. Juli 2018 forderte die belangte Behörde den Beschwerdeführer gemäß § 13 Abs. 3 AVG auf, das Recht anzuführen, in dem sich der Beschwerdeführer als verletzt erachte. Weiters wies die belangte Behörde betreffend eine behauptete Verletzung im Recht auf Berichtigung von Daten (Art. 16 DSGVO) darauf hin, dass in diesem Fall zunächst ein Schreiben an den Verantwortlichen zu richten sei.

Daraufhin wiederholte der Beschwerdeführer mit Schreiben vom 1. August 2018 im Wesentlichen sein bisheriges Vorbringen. Ergänzend machte er "nunmehr folgende Verletzungen geltend" (um Rechtschreibfehler bereinigt hier wörtlich wiedergegeben):

"4.1. Der Beschwerdeführer ist durch die Weigerung der Beschwerdegegnerin in seinem Grundrecht auf Datenschutz gemäß § 1

(3) Nr. 2 DSG verletzt, wonach jedermann, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, d.h. ohne Automationsunterstützung geführten Daten bestimmt ist, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässiger Weise verarbeiteter Daten hat.

4.2. Darüber hinaus macht der Beschwerdeführer eine Verletzung nach Art. 5 (1) lit. d DSGVO geltend, wonach personenbezogene Daten "richtig" sein müssen, d.h. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

4.3. Letztlich wird von der Beschwerdegegnerin aber auch das Recht auf Berichtigung nach Art 16 DSGVO verletzt, wonach der Beschwerdeführer das Recht hat, von dem Verantwortlichen unverzüglich die Berichtigung ihn betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat der Beschwerdeführer das Recht, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu verlangen."

Ergänzend brachte er vor, er habe die mitbeteiligte Partei mit beiliegendem Schreiben vom 30. Juli 2018 bereits aufgefordert, seine ihn betreffenden Daten, insbesondere seine Generalien wiederherzustellen. Noch am gleichen Tag sei ihm von der mitbeteiligten Partei jedoch telefonisch mitgeteilt worden, dass sie der Aufforderung nicht nachkommen werde.

In ihrer Stellungnahme vom 29. August 2018 führte die mitbeteiligte Partei dazu aus, sie sei dem (auch ein Löschungsbegehren beinhaltenden) Widerruf des Beschwerdeführers vom 17. Mai 2018 gefolgt und habe sämtliche personenbezogene Daten gelöscht. Es gebe keine gesetzliche Grundlage bestimmte (Wunsch)Daten (also lediglich Stammdaten ohne Zahlungserfahrungsdaten) in der Datenbank der mitbeteiligten Partei zu belassen. Dies ergebe sich aus dem eindeutigen Gesetzeswortlaut und auch aus der Rechtsprechung des Obersten Gerichtshofs (zu 6Ob 195/08g), wonach eine Kreditauskunftei keine Pflicht treffe, die um den von einem Löschungsbegehren betroffenen Datensatz reduzierte Eintragung in ihrer Datei zu belassen. Auch der Judikatur der belangten Behörde könne dies nicht entnommen werden. Die mitbeteiligte Partei habe insofern dem Löschungsbegehren des Beschwerdeführers rechtskonform entsprochen. Dem Schreiben des Beschwerdeführers um "schriftliche Bestätigung, dass Generaldaten aktuell gehalten werden" vom 30. Juli 2018 und auch ansonsten sei kein Anhaltspunkt für ein Begehren auf Berichtigung zu entnehmen gewesen. Datenrichtigkeit liege im Übrigen nur dann vor, wenn alle Daten, die für die Bonitätsbeurteilung relevant seien, verarbeitet werden. Die begehrte Teillöschung hätte diesem Grundsatz nicht mehr gerecht werden können. Im Übrigen könne das Recht auf Berichtigung auch nicht derart ausgelegt werden, dass Unternehmen zur Verarbeitung für den Betroffenen "angenehmen" Daten gezwungen werden können. Bei Abfragen über den Beschwerdeführer würde nunmehr der Eintrag "Kein Eintrag gefunden" aufscheinen. Wie dieses Ergebnis von den Abfragenden ausgelegt werde, liege nicht im Einflussbereich der mitbeteiligten Partei. Eine gesetzliche Verpflichtung, die Datenbank der mitbeteiligten Partei vor Kreditvergabe aufzurufen, liege nicht vor. Ein datenschutzrechtlicher Verstoß sei daher nicht erkennbar.

Im dazu eingeräumten Parteiengehör führte der Beschwerdeführer mit Schreiben vom 18. Oktober 2018 aus, der von der mitbeteiligten Partei zitierten Judikatur des Obersten Gerichtshofs sei sehr wohl zu entnehmen, dass (Wunsch)Daten in der Datenbank zu belassen seien.

Mit dem angefochtenen Bescheid wurde der Beschwerde teilweise stattgegeben und es wurde festgestellt, dass die mitbeteiligte Partei den Beschwerdeführer sowohl im Recht auf Geheimhaltung, als auch im Recht auf Löschung verletzt hat, indem sie dem partiellen Löschungsantrag des Beschwerdeführers überschießend entsprochen und alle Daten gelöscht habe (Spruchpunkt 1.). Hinsichtlich der behaupteten Verletzung im Recht auf Berichtigung und dem diesbezüglichen Begehren des Beschwerdeführers, der mitbeteiligten Partei die Berichtigung bzw. Wiederherstellung der Generalien des Beschwerdeführers aufzutragen, wurde die Beschwerde hingegen abgewiesen (Spruchpunkt 2.). Dabei legte die belangte Behörde ihrer Entscheidung hinsichtlich der behaupteten Verletzung im Recht auf Geheimhaltung und auf Löschung (Spruchpunkt 1.) die alte Rechtslage vor der Datenschutzgrundverordnung, hinsichtlich der behaupteten Verletzung im Recht auf Wiederherstellung (Spruchpunkt 2) hingegen die derzeit geltende Rechtslage zugrunde. Begründend führte die belangte Behörde dazu aus, dass die Rechtslage im Zeitpunkt ihrer Entscheidung maßgeblich sei, außer es handle sich um die Beurteilung eines Verhaltens zu einem bestimmten Zeitpunkt.

Beschwerdegegenständlich werde in Bezug auf die behauptete Verletzung im Recht auf Löschung und auf Geheimhaltung auf einen bestimmten Stichtag, nämlich die erfolgte Löschung abgestellt, weshalb hier die alte Rechtslage heranzuziehen sei. Das Recht auf Wiederherstellung könne bis zum Verfahrensende nachgeholt werden, weshalb hinsichtlich dieses Rechts die neue Rechtslage heranzuziehen sei. Zu Spruchpunkt 1. führte die belangte Behörde aus, dass es außer Zweifel stehe, dass es einem Betroffenen bei einem antragsbezogenen Recht - wie jenem nach § 27 Abs. 1 Z 2 DSG 2000 - freistehen müsse, als "Minus" auch die Löschung bloß eines Teiles der Daten zu begehren (partielles Löschungsrecht). Dies ergebe sich schon aus der Entscheidung des Obersten Gerichtshofes vom 1. Oktober 2018, 6Ob 195/08g. Das Recht auf Löschung beziehe sich auf alle entgegen den Bestimmungen des DSG 2000 verarbeiteten Daten, wobei auch das Löschen eine "Verarbeitung" im Sinne des § 4 DSG 2000 sei. Gegen Bestimmungen des DSG 2000 verstoße die Verarbeitung von Daten auch dann, wenn deren Verwendung im Sinne des § 6 Abs. 1 Z 1 DSG 2000 nicht auf "rechtmäßige Weise" erfolge. Ebendies müsse gelten, wenn die Verarbeitung gegen "Treu und Glauben" erfolge. Eine Verwendung von Daten nach "Treu und Glauben" gemäß § 6 Abs. 1 Z 1 DSG 2000 liege nur dann vor, wenn der Betroffene über die Umstände des Datengebrauchs und das Bestehen und die Durchsetzbarkeit seiner Rechte nicht irregeführt oder im Unklaren gelassen werde. Die Vorgehensweise der mitbeteiligten Partei, alle Daten zu löschen und damit dem Löschantrag überschießend zu entsprechen, entspreche nicht der Verwendung von Daten nach Treu und Glauben. Wie die mitbeteiligte Partei in ihrer Löschungsmitteilung vom 22. Mai 2018 ausgeführt habe, könne durch die mangelnde Identifikation des Beschwerdeführers in der Datenbank der mitbeteiligten Partei der Vertragsabschluss mit Unternehmen, welche ihre Geschäftsentscheidungen von ebendieser Identifikation abhängig machen würden, erschwert oder verhindert werden. Dies decke sich auch mit dem Amtswissen der belangten Behörde, wonach die Löschung des gesamten Datensatzes in der Datenbank von Kreditauskunfteien regelmäßig den Eindruck erwecke, dass die betroffene Person nicht kreditwürdig sei und damit ein falsches Bild vermittelt werde. Durch die verfahrensgegenständliche Löschung des gesamten Datensatzes, sei die "Integrität des Datensatzes nachhaltig beeinträchtigt, was eine Verletzung im Recht auf Geheimhaltung nach sich" ziehe. Sei ein Löschungsbegehren nicht auf die Löschung des ganzen Datensatzes gerichtet, sondern nur auf Teile davon, dürfe nicht der gesamte Datensatz gelöscht werden. Es liege vielmehr am Auftraggeber die partielle Löschung vorzunehmen oder schriftlich mitzuteilen und zu begründen, warum dies nicht möglich sei. Dies sei vorliegend nicht geschehen, weshalb die mitbeteiligte Partei den Beschwerdeführer durch die überschießende Löschung auch im Recht auf Löschung verletzt habe. Zu Spruchpunkt 2. führte die belangte Behörde aus, dass aufgrund der unbestrittenen Löschung sämtlicher Daten des Beschwerdeführers eine Berichtigung oder Wiederherstellung derselben schon dem Wesen nach nicht möglich sei, weil für eine Berichtigung das faktische Vorhandensein eines zu berichtigenden Datensatzes Voraussetzung sei.

Gegen diesen Bescheid, "insbesondere in Bezug auf Spruchpunkt 2 des Bescheides, in dem die Beschwerde hinsichtlich der vom Beschwerdeführer behaupteten Verletzung im Recht auf Berichtigung sowie der Antrag, der Beschwerdegegnerin [mitbeteiligte Partei] die Berichtigung bzw. Wiederherstellung der Generalien des Beschwerdeführers aufzutragen, abgewiesen wurde", richtet sich die vorliegende Beschwerde. Die Entscheidung der Datenschutzbehörde umgehe die Entscheidung des Obersten Gerichtshofs zu 6 Ob 15/08g und führe diese ad absurdum. Die belangte Behörde habe zwar (in Spruchpunkt 1.) festgehalten, dass die mitbeteiligte Partei gegen geltendes Recht verstoßen habe, dennoch müsse diese - wie aus Spruchpunkt 2. hervorgehe - keine Folgen befürchten. Darüber hinaus komme die belangte Behörde auch zu dem unrichtigen Ergebnis, dass eine Wiederherstellung das Vorhandensein eines Datensatzes voraussetze. Dafür hätte jedoch bereits ein Blick auf das "Rubrum der Beschwerde vom 12.07.2018" und die darin genannten Generalien des Beschwerdeführers genügt. Insofern stellt der Beschwerdeführer den Antrag, das Bundesverwaltungsgericht möge der Beschwerde Folge geben und den Bescheid - allenfalls nach Durchführung einer mündlichen Verhandlung - in Bezug auf Spruchpunkt 2. aufheben und dahingehend abändern, dass der mitbeteiligten Partei aufgetragen werde, die Generalien des Beschwerdeführers wiederherzustellen.

Die belangte Behörde legte mit Schreiben vom 24. Jänner 2019 die Beschwerde samt dem Verfahrensakt dem Bundesverwaltungsgericht vor und erstattete eine Gegenschrift.

In ihrer Gegenschrift verwies die belangte Behörde darauf, dass sich die vorliegende Beschwerde ausschließlich gegen Spruchpunkt 2. richte. Unbestritten sei, dass die belangte Behörde die Daten des Beschwerdeführers gelöscht habe. Der Beschwerdeführer führe mit keinem Wort aus, auf welchem Rechtsgrund basierend eine Wiederaufnahme der Generalien möglich sein solle. Im vorliegenden Verfahren habe die belangte Behörde aufgrund des Rechtes auf Berichtigung der mitbeteiligten Partei keinen Auftrag zur Wiederherstellung der Generalien erteilen können. Als Voraussetzung für die Anwendbarkeit der Berichtigung bzw. Vervollständigung unvollständiger personenbezogener Daten komme es darauf an, dass der Verantwortliche unvollständige Daten verarbeite. Für eine Unvollständigkeit sei nicht ausreichend, dass irgendwelche Daten fehlen würden. Unvollständig seien nach der Literatur Daten nur, wenn diese in Bezug auf die konkrete Verarbeitung derart lückenhaft seien, dass der mit der Verarbeitung verfolgte Zweck nicht mehr erreicht werde. Personenbezogene Daten seien in diesem Sinne dann unvollständig, wenn sie zwar für sich genommen richtig seien, aber durch das Hinzufügen weiterer Daten korrigiert werden können. Inhalt des Anspruchs sei daher das Hinzuspeichern derjenigen (zutreffenden) Daten, durch die das Bild der betroffenen Person im jeweiligen Verwendungskontext korrigiert werde. Auch aus dem Recht auf Löschung könne ein Anspruch auf Wiederherstellung gelöschter Daten nicht abgeleitet werden. Der Zweck dieser Regelung bestehe vielmehr allein darin, der betroffenen Person unter bestimmten Voraussetzungen die Löschung ihrer Daten beim Verantwortlichen zu ermöglichen.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Die mitbeteiligte Partei betreibt eine Kreditauskunftei gemäß § 152 GewO. Als solche sammelt sie Informationen, die in Zusammenhang mit der Kreditwürdigkeit von Personen stehen. Diese Informationen können von ihren Kunden abgefragt werden.

Mit Schreiben vom 17. Mai 2018 richtete der anwaltlich vertretene Beschwerdeführer folgendes (auszugsweise wiedergegebenes und um Rechtsschreibfehler berichtigtes) Schreiben an die mitbeteiligte Partei:

"...

Bedauerlicherweise musste mein Mandant feststellen, dass Ihr geschätztes Unternehmen sensible Daten seiner Person verwendet. Diese Daten werden offenkundig in Listen geführt, die von Ihrer Gesellschaft einem unbestimmten Personenkreis sowohl entgeltlich, als auch unentgeltlich angeboten werden.

..

Das Speichern derartiger Daten und das Führen solcher Listen ist gesetzlich nicht vorgeschrieben.

Mein Mandant widerspricht daher gemäß §§ 27 und 28 DSG 2000 ausdrücklich einer weiteren Verwendung seiner Daten.

Der nunmehr erhobene Widerspruch umfasst insbesondere

* Auskünfte über Zusammenhänge mit Gläubigerinteressen und der Bonität meines Mandanten,

* Und Auskünfte über die grundsätzliche wirtschaftliche Situation im Rahmen der Kleinkreditevidenz.

Gleiches gilt für Warnlisten in Bezug auf österreichische Kreditinstitute.

Ausdrücklich ausgenommen von diesem Widerspruch sind für Ihre Gesellschaft nur diejenigen Daten, die den Namen und die Wohnadresse meines Mandanten betreffen - und auch nur dann, sofern von diesen Daten sichergestellt ist, dass durch die Abfrage beim Zentralen Melderegister auch nur tatsächlich die dort gemeldete aktuelle Wohnadresse verwendet und an die kreditgebende Wirtschaft weitergegeben wird.

Auskünfte über die Bonität meines Mandanten sind insofern möglich, als dass sie ausschließlich auf Anfrage über die XXXX KG, ... erfolgen.

Ich fordere Sie daher nicht nur auf, meiner Kanzlei den gegenständlichen Widerspruch und das Löschungsbegehren zeitnah, maximal aber binnen acht Wochen, schriftlich zu bestätigen - sondern darüber hinaus auch auf, im gleichen Zeitrahmen die tatsächliche Löschung seiner Daten vorzunehmen, sowie eine Unterlassungserklärung abzugeben, sodass die Daten nicht mehr für die zuvor benannten Auskunftszwecke vollinhaltlich verwendet werden.

.."

Daraufhin löschte die mitbeteiligte Partei sämtliche den Beschwerdeführer betreffenden Daten und teilte diesem mit Schreiben vom 22. Mai 2018 folgendes (auszugsweise wiedergegeben) mit:

"Wir nehmen Bezug auf Ihren Löschungsantrag und dürfen Ihnen mitteilen, dass sämtliche zu Ihrer Mandantschaft gespeicherten Informationen gelöscht wurden.

Diese Löschung erfolgte ohne Präjudiz für die Sach- und Rechtslage.

In diesem Zusammenhang erlauben wir uns höflich darauf hinzuweisen, dass nunmehr eine Identifikation der Person Ihrer Mandantschaft in

der Datenbank der ... [mitbeteiligten Partei] nicht mehr möglich

ist. Damit wird der Vertragsabschluss mit Unternehmen erschwert oder verhindert, welche ihre Geschäftsentscheidungen von ebendieser Identifikation abhängig machen."

Am 30. Juli 2018 richtete der Beschwerdeführer folgendes (um Rechtschreibfehler bereinigtes) E-Mail an die mitbeteiligte Partei:

"Sehr geehrte Damen und Herren,

bei der Durchsicht ihrer Unterlagen ist mir aufgefallen, dass dem Löschungsantrag von Herrn Dr. Michael Parusel am 22.05.2018 gefolgt wurde.

Jedoch habe ich zum Bedauern festgestellt, dass in ihrem Schreiben von einer Löschung aller meiner Daten die Rede ist. Dies war weder beabsichtigt, noch im Schreiben durch meinen Anwalt so gefordert.

Ich bitte daher um schriftliche Bestätigung, dass meine Generaldaten, wie Meldeadresse und Geburtsdatum, sofern diese aktuell gehalten werden, bei ihnen abrufbar sind!

Ich erlaube mir eine Frist von 3 Tagen bis längstens 02.08.2018 für die Erledigung vorzumerken."

2. Beweiswürdigung:

Diese (im Übrigen unbestrittenen) Feststellungen ergeben sich aus den im Verfahren erstatteten Eingaben und den darin vorgelegten Schreiben. Es bestehen von Seiten des Bundesverwaltungsgerichts keine Bedenken an der Richtigkeit dieser Schreiben und ihres Inhaltes zu zweifeln und wurden solche Zweifel im Übrigen auch von keiner Partei vorgetragen.

3. Rechtliche Beurteilung:

Zunächst ist vorauszuschicken, dass die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1 (im Folgenden: DSGVO) und in weiterer Folge das Datenschutzgesetz BGBl I 1999/165 in der Fassung BGBl. I Nr. 120/2017 (zuletzt geändert mit dem BGBl. I. Nr. 24/2018, im Folgenden: DSG) am 25. Mai 2018 und damit bereits vor Anhängigkeit der gegenständlichen Rechtssache anwendbar bzw. in Kraft getreten ist.

Gemäß § 69 Abs. 5 DSG sind Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes noch nicht anhängig gemacht wurden, nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen.

Der Ansicht der belangten Behörde, wonach zu beurteilende Sachverhalte zu einem bestimmten (vor Inkrafttreten der DSGVO und des novellierten DSG verwirklichten) Stichtag an der alten Rechtslage zu messen wären, kann angesichts dieser eindeutigen Übergangsregelung nicht gefolgt werden (siehe dazu auch § 69 Abs. 4 DSG, wonach selbst zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren nach den Bestimmungen dieses Bundesgesetzes und der DSGVO, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt, fortzuführen sind) .

zum Prüfumfang

Im vorliegenden Fall wendet sich der Beschwerdeführer im gesamten Verfahren gegen die (überschießende) Löschung seines Namens und seiner Wohnadresse durch die mitbeteiligte Partei. Die mitbeteiligte Partei habe sein (lediglich auf die Löschung von unrichtigen und seine Kreditwürdigkeit beurteilenden Daten) eingeschränktes Löschungsbegehren vom 17. Mai 2018 ignoriert und damit den Beschwerdeführer in seinem Recht auf Löschung gemäß § 1 Abs. 3 Z 2 DSG verletzt. Zudem weigere sich die mitbeteiligte Partei, diese Daten des Beschwerdeführers - wie von ihm ausdrücklich mit Schreiben vom 30. Juli 2018 begehrt - wiederherzustellen, weshalb er auch in seinem Recht auf Richtigstellung gemäß § 1 Abs. 3 Z 2 DSG bzw. auf Berichtigung gemäß Art 16 DSGVO verletzt sei.

Die belangte Behörde stellte daraufhin in Spruchpunkt 1. des angefochtenen Bescheids eine Verletzung im Recht auf Löschung (und auch im Recht auf Geheimhaltung) mit der Begründung fest, dass die (als Verarbeitung zu qualifizierende) Löschung des gesamten Datensatzes des Beschwerdeführers durch die mitbeteiligte Partei wider Treu und Glauben und damit in datenschutzrechtlicher Hinsicht rechtswidrig erfolgt sei. Eine Wiederherstellung der (überschießend und rechtswidrig gelöschten) Daten des Beschwerdeführers sei jedoch mangels deren Vorhandensein nicht mehr möglich, weshalb der Antrag des Beschwerdeführers auf Wiederherstellung bzw. Richtigstellung in Spruchpunkt 2. abgewiesen wurde.

Die vorliegende Beschwerde des Beschwerdeführers richtet sich nunmehr dagegen, dass die belangte Behörde die überschießende Löschung der Daten des Beschwerdeführers zwar als rechtswidrig befunden, die Beseitigung dieses rechtswidrigen Zustandes - nämlich die Wiederherstellung der Daten - der mitbeteiligten Partei jedoch nicht aufgetragen habe.

Gemäß § 24 Abs. 5 DSG ist soweit sich eine Beschwerde als berechtigt erweist, ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

Schon aus § 24 Abs. 5 2. Satz DSG folgt demnach, dass die vom Beschwerdeführer begehrte Beseitigung des von der belangten Behörde in Spruchpunkt 1. festgestellten rechtswidrigen Zustandes - nämlich die Wiederherstellung der Daten - untrennbar mit der Feststellung der Rechtsverletzung an sich zusammenhängt und damit nicht losgelöst voneinander beurteilt werden kann.

Selbst unter der Annahme, die vorliegende Beschwerde richte sich ausschließlich gegen den (fehlenden) Ausspruch über die Beseitigung des festgestellten rechtswidrigen Zustandes ist das erkennende Gericht daher verhalten, die Feststellung der Rechtsverletzung an sich und damit den angefochtenen Bescheid umfassend zu überprüfen (vgl. zum Prüfumfang der Verwaltungsgerichte ausführlich VwGH 09.09.2015, Ro 2015/03/0032 m.w.H.).

zur Sache:

Das in § 1 Abs. 1 DSG gesetzlich verankerte Grundrecht auf Datenschutz bewirkt einen Anspruch auf Geheimhaltung personenbezogener Daten und damit einen Schutz von Personen bei der Verarbeitung sie betreffender Daten (siehe dazu auch Art 1 DSGVO sowie die ErlRV zur StF des § 1 DSG 2000 (1613 BlgNR 20. GP 34f)).

Demgegenüber sind die in § 1 Abs 3 DSG gesetzlich normierten (Begleit)Grundrechte auf Auskunft, Richtigstellung und Löschung (allein) auf die effektive Durchsetzung dieses grundrechtlichen Geheimhaltungsanspruchs gerichtet (siehe dazu Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG (2018) Rn 17 zu § 1 sowie auch die Erwägungsgründe 63 und 65 zur DSGVO).

Während das Recht auf Auskunft nach Art 15 DSGVO (vormals: § 26 DSG 2000) dem Betroffenen vorab ein Instrument zur Überprüfung der Rechtmäßigkeit der Verarbeitung seiner Daten einräumt, wird der Betroffene durch das Recht auf Löschung nach Art 17 DSGVO und Richtigstellung nach Art 16 DSGVO (vormals in beiden Fällen: § 27 DSG 2000) in die Lage versetzt, eine ihn betreffende unrechtmäßige Datenverarbeitung vom Verantwortlichen beseitigen bzw. richtigstellen oder vervollständigen zu lassen. Die Geltendmachung dieser Begleitgrundrechte setzt - wie aus Art 15 und 16 DSGVO hervorgeht - in jedem Fall zwingend voraus, dass sich der Betroffene vor Geltendmachung einer behaupteten Rechtsverletzung bereits an den Verantwortlichen diesbezüglich gewendet hat ("Die betroffene Person hat das Recht, von dem Verantwortlichen ..").

Im vorliegenden Fall hat der Beschwerdeführer der Verwendung seiner seine Kreditwürdigkeit beurteilenden Daten durch die eine Kreditauskunftei gemäß § 152 GewO betreibende mitbeteiligte Partei gemäß § 28 DSG 2000 (nunmehr: Art 21 Abs 1 DSGVO) widersprochen und dementsprechend die Löschung dieser Daten von der mitbeteiligten Partei gemäß dieser Bestimmung (nunmehr: Art 17 Abs 1 lit c DSGVO) begehrt.

Die mitbeteiligte Partei ist dieser Aufforderung des Beschwerdeführers auf Löschung vollinhaltlich nachgekommen. Allerdings hat sie zusätzlich sämtliche Daten in Bezug auf den Beschwerdeführer, sohin auch dessen Name und dessen Wohnadresse, gelöscht.

Der Beschwerdeführer wendet sich - wie bereits ausgeführt - allein gegen diese überschießende Löschung, weil sie nach seiner Ansicht bei abfragenden Dritten den Eindruck seiner mangelnden Kreditwürdigkeit hervorrufe.

Die belangte Behörde folgt dieser Ansicht und führt dazu im angefochtenen Bescheid - zumindest soweit für das erkennende Gericht erkennbar - aus, diese den Eindruck der Kreditunwürdigkeit hervorrufende (überschießende) Löschung sei als eine Verarbeitung wider Treu und Glauben und damit als rechtswidrig zu qualifizieren.

Dieser Ansicht kann allerdings nicht gefolgt werden.

Wie oben bereits ausgeführt wurde, unterliegen den Grundsätzen des Datenschutzes ausschließlich personenbezogene Daten. Personenbezogene Daten sind nach der Begriffsbestimmung des Art 4 Z 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (vgl. dazu auch § 4 Z 4 DSG 2000

"wenn die Identität ... bestimmt oder bestimmbar ist").

Von einem Personenbezug kann dann ausgegangen werden, wenn Daten einer Person so zugeordnet sind, dass deren Identität für den jeweiligen Verwender direkt ersichtlich oder mit Hilfe von - vernünftiger Weise zur Verfügung stehenden - Zusatzinformationen herstellbar ist (siehe dazu Dietmar Jahnel, Datenschutzrecht, 130ff zu § 4 Z 4 DSG 2000 sowie auch Erwägungsgrund 26 zu Art 4 Z 1 DSGVO, wonach Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare Person zu betrachten sind. Dabei sollten alle Mittel berücksichtigt werden, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person zu identifizieren).

Die - auf keine solche Zusatzinformationen gestützte - bloße Vermutung, dass Daten einer bestimmten Person zugeordnet werden könnten, kann demnach keine Identifizierbarkeit und damit keinen Personenbezug begründen (siehe dazu auch Jahnel a.a.O., wonach (bezogen auf anonyme Daten) die Grenze der Rückführbarkeit dort zu ziehen ist, wo Spezialkenntnisse erforderlich sind, die nicht mehr mit zumutbarem Aufwand erworben werden könnten).

Im vorliegenden Fall ist die mitbeteiligte Partei als Kreditauskunftei gemäß § 152 GewO zwar zur Verarbeitung bonitätsrelevanter Informationen berechtigt, eine gesetzliche Verpflichtung dazu kann aber nicht abgeleitet werden (siehe dazu ausführlich OGH, 1.10.2018, 6Ob 195/08g zu § 28 Abs 2 DSG 2000).

Eine Pflicht, die um einen vom Löschungsbegehren betroffenen Datensatz reduzierte Eintragung in ihrer Datei zu belassen, besteht daher - entgegen den Ausführungen des Beschwerdeführers selbst nach Ansicht des Obersten Gerichtshofs - für die mitbeteiligte Partei nicht (siehe dazu nochmals ausdrücklich OGH, 1.10.2018, Rn 5). Auch können mangels dieser gesetzlich angeordneten Verpflichtung zur Datenverarbeitung im Falle einer Nichtverarbeitung keine - über bloße Vermutungen hinausgehenden - geeigneten Rückschlüsse zur Person des Beschwerdeführers (und seiner Kreditwürdigkeit) gezogen werden. Die insofern allfällige bloße spekulative Annahme Dritter, dass der Beschwerdeführer bei Nichtverarbeitung durch die mitbeteiligte Partei kreditunwürdig sei, kann dementsprechend keinesfalls mit einer Verarbeitung personenbezogener Daten durch die mitbeteiligte Partei gleichgesetzt werden.

Da das Grundrecht auf Datenschutz aber - wie oben ausgeführt - allein auf die Verarbeitung personenbezogener Daten abstellt, kann der Beschwerdeführer durch die gegenständliche Löschung schon allein aus diesem Grund nicht in seinem Recht auf Datenschutz und damit in weiterer Folge - wie selbst von der belangten Behörde in ihrer Gegenschrift zugestanden - schon gar nicht in seinem davon abgeleiteten Recht auf Löschung und auf Richtigstellung (Vervollständigung) verletzt sein.

Da sohin im vorliegenden Fall - entgegen der Ansicht der belangten Behörde - insgesamt eine Rechtsverletzung des Beschwerdeführers durch die mitbeteiligte Partei nicht erkennbar ist, war spruchgemäß zu entscheiden. Eine nähere Auseinandersetzung über einen (auf eine Rechtsverletzung gestützten) Leistungsauftrag konnte bei diesem Ergebnis unterbleiben.

Lediglich der Vollständigkeit halber ist abschließend anzumerken, dass ein - wie oben ausgeführt - vorab an die mitbeteiligte Partei zwingend zu richtendes Begehren des Beschwerdeführers auf Richtigstellung im Verfahren im Übrigen auch nicht hervorgekommen ist. Dem diesbezüglich vom Beschwerdeführer vorgelegten, erst nach Beschwerdeerhebung an die mitbeteiligte Partei gerichtetem Schreiben vom 30. Juli 2018 kann jedenfalls lediglich eine Anfrage über eine Datenverarbeitung und nicht - wie vom Beschwerdeführer behauptet - ein Begehren auf Wiederherstellung entnommen werden ("Ich bitte daher um schriftliche Bestätigung, dass meine Generaldaten, wie Meldeadresse und Geburtsdatum, sofern diese aktuell gehalten werden, bei ihnen abrufbar sind!"). Dass der Beschwerdeführer ansonsten vor Beschwerdeerhebung in diesem Zusammenhang an die mitbeteiligte Partei herangetreten wäre, ist im Verfahren nicht hervorgekommen und wurde dies vom Beschwerdeführer - trotz Verbesserungsauftrag von Seiten der belangten Behörde - auch gar nicht behauptet.

zum Entfall einer mündlichen Verhandlung:

Gemäß § 24 Abs 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Gemäß § 24 Abs 4 VwGVG kann - soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist - das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art 6 Abs 1 EMRK noch Art 47 GRC entgegenstehen.

Im gegenständlichen Fall konnte das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage - wie in der Beweiswürdigung näher dargestellt - geklärt war, weshalb die Durchführung einer öffentlichen mündlichen Verhandlung - wie "allenfalls" beantragt - zur weiteren Klärung des Sachverhaltes nicht beitragen und damit unterbleiben konnte.

zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art 133 Abs 4 zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. So fehlt es an höchstgerichtlicher Rechtsprechung zur Frage, ob die Nichtaufnahme einer Person in die Datei einer Kreditauskunftei gemäß § 152 GewO einer Datenverarbeitung über deren Kredit(un)würdigkeit im Sinne des DSG bzw. der DSGVO gleichzusetzen ist.

Es war daher spruchgemäß durch Senat zu entscheiden.