Entscheidungsdatum
23.04.2024Norm
B-VG Art133 Abs4Spruch
W292 2248672-1/5E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Herwig ZACZEK als Vorsitzenden und die fachkundigen Laienrichter, Mag.a Martina CHLESTIL und Mag. René BOGENDORFER als Beisitzer, über die Beschwerde der XXXX , vertreten durch Baker McKenzie Rechtsanwälte LLP & Co KG, gegen die Spruchpunkte 1. und 2. des Bescheides der Datenschutzbehörde vom 15.10.2021, Zl. D124.3813 / 2021-0.516.280 (mitbeteiligte Partei: XXXX , vertreten durch Fritsch, Kollmann, Zauhar & Partner Rechtsanwälte), zu Recht erkannt:Das Bundesverwaltungsgericht hat durch den Richter Mag. Herwig ZACZEK als Vorsitzenden und die fachkundigen Laienrichter, Mag.a Martina CHLESTIL und Mag. René BOGENDORFER als Beisitzer, über die Beschwerde der römisch XXXX , vertreten durch Baker McKenzie Rechtsanwälte LLP & Co KG, gegen die Spruchpunkte 1. und 2. des Bescheides der Datenschutzbehörde vom 15.10.2021, Zl. D124.3813 / 2021-0.516.280 (mitbeteiligte Partei: römisch XXXX , vertreten durch Fritsch, Kollmann, Zauhar & Partner Rechtsanwälte), zu Recht erkannt:
A)
Der Beschwerde wird teilweise Folge gegeben und der angefochtene Bescheid dahingehend abgeändert, dass dessen Spruchpunkte 1. und 2. nunmehr zu lauten haben wie folgt:
„1. Der Beschwerde wird stattgegeben und es wird festgestellt, dass
a) die XXXX (als datenschutzrechtlich Verantwortliche) bei der Verarbeitung personenbezogener Daten des XXXX (als datenschutzrechtlich Betroffener) zum Zweck der Berechnung von Wahrscheinlichkeitsprognosen zu dessen zukünftigem Zahlungsverhalten („Bonitäts-Score“) gegen die Grundsätze für die Verarbeitung personenbezogener Daten der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO verstoßen hat; dies indem die Verantwortliche die Berechnung des Bonitäts-Scores ohne Vorhandensein konkreter Zahlungserfahrungsdaten zum Betroffenen vorgenommen hat und diesen Umstand nicht hinreichend verständlich und transparent im Rahmen der Bonitätsauskunft zum Betroffenen, welche gegenüber der XXXX erteilt wurde, dargelegt hat; a) die römisch XXXX (als datenschutzrechtlich Verantwortliche) bei der Verarbeitung personenbezogener Daten des römisch XXXX (als datenschutzrechtlich Betroffener) zum Zweck der Berechnung von Wahrscheinlichkeitsprognosen zu dessen zukünftigem Zahlungsverhalten („Bonitäts-Score“) gegen die Grundsätze für die Verarbeitung personenbezogener Daten der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz gemäß Artikel 5, Absatz eins, Litera a, DSGVO verstoßen hat; dies indem die Verantwortliche die Berechnung des Bonitäts-Scores ohne Vorhandensein konkreter Zahlungserfahrungsdaten zum Betroffenen vorgenommen hat und diesen Umstand nicht hinreichend verständlich und transparent im Rahmen der Bonitätsauskunft zum Betroffenen, welche gegenüber der römisch XXXX erteilt wurde, dargelegt hat;
b) die Verantwortliche den Betroffenen dadurch im Recht auf Auskunft gemäß Art. 15 DSGVO verletzt hat, indem sie dem Betroffenen bis zum Abschluss des gegenständlichen Verfahrens keine vollständige Auskunft gemäß Art. 15 Abs. 1 lit. h DSGVO erteilt hat.b) die Verantwortliche den Betroffenen dadurch im Recht auf Auskunft gemäß Artikel 15, DSGVO verletzt hat, indem sie dem Betroffenen bis zum Abschluss des gegenständlichen Verfahrens keine vollständige Auskunft gemäß Artikel 15, Absatz eins, Litera h, DSGVO erteilt hat.
2. Die Verantwortliche wird gemäß Art. 58 Abs. 2 lit. c DSGVO angewiesen, dem Betroffenen innerhalb einer Frist von acht Wochen bei sonstiger Exekution eine Auskunft im Umfang von Spruchpunkt 1. b) zu erteilen.“ 2. Die Verantwortliche wird gemäß Artikel 58, Absatz 2, Litera c, DSGVO angewiesen, dem Betroffenen innerhalb einer Frist von acht Wochen bei sonstiger Exekution eine Auskunft im Umfang von Spruchpunkt 1. b) zu erteilen.“
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
I.1. Die mitbeteiligte Partei, XXXX , brachte in seiner verfahrenseinleitenden Datenschutzbeschwerde vom 04.10.2021 an die Datenschutzbehörde (belangte Behörde) zusammengefasst vor, er erachte sich durch die XXXX (Beschwerdeführerin im verwaltungsgerichtlichen Verfahren) in seinem Recht auf Auskunft nach Art. 15 iVm Art. 12 DSGVO, im Recht auf Datenrichtigkeit nach Art. 5 Abs. 1 lit. d DSGVO, hinsichtlich des „Transparenzprinzips“ und des Prinzips der Verarbeitung nach „Treu und Glauben“ gemäß Art. 5 Abs. 1 lit. a DSGVO, im Recht auf Information gemäß Art. 14 iVm Art. 12 DSGVO sowie im Recht nicht einer automatisierten Entscheidung im Einzelfall einschließlich Profiling gemäß Art. 22 DSGVO unterworfen zu werden, verletzt. Konkret habe die XXXX im Rahmen deren gewerblicher Tätigkeit als Kreditauskunftei einer ihrer Vertragspartner, der XXXX , auf deren Anfrage hin Informationen zur (wahrscheinlichen) Bonität der mitbeteiligten Partei in Form eines Scoring-Wertes übermittelt. Die solcherart erteilte Auskunft sei jedoch unzureichend geblieben, da die Verantwortliche der mitbeteiligten Partei und Betroffenen lediglich einen „mittleren“ Bonitätswert zugeschrieben habe, obwohl keine Informationen zum Betroffenen vorlägen, die dies sachlich begründen könnten. Hinzu komme, dass die Daten ohne Wissen der mitbeteiligten Partei verarbeitet worden seien, weshalb Art. 5 Abs. 1 lit. a DSGVO verletzt worden sei. Die Beschwerdeführerin hätte die mitbeteiligte Partei überdies gemäß Art. 14 Abs. 1 DSGVO informieren müssen. Außerdem sei die Bonitätsauskunft zum Betroffenen als Entscheidung gemäß Art. 22 Abs. 1 DSGVO zu qualifizieren, da davon auszugehen sei, dass die Berechnung mittels rein automatisierter Verarbeitung erfolgt sei. römisch eins.1. Die mitbeteiligte Partei, römisch XXXX , brachte in seiner verfahrenseinleitenden Datenschutzbeschwerde vom 04.10.2021 an die Datenschutzbehörde (belangte Behörde) zusammengefasst vor, er erachte sich durch die römisch XXXX (Beschwerdeführerin im verwaltungsgerichtlichen Verfahren) in seinem Recht auf Auskunft nach Artikel 15, in Verbindung mit Artikel 12, DSGVO, im Recht auf Datenrichtigkeit nach Artikel 5, Absatz eins, Litera d, DSGVO, hinsichtlich des „Transparenzprinzips“ und des Prinzips der Verarbeitung nach „Treu und Glauben“ gemäß Artikel 5, Absatz eins, Litera a, DSGVO, im Recht auf Information gemäß Artikel 14, in Verbindung mit Artikel 12, DSGVO sowie im Recht nicht einer automatisierten Entscheidung im Einzelfall einschließlich Profiling gemäß Artikel 22, DSGVO unterworfen zu werden, verletzt. Konkret habe die römisch XXXX im Rahmen deren gewerblicher Tätigkeit als Kreditauskunftei einer ihrer Vertragspartner, der römisch XXXX , auf deren Anfrage hin Informationen zur (wahrscheinlichen) Bonität der mitbeteiligten Partei in Form eines Scoring-Wertes übermittelt. Die solcherart erteilte Auskunft sei jedoch unzureichend geblieben, da die Verantwortliche der mitbeteiligten Partei und Betroffenen lediglich einen „mittleren“ Bonitätswert zugeschrieben habe, obwohl keine Informationen zum Betroffenen vorlägen, die dies sachlich begründen könnten. Hinzu komme, dass die Daten ohne Wissen der mitbeteiligten Partei verarbeitet worden seien, weshalb Artikel 5, Absatz eins, Litera a, DSGVO verletzt worden sei. Die Beschwerdeführerin hätte die mitbeteiligte Partei überdies gemäß Artikel 14, Absatz eins, DSGVO informieren müssen. Außerdem sei die Bonitätsauskunft zum Betroffenen als Entscheidung gemäß Artikel 22, Absatz eins, DSGVO zu qualifizieren, da davon auszugehen sei, dass die Berechnung mittels rein automatisierter Verarbeitung erfolgt sei.
I.2. Mit dem angefochtenen Bescheid der belangten Behörde vom 15.10.2021, Zl. D124.3813 / 2021-05.16.280, gab diese der Datenschutzbeschwerde der mitbeteiligten Partei wegen 1. Verletzung der Grundsätze der Datenverarbeitung, 2. Verletzung im Recht auf Geheimhaltung, 3. Verletzung im Recht auf Auskunft, 4. Verletzung im Recht auf Information und 5. Verletzung im Recht nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht und 6. den Anträgen auf Verhängung eines Verarbeitungsverbotes und einer Geldstrafe teilweise statt und stellte fest, dass die Beschwerdeführerin bei der Verarbeitung der Daten der mitbeteiligten Partei zur Berechnung der Wahrscheinlichkeitsaussage über dessen zukünftiges Zahlungsverhalten (Bonitätsscore) gegen den Grundsatz der Rechtmäßigkeit und den Grundsatz der Verarbeitung nach Treu und Glauben verstoßen habe, da sie diese Berechnung ohne Vorhandensein von konkreten Zahlungserfahrungsdaten zur Person der mitbeteiligten Partei durchgeführt und diesen Umstand nicht hinreichend verständlich auf dem Bonitätsauszug der mitbeteiligten Partei gegenüber der XXXX angeführt habe (Spruchpunkt 1.a)). römisch eins.2. Mit dem angefochtenen Bescheid der belangten Behörde vom 15.10.2021, Zl. D124.3813 / 2021-05.16.280, gab diese der Datenschutzbeschwerde der mitbeteiligten Partei wegen 1. Verletzung der Grundsätze der Datenverarbeitung, 2. Verletzung im Recht auf Geheimhaltung, 3. Verletzung im Recht auf Auskunft, 4. Verletzung im Recht auf Information und 5. Verletzung im Recht nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht und 6. den Anträgen auf Verhängung eines Verarbeitungsverbotes und einer Geldstrafe teilweise statt und stellte fest, dass die Beschwerdeführerin bei der Verarbeitung der Daten der mitbeteiligten Partei zur Berechnung der Wahrscheinlichkeitsaussage über dessen zukünftiges Zahlungsverhalten (Bonitätsscore) gegen den Grundsatz der Rechtmäßigkeit und den Grundsatz der Verarbeitung nach Treu und Glauben verstoßen habe, da sie diese Berechnung ohne Vorhandensein von konkreten Zahlungserfahrungsdaten zur Person der mitbeteiligten Partei durchgeführt und diesen Umstand nicht hinreichend verständlich auf dem Bonitätsauszug der mitbeteiligten Partei gegenüber der römisch XXXX angeführt habe (Spruchpunkt 1.a)).
Die belangte Behörde stellte zudem fest, dass die mitbeteiligte Partei bei der in Spruchpunkt 1.a) genannten Verarbeitung der Daten der mitbeteiligten Partei gegen den Grundsatz der Transparenz verstoßen habe, da diese nicht verständlich dargestellt habe, ob sie die personenbezogenen Daten der mitbeteiligten Partei, die sie zum Zweck der Ausübung des Gewerbes der Auskunftei über Kreditverhältnisse verarbeite, auch zum Zweck der Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen und des Gewerbes für Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik weiterverarbeite (Spruchpunkt 1.b)).
Die belangte Behörde stellte außerdem fest, dass die Beschwerdeführerin die mitbeteiligte Partei dadurch im Recht auf Geheimhaltung verletzt habe, indem sie die Daten der mitbeteiligten Partei unrechtmäßig verarbeitet habe (Spruchpunkt 1.c)) und dass die Beschwerdeführerin die mitbeteiligte Partei dadurch im Recht auf Auskunft verletzt habe, da sie dieser bis zum Abschluss des gegenständlichen Verfahrens keine Auskunft gemäß Art. 15 Abs. 1 lit. h DSGVO erteilt habe (Spruchpunkt 1.d)).Die belangte Behörde stellte außerdem fest, dass die Beschwerdeführerin die mitbeteiligte Partei dadurch im Recht auf Geheimhaltung verletzt habe, indem sie die Daten der mitbeteiligten Partei unrechtmäßig verarbeitet habe (Spruchpunkt 1.c)) und dass die Beschwerdeführerin die mitbeteiligte Partei dadurch im Recht auf Auskunft verletzt habe, da sie dieser bis zum Abschluss des gegenständlichen Verfahrens keine Auskunft gemäß Artikel 15, Absatz eins, Litera h, DSGVO erteilt habe (Spruchpunkt 1.d)).
Die Beschwerdeführerin wurde von der belangten Behörde angewiesen, der mitbeteiligten Partei innerhalb einer Frist von acht Wochen bei sonstiger Exekution dahingehende Informationen zur Verfügung zu stellen, ob beabsichtigt werde, die personenbezogenen Daten der mitbeteiligten Partei neben der Verarbeitung zum Zwecke der Ausübung des Gewerbes der Auskunftei über Kreditverhältnisse für Zwecke der Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen und des Gewerbes für Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik weiterzuverarbeiten (Spruchpunkt 2.a)) sowie eine Auskunft im Umfang von Spruchpunkt 1.d) zu erteilen (Spruchpunkt 2.b)) .
Im Übrigen wies sie die Beschwerde ab (Spruchpunkt 3.).
Die Anträge auf Verhängung eines Verarbeitungsverbots und auf Verhängung einer Geldbuße wies die belangte Behörde zurück (Spruchpunkt 4.).
I.3. Gegen Spruchpunkte 1. und 2. des oben bezeichneten Bescheides der Datenschutzbehörde richtet sich die am 15.11.2021 erhobene Beschwerde. römisch eins.3. Gegen Spruchpunkte 1. und 2. des oben bezeichneten Bescheides der Datenschutzbehörde richtet sich die am 15.11.2021 erhobene Beschwerde.
I.4. Die belangte Behörde hat die gegenständliche Beschwerde samt den Bezug habenden Verwaltungsakten dem Bundesverwaltungsgericht (in der Folge auch „BVwG“) mit Aktenvorlage vom 23.11.2021 vorgelegt.römisch eins.4. Die belangte Behörde hat die gegenständliche Beschwerde samt den Bezug habenden Verwaltungsakten dem Bundesverwaltungsgericht (in der Folge auch „BVwG“) mit Aktenvorlage vom 23.11.2021 vorgelegt.
I.5. Die gegenständliche Rechtssache wurde der vormals zuständigen Gerichtsabteilung mit Verfügung des Geschäftsverteilungsausschusses mit Wirksamkeit vom 06.10.2022 abgenommen und der Gerichtsabteilung W292 neu zugewiesen. römisch eins.5. Die gegenständliche Rechtssache wurde der vormals zuständigen Gerichtsabteilung mit Verfügung des Geschäftsverteilungsausschusses mit Wirksamkeit vom 06.10.2022 abgenommen und der Gerichtsabteilung W292 neu zugewiesen.
II. Das Bundesverwaltungsgericht hat erwogen:römisch II. Das Bundesverwaltungsgericht hat erwogen:
II.1. Feststellungen:römisch II.1. Feststellungen:
II.1.1. Zur Beschwerdeführerinrömisch II.1.1. Zur Beschwerdeführerin
Die Beschwerdeführerin besitzt eine Gewerbeberechtigung für die Tätigkeit „Auskunftei über Kreditverhältnisse“ gemäß § 152 GewO 1994. Sie erteilt im Rahmen ihrer gewerbsmäßigen Tätigkeit Bonitätsauskünfte zu natürlichen Personen an ihre Vertragspartner, darunter u.a. Handelsunternehmen, Telekommunikationsanbieter und Energieversorger. Die Beschwerdeführerin besitzt eine Gewerbeberechtigung für die Tätigkeit „Auskunftei über Kreditverhältnisse“ gemäß Paragraph 152, GewO 1994. Sie erteilt im Rahmen ihrer gewerbsmäßigen Tätigkeit Bonitätsauskünfte zu natürlichen Personen an ihre Vertragspartner, darunter u.a. Handelsunternehmen, Telekommunikationsanbieter und Energieversorger.
II.1.2. Zur XXXX römisch II.1.2. Zur römisch XXXX
Die mitbeteiligte Partei führte im September / Oktober 2020 mittels Antragsformular eine Bestellung für einen Energielieferungsvertrag bei dem Energieversorger XXXX durch. Die mitbeteiligte Partei führte im September / Oktober 2020 mittels Antragsformular eine Bestellung für einen Energielieferungsvertrag bei dem Energieversorger römisch XXXX durch.
Mit Schreiben vom 01.10.2020 wurde der mitbeteiligten Partei seitens der XXXX mitgeteilt, dass die Bestellung aufgrund eines nicht ausreichenden Bonitäts-Checks storniert wurde. Mit Schreiben vom 01.10.2020 wurde der mitbeteiligten Partei seitens der römisch XXXX mitgeteilt, dass die Bestellung aufgrund eines nicht ausreichenden Bonitäts-Checks storniert wurde.
II.1.3. Zum Vertragsverhältnis der Beschwerdeführerin mit der XXXX römisch II.1.3. Zum Vertragsverhältnis der Beschwerdeführerin mit der römisch XXXX
Zwischen der Beschwerdeführerin und der XXXX bestand von 30.06.2017 bis zum 30.06.2021 ein Vertragsverhältnis zur Bereitstellung von Bonitätsauskünften betreffend potenzieller Kunden der XXXX GmbH. Zwischen der Beschwerdeführerin und der römisch XXXX bestand von 30.06.2017 bis zum 30.06.2021 ein Vertragsverhältnis zur Bereitstellung von Bonitätsauskünften betreffend potenzieller Kunden der römisch XXXX GmbH.
II.1.4. Zum Auskunftsersuchen an die Beschwerdeführerin vom 07.10.2020römisch II.1.4. Zum Auskunftsersuchen an die Beschwerdeführerin vom 07.10.2020
Die mitbeteiligte Partei stellte am 07.10.2020 einen Antrag auf Auskunft im Sinne von Art. 15 DSGVO an die Beschwerdeführerin. Die mitbeteiligte Partei stellte am 07.10.2020 einen Antrag auf Auskunft im Sinne von Artikel 15, DSGVO an die Beschwerdeführerin.
II.1.5. Zum Antwortschreiben der Beschwerdeführerin vom 08.10.2020römisch II.1.5. Zum Antwortschreiben der Beschwerdeführerin vom 08.10.2020
Mit Schreiben vom 08.10.2020 teilte die Beschwerdeführerin der mitbeteiligten Partei bezugnehmend auf das datenschutzrechtliche Auskunftsersuchen vom 07.10.2020 mit, welche personenbezogenen Daten, nämlich ihr Name und ihre Adresse, zu ihrer Person gespeichert wurden. Zudem wurde angeführt, dass die XXXX am 01.10.2020 eine Bonitätsanfrage zur Person der mitbeteiligten Partei an die XXXX (Beschwerdeführerin) getätigt hat. Mit Schreiben vom 08.10.2020 teilte die Beschwerdeführerin der mitbeteiligten Partei bezugnehmend auf das datenschutzrechtliche Auskunftsersuchen vom 07.10.2020 mit, welche personenbezogenen Daten, nämlich ihr Name und ihre Adresse, zu ihrer Person gespeichert wurden. Zudem wurde angeführt, dass die römisch XXXX am 01.10.2020 eine Bonitätsanfrage zur Person der mitbeteiligten Partei an die römisch XXXX (Beschwerdeführerin) getätigt hat.
II.1.6. Zum Auskunftsersuchen an die Beschwerdeführerin vom 07.01.2021römisch II.1.6. Zum Auskunftsersuchen an die Beschwerdeführerin vom 07.01.2021
Mit Schreiben vom 07.01.2021 forderte die mitbeteiligte Partei die Beschwerdeführerin erneut auf, ihrer Auskunftsverpflichtung ordnungsgemäß nachzukommen.
II.1.7. Zum Antwortschreiben der Beschwerdeführerin vom 13.01.2021römisch II.1.7. Zum Antwortschreiben der Beschwerdeführerin vom 13.01.2021
Am 13.01.2021 übermittelte die Beschwerdeführerin ein Schreiben an die mitbeteiligte Partei, in welchem sie im Wesentlichen darauf hinwies, dass hinsichtlich des Zustandekommens der an Kunden der mitbeteiligten Partei übermittelten Risikowerte kein Auskunftsrecht im Sinne von Art. 15 DSGVO bestünde und die Parameter und Methoden anhand derer sich ein Risikowert errechne, als Geschäftsgeheimnis der Beschwerdeführerin zu qualifizieren seien. Am 13.01.2021 übermittelte die Beschwerdeführerin ein Schreiben an die mitbeteiligte Partei, in welchem sie im Wesentlichen darauf hinwies, dass hinsichtlich des Zustandekommens der an Kunden der mitbeteiligten Partei übermittelten Risikowerte kein Auskunftsrecht im Sinne von Artikel 15, DSGVO bestünde und die Parameter und Methoden anhand derer sich ein Risikowert errechne, als Geschäftsgeheimnis der Beschwerdeführerin zu qualifizieren seien.
II.1.8. Zur Datenschutzbeschwerde der mitbeteiligten Partei römisch II.1.8. Zur Datenschutzbeschwerde der mitbeteiligten Partei
Die mitbeteiligte Partei hat am 17.03.2021 eine Datenschutzbeschwerde gegen die Beschwerdeführerin bei der Datenschutzbehörde eingebracht.
II.1.9. Zur Stellungnahme sowie Auskunftserteilung der Beschwerdeführerin vom 28.04.2021 römisch II.1.9. Zur Stellungnahme sowie Auskunftserteilung der Beschwerdeführerin vom 28.04.2021
Mit Schreiben vom 28.04.2021 informierte die Beschwerdeführerin die mitbeteiligte Partei darüber, dass keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO erfolge und daher auch kein Anspruch auf Auskunft gemäß Art. 15 Abs. 1 lit. h DSGVO bestehe. Die Beschwerdeführerin verwies zudem erneut darauf, dass die von der mitbeteiligten Partei begehrten Informationen als Geschäftsgeheimnisse zu qualifizieren seien. Mit Schreiben vom 28.04.2021 informierte die Beschwerdeführerin die mitbeteiligte Partei darüber, dass keine automatisierte Entscheidungsfindung im Sinne des Artikel 22, DSGVO erfolge und daher auch kein Anspruch auf Auskunft gemäß Artikel 15, Absatz eins, Litera h, DSGVO bestehe. Die Beschwerdeführerin verwies zudem erneut darauf, dass die von der mitbeteiligten Partei begehrten Informationen als Geschäftsgeheimnisse zu qualifizieren seien.
Die Beschwerdeführerin übermittelte einen aktuellen Datenauszug an die mitbeteiligte Partei, in dem die personenbezogenen Daten, welche zu der mitbeteiligten Partei bei ihr gespeichert sind, sowie die Unternehmen, an die Bonitätsdaten zur Person der mitbeteiligten Partei übermittelt wurden, und der an diese bekannt gegebene Wert angeführt waren.
Festgehalten wurde von der Beschwerdeführerin, dass sich ihre Empfehlung [gemeint: an die anfragenden Unternehmen] insbesondere aufgrund der Parameter „qualifizierte Zahlungsausfälle (Inkassoeinträge, Insolvenz etc.), Alter und Wohnort“ berechne.
II.1.10. Zum errechneten Bonitätsscorerömisch II.1.10. Zum errechneten Bonitätsscore
Betreffend die mitbeteiligte Partei wurde von der XXXX (Beschwerdeführerin) ein „mittlerer“ Bonitäts-Score von 550-574 an die XXXX übermittelt. Bezogen auf die mitbeteiligte Partei lagen zur Ermittlung des Bonitäts-Scores im System der Beschwerdeführerin keine negativen Zahlungserfahrungsdaten vor. Betreffend die mitbeteiligte Partei wurde von der römisch XXXX (Beschwerdeführerin) ein „mittlerer“ Bonitäts-Score von 550-574 an die römisch XXXX übermittelt. Bezogen auf die mitbeteiligte Partei lagen zur Ermittlung des Bonitäts-Scores im System der Beschwerdeführerin keine negativen Zahlungserfahrungsdaten vor.
II.1.11. Zum automatisierten Profiling der Beschwerdeführerin römisch II.1.11. Zum automatisierten Profiling der Beschwerdeführerin
Festgestellt wird, dass die Empfehlung der Beschwerdeführerin betreffend die Zahlungsfähigkeit und Zahlungswilligkeit aufgrund der statistischen Wahrscheinlichkeit der Parameter qualifizierte Zahlungsausfälle (also Inkassoeinträge, Insolvenz etc), Alter und Wohnort der betroffenen Person errechnet wird.
Die Daten werden von der Beschwerdeführerin aus öffentlich verfügbaren Quellen, Daten von Adressverlagen und Informationen zu Zahlungserfahrungen, die von Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt werden, gesammelt. Die weitere Verarbeitung erfolgt elektronisch.
II.1.12. Zu den Verarbeitungszwecken der Beschwerdeführerin: römisch II.1.12. Zu den Verarbeitungszwecken der Beschwerdeführerin:
Die Daten werden von der Beschwerdeführerin zum Zweck der Ausübung der Gewerbe nach § 151 (Adressverlage und Direktmarketingunternehmen), § 152 (Auskunfteien über Kreditverhältnisse) und § 153 (Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik) Gewerbeordnung 1994 (GewO) zur Weitergabe an den Empfängerkreis der kreditgebenden Wirtschaft gespeichert.Die Daten werden von der Beschwerdeführerin zum Zweck der Ausübung der Gewerbe nach Paragraph 151, (Adressverlage und Direktmarketingunternehmen), Paragraph 152, (Auskunfteien über Kreditverhältnisse) und Paragraph 153, (Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik) Gewerbeordnung 1994 (GewO) zur Weitergabe an den Empfängerkreis der kreditgebenden Wirtschaft gespeichert.
II.2. Beweiswürdigung:römisch II.2. Beweiswürdigung:
Die getroffenen Feststellungen konnten aufgrund der unbedenklichen Aktenlage ergehen. Dazu im Einzelnen:
II.2.1. Zu II.1.1. (Zur Beschwerdeführerin):römisch II.2.1. Zu römisch II.1.1. (Zur Beschwerdeführerin):
Die Feststellung, wonach die Beschwerdeführerin eine Gewerbeberechtigung für die Tätigkeit „Auskunftei über Kreditverhältnisse“ gemäß § 152 GewO 1994 besitzt und im Rahmen dessen Bonitätsauskünfte an ihre Vertragspartner erteilt, folgt aus der diesbezüglich unbedenklichen Aktenlage und dem Internetauftritt der Beschwerdeführerin.Die Feststellung, wonach die Beschwerdeführerin eine Gewerbeberechtigung für die Tätigkeit „Auskunftei über Kreditverhältnisse“ gemäß Paragraph 152, GewO 1994 besitzt und im Rahmen dessen Bonitätsauskünfte an ihre Vertragspartner erteilt, folgt aus der diesbezüglich unbedenklichen Aktenlage und dem Internetauftritt der Beschwerdeführerin.
II.2.2. Zu II.1.2. (Zur XXXX ): römisch II.2.2. Zu römisch II.1.2. (Zur römisch XXXX ):
Dass die mitbeteiligte Partei im September / Oktober 2020 eine Bestellung für einen Energielieferungsvertrag bei dem Energieversorger XXXX durchführte, diese jedoch mit Schreiben der XXXX vom 01.10.2020 storniert wurde, ergibt sich insbesondere aus den Angaben der Parteien im Verfahren vor der belangten Behörde in Zusammenschau mit dem betreffenden Schreiben der XXXX vom 01.10.2020, aus welchem hervorgeht, dass die Bestellung der mitbeteiligten Partei wegen eines nicht ausreichenden „Bonitäts-Checks“ storniert wurde. Dass die mitbeteiligte Partei im September / Oktober 2020 eine Bestellung für einen Energielieferungsvertrag bei dem Energieversorger römisch XXXX durchführte, diese jedoch mit Schreiben der römisch XXXX vom 01.10.2020 storniert wurde, ergibt sich insbesondere aus den Angaben der Parteien im Verfahren vor der belangten Behörde in Zusammenschau mit dem betreffenden Schreiben der römisch XXXX vom 01.10.2020, aus welchem hervorgeht, dass die Bestellung der mitbeteiligten Partei wegen eines nicht ausreichenden „Bonitäts-Checks“ storniert wurde.
II.2.3. Zu II.1.3. (Zum Vertragsverhältnis der Beschwerdeführerin mit der XXXX ):römisch II.2.3. Zu römisch II.1.3. (Zum Vertragsverhältnis der Beschwerdeführerin mit der römisch XXXX ):
Dass zwischen der Beschwerdeführerin und der XXXX von 30.06.2017 bis zum 30.06.2021 ein Vertragsverhältnis bestand, ergibt sich aus dem Vorbringen der Beschwerdeführerin im Verfahren vor der belangten Behörde, insbesondere aus dem Schreiben der Beschwerdeführerin an die XXXX vom 21.10.2020, mit dem diese unter Bezugnahme auf die AGB des Vertrages vom 30.06.2017 mitteilte, das Vertragsverhältnis per 30.06.2021 aufzukündigen. Dass zwischen der Beschwerdeführerin und der römisch XXXX von 30.06.2017 bis zum 30.06.2021 ein Vertragsverhältnis bestand, ergibt sich aus dem Vorbringen der Beschwerdeführerin im Verfahren vor der belangten Behörde, insbesondere aus dem Schreiben der Beschwerdeführerin an die römisch XXXX vom 21.10.2020, mit dem diese unter Bezugnahme auf die AGB des Vertrages vom 30.06.2017 mitteilte, das Vertragsverhältnis per 30.06.2021 aufzukündigen.
II.2.4. Zu II.1.4. (Zum datenschutzrechtlichen Auskunftsersuchen der mitbeteiligten Partei an die Beschwerdeführerin vom 07.10.2020):römisch II.2.4. Zu römisch II.1.4. (Zum datenschutzrechtlichen Auskunftsersuchen der mitbeteiligten Partei an die Beschwerdeführerin vom 07.10.2020):
Dass die mitbeteiligte Partei am 07.10.2020 einen Antrag auf Auskunft an die Beschwerdeführerin richtete, folgt zweifellos aus dem diesbezüglichen Schreiben der mitbeteiligten Partei an die Beschwerdeführerin.
II.2.5. Zu II.1.5. (Zum Antwortschreiben der Beschwerdeführerin vom 08.10.2020 an die mitbeteiligte Partei):römisch II.2.5. Zu römisch II.1.5. (Zum Antwortschreiben der Beschwerdeführerin vom 08.10.2020 an die mitbeteiligte Partei):
Die diesbezüglichen Feststellungen konnten aufgrund des Schreibens vom 08.10.2020 getroffen werden.
II.2.6. Zu II.1.6. (Zum datenschutzrechtlichen Auskunftsersuchen an die Beschwerdeführerin vom 07.01.2021):römisch II.2.6. Zu römisch II.1.6. (Zum datenschutzrechtlichen Auskunftsersuchen an die Beschwerdeführerin vom 07.01.2021):
Die diesbezüglichen Feststellungen konnten aufgrund des im Verwaltungsakt enthaltenen Schreibens vom 07.01.2021 getroffen werden.
II.2.7. Zu II.1.7. (Zum Antwortschreiben der Beschwerdeführerin vom 13.01.2021):römisch II.2.7. Zu römisch II.1.7. (Zum Antwortschreiben der Beschwerdeführerin vom 13.01.2021):
Die Feststellungen konnten aufgrund des Schreibens an die mitbeteiligte Partei vom 13.01.2021 getroffen werden.
II.2.8. Zu II.1.8. (Zur Datenschutzbeschwerde der mitbeteiligten Partei)römisch II.2.8. Zu römisch II.1.8. (Zur Datenschutzbeschwerde der mitbeteiligten Partei)
Dass die mitbeteiligte Partei am 17.03.2021 eine Datenschutzbeschwerde gegen die Beschwerdeführerin bei der Datenschutzbehörde eingebracht hat, war aufgrund der Aktenlage unstrittig.
II.2.9. Zu II.1.9. (Zur Stellungnahme sowie Auskunftserteilung der Beschwerdeführerin vom 28.04.2021)römisch II.2.9. Zu römisch II.1.9. (Zur Stellungnahme sowie Auskunftserteilung der Beschwerdeführerin vom 28.04.2021)
Die diesbezüglichen Feststellungen ergingen aufgrund des Schreibens der Beschwerdeführerin vom 28.04.2021.
II.2.10. Zu II.1.10. (Zum errechneten Bonitätsscore)römisch II.2.10. Zu römisch II.1.10. (Zum errechneten Bonitätsscore)
Dass betreffend die mitbeteiligte Partei von der Beschwerdeführerin ein „mittlerer“ Bonitätswert von 550-574 [Punkten im System der Beschwerdeführerin] an die XXXX übermittelt wurde, ohne, dass für die Errechnung des Wertes auch konkrete negative Zahlungserfahrungsdaten vorlagen oder einbezogen worden wären, geht aus den übereinstimmenden Angaben der mitbeteiligten Partei sowie der Beschwerdeführerin im Verfahren vor der belangten Behörde hervor und war insofern unstrittig. Dass betreffend die mitbeteiligte Partei von der Beschwerdeführerin ein „mittlerer“ Bonitätswert von 550-574 [Punkten im System der Beschwerdeführerin] an die römisch XXXX übermittelt wurde, ohne, dass für die Errechnung des Wertes auch konkrete negative Zahlungserfahrungsdaten vorlagen oder einbezogen worden wären, geht aus den übereinstimmenden Angaben der mitbeteiligten Partei sowie der Beschwerdeführerin im Verfahren vor der belangten Behörde hervor und war insofern unstrittig.
II.2.11. Zu II.1.11. (Zum automatisierten Profiling der Beschwerdeführerin):römisch II.2.11. Zu römisch II.1.11. (Zum automatisierten Profiling der Beschwerdeführerin):
Die Feststellungen hinsichtlich der Berechnung des Bonitätsscores durch die Beschwerdeführerin, die Herkunft der Daten sowie zum Umstand, dass diese elektronisch verarbeitet werden, konnten aufgrund deren eigenen Angaben getroffen werden, insbesondere auf Basis der Ausführungen in der Stellungnahme vom 28.04.2021 im Verfahren vor der belangten Behörde, in der die Beschwerdeführerin angab, ihre Empfehlungen betreffend die Zahlungsfähigkeit und Zahlungswilligkeit bestimmter natürlicher Personen werden aufgrund statistischer Wahrscheinlichkeiten, insbesondere der Parameter qualifizierte Zahlungsausfälle (Inkassoeinträge, Insolvenz etc.), Alter und Wohnort der betroffenen Person, errechnet.
II.2.12. Zu II.1.12. (Zu den Verarbeitungszwecken der Beschwerdeführerin): römisch II.2.12. Zu römisch II.1.12. (Zu den Verarbeitungszwecken der Beschwerdeführerin):
Dass die Daten von der Beschwerdeführerin zum Zweck der Ausübung der Gewerbe nach § 151 (Adressverlage und Direktmarketingunternehmen), § 152 (Auskunfteien über Kreditverhältnisse) und § 153 (Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik) Gewerbeordnung 1994 (GewO) zur Weitergabe an den Empfängerkreis der kreditgebenden Wirtschaft gespeichert werden, ergibt sich aus der Stellungnahme der Beschwerdeführerin vom 08.10.2020 sowie aus jener vom 28.04.2021. Aus der vorgelegten Datenschutzerklärung geht ebenfalls hervor, dass die Daten der Beschwerdeführerin zur Ausübung des Gewerbes der Auskunftei über Kreditverhältnisse gemäß § 152 Gewerbeordnung 1994 sowie des Adressverlags gemäß § 151 Gewerbeordnung 1994 verwendet werden. Dass die Daten von der Beschwerdeführerin zum Zweck der Ausübung der Gewerbe nach Paragraph 151, (Adressverlage und Direktmarketingunternehmen), Paragraph 152, (Auskunfteien über Kreditverhältnisse) und Paragraph 153, (Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik) Gewerbeordnung 1994 (GewO) zur Weitergabe an den Empfängerkreis der kreditgebenden Wirtschaft gespeichert werden, ergibt sich aus der Stellungnahme der Beschwerdeführerin vom 08.10.2020 sowie aus jener vom 28.04.2021. Aus der vorgelegten Datenschutzerklärung geht ebenfalls hervor, dass die Daten der Beschwerdeführerin zur Ausübung des Gewerbes der Auskunftei über Kreditverhältnisse gemäß Paragraph 152, Gewerbeordnung 1994 sowie des Adressverlags gemäß Paragraph 151, Gewerbeordnung 1994 verwendet werden.
II.3. Rechtliche Beurteilung:römisch II.3. Rechtliche Beurteilung:
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Da es sich beim Beschwerdegegenstand um einen Bescheid der Datenschutzbehörde handelt, liegt gemäß § 27 DSG Senatszuständigkeit vor. Da es sich beim Beschwerdegegenstand um einen Bescheid der Datenschutzbehörde handelt, liegt gemäß Paragraph 27, DSG Senatszuständigkeit vor.
II.3.1. Zu Spruchpunkt A) – Abänderung der Spruchpunkte 1 und 2 des angefochtenen Bescheides: römisch II.3.1. Zu Spruchpunkt A) – Abänderung der Spruchpunkte 1 und 2 des angefochtenen Bescheides:
II.3.1.1. Anzuwendendes Recht:römisch II.3.1.1. Anzuwendendes Recht:
Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) idF BGBl. I Nr. 24/2018, lauten auszugsweise samt Überschrift wie folgt:Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) in der Fassung Bundesgesetzblatt Teil eins, Nr. 24 aus 2018,, lauten auszugsweise samt Überschrift wie folgt:
„Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.Paragraph eins, (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
[…]“
„Beschwerde an die Datenschutzbehörde
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.Paragraph 24, (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen Paragraph eins, oder Artikel 2 1. Hauptstück verstößt.
(2) Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.
[…]“
Die hier maßgebenden Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ABl. L 119 vom 04.05.2016, im Folgenden: DSGVO, lauten auszugsweise samt Überschrift:
„Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
(1) „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
(2) „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
4. "Profiling" jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
…
(7) „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
(10) „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
…
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben
