DSG Art. 2 §24
DSG Art. 2 §45
DSG Art. 2 §69 Abs5
DSGVO Art. 21
DSGVO Art. 5
DSGVO Art. 6
GewO 1994 §152
IO §256
Richtlinie 95/46/EG Datenschutz-RL Art. 7 litf
VwGVG §28 Abs2
European Case Law Identifier: ECLI:AT:BVWG:2019:W258.2216873.1.00
Spruch:
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerden von 1.) XXXX , vertreten durch Rechtsanwalt Dr. Michael-Paul PARUSEL, Stadiongasse 6-8, 1010 Wien, und 2.) XXXX , vertreten durch BLS Rechtsanwälte Boller Langhammer Schubert GmbH, Kärntner Straße 10, 1010 Wien, jeweils gegen den Bescheid der Datenschutzbehörde vom XXXX , GZ XXXX , in nichtöffentlicher Sitzung in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:
Zu 1. und 2.)
A)
Die Beschwerden werden abgewiesen.
B)
Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.
ENTSCHEIDUNGSGRÜNDE:
Verfahrensgegenständlich ist die Frage, ob und wie lange die Zweitbeschwerdeführerin personenbezogene Daten des Erstbeschwerdeführer über seine Bonität, insbesondere über historische Insolvenzverfahren, Zahlungsausfälle und Meldeadressen, verarbeiten darf.
I. Verfahrensgang:
1. Mit Eingabe vom 06.07.2018, über Mangelbehebungsaufträge vom 22.08.2018 und 19.09.2018 verbessert mittels Schreiben vom 06.09.2018 und 08.10.2018, behauptet XXXX ("Erstbeschwerdeführer") eine Verletzung in seinem Recht auf partielle Löschung. Begründend führte er dabei aus, er habe einer weiteren Verwendung seiner Daten durch die XXXX ("Zweitbeschwerdeführerin") gemäß §§ 27 f DSG widersprochen und ihre Löschung beantragt. Die von der Zweitbeschwerdeführerin gespeicherten Daten würden aufgrund ihres Alters und ihrer Unvollständigkeit keine ausreichenden und aktuellen Informationen zur Beurteilung seiner persönlichen Kreditwürdigkeit darstellen. Die Zweitbeschwerdeführerin habe das Löschungsbegehren abgelehnt, weil es die Anforderungen nach Art 17 DSGVO nicht erfüllen würde. Tatsächlich seien die Anforderungen erfüllt.
2. Über Parteiengehör vom 15.10.2018 brachte die Zweitbeschwerdeführerin mit Stellungnahme vom 08.11.2018 zusammengefasst vor, sie betreibe das Gewerbe der Kreditauskunftei, in dessen Rahmen sie Bonitätsauskünfte erteile. Die Verarbeitung der personenbezogenen Daten des Erstbeschwerdeführers sei zur Wahrung der Interessen der Zweitbeschwerdeführerin und von Dritten am Gläubigerschutz erforderlich und geeignet sowie gemäß Art 6 Abs 1 lit b und f DSGVO gerechtfertigt. Der Umstand, dass die verarbeiteten Daten sich teilweise auf die Vergangenheit beziehen würden, begründe für sich allein nicht ihre Unrichtigkeit. Der Datenbank der Zweitbeschwerdeführerin könne entnommen werden, dass die Zahlungsunfähigkeit des Erstbeschwerdeführers in der Vergangenheit gelegen sei. Die Daten würden innerhalb der von der Datenschutzkommission genehmigten Löschfristen gelöscht.
3. Mit Schreiben vom 07.01.2019 replizierte der Erstbeschwerdeführer - unter Verweis auf die Rsp des OGH - im Wesentlichen, dass ein Löschbegehren nicht begründet werden müsse. Weiters dürfe die rechtliche Verankerung des von der Zweitbeschwerdeführerin betriebenen Gewerbes nicht zu einer Schmälerung von Betroffenenrechten führen.
4. Am 09.01.2019 ersuchte die belangte Behörde die Zweitbeschwerdeführerin um Übermittlung eines aktuellen Auszugs aus ihrer Datenbank. Mit Schriftsatz vom 16.01.2019 kam die Zweitbeschwerdeführerin der Aufforderung der belangten Behörde nach.
5. Mit Bescheid vom XXXX wurde der Beschwerde teilweise stattgegeben und festgestellt, dass die Zweitbeschwerdeführerin den Erstbeschwerdeführer dadurch in seinem Recht auf Löschung verletzt habe, indem sie seine Adressen mit Ausnahme der aktuellen Adresse nicht aus ihrer Bonitätsdatenbank gelöscht habe (Spruchpunkt 1.). Die Zweitbeschwerdeführerin wurde weiters angewiesen, innerhalb einer Frist von zwei Wochen dem Löschungsbegehren des Erstbeschwerdeführers Folge zu leisten (Spruchpunkt 3.). Im Übrigen wies sie die Beschwerde ab (Spruchpunkt 2.). Begründend führte die belangte Behörde im Wesentlichen aus, ein einheitlicher Maßstab, aus dem sich eine generelle Frist zur Löschung bonitätsrelevanter Daten aus der Datenbank einer Kreditauskunftei nach Tilgung der Schulden ergebe, sei nicht zu erkennen. Die Löschung aus einem öffentlichen Register, wie der Insolvenzdatei, bedeute nicht automatisch, dass die Daten jedenfalls auch aus der Datenbank der Zweitbeschwerdeführerin zu löschen seien. Eine vergangene Zahlungsunfähigkeit stelle eine wesentliche Grundlage für die Bonitätsbeurteilung dar, sodass sämtliche in der Datenbank der Zweitbeschwerdeführerin gespeicherten Zahlungserfahrungsdaten zum Zwecke der Beurteilung der Bonität des Erstbeschwerdeführers noch relevant seien und daher in der Datenbank belassen werden könnten. Hingegen widerspreche die Verarbeitung der historischen Meldeadressen Art 5 Abs 1 lit d DSGVO, wonach personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssten.
6. Gegen die sie benachteiligenden Spruchpunkte erhoben der Erstbeschwerdeführer und die Zweibeschwerdeführerin jeweils am 20.03.2019 Beschwerde.
Der Erstbeschwerdeführer führte sinngemäß aus, die Löschung ihn betreffender und von der Zweitbeschwerdeführerin verarbeiteter Bonitätsdaten müsse zeitgleich mit der Löschung dieser Daten aus öffentlichen Registern, wie insbesondere der Insolvenzdatei, erfolgen.
Die Zweitbeschwerdeführerin brachte sinngemäß vor, es gehe aus ihrer Datenbank eindeutig hervor, welche Adresse des Erstbeschwerdeführers aktuell sei und bei welchen es sich um ehemalige Anschriften handle, sodass die von ihr gespeicherten Daten richtig seien. Zudem bestehe ein überwiegendes berechtigtes Interesse der Zweitbeschwerdeführerin und ihrer Kunden an der Verarbeitung früherer Adressen des Erstbeschwerdeführers.
7. Die belangte Behörde legte die Beschwerden unter Anschluss des Verwaltungsakts mit Schriftsatz vom 28.03.2019, hg eingelangt am 05.04.2019, bzw mit Schriftsatz vom 29.04.2019, hg eingelangt am 07.05.2019, vor, und erstattete jeweils eine Stellungnahme.
8. Mit Schreiben vom 14.10.2019 wurde den Beschwerdeführern Parteiengehör zu den Stellungnahmen der belangten Behörde und den jeweiligen Beschwerden eingeräumt; die Zweitbeschwerdeführerin replizierte mit Schriftsatz vom 28.10.2019, vom Erstbeschwerdeführer langte keine Replik ein.
Beweise wurden erhoben durch Einsichtnahme in den Verwaltungsakt, den Bescheid der Datenschutzkommission vom 12.12.2007, GZ K600.033-018/0002-DVR/2007 und einen Auszug aus dem Zentralen Melderegister betreffend den Erstbeschwerdeführer vom 25.10.2019.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Der folgende Sachverhalt steht fest:
1.1. Die Zweitbeschwerdeführerin betreibt eine Wirtschaftsauskunftei, in deren Rahmen sie Bonitätsauskünfte erteilt.
1.2. Sie verwendet hierfür die nachstehenden Daten über den Erstbeschwerdeführers:
Bild kann nicht dargestellt werden
Bild kann nicht dargestellt werden
Bild kann nicht dargestellt werden
Bild kann nicht dargestellt werden
1.3. Die rechtsfreundliche Vertretung des Erstbeschwerdeführers richtete am 17.05.2018 folgendes Schreiben an die Zweitbeschwerdeführerin (bereinigt um grammatikalische und orthographische Fehler):
"[...] Mein Mandant widerspricht daher gemäß §§ 27 und 28 DSG 2000 ausdrücklich einer weiteren Verwendung seiner Daten.
Der nunmehr erhobene Widerspruch umfasst insbesondere
* Auskünfte über Zusammenhänge mit Gläubigerinteressen und der Bonität meines Mandanten,
* und Auskünfte über die grundsätzliche wirtschaftliche Situation im Rahmen der Kleinkreditevidenz.
Gleiches gilt für Warnlisten in Bezug auf österreichische Kreditinstitute.
Ausdrücklich ausgenommen von diesem Widerspruch sind für Ihre Gesellschaft nur diejenigen Daten, die den Namen und die Wohnadresse meines Mandanten betreffen - und auch nur dann, sofern von diesen Daten sichergestellt ist, dass durch die Abfrage beim Zentralen Melderegister auch nur tatsächlich die dort gemeldete aktuelle Wohnadresse verwendet und an die kreditgebende Wirtschaft weitergegeben wird.
Auskünfte über die Bonität meines Mandanten sind insofern möglich, als dass sie ausschließlich auf Anfrage über die XXXX erfolgen.
Ich fordere Sie daher nicht nur auf, meiner Kanzlei den gegenständlichen Widerspruch und das Löschungsbegehren zeitnah, maximal aber binnen acht Wochen, schriftlich zu bestätigen - sondern darüber hinaus auch auf, im gleichen Zeitrahmen die tatsächliche Löschung seiner Daten vorzunehmen, sowie eine Unterlassungserklärung abzugeben, sodass die Daten nicht mehr für die zuvor benannten Auskunftszwecke vollinhaltlich verwendet werden. [...]"
1.4. Darauf reagierte die Zweitbeschwerdeführerin mit Schreiben vom 04.07.2018 wie folgt:
"[...] Der Löschungsantrag gemäß Art 17 DSGVO muss eine Begründung enthalten, die sich nicht in einem bloßen Löschungsbegehren erschöpfen darf. [...]
Da das Löschungsbegehren für Ihren Mandanten nicht den oben dargelegten inhaltlichen Anforderungen eines Löschungsantrages gemäß Art 17 DSGVO entspricht, können wir dieses mangels hinreichender Konkretisierung nicht weiter überprüfen. [...]"
1.5. Mit Bescheid vom 12.12.2007, GZ K600.033-018/0002-DVR/2007, wurden von der (damals zuständigen) Datenschutzkommission zur Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung Auflagen erteilt, die die Zeitdauer von Eintragungen im Zusammenhang mit konkreten Kreditschuldverhältnissen genau festlegen.
1.6. Der Erstbeschwerdeführer ist seit 01.08.2013 ausschließlich an der Adresse XXXX , wohnhaft.
2. Die Feststellungen gründet auf der folgenden Beweiswürdigung:
Die Feststellungen gründen auf dem unbedenklichen Verwaltungsakt, den Bescheid DSK vom 12.12.2007, GZ K600.033-018/0002-DVR/2007 und einem Auszug aus dem Zentralen Melderegister betreffend den Erstbeschwerdeführer vom 25.10.2019.
3. Rechtlich folgt daraus:
Die zulässigen Beschwerden sind nicht berechtigt.
3.1. Zur anwendbaren Rechtslage:
Seit dem Löschungsbegehren des Erstbeschwerdeführers am 17.05.2018 hat sich die Rechtslage durch die DSGVO und das DSG geändert.
Übergangsbestimmungen finden sich ua in § 69 Abs 5 DSG, wonach Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens des DSG noch nicht anhängig gemacht wurden, nach der Rechtslage nach Inkrafttreten des DSG zu beurteilen sind. Die Judikatur des VwGH, wonach die Rechtslage zum Zeitpunkt des Stichtages anzuwenden ist, wenn darüber abzusprechen ist, was zu einem bestimmten Stichtag rechtens war, steht dem nicht entgegen, weil - wie in diesem Fall - der Gesetzgeber anderes regeln kann (siehe zB VwGH 24.03.2015, Ro 2014/09/0066).
Das Beschwerdeverfahren wurde bei der Datenschutzbehörde erst anhängig gemacht, nachdem das DSG in Geltung getreten ist. Sie hatte daher gemäß § 69 Abs 5 DSG die neue Rechtslage, dh das DSG und die DSGVO, anzuwenden, weshalb auch das erkennende Gericht die neue Rechtslage anzuwenden hat.
3.2. Zur Beschwerde des Erstbeschwerdeführers:
Der Erstbeschwerdeführer sieht sich durch die Entscheidung der belangten Behörde in seinem subjektiven Recht auf Löschung ihn betreffender personenbezogener Daten verletzt, weil die Zweitbeschwerdeführerin - entgegen den Bescheidausführungen - insbesondere auch Informationen zu seinem abgeschlossenen Insolvenzverfahren und getilgten Forderungen zu löschen habe. Dem kann nicht gefolgt werden.
Personenbezogene Daten sind über Antrag des Betroffenen ua dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sie unrechtmäßig verarbeitet wurden oder die betroffene Person Widerspruch gemäß Artikel 21 Abs 1 DSGVO gegen ihre Verarbeitung erhoben hat (Art 17 Abs 1 lit a, c 1. Fall und d DSGVO). Einem Löschungsbegehren stünde daher eine Datenverwendung entgegen, die notwendig und rechtmäßig ist und gegen die kein wirksamer Widerspruch erhoben worden ist.
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie - unter Einhaltung der in Art 5 DSGVO genannten Verarbeitungsgrundsätze - auf Grund einer der in Art 6 DSGVO genannten Erlaubnistatbestände erfolgt.
3.2.1. Zur Einhaltung der Verarbeitungsgrundsätze nach Art 5 DSGVO:
Gemäß den Verarbeitungsgrundsätzen nach Art 5 DSGVO müssen personenbezogene Daten - soweit verfahrensrelevant - für festgelegte, eindeutige und legitime Zwecke erhoben werden ("Zweckbindung"), dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung"), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein ("Richtigkeit") und in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist ("Speicherbegrenzung").
Der Zweitbeschwerdeführer betreibt das Gewerbe der Kreditauskunftei gemäß § 152 GewO.
Zu den Aufgaben der Gewerbetreibenden iSd § 152 GewO gehört die Erteilung von Auskünften über die Kreditwürdigkeit von Unternehmen und Privatpersonen an Dritte. Kreditgeber sollen dadurch aussagefähige Informationen über vorhandene oder auch potenzielle Kreditnehmer, und zwar insbesondere über die Art und Weise ihrer bisherigen Schuldenbegleichung, zur Verfügung stehen (Riesz in Ennöckl/Raschauer/Wessely, GewO § 152 Rz 2). Dadurch soll es Kreditgebern ermöglicht werden, die Wahrscheinlichkeit, mit der der Kreditgeber am Ende wegen seiner Forderung befriedigt wird, und allenfalls die Prognose, mit wie vielen Schwierigkeiten das verbunden ist, zu bestimmen (Wendehorst, Was ist Bonität? Zum Begriff der "Kreditwürdigkeit" in § 7 VKrG, in Blaschek/Habersberger (Hrsg), Eines Kredites würdig? (2011) 22). Eine Neigung zu vertragswidrigem Verhalten - etwa mangelnde finanzielle Selbstkontrolle oder habituelles Hinauszögern von Zahlungen bis zum Exekutionsdruck - lässt sich vor allem aus dem Finanzgebaren in der Vergangenheit heraus prognostizieren. Relevant ist dabei vergangenes vertragswidriges Verhalten, dass sich in schlichtem Zahlungsverzug, aber auch in gerichtlichen Verfahren bis hin zu Exekutionshandlungen oder gar in einer Insolvenzeröffnung manifestiert haben mag (aaO 23; vgl auch Heinrich, Bonitätsprüfung im Verbraucherkreditrecht (Wien 2014) 89 f).
Die Zweitbeschwerdeführerin verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Informationen über Zahlungsausfälle und Insolvenzverfahren des Erstbeschwerdeführers, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können.
Dabei handelt es sich um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten (§ 152 GewO) Zweck. Die Daten sind - entgegen dem Vorbringen des Erstbeschwerdeführers - auch richtig und vollständig, weil die Zweitbeschwerdeführerin hinsichtlich des Insolvenzverfahrens auf dessen Beendigung, hinsichtlich der ausgefallenen Forderungen auf die erfolgte Tilgung hinweist. Sie sind auch grundsätzlich erforderlich und geeignet, um eine Prognose über sein zukünftige Zahlungsverhalten abgeben zu können (siehe dazu auch EuGH 23.11.2006, Rs C-238/05 Rz 47, wonach Systeme zum Informationsaustausch zwischen Finanzinstituten bezüglich der Zahlungsfähigkeit von Kunden die Vorhersehbarkeit der Rückzahlungswahrscheinlichkeit verbessern, weshalb sie grundsätzlich geeignet sind, die Ausfallquote von Kreditnehmern zu verringern und dadurch den Wirkungsgrad des Kreditangebots zu erhöhen).
Strittig ist, wie lange derartige Daten verarbeitet werden dürfen. Der Erstbeschwerdeführer führt dazu aus, die von der Zeitbeschwerdeführerin über ihn verarbeiteten Daten seien auf Grund ihres Alters nicht mehr geeignet, seine Bonität zu bewerten, sie würden nur mehr dazu dienen, seine Teilnahme am Wirtschaftsleben zu verhindern; er macht damit einen Verstoß gegen die Grundsätze der "Datenminimierung" und der "Speicherbegrenzung" geltend bzw behauptet, dass die gemäß Art 6 Abs 1 lit f DSGVO durchzuführende Interessensabwägung (nunmehr) zu seinen Gunsten ausfallen würde.
3.2.1.1. Zur Zulässigen Speicherdauer von Daten über historische Insolvenzen und Zahlungsausfälle:
Weder die DSGVO noch die gewerberechtlichen Regelungen zum Gewerbe der Kreditauskunftei (§ 152 GewO) enthalten konkrete Fristen zur zulässigen Speicherdauer von historischen Insolvenzverfahren und Zahlungsausfällen. Wie lange diese Daten jeweils verarbeitet werden dürfen, hängt daher - wie die belangte Behörde zutreffend ausführt - grundsätzlich vom Einzelfall ab.
Auch wenn historische Zahlungsinformationen wesentlich sind, um das zukünftige Zahlungsverhalten eines (potentiellen) Schuldners vorhersagen zu können, haben sie umso weniger Aussagekraft, je länger sie zurückliegen und je länger es zu keinen weiteren Zahlungsstockungen und Zahlungsausfällen gekommen ist. Dem Alter der Forderung bzw dem Zeitpunkt des Feststehens des endgültigen Ausfalls der Forderung, dem Zeitpunkt etwaiger Tilgungen und das seitherige "Wohlverhalten" des Schuldners kommen bei der Abwägung damit entscheidende Bedeutung zu.
Als Richtlinie, wie lange Bonitätsdaten zur Beurteilung der Bonität eines (potentiellen) Schuldners geeignet sind, können Beobachtungs- oder Löschungsfristen in rechtlichen Bestimmungen herangezogen werden, die dem Gläubigerschutz dienen oder die Erfordernisse an eine geeignete Bonitätsbeurteilung näher festlegen.
Solche Bestimmungen finden sich in der Verordnung (EU) Nr. 575/2013 des europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 ("Kapitaladäquanzverordnung"), in der Kreditinstitute ua verpflichtet werden, ihre Kunden zu bewerten und diverse Risiken ihrer Forderungen abzuschätzen. Für Kredit- bzw Retailforderungen ggü natürlichen Personen haben Kreditinstitute, die ihre risikogewichteten Positionsbeträge anhand eines auf internen Beurteilungen basierenden Ansatzes berechnen dürfen (Art 143 Abs 1 leg cit), gemäß Art 151 Abs 6 iVm 180 Abs 2 lit a und e leg cit die Ausfallswahrscheinlichkeit der Forderung (Probability of Default - PD) ua anhand der langfristigen Durchschnitte der jährlichen Ausfallsquote zu schätzen; dabei ist ein historischer Beobachtungszeitraum für zumindest eine Datenquelle, die auch extern sein kann, von mindestens fünf Jahren zugrunde zu legen. Auch die durchzuführende Schätzung der Verlustquote bei einem Ausfall (Loss Given Default - LGD), hat sich gemäß Art 151 Abs 7 iVm 181 Abs 2 lit c leg cit grundsätzlich auf einen mindestens fünfjährigen Zeitraum zu beziehen.
Der (EU‑)Verordnungsgeber geht daher davon aus, dass für die Beurteilung der Bonität eines (potentiellen) Schuldners bzw des Risikos einer Forderung, Daten über etwaige Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren relevant sind.
Wenn Kreditinstitute als potentielle Geschäftspartner der Zweitbeschwerdeführerin zT rechtlich verpflichtet sind, ihre Forderungen anhand der Ausfallquoten zumindest der letzten fünf Jahre zu bewerten, und soll - wie hier - die Bonitätsdatenbank der Zweitbeschwerdeführerin auch dazu dienen, Kreditinstituten Daten zu liefern, die sie für ihre zT verpflichtende Bewertung benötigen, kann es nicht als Verstoß gegen das Prinzip der Datenminimierung oder der Speicherbegrenzung erkannt werden, wenn die Zweitbeschwerdeführerin Daten über eine Insolvenz des Erstbeschwerdeführers verarbeitet, wenn der Zahlungsplan zum Zeitpunkt des Löschungsbegehrens am 17.05.2018 erst vor eineinhalb Jahren bzw zum hg Entscheidungszeitpunkt erst vor etwas mehr als drei Jahren, nämlich am 20.09.2016, erfüllt worden ist. Dies gilt auch für Forderungen, die zwar bereits vor mehr als fünf Jahren ausgefallen sind, aber erst - wie hier - vor eineinhalb bzw drei Jahren durch die Erfüllung des Zahlungsplans endgültig getilgt worden sind. Die konkrete Höhe des Ausfalls kann nämlich erst mit (allenfalls nicht) erfolgreicher Erfüllung des Zahlungsplans bestimmt werden.
3.2.2. Zum Erlaubnistatbestand nach Art 6 Abs 1 lit f DSGVO:
Die Verarbeitung personenbezogener Daten ist ua gemäß Art 6 Abs 1 lit f DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessensabwägung durchzuführen, bei der die berechtigten Interessen des Verantwortlichen oder eines Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind (zur vergleichbaren Vorgängerbestimmung des Art 7 lit f Datenschutzrichtlinie 95/46/EG vgl EuGH 04.05.2017, C-13/16 , Rigas satiksme, Rz 31). Dabei sind einerseits die Interessen des Verantwortlichen und von Dritten (mögliche Geschäftspartner der Zweitbeschwerdeführerin) sowie andererseits die Interessen, Rechte und Erwartungen der betroffenen Person zu berücksichtigen (ErwG 47 DSGVO).
Die Zweitbeschwerdeführerin und ihre Kunden haben, sobald Verträge ein kreditorisches Risiko enthalten, ein nachvollziehbares Interesse des kreditierenden Vertragspartners, dieses Risiko abzuschätzen. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle erfolgt zum Schutz potenzieller Vertragspartner der betroffenen Person, die Dritte iSv Art 6 Abs 1 lit f DSGVO sind (vgl auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Art 6 Abs 1 Rz 133 f, 137). Damit dient sie auch dazu, Kreditinstitute dabei zu unterstützen, die Vorschriften der Kapitaladäquanzverordnung, die hinsichtlich der Schätzung der Risikoparameter einen Beobachtungszeitraum von zumindest fünf Jahren vorsehen, zu erfüllen.
Dagegen haben betroffene Personen ein Interesse daran, auf Grund der Verarbeitung nicht von Nachteilen im Wirtschaftsleben betroffen zu sein.
In einer Zusammenschau ergibt sich, dass, auf Grund des Interesses der Vertragspartner der Zweitbeschwerdeführerin Kreditrisiken abzuschätzen, hierfür die Beobachtung des historischen Zahlungsverhaltens des potentiellen Schuldners wesentlich ist und vor dem Hintergrund, dass es der EU-Verordnungsgesetzgeber für erforderlich sieht, das Risiko von Forderungen anhand eines zumindest fünfjähriger Beobachtungszeitraums vergangener Zahlungsausfälle abzuschätzen, die Verarbeitung von Informationen über vor etwas mehr als drei Jahren durch Erfüllung eines Zahlungsplans endgültig abgeschlossene Insolvenzverfahren durch die Zweitbeschwerdeführerin erforderlich ist. Da erst mit Erfüllung des Zahlungsplans die endgültige Ausfallsquote einer Forderung feststeht, gilt das auch für Forderungen, die zwar bereits davor ausgefallen sind, aber erst mit Erfüllung des Zahlungsplanes getilgt worden sind.
Die Interessen betroffener Personen, wie des Erstbeschwerdeführers, an der Geheimhaltung ihrer historischen Insolvenz- und Zahlungsausfallsdaten, um Nachteile im Wirtschaftsleben zu vermeiden, überwiegen jedenfalls dann nicht, wenn - wie hier - mehrere ausgefallene Forderungen bestehen und die Höhe der Passiva des Insolvenzverfahrens EUR 181.000,00 beträgt.
3.2.3. Zur Relevanz von Löschungsfristen aus der Insolvenzdatei:
Dem Vorbringen des Erstbeschwerdeführers in seiner Beschwerde, wonach die Zweitbeschwerdeführerin die Bonitätsdaten des Erstbeschwerdeführers zeitgleich mit ihrer Löschung aus der Insolvenzdatei zu löschen habe, ist nicht zu folgen:
Die datenschutzrechtliche Zulässigkeit der Führung der Insolvenzdatei gründet nämlich auf § 256 Insolvenzordnung, einer rechtlichen Verpflichtung im Sinne des Art 6 Abs 1 lit c DSGVO, die einer Bonitätsdatenbank hingegen auf überwiegende berechtigte Interessen des Verantwortlichen gemäß Art 6 Abs 1 lit f DSGVO (vgl OGH 30.01.2017, 6 Ob 178/16v, jusIT 2017/52, 117 (Bergauer) wonach eine Löschung nach § 256 Insolvenzordnung nicht auf eine Datenverwendung durchschlägt, die auf Grund einer anderen Rechtsgrundlage erfolgt; die noch zum Datenschutzgesetz 2000 ergangene Entscheidung ist auf Grund der Vergleichbarkeit der Erlaubnistatbestände auch auf die Rechtslage nach DSGVO übertragbar). Aus § 256 Insolvenzordnung lässt sich nicht ableiten, dass Daten über Insolvenzen (überhaupt) nicht mehr, dh auf Grund anderer Erlaubnistatbestände nach Art 6 DSGVO, verarbeitet werden dürfen, wenn sie aus der Insolvenzdatei gelöscht worden sind. Eine derartige Einschränkung würde - jedenfalls in Bezug auf den hier einschlägigen Erlaubnistatbestand des Art 6 Abs 1 lit f DSGVO - EU-Sekundärrecht widersprechen (vgl EuGH 24.11.2011, C-468/10 und C-469/10 , ASNEF/FECEMD, Rz 48 f, wonach nationale Bestimmungen, die für die Verarbeitung personenbezogener Daten zusätzlich zu der vorgesehenen Interessenabwägung verlangen, dass diese Daten in öffentlich zugänglichen Quellen enthalten sind, Art 7 lit f Datenschutzrichtlinie 95/46/EG - der im Wesentlichen Art 6 Abs 1 lit f DSGVO entspricht - entgegen stehen).
3.2.4. Zum Widerspruch des Erstbeschwerdeführers gegen die Verwendung seiner Daten:
Auch der vom Erstbeschwerdeführer gegen die Verwendung seiner Daten an die Zweitbeschwerdeführerin erhobene Widerspruch (ursprünglich nach Art 27 f DSG 2000, nunmehr Art 21 DSGVO) kann eine Löschung der ihn betreffenden personenbezogenen Daten nicht rechtfertigen. So hat der Betroffene im Widerspruch ein Vorbringen zu seiner besonderen Situation zu erstatten; er hat anzugeben, inwiefern eine Verarbeitung seiner Daten, die sich an sich - wie hier - auf den Erlaubnistatbestand der "Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten" gemäß Art 6 Abs 1 lit f DSGVO stützt, auf Grund seiner besonderen Situation dennoch nicht zulässig sein soll (siehe auch Haidinger in Knyrim, DatKomm Art 21 DSGVO Rz 19).
Wenn der Erstbeschwerdeführer in seinem Aufforderungsschreiben geltend macht, die über ihn gespeicherten Daten seien zu alt und unvollständig und würden daher keine taugliche Grundlage zur Beurteilung seiner Bonität iSv § 152 GewO bieten, sie seien nur geeignet, ihn in seinem wirtschaftlichen Fortkommen zu hindern und Schaden zu verursachen und ihre Verarbeitung sei gesetzlich nicht vorgesehen, macht er einen Verstoß gegen die allgemeinen Verarbeitungsgrundsätze nach Art 5 DSGVO, nämlich Datenminimierung und Datensparsamkeit, und das Fehlen eines Erlaubnistatbestands nach Art 6 DSGVO, aber keine Gründe geltend, die sich auf eine ihn betreffende besondere Situation ergeben. Der Widerspruch war daher unwirksam.
3.2.5. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle des Erstbeschwerdeführers durch die Zweitbeschwerdeführerin ist daher notwendig und rechtmäßig; ein Widerspruch gegen die Verarbeitung wurde nicht erfolgreich erhoben. Das Löschbegehren des Erstbeschwerdeführers geht daher diesbezüglich ins Leere, weshalb die belangte Behörde die (Datenschutz‑)Beschwerde des Erstbeschwerdeführers in diesem Teil zu Recht abgewiesen hat.
3.3. Zur Beschwerde der Zweitbeschwerdeführerin:
3.3.1. Die Zweitbeschwerdeführerin wendet sich gegen die in Spruchpunkt 1. des Bescheids getroffene Feststellung, wonach sie den Erstbeschwerdeführer in seinem Recht auf Löschung verletzt habe, indem sie ihn betreffende historische Meldeadressen nicht gelöscht habe, bzw gegen den in Spruchpunkt 3. ausgesprochenen Löschungsauftrag.
3.3.2. Wendet man die unter Punkt 3.2. erörterten Grundsätze auf die Verarbeitung historischer Meldeadressen durch die Zweitbeschwerdeführerin an, bedeutet das:
3.3.3. Die Zweitbeschwerdeführerin verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Meldeadressen des Erstbeschwerdeführers, die zuletzt am 30.06.2013 oder davor überprüft worden sind, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können.
3.3.4. Sie begründet die Verarbeitung damit, dass historische Meldeadressen zur Identitätsprüfung und zur Vermeidung von Doppelanlagen betroffener Personen erforderlich seien. Diese Begründung steht aber im Widerspruch zum Verarbeitungsprinzip der "Datenminimierung" iSd Art 5 DSGVO, weil das - von der Zweitbeschwerdeführerin ebenfalls verarbeitete - Geburtsdatum der betroffenen Personen, ein wesentlich besseres Identifizierungsmerkmal darstellt.
3.3.5. Auch ihrem Argument, Immobilien an historische Meldeadressen könnten im Eigentum der betroffenen Person stehen oder gestanden haben und könne man aus dem Grundbuchsstand etwaige negative Zahlungserfahrungen erheben, kann nicht gefolgt werden.
Die hierfür erforderlichen Grundbuchauszüge können nämlich sofort, dh bereits zu dem Zeitpunkt eingeholt werden, zu dem der Zweitbeschwerdeführerin entweder die aktuelle oder eine historische Adresse bekannt wird. Sollte sich daraus ergeben, dass an der Immobilie dingliche Rechte der betroffenen Person bestehen, kann die Zweitbeschwerdeführerin diese Information sofort in ihre Datenbanken übernehmen. Sollte sich hingegen ergeben, dass keine dinglichen Rechte der betroffenen Person an der Immobilie bestehen, ist die historische Meldeadresse für die Bestimmung etwaiger dinglicher Rechte nicht mehr erforderlich.
Zwar wäre denkbar, dass es sich bei der historischen Meldeadresse um die Immobilie der Eltern der betroffenen Person handelt, an der sie zukünftig durch Erbfall Eigentum erwerben könnte; aber auch dieser Fall kann durch einen sofortigen Abgleich der Nachnamen der grundbücherlichen Eigentümer mit dem Nachnamen der betroffenen Person erkannt werden. Die geringe Wahrscheinlichkeit, dass die betroffene Person nach ihrem Auszug auf andere Art dingliche Rechte an der Immobilie erwerben könnte, kann eine längere, als für die Einholung von Grundbuchsauzügen erforderliche, Verarbeitung historischer Melde- oder Wohnadressen nicht rechtfertigen.
Auch diesem Argument stehen somit die Prinzipien der "Datenminimierung" und der "Speicherbegrenzung" iSd Art 5 DSGVO entgegen.
3.3.6. Die Zweitbeschwerdeführerin stützt die Verarbeitung bonitätsrelevanter Daten des Erstbeschwerdeführers auch auf einen Bescheid der (damals zuständigen) Datenschutzkommission vom 12.12.2007, GZ K600.033-018/0002-DVR/2007, mit dem die Datenanwendung "Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung" unter der Auflage bestimmter Löschungsfristen genehmigt worden ist. Der Bescheid gelte in Hinblick auf Erwägungsgrund 171 der DSGVO nach wie vor. Da die Löschungsfristen hinsichtlich der über den Erstbeschwerdeführer verarbeiteten Daten nicht abgelaufen wären, sei ein Löschungsanspruch des Erstbeschwerdeführers ausgeschlossen. Tatsächlich kommt es auf die Frage, inwieweit sich die Zweitbeschwerdeführerin bei der Verarbeitung historischer Meldeadressen weiterhin auf den zitierten Bescheid stützen kann, nicht an:
In den - allenfalls vorabkontrollpflichtigen - Meldungen nach § 19 DSG 2000 war die geplante Speicherdauer personenbezogener Daten nämlich nicht einzutragen. Die im Bescheid zitierte Meldung im Datenverarbeitungsregister kann daher keine Löschungsfristen enthalten. Da auch der genannte Bescheid nur Auflagen zu Löschungsfristen von Daten zu konkreten Kreditschuldverhältnissen, nicht aber zu historischen Meldeadressen enthält, trifft er zur zulässigen Speicherdauer historischer Meldeadressen keine normative Anordnung.
3.3.7. Die Zweitbeschwerdeführerin führt weiters aus, dass aus historischen Meldeadressen betroffener Personen auf ihre Bonität geschlossen werden könne, beispielsweise könnten bspw auf Grund häufig wechselnder Wohn- bzw Meldeadressen Mietnomaden erkannt werden.
Der Zweitbeschwerdeführerin ist dahingehend zuzustimmen, dass zwischen den historischen Meldeadressen und der Zahlungsfähigkeit einer Person ein statistischer Zusammenhang begründet werden kann (vgl auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Art 6 Abs 1 Rz 137) und sie auch grundsätzlich geeignet sind, Mietnomaden zu erkennen. Ihrer Verarbeitung stünden somit die allgemeinen Verarbeitungsgrundsätze des Art 5 DSGVO nicht entgegen. Es besteht auch ein berechtigtes Interesse der Zweitbeschwerdeführerin iSd Art 6 Abs 1 lit f DSGVO.
In diesem Fall ist aber zu berücksichtigen, dass es sich um historische Meldedaten handelt, die zum Zeitpunkt des Löschbegehrens knapp fünf bis 18 Jahre bzw zum hg Entscheidungszeitpunkt sechseinhalb bis 19 Jahre zurückliegen. Auch historische Meldeadressen sind umso weniger geeignet, auf einen aktuellen Mietnomaden zu schließen, je länger sie zurückliegen und je länger seit dem letzten Wohnungswechsel kein weiterer, zeitnaher Wohnungswechsel stattgefunden hat. Dies im Besonderen, da ein häufiger Wohnungswechsel nicht zwangsläufig auf einen Mietnomaden hinweist; er kann auch anderen Umständen geschuldet sein. Weiters ist zu berücksichtigen, dass ein Mietnomade üblicherweise ein bis maximal drei Jahre in einer Wohnung bleiben kann, bis sie erfolgreich geräumt wird.
Unter Berücksichtigung dieser Umstände überwiegen die Geheimhaltungsinteressen der betroffenen Personen bei historischen Meldedaten, die knapp fünf Jahre oder länger zurückliegen, den Interessen der Zweitbeschwerdeführerin, wenn wie hier, die betroffene Person seither die Wohn- oder Meldeadresse nicht gewechselt hat. Die Verwendung der historischen Meldedaten ist daher durch Art 6 Abs 1 lit f DSGVO nicht gerechtfertigt.
3.3.8. Da auch kein anderer Erlaubnistatbestand erfüllt ist, insbesondere kann sich die Zweitbeschwerdeführerin gegenüber dem Erstbeschwerdeführer nicht auf eine Vertragserfüllung nach Art 6 Abs 1 lit b DSGVO stützen, weil die Verarbeitung nicht auf Grund eines Vertrags mit dem Erstbeschwerdeführer erfolgt, erweist sich die Verwendung der historischen Meldedaten als unzulässig.
3.3.9. Auf Grund dieses Ergebnisses, musste auf die Frage der etwaigen Richtigkeit der als "bekannt" oder als "weiters bekannt" markierten Adressen, und die diesbezüglichen Ausführungen der Zweitbeschwerdeführerin in ihrer Stellungnahme vom 28.10.2019, nicht weiter eingegangen werden.
3.3.10. Da der Erstbeschwerdeführer daher zu Recht die Löschung seiner historischen Adressdaten verlangt hat, hat die belangte Behörde zu Recht eine Verletzung im Recht des Erstbeschwerdeführers auf Löschung festgestellt und der Zweitbeschwerdeführerin die Befolgung des Löschungsbegehrens aufgetragen. Die dagegen erhobene Beschwerde der Zweitbeschwerdeführerin war somit abzuweisen.
3.4. Es war daher spruchgemäß zu entscheiden.
3.5. Da im Verfahren lediglich Rechtsfragen zu klären waren, konnte gemäß § 24 Abs 4 VwGVG auf die Durchführung einer - nicht beantragten - mündlichen Verhandlung verzichtet werden (VwGH 19.09.2017, Ra 2017/01/0276).
Zu B) Zulässigkeit der Revision:
Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.
Die Revision ist zulässig, weil Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Art 133 Abs 4 B-VG zukommen. Zwar handelt es sich bei der Frage, wie lange Daten unter Beachtung der Verarbeitungsrundsätze des Art 5 DSGVO und unter Vornahme einer Interessensabwägung nach Art 6 Abs 1 lit f DSGVO verwendet werden dürfen, um eine grundsätzlich nicht reversible Einzelfallentscheidung. Es fehlt aber an Rechtsprechung des Verwaltungsgerichtshofs zur Frage, welchen Grundsätzen eine solche Interessensabwägung genügen muss; insbesondere, ob und unter welchen Voraussetzungen die Vorschriften der Kapitaladäquanzverordnung als Richtschnur für die Bestimmung der zulässigen Speicherdauer von Bonitätsdaten herangezogen werden können.
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)