VwGH Ro 2020/04/0037

Spruch:

Die Revision wird als unbegründet abgewiesen.

Der Revisionswerber hat dem Bund Aufwendungen in der Höhe von € 553,20 und der mitbeteiligten Partei Aufwendungen in der Höhe von € 1.106,40 jeweils binnen zwei Wochen bei sonstiger Exekution zu ersetzen.

Begründung

1 Der Revisionswerber erhob am 24. September 2018 eine gegen die mitbeteiligte Partei als Beschwerdegegnerin gerichtete Datenschutzbeschwerde wegen Verletzung im Recht auf Löschung gemäß Art. 17 Datenschutzgrundverordnung (DSGVO), nachdem er mit Schreiben vom 7. August 2018 von der mitbeteiligten Partei die Löschung eines ihn betreffenden Eintrags in die „(Banken‑)Warnliste“ begehrt und die mitbeteiligte Partei mit Schreiben vom 19. September 2018 mitgeteilt habe, diesem Begehren nicht zu entsprechen.

2 Mit Bescheid vom 3. September 2019 wies die Datenschutzbehörde (belangte Behörde) die Datenschutzbeschwerde als unbegründet ab.

3 Die belangte Behörde legte ihrer Entscheidung nachfolgende Sachverhaltsfeststellungen zugrunde:

Gegen den Revisionswerber hätten im Mai 2012 bei zwölf Gläubigern Forderungen in der Höhe von insgesamt € 215.710,18, davon jene der mitbeteiligten Partei in der Höhe von € 2.645,‑‑ bestanden. Im folgenden Schuldenregulierungsverfahren des Revisionswerbers vor dem Bezirksgericht D sei die mit 70 % festgelegte Rückzahlungsquote „Mitte März 2019“ [wohl gemeint: 2018] erfüllt worden und vom Bezirksgericht D die Löschung der Eintragungen des Revisionswerbers aus der Insolvenzdatei bewilligt worden.

Die mitbeteiligte Partei betreibe gemeinsam mit anderen Kreditinstituten eine Datenbank, in der unter anderem Zahlungserfahrungsdaten von natürlichen Personen gespeichert würden (Bankenwarnliste).

Die mitbeteiligte Partei habe im Entscheidungszeitpunkt weiterhin die Daten des Revisionswerbers im Hinblick auf dessen Schuldenregulierungsverfahren in der Bankenwarnliste und zwar in Form des Eintrages „Teilweise Tilgung ‑ 2018‑03‑16“ gespeichert.

4 Rechtlich legte die belangte Behörde dar, die Bankenwarnliste werde zu Zwecken des Gläubigerschutzes und der Risikominimierung geführt und diene dazu, das potentielle Ausfallsrisiko von Kunden beurteilen zu können. In diesem Zusammenhang stelle sich die Rechtsfrage, wie lange Zahlungserfahrungsdaten nach (teilweiser) Begleichung der Forderung bei der mitbeteiligten Partei gespeichert werden könnten, ehe sie für die dargelegten Verarbeitungszwecke nicht mehr notwendig seien. Nur wenn die personenbezogenen Daten noch bonitätsrelevant seien, bestehe ein Verarbeitungszweck gemäß Art. 5 Abs. 1 lit. b DSGVO.

Unter Bezugnahme auf eine Vorentscheidung der belangten Behörde zur Dauer der Speicherung von Einträgen in Datenbanken von Kreditauskunfteien führte die belangte Behörde aus, es bestehe weder eine gesetzliche Frist für die Dauer der Speicherung von Zahlungserfahrungsdaten noch ein einheitlicher Maßstab, aus dem sich eine generelle Frist zur Löschung bonitätsrelevanter Daten aus der Datenbank nach Tilgung der Schulden ergebe. Vielmehr scheine eine Einzelfallbeurteilung unter Berücksichtigung aller maßgeblichen Umstände, wie etwa die Höhe der einzelnen Forderungen, das „Alter“ der Forderungen, sohin das Datum der Eintragung in die Datenbank, die Anzahl der im Wege eines Inkassounternehmens eingetriebenen Forderungen, die Zeit seit Begleichung einer Forderung sowie die Herkunft der Daten, erforderlich. Die aus historischen Zahlungserfahrungsdaten (Negativeintragungen) herrührende vermeintlich „schlechte Bonität“ des Betroffenen solle durch die Möglichkeit einer zeitnahen Löschung nach Begleichung aller Forderungen hintangehalten werden. Insbesondere solle vermieden werden, dass Betroffene, die nach Aufhebung eines Schuldenregulierungsverfahrens oder nach Zahlung ihrer Schulden außerhalb des Insolvenzverfahrens wieder eine solide finanzielle Basis erlangt hätten, im geschäftlichen Verkehr neuerlich mit Schwierigkeiten zu kämpfen hätten, weil ihre Kreditwürdigkeit durch diese Negativeintragungen vermindert werde. Im Gegensatz zum näher genannten Bescheid der Datenschutzkommission zur „Kleinkreditevidenz“ (Konsumentenkreditevidenz) sei eine generelle Löschung der bonitätsrelevanten Daten erst sieben Jahre nach Tilgung der Schuld im Hinblick auf Art. 6 Abs. 1 lit. f DSGVO und der geänderten Rechtslage nach § 256 IO über die Fristen für die Einsicht in die Insolvenzdatei jedenfalls nicht verhältnismäßig.

Die berechtigten Interessen des Revisionswerbers seien nach entsprechender Bewertung den berechtigten Interessen der mitbeteiligten Partei sowie Dritter gegenüberzustellen. Dabei sei zu berücksichtigen, dass Art. 6 Abs. 1 lit. f DSGVO zwei kumulative Voraussetzungen kenne, damit sich die mitbeteiligte Partei auf diesen Erlaubnistatbestand berufen könne. Einerseits müsse die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, andererseits dürften Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordere, nicht überwiegen.

Konkret beeinflusse die vorliegende Eintragung in der Bankenwarnliste die Bonitätsbewertung des Revisionswerbers negativ und beeinträchtige sein wirtschaftliches Fortkommen. Demgegenüber stehe das Interesse der mitbeteiligten Partei, die Eintragung in ihrer Datenbank zu Zwecken des Gläubigerschutzes und der Risikominimierung bei Kreditvergaben aufrecht zu erhalten.

Auch eine vergangene Zahlungsunfähigkeit stelle eine wesentliche Grundlage für die Bonitätsbeurteilung dar. Die Berücksichtigung von Zahlungsausfällen in der jüngeren Vergangenheit sei daher erforderlich, um eine vollständige Auskunft über die Bonität einer bestimmten Person erteilen zu können. Anhand vergangener Zahlungsausfälle könne durchaus ein Schluss auf die zukünftige Zahlungsfähigkeit gezogen werden. Dies treffe auch auf die vorliegenden Zahlungserfahrungsdaten des Revisionswerbers zu. Gleichwohl es sich bei der damaligen Forderung der mitbeteiligten Partei in Höhe von € 2.645,‑‑ um keine allzu hohe Schuld handle und eine Rückzahlung in Höhe von 70 % vergleichsweise hoch sei, sei zu berücksichtigen, dass diese zumindest seit Mai 2012 bestehende Forderung nur quotenmäßig im „März 2019“ [wohl gemeint: März 2018] zurückbezahlt worden sei. Zwischen quotenmäßiger Begleichung der Forderung und Antrag auf Löschung im August 2018 liege ein Zeitraum von sechs Monaten. Zusätzlich sei die Löschung aus der Insolvenzdatei erst im „März 2019“ erfolgt. Weiter sei davon auszugehen, dass der Revisionswerber auch die vernünftige Erwartungshaltung gehabt habe, dass vor dem Hintergrund einer bloß quotenmäßigen Erfüllung der Forderung seine Daten jedenfalls für einen Zeitraum länger als sechs Monate ab der Erfüllung weiterhin in der Bankenwarnliste eingetragen blieben.

Den berechtigten Interessen der mitbeteiligten Partei sowie Dritter, und zwar dem Gläubigerschutz und der Risikominimierung bei Kreditvergabe, sei derzeit noch ein höherer Stellenwert einzuräumen als den berechtigten Interessen des Revisionswerbers. Die Eintragung in der Bankenwarnliste sei daher notwendig und rechtmäßig (vgl. Art. 17 Abs. 1 lit. a und lit. d DSGVO), weshalb die mitbeteiligte Partei zu Recht dem Löschungsbegehren nicht entsprochen habe.

5 Die dagegen vom Revisionswerber erhobene Beschwerde wies das Bundesverwaltungsgericht (Verwaltungsgericht) mit dem angefochtenen Erkenntnis vom 5. Oktober 2020 als unbegründet ab und sprach aus, dass die Revision zulässig sei.

6 Begründend führte das Verwaltungsgericht zusammengefasst aus, die mitbeteiligte Partei betreibe als Bankinstitut gemeinsam mit anderen Bankinstituten eine Datenbank, in der unter anderem Zahlungserfahrungsdaten von natürlichen Personen gespeichert würden („Warnliste der Banken“). Diese diene dazu, das potentielle Ausfallsrisiko von Kunden beurteilen zu können.

Mit Schreiben vom 17. Dezember 2008 habe die mitbeteiligte Partei dem Revisionswerber in einer ‑ hier nicht verfahrensgegenständlichen ‑ Kreditangelegenheit unter anderem mitgeteilt, dass ein ihm eingeräumter Kredit gekündigt und insofern der noch offene Betrag fällig werde. Abschließend sei der Revisionswerber darauf aufmerksam gemacht worden, dass im Falle einer nicht fristgerechten Bezahlung eine Eintragung in die Bankenwarnliste erfolgen müsse. Dabei handle es sich um eine zu Zwecken des Gläubigerschutzes und der Risikominimierung geführte Liste, aus der die teilnehmenden Kreditinstitute einen Warnhinweis auf vertragswidriges Kundenverhalten entnehmen könnten.

Mit E‑Mail vom 12. April 2010 an einen Kundenbetreuer der mitbeteiligten Partei habe der Revisionswerber in Zusammenhang mit einer von der mitbeteiligten Partei am 6. April 2010 fällig gestellten Forderung unter anderem auf seine schlechte wirtschaftliche Situation und den Umstand, dass er durch etwaige Eintragungen in die „Bonitätsdatenliste“ weiter eingeschränkt sei, hingewiesen.

Auf Grund einer offenen Forderung aus einer Girokontenverbindung habe die mitbeteiligte Partei einen Eintrag des Revisionswerbers in die Bankenwarnliste veranlasst. Dieser Eintrag weise aktuell den Status „Teilweise Tilgung ‑ 2018‑03‑16“ auf.

Über das Vermögen des Revisionswerbers sei unter anderem auch wegen dieser Forderung der mitbeteiligten Partei in Höhe von € 2.645,‑‑ am 9. August 2010 ein Schuldenregulierungsverfahren eröffnet worden. Der im Zuge dessen festgelegte Zahlungsplan habe eine Rückzahlungsquote von 70 % vorgesehen, die vom Revisionswerber im März 2018 erfüllt worden sei. Mit Beschluss vom 4. Mai 2018 habe das Bezirksgericht D die vom Revisionswerber begehrte Löschung seiner Eintragungen in der Insolvenzdatei gemäß § 256 Abs. 3 IO bewilligt.

§ 39 Abs. 2 Bankwesengesetz (BWG), BGBl. Nr. 532/1993 idF BGBl. I Nr. 36/2018, erlege Kreditinstituten in Einklang mit der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 (Kapitaladäquanzverordnung) Sorgfaltsmaßnahmen in Zusammenhang mit der Erfassung, Beurteilung, Steuerung und Überwachung von bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und ‑praktiken unter anderem in Zusammenhang mit der Vergabe von Krediten an natürliche Personen, und zwar Verwaltungs-, Rechnungs- und Kontrollverfahren, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen seien, auf. Gemäß § 39 Abs. 2b Z 1 BWG hätten solche Verfahren insbesondere das Kreditrisiko zu berücksichtigen.

§ 5 Abs. 3 Z 2 der auf § 39 Abs. 4 BWG gründenden Verordnung der Finanzmarktaufsicht (FMA) über die ordnungsgemäße Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten gemäß § 39 Abs. 2b BWG (Kreditinstitute‑Risikomanagementverordnung - KI‑RMV) sehe zur Bestimmung des Kreditrisikos vor, dass Kreditinstitute wirksame Systeme für die Erkennung und Verwaltung von Problemkrediten einzurichten hätten, wonach als Verwaltungsverfahren iSd § 39 Abs. 2 BWG sämtliche Einrichtungen, Verfahren sowie ablaufobligatorische Maßnahmen zu verstehen seien, die die reibungslose Durchführung des bankgeschäftlichen Betriebs sicherstellen, wie etwa auch Informations-, Kommunikations- und Sicherungssysteme sowie auch Erwägungsgrund 42 der Kapitaladäquanzverordnung, wonach zur Datenverarbeitung im Zusammenhang mit der Vergabe und der Verwaltung von Krediten an Kunden auch die Entwicklung und Validierung von Systemen für das Kreditrisikomanagement und die Kreditrisikomessung gehörten. Dies diene nicht nur den legitimen Interessen von Instituten, sondern auch dem Ziel der Verordnung, bessere Methoden für Risikomessung und -management anzuwenden und diese Methoden auch im Hinblick auf die vorgeschriebenen Eigenmittel zu nutzen.

Wie aus Art. 179 Abs. 2 und Art. 180 Abs. 2 lit. e der die Aufsichtsanforderungen konkret festlegenden Kapitaladäquanzverordnung hervorgehe, könnten sie dabei sowohl auf externe, interne und zusammengefasste Datenquellen oder auch unter bestimmten Voraussetzungen auf institutsübergreifende in einem Pool zusammengefasste Daten zurückgreifen.

Vor diesem rechtlichen Hintergrund bestünden vorliegend keine Bedenken dagegen, dass die mitbeteiligte Partei zur Verarbeitung von bonitätsrelevanten Daten in der Bankenwarnliste grundsätzlich berechtigt sei und ihr die Rechtsordnung diesbezüglich ‑ wenn auch keine rechtliche Verpflichtung, aber doch ‑ ein grundsätzlich gebilligtes berechtigtes Interesse iSd Art. 6 Abs. 1 lit. f DSGVO einräume. Diese Bestimmung setze eine Abwägung zwischen den berechtigten Interessen an der Verarbeitung und den Interessen und Grundrechten der betroffenen Person voraus.

Dabei seien nach Erwägungsgrund 47 der DSGVO die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet würden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen müsse, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.

Eine „besondere“ Information der betroffenen Person durch den Verantwortlichen sei daher nicht zwingend erforderlich. Es genüge wie vorliegend auf die vernünftigen Erwartungen der betroffenen Person in Bezug auf eine Datenverarbeitung und damit auf die Erwartungen einer redlichen, verständigen Person in der Situation der von der Datenverarbeitung betroffenen Person abzustellen.

Wie dem E‑Mail des Revisionswerbers vom 12. April 2010 in Zusammenhalt mit dem an ihn zuvor in einer Kreditkündigungsangelegenheit gerichteten Schreiben der mitbeteiligten Partei vom 17. September 2008 zu entnehmen sei, sei der Revisionswerber grundsätzlich darüber in Kenntnis gewesen, dass die mitbeteiligte Partei im Fall der Nichtbezahlung von Forderungen einen Eintrag in der Bankenwarnliste zum Zweck und für die Dauer der Beurteilung der Bonität veranlassen werde. Bei objektiver („vernünftiger“) Betrachtung habe der Revisionswerber vorliegend davon ausgehen müssen, dass es wegen der Nichtbezahlung seiner Forderung zu einem Eintrag in die Bankenwarnliste zum Zweck und für die Dauer der Beurteilung seiner Bonität kommen werde. Da der Revisionswerber mit den Folgen einer Nichtbezahlung auch in dieser Hinsicht ‑ zumindest objektiv betrachtet ‑ habe rechnen müssen und er diese Folgen insofern für sich vorab auch abwägen habe können, könne ein gegenüber dem dargelegten Interesse der mitbeteiligten Partei überwiegendes Interesse des Revisionswerbers nicht erkannt werden, sodass gegen die gegenständliche Eintragung keine Bedenken bestünden.

Art. 180 Abs. 2 lit. e Kapitaladäquanzverordnung lege in Bezug auf die Schätzung von Retailforderungen fest, dass unabhängig davon, ob ein Institut für seine Schätzung der Verlustmerkmale externe, interne oder zusammengefasste Datenquellen oder eine Kombination daraus verwende, der zugrundeliegende historische Beobachtungszeitraum für zumindest eine Datenquelle mindestens fünf Jahre betragen müsse. Sei eine Datenquelle über einen längeren Zeitraum beobachtet worden und seien die entsprechenden Daten relevant, werde dieser längere Beobachtungszeitraum herangezogen. Wenn sich neuere Daten besser zur Vorhersage der Verlustquoten eignen, müsse ein Institut historischen Daten nicht die gleiche Bedeutung beimessen. Daraus folge, dass fünf Jahre zurückliegende Zahlungserfahrungsdaten jedenfalls (noch) als bonitätsrelevant anzusehen seien. Die vom Revisionswerber geäußerten Bedenken in Bezug auf die Relevanz von im Zeitpunkt seines Löschungsbegehrens nicht einmal fünf Monate zurückliegenden Zahlungserfahrungsdaten könnten daher nicht nachempfunden werden.

Daran ändere auch die Löschung der Daten des Revisionswerbers in der Insolvenzdatei nichts, weil diese nicht dem Zweck der Bonitätsbeurteilung diene, sondern gemäß § 255 IO allein dem Zweck der öffentlichen Bekanntmachung (Zustellung) von Schriftstücken und Beschlüssen im Insolvenzverfahren. Eine aufgrund eines bereits abgeschlossenen Insolvenzverfahrens erfolgte Löschung aus der Insolvenzdatei nach § 256 IO treffe daher keine Aussage über die Relevanz von Daten zum Zweck der Bonitätsbeurteilung.

Die in der Bankenwarnliste gespeicherten personenbezogenen Daten des Revisionswerbers in Bezug auf die bloß teilweise Tilgung einer Forderung der mitbeteiligten Partei seien daher gemäß Art. 6 Abs. 1 lit. f DSGVO rechtmäßig verarbeitet worden und für die Zwecke der Speicherung weiterhin notwendig. Die Voraussetzungen für die begehrte Löschung nach Art. 17 DSGVO lägen somit nicht vor.

7 Die Revision sei gemäß Art. 133 Abs. 4 B‑VG zulässig, weil es keine höchstgerichtliche Rechtsprechung zur Zulässigkeit der Verarbeitung von (vergangenen) Zahlungserfahrungsdaten einer betroffenen Person durch ein Kreditinstitut in einer institutsübergreifenden Datenbank („Warnliste der Banken“) zum Zweck der Beurteilung der Bonität gäbe.

8 Dagegen richtet sich die vorliegende ordentliche Revision mit dem Antrag auf Abänderung des angefochtenen Erkenntnisses im dem Löschungsbegehren stattgebenden Sinn in eventu auf Aufhebung der Entscheidung gegen Aufwandersatz.

9 Die mitbeteiligte Partei beantragte in ihrer Revisionsbeantwortung die Zurück‑ in eventu Abweisung der Revision gegen Aufwandersatz. In der von der belangten Behörde eingebrachten Revisionsbeantwortung beantragte diese die Abweisung der Revision gegen Aufwandersatz.

Der Verwaltungsgerichtshof hat erwogen:

Zulässigkeit

10 Die Revision erweist sich zu der vom Verwaltungsgericht aufgezeigten Rechtsfrage sowie auch zu der im gesonderten Zulässigkeitsvorbringen der Revision dargelegten Rechtsfrage zur zulässigen Dauer der Verarbeitung von Zahlungserfahrungsdaten einer betroffenen Person durch ein Kreditinstitut in einer institutsübergreifenden Datenbank zum Zweck der Bonitätsbeurteilung und zum maßgeblichen Beginn der demnach wesentlichen Mindestspeicherdauer, zu der keine höchstgerichtliche Rechtsprechung vorliege, als zulässig. Sie ist jedoch nicht berechtigt.

Maßgebliche Rechtslage

Unionsrecht

11 Die maßgeblichen Erwägungsgründe und Regelungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung; DSGVO) lauten auszugsweise:

„(40) Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder ‑ wann immer in dieser Verordnung darauf Bezug genommen wird ‑ aus dem sonstigen unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartner die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.

...

(47) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

...

(60) Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein.

...

Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘);

c) dem Zweck angemessen und erheblich sowie auf das für Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist: personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (‚Speicherbegrenzung‘);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).

Artikel 6

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

...

Artikel 13

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und ‑ zumindest in diesen Fällen ‑ aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

...

Artikel 17

Recht auf Löschung (‚Recht auf Vergessenwerden‘)

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“

12 Die maßgeblichen Erwägungsgründe und Regelungen der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 (Kapitaladäquanzverordnung) lauten auszugsweise:

„(5) Diese Verordnung und die Richtlinie 2013/36/EU sollten zusammen den Rechtsrahmen für den Zugang zur Tätigkeit, den Aufsichtsrahmen und die Aufsichtsvorschriften für Kreditinstitute und Wertpapierfirmen (im Folgenden ‚Institute‘) bilden. Daher sollte diese Verordnung zusammen mit jener Richtlinie gelesen werden.

...

(7) Mit dieser Verordnung sollten unter anderem die Aufsichtsanforderungen für Institute festgelegt werden, die sich strikt auf die Funktionsweise der Bank‑ und Finanzdienstleistungsmärkte beziehen und die Finanzstabilität der Wirtschaftsteilnehmer an diesen Märkten sichern sowie einen hohen Grad an Anleger- und Einlegerschutz gewährleisten sollen. Diese Verordnung soll in entscheidender Weise zum reibungslosen Funktionieren des Binnenmarkts beitragen und sollte sich deshalb auf Artikel 114 AEUV in der Auslegung der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union stützen.

...

(42) Da der Vielfalt der Institute in der Union unbedingt Rechnung zu tragen ist, sollten bei der Berechnung der Eigenmittelanforderungen für das Kreditrisiko verschiedene Ansätze mit unterschiedlich hohem Grad an Risikosensitivität und Differenziertheit vorgesehen werden. Durch die Verwendung externer Bonitätsbeurteilungen und der von den Instituten selbst vorgenommenen Schätzungen einzelner Kreditrisikoparameter gewinnen die Bestimmungen zum Kreditrisiko erheblich an Risikosensitivität und aufsichtsrechtlicher Solidität. Institute sollten zu einer Umstellung auf Ansätze mit höherer Risikosensitivität angehalten werden. Wenn Institute die zur Anwendung der in dieser Verordnung vorgesehenen Ansätze zur Ermittlung des Kreditrisikos benötigten Schätzungen vorlegen, sollten sie ihre Verfahren für Kreditrisikomessung und Kreditrisikomanagement verbessern, damit für die Festlegung der aufsichtsrechtlichen Eigenmittelanforderungen Methoden zur Verfügung stehen, die der Art, dem Umfang und der Komplexität der Verfahren der einzelnen Institute Rechnung tragen. In dieser Hinsicht sollte zur Datenverarbeitung im Zusammenhang mit der Vergabe und der Verwaltung von Krediten an Kunden auch die Entwicklung und Validierung von Systemen für das Kreditrisikomanagement und die Kreditrisikomessung gehören. Dies dient nicht nur den legitimen Interessen von Instituten, sondern auch dem Ziel dieser Verordnung, bessere Methoden für Risikomessung und -management anzuwenden und diese Methoden auch im Hinblick auf die vorgeschriebenen Eigenmittel zu nutzen. Ungeachtet dessen erfordern Ansätze mit höherer Risikosensitivität erhebliche Sachkenntnisse und Ressourcen sowie qualitativ hochwertige und ausreichende Daten. Institute sollten daher hohen Standards genügen, bevor sie diese Ansätze im Hinblick auf die vorgeschriebenen Eigenmittel nutzen. Angesichts der laufenden Arbeiten, die sicherstellen sollen, dass interne Modelle über angemessene Sicherheitsmechanismen verfügen, sollte die Kommission einen Bericht über die Möglichkeit, die Basel‑I‑Untergrenze auszudehnen, erstellen und diesem gegebenenfalls einen Gesetzgebungsvorschlag beifügen.

...

Artikel 123

Risikopositionen aus dem Mengengeschäft

Einer Risikoposition, die die folgenden Kriterien erfüllt, wird ein Risikogewicht von 75 % zugewiesen:

a) Sie besteht entweder gegenüber einer natürlichen Personen oder einem kleinen oder mittleren Unternehmen (KMU),

b) sie ist eine von vielen Risikopositionen mit ähnlichen Merkmalen, so dass die Risiken dieser Darlehensgeschäfte erheblich reduziert werden,

c) der dem Institut sowie dem Mutterunternehmen und dessen Tochterunternehmen von dem Kunden oder der Gruppe verbundener Kunden insgesamt geschuldete Betrag einschließlich etwaiger überfälliger Positionen, mit Ausnahme von Risikopositionen, die vollständig durch Wohnimmobilien besichert sind und die der in Artikel 112 Buchstabe i genannten Forderungsklasse zugewiesen wurden, ist ‑ soweit dem Institut bekannt ‑ nicht höher als 1 Mio. EUR. ...

...

Artikel 176

Datenpflege

(1) Die Institute erfassen und speichern Daten zu bestimmten Aspekten ihrer internen Beurteilungen nach Maßgabe des Teils 8.

(2) In Bezug auf Risikopositionen gegenüber Unternehmen, Instituten, Zentralstaaten und Zentralbanken sowie in Bezug auf Beteiligungspositionen, für die ein Institut den PD‑/LGD‑Ansatz nach Artikel 155 Absatz 3 anwendet, erfassen und speichern die Institute Folgendes:

a) die lückenlose Beurteilungshistorie der Schuldner und anerkannten Garantiegeber,

b) die Vergabedaten der Beurteilungen,

c) die zur Ableitung der Beurteilungen herangezogenen wichtigsten Daten und Methodik,

d) den Namen der für die Zuordnung der Beurteilungen verantwortlichen Person,

e) die ausgefallenen Schuldner und Risikopositionen,

f) den Zeitpunkt und die Umstände dieser Ausfälle,

g) Daten zu den Ausfallwahrscheinlichkeiten (PD) und den tatsächlichen Ausfallquoten, die mit den Bonitätsstufen und der Migration von Bonitätsbeurteilungen verbunden sind.

...

5. In Bezug auf Risikopositionen aus dem Mengengeschäft erfassen und speichern die Institute Folgendes:

a) die bei der Zuordnung von Risikopositionen zu Ratingstufen oder Risikopools verwendeten Daten,

b) Daten über die geschätzten PD, LGD und Umrechnungsfaktoren für Ratingstufen oder Pools von Risikopositionen,

c) die ausgefallenen Schuldner und Risikopositionen,

d) bei ausgefallenen Risikopositionen Daten über die Ratingstufen oder Risikopools, denen die Risikopositionen während des Jahres vor dem Ausfall zugeordnet waren, sowie die tatsächlichen LGD- und Umrechnungsfaktorwerte,

e) Daten über die Verlustquoten bei qualifizierten revolvierenden Risikopositionen aus dem Mengengeschäft.

...

Artikel 179

Allgemeine Anforderungen an Schätzungen

(1) Bei der Quantifizierung der Risikoparameter für bestimmte Bonitätsstufen oder -pools halten die Institute folgende Vorgaben ein:

a) In die institutseigenen Risikoparameter-, PD-, LGD-, Umrechnungsfaktor- und EL‑Schätzungen fließen alle einschlägigen Daten, Informationen und Methoden ein. Die Schätzungen werden aus historischen Werten und empirischen Nachweisen abgeleitet und dürfen nicht allein auf wertenden Erwägungen beruhen. Die Schätzungen sind plausibel und einleuchtend und beruhen auf den wesentlichen Bestimmungsfaktoren für die jeweiligen Risikoparameter. Je weniger Daten einem Institut zur Verfügung stehen, desto konservativer ist seine Schätzung;

...

2. Greift ein Institut auf institutsübergreifend in einem Pool zusammengefasste Daten zurück, erfüllt es dabei die folgenden Anforderungen:

...

Artikel 180

Besondere Anforderungen an PD-Schätzungen

(1) Bei der Quantifizierung der Risikoparameter für bestimmte Bonitätsstufen oder -pools wenden die Institute bei PD‑Schätzungen für Forderungen an Unternehmen, Institute, Zentralstaaten und Zentralbanken sowie für Beteiligungspositionen, für die sie den PD‑/LGD‑Ansatz nach Artikel 155 Absatz 3 anwenden, die folgenden besonderen Anforderungen an:

...

h) unabhängig davon, ob ein Institut für seine PD‑Schätzung externe, interne oder zusammengefasste Datenquellen oder eine Kombination daraus verwendet, muss der zugrunde liegende historische Beobachtungszeitraum für zumindest eine Datenquelle mindestens fünf Jahre betragen. Wurde eine Datenquelle über einen längeren Zeitraum beobachtet und sind die entsprechenden Daten relevant, so wird dieser längere Beobachtungszeitraum herangezogen. Dies gilt auch für den PD/LGD‑Ansatz bei Beteiligungen. Bei entsprechender Genehmigung der zuständigen Behörden können Institute, die keine Genehmigung der zuständigen Behörde gemäß Artikel 138 erhalten haben, eigene LGD- oder Umrechnungsfaktorschätzungen zu verwenden, bei der Anwendung des IRB‑Ansatzes relevante Daten aus einem Zweijahreszeitraum verwenden. Dieser Zeitraum verlängert sich jährlich um ein Jahr, bis relevante Daten für einen Zeitraum von fünf Jahren vorliegen.

(2) Für Retailforderungen gelten die folgenden Anforderungen:

...

e) unabhängig davon, ob ein Institut für seine Schätzung der Verlustmerkmale externe, interne oder zusammengefasste Datenquellen oder eine Kombination daraus verwendet, muss der zugrunde liegende historische Beobachtungszeitraum für zumindest eine Datenquelle mindestens fünf Jahre betragen. Wurde eine Datenquelle über einen längeren Zeitraum beobachtet und sind die entsprechenden Daten relevant, so wird dieser längere Beobachtungszeitraum herangezogen. Wenn sich neuere Daten besser zur Vorhersage der Verlustquoten eignen, muss ein Institut historischen Daten nicht die gleiche Bedeutung beimessen. Bei entsprechender Genehmigung der zuständigen Behörden können Institute bei der Anwendung des IRB‑Ansatzes relevante Daten aus einem Zweijahreszeitraum verwenden. Dieser Zeitraum verlängert sich jährlich um ein Jahr, bis relevante Daten für einen Zeitraum von fünf Jahren vorliegen;

...

Artikel 181

Besondere Anforderungen an eigene LGD-Schätzungen

(1) Bei der Quantifizierung der Risikoparameter für bestimmte Bonitätsstufen oder -pools halten die Institute die folgenden besonderen Anforderungen an eigene LGD‑Schätzungen ein:

...

j) bei Forderungen an Unternehmen, Institute, Zentralstaaten und Zentralbanken stützen sich die LGD-Schätzungen zumindest für eine Datenquelle auf einen mindestens fünfjährigen Zeitraum, der jährlich nach der Umsetzung um ein Jahr verlängert wird, bis ein Minimum von sieben Jahren erreicht ist. Wurde eine Datenquelle über einen längeren Zeitraum beobachtet und sind die entsprechenden Daten relevant, so wird dieser längere Beobachtungszeitraum herangezogen.

(2) Bei Retailforderungen dürfen die Institute

a) LGD-Schätzungen von tatsächlichen Verlusten und geeigneten PD‑Schätzungen ableiten,

...

Bei Retailforderungen stützen sich die LGD‑Schätzungen auf Daten eines mindestens fünfjährigen Zeitraums. Wenn sich neuere Daten besser zur Vorhersage der Verlustquoten eignen, muss ein Institut historischen Daten nicht die gleiche Bedeutung beimessen. Bei entsprechender Genehmigung der zuständigen Behörden können Institute bei der Anwendung des IRB‑Ansatzes relevante Daten aus einem Zweijahreszeitraum verwenden. Dieser Zeitraum verlängert sich jährlich um ein Jahr, bis relevante Daten für einen Zeitraum von fünf Jahren vorliegen.

...“

Nationales Recht

13 § 39 Abs. 2, 2a und 4 Bankwesengesetz (BWG), BGBl. Nr. 532/1993 in der zum Entscheidungszeitpunkt des Verwaltungsgerichts maßgeblichen Fassung BGBl. I Nr. 36/2018, lautet:

„X. Sorgfaltspflichten und Informationsweitergabe zur Verhinderung der Geldwäscherei und Terrorismusfinanzierung

Allgemeine Sorgfaltspflichten

§ 39. ...

(2) Die Kreditinstitute haben für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind. Die Verwaltungs-, Rechnungs- und Kontrollverfahren haben weitest gehend auch bankgeschäftliche und bankbetriebliche Risiken sowie Risiken aus der Vergütungspolitik und den Vergütungspraktiken zu erfassen, die sich möglicherweise ergeben können. Die Organisationsstruktur sowie die Verwaltungs-, Rechnungs- und Kontrollverfahren sind schriftlich und in nachvollziehbarer Weise zu dokumentieren. Die Organisationsstruktur hat durch dem Geschäftsbetrieb angemessene aufbau- und ablauforganisatorische Abgrenzungen Interessen- und Kompetenzkonflikte zu vermeiden. Die Zweckmäßigkeit dieser Verfahren und deren Anwendung ist von der internen Revision mindestens einmal jährlich zu prüfen.

(2a) Kreditinstitute können sich für die Entwicklung und laufende Wartung von Rating‑Verfahren gemeinsamer Risikoklassifizierungseinrichtungen als Dienstleister bedienen, wenn sie dies der FMA zuvor angezeigt haben. Die Überlassung aller für die Erfassung und Beurteilung von Risiken erforderlichen Informationen durch die teilnehmenden Kreditinstitute an die gemeinsame Risikoklassifizierungseinrichtung ist zu dem ausschließlichen Zweck zulässig, durch Verarbeitung dieser Daten Verfahren zur Risikobeurteilung und Risikobegrenzung zu entwickeln und laufend zu warten und diese Verfahren den teilnehmenden Kreditinstituten zur Verfügung zu stellen; die Übermittlung von personenbezogenen Daten durch die Risikoklassifizierungseinrichtung ist nur an das Kreditinstitut zulässig, das die zu Grunde liegenden Schuldnerdaten eingemeldet hat. Die gemeinsame Risikoklassifizierungseinrichtung, ihre Organe, Bediensteten und sonst für sie tätigen Personen unterliegen dem Bankgeheimnis gemäß § 38. Die FMA hat in Bezug auf die gemeinsame Risikoklassifizierungseinrichtung alle in § 70 Abs. 1 genannten Auskunfts-, Vorlage- und Prüfungsbefugnisse; § 71 ist anzuwenden.

...

(4) Die FMA hat Mindestanforderungen zum Zwecke der ordnungsgemäßen Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten gemäß Abs. 2b durch Verordnung festzulegen.“

14 § 5 Abs. 3 Z 2 der Verordnung der Finanzmarktaufsichtsbehörde (FMA) über die ordnungsgemäße Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten gemäß § 39 Abs. 2b BWG (Kreditinstitute‑Risikomanagementverordnung - KI‑RMV), BGBl. II Nr. 487/2013 idF BGBl. II Nr. 235/2014, lautet:

„(3) Kreditinstitute haben wirksame Systeme einzurichten:

...

2. für die Erkennung und Verwaltung von Problemkrediten;“

15 § 7 Abs. 1 und 4 Verbraucherkreditgesetz (VKrG), BGBl. I Nr. 28/2010 idF BGBl. I Nr. 135/2015, lautet:

„Prüfung der Kreditwürdigkeit des Verbrauchers

§ 7. (1) Vor Abschluss des Kreditvertrags hat der Kreditgeber die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen zu prüfen, die er ‑ soweit erforderlich ‑ vom Verbraucher verlangt; erforderlichenfalls hat er auch Auskünfte aus einer zur Verfügung stehenden Datenbank einzuholen.

...

(4) Wird ein Kreditantrag auf Grund einer Datenbankabfrage abgelehnt, so hat der Kreditgeber den Verbraucher unverzüglich und unentgeltlich über das Ergebnis dieser Abfrage und über die Angaben der betreffenden Datenbank zu informieren, es sei denn, dies liefe Zielen der öffentlichen Ordnung oder der öffentlichen Sicherheit zuwider. Die Bestimmungen des Datenschutzgesetzes 2000 bleiben unberührt.“

16 § 256 Insolvenzordnung (IO), BGBl. Nr. 337/1914 idF BGBl. I Nr. 122/2017, lautet auszugsweise:

„Insolvenzdatei

§ 256. (1) In die Ediktsdatei sind Daten aufzunehmen, die nach diesem Bundesgesetz öffentlich bekanntzumachen sind (Insolvenzdatei).

(2) Die Einsicht in die Insolvenzdatei ist nicht mehr zu gewähren, wenn ein Jahr vergangen ist seit

...

(3) Auf Antrag des Schuldners ist die Einsicht in die Insolvenzdatei bereits dann nicht mehr zu gewähren, wenn der rechtskräftig bestätigte Sanierungsplan oder Zahlungsplan erfüllt worden ist. ...

(4) Die Einsicht in die Eintragung der mangels kostendeckenden Vermögens oder wegen Vermögenslosigkeit nach § 68 nicht eröffneten Insolvenzverfahren ist nach drei Jahren nach der Eintragung nicht mehr zu gewähren.“

Allgemeines

17 Die „Warnliste der österreichischen Banken“ (Bankenwarnliste) unterlag vor Inkrafttreten der DSGVO und des DSG als Informationsverbundsystem iSd §§ 4 Z 13 und 50 DSG 2000 und aufgrund ihres Zwecks gemäß § 18 Abs. 2 Z 3 DSG 2000 (Auskunftserteilung über die Kreditwürdigkeit) der Vorabkontrolle durch die Datenschutzbehörde (vgl. OGH 15.12.2005, 6 Ob 275/05t). Mit dem Datenschutz-Anpassungsgesetz, BGBl. I Nr. 120/2017, sind unter anderem die §§ 4 ff, 16ff und 50 DSG 2000 mit Ablauf des 24. Mai 2018 außer Kraft getreten (§ 70 Abs. 9 DSG). Damit wurde auch das Meldewesen im (ehemaligen) Datenverarbeitungsregister abgeschafft (§ 69 Abs. 2 und 3 DSG). Die Beurteilung der Rechtmäßigkeit einer Datenverarbeitung im Rahmen der Bankenwarnliste zum Zwecke der Bonitätsbeurteilung richtet sich seitdem nach dem DSG und der DSGVO (vgl. OGH 6.8.2021, 6 Ob 57/21g).

Recht auf Löschung gemäß Art. 17 DSGVO

18 Der Revisionswerber macht in seiner Datenschutzbeschwerde die Verletzung im Recht auf Löschung gemäß Art. 17 DSGVO in Bezug auf die von ihm begehrte, jedoch von der mitbeteiligten Partei abgelehnte Entfernung eines von ihr veranlassten, den Revisionswerber betreffenden Eintrags in der Bankenwarnliste von März 2018 über eine nur teilweise Tilgung einer Forderung der mitbeteiligten Partei geltend.

19 Den Löschungsanspruch stützt der Revisionswerber einerseits auf die mangelnde Aktualität und Relevanz des eingetragenen Datums für die Beurteilung seiner Bonität, somit auf die mangelnde Notwendigkeit des Datums für den Zweck, für den es erhoben bzw. verarbeitet worden sei (Art. 17 Abs. 1 lit. a DSGVO), andererseits auf die unrechtmäßige Verarbeitung des eingetragenen Datums (Art. 17 Abs. 1 lit. d DSGVO).

Recht auf Löschung wegen unrechtmäßiger Verarbeitung gemäß Art. 17 Abs. 1 lit. d DSGVO

20 Das Verwaltungsgericht begründete die Rechtmäßigkeit der Verarbeitung zusammengefasst damit, dass die mitbeteiligte Partei angesichts der sich aus der Kapitaladäquanzverordnung für Kreditinstitute ergebenden Sorgfaltsmaßstäbe für die Erfassung, Beurteilung, Steuerung und Überwachung von bankgeschäftlichen Risiken grundsätzlich zur Verarbeitung bonitätsrelevanter Daten in der Bankenwarnliste berechtigt sei und ihr die Rechtsordnung ‑ wenn auch keine rechtliche Verpflichtung ‑ so doch ein grundsätzlich gebilligtes berechtigtes Interesse iSd Art. 6 Abs. 1 lit. f DSGVO dazu einräume. Eine „besondere“ Information der betroffenen Person sei vorliegend durch den Verantwortlichen nicht zwingend erforderlich. Es genüge auf die vernünftigen Erwartungen der betroffenen Person in Bezug auf die Datenverarbeitung und damit auf die Erwartungen einer redlichen, verständigen Person in der Situation der von der Datenverarbeitung betroffenen Person abzustellen. Auf Grund eines an ihn zuvor in einer Kreditangelegenheit gerichteten Schreibens der mitbeteiligten Partei sei der Revisionswerber in Kenntnis gewesen, dass die mitbeteiligte Partei im Fall der Nichtbezahlung der Forderung einen Eintrag in die Bankenwarnliste zum Zweck und für die Dauer der Beurteilung der Bonität veranlassen werde. Der Revisionswerber habe daher bei objektiver Betrachtung davon ausgehen müssen, dass es wegen Nichtbezahlung seiner Verbindlichkeit zu einem Eintrag in die Bankenwarnliste kommen werde. Sein Interesse an der Löschung des Eintrags übersteige daher nicht das gegenteilige Interesse der mitbeteiligten Partei.

21 Nach Art. 17 Abs. 1 lit. d DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern diese „unrechtmäßig verarbeitet“ wurden.

22 Diese Bestimmung ist in Verbindung mit Art. 5 Abs. 1 DSGVO zu lesen, wonach die Verarbeitung personenbezogener Daten eine Reihe von Grundsätzen einhalten muss, die in dieser Bestimmung genannt werden.

23 Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (EuGH) muss jede Verarbeitung personenbezogener Daten mit den in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (vgl. zu alldem EuGH 4.5.2023, C‑60/22 , Bundesrepublik Deutschland [Elektronisches Gerichtsfach], ECLI:EU:C:2023:373, Rz 50, 52, 57, mwN).

Unrechtmäßigkeit der Verarbeitung wegen Verletzung des Grundsatzes der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a DSGVO

24 Die Revision wendet zunächst zusammengefasst ein, die vorliegende Datenverarbeitung widerspreche dem Grundsatz nach Treu und Glauben iSd Art. 5 Abs. 1 lit. a DSGVO, weil die mitbeteiligte Partei den Revisionswerber „nicht über die Speicherdauer informiert [hat], die nunmehr verfahrensgegenständlich“ sei. Bei objektiver Betrachtung habe er „nicht davon ausgehen [müssen], dass die Daten zu meinem Insolvenzverfahren von der mitbeteiligten Partei auch weiterhin verarbeitet werden“. Die Datenverarbeitung sei deshalb unrechtmäßig und das Löschungsbegehren berechtigt.

25 Demgegenüber bringt die mitbeteiligte Partei in ihrer Revisionsbeantwortung vor, das Verwaltungsgericht habe richtigerweise keinen Verstoß gegen den Grundsatz nach Treu und Glauben festgestellt. Ausgehend von Erwägungsgrund 47 zur DSGVO müsse eine Verarbeitung nach Treu und Glauben innerhalb dessen liegen, womit der Betroffene im Lichte der gesamten Rechtsordnung habe rechnen müssen, und sie müsse so gestaltet sein, wie es der Verantwortliche nach außen hin darstelle und es eine redliche verständige Person in der Situation verstehe. Vorliegend habe der Revisionswerber aufgrund der Information über diese Vorgangsweise in früheren Schreiben der mitbeteiligten Partei betreffend drohender Ausfälle mit der Eintragung seiner Daten in die Warnliste rechnen müssen. Da dem Revisionswerber die Vorgangsweise bereits bekannt gewesen sei, habe ihn die mitbeteiligte Partei auch nicht erneut gemäß Art. 13 Abs. 4 DSGVO davon informieren müssen.

Dazu ist Folgendes auszuführen:

26 Das Speichern von Zahlungserfahrungsdaten, wie vorliegend die bloß teilweise Tilgung der Forderung der mitbeteiligten Partei gegenüber dem Revisionswerber, in der von der mitbeteiligten Partei gemeinsam mit anderen Kreditinstituten betriebenen Bankenwarnliste stellt eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 2 DSGVO dar.

27 Gemäß Art. 13 Abs. 1 und 2 DSGVO trifft die mitbeteiligte Partei als Verantwortliche gegenüber dem Revisionswerber im Zeitpunkt der Erhebung des vorliegenden Zahlungserfahrungsdatums der bloß teilweisen Tilgung die Informationspflicht nach Abs. 1 unter anderem über die Zwecke, für die das Zahlungserfahrungsdatum verarbeitet werden soll, sowie die Rechtsgrundlage der Verarbeitung (lit. c), die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, weil die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht (lit. d), sowie über die Empfänger oder Kategorien von Empfängern des Zahlungserfahrungsdatums (lit. e) und nach Abs. 2 unter anderem über die Dauer, für die das personenbezogene Datum gespeichert wird oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (lit. a) sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (lit. c).

28 Den Feststellungen im angefochtenen Erkenntnis ist nicht zu entnehmen, dass die mitbeteiligte Partei dieser Informationspflicht im Zeitpunkt der Erhebung des Datums der bloß teilweisen Tilgung nachkam.

29 Nach Art. 13 Abs. 4 DSGVO entfallen die Informationspflichten des Art. 13 DSGVO, „wenn und soweit die betroffene Person bereits über die Informationen verfügt“. „Soweit“ impliziert, dass die Informationspflicht nach Art. 13 Abs. 1 bis 3 DSGVO sowohl insgesamt, als auch teilweise entfallen kann, je nachdem wie weit sie der betroffenen Person schon zur Verfügung steht (vgl. Knyrim in Ehmann/Selmayr, DS‑GVO [2017] Art. 13 Rn. 57).

30 Ausgehend von den Grundsätzen einer fairen und transparenten Verarbeitung greift Art. 13 Abs. 4 DSGVO nur, wenn die betroffene Person über die mitzuteilenden Informationen verfügt (vgl. Erwägungsgrund 60). Der Informationsstand der betroffenen Person muss daher in Ausmaß, Genauigkeit und Klarheit den Informationen entsprechen, die der Verantwortliche der betroffenen Person zur Verfügung stellen muss (vgl. Bäcker in Kühling/Buchner, Datenschutz‑Grundverordnung BDSG3 [2020] Art. 13 Rn. 84).

31 Dass der Revisionswerber aufgrund des Schreibens der mitbeteiligten Partei vom 17. September 2008 wegen Kündigung eines vorliegend nicht gegenständlichen Kredits und aus einem E‑Mail des Revisionswerbers vom 12. April 2010 in Bezug auf eine von der mitbeteiligten Partei fällig gestellte ebenfalls nicht gegenständliche Forderung darauf habe schließen müssen, die mitbeteiligte Partei werde grundsätzlich im Fall der Nichtbezahlung von Forderungen einen Eintrag in die Bankenwarnliste zum Zweck und für die Dauer der Beurteilung der Bonität veranlassen, steht der Informationspflicht der mitbeteiligten Partei iSd Art. 13 DSGVO insbesondere gemäß Art. 13 Abs. 2 lit. a DSGVO über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer, im Zeitpunkt der Erhebung des hier wesentlichen Zahlungserfahrungsdatums der bloß teilweisen Tilgung der Forderung der mitbeteiligten Partei aus einer Girokontoverbindung des Revisionswerbers nicht entgegen.

32 Die Rechtsfolge der unterlassenen Information für die Erhebung und anschließende Verarbeitung der Daten ist in der DSGVO nicht ausdrücklich geregelt (vgl. Dix in Simitis/Hornung/Spiecker, [Hrsg.], Datenschutzrecht [2019] Art. 13, Rz 26).

33 Zu den Grundsätzen, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen, zählt gemäß Art. 5 Abs. 1 lit. a DSGVO, dass personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden [müssen]“. Nach Art. 5 Abs. 2 iVm Art. 5 Abs. 1 lit. a DSGVO muss der Verantwortliche sicherstellen, dass die von ihm durchgeführte Datenverarbeitung „rechtmäßig“ ist.

34 Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 DSGVO selbst ergibt, gerade in ebendiesem Artikel geregelt. Dieser sieht vor, dass die Verarbeitung nur rechtmäßig ist, wenn mindestens eine der in seinem Abs. 1 lit. a bis f aufgeführten Bedingungen erfüllt ist, somit, wie sich auch aus dem 40. Erwägungsgrund der DSGVO ergibt, wenn entweder die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat oder die Verarbeitung für einen der genannten Zwecke erforderlich ist; diese Zwecke betreffen die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person, die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, bzw. die berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

35 Diese Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, so dass eine Verarbeitung unter einen der in Art. 6 Abs. 1 DSGVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können.

36 Da die Art. 7 bis 11 DSGVO, die genau wie die Art. 5 und 6 DSGVO in deren Kapitel II stehen, das die Grundsätze betrifft, zum Ziel haben, den Umfang der dem Verarbeiter nach Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO obliegenden Pflichten näher zu bestimmen, ist die Verarbeitung personenbezogener Daten, wie sich aus der Rechtsprechung des EuGH ergibt, zudem nur rechtmäßig, wenn sie diese anderen Bestimmungen des genannten Kapitels einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen (vgl. zu alldem wiederum EuGH 4.5.2023, C‑60/22 , Bundesrepublik Deutschland [Elektronisches Gerichtsfach], ECLI:EU:C:2023:373, Rz 52, 54 bis 56, 58, mwN).

37 Demgegenüber zählt die lückenlose Einhaltung der Informationspflicht nach Art. 13 Abs. 1 und 2 DSGVO nicht zu den in Art. 6 Abs. 1 DSGVO genannten Gründen für die Rechtmäßigkeit der Verarbeitung. Im Gegensatz zur Missachtung der Bestimmungen des Kapitels II der DSGVO hat nicht jede Verletzung der Informationspflicht nach Art. 13 Abs. 1 und 2 DSGVO zur Folge, dass die Verarbeitung von personenbezogenen Daten den in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätzen in Bezug auf die Verarbeitung der Daten widerspricht bzw. nicht zumindest einen in Art. 6 Abs. 1 DSGVO genannten Grund für die Rechtmäßigkeit der Verarbeitung erfüllt.

38 Weil eine unterlassene Information die Willensbildung der betroffenen Person beeinträchtigen kann, sind sowohl die Datenerhebung als auch die anschließende Datenverarbeitung ohne Information als unrechtmäßig anzusehen, wenn die Datenerhebung vom Willen der betroffenen Person abhängt, wie etwa die Datenerhebung aufgrund der informierten Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a DSGVO oder wenn die betroffene Person berechtigt ist, sich faktisch der Datenerhebung zu entziehen, beispielsweise in Bezug auf eine Videoüberwachung im öffentlichen Raum, der sich die betroffene Person bei entsprechender Information über die Videoüberwachung entziehen kann, indem sie den überwachten Ort nicht betritt (vgl. Bäcker in Kühling/Buchner, aaO, Art. 13 Rn. 66). Ebenso gewährleisten Informationen über die Identität des für die Verarbeitung Verantwortlichen, die Zweckbestimmung der Verarbeitung, die verarbeiteten Datenkategorien und das Bestehen von Auskunfts- und Berichtigungsrechten eine Verarbeitung personenbezogener Daten nach Treu und Glauben, weshalb die betroffene Person entsprechend zu unterrichten ist (vgl. EuGH 1.10.2015, C‑201/14 , Bara u.a., ECLI:EU:C:2015:638, Rz. 34 und 42; 16.1.2019, C‑496/17 , Deutsche Post, ECLI:EU:2019:26, Rz. 59).

39 Demgegenüber stellt jedoch abgesehen davon, dass vorliegend sich die Datenerhebung und der Eintrag in die Bankenwarnliste nicht auf eine Einwilligung des Revisionswerbers, sondern auf Art. 6 Abs. 1 lit. f DSGVO stützt, zumindest eine Verletzung der Informationspflicht nach Art. 13 Abs. 2 lit. a DSGVO über die Speicherdauer bzw. die Kriterien der Festlegung dieser Dauer, wie vom Revisionswerber geltend gemacht, die unabhängig davon gemäß Art. 83 Abs. 5 lit. b DSGVO mit einer Geldbuße geahndet werden kann, keine „unrechtmäßige Verarbeitung“ iSd Art. 17 Abs. 1 lit. d iVm Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO dar, die dem Revisionswerber ein Recht auf Löschung gewährt.

Unrechtmäßigkeit der Verarbeitung wegen Verletzung des Grundsatzes der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO

40 Die Revision bringt dazu zusammengefasst vor, die den Revisionswerber in der Bankenwarnliste von der mitbeteiligten Partei eingetragenen personenbezogenen Daten seien weder aktuell noch richtig und vollständig iSd Art. 5 Abs. 1 lit. d DSGVO, weil sie nicht seine aktuelle Kreditwürdigkeit wiedergäben. Vielmehr hätten sich die wirtschaftlichen Verhältnisse des Revisionswerbers seit 2016 grundlegend verändert. Das Verwaltungsgericht habe dazu keine Feststellungen getroffen. Die von der mitbeteiligten Partei verarbeiteten Daten lieferten keinen wahrheitsgemäßen Informationswert zum aktuellen Kreditrisiko des Revisionswerbers. Bei richtiger rechtlicher Beurteilung hätte das Verwaltungsgericht zum Ergebnis gelangen müssen, dass sich neuere Daten besser zur Vorhersage seiner Kreditwürdigkeit eignen. Mangels Berücksichtigung neuerer Daten durch die mitbeteiligte Partei sei die vorliegende Datenverarbeitung im Hinblick auf ihre Zwecke unrichtig.

41 Die Datenschutzbehörde bringt dagegen zusammengefasst vor, der gegenständliche Datensatz sei insofern weiterhin aktuell, als er sehr wohl einen Eindruck über das Zahlungsverhalten einer Person vermittle, zumal der Löschungsantrag lediglich knapp vier Monate nach Löschung der Eintragungen in die Insolvenzdatei gestellt worden sei.

42 Die mitbeteiligte Partei wendet in ihrer Revisionsbeantwortung ein, die in der Bankenwarnliste gespeicherten Bonitätsdaten des Revisionswerbers seien sowohl richtig als auch aktuell. Innerhalb des für die Berücksichtigung von vergangenen Zahlungsausfällen nach der Kapitaladäquanzverordnung vorgegebenen zeitlichen Mindestmaßes von fünf Jahren habe es in Bezug auf den erfüllten Zahlungsplan einen relevanten Ausfall iSd Art. 178 dieser Verordnung gegeben, der weder von der mitbeteiligten Partei noch einem anderen regulierten Institut ignoriert werden dürfe. Mangels vollständiger Tilgung der aushaftenden Forderung seien die in der Bankenwarnliste gespeicherten Daten weder irrelevant noch veraltet. Der Eintrag in der Bankenwarnliste treffe keine direkte Aussage über das Kreditrisiko des Revisionswerbers. Vielmehr fließe diese in die gesamthafte Betrachtung der wirtschaftlichen Leistungsfähigkeit des jeweiligen Betroffenen und in die allgemeine Berechnung von Risiken mit ein. Zweck des Eintrags sei nicht die Bewertung des Kreditrisikos des Revisionswerbers, sondern die Zurverfügungstellung der notwendigen Informationen für diese Bewertung.

Dazu ist Folgendes auszuführen:

43 Die Verarbeitung unrichtiger Daten verstößt gegen den Grundsatz der Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO) und ist damit unrechtmäßig iSd Art. 17 Abs. 1 lit. d DSGVO (vgl. Haidinger in Knyrim, DatKomm Art. 17 [2022] Rz 56, mwN).

44 Nach Art. 5 Abs. 1 lit. d DSGVO müssen personenbezogene Daten sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden. „Sachlich richtig“ ist ein objektives Kriterium und bedeutet, dass die über die betroffene Person gespeicherten Informationen mit der Realität übereinstimmen. Das Kriterium ist nur bei Tatsachenangaben anwendbar, nicht bei Werturteilen (vgl. Herbst in Kühling/Buchner, DS‑GVO BDSG3 [2020] Art. 5 Rz. 60). Die Daten müssen nach Art. 5 Abs. 1 lit. d DSGVO aber auch „erforderlichenfalls auf dem neuesten Stand sein“. Nachträgliche Veränderungen der Wirklichkeit machen die Daten nicht falsch, wenn es auf die ursprüngliche Situation ankommt. Soweit der Verantwortliche gezielt solche historischen Daten eines bestimmten Entwicklungsstands verarbeitet, die zu einem früheren Zeitpunkt richtig waren, müssen die Daten nicht der Entwicklung angepasst werden; eine solche Anpassung könnte ‑ wenn sie nicht deutlich wird ‑ sogar umgekehrt gegen den Grundsatz der Richtigkeit verstoßen (vgl. Roßnagel in Simitis/Hornung/Spiecker, [Hrsg.], Datenschutzrecht [2019] Art. 5, Rz. 141).

45 Vorliegend war das in die Bankenwarnliste eingetragene Zahlungserfahrungsdatum auch noch zum Entscheidungszeitpunkt des Verwaltungsgerichts angesichts des Verarbeitungszwecks und zwar der Speicherung historischer Zahlungserfahrungsdaten zwecks Beurteilung des Ausfallsrisikos potentieller Kunden von Kreditinstituten sachlich richtig. Die vom Revisionswerber monierte mangelnde Aktualität in Bezug auf neuere Daten über seine seit 2016 grundlegend verbesserten wirtschaftlichen Verhältnisse ist im Hinblick auf den Zweck des in der Bankenwarnliste gespeicherten Zahlungserfahrungsdatums nicht gegeben. Die in der Bankenwarnliste gespeicherten Zahlungserfahrungsdaten dienen der Beurteilung des Kreditrisikos potentieller Kunden von Kreditinstituten. Sie stellen für sich jedoch keine solche Beurteilung dar, sondern bilden eine Datenquelle für die Beurteilung der Kreditwürdigkeit. Insofern kommt es für die Beurteilung der Richtigkeit des gegenständlichen Zahlungserfahrungsdatums nicht auf zwischenzeitige Änderungen der wirtschaftlichen Verhältnisse des Revisionswerbers an. Es waren daher dazu vom Verwaltungsgericht keine Feststellungen zu treffen.

46 Ein Verstoß gegen den Grundsatz der Richtigkeit iSd Art. 5 Abs. 1 lit. d DSGVO und damit eine unrechtmäßige Datenverarbeitung iSd Art. 17 Abs. 1 lit. d DSGVO liegt somit nicht vor.

Unrechtmäßigkeit der Verarbeitung mangels berechtigten Interesses iSd Art. 6 Abs. 1 lit. f DSGVO

47 Die Revision bringt schließlich vor, das Verwaltungsgericht habe entgegen Art. 6 Abs. 1 lit. f DSGVO keine Interessenabwägung vorgenommen. Die Verarbeitung der den Revisionswerber betreffenden Bonitätsdaten wirke sich ausschließlich negativ auf ihn aus und beeinträchtige vor allem sein wirtschaftliches Fortkommen, indem die Daten zahlreichen Kreditinstituten zugänglich seien und als Entscheidungshilfe für das Zustandekommen und die Konditionen eines Geschäfts herangezogen würden. Seit Mai 2018 seien diese Daten aus der Insolvenzdatei gelöscht, weshalb nicht von einer geringeren Schutzwürdigkeit der Daten auszugehen sei. Der Revisionswerber habe damit rechnen können, dass mit der Löschung seiner Daten in der Insolvenzdatei auch die mitbeteiligte Partei diese Daten nach Erfüllung des Zahlungsplans nicht weiterverarbeiten werde. Die Interessen des Revisionswerbers an der Löschung der Bonitätsdaten würden die „berechtigten Interessen der mitbeteiligten Partei bzw. Dritter“ an der Datenverarbeitung überwiegen.

48 Die Datenschutzbehörde wendet dagegen im Wesentlichen ein, die datenschutzrechtliche Zulässigkeit der „Warnliste der Banken“ gründe sich seit der Geltung der DSGVO auf deren Art. 6 Abs. 1 lit. f iVm den die Banken treffenden Sorgfaltspflichten (insbesondere § 39 BWG und § 7 Abs. 1 VKrG). Die Zulässigkeit derartiger Systeme zur Prüfung der Kreditwürdigkeit sei auch vom Gesetzgeber anerkannt (vgl. § 7 Abs. 4 VKrG). Da die (rechtmäßige) Eintragung in die Bankenwarnliste auf Basis berechtigter Interessen des Verantwortlichen erfolge, müsse im Fall eines Löschungsantrages geprüft werden, ob diese Interessen nach wie vor gegeben seien. Im Rahmen der Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO reiche ein Gleichstand der Interessen des Betroffenen und Dritter. Dies sei vorliegend der Fall.

49 Die mitbeteiligte Partei führt in ihrer Revisionsbeantwortung zusammengefasst aus, das Verwaltungsgericht habe sehr wohl eine Interessenabwägung durchgeführt, indem es jener der belangten Behörde gefolgt sei, und es habe zu Recht aufgrund berechtigter Interessen der mitbeteiligten Partei bzw. Dritter die Rechtmäßigkeit der Datenverarbeitung bejaht. Der Revisionswerber habe lediglich das Interesse an der Richtigkeit, Aktualität und Relevanz seiner in der Bankenwarnliste angeführten Daten, weil diese Daten dazu dienten, gemeinsam mit weiteren (zwingend vorgesehenen) Informationen eine möglichst verlässliche Prognose für ein etwaiges Ausfallsrisiko nicht aber eine abschließende Aussage über die Kreditwürdigkeit einer betroffenen Person zu treffen. Zudem liege es in der Natur von Warnlisten und deren zugrundeliegendem Zweck des Gläubigerschutzes, dass ein Eintrag in der Praxis zu einer Einschränkung bei der Vergabe von Krediten führen könne.

Angesichts der sich aus § 39 BWG für Kreditinstitute ergebenden Verpflichtung zur Berücksichtigung des Kreditrisikos habe die mitbeteiligte Partei ein nachvollziehbares Interesse an der sorgfältigen Schätzung des Kreditrisikos und erfolge die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle zum Schutz potentieller Vertragspartner ‑ also Dritter ‑ iSd Art. 6 Abs. 1 lit. f DSGVO. Die mitbeteiligte Partei, die anderen beteiligten Kreditinstitute und deren Kunden hätten demnach auch ein berechtigtes Interesse, eine Datenbank zum Zweck des Gläubigerschutzes und der Risikominimierung zu führen.

Die Eintragung in die Bankenwarnliste stamme nicht aus der Insolvenzdatei, sondern aus dem direkten Vertragsverhältnis zwischen dem Revisionswerber und der mitbeteiligten Partei. Die Daten seien für eine vollständige Auskunft über die Bonität einer bestimmten Person und die Erstellung von Prognosen über deren Zahlungsfähigkeit erforderlich.

Während die Insolvenzdatei gemäß § 355 (wohl gemeint § 256) IO allein dem Zweck der öffentlichen Bekanntmachung diene, liege der Zweck der Bankenwarnliste in der Erfassung und Bereithaltung von relevanten Daten für die gesetzlich verpflichtend durchzuführende Risiko- und Bonitätsbewertung durch Finanzinstitute. Der Revisionswerber, dem bekannt gewesen sei, dass eine Eintragung in die Bankenwarnliste erfolgen könne, habe daher nicht erwarten können, dass zeitgleich mit der Löschung seiner Daten aus der Insolvenzdatei auch sein Eintrag in der Bankenwarnliste gelöscht werde. Die unterschiedlichen Löschungsfristen der beiden Datenbanken ergäben sich neben dem anderslautenden Zweck auch aus der abweichenden Art und Weise der Datenverarbeitung. Während die Insolvenzdatei öffentlich sei, hätten auf die Bankenwarnliste nur dem Bankgeheimnis verpflichtete Kreditinstitute Zugriff.

Demnach habe das Verwaltungsgericht die Interessenabwägung richtig vorgenommen. Die Beobachtung des historischen Zahlungsverhaltens eines potentiellen Schuldners sei zur notwendigen und sorgfältigen Abschätzung von Kreditausfallsrisiken wesentlich, zumal der EU‑Verordnungsgeber die Bewertung des Risikos anhand eines zumindest fünfjährigen Beobachtungszeitraumes für erforderlich sehe. Die Interessen des Revisionswerbers an der Geheimhaltung seiner Insolvenz- und Zahlungsausfallsdaten könnten daher nicht die dargelegten Interessen der Kreditinstitute und ihrer Vertragspartner überwiegen.

Dazu ist Folgendes auszuführen:

50 Da das in der Bankenwarnliste gespeicherte Zahlungserfahrungsdatum des Revisionswerbers weder im Hinblick auf die Richtigkeit noch betreffend die Speicherdauer (siehe dazu sogleich Rn. 63 ff) gegen Art. 5 DSGVO verstößt, ermöglicht davon ausgehend Art. 6 Abs. 1 lit. f DSGVO die Datenverarbeitung im Anschluss an eine Abwägung der berührten Interessen, soweit diese zu Gunsten des Verantwortlichen ausgeht (vgl. OGH 23.6.2021, 6 Ob 87/21v, Rn. 30, mwN).

51 Nach Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung personenbezogener Daten nur zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

52 Somit ist nach dieser Bestimmung die Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig: erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen (vgl. EuGH 17.6.2021, C‑597/19 , M.I.C.M., ECLI:EU:C:2021:492, Rz 106, mwN).

53 Die Bankenwarnliste dient dem Gläubigerschutz und der Risikominimierung. Ihr Zweck liegt in der Auskunftserteilung an die, diese Datenbank betreibenden Bankinstitute, um das potentielle Ausfallsrisiko von Kunden beurteilen zu können (vgl. dazu auch OGH 15.12.2005, 6 Ob 275/05t, sowie zur Verbesserung der Kenntnisse von Kreditinstituten über potentielle Kreditnehmer und der damit verbundenen verbesserten Vorhersehbarkeit der Rückzahlungswahrscheinlichkeit durch Register zum Austausch von Kreditinformationen und deren grundsätzliche Eignung die Ausfallsquote von Kreditnehmern zu verringern EuGH 23.11.2006, C‑238/05 , Asnef‑Equifax und Administración del Estado, ECLI:EU:C:2006:734, Rn. 47). Unter anderem aufgrund der sich etwa aus der Kapitaladäquanzverordnung, § 39 Abs. 2 BWG oder § 7 Abs. 1 VKrG ergebenden Verpflichtungen für Bankinstitute zur Erfassung, Beurteilung, Steuerung und Überwachung von bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und ‑praktiken bzw. der Prüfung der Kreditwürdigkeit von Verbrauchern unter Einholung erforderlichenfalls auch von Auskünften aus einer zur Verfügung stehenden Datenbank ergibt sich ein berechtigtes Interesse der mitbeteiligten Partei und der anderen am Betrieb der Bankenwarnliste beteiligten Bankinstitute an der Verarbeitung von negativen Zahlungserfahrungsdaten von Kunden, vorliegend des Revisionswerbers, das deren Verarbeitung iSd Art. 6 Abs. 1 lit. f DSGVO rechtfertigt (vgl. etwa OGH 23.6.2021, 6 Ob 87/21v, Rn. 34, zum berechtigten Interesse künftiger Gläubiger am Bereithalten von Bonitätsdaten).

54 Zur Voraussetzung der Erforderlichkeit der Verarbeitung der personenbezogenen Daten für die Verwirklichung des wahrgenommenen berechtigten Interesses ist zu beachten, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten auf das absolut Notwendige beschränken müssen (vgl. EuGH 17.6.2021, C‑597/19 , M.I.C.M., ECLI:EU:C:2021:492, Rz 110, mwN).

55 Die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen hängt grundsätzlich von den konkreten Umständen ab (EuGH 17.6.2021, C‑597/19 , M.I.C.M., ECLI:EU:C:2021:492, Rz 111, mwN).

56 Im Rahmen der nach Art. 6 Abs. 1 lit. f DSGVO gebotenen Interessenabwägung ist dem Revisionswerber zuzugestehen, dass die Verarbeitung des betreffenden Bonitätsdatums sich negativ für ihn auswirkt und sein wirtschaftliches Fortkommen insofern beeinträchtigt, als dieses Datum allen an der Bankenwarnliste beteiligten Bankinstituten zugänglich ist und zur Beurteilung seiner Bonität herangezogen wird. Dies führt jedoch in der Gesamtauswirkung nicht zuletzt auf Grund des Umstandes, dass das konkrete negative Zahlungserfahrungsdatum selbst keine Bonitätsbeurteilung darstellt, jedoch die Bankinstitute diesen Datenbankeintrag neben anderen Datenquellen für ihre Risikobewertung zu berücksichtigen haben (siehe dazu sogleich Rn. 68 ff), nicht zu einer unzumutbaren Belastung des Revisionswerbers bei der Teilnahme am Wirtschaftsleben.

57 Nach Erwägungsgrund 47 zur DSGVO sind auch die vernünftigen Erwartungen in die Interessenabwägung miteinzubeziehen. Auf Grund der Nichtgewährung der Einsicht in die Insolvenzdatei nach Erfüllung des Zahlungsplans gemäß § 256 Abs. 3 IO mit Beschluss des Bezirksgerichts D vom 4. Mai 2018 musste der Revisionswerber vernünftigerweise nicht auch mit der Löschung des ihn betreffenden Eintrags in die Bankenwarnliste rechnen, zumal die Insolvenzdatei einem anderen Verarbeitungszweck dient und zwar der öffentlichen Bekanntmachung aller Daten, hinsichtlich derer dies die IO vorschreibt, um eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten und die Eröffnung von Parallelverfahren zu verhindern (vgl. Erwägungsgrund 76 zur Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über Insolvenzverfahren) und die Einsicht in die Bankenwarnliste im Gegensatz zur Insolvenzdatei auf Bankinstitute beschränkt ist. Im Übrigen liegt dem gegenständlichen Eintrag von Zahlungserfahrungsdaten des Revisionswerbers keine Verarbeitung von personenbezogenen Daten aus der Insolvenzdatei zugrunde, sondern die Erhebung dieser Daten durch die mitbeteiligte Partei im Zusammenhang mit der bei ihr bestandenen Girokontoverbindung des Revisionswerbers.

58 Vorliegend überwiegen somit in einer Gesamtbetrachtung die berechtigten Informationsinteressen der die Bankenwarnliste betreibenden Bankinstitute die schutzwürdigen Geheimhaltungsinteressen des Revisionswerbers.

59 Zusammengefasst erweist sich die Verarbeitung personenbezogener Daten des Revisionswerbers durch Speicherung des den Revisionswerber betreffenden Zahlungserfahrungsdatums in die Bankenwarnliste von der mitbeteiligten Partei als rechtmäßig.

Recht auf Löschung wegen Wegfalls des Zwecks der Datenverarbeitung gemäß Art. 17 Abs. 1 lit. a DSGVO ‑ Speicherdauer (Art. 5 Abs. 1 lit. c und e DSGVO)

60 Die Revision wendet sich gegen die vom Verwaltungsgericht aus Art. 180 Abs. 2 lit. e Kapitaladäquanzverordnung abgeleitete Relevanz von fünf Jahre zurückliegenden Zahlungserfahrungsdaten für seine Bonität. Vielmehr sei gemäß Art. 181 Abs. 2 Kapitaladäquanzverordnung neueren Daten, die sich besser zur Vorhersage der Verlustquoten eignen würden, der Vorrang zu geben. Bei entsprechender Genehmigung durch die zuständigen Behörden könnten Kreditinstitute oder Wertpapierfirmen sich für ihre interne Beurteilung sogar auf einen Zeitraum von lediglich zwei Jahren beschränken.

Vorliegend seien solche neueren, besser geeigneten Daten von der mitbeteiligten Partei überhaupt nicht berücksichtigt worden, sodass die mitbeteiligte Partei im Ergebnis Dritten eine unrichtige Bewertung der Bonität des Revisionswerbers zur Verfügung stelle. Es sei daher nicht von einer Mindestspeicherdauer von fünf Jahren auszugehen.

Überdies gehe das Verwaltungsgericht erkennbar davon aus, dass es für den Beginn der fünfjährigen Mindestspeicherfrist auf den Zeitpunkt der Erfüllung des Zahlungsplans abstelle. Demgegenüber sei der Zeitpunkt des Forderungsausfalls relevant. Der Forderungsausfall sei fallbezogen mit der Bestätigung des Zahlungsplans im Jahre 2012 im über das Vermögen des Revisionswerbers eingeleiteten Schuldenregulierungsverfahren mit einer festgelegten Rückzahlungsquote von 70 % eingetreten. Der Zahlungsplan sei vom Revisionswerber im März 2018 vollständig und vorzeitig erfüllt worden. Nur wenn der Zahlungsplan nicht (vollständig) erfüllt worden wäre, wäre eine Änderung des Zahlungsausfalls eingetreten und auf den Zeitpunkt der Erfüllung des (geänderten) Zahlungsplans abzustellen gewesen. Bei dessen vollständiger Erfüllung entspreche der Zahlungsausfall im Zeitpunkt der Erfüllung dem Zahlungsausfall bei Bestätigung des Zahlungsplans. Die Höhe des Zahlungsausfalls ändere sich in diesem Fall nicht. Es sei daher in Bezug auf den Beginn der mit fünf Jahren angenommenen Speicherfrist auf den Zeitpunkt des Abschlusses des Zahlungsplans im Jahr 2012 abzustellen, weshalb der Eintrag in der Bankenwarnliste jedenfalls bereits zu löschen sei.

61 Dem hält die Datenschutzbehörde in ihrer Revisionsbeantwortung entgegen, dass ein Zeitraum von fünf Jahren für die Zulässigkeit der weiteren Verarbeitung von Bonitätsdaten angemessen sei. Vorliegend lägen keine Anhaltspunkte für eine „besondere Situation“ im Sinne des Art. 21 Abs. 1 DSGVO vor, um von diesem Zeitraum abzuweichen. Da die Kenntnis darüber, wann Forderungen erfüllt bzw. (im Falle der Insolvenz) quotenmäßig beglichen worden seien, für die Beurteilung des (künftigen) Zahlungsverhaltens von großer Relevanz sei, sei für die Beurteilung der Datenaktualität nicht auf den Zeitpunkt des Forderungsausfalls abzustellen. Nur auf diese Weise könne beurteilt werden, wie lange ein Schuldner für die Erfüllung benötigt habe und welche Schritte hierfür notwendig gewesen seien.

62 Die mitbeteiligte Partei wendet in ihrer Revisionsbeantwortung zusammengefasst ein, weder aus dem Wortlaut der Art. 180 und 181 Kapitaladäquanzverordnung noch aus ihrem Zusammenhang und Zweck ergäbe sich, dass ausschließlich neue den Revisionswerber betreffende Daten zu berücksichtigen seien und deshalb vorliegend die Eintragung in der Bankenwarnliste zu löschen sei.

Um die gesetzlich verpflichtend vorgesehenen Schätzungen mit der für ein Kreditinstitut erforderlichen Sorgfalt sinnvoll und belastbar durchführen zu können, sei es unerlässlich, dass das Institut über ausreichend Daten zu Kreditausfällen ‑ sei es aus internen oder externen Quellen ‑ verfüge. Dafür würden die langfristigen Durchschnitte der jährlichen Ausfallsraten als Ausgangsbasis verwendet. Längere Zeiträume böten den gewichtigen Vorteil, dass die Zahl der Beobachtungen größer sei und dadurch eine statistisch solidere Schätzung erzielt werden könne. Genau diesen Zweck würden Art. 180 Abs. 2 lit. e und Art. 181 Abs. 2 letzter Absatz Kapitaladäquanzverordnung ausdrücklich festlegen, indem die Zeitreihe mindestens fünf Jahre betragen solle. Darüber hinaus müssten ausdrücklich sogar längere Zeitreihen verwendet werden, wenn sie relevant seien. Demnach sei die Fünfjahresfrist die absolute Mindestdauer. Darüberhinausgehende Zeitreihen seien gesetzlich sogar erwünscht und würden unter Umständen durch niedrigere Konservativitätsaufschläge belohnt werden. Der EU‑Verordnungsgeber gehe zu Recht davon aus, dass für die Beurteilung der Bonität eines Betroffenen bzw. des Risikos einer Forderung Daten über etwaige Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren relevant seien.

Soweit gemäß Art. 180 Abs. 1 lit. h und Art. 181 Abs. 2 letzter Absatz Kapitaladäquanzverordnung auch kürzere ‑ mindestens zwei Jahre umfassende ‑ Zeiträume verwendet werden könnten, sei für die Berufung auf diese Ausnahmeregelung die ausdrückliche Zustimmung der zuständigen Aufsichtsbehörde notwendig. Diese werde jedoch nur zum Zeitpunkt der erstmaligen PD‑Schätzung zu „IRBA‑Zwecken“ erteilt und habe de facto eine historische Bedeutung, um den Instituten den Umstieg auf den IRB‑Ansatz zu erleichtern. Mit jedem Jahr der „IRBA‑Nutzung“ verlängere sich die Mindestlänge um ein weiteres Jahr, bis sie schließlich fünf Jahre erreicht habe. Auch in diesem Ausnahmefall und unter Annahme der Zustimmung der Aufsichtsbehörde solle dem Gesetzeszweck folgend bewusst eine längere Datenhistorie genutzt werden, sofern eine solche verfügbar sei. Dies gelte gleichermaßen für interne wie auch externe Daten. Das Institut müsse unter anderem beweisen, dass längere historische Zeitreihen relevanter Daten nicht verfügbar seien.

Ebenso wenig ergebe sich aus den Bestimmungen der Kapitaladäquanzverordnung, dass neueren Daten stets der Vorrang zu geben sei bzw. eine allgemeine Pflicht, nur noch die neueren Daten zu verwenden und länger zurückliegende, richtige Daten zu Zahlungsausfällen gänzlich zu ignorieren. Art. 180 Abs. 2 lit. e und Art. 181 Abs. 2 Kapitaladäquanzverordnung besagten lediglich, wenn sich neuere Daten besser zur Vorhersage der Verlustquote eigneten, müsse ein Institut historischen Daten nicht die gleiche Bedeutung beimessen. Die Daten seien nach ihrer Aktualität zu gewichten, falls dies zu einer nachweislichen Verbesserung der Prognosegüte führe. Dies müsse das Institut jedoch beweisen, weshalb PD‑ und LGD‑Schätzungen für beide Fälle zu berechnen seien und auch die älteren Daten erforderlich seien, um diesen Vergleich anstellen zu können. Für die Relevanz der Daten komme es im Sinne der Gesamtabwägung darauf an, ob und in welchem Ausmaß die Daten für das konkrete Portfolio repräsentativ seien. Da sich in den rund sechs Monaten zwischen dem Eintrag in die Bankenwarnliste und der Datenschutzbeschwerde des Revisionswerbers keine Änderungen in den objektiven Kriterien des Instituts ergeben hätten, seien die Daten jedenfalls weiterhin relevant.

Entgegen dem Revisionsvorbringen sei dem Verwaltungsgericht auch darin zu folgen, dass für den Beginn der Speicherfrist nicht auf den Zeitpunkt des Forderungsausfalls, sondern auf den Zeitpunkt der Erfüllung des Zahlungsplanes abzustellen sei. Während die PD‑Schätzung auf die Ausfallswahrscheinlichkeit abstelle, solle die LGD Schätzung eine Prognose über die Verlusthöhe bei einem Ausfall ermöglichen. Dazu seien als Basis die durchschnittlich realisierten LGDs der letzten Jahre erforderlich. Dafür müssten nicht nur Daten über das Bestehen eines Ausfalls vorhanden sein, sondern auch über die Verwertung etwaiger Rückflüsse und die dazugehörigen Kosten. Als geeignete Datenbasis müssten insbesondere auch das Ausfallsdatum, der beim Ausfall noch ausstehende Betrag und sämtliche Zahlungsströme vorliegen. Zusätzlich würden die EBA‑Leitlinien den Betrag des tatsächlichen Verlusts als Information, die mindestens in einem Referenzdatensatz enthalten sein müsse, nennen. Dieser könne erst dann final ermittelt werden, wenn ein Zahlungsplan endgültig erfüllt oder die Geschäftsbeziehung mit dem Betroffenen (mangels vollständiger Erfüllung) beendet worden sei. Der relevante Zeitpunkt für die Entstehung des LGD‑Werts könne nur die tatsächliche Erfüllung des Zahlungsplans sein. Würde man auf den Zeitpunkt des Forderungsausfalls abstellen, würden die wesentlichen Informationen rund um die Tilgung und Erfüllung des Zahlungsplans verloren gehen. Beim Schuldner, der einen Zahlungsplan erfülle, ergebe sich ein höherer LGD‑Wert, weshalb die Werte beider Ausfälle in die Bewertung miteinfließen und den gleichen Speichergrundsätzen unterliegen müssten.

Dazu ist zunächst allgemein Folgendes auszuführen:

63 Entsprechend den Grundsätzen der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO), Datenminimierung (lit. c leg. cit.) und Speicherbegrenzung (lit. e leg. cit.) unterliegen Daten einem Löschungsanspruch, wenn sie für die Erfüllung der Zwecke, für die sie ursprünglich erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr notwendig sind (vgl. EuGH 20.10.2022, C‑77/21 , Digi, ECLI:EU:C:2022:805, Rz. 54; Haidinger in Knyrim, DatKomm [2022] Art. 17 Rz. 48; Dix in Simitis/Hornung/Spiecker (Hrsg), Datenschutzrecht [2019] Art. 17, Rz. 10; Peuker in Sydow, Europäische Datenschutzgrundverordnung2 [2018] Art. 17 Rz. 16). Mit diesem Grundsatz der Speicherbegrenzung wird eine zeitliche Grenze der Verarbeitung personenbezogener Daten normiert (Herbst in Kühling/Buchner, DS‑GVO BDSG3 [2020] Art. 5 Rz. 64).

64 Die Frist bzw. die Kriterien, nach denen sich der Zeitpunkt der Löschung bestimmt, müssen auf das für die Verarbeitungszwecke unbedingt erforderliche Mindestmaß beschränkt sein. Die Festlegung der Fristen bzw. Kriterien bedarf daher meist einer fallbezogenen Betrachtung (ausgenommen etwa eine in Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO erfolgte Datenverarbeitung, hinsichtlich der sich die Aufbewahrungsfristen bzw. Löschpflichten unmittelbar aus dem Gesetz ergeben), in der die Erforderlichkeit der Aufbewahrung von Daten anhand der Verarbeitungszwecke beurteilt wird (vgl. OGH 23.6.2021, 6 Ob 87/21v, Rn. 18, mwN).

65 Vorliegend ist somit zu prüfen, ob im Entscheidungszeitpunkt des Verwaltungsgerichts die in Form der Eintragung der bloß teilweisen Tilgung der Forderung der mitbeteiligten Partei durch den Revisionswerber in die Bankenwarnliste verarbeiteten personenbezogenen Daten des Revisionswerbers für die Erfüllung der Zwecke, für die sie ursprünglich erhoben wurden, nicht mehr notwendig sind, und deshalb die Datenverarbeitung durch Zeitablauf unzulässig wurde (vgl. etwa dazu, dass unter anderem in Bezug auf das Recht auf Löschung gemäß § 24 Abs. 6 DSG ein Beschwerdegegner die behauptete Rechtsverletzung bis zum Abschluss des Verfahrens vor der Datenschutzbehörde nachträglich beseitigen kann, indem er den Anträgen des Beschwerdeführers entspricht VwGH 19.10.2022, Ro 2022/04/0001, Rn. 26).

66 Wie bereits in Rn. 53 dargelegt, dient die Bankenwarnliste dem Gläubigerschutz und der Risikominimierung.

67 Im Rahmen der fallbezogenen Betrachtung ist auf die konkreten Gegebenheiten abzustellen. Bei der Abwägung kommen etwa der Höhe der einzelnen Forderungen, dem Zeitpunkt des Feststehens des endgültigen Ausfalls der Forderung und dem Datum der Eintragung in die Datenbank Bedeutung zu. Historische Zahlungsinformationen haben umso weniger Aussagekraft, je länger sie zurückliegen und je länger es zu keinen weiteren Zahlungsstockungen und Zahlungsausfällen gekommen ist. Als Richtlinie, wie lange Zahlungserfahrungsdaten zur Beurteilung der Bonität eines (potentiellen) Schuldners geeignet sind, können unter anderem Beobachtungs- oder Löschungsfristen in rechtlichen Bestimmungen herangezogen werden, die dem Gläubigerschutz dienen oder die Erfordernisse an eine geeignete Bonitätsbeurteilung näher festlegen (vgl. OGH 23.6.2021, 6 Ob 87/21v, Rn. 19).

Bezogen auf den vorliegenden Fall ergibt sich daraus:

68 Vorliegend zog das Verwaltungsgericht dazu die Verordnung Nr. 575/2013/EU (Kapitaladäquanzverordnung) heran. Diese Verordnung dient unter anderem der Festlegung der Aufsichtsanforderungen für Kreditinstitute und Wertpapierfirmen, um die Finanzstabilität der Wirtschaftsteilnehmer an den Bank- und Finanzdienstleistungsmärkten zu sichern sowie einen hohen Grad an Anleger- und Einlegerschutz zu gewährleisten (Erwägungsgrund 7 der Kapitaladäquanzverordnung). Gemäß Art. 176 Abs. 2 Kapitaladäquanzverordnung sind von den Instituten unter anderem in Bezug auf Risikopositionen gegenüber Unternehmen, für die ein Institut den PD‑Ansatz (Abkürzung „PD“ stammend aus dem Englischen: „Probability of Default“ = Ausfallwahrscheinlichkeit) bzw. LGD‑Ansatz (Abkürzung „LGD“ stammend aus dem Englischen: „Loss Given Default“ = Verlustquote) nach Art. 155 Abs. 3 leg. cit. anwendet, unter anderem die ausgefallenen Schuldner und Risikopositionen (lit. e), und der Zeitpunkt und die Umstände dieser Ausfälle (lit. f) zu erfassen und zu speichern. Die ausgefallenen Schuldner und Risikopositionen sind gemäß Art. 176 Abs. 5 lit. c Kapitaladäquanzverordnung auch in Bezug auf Risikopositionen aus dem Mengengeschäft (Geschäft mit natürlichen Personen oder kleinen oder mittleren Unternehmen [KMU] gemäß Art. 123 lit. a Kapitaladäquanzverordnung) von den Instituten zu erfassen und zu speichern. Die erforderlichen Daten müssen nicht grundsätzlich bankintern generiert sein. Je nach Anwendungsbereich kann es sich auch um externe Daten Dritter oder um Daten aus Datenpools handeln (vgl. Loch in Boos/Fischer/Schulte‑Mattler, KWG, CRR‑VO5 [2016] Art. 176 Rz. 4). In diesem Zusammenhang kann die Bankenwarnliste, die institutsübergreifend negative Zahlungserfahrungsdaten von potentiellen Kreditnehmern beinhaltet, als Datenquelle etwa in Bezug auf die Quantifizierung der Risikoparameter für bestimmte Bonitätsstufen oder ‑pools (Art. 179 Kapitaladäquanzverordnung) von Bedeutung sein.

69 Gemäß Art. 180 Abs. 1 lit. h Kapitaladäquanzverordnung muss in Bezug auf Schätzungen der Ausfallwahrscheinlichkeiten (PD‑Schätzungen) für Forderungen unter anderem an Unternehmen der historische Beobachtungszeitraum für zumindest eine Datenquelle mindestens fünf Jahre betragen unabhängig davon, ob ein Institut für seine Schätzung der Ausfallswahrscheinlichkeit externe, interne oder zusammengefasste Datenquellen oder eine Kombination daraus verwendet. Ebenso stützen sich gemäß Art. 181 Abs. 1 lit. j Kapitaladäquanzverordnung die Schätzungen der Verlustquote (LGD‑Schätzungen) bei Forderungen unter anderem an Unternehmen zumindest für eine Datenquelle auf einen mindestens fünfjährigen Zeitraum, der jährlich nach der Umsetzung um ein Jahr verlängert wird, bis ein Minimum von sieben Jahren erreicht ist. Bei Risikopositionen gegenüber unter anderem Unternehmen beträgt somit die Mindestlänge bei PD‑ und LGD‑Schätzungen fünf Jahre, wobei bei LGD‑Schätzungen die Datenhistorie im weiteren Zeitverlauf bis zur standardmäßig vorgeschriebenen Länge von sieben Jahren wächst (vgl. Daun in Boos/Fischer/Schulte‑Mattler, KWG, CRR-VO5 [2016] Art. 180 Rz. 41 und Art. 181 Rz. 30). Wurde hingegen eine Datenquelle über einen längeren Zeitraum beobachtet und sind die entsprechenden Daten relevant, ist dieser längere Beobachtungszeitraum sowohl bei PD-, als auch bei LGD‑Schätzungen heranzuziehen (Art. 180 Abs. 1 lit. h bzw. Art. 181 Abs. 1 lit. j Kapitaladäquanzverordnung).

70 Auch bei Retailforderungen (Forderungen gegen Privatkunden sowie kleine und mittlere Unternehmen) muss der einer PD‑Schätzung zugrundeliegende historische Beobachtungszeitraum für zumindest eine Datenquelle gemäß Art. 180 Abs. 2 lit. e Kapitaladäquanzverordnung mindestens fünf Jahre betragen, unabhängig davon, ob ein Institut für seine Schätzung der Verlustmerkmale externe, interne oder zusammengefasste Datenquellen oder eine Kombination daraus verwendet, bzw. haben sich gemäß Art. 181 Abs. 2 Kapitaladäquanzverordnung die LGD‑Schätzungen auf Daten eines mindestens fünfjährigen Zeitraums zu stützen.

71 Daraus ergibt sich für PD- und LGD‑Schätzungen von Kreditinstituten sowohl in Bezug auf Forderungen an Unternehmen, als auch im Privatkundengeschäft eine Mindestspeicherdauer von jedenfalls fünf Jahren.

72 Dem steht der Hinweis des Revisionswerbers auf einen gemäß Kapitaladäquanzverordnung zu verwendenden Zweijahreszeitraum für relevante Daten bei der Anwendung des IRB‑Ansatzes (Abkürzung „IRB“ stammend aus dem Englischen: „Internal Ratings Based“; IRB‑Ansatz: Ansatz zur Berechnung des Eigenmittelerfordernisses für das Kreditrisiko, bei dem die Risikogewichte der Kredite auf institutsinternen Beurteilungen basiert - Art. 36 Abs. 1 lit. d Kapitaladäquanzverordnung) nicht entgegen.

73 Die Verwendung von relevanten Daten aus einem Zweijahreszeitraum bei der Anwendung des IRB‑Ansatzes bedarf in Bezug auf PD‑Schätzungen gemäß Art. 180 Abs. 1 lit. h, Abs. 2 lit. e sowie betreffend LGD-Schätzungen bei Retailforderungen gemäß Art. 181 Abs. 2 letzter Absatz Kapitaladäquanzverordnung jeweils der behördlichen Genehmigung und verlängert sich jeweils um ein Jahr, bis relevante Daten für einen Zeitraum von fünf Jahren vorliegen. Eine Datenhistorie von mindestens zwei Jahren gilt demnach im Falle der behördlichen Genehmigung lediglich im ersten Jahr der Nutzung des IRB‑Ansatzes, verlängert sich jedoch in den Folgejahren bis wiederum ein Beurteilungszeitraum von fünf Jahren erreicht ist.

74 Soweit Art. 180 Abs. 2 lit. e und Art. 181 Abs. 2 letzter Absatz Kapitaladäquanzverordnung bei Retailforderungen in Bezug auf PD‑Schätzungen bzw. LGD‑Schätzungen vorsehen, dass ein Institut historischen Daten nicht die gleiche Bedeutung beimessen muss, wenn sich neuere Daten besser zur Vorhersage der Verlustquoten eignen, ist daraus nicht die Unbeachtlichkeit von Daten des historischen Beobachtungszeitraums von zumindest fünf Jahren abzuleiten. Eine „bessere Eignung“ neuerer Daten hat vielmehr lediglich Bedeutung für die höhere Gewichtung dieser Daten.

75 Demnach ergibt sich aus den einschlägigen Bestimmungen der Kapitaladäquanzverordnung, dass zumindest fünf Jahre zurückliegende sowohl interne wie auch externe Zahlungserfahrungsdaten von potentiellen Kreditnehmern für Kreditinstitute zum Zweck der Beurteilung der Ausfallswahrscheinlichkeit und der Verlustquote unter anderem zur Berechnung des Eigenmittelerfordernisses relevant sind.

76 Eintragungen von zumindest fünf Jahre zurückliegenden Zahlungserfahrungsdaten in der Bankenwarnliste können daher nach wie vor den Zwecken, weswegen sie verarbeitet wurden, und zwar des Gläubigerschutzes und der Risikominimierung durch Beurteilung des Ausfallsrisikos potentieller Kunden dienen.

77 Im Übrigen ist es aus Sicht der Kreditwirtschaft unabdingbar, eine objektive, transparente und vor allem wahrheitsgemäße Auskunft über die Zahlungsfähigkeit und -schwierigkeiten von Schuldnern zu gewährleisten. Dies ist nur möglich, wenn die Daten über einen gewissen (längeren) Zeitraum gespeichert bleiben. Eine kürzere Speicherdauer wäre demgegenüber geeignet, ein verzerrtes Bild zu vermitteln (vgl. OGH 23.6.2021, 6 Ob 87/21v, Rn. 27).

78 Entgegen der Rechtsansicht des Revisionswerbers ist in diesem Zusammenhang vorliegend nicht auf den Zeitpunkt der gerichtlichen Bestätigung des Zahlungsplans im Jahre 2012, sondern auf den Zeitpunkt dessen vollständiger Erfüllung abzustellen, weil erst zu diesem Zeitpunkt die tatsächliche Ausfallsquote klar ist.

79 Der Löschungsgrund des Art. 17 Abs. 1 lit. a DSGVO liegt somit nicht vor.

Ergebnis

80 Die Revision war aus diesen Erwägungen gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.

81 Von der Durchführung der beantragten Verhandlung vor dem Verwaltungsgerichtshof konnte gemäß § 39 Abs. 2 Z 6 VwGG Abstand genommen werden, weil es im vorliegenden Fall nicht um Fragen der Beweiswürdigung oder strittige Tatsachenfeststellungen geht, sondern in der Revision Rechtsfragen aufgeworfen wurden, zu deren Lösung im Sinn der Judikatur des EGMR eine mündliche Verhandlung nicht geboten ist (vgl. VwGH 23.6.2022, Ra 2021/04/0071, Rn. 43, mwN).

82 Der Ausspruch über den Aufwandersatz gründet sich auf die §§ 47 ff VwGG in Verbindung mit der VwGH‑Aufwandersatzverordnung 2014.

Wien, am 9. Mai 2023