BVwG W101 2213581-1

Spruch:

W101 2213581-1/5E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Christine AMANN als Vorsitzende und die fachkundigen Laienrichter MMag. Dr. Winfried PÖCHERSTORFER sowie Mag. Thomas GSCHAAR als Beisitzer über die Beschwerde der XXXX , vertreten durch: RA Dr. Friedrich GATSCHA, gegen die Spruchteile 1. und 3. des Bescheides der Datenschutzbehörde vom 07.12.2018, GZ. DSB-D123.193/0003-DSB/2018, zu Recht erkannt:

A)

Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm § 24 Abs. 1 und Abs. 5 DSG idgF als unbegründet abgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

Mit Schreiben vom 05.07.2018 (eingelangt am 11.07.2018) brachte Frau XXXX (= mitbeteiligte Partei vor dem Bundesverwaltungsgericht und Antragstellerin vor der Datenschutzbehörde), eine Datenschutzbeschwerde gegen die XXXX (= Beschwerdeführerin vor dem Bundesverwaltungsgericht und Beschwerdegegnerin vor der Datenschutzbehörde) ein, weil sie in ihrem Recht auf Löschung verletzt worden sei. Sie begründete ihre Datenschutzbeschwerde im Wesentlichen folgendermaßen:

Die mitbeteiligte Partei habe am 05.06.2018 einen Antrag auf Löschung ihrer personenbezogenen Daten an die Beschwerdeführerin gestellt. Da die aufgelisteten Daten nicht mehr aktuell seien, habe sie von der Beschwerdeführerin verlangt, alle ihre bonitätsrelevanten Daten, mit Ausnahme des Namens, Geburtsdatums und der aktuellen Wohnadresse zu löschen. Die mitbeteiligte Partei habe ihre Schulden im Rahmen eines Zahlungsplanes zu 100% getilgt und wolle nun wirtschaftlich von vorne beginnen. Die Beschwerdeführerin habe der mitbeteiligten Partei allerdings mit Schreiben vom 21.06.2018 mitgeteilt, dass in Bezug auf die gegenständlichen Eintragungen keinerlei Anhaltspunkte für die Unrichtigkeit der Eintragung oder die Unzulässigkeit der Verarbeitung gefunden werden hätten können. Nach den Bestimmungen der DSGVO habe daher keine Löschung oder Richtigstellung der Daten zu erfolgen.

Mit Stellungnahme vom 27.08.2018 führte die Beschwerdeführerin zur Datenschutzbeschwerde der mitbeteiligten Partei im Wesentlichen Folgendes aus:

Datenschutzrechtliche Rechtsgrundlage der Verarbeitung bonitätsrelevanter personenbezogener Daten in Identität- und Bonitätsdatenbank der Beschwerdeführerin seien überwiegende berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO. Die überwiegenden berechtigten Interessen lägen hierbei auf Seiten Dritter vor, nämlich der in Vorleistung tretenden Unternehmen der Kreditwirtschaft. Grundsätzlich speichere die Beschwerdeführerin personenbezogene Daten nur so lange ein legitimer Zweck für ihre Verarbeitung bestehe. Solange die Daten daher für die Beurteilung der Identität oder der Bonität von Belang seien, bestehe der Verarbeitungszweck fort. Je länger ein Zahlungserfahrungseintrag in der Vergangenheit liege, je geringer der Betrag sei und je weniger sonstige Zahlungserfahrungsdaten zu einer Person vorliegen würden, desto eher sei davon auszugehen, dass sich dem konkreten Eintrag keine bonitätsrelevanten Aussagen (mehr) ableiten ließen. Auch bereits beglichene („positiv erledigte“) Forderungen würden bonitätsrelevante Daten darstellen. Der Umstand, dass eine Forderung erst nach qualifizierter Mahnung bzw. Betreibung durch Inkassoinstitute oder Rechtsanwälte beglichen worden sei, bedeute dies einen zumindest temporären Zahlungsausfall und resultiere damit in einem Kreditierungsrisiko bezüglich künftiger Rechtsgeschäfte. Um ein sachlich richtiges und vollständiges Bild der zu einer Person gespeicherten, bonitätsrelevanten Daten zu vermitteln und damit dem Grundsatz der Datenrichtigkeit nach Art. 5 Abs. 1 lit. d DSGVO Genüge zu tun, sei es daher wichtig, dass auch bereits bezahlte Forderungen in der XXXX -Datenbank verbleiben würden.

Bei den gespeicherten Zahlungserfahrungsdaten der mitbeteiligten Partei bestehe u.a. noch eine Forderung über € 481,34 (Herkunft: XXXX ), die zwischenzeitlich als „positiv erledigt“ bestätigt worden sei sowie eine Forderung über € 497,07 (Herkunft: XXXX ), die ebenfalls als „positiv erledigt“ in der Datenbank aufscheine. Auf diese beiden Forderungen würden die Standard-Löschregeln der Beschwerdeführerin zur Anwendung kommen. Dies bedeute, dass die Forderungen aufgrund ihrer doch beträchtlichen Höhe nach wie vor als bonitätsrelevant zu betrachten seien. Es sei daher ein aufrechter Verarbeitungszweck vorhanden, weshalb weder nach Art. 17 Abs. 2 lit. a noch nach lit. d DSGVO eine Löschung zu erfolgen habe. Sonstige Löschungsgründe seien seitens der mitbeteiligten Partei nicht vorgebracht worden und würden auch nicht vorliegen.

Ausweichlich des § 256 Abs. 1 Z 4 IO seien in der Ediktsdatei gespeicherte Informationen zu einem Schuldenregulierungsverfahren noch ein Jahr ab Ablauf der im Zahlungsplan vorgesehenen Zahlungsfrist einsehbar. Laut Ediktsdatei sei im Schuldenregulierungsverfahren des BG Fünfhaus zu GZ. 43 S 1/13y ein Zahlungsplan mit Ende der Zahlungsfrist am 15.04.2018 beschlossen worden. Sohin sei selbst in der voraussetzungslos einsehbaren Ediktsdatei das gegenständliche Schuldenregulierungsverfahren noch bis Ablauf des 15.04.2019 aufrufbar. Dieser Umstand öffentlicher Einsehbarkeit sei in der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO jedenfalls zu berücksichtigen: Ein Interesse, dass Daten, die von jedermann online abgerufen werden könnten, nicht auch von der Beschwerdeführerin verarbeitet werden dürften, sei nicht erkennbar.

Auch nach Ablauf des 15.04.2019 liege hinsichtlich der Daten aus genannten Schuldenregulierungsverfahren Verarbeitungszweck und Rechtsgrundlage vor. Auch ein historisches Schuldenregulierungsverfahren stelle eine gewisse Zeit lang ein bonitätsrelevantes Datum dar, da sich aus dem bisherigen finanziellen Gebaren einer Person Rückschlüsse auf künftiges Zahlungsverhalten ziehen lassen könne.

Mit Bescheid vom 07.12.2018, GZ. DSB-D123.193/0003-DSB/2018, gab die Datenschutzbehörde der Datenschutzbeschwerde vom 11.07.2018 teilweise statt und stellte fest, dass die Beschwerdeführerin die mitbeteiligte Partei dadurch in ihrem Recht auf Löschung verletzt habe, indem sie die bereits mit 27.02.2013 beglichene Forderung iHv von € 497,07 nicht aus ihrer Bonitätsdatenbank gelöscht habe (Spruchteil 1.). Die Datenschutzbeschwerde werde hinsichtlich einer behaupteten Verletzung im Recht auf Löschung in Bezug auf die am 15.04.2018 beglichene Forderung in der Höhe von € 481,34 sowie die in der Datenbank der mitbeteiligten Partei aufscheinenden Informationen aus der Insolvenzdatei (Ediktsdatei) abgewiesen (Spruchteil 2.). Schließlich wurde die Beschwerdeführerin angewiesen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution dem Löschungsbegehren der mitbeteiligten Partei (zur Forderung iHv € 497,07) Folge zu leisten und die in Spruchteil 1. genannten Daten zu löschen (Spruchteil 3.).

Hinsichtlich der Spruchteile 1. und 3. des o.a. Bescheides traf die Datenschutzbeschwerde im Wesentlichen folgende Sachverhaltsfeststellungen:

Die Beschwerdeführerin betreibe eine Identitäts- und Bonitätsdatenbank. Die Daten beziehe sie aus öffentlich verfügbaren Quellen bzw. bekomme sie Daten von Adressverlagen und Informationen zu Zahlungserfahrungen von einer Vielzahl an Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt.

Mit Schreiben vom 05.06.2018 habe die Beschwerdeführerin die Löschung ihrer personenbezogenen Daten mit der Begründung, dass die aufgelisteten Daten nicht mehr aktuell seien, da sie die Schulden im Rahmen eines Zahlungsplanes zu 100% getilgt habe, beantragt. Sie habe die Löschung aller bonitätsrelevanten Daten, mit Ausnahme ihres Namens, Geburtsdatums und ihrer aktuellen Wohnadresse beantragt.

Mit Schreiben vom 21.06.2018 sei dem Antrag auf Löschung seitens der Beschwerdeführerin abgewiesen worden.

Zum Stichtag 22.08.2018 sei u.a. noch die Forderung iHv von € 497,07 (eröffnet am 07.06.2010, geschlossen am 27.02.2013) gespeichert gewesen.

Auf der Grundlage dieser Sachverhaltsfeststellungen folgerte die Datenschutzbehörde in rechtlicher Hinsicht gegenständlich im Wesentlichen Folgendes:

Im vorliegenden Fall habe die mitbeteiligte Partei entsprechend Art. 17 Abs. 1 DSGVO die unverzügliche Löschung ihrer personenbezogenen Daten, ausgenommen ihres Namens, Geburtsdatums und der aktuellen Wohnadresse verlangt.

Eingangs sei festzuhalten, dass die Verarbeitung bonitätsrelevanter Daten durch eine Kreditauskunftei iSd § 152 Gewerbeordnung Deckung in eben dieser Bestimmung finde und die Rechtmäßigkeit der Verarbeitung dieser Daten folglich nicht von der vorherigen Einwilligung eines Betroffenen abhänge.

Mangels Spezialregeln für Kreditauskunfteien seien die allgemeinen Grundsätze der DSGVO anzuwenden, wonach u.a. personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen (Art. 5 Abs. 1 lit. b DSGVO). Demnach sei im vorliegenden Verfahren zunächst festzuhalten, dass die Zwecke der Datenverarbeitung in der Datenbank der Beschwerdeführerin darin bestehen würden, jenen Unternehmen einen Zugriff auf die Daten zu ermöglichen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko etwa bei der Lieferung ihrer Waren oder Dienstleistungen eingehen würden (z.B. Lieferung auf offene Lieferung). Unter bestimmten Voraussetzungen sei damit die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO zu bejahen.

Verfahrensgegenständlich stelle sich jedoch die Frage, wie lange Zahlungserfahrungsdaten nach Begleichung der Forderung noch bei der Beschwerdeführerin gespeichert werden könnten, ehe sie für die Zwecke der Verarbeitung (Gläubigerschutz) nicht mehr notwendig seien; nur wenn die personenbezogenen Daten noch bonitätsrelevant seien, bestehe ein Verarbeitungszweck gemäß Art. 5 Abs. 1 lit. b DSGVO.

Eine gesetzlich normierte Frist, wie lange Einträge in Datenbanken von Kreditauskunfteien gespeichert werden dürften, bestehe nicht.

Die Datenschutzkommission habe im Bescheid GZ. K600.033-018/0002-DVR/2007 zur „Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung“ zur Rechtslage vor Inkrafttreten der DSGVO bezüglich der Löschung aller Eintragungen im Zusammenhang mit einem konkreten Kreditschuldverhältnis u.a. die Auflage erteilt, dass eine solche sieben Jahre nach Tilgung der Schuld oder Eintritt eines sonstigen schuldbefreienden Ereignisses zu erfolgen habe.

Ein einheitlicher Maßstab, aus dem sich eine generelle Frist zur Löschung der bonitätsrelevanten Daten aus der Datenbank einer Kreditauskunftei nach Tilgung der Schulden ergebe, sei nicht zu erkennen. Vielmehr scheine eine Einzelfallbeurteilung unter Berücksichtigung aller maßgeblichen Umstände erforderlich zu sein.

Die aus historischen „Zahlungserfahrungsdaten“ (Negativeintragungen) herrührende vermeintlich schlechte Bonität der Betroffenen solle durch die Möglichkeit einer zeitnahen Lösung nach Begleichung aller Forderungen hintangehalten werden. Insbesondere solle vermieden werden, dass Betroffene, die nach Aufhebung eines Schuldenregulierungsverfahrens oder nach Zahlung ihrer Schulden außerhalb des Insolvenzverfahrens wieder eine solide finanzielle Basis erlangt hätten, im geschäftlichen Verkehr neuerlich mit Schwierigkeiten zu kämpfen hätten, weil ihre Kreditwürdigkeit durch diese Negativeintragungen vermindert werde. Eine generelle Löschung der bonitätsrelevanten Daten erst nach sieben Jahren nach Tilgung der Schuld werde im Hinblick auf Art. 6 Abs. 1 lit. f DSGVO vor allem aber im Hinblick auf die seit dem Zeitpunkt der Erlassung des oben zitierten Bescheides der Datenschutzkommission geänderte Rechtslage jedenfalls nicht verhältnismäßig sein.

Die Datenschutzbehörde sehe sich daher veranlasst, von ihrer u.a. im Bescheid GZ. K600.033-018/0002-DVR/2007 zur „Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung“ geäußerten Rechtsansicht zur Aufbewahrungsdauer abzugehen.

Für das vorliegende Verfahren bedeute dies Folgendes:

Von der mitbeteiligten Partei seien zwei „Zahlungserfahrungsdaten“ in der Datenbank der Beschwerdeführerin gespeichert. Dabei handle es sich um Forderungen in der Höhe von € 481,34 und € 497,07, welche als „positiv erledigt“ in der Datenbank aufscheinen würden. Die Forderungen seien im Juni und Juli 2010 eröffnet worden. Die Forderung über € 481,31 sei am 15.04.2018 geschlossen; die zweite Forderung am 27.02.2013. Darüber hinaus scheine in der Datenbank auch das gerichtliche Schuldenregulierungsverfahren der mitbeteiligten Partei auf, das die Informationen aus der Ediktsdatei abbilde. Die Eintragungen seien jedoch nicht ident, da die Insolvenzdatei keine Auflistung der einzelnen Forderungen („Zahlungserfahrungsdaten“) beinhalte. Die Negativeintragungen über die genaue Höhe der Forderungen stamme auch nicht aus der Insolvenzdatei des Bundes.

Zu Spruchteil 1:

Die Forderungen in der Höhe von € 497,07 sei mit 07.06.2010 eröffnet und mit 27.02.2013 positiv erledigt worden. Zwar ergebe sich aus dem Verfahrensakt, dass die mitbeteiligte Partei über drei Eintragungen aus „Zahlungserfahrungsdaten“ in der Datenbank der Beschwerdeführerin verfügt habe, jedoch könne aufgrund der geringen Höhe der Forderung sowie der Begleichung der Schuld vor über fünf Jahren nicht davon ausgegangen werden, dass die Verarbeitung dieser Daten noch bonitätsrelevant und somit für die berechtigten Interessen der Gläubiger noch von Interesse seien. In diesem Fall müsse davon ausgegangen werden, dass die Verarbeitung nicht mehr zur Wahrung der berechtigten Interessen der Gläubiger erforderlich sei bzw., dass die Interessen oder Grundrechte und Grundfreiheiten der mitbeteiligten Partei überwiegen würden.

Zu Spruchteil 3:

Da die Beschwerdeführerin die Löschung der bereits im Februar 2013 beglichenen Forderung in der Höhe von € 497,07 (Herkunft: XXXX ) verweigert habe, sei die Beschwerdeführerin gemäß Art. 58 Abs. 2 lit. c DSGVO anzuweisen gewesen, dem Antrag der mitbeteiligten Partei zu entsprechen.

In der gegen die Spruchteile 1. und 3. dieses Bescheides fristgerecht erhobenen Beschwerde brachte die Beschwerdeführerin im Wesentlichen vor:

Unrichtig sei die Beurteilung durch die belangte Behörde zur entscheidungswesentlichen Frage, wie lange Zahlungserfahrungsdaten nach Begleichung der Forderung noch bei der Beschwerdeführerin gespeichert werden könnten, ehe sie für die Zwecke der Verarbeitung (Gläubigerschutz) nicht mehr notwendig seien. Unstrittig sei u.a., dass es keine Rechtsvorschriften gebe, mit denen der Gesetzgeber diese Frage regle. Von der belangten Behörde wären daher zunächst Ermittlungen anzustellen gewesen, welche objektiven Umstände für die Wahrung des Gläubigerschutzes bei der Festlegung des Zeitraumes bestehen würden, in dem Bonitätsdaten durch Kreditauskunfteien gespeichert werden könnten.

Für die Unrichtigkeit der rechtlichen Beurteilung spreche schon die Tatsache, dass die belangte Behörde selbst bei grundsätzlich unveränderter oder zumindest vergleichbarer Rechtslage angeordnet habe, dass die bonitätsrelevanten Daten in den hier zur Rede stehenden Fällen nach sieben Jahren zu löschen seien. Sowohl im Fall der „Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten“ (siehe konsolidierte Fassung der Bescheide K095.014/016-DSK/2001 und K095.014/021-DSK/2001) als auch der „Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung“ („KKE“), GZ. K600.033-018/0002-DVR/2007, sei die Löschfrist im Wesentlichen damit begründet worden, dass die Bonitätsdaten „in der Warnliste für eine gewisse Zeit auch nach Tilgung der Schuld gespeichert bleiben sollten in dem Umstand der Warnfunktion der Liste begründet sei.

Der angefochtene Bescheid bleibe eine taugliche Begründung dafür schuldig, warum sich die Gesichtspunkte für die Dauer der Speicherung bonitätsrelevanter Daten geändert haben sollten.

Die Beschwerdeführerin stellte sohin die Anträge, das Bundesverwaltungsgericht möge

1. eine mündliche Verhandlung durchführen;

2. einen Sachverständigen aus dem Bereich der Bonitätsbeurteilung zum Beweis dafür heranzuziehen, dass die verfahrensgegenständlichen Daten zur Erfüllung des Zwecks des Gläubigerschutzes sieben Jahre vorzuhalten seien und

3. den Bescheid in seinen angefochtenen Spruchteilen dahingehend abändern, dass die Datenschutzbeschwerde der mitbeteiligten Partei abgewiesen werde.

Mit Schreiben der Datenschutzbehörde vom 24.01.2019 war die Beschwerde samt Verwaltungsakt an das Bundesverwaltungsgericht übermittelt worden.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Mit Schreiben vom 05.06.2018 beantragte die mitbeteiligte Partei bei der Beschwerdeführerin zunächst die Löschung aller ihrer bonitätsrelevanten Daten.

Mit Schriftsatz vom 21.06.2018 wurde dieser Antrag von der Beschwerdeführerin abgelehnt und die Daten der mitbeteiligten Partei wurden nicht gelöscht.

Die mitbeteiligte Partei hat in ihrer Datenschutzbeschwerde vom 11.07.2018 sodann u.a. geltend gemacht, sie sei in ihrem Recht auf Löschung verletzt worden, weil die Beschwerdeführerin es verweigert habe, die bonitätsrelevanten Daten der mitbeteiligten Partei zur Forderung iHv € 497,07 zu löschen, obwohl diese Schuld im Februar 2013 gänzlich getilgt worden sei.

Die Beschwerdeführerin betreibt eine Identitäts- und Bonitätsdatenbank. Die Daten bezieht sie aus öffentlich verfügbaren Quellen bzw. bekommt Daten von Adressverlagen und Informationen zu Zahlungserfahrungen von einer Vielzahl an Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt.

In der Datenbank der Beschwerdeführerin ist hinsichtlich der mitbeteiligten Partei u.a. die Forderung iHv € 497,07 (eröffnet am 07.06.2010 und geschlossen am 27.02.2013) gespeichert.

Als maßgeblich ist folglich festzustellen, dass die mitbeteiligte Partei die Forderung iHv € 497,07 im Februar 2013 beglichen hat und somit die Weiterverarbeitung dieser bonitätsrelevanten Daten durch die Beschwerdeführerin aufgrund des langen Zeitablaufs bis zum Entscheidungszeitpunkt unrechtmäßig ist. Dadurch hat die Beschwerdeführerin die mitbeteiligte Partei in ihrem Recht auf Löschung verletzt.

2. Beweiswürdigung:

Die Feststellungen zum maßgeblichen Sachverhalt ergeben sich aus dem Verwaltungsakt, der Beschwerde und dem Gerichtsakt.

Zum Entscheidungszeitpunkt ist unstrittig, dass die Forderung iHv € 497,07 längst gelöscht hätte werden müssen.

3. Rechtliche Beurteilung:

3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG entscheiden die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gemäß § 27 Abs. 1 DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 leg. cit. und der Entscheidungspflicht der Datenschutzbehörde. Gemäß § 27 Abs. 2 erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Gegenständlich liegt somit Senatszuständigkeit vor.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit .). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

3.2. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß § 28 Abs. 1 VwGVG hat Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhaltes durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.3. Zu A)

3.3.1. Die maßgeblichen Bestimmungen der DSGVO

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe in Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

3.-6. (…)

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.-9. (…)

10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

11.-26. (…)

Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 6

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:a) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderliche, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstatten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitung gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welche Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogen Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Artikel 17

Recht auf Löschung („Recht auf Vergessenwerden“)

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Artikel 58

Befugnisse

(1) (..)

(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

d)-j) (…)

(3)-(6) (…)

3.3.2. Die maßgeblichen Bestimmungen des DSG

Artikel 1

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

§ 1. (1) (…)

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.

Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:

1. die Bezeichnung des als verletzt erachteten Rechts,

2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),

3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,

4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,

5. das Begehren, die behauptete Rechtsverletzung festzustellen und

6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.

(7) Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.

(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

(9) Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.

(10) In die Entscheidungsfrist gemäß § 73 AVG werden nicht eingerechnet:

1. die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;

2. die Zeit während eines Verfahrens nach Art. 56, 60 und 63 DSGVO.

3.3.3. Die mitbeteiligte Partei hat in der gegenständlichen Datenschutzbeschwerde u.a. geltend gemacht, sie sei in ihrem Recht auf Löschung verletzt worden, weil die Beschwerdeführerin es verweigert habe, die bonitätsrelevanten Daten der mitbeteiligten Partei zur Forderung iHv € 497,07 zu löschen, obwohl diese Schuld im Februar 2013 gänzlich getilgt worden sei.

Zunächst ist im gegenständlichen Fall festzuhalten, dass der Zweck einer Datenverarbeitung in der Datenbank der Beschwerdeführerin grundsätzlich darin besteht, jenen Unternehmen einen Zugriff auf die Daten zu ermöglichen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko etwa bei der Lieferung ihrer Waren oder Dienstleistungen eingehen. Demnach könnte unter bestimmten Voraussetzungen die Rechtmäßigkeit der Verarbeitung gegeben sein, was im vorliegenden Fall unstrittig ist.

Strittig war hingegen, wie lange Zahlungserfahrungsdaten nach Begleichung der Forderung noch bei der Beschwerdeführerin gespeichert werden können, ehe sie für den Zweck der Weiterverarbeitung (Gläubigerschutz) nicht mehr notwendig sind.

Die Beschwerdeführerin hat als Verantwortliche die bonitätsrelevante Forderung der mitbeteiligten Partei iHv € 497,07 trotz eines entsprechenden Antrags nicht gelöscht, obwohl diese Forderung bereits im Februar 2013 beglichen wurde.

Die Bestimmung des § 1 Abs. 3 Z 2 DSG ist eine Verfassungsbestimmung, der zufolge jedermann, nach Maßgabe gesetzlicher Bestimmungen das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässiger Weise verarbeiteter Daten hat.

Gemäß Art. 5 Abs. 1 lit. b DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Zu dieser Bestimmung der DSGVO wird im Erwägungsgrund (39) ausdrücklich hervorgehoben: Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen.

Gemäß Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Gemäß Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (lit. a) oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden (lit. d).

Im Erwägungsgrund (65) heißt es zu dieser Bestimmung der DSGVO grundsätzlich: Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein „Recht auf Vergessenwerden“, wenn die Speicherung ihre Daten gegen diese Verordnung (oder …) verstößt. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt werden, (…).

Bereits vor Inkrafttreten der DSGVO hat der Europäische Gerichtshof zum „Recht auf Vergessenwerden“ in einem Urteil (Große Kammer) vom 13.05.2014, C-131/12 , u.a. Folgendes ausgesprochen, was auch heute noch nach der Rechtslage der DSGVO Geltung hat:

Der für die Verarbeitung Verantwortliche hat dafür zu sorgen, dass die personenbezogenen Daten „nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden“, „für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden“, „den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinaus gehen“, „sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind“ und „nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht“. Der für die Verarbeitung Verantwortliche hat insofern alle angemessenen Maßnahmen zu treffen, damit Daten, die die Anforderungen der genannten Bestimmung nicht erfüllen, gelöscht oder berichtigt werden (vgl. Rdnr. 72).

Es ist festzustellen, dass die Verarbeitung, den Bestimmungen der Richtlinie nicht nur nicht entsprechen kann, weil die Daten sachlich unrichtig sind, sondern u. a. auch, weil sie nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich (vgl. Rdnr. 92).

Aus den Anforderungen ergibt sich, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie (nunmehr der Verordnung) entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind. Das ist insbesondere der Fall, wenn sie diesen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen (vgl. Rdnr. 93).

Es ist festzustellen, dass jede Verarbeitung personenbezogener Daten während der gesamten Dauer ihrer Ausführung zulässig sein muss (vgl. Rdnr. 95).

Wenn die Beschwerdeführerin in ihrer Beschwerde vorbringt, nach der Judikatur des OGH müssten sieben Jahre seit der Begleichung der Forderung vergangen sein, damit die mitbeteiligte Partei einen Anspruch auf Löschung dieser bonitätsrelevanten personenbezogenen Daten hätte, ist dem nunmehr entgegenzuhalten, dass zum Entscheidungszeitpunkt des Bundesverwaltungsgerichtes fast neun Jahre seit der Begleichung der Forderung vergangen sind, weswegen die Speicherdauer jedenfalls nicht mehr als zulässig bzw. rechtmäßig anzusehen ist.

Der zuständige Senat gelangt daher zu dem Ergebnis, dass die Beschwerdeführerin unzulässiger Weise die personenbezogenen Daten der mitbeteiligten Partei zur Forderung iHv € 497,07, die bereits beglichen wurde, nicht gelöscht hat und dadurch die mitbeteiligte Partei in ihrem Recht auf Löschung verletzt hat.

Da den angefochtenen Spruchteilen des o.a. Bescheides aus diesen Gründen eine Rechtswidrigkeit iSd Art. 130 Abs. 1 Z 1 B-VG nicht anhaftet, war die dagegen erhobene Beschwerde gemäß § 28 Abs. 2 VwGVG iVm § 24 Abs. 1 und 5 DSG idgF abzuweisen.

3.4. Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Die Beschwerdeführerin hat zwar gegenständlich einen Antrag auf Durchführung einer öffentlichen Verhandlung gestellt, jedoch kann im gegenständlichen Fall das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage geklärt war. Das Bundesverwaltungsgericht hatte ausschließlich über eine Rechtsfrage zu erkennen (vgl. EGMR 20.06.2013, Appl. Nr. 24510/06, Abdulgadirov/AZE, Rz 34ff). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.06.2012, B 155/12).

Von der Durchführung einer mündlichen Verhandlung war folglich gemäß § 24 Abs. 1 und Abs. 4 VwGVG abzusehen.

3.5. Zu B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.