BVwG W211 2225136-1

Spruch:

W211 2225136-1/5E

Im namen der republik!

Das Bundesverwaltungsgericht erkennt durch die Richterin Mag.a Barbara SIMMA LL.M. als Vorsitzende und die fachkundige Laienrichterin Margareta MAYER-HAINZ und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde des XXXX vertreten durch Brand Rechtsanwälte GmbH, gegen den Bescheid der Datenschutzbehörde vom XXXX , Zl. XXXX , in nichtöffentlicher Sitzung zu Recht:

A)

Der Beschwerde wird als unbegründet abgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

ENTSCHEIDUNGSGRÜNDE:

I. Verfahrensgang:

1. Mit Datenschutzbeschwerde vom XXXX 2018 brachte der Beschwerdeführer eine Verletzung im Recht auf Löschung vor. Zusammengefasst habe er am XXXX 2018 die Löschung eines Eintrags im Hinblick auf seine Insolvenz in der Datenbank der KSV1870 Information GmbH (mitbeteiligte Partei) begehrt, da der Eintrag mittlerweile seit XXXX 2018 aus der Ediktsdatei gelöscht sei. Der Insolvenzeintrag sei sowohl in seinem persönlichen Profil als auch im Firmenprofil seines Unternehmens, der XXXX GmbH, vorhanden. Mit Schreiben vom XXXX 2018 habe die mitbeteiligte Partei mitgeteilt, dem Löschbegehren nicht zu entsprechen. Der Datenschutzbeschwerde war die dem gegenständlichen Beschwerdeverfahren vorangegangene Korrespondenz zwischen dem Beschwerdeführer und der mitbeteiligten Partei beigefügt.

2. Mit Stellungnahme vom XXXX 2018 brachte die mitbeteiligte Partei zusammengefasst vor, dass sie das Gewerbe der Kreditauskunftei betreibe, und ein berechtigtes Interesse an der Erteilung von Bonitätsauskünften bestehe. Die Verarbeitung der Daten des Beschwerdeführers sei zur Wahrung dieser Interessen erforderlich und geeignet. Informationen über eine vergangene Zahlungsunfähigkeit seien für die Beurteilung der Kreditwürdigkeit relevant. So stelle eine in der Vergangenheit zurückliegende Zahlungsunfähigkeit bei der Kreditvergabe de facto eine Risikoerhöhung dar. Überwiegende Interessen des Beschwerdeführers seien nicht gegeben. Eine Löschung von Insolvenzdaten aus der Ediktsdatei führe keineswegs zu einer Löschverpflichtung für die mitbeteiligte Partei. Die Datenschutzbeschwerde sei daher unbegründet.

3. Der Beschwerdeführer erklärte daraufhin – nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens – in seiner Stellungnahme vom XXXX 2019 zusammengefasst, dass bei Erhalt eines Löschungsbegehrens stets eine Einzelfallprüfung vorzunehmen sei; dies sei auch Rechtsprechung der (ehemaligen) Datenschutzkommission. Eine solche Einzelfallprüfung sei gegenständlich nicht erfolgt. Die verarbeiteten Daten seien für die Beurteilung der Kreditwürdigkeit seiner Person nicht mehr aktuell, da sich seine wirtschaftlichen Verhältnisse geändert hätten. Er sei seit 2016 wieder unternehmerisch tätig und erfolgreich. Aufgrund der unzulässigen Datenspeicherung sei bereits ein Schaden entstanden, da er bei Finanzierungsanträgen keine positive Rückmeldung erhalten habe.

4. Mit dem angefochtenen Bescheid vom XXXX 2019 , elektronisch zugestellt am XXXX 2019, wurde die Datenschutzbeschwerde wegen Verletzung im Recht auf Löschung als unbegründet abgewiesen. Begründend wurde festgehalten, dass die Verarbeitung bonitätsrelevanter Daten durch eine Kreditauskunftei iSd § 152 Gewerbeordnung 1994 (GewO 1994) Deckung in eben dieser Bestimmung finde, und die Rechtmäßigkeit der Verarbeitung dieser Daten folglich nicht von der vorherigen Einwilligung eines Betroffenen abhänge. Da die Ausübung dieser gewerblichen Tätigkeit ohne Sammlung, Aufbewahrung und Weitergabe von entsprechenden Daten nicht sinnvoll vorstellbar sei, müsse auch angenommen werden, dass der Gesetzgeber in bestimmten Fallkategorien ein die Betroffeneninteressen überwiegendes berechtigtes Interesse dieser Gewerbetreibenden an einer Verwendung von Daten über „Kreditverhältnisse“ als gegeben erachtet habe. Die Zwecke der Datenverarbeitung in der Datenbank der mitbeteiligten Partei würden darin bestehen, jenen Unternehmen einen Zugriff auf die Daten zu ermöglichen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko etwa bei der Lieferung ihrer Waren oder Dienstleistungen eingehen würden. Verfahrensgegenständlich stelle sich die Frage, wie lange Zahlungserfahrungsdaten noch bei der mitbeteiligten Partei gespeichert werden könnten, ehe sie für die Zwecke der Verarbeitung nicht mehr notwendig seien. Nur wenn die personenbezogenen Daten noch bonitätsrelevant seien, bestehe ein Verarbeitungszweck gemäß Art. 5 Abs. 1 lit. b Datenschutz-Grundverordnung (DSGVO). Der Datenbank der mitbeteiligten Partei sei zu entnehmen, dass der Zahlungsplan bereits am XXXX 2018 direkt vom Schuldner abgewickelt und die Löschung des Insolvenzeintrags aus der Ediktsdatei mit XXXX 2018 vom zuständigen Bezirksgericht bewilligt worden sei. Gleichwohl eine Rückzahlung in Höhe von 70% als vergleichsweise hoch einzustufen sei, sei zu berücksichtigen, dass diese offenbar seit Mai 2012 bestehende Forderung dennoch nur quotenmäßig Mitte März 2018 zurückbezahlt und die Löschung aus der Ediktsdatei erst Anfang Mai 2018 bewilligt worden sei. Zwischen quotenmäßiger Begleichung der Forderung und Antrag auf Löschung nach Art. 17 DSGVO liege somit ein Zeitraum von (etwas) weniger als drei Monaten, zwischen Löschung aus der Ediktsdatei und Antrag auf Löschung nach Art. 17 DSGVO sogar ein Zeitraum von weniger als einem Monat vor. Weiter sei davon auszugehen, dass der Beschwerdeführer auch die vernünftige Erwartungshaltung haben konnte, dass vor dem Hintergrund einer bloß quotenmäßigen Erfüllung der Forderung seine Daten jedenfalls für einen Zeitraum von länger als drei Monaten ab dieser Erfüllung weiterhin in Bonitätsdatenbanken eingetragen bleiben würden.

5. In seiner Beschwerde vom XXXX 2019 führte der Beschwerdeführer aus, dass sich seine wirtschaftlichen Verhältnisse seit 2016 grundlegend geändert bzw. verbessert hätten, der Insolvenzeintrag bescheinige ihm jedoch weiterhin eine verminderte Kreditwürdigkeit. Die verarbeiteten Daten seien daher sachlich unrichtig, da sie nicht seine aktuelle Kreditwürdigkeit wiedergeben würden. Der Insolvenzeintrag sei insofern veraltet, als er sich auf seine wirtschaftlichen Verhältnisse zum Zeitpunkt der Eröffnung des Schuldenregulierungsverfahrens im Jahr 2010 bzw. des Abschlusses des Zahlungsplans im Jahr 2012 beziehe. Auch hätte die mitbeteiligte Partei ihn gemäß Art. 13 DSGVO bei Erhebung seiner Daten informieren müssen, was sie unterlassen habe. Die im Rahmen des Art. 6 Abs. 1 lit f DSGVO von der Datenschutzbehörde vorgenommene Interessensabwägung erweise sich überdies als unzureichend begründet und unrichtig. Zwar bestehe ein berechtigtes Interesse der mitbeteiligten Partei, ihr Gewerbe nach § 152 GewO 1994 iSd Gläubigerschutzes auszuüben, jedoch sei die Schutzwürdigkeit seiner verarbeiteten Daten nicht herabgesetzt, da diese nicht mehr öffentlich seien. Weiter würden die Daten einem großen Personenkreis zugänglich gemacht und von Dritten als Entscheidungshilfe für das Zustandekommen eines Geschäfts herangezogen, woraus sich negative Folgen für den Beschwerdeführer ergäben, die ihn in seinem wirtschaftlichen Fortkommen hindern würden. Aufgrund des Alters, der Höhe der Forderungen und der Löschung aus der Ediktsdatei habe er nicht erwarten können, dass die Daten von der mitbeteiligten Partei weiterverarbeitet würden. Seit der Löschung seiner Daten aus der Ediktsdatei seien mittlerweile knapp 18 Monate vergangen. Die Quote des im Jahr 2012 bestätigten Zahlungsplans habe 70% betragen und sei als vergleichweise hoch zu bewerten, und die Gläubiger hätten auf einen relativ geringen Betrag verzichtet. Eine Weiterverarbeitung der Daten erweise sich bei richtiger rechtlicher Beurteilung somit jedenfalls als unverhältnismäßig. Schließlich wurde ausgeführt, dass auch sonstige Kreditauskunfteien und Gläubigerschutzverbände dem Löschungsbegehren des Beschwerdeführers nachgekommen seien, wobei die Korrespondenzen mit diesen der Beschwerde in Kopie beigefügt wurden.

6. Mit Schreiben vom XXXX 2019 legte die belangte Behörde den Akt vor.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Der Beschwerdeführer war Schuldner im Rahmen eines im Jahr 2010 eröffneten Schuldenregulierungsverfahrens. Es wurde im Jahr 2012 im Rahmen eines Rückzahlungsplans eine Rückzahlungsquote von 70% festgelegt, wobei diese Mitte März 2018 erfüllt wurde.

Mit Beschluss vom XXXX 2018 zur Aktenzahl XXXX bewilligte das für die Insolvenzsache zuständige Bezirksgericht die Löschung der Eintragungen des Beschwerdeführers aus der Insolvenzdatei.

Die mitbeteiligte Partei betreibt das Gewerbe der Kreditauskunftei gemäß § 152 GewO 1994, in deren Rahmen sie Bonitätsauskünfte erteilt.

Die mitbeteiligte Partei speichert weiterhin die Daten des Beschwerdeführers im Hinblick auf das zuvor genannte Schuldenregulierungsverfahren. Der diesbezügliche Eintrag lautet auszugsweise wie folgt:

„Insolvenz

Insolvenverfahrensnr. XXXX

Ediktswortlaut XXXX geb. XXXX

Verfahrenseröffnung XXXX

Ende Anmeldefrist 2010- XXXX

Verfahrenscode XXXX

Aktueller Verfahrensstand seit 2018- XXXX

Verfahrensstand: Zahlungsplan wurde vom Schuldner direkt abgewickelt

Gericht Bezirksgericht XXXX

Geschäftszahl XXXX

Verwalter XXXX

Verwalter Anschrift XXXX

Passiva laut Insolvenzantrag 167.596,54 [EUR]“

Der Eintrag ist sowohl im persönlichen Bonitätsprofil, als auch im Bonitätsprofil der XXXX GmbH gespeichert, deren alleiniger Gesellschafter der Beschwerdeführer ist. Der Name des Beschwerdeführers wird im Bonitätsprofil der XXXX GmbH genannt.

Der Beschwerdeführer richtete am XXXX 2018 und XXXX 2018 folgende, auszugsweise wiedergegebene Schreiben an die mitbeteiligte Partei:

„Sehr geehrte Damen und Herren,

Wie ich heute beim Abruf meiner persönlichen Daten und des Firmenprofils der XXXX GmbH (letzte Überarbeitung am XXXX 2018!!!) gesehen habe, fordere ich sie umgehend (binnen Tagesfrist) auf, den Insolvenzeintrag sowohl in meinem persönlichen Profil als auch im Profil der XXXX GmbH zu löschen. Der Eintrag ist mittlerweile aus der Ediktsdatei seit XXXX 2018 gelöscht.

Im weitern haften Sie mir bzw. der XXXX GmbH gegenüber für die ordentliche Löschung bei Ihren sämtlichen Dienstleistern und meiner oder der XXXX GmbH etwaiger Schadenersatzansprüche. […]“

„Sehr geehrte Damen und Herren,

[…]

Ich widerrufe hiermit – so ich jemals die Einwilligung dazu gegeben habe – gem. DSGVO 2018 Art 6 und Art 9 die Verarbeitung meiner Verarbeitung personenbezogenen Daten mit sofortiger Wirkung und lege gem Art 21 Widerspruch gegen die Verarbeitung meiner personenbezogenen Daten ein. […]“

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Akt in Verbindung mit dem Vorbringen der Parteien und sind unstrittig.

3. Rechtliche Beurteilung:

Zu A)

1. Rechtsgrundlagen:

Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), lauten:

Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 6 Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) - e) […]

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) - (4) […]

Artikel 17 Recht auf Löschung („Recht auf Vergessenwerden“)

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2) […]

Artikel 21 Widerspruchsrecht

(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(2) – (6) […]

2. Anwendung der Rechtsgrundlagen auf die gegenständliche Beschwerde:

Beschwerdegegenstand ist die Frage, ob die mitbeteiligte Partei den Beschwerdeführer dadurch im Recht auf Löschung verletzt hat, indem sie seinem Antrag auf Löschung vom XXXX 2018 nicht nachgekommen ist.

Der Beschwerdeführer sieht sich durch die Entscheidung der Datenschutzbehörde in seinem subjektiven Recht auf Löschung ihn betreffender personenbezogener Daten verletzt, weil die mitbeteiligte Partei Informationen zu seinem abgeschlossenen Insolvenzverfahren und getilgten Forderungen zu löschen habe. Dem kann – wie auch bereits im Wesentlichen durch das BVwG im Erkenntnis vom 30.10.2019, W258 2216873-1/7E ausgeführt wurde – nicht gefolgt werden:

Personenbezogene Daten sind über Antrag eines/einer Betroffenen u.a. dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sie unrechtmäßig verarbeitet wurden oder die betroffene Person Widerspruch gemäß Art. 21 Abs. 1 DSGVO gegen ihre Verarbeitung erhoben hat (Art. 17 Abs. 1 lit. a, c 1. Fall und d DSGVO). Einem Löschungsbegehren stünde daher eine Datenverwendung entgegen, die notwendig und rechtmäßig ist und gegen die kein wirksamer Widerspruch erhoben worden ist.

Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie – unter Einhaltung der in Art. 5 DSGVO genannten Verarbeitungsgrundsätze – auf Grund einer der in Art. 6 DSGVO genannten Erlaubnistatbestände erfolgt.

2.1. Zur Einhaltung der Verarbeitungsgrundsätze nach Art. 5 DSGVO:

Gemäß den Verarbeitungsgrundsätzen nach Art. 5 DSGVO müssen personenbezogene Daten – soweit verfahrensrelevant – für festgelegte, eindeutige und legitime Zwecke erhoben werden („Zweckbindung“), dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“) und in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“).

Die mitbeteiligte Partei betreibt das Gewerbe der Kreditauskunftei gemäß § 152 GewO.

Zu den Aufgaben der Gewerbetreibenden iSd § 152 GewO gehört die Erteilung von Auskünften über die Kreditwürdigkeit von Unternehmen und Privatpersonen an Dritte. Kreditgeber_innen sollen dadurch aussagefähige Informationen über vorhandene oder auch potenzielle Kreditnehmer_innen, und zwar insbesondere über die Art und Weise ihrer bisherigen Schuldenbegleichung, zur Verfügung stehen (Riesz in Ennöckl/Raschauer/Wessely, GewO § 152 Rz 2). Dadurch soll es Kreditgeberinnen und Kreditgebern ermöglicht werden, die Wahrscheinlichkeit, mit der ein_e Kreditgeber_in am Ende wegen der Forderung befriedigt wird, und allenfalls die Prognose, mit wie vielen Schwierigkeiten das verbunden ist, zu bestimmen (Wendehorst, Was ist Bonität? Zum Begriff der „Kreditwürdigkeit“ in § 7 VKrG, in Blaschek/Habersberger (Hrsg.), Eines Kredites würdig? (2011) 22). Eine Neigung zu vertragswidrigem Verhalten – etwa mangelnde finanzielle Selbstkontrolle oder habituelles Hinauszögern von Zahlungen bis zum Exekutionsdruck – lässt sich vor allem aus dem Finanzgebaren in der Vergangenheit heraus prognostizieren. Relevant ist dabei vergangenes vertragswidriges Verhalten, dass sich in schlichtem Zahlungsverzug, aber auch in gerichtlichen Verfahren bis hin zu Exekutionshandlungen oder gar in einer Insolvenzeröffnung manifestiert haben mag (aaO 23; vgl. auch Heinrich, Bonitätsprüfung im Verbraucherkreditrecht (Wien 2014) 89 f).

Die mitbeteiligte Partei verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Informationen über Zahlungsausfälle und Insolvenzverfahren des Beschwerdeführers, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können.

Dabei handelt es sich um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten (§ 152 GewO) Zweck. Die Daten sind – entgegen dem Vorbringen des Beschwerdeführers – auch richtig und vollständig, weisen auf die Abwicklung des Zahlungsplanes hin und geben die Daten zum Konkurs (so zB Verfahrenseröffnung, Gericht, Geschäftszahl, uä) korrekt wieder. Sie sind auch grundsätzlich erforderlich und geeignet, um eine Prognose über sein zukünftige Zahlungsverhalten abgeben zu können (siehe dazu auch EuGH 23.11.2006, Rs C-238/05 Rz 47, wonach Systeme zum Informationsaustausch zwischen Finanzinstituten bezüglich der Zahlungsfähigkeit von Kundinnen und Kunden die Vorhersehbarkeit der Rückzahlungswahrscheinlichkeit verbessern, weshalb sie grundsätzlich geeignet sind, die Ausfallquote von Kreditnehmerinnen und -nehmern zu verringern und dadurch den Wirkungsgrad des Kreditangebots zu erhöhen).

Strittig ist, wie lange derartige Daten verarbeitet werden dürfen. Der Beschwerdeführer führt dazu aus, die von der mitbeteiligten Partei über ihn verarbeiteten Daten seien aufgrund ihres Alters nicht mehr geeignet, seine Bonität zu bewerten, sie würden nur mehr dazu dienen, seine Teilnahme am Wirtschaftsleben zu verhindern; er macht damit einen Verstoß gegen die Grundsätze der „Datenminimierung“ und der „Speicherbegrenzung“ geltend bzw. behauptet, dass die gemäß Art. 6 Abs. 1 lit. f DSGVO durchzuführende Interessensabwägung (nunmehr) zu seinen Gunsten ausfallen würde.

2.2. Zur zulässigen Speicherdauer von Daten über historische Insolvenzen und Zahlungsausfälle:

Weder die DSGVO noch die gewerberechtlichen Regelungen zum Gewerbe der Kreditauskunftei (§ 152 GewO) enthalten konkrete Fristen zur zulässigen Speicherdauer von historischen Insolvenzverfahren und Zahlungsausfällen. Wie lange diese Daten jeweils verarbeitet werden dürfen, hängt daher grundsätzlich vom Einzelfall ab.

Auch wenn historische Zahlungsinformationen wesentlich sind, um das zukünftige Zahlungsverhalten von (potentiellen) Schuldnerinnen und Schuldnern vorhersagen zu können, haben sie umso weniger Aussagekraft, je länger sie zurückliegen und je länger es zu keinen weiteren Zahlungsstockungen und Zahlungsausfällen gekommen ist. Dem Alter der Forderung bzw. dem Zeitpunkt des Feststehens des endgültigen Ausfalls der Forderung, dem Zeitpunkt etwaiger Tilgungen und das seitherige „Wohlverhalten“ von Schuldner und Schuldnerin kommen bei der Abwägung damit entscheidende Bedeutung zu.

Als Richtlinie, wie lange Bonitätsdaten zur Beurteilung der Bonität von (potentiellen) Schuldnern und Schuldnerinnen geeignet sind, können Beobachtungs- oder Löschungsfristen in rechtlichen Bestimmungen herangezogen werden, die dem Gläubigerschutz dienen oder die Erfordernisse an eine geeignete Bonitätsbeurteilung näher festlegen.

Solche Bestimmungen finden sich in der Verordnung (EU) Nr. 575/2013 des europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 („Kapitaladäquanzverordnung“), in der Kreditinstitute u.a. verpflichtet werden, ihre Kunden und Kundinnen zu bewerten und diverse Risiken ihrer Forderungen abzuschätzen. Für Kredit- bzw. Retailforderungen gegenüber natürlichen Personen haben Kreditinstitute, die ihre risikogewichteten Positionsbeträge anhand eines auf internen Beurteilungen basierenden Ansatzes berechnen dürfen (Art. 143 Abs. 1 leg. cit.), gemäß Art. 151 Abs. 6 iVm 180 Abs. 2 lit. a und e leg. cit. die Ausfallswahrscheinlichkeit der Forderung (Probability of Default – PD) u.a. anhand der langfristigen Durchschnitte der jährlichen Ausfallsquote zu schätzen; dabei ist ein historischer Beobachtungszeitraum für zumindest eine Datenquelle, die auch extern sein kann, von mindestens fünf Jahren zugrunde zu legen. Auch die durchzuführende Schätzung der Verlustquote bei einem Ausfall (Loss Given Default – LGD), hat sich gemäß Art. 151 Abs. 7 iVm 181 Abs. 2 lit. c leg. cit. grundsätzlich auf einen mindestens fünfjährigen Zeitraum zu beziehen.

Der (EU-)Verordnungsgeber geht daher davon aus, dass für die Beurteilung der Bonität von (potentiellen) Schuldnern und Schuldnerinnen bzw. des Risikos einer Forderung Daten über etwaige Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren relevant sind.

Wenn Kreditinstitute als potentielle Geschäftspartner_innen der mitbeteiligten Partei z.T. rechtlich verpflichtet sind, ihre Forderungen anhand der Ausfallquoten zumindest der letzten fünf Jahre zu bewerten, und soll, wie hier, die Bonitätsdatenbank der mitbeteiligten Partei auch dazu dienen, Kreditinstituten Daten zu liefern, die sie für ihre z.T. verpflichtende Bewertung benötigen, kann es nicht als Verstoß gegen das Prinzip der Datenminimierung oder der Speicherbegrenzung erkannt werden, wenn die mitbeteiligte Partei Daten über eine Insolvenz des Beschwerdeführers verarbeitet, wenn der Zahlungsplan zum Zeitpunkt des Löschungsbegehrens am XXXX 2018 erst vor weniger als drei Monaten, bzw. zum jetzigen Entscheidungszeitpunkt erst vor etwas mehr als zwei Jahren, nämlich Mitte März 2018, erfüllt worden ist. Dies gilt auch für Forderungen, die zwar bereits vor mehr als fünf Jahren ausgefallen sind, aber erst, wie hier, vor weniger als drei Monaten, bzw. vor etwas mehr als zwei Jahren durch die Erfüllung des Zahlungsplans endgültig getilgt worden sind. Die konkrete Höhe des Ausfalls kann nämlich erst mit (allenfalls nicht) erfolgreicher Erfüllung des Zahlungsplans bestimmt werden.

2.3. Zum Erlaubnistatbestand nach Art. 6 Abs. 1 lit. f DSGVO:

Die Verarbeitung personenbezogener Daten ist u.a. gemäß Art. 6 Abs. 1 lit f DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des/der Verantwortlichen oder eines/einer Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessensabwägung durchzuführen, bei der die berechtigten Interessen des/der Verantwortlichen oder eines/einer Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind (zur vergleichbaren Vorgängerbestimmung des Art. 7 lit. f Datenschutzrichtlinie 95/46/EG vgl. EuGH 04.05.2017, C-13/16 , Rīgas satiksme, Rz 31). Dabei sind einerseits die Interessen des/der Verantwortlichen und von Dritten (mögliche Geschäftspartner_innen der mitbeteiligten Partei) sowie andererseits die Interessen, Rechte und Erwartungen der betroffenen Person zu berücksichtigen (ErwG 47 DSGVO).

Die mitbeteiligte Partei und ihre Kundinnen und Kunden haben, sobald Verträge ein kreditorisches Risiko enthalten, ein nachvollziehbares Interesse der kreditierenden Vertragspartner_innen, dieses Risiko abzuschätzen. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle erfolgt zum Schutz potenzieller Vertragspartner_innen der betroffenen Person, die Dritte iSv Art. 6 Abs. 1 lit. f DSGVO sind (vgl. auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rz 133 f, 137). Damit dient sie auch dazu, Kreditinstitute dabei zu unterstützen, die Vorschriften der Kapitaladäquanzverordnung, die hinsichtlich der Schätzung der Risikoparameter einen Beobachtungszeitraum von zumindest fünf Jahren vorsehen, zu erfüllen.

Dagegen haben betroffene Personen ein Interesse daran, aufgrund der Verarbeitung nicht von Nachteilen im Wirtschaftsleben betroffen zu sein.

In einer Zusammenschau ergibt sich, dass aufgrund des Interesses der Vertragspartner_innen der mitbeteiligten Partei Kreditrisiken abzuschätzen, hierfür die Beobachtung des historischen Zahlungsverhaltens von potentiellen Schuldnern und Schuldnerinnen wesentlich ist, und vor dem Hintergrund, dass es der EU-Verordnungsgesetzgeber für erforderlich sieht, das Risiko von Forderungen anhand eines zumindest fünfjähriger Beobachtungszeitraums vergangener Zahlungsausfälle abzuschätzen, die Verarbeitung von Informationen über vor etwas mehr als zwei Jahren durch Erfüllung eines Zahlungsplans endgültig abgeschlossene Insolvenzverfahren durch die mitbeteiligte Partei erforderlich ist. Da erst mit Erfüllung des Zahlungsplans die endgültige Ausfallsquote einer Forderung feststeht, gilt das auch für Forderungen, die zwar bereits davor ausgefallen sind, aber erst mit Erfüllung des Zahlungsplanes getilgt worden sind.

Dass sich die Folgen der Verarbeitung für den Beschwerdeführer negativ auswirken, kann den gewichtigen Interessen der mitbeteiligten Partei und ihren Kundinnen und Kunden nichts Wesentliches entgegensetzen. Schließlich überwiegen die Interessen betroffener Personen, wie des Beschwerdeführers, an der Geheimhaltung ihrer historischen Insolvenz- und Zahlungsausfallsdaten, um Nachteile im Wirtschaftsleben zu vermeiden, jedenfalls dann nicht, wenn, wie hier, die Höhe der Passiva des Insolvenzverfahrens außerdem ca. EUR 215.000 beträgt.

Insoweit der Beschwerdeführer wiederholt moniert, dass die Daten einem großen Personenkreis zur Verfügung gestellt würden, muss darauf hingewiesen werden, dass die mitbeteiligte Partei ihre Services Mitgliedern gegen Zahlung eines Entgelts zur Verfügung stellt. Es muss daher grundsätzlich von einer begrenzten Öffentlichkeit ausgegangen werden, die eben aber gerade ein zu beachtendes Interesse an einer Bonitätsprüfung mitbringt.

2.4. Zur Relevanz von Löschungsfristen aus der Insolvenzdatei:

Dem Vorbringen des Beschwerdeführers, wonach die mitbeteiligte Partei die Bonitätsdaten des Beschwerdeführers zeitgleich mit ihrer Löschung aus der Insolvenzdatei zu löschen habe, ist ebenfalls nicht zu folgen:

Die datenschutzrechtliche Zulässigkeit der Führung der Insolvenzdatei gründet nämlich auf § 256 Insolvenzordnung, einer rechtlichen Verpflichtung im Sinne des Art. 6 Abs. 1 lit c DSGVO; die einer Bonitätsdatenbank hingegen auf überwiegende berechtigte Interessen des/der Verantwortlichen gemäß Art. 6 Abs. 1 lit f DSGVO (vgl. OGH 30.01.2017, 6 Ob 178/16v, jusIT 2017/52, 117 (Bergauer) wonach eine Löschung nach § 256 Insolvenzordnung nicht auf eine Datenverwendung durchschlägt, die auf Grund einer anderen Rechtsgrundlage erfolgt; die noch zum Datenschutzgesetz 2000 ergangene Entscheidung ist auf Grund der Vergleichbarkeit der Erlaubnistatbestände auch auf die Rechtslage nach DSGVO übertragbar). Aus § 256 Insolvenzordnung lässt sich nicht ableiten, dass Daten über Insolvenzen (überhaupt) nicht mehr, d.h. auf Grund anderer Erlaubnistatbestände nach Art. 6 DSGVO, verarbeitet werden dürfen, wenn sie aus der Insolvenzdatei gelöscht worden sind. Eine derartige Einschränkung würde – jedenfalls in Bezug auf den hier einschlägigen Erlaubnistatbestand des Art. 6 Abs. 1 lit f DSGVO – EU-Sekundärrecht widersprechen (vgl. EuGH 24.11.2011, C-468/10 und C-469/10 , ASNEF/FECEMD, Rz 48 f, wonach nationale Bestimmungen, die für die Verarbeitung personenbezogener Daten zusätzlich zu der vorgesehenen Interessenabwägung verlangen, dass diese Daten in öffentlich zugänglichen Quellen enthalten sind, Art. 7 lit f Datenschutzrichtlinie 95/46/EG , der im Wesentlichen Art. 6 Abs. 1 lit f DSGVO entspricht, entgegenstehen).

2.5. Zum Widerspruch des Beschwerdeführers gegen die Verwendung seiner Daten:

Auch der vom Beschwerdeführer gegen die Verwendung seiner Daten an die mitbeteiligte Partei erhobene Widerspruch nach Art. 21 DSGVO kann eine Löschung der ihn betreffenden personenbezogenen Daten nicht rechtfertigen. So hat der/die Betroffene im Widerspruch ein Vorbringen zu seiner/ihrer besonderen Situation zu erstatten; es ist anzugeben, inwiefern eine Verarbeitung der Daten, die sich an sich, wie hier, auf den Erlaubnistatbestand der „Wahrung der berechtigten Interessen des/der Verantwortlichen oder eines/einer Dritten“ gemäß Art. 6 Abs. 1 lit f DSGVO stützt, aufgrund einer besonderen Situation dennoch nicht zulässig sein soll (siehe auch Haidinger in Knyrim, DatKomm Art. 21 DSGVO Rz 19).

Es ist darauf aufmerksam zu machen, dass der Beschwerdeführer in seinem Aufforderungsschreiben vom XXXX 2018 nicht darlegte, weshalb in seinem Fall eine besondere Situation im zuvor dargelegten Sinne vorliegen sollte. Der Widerspruch war daher schon aus diesem Grund unwirksam.

Wenn der Beschwerdeführer im Laufe des weiteren Verfahrens geltend macht, die über ihn gespeicherten Daten seien alt und unvollständig, da er seit dem Jahr 2016 wieder erfolgreich unternehmerisch tätig sei, und diese alten Daten seien nur geeignet, ihn in seinem wirtschaftlichen Fortkommen zu hindern und Schaden zu verursachen, sowie dass sich die Speicherung als rechtswidrig bzw. unverhältnismäßig erweise, macht er einen Verstoß gegen die allgemeinen Verarbeitungsgrundsätze nach Art. 5 DSGVO, nämlich Datenminimierung und Datensparsamkeit und eine mangelhafte Interessensabwägung im Rahmen des Art. 6 DSGVO, aber keine Gründe geltend, die sich aus einer ihn betreffenden besonderen Situation ergeben.

2.6. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle des Beschwerdeführers durch die mitbeteiligte Partei ist daher notwendig und rechtmäßig; ein Widerspruch gegen die Verarbeitung wurde nicht erfolgreich erhoben. Das Löschbegehren des Beschwerdeführers geht daher diesbezüglich ins Leere, weshalb die Datenschutzbehörde die Datenschutzbeschwerde des Beschwerdeführers zu Recht abgewiesen hat.

2.7. In seiner Replik vom XXXX 2019 wie auch in der Beschwerde vom XXXX 2019 brachte der Beschwerdeführer außerdem vor, er sei von der mitbeteiligten Partei nicht, wie in Art. 13 DSGVO vorgesehen, umfassend über die beabsichtigte Verarbeitung personenbezogener Daten informiert worden. Der erkennende Senat sieht darin einen grundsätzlich vom ursprünglichen Löschungsbegehren aus der Beschwerde vom XXXX 2018 getrennten Beschwerdepunkt, der im angefochtenen Bescheid nicht behandelt und damit auch noch nicht durch die Datenschutzbehörde entschieden wurde.

Es wird dabei nicht übersehen, dass nach dem Spruch des Bescheids vom XXXX 2019 „die Beschwerde“ als unbegründet abgewiesen wurde. Als Beschwerdegegenstand führt die Datenschutzbehörde allerdings weiter aus, dass sich ausgehend vom Vorbringen des Beschwerdeführers ergäbe, dass Beschwerdegegenstand die Frage sei, ob die Beschwerdegegnerin [die nunmehrige mitbeteiligte Partei] den Beschwerdeführer dadurch im Recht auf Löschung verletzt habe, indem sie seinem Antrag auf Löschung vom XXXX 2018 bis zum Abschluss des Verfahrens nicht entsprochen habe. Weder in der folgenden Sachverhaltsdarstellung noch in den rechtlichen Ausführungen wurde auf die Beschwerde betreffend die Informationspflichten nach Art. 13 DSGVO eingegangen.

Demnach ist der Beschwerdepunkt betreffend die Informationspflichten nach Art. 13 DSGVO nicht als vom angefochtenen Bescheid umfasst und entschieden, sondern als bei der Datenschutzbehörde noch anhängig anzusehen und ist damit nicht von der gegenständlichen Beschwerdesache umfasst.

3. Da im Verfahren ausschließlich Rechtsfragen zu klären waren, konnte gemäß § 24 Abs. 4 VwGVG auf die Durchführung einer – nicht beantragten – mündlichen Verhandlung verzichtet werden (VwGH, 19.09.2017, Ra 2017/01/0276).

Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist zulässig, weil Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Art. 133 Abs. 4 B-VG zukommen. Zwar handelt es sich bei der Frage, wie lange Daten unter Beachtung der Verarbeitungsrundsätze des Art. 5 DSGVO und unter Vornahme einer Interessensabwägung nach Art 6 Abs. 1 lit f DSGVO verwendet werden dürfen, um eine grundsätzlich nicht reversible Einzelfallentscheidung. Es fehlt aber an Rechtsprechung des Verwaltungsgerichtshofs zur Frage, welchen Grundsätzen eine solche Interessensabwägung genügen muss; insbesondere, ob und unter welchen Voraussetzungen die Vorschriften der Kapitaladäquanzverordnung als Richtschnur für die Bestimmung der zulässigen Speicherdauer von Bonitätsdaten herangezogen werden können.

Es war daher spruchgemäß zu entscheiden.