BVwG W214 2216836-1

Spruch:

W214 2216836-1/21E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde der XXXX , vertreten durch XXXX , gegen Spruchpunkt 1. und 3. des Bescheides der Datenschutzbehörde vom 15.01.2019, Zl. DSB-D123.165/0004-DSB/2018, zu Recht erkannt:

A)

Der Beschwerde wird gemäß § 28 Abs.1 und 2 Verwaltungsgerichtsverfahrensgesetz, BGBl. I Nr. 33/2013 idgF (VwGVG), stattgegeben und der angefochtene Bescheid wird dahingehend abgeändert, dass dessen Spruchpunkte 1. bis 3. durch folgenden Spruch zu ersetzen sind:

„Die Beschwerde wird als unbegründet abgewiesen.“

B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. In seiner an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 03.07.2018 behauptete der ehemalige Beschwerdeführer vor der belangten Behörde, XXXX (Mitbeteiligter im Verfahren vor dem Bundesverwaltungsgericht), vertreten durch die Kammer für Arbeiter und Angestellte XXXX , eine Verletzung im Recht auf Widerspruch, Löschung sowie auf Geheimhaltung. In Österreich betreibe derzeit nur der Kreditschutzverband von 1870 (KSV) zwei Dateien, die der Beurteilung der Bonität dienen. Jede andere Verarbeitung von personenbezogenen Daten zum Zwecke der Auskunft und der Kreditwürdigkeit der wirtschaftlichen Situation einer Person oder im Zusammenhang mit Gläubigerinteressen „stelle einen Löschungsanspruch dar“. Der Mitbeteiligte brachte vor, dass die Beschwerdeführerin mit Auskunft vom 18.06.2018 mitgeteilt habe, dass über ihn drei – angeblich rechtmäßige – Zahlungserfahrungsdaten gespeichert seien. Die erste Forderung sei bezahlt worden, die zweite Forderung sei verjährt, bei der dritten Forderung sei kein Betrag aushaftend. Alle drei Einträge seien ohne vorherige Information und Zustimmung des Mitbeteiligten entstanden. Die gespeicherten Daten seien keine ausreichende Grundlage zur seriösen Beurteilung der persönlichen Kreditwürdigkeit der betroffenen Person und würden den Mitbeteiligten im wirtschaftlichen Fortkommen auf ungerechtfertigte Weise behindern und einen finanziellen Schaden verursachen. Das Recht auf Geheimhaltung dieser personenbezogenen Daten, für welche ein schutzwürdiges Interesse bestehe, sei durch diese Einträge verletzt worden. Es würden keine überwiegend berechtigten Gründe für die Verarbeitung vorliegen. Die Beschwerdeführerin sei aufgefordert worden, die betroffenen Daten (Ausnahme: Name und aktuelle Wohnadresse) des Mitbeteiligten zu löschen, was diese jedoch mit Schreiben vom 29.06.2018 verweigert habe.

Der Datenschutzbeschwerde angeschlossen wurde das Antwortschreiben der Beschwerdeführerin vom 29.06.2018 sowie eine Kopie der jeweils ersten Seite von Antwortschreiben auf das Auskunftsbegehren des Mitbeteiligten vom 29.05.2018 und 12.06.2018 und eine Vollmacht.

2. Aufgrund eines Mängelbehebungsauftrages erfolgte eine weitere Eingabe des Mitbeteiligten, die am 27.08.2018 bei der belangten Behörde einlangte, in der [offenbar versehentlich unter Berufung auf § 45 Abs. 2 DSG] eine Löschung der in Rede stehenden Daten verlangt wird. Im Übrigen wurden die in der ursprünglichen Beschwerde ausgeführten Argumente wiederholt.

3. Über Aufforderung der belangten Behörde erstattete die Beschwerdeführerin am 05.10.2018 eine Stellungnahme und brachte u.a. vor, dass sie über die Gewerbeberechtigung des § 152 GewO verfüge, welche zur Verarbeitung von Informationen, die in Zusammenhang mit der Kreditwürdigkeit (Bonität) stehen würden, ermächtige. Bei Zahlungserfahrungsdaten handle es sich um wichtige Fälle bonitätsrelevanter Informationen. Datenschutzrechtliche Rechtsgrundlage der Verarbeitung bonitätsrelevanter personenbezogener Daten in der Identitäts- und Bonitätsdatenbank der Beschwerdeführerin seien berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO. Die berechtigten Interessen würden hierbei auf Seiten Dritter vorliegen, nämlich der in Vorleistung tretenden Unternehmen der Kreditwirtschaft. Sie würden in der Notwendigkeit der Identifizierung neuer Kunden, im Schutz vor einem möglicherweise drohenden Zahlungsausfall, sowie in der Wahrung gesetzlicher Verpflichtungen betreffend die Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung bestehen. Grundsätzlich speichere die Beschwerdeführerin personenbezogene Daten nur, solange ein legitimer Zweck für ihre Verarbeitung bestehe. Solange die Daten daher für die Beurteilung der Identität oder Bonität von Belang (und damit für den Betrieb einer Kreditauskunftei relevant) seien, bestehe der Verarbeitungszweck fort. Je länger ein Zahlungserfahrungseintrag (z.B. Inkassofall) in der Vergangenheit liege, je geringer der Betrag sei und je weniger sonstige Zahlungserfahrungsdaten zu einer Person vorliegen würden, desto eher sei davon auszugehen, dass sich aus dem konkreten Eintrag keine bonitätsrelevanten Aussagen (mehr) ableiten lassen würden. Sobald dies der Fall sei, lösche die Beschwerdeführerin den betreffenden Eintrag aus eigenem. Klarzustellen sei, dass auch bereits beglichene („positiv erledigte“) Forderungen bonitätsrelevante Daten darstellen würden: Der Umstand, dass eine Forderung erst nach qualifizierter Mahnung bzw. Betreibung durch Inkassoinstitute oder Rechtsanwälte beglichen werde, bedeute einen zumindest temporären Zahlungsausfall und resultiere daraus ein Kreditierungsrisiko bezüglich künftiger Rechtsgeschäfte. Um ein sachlich richtiges und vollständiges Bild der zu einer Person gespeicherten, bonitätsrelevanten Daten zu vermitteln und damit dem Grundsatz der Datenrichtigkeit nach Art. 5 Abs. 1 lit. d DSGVO Genüge zu tun, sei es daher wichtig, dass auch bereits bezahlte Forderungen in der Datenbank verbleiben würden. Zu den gespeicherten Zahlungserfahrungsdaten im Einzelnen sei Folgendes auszuführen: Die Forderung über EUR 47,47 (Herkunft: XXXX ) sei zwischenzeitlich als „positiv erledigt“ (= bezahlt) vermerkt, da der Beschwerdeführerin die Begleichung der Forderung bestätigt worden sei, die Forderung habe jedoch in dieser Form in der Datenbank zu verbleiben, da sowohl § 27 Abs. 1 DSG 2000 als auch Art. 5 Abs. 1 lit. d DSGVO die Datenrichtigkeit als einen elementaren Grundsatz des Datenschutzes ansähen. Datenrichtigkeit könne jedoch nur vorliegen, wenn sämtliche richtige verfügbare Daten, die für die Bonitätsbeurteilung relevant seien, verarbeitet würden. Würde die Beschwerdeführerin dem Ansuchen des Mitbeteiligten nachkommen und die positiv erledigte Forderung über EUR 47,47 löschen, hätte dies ein verzerrtes und unrichtiges Bild über die Bonität des Mitbeteiligten zur Folge: Kunden der Beschwerdeführerin würden im Rahmen von Datenbankabfragen aus der Datenbank die Information erhalten, dass zu dem Mitbeteiligten keine Zahlungserfahrungsdaten gespeichert seien – der Mitbeteiligte würde daher dieselbe Bonitätsbeurteilung erhalten, wie eine Person, die ihre Schulden stets fristgerecht beglichen habe. Dadurch würde im wirtschaftlichen Verkehr mit Unternehmen, die gegenüber dem Mitbeteiligten in Vorleistung träten, der Eindruck einer besseren Bonität entstehen. Dieser Umstand entspreche jedoch nicht den Tatsachen. Durch die falsche Darstellung der Bonität entstehe in letzter Konsequenz die Gefahr eines potentiellen Zahlungsausfalls von in Vorleistung tretenden Unternehmen, die mit dem Mitbeteiligten kontrahieren würden. Deren Interessen würden dadurch unzumutbar beeinträchtigt werden.

Der Mitbeteiligte habe zu keinem Zeitpunkt dargelegt, aus welchem Grund im Sinne des Art. 17 DSGVO eine Löschung dieser Forderung erfolgen sollte, und sei der Beschwerdeführerin auch aus eigenem kein Löschungsgrund ersichtlich. Eine Löschung dieser Forderung werde daher erst erfolgen, wenn sie für die Beurteilung der Bonität des Mitbeteiligten irrelevant geworden sei und daher kein Verarbeitungszweck mehr bestehe. Auch die Forderung über EUR 34,20 (Herkunft: XXXX ) sei zwischenzeitlich als „positiv erledigt“ vermerkt worden. Diese Forderung habe jedoch ebenfalls auf Grund der bereits genannten Gründe in der Datenbank zu verbleiben. Die Forderung über EUR 115,00 (Herkunft: XXXX ) sei zwischenzeitlich gelöscht worden und scheine nicht mehr in der Datenbank auf. Damit sei bezüglich dieser Forderung dem Begehren des Mitbeteiligten entsprochen und die behauptete Rechtsverletzung behoben worden.

Der Stellungnahme waren acht Beilagen angeschlossen, ein Auskunftsbegehren des Mitbeteiligten vom 25.04.2018 (Beilage ./1), ein Antwortschreiben der Beschwerdeführerin vom 03.05.2018 (Beilage ./2), ein Löschungsbegehren des Mitbeteiligten vom 17.05.2018 (Beilage ./3), ein Antwortschreiben der Beschwerdeführerin vom 19.05.2018 (Beilage ./4), ein neuerliches Löschungsersuchen vom 29.05.2018, ein Antwortschreiben samt datenschutzrechtlicher Auskunft der Beschwerdeführerin vom 29.05.2018, ein weiteres Löschungsbegehren des Mitbeteiligten vom 04.06.2018, eine weitere Auskunftserteilung der Beschwerdeführerin vom 04.06.2018, ein Schreiben vom selben Datum bezüglich der Ablehnung der Löschung, ein weiteres Auskunfts- und Löschungsbegehren des Mitbeteiligten vom 18.06.2018, ein Schreiben des Mitbeteiligten vom 18.06.2018 und weitere Korrespondenzen, eine Auskunftserteilung der Beschwerdeführerin vom 18.06.2018 (alles Beilage ./5), Schreiben der Rechtsvertretung des Mitbeteiligten vom 12.06.2018 und vom 19.06.2018, mit welchen ein Widerspruchs-und Löschungsgrund bezüglich aller über den Mitbeteiligten verarbeiteten Daten mit Ausnahme des Namens und der aktuellen Wohnanschrift geltend gemacht wird (Beilage./6), Schreiben der Beschwerdeführerin vom 20.06.2018 und 29.06.2018 an den Mitbeteiligten bzw. seine Rechtsvertretung (Beilage ./7) sowie ein Auskunftsschreiben der Beschwerdeführerin vom 03.10.2018, in welchem bezüglich der Daten zum Zahlungsverhalten (nur mehr) zwei Forderungen genannt und als „positiv erledigt“ bezeichnet sind. (Beilage ./8).

3. Mit Schreiben vom 16.10.2018 übermittelte die belangte Behörde dem Mitbeteiligten die Stellungnahme der Beschwerdeführerin und gab ihm Gelegenheit zur Äußerung. Weiters führte die belangte Behörde aus, dass sie die Beschwerde in Bezug auf die gelöschte Forderung in Höhe von EUR 115,00 (Herkunft: XXXX ) als gegenstandslos betrachte.

4. Der Mitbeteiligte gab am 23.10.2018 eine Stellungnahme ab und führte aus, dass zur Kenntnis genommen werde, dass die Forderung in Höhe von EUR 115,00 mittlerweile gelöscht und demnach für die belangte Behörde gegenstandslos geworden sei. Es erscheine willkürlich, dass die anderen beiden Zahlungserfahrungen gespeichert blieben, diese intransparente Vorgangsweise der Beschwerdeführerin widerspreche den Grundsätzen der DSGVO. Es sei nicht näher ausgeführt worden, weshalb die beiden bezahlten Forderungen gespeichert bleiben sollten. Auch ein positiv erledigter Eintrag behindere das finanzielle Fortkommen der betroffenen Person beträchtlich. Sämtliche Kreditgeber, aber auch andere Vertragspartner würden Einblick in die Daten der Beschwerdeführerin nehmen und selbst mit dem Vermerk „positiv erledigt“ keine Kredite etc. vergeben. Da bonitätsrelevanten Daten eine besondere Eingriffstiefe im Hinblick auf das Recht auf Geheimhaltung zukommen würde, sei es notwendig, dass die belangte Behörde eine Entscheidung darüber treffe, ab welcher Fallstufe eine Speicherung dieser Daten zulässig sei und für welche begrenzte Dauer, sodass eine echte Aussagekraft über die Bonität der betroffenen Person möglich sei und der Betroffene nicht in absolut unverhältnismäßiger Weise in seinem wirtschaftlichen Fortkommen durch die willkürliche Datenverarbeitung von Kreditauskunfteien behindert werden könne.

5. Mit dem angefochtenen Bescheid der belangten Behörde vom 15.01.2019 wurde der Beschwerde teilweise stattgegeben und festgestellt, dass die Beschwerdeführerin den Mitbeteiligten dadurch in seinem Recht auf Löschung verletzt habe, indem sie

- die bereits mit 23.5.2018 beglichene Forderung in Höhe von EUR 47,47 (Herkunft: XXXX ),

- die bereits mit 11.6.2018 beglichene Forderung in Höhe von EUR 34,20 (Herkunft: XXXX ), sowie

- die Wohnadressen des Beschwerdeführers, mit Ausnahme der (damals, Anm.) aktuellen Adresse XXXX nicht aus ihrer Bonitätsdatenbank gelöscht habe (Spruchpunkt 1.).

Weiters wurde die Beschwerdeführerin angewiesen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution dem Löschungsbegehren des Mitbeteiligten Folge zu leisten und die in Spruchpunkt 1 genannten Daten zu löschen (Spruchpunkt 3.).

Hinsichtlich einer behaupteten Verletzung im Recht auf Löschung in Bezug auf das in der Datenbank der Beschwerdeführerin aufscheinende Geburtsdatum des Mitbeteiligten wurde die Beschwerde hingegen abgewiesen (Spruchpunkt 2.).

Zu den nunmehr von der Beschwerdeführerin im Verfahren vor dem Bundesverwaltungsgericht angefochtenen Spruchpunkten 1. und 3. wurde von der belangten Behörde im Wesentlichen Folgendes begründend ausgeführt:

Die Verarbeitung bonitätsrelevanter Daten durch eine Kreditauskunftei iSd § 152 Gewerbeordnung finde Deckung in eben dieser Bestimmung und die Rechtmäßigkeit der Verarbeitung dieser Daten hänge folglich nicht von der vorherigen Einwilligung eines Betroffenen ab. Im vorliegenden Verfahren sei zunächst festzuhalten, dass die Zwecke der Datenverarbeitung in der Datenbank der Beschwerdeführerin darin bestünden, jenen Unternehmen einen Zugriff auf die Daten zu ermöglichen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko etwa bei der Lieferung ihrer Waren oder Dienstleistungen eingehen (z.B. Lieferung auf offene Rechnung). Unter bestimmten Voraussetzungen sei damit die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO zu bejahen. Verfahrensgegenständlich stelle sich jedoch die Frage, wie lange Zahlungserfahrungsdaten nach Begleichung der Forderung noch bei der Beschwerdeführerin gespeichert werden könnten, ehe sie für die Zwecke der Verarbeitung (Gläubigerschutz) nicht mehr notwendig seien. Nur wenn die personenbezogenen Daten noch bonitätsrelevant seien, bestehe ein Verarbeitungszweck gemäß Art. 5 Abs. 1 lit. b DSGVO. Eine gesetzlich normierte Frist, wie lange Einträge in Datenbanken von Kreditauskunfteien gespeichert werden dürfen, bestehe nicht, es seien alle Umstände des Einzelfalls zu berücksichtigen. Wie festgestellt worden sei, seien in der Datenbank der Beschwerdeführerin weiterhin zwei Zahlungserfahrungsdaten gespeichert. Die erste Forderung in Höhe von EUR 34,20 sei am 11.06.2018 geschlossen worden. Die zweite Forderung in Höhe von EUR 47,47 sei am 23.05.2018 geschlossen worden. Bei beiden Forderungen sei kein Betrag aushaftend; beide seien demnach als „positiv erledigt“ markiert. Zwar seien die beiden aufscheinenden Forderungen erst vor etwa sechs Monaten beglichen worden, doch spiele bei der Einzelfallbeurteilung auch die Höhe der Forderungen eine entscheidende Rolle. Aufgrund der sehr geringen Höhe im Zusammenhalt mit dem Alter der Forderungen (Eintragung in die Datenbank am 12.10.2016 und 26.6.2017) könne nicht davon ausgegangen werden, dass die Verarbeitung dieser Daten noch bonitätsrelevant und somit für die berechtigten Interessen der Gläubiger noch von Interesse seien. Vielmehr seien die Eintragungen in der Datenbank der Beschwerdeführerin jedoch geeignet, den Mitbeteiligten in seinem wirtschaftlichen Fortkommen zu hindern. Im vorliegenden Fall müsse daher davon ausgegangen werden, dass die Interessen oder Grundrechte und Grundfreiheiten des Mitbeteiligten überwiegen.

Betreffend die in der Datenbank der Beschwerdeführerin angeführten historischen Meldeadressen sei auszuführen, dass Art. 5 Abs. 1 lit. d DSGVO festlege, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssten und alle angemessenen Maßnahmen zu treffen seien, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig seien, unverzüglich gelöscht oder berichtigt würden („Richtigkeit“). Die weitere Verarbeitung der historischen Meldeadressen, sohin nicht aktueller personenbezogener Daten des Mitbeteiligten, widerspreche somit offenkundig dem vorhin genannten Grundsatz für die Verarbeitung personenbezogener Daten und seien diese daher zu löschen.

Da die Beschwerdeführerin die Löschung der beiden verbleibenden Zahlungserfahrungsdaten sowie der historischen Wohnadressen des Mitbeteiligten verweigert habe, sei die Beschwerdeführerin gemäß Art. 58 Abs. 2 lit. c DSGVO anzuweisen, dem Antrag des Mitbeteiligten zu entsprechen.

6. Gegen die Spruchpunkte 1. und 3. des angefochtenen Bescheides erhob die Beschwerdeführerin fristgerecht eine Beschwerde an das Bundesverwaltungsgericht.

Darin wurde ausgeführt, dass die Beschwerdeführerin Informationen über (negative) Zahlungsverfahren nahezu ausnahmslos nur dann erhalte, wenn (1) ein Zahlungsverzug vorliege, (2) die erste Mahnung durch den Gläubiger erfolglos gewesen sei, (3) auch die zweite Mahnung durch den Gläubiger erfolglos gewesen sei, (4) somit ein qualifizierter Zahlungsverzug eingetreten sei, (5) auch die dritte Mahnung durch ein Inkassobüro erfolglos geblieben sei und daher (6) ein fortbestehender qualifizierter Zahlungsverzug vorliege. Die Verarbeitung der verfahrensgegenständlichen Zahlungserfahrungsdaten sei sowohl zur Wahrung der Verpflichtung der Beschwerdeführerin zur Bereitstellung aussagekräftiger Bonitätsdaten wie auch der kreditgebenden Wirtschaft im weitesten Sinn erforderlich und verletze nicht die Grundrechte und Grundfreiheiten des Mitbeteiligten. Die Relevanz der verfahrensgegenständlichen Zahlungserfahrungsdaten beschränke sich auf eine künftige Kreditgewährung, aufgrund der gesetzlich angeordneten Überprüfung der Zahlungsfähigkeit vor einem Kreditgeschäft könne eine die Interessen des Kreditgebers überwiegende und somit relevante Beeinträchtigung des Mitbeteiligten im geschäftlichen Verkehr ausgeschlossen werden. Die Auffassung der belangten Behörde im angefochtenen Bescheid, dass es nicht zulässig sei, bezahlte (positiv erledigte) Zahlungserfahrungsdaten zu speichern und bei der Erstellung der Bonitätsauskunft zu berücksichtigen, würde zu einer „Durchlöcherung“ der Aussagekraft der entsprechenden Bonitätsauskünfte mit bedeutenden und eindeutig ungesetzlichen gesamtwirtschaftlichen Auswirkungen führen. Es gebe im Übrigen zahlreiche Gläubiger, insbesondere Unternehmen mit einem kleinteiligen Massengeschäft, für welche Zahlungserfahrungsdaten hinsichtlich kleinerer Forderungen wesentlich aussagekräftiger für das Zahlungsausfallsrisiko seien, als Daten hinsichtlich hoher Forderungen. Zudem werde – statistisch belegbar - ein hoher Prozentsatz von Personen, die von einer oder mehreren negativen Zahlungserfahrungen betroffen seien, früher oder später Gemeinschuldner eines Insolvenzverfahrens. Dabei spiele es keine entscheidende Rolle, wie hoch die von den Zahlungserfahrungsdaten ausgewiesenen Beträge seien oder ob diese „positiv erledigt“ seien oder nicht. Die belangte Behörde habe zudem nur die Höhe der Forderungen und den Umstand berücksichtigt, dass keine korrespondierenden gerichtlichen Publikationen in der Insolvenzdatei vorliegen würden. Bei der erforderlichen Einzelfallbeurteilung sei es aber notwendig, auch den Zeitraum zwischen Eröffnung und positiver Erledigung zu berücksichtigen. Die Forderung von EUR 34,20 sei am 12.10.2016 durch Inkassobetreibung eröffnet worden. Üblicherweise würden vor dem Inkasso zumindest zwei bis vier Mahnungen durch Gläubiger stattfinden. Erst am 11.06.2018 sei die Forderung durch den Mitbeteiligten bezahlt worden und habe somit fast ein Jahr und acht Monate unberichtigt ausgehaftet. Die Forderung von EUR 47,47 sei am 26.06.2017 eröffnet und am 23.05.2018 erledigt worden und habe somit 10 Monate unberechtigt ausgehaftet. Es sei nicht nachvollziehbar, dass die belangte Behörde von der gesicherten Spruchpraxis über die Dauer der Speicherung von Bonitätsdaten oder Zahlungserfahrungsdaten abgehe. Sowohl im Fall der „Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten“ als auch der „Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes“ sei die Löschungsfrist von Zahlungserfahrungsdaten mit sieben Jahren festgelegt worden. Die damalige Datenschutzkommission habe begründend ausgeführt, dass wegen der Warnfunktion der Liste die Bonitätsdaten in der Warnliste für eine gewisse Zeit auch nach der Tilgung der Schuld gespeichert bleiben sollten. Welche Interessen des Mitbeteiligten überwiegen sollten, bleibe im angefochtenen Bescheid vollkommen offen. Dass eine Güterabwägung überhaupt zu einem Eingriff in die Grundrechte und Grundfreiheiten des Betroffenen führen könne, sei auszuschließen, weil die betroffene Person durch das Bestehen der Datensätze nicht vom Wirtschaftsleben ausgeschlossen werde und zukünftige Gläubiger zur Erfüllung ihrer Verpflichtungen, insbesondere nach dem VKrG, eine aussagekräftige Bonitätsauskunft benötigen würden. Die belangte Behörde hätte in ihrer Bescheidbegründung auf die rechtlichen und fachlichen Rahmenbedingungen der Erarbeitung von seriösen Bonitätsauskünften eingehen müssen.

Die Speicherung historischer Adressdaten sei erforderlich, weil diese bonitätsrelevant seien (viele Umzüge würden auf schlechte Bonität hindeuten z. B. Mietnomaden) und der Betrugsprävention dienen (frühere Adressen würden wahrscheinlicher angegeben als komplett abweichende). Datensätze würden durch die Ergänzung mit historischen Meldedaten nicht falsch, weshalb kein Verstoß gegen den Grundsatz der „Datenrichtigkeit“ bestehe. Im Gegenteil würde das Löschen historischer Adressen den Datensatz unrichtig machen und damit Art. 5 Abs. 1 lit. d DSGVO zuwiderlaufen, weil der falsche Eindruck entstünde, dass die betroffene Person seit jeher an der einzig gespeicherten aktuellen Meldeadresse wohnhaft sei.

Überdies habe die belangte Behörde zu Unrecht auf § 256 IO Bezug genommen und sei die IO im gegenständlichen Zusammenhang nicht heranzuziehen.

7. Mit Schreiben vom 28.03.2019 wurde von der belangten Behörde die Beschwerde samt Verwaltungsakt dem Bundesverwaltungsgericht vorgelegt und eine Stellungnahme abgegeben. Darin wurde ausgeführt, dass von einer generell zulässigen Speicherdauer bonitätsrelevanter Daten von sieben Jahren auch nach alter Rechtslage nicht gesprochen habe werden können, sei doch bezüglich der Löschung von Eintragungen betreffend ein konkretes Kreditschuldverhältnis differenziert worden, u.a. etwa nach vollständiger Abzahlung der Schuld nach Zahlungsanstand (Löschung spätestens nach fünf Jahren), bei rechtskräftiger Feststellung des Nichtbestehens des behaupteten Zahlungsanstandes (Löschung spätestens 90 Tage nach vollständiger Abbezahlung der Schuld bzw. wenn die Feststellung erst nach dieser Frist erfolgt sei: unverzüglich nach rechtskräftiger Feststellung) und lediglich in allen übrigen Fällen sieben Jahre nach Tilgung der Schuld oder Eintritt eines sonstigen schuldbefreienden Ereignisses. Im Übrigen seien diese Bescheide schon gemäß § 69 Abs. 2 DSG außer Kraft getreten. Wie bereits im angefochtenen Bescheid ausgeführt, bestehe auch keine gesetzlich normierte Frist in Bezug auf die Speicherdauer von Einträgen in Datenbanken von Kreditauskunfteien. Im angefochtenen Bescheid sei unter Berücksichtigung aller maßgeblichen Umstände im Rahmen einer Einzelfallbeurteilung ausgesprochen worden, welche Zahlungserfahrungsdaten mangels berechtigten Interesses im Rahmen des Gläubigerschutzes zu löschen gewesen seien. Dass es sich dabei um keine objektiven Umstände handle, werde zwar in der Beschwerde behauptet, aber nicht näher ausgeführt. Insbesondere sei nicht ersichtlich, inwiefern die Einholung von Auskünften beim einschlägigen Fachverband der Wirtschaftskammer Österreich oder durch Beiziehung geeigneter Sachverständiger zu einem wesentlich anderen Ergebnis geführt hätte. Ebenso könne nicht schon aufgrund der Bestimmung des § 7 Abs. 1 VKrG davon ausgegangen werden, dass in einer Bonitätsdatenbank sämtliche Zahlungserfahrungsdaten zu speichern seien, sondern sei dies jeweils anhand einer Einzelfallbeurteilung zu prüfen.

8. Die Stellungnahme der belangten Behörde wurde dem Mitbeteiligten und der Beschwerdeführerin zur allfälligen Stellungnahme binnen 14 Tagen übermittelt. Weiters wurde die Beschwerdeführerin aufgefordert, die aktuell gespeicherten Daten bekannt zu geben. Dem Mitbeteiligten wurde aufgetragen mitzuteilen, ob er die Kammer für Arbeiter und Angestellte ( XXXX ) auch für das (Datenschutz-)Verfahren vor dem Bundesverwaltungsgericht ermächtige, und allenfalls auch eine klare Vollmacht vorzulegen.

9. Der Mitbeteiligte behob zwar (verspätet) das hinterlegte Schreiben des Bundesverwaltungsgerichts, gab jedoch keine Stellungnahme ab und legte auch keine Vollmacht vor.

10. Eine Rückfrage bei der Kammer für Arbeiter und Angestellte XXXX ergab, dass sie den Mitbeteiligten nicht vor dem Bundesverwaltungsgericht vertritt.

11. In ihrem Schriftsatz vom 20.01.2021 gab die Beschwerdeführerin eine Stellungnahme ab. Die belangte Behörde habe fälschlich die Dauer der Aushaftung der Forderungen nicht berücksichtigt. Diesem Umstand komme im vorliegenden Fall jedoch entscheidende Bedeutung zu, weil gerade eine geringe Forderung, die einen derart langen Zeitraum aushafte, für die Beurteilung des Risikos eines Zahlungsausfalls besonders wesentlich sei. Insbesondere sei hervorzuheben, dass bereits in den Ausführungen der Beschwerde statistisch belegt worden sei, dass eine Mehrzahl von negativen Zahlungserfahrungsdaten — auch wenn diese zwischenzeitlich „positiv erledigt" worden seien — nachweislich ein 10-fach höheres Insolvenzrisiko als bei einem „Normalverbraucher" indiziere. Dieses Risiko habe sich im gegenständlichen Fall auch verwirklicht, zumal der Mitbeteiligte zwischenzeitlich am 29.05.2019 eine neue Verbindlichkeit in der Höhe von EUR 218,27 begründet habe, diese trotz mehrmaliger Mahnung nicht beglichen habe, sodass ein fortbestehender qualifizierter Zahlungsverzug entstanden sei, und diese Forderung auch bis zum heutigen Tage nicht beglichen habe, sodass sie vom eintreibenden Inkassobüro XXXX als uneinbringlich ausgebucht habe werden müssen. Auch dies belege, dass ein überwiegendes berechtigtes Interesse bestehe, die verfahrensgegenständlichen Zahlungserfahrungsdaten weiterhin gespeichert zu halten. Im gegenständlichen Verfahren gehe es ausschließlich um Forderungen, die trotz dreimaliger Mahnung und damit fortbestehendem qualifizierten Zahlungsverzug noch immer aushaften würden. Es sei daher Spruchpunkt 6.d des Bescheides K600.033-018/0002-DVR/2007 maßgeblich, der eine Speicherfrist von sieben Jahren vorsehe.

Eine grundsätzliche Speicherfrist von sieben Jahren für Zahlungserfahrungsdaten entspreche im Übrigen auch der gewerberechtlichen Speicherfrist für geschäftliche Schriftwechsel einer Kreditauskunftei gem. § 152 Abs. 2 GewO, worunter nach der Rechtsansicht der für die Beschwerdeführerin zuständigen Gewerbebehörde auch elektronische Bonitätsauskünfte fielen. Die belangte Behörde behaupte zwar, dass die bisherige Rechtsprechung der DSK nicht mehr relevant sei, nehme jedoch in keiner Weise dazu Stellung, dass die für die Ermittlung der zulässigen Speicherdauer vorzunehmende Interessensabwägung nach altem Recht (§§ 6 Abs. I Z 5 und 8 Abs. 1 Z 4 DSG 2000) und nach geltendem Recht (Art 5 Abs. 1 lit. e und Art. 6 Abs. 1 lit. f DSGVO) unverändert geblieben sei.

Es sei auch unrichtig, die Insolvenzordnung für die Auslegung des Art. 5 Abs. 1 lit. e DSGVO heranzuziehen.

Was die konkreten Zahlungserfahrungs- und Wohnsitzdaten über den Mitbeteiligten betreffe, die zum gegenwärtigen Zeitpunkt verarbeitet würden, so seien keine der bisher verfahrensgegenständlichen Daten gelöscht oder verändert worden und lediglich neue Zahlungserfahrungsdaten bezüglich einer weiteren Forderung idH von EUR 218,27 hinzugefügt worden. Hinsichtlich der „Wohnsitzdaten" sei festzuhalten, dass die Beschwerdeführerin nicht über die Information verfüge, ob es sich bei den von der Beschwerdeführerin gespeicherten Anschriften um Wohnsitze des Mitbeteiligten handle. Die Beschwerdeführerin verfüge lediglich über die Information, dass diese Anschriften vom Mitbeteiligten im geschäftlichen Verkehr (z.B. bei einer Warenbestellung) verwendet worden seien. Die über den Mitbeteiligten gespeicherten Anschriften hätten sich seit der Auskunftserteilung vom 03.10.2018 nicht verändert und seien auch nicht ergänzt worden.

12. Der Schriftsatz wurde dem Mitbeteiligten und der belangten Behörde im Rahmen des Parteiengehörs übermittelt, die jedoch innerhalb der gesetzten Frist keine Stellungnahmen abgaben.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Der unter Punkt I. angeführte Verfahrensgang wird den Feststellungen zugrunde gelegt.

Insbesondere wird folgender Sachverhalt festgestellt:

1. Die Beschwerdeführerin betreibt eine Wirtschaftsauskunftei, in deren Rahmen sie Bonitätsauskünfte erteilt.

2. Der Mitbeteiligte stellte am 25.04.2018 ein Auskunftsbegehren an die Beschwerdeführerin, welches mit einem Antwortschreiben der Beschwerdeführerin vom 03.05.2018 beantwortet wurde. Mit Schreiben vom 17.05.2018 richtete der Mitbeteiligte erstmals ein Löschungsbegehren an die Beschwerdeführerin. Nach weiteren Korrespondenzen machte die Rechtsvertretung des Mitbeteiligten am 12.06.2018 und 19.06.2018 ein Widerspruchs- und Löschungsrecht bezüglich aller über den Mitbeteiligten verarbeiteten Daten mit Ausnahme des Namens und der aktuellen Wohnanschrift geltend. Daraufhin erging ein Schreiben der Beschwerdeführerin vom 20.06.2018 an den Mitbeteiligten und vom 29.06.2018 an seine Rechtsvertretung, in dem die Beschwerdeführerin die Löschung der Daten ablehnte und dies begründete. Weiters erging von der Beschwerdeführerin ein Auskunftsschreiben vom 03.10.2018 an den Mitbeteiligten, in welchem u.a. (nur mehr) zwei Forderungen genannt und als „positiv erledigt“ bezeichnet sind.

Die Zahlungsverhaltensdaten über die dritte Forderung wurden von der Beschwerdeführerin gelöscht. Inzwischen wurde mit 29.05.2019 eine weitere Forderung eingetragen, die als uneinbringlich ausgebucht wurde.

3. Bei der Beschwerdeführerin sind derzeit folgende verfahrensrelevante Daten über den Mitbeteiligten gespeichert:

ZAHLUNGSERFAHRUNGSDATEN

​

NAMEN UND ADRESSEN

​

4. Bei den Forderungen handelt es sich um solche, die trotz dreimaliger Mahnung und damit fortbestehendem qualifizierten Zahlungsverzug noch immer aushafteten. Die Forderung von EUR 34,20 ist am 12.10.2016 durch Inkassobetreibung eröffnet worden. Die Forderung wurde am 11.06.2018 durch den Mitbeteiligten bezahlt. Die Forderung von EUR 47,47 ist am 26.06.2017 eröffnet und am 23.05.2018 erledigt worden. Die Forderung von EUR 218,27 wurde am 29.05.2019 eröffnet und am 15.09.2020 als uneinbringlich ausgebucht.

5. Mit Bescheiden vom 23.11.2001, K095.014/021-DSK/2001 und 12.12.2007, GZ K600.033-018/0002-DVR/2007, wurden von der (damals zuständigen) Datenschutzkommission zur Meldung der „Warnliste“ und der „Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung“ Auflagen erteilt, die die Zeitdauer von Eintragungen im Zusammenhang mit konkreten Kreditschuldverhältnissen genau festlegen.

6. Die gewerberechtliche Speicherfrist für geschäftliche Schriftwechsel einer Kreditauskunftei gem. § 152 Abs. 2 GewO beträgt sieben Jahre.

7. Die Zahlungsdaten des Mitbeteiligten sind nicht in der Insolvenzdatei gespeichert.

8. Der Mitbeteiligte ist seit 25.11.2019 an einer neuen Adresse gemeldet.

9. Der Mitbeteiligte hat seit Eintritt seiner Volljährigkeit (und damit vollen Geschäftsfähigkeit) im November 2008 mindestens acht Mal einen gemeldeten Wohnsitzwechsel vorgenommen. Die von der Beschwerdeführerin verarbeiteten Wohnsitzadressen umfassen Meldeadressen und eine weitere nicht gemeldete Adresse, die der Mitbeteiligte im Wirtschaftsleben verwendete.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Verwaltungsakt und dem gegenständlichen Gerichtsakt sowie aus einem vom Bundesverwaltungsgericht eingeholten ZMR-Auszug und sind unstrittig.

3. Rechtliche Beurteilung:

3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit .). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.2. Zu Spruchteil A):

3.2.1. Rechtslage:

Art. 4 Z 1 und 2 DSGVO lauten:

„Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2.„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Art. 5 DSGVO lautet:

„Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

​

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Art. 17 DSGVO lautet:

„Artikel 17

Recht auf Löschung („Recht auf Vergessenwerden“)

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

​

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

​

§ 1 DSG lautet:

„§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.“

§ 152 GewO lautet:

„Auskunfteien über Kreditverhältnisse

§ 152. (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.

(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist.“

Art. 143 Abs. 1, 151 Abs. 6 und 7, 180 Abs. 2 lit. a und e und 181 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 ("Kapitaladäquanzverordnung") lauten:

Art. 143 Abs. 1:

„(1) Wenn die Bedingungen dieses Abschnitts erfüllt sind, gestattet die zuständige Behörde den Instituten, ihre risikogewichteten Positionsbeträge anhand des auf internen Beurteilungen basierenden Ansatzes (im Folgenden "IRB-Ansatz") zu berechnen.“

Art. 151 Abs. 6 und 7:

„(6) Für Risikopositionen der Forderungsklassen nach Artikel 147 Absatz 2 Buchstaben a bis d nehmen die Institute nach Maßgabe von Artikel 143 und Abschnitt 6 ihre eigenen PD-Schätzungen vor.

(7) Für Risikopositionen der Forderungsklasse nach Artikel 147 Absatz 2 Buchstabe d nehmen die Institute nach Maßgabe des Artikels 143 und des Abschnitts 6 ihre eigenen Schätzungen der LGD und der Umrechnungsfaktoren vor.“

Art. 180 Abs. 2 lit. a und e:

​

e) unabhängig davon, ob ein Institut für seine Schätzung der Verlustmerkmale externe, interne oder zusammengefasste Datenquellen oder eine Kombination daraus verwendet, muss der zugrunde liegende historische Beobachtungszeitraum für zumindest eine Datenquelle mindestens fünf Jahre betragen. Wurde eine Datenquelle über einen längeren Zeitraum beobachtet und sind die entsprechenden Daten relevant, so wird dieser längere Beobachtungszeitraum herangezogen. Wenn sich neuere Daten besser zur Vorhersage der Verlustquoten eignen, muss ein Institut historischen Daten nicht die gleiche Bedeutung beimessen. Bei entsprechender Genehmigung der zuständigen Behörden können Institute bei der Anwendung des IRB-Ansatzes relevante Daten aus einem Zweijahreszeitraum verwenden. Dieser Zeitraum verlängert sich jährlich um ein Jahr, bis relevante Daten für einen Zeitraum von fünf Jahren vorliegen;“

Art. 181 Abs. 2 lit. c:

​

3.2.2. Auf den konkreten Fall umgelegt bedeutet dies Folgendes:

Die Beschwerdeführerin sieht sich durch die Entscheidung der belangten Behörde beschwert, weil sie die in Rede stehenden Zahlungsdaten und Adressdaten des Mitbeteiligten - entgegen den Bescheidausführungen – rechtmäßig verarbeite. Damit ist die Beschwerdeführerin im Recht:

Personenbezogene Daten sind über Antrag des Betroffenen u.a. dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sie unrechtmäßig verarbeitet wurden oder die betroffene Person Widerspruch gemäß Artikel 21 Abs. 1 DSGVO gegen ihre Verarbeitung erhoben hat (Art. 17 Abs. 1 lit. a, c 1. Fall und d DSGVO). Einem Löschungsbegehren stünde daher eine Datenverwendung entgegen, die notwendig und rechtmäßig ist und gegen die kein wirksamer Widerspruch erhoben worden ist.

Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie - unter Einhaltung der in Art. 5 DSGVO genannten Verarbeitungsgrundsätze - auf Grund einem der in Art. 6 DSGVO genannten Erlaubnistatbestände erfolgt.

3.2.1. Zur Einhaltung der Verarbeitungsgrundsätze nach Art. 5 DSGVO:

Gemäß den Verarbeitungsgrundsätzen nach Art. 5 DSGVO müssen personenbezogene Daten - soweit verfahrensrelevant - für festgelegte, eindeutige und legitime Zwecke erhoben werden ("Zweckbindung"), dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung"), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein ("Richtigkeit") und in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist ("Speicherbegrenzung").

Die Beschwerdeführerin betreibt das Gewerbe der Kreditauskunftei gemäß § 152 GewO.

Zu den Aufgaben der Gewerbetreibenden iSd § 152 GewO gehört die Erteilung von Auskünften über die Kreditwürdigkeit von Unternehmen und Privatpersonen an Dritte. Kreditgebern sollen dadurch aussagefähige Informationen über vorhandene oder auch potenzielle Kreditnehmer, und zwar insbesondere über die Art und Weise ihrer bisherigen Schuldenbegleichung, zur Verfügung stehen (Riesz in Ennöckl/Raschauer/Wessely, GewO § 152 Rz 2). Dadurch soll es Kreditgebern ermöglicht werden, die Wahrscheinlichkeit, mit der der Kreditgeber am Ende wegen seiner Forderung befriedigt wird, und allenfalls die Prognose, mit wie vielen Schwierigkeiten das verbunden ist, zu bestimmen (Wendehorst, Was ist Bonität? Zum Begriff der "Kreditwürdigkeit" in § 7 VKrG, in Blaschek/Habersberger (Hrsg), Eines Kredites würdig? (2011) 22). Eine Neigung zu vertragswidrigem Verhalten - etwa mangelnde finanzielle Selbstkontrolle oder habituelles Hinauszögern von Zahlungen bis zum Exekutionsdruck - lässt sich vor allem aus dem Finanzgebaren in der Vergangenheit heraus prognostizieren. Relevant ist dabei vergangenes vertragswidriges Verhalten, dass sich in schlichtem Zahlungsverzug, aber auch in gerichtlichen Verfahren bis hin zu Exekutionshandlungen oder gar in einer Insolvenzeröffnung manifestiert haben mag (aaO 23; vgl auch Heinrich, Bonitätsprüfung im Verbraucherkreditrecht (Wien 2014) 89 f).

Die Beschwerdeführerin verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Informationen über das Zahlungsverhalten des Mitbeteiligten, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können.

Dabei handelt es sich um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten (§ 152 GewO) Zweck. Die Daten sind auch richtig und vollständig, weil die Beschwerdeführerin hinsichtlich der beiden Forderungen darauf hinweist, dass sie positiv erledigt, also bezahlt wurden. Sie sind auch grundsätzlich erforderlich und geeignet, um eine Prognose überdas zukünftige Zahlungsverhalten des Mitbeteiligten abgeben zu können (siehe dazu auch EuGH 23.11.2006, Rs C-238/05 Rz 47, wonach Systeme zum Informationsaustausch zwischen Finanzinstituten bezüglich der Zahlungsfähigkeit von Kunden die Vorhersehbarkeit der Rückzahlungswahrscheinlichkeit verbessern, weshalb sie grundsätzlich geeignet sind, die Ausfallquote von Kreditnehmern zu verringern und dadurch den Wirkungsgrad des Kreditangebots zu erhöhen).

Strittig ist, wie lange derartige Daten verarbeitet werden dürfen.

3.2.1.1. Zur zulässigen Speicherdauer von Daten über historische Zahlungsausfälle:

Weder die DSGVO noch die gewerberechtlichen Regelungen zum Gewerbe der Kreditauskunftei (§ 152 GewO) enthalten konkrete Fristen zur zulässigen Speicherdauer von historischen Insolvenzverfahren und Zahlungsausfällen. Wie lange diese Daten jeweils verarbeitet werden dürfen, hängt daher - wie die belangte Behörde zutreffend ausführt - grundsätzlich vom Einzelfall ab.

Auch wenn historische Zahlungsinformationen wesentlich sind, um das zukünftige Zahlungsverhalten eines (potentiellen) Schuldners vorhersagen zu können, haben sie umso weniger Aussagekraft, je länger sie zurückliegen und je länger es zu keinen weiteren Zahlungsstockungen und Zahlungsausfällen gekommen ist. Dem Alter der Forderung bzw. dem Zeitpunkt des Feststehens des endgültigen Ausfalls der Forderung, dem Zeitpunkt etwaiger Tilgungen und dem seitherigen "Wohlverhalten" des Schuldners kommen bei der Abwägung damit entscheidende Bedeutung zu.

Als Richtlinie, wie lange Bonitätsdaten zur Beurteilung der Bonität eines (potentiellen) Schuldners geeignet sind, können Beobachtungs- oder Löschungsfristen in rechtlichen Bestimmungen herangezogen werden, die dem Gläubigerschutz dienen oder die Erfordernisse an eine geeignete Bonitätsbeurteilung näher festlegen. In diesem Zusammenhang ist auf die inzwischen vorliegende Rechtsprechung des Bundesverwaltungsgerichts (W258 2216873-1/7E vom 30.10.2019, W211 2225136-1/5E vom 28.07.2020, W274 2232028-1/3E vom 21.10.2020) zu verweisen, wonach als Richtschnur die Bestimmungen der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 ("Kapitaladäquanzverordnung"), herangezogen werden können. In diesen Bestimmungen werden Kreditinstitute u.a. verpflichtet, ihre Kunden zu bewerten und diverse Risiken ihrer Forderungen abzuschätzen. Für Kredit- bzw. Retailforderungen gegenüber natürlichen Personen haben Kreditinstitute, die ihre risikogewichteten Positionsbeträge anhand eines auf internen Beurteilungen basierenden Ansatzes berechnen dürfen (Art. 143 Abs. 1 leg cit), gemäß Art. 151 Abs. 6 iVm 180 Abs. 2 lit. a und e leg cit die Ausfallswahrscheinlichkeit der Forderung (Probability of Default - PD) u.a. anhand der langfristigen Durchschnitte der jährlichen Ausfallsquote zu schätzen; dabei ist ein historischer Beobachtungszeitraum für zumindest eine Datenquelle, die auch extern sein kann, von mindestens fünf Jahren zugrunde zu legen. Auch die durchzuführende Schätzung der Verlustquote bei einem Ausfall (Loss Given Default - LGD), hat sich gemäß Art. 151 Abs. 7 iVm 181 Abs. 2 lit. c leg cit grundsätzlich auf einen mindestens fünfjährigen Zeitraum zu beziehen.

Der (EU-)Verordnungsgeber geht daher davon aus, dass für die Beurteilung der Bonität eines (potentiellen) Schuldners bzw. des Risikos einer Forderung, Daten über etwaige Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren relevant sind.

Wenn Kreditinstitute als potentielle Geschäftspartner der Beschwerdeführerin z.T. rechtlich verpflichtet sind, ihre Forderungen anhand der Ausfallquoten zumindest der letzten fünf Jahre zu bewerten, und soll - wie hier - die Bonitätsdatenbank der Beschwerdeführerin auch dazu dienen, Kreditinstituten Daten zu liefern, die sie für ihre z.T. verpflichtende Bewertung benötigen, kann es nicht als Verstoß gegen das Prinzip der Datenminimierung oder der Speicherbegrenzung erkannt werden, wenn die Beschwerdeführerin Daten über das Zahlungsverhalten verarbeitet, wenn diese das Zahlungsverhalten des Mitbeteiligten bezüglich Forderungen aus den Jahren 2016 und 2017 wiedergibt und die Begleichung der Forderungen erst 2018 (noch dazu aufgrund eines qualifizierten Zahlungsverzuges) erfolgt ist. Das trifft erst recht auf eine Forderung zu, die 2019 aufgrund qualifizierten Zahlungsverzuges gespeichert wurde. Der Vollständigkeit halber ist festzuhalten, dass die letzte Eintragung zwar die Position der Beschwerdeführerin bestätigt und darauf hinweist, dass auch geringfügige, qualifizierte Zahlungsausfälle auf das Zahlungsverhalten des Mitbeteiligten schließen lassen können, dass aber schon das Aufrechterhalten der Speicherung der beiden ersten Eintragungen aufgrund des qualifizierten Zahlungsverzuges und der Tatsache, dass diese Eintragungen noch nicht lange zurückliegen, keinen Verstoß gegen die Datenminimierung darstellte.

3.2.2. Zum Erlaubnistatbestand nach Art. 6 Abs. 1 lit. f DSGVO:

Die Verarbeitung personenbezogener Daten ist u.a. gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessensabwägung durchzuführen, bei der die berechtigten Interessen des Verantwortlichen oder eines Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind (zur vergleichbaren Vorgängerbestimmung des Art. 7 lit. f Datenschutzrichtlinie 95/46/EG vgl EuGH 04.05.2017, C-13/16, Rigas satiksme, Rz 31). Dabei sind einerseits die Interessen des Verantwortlichen und von Dritten (mögliche Geschäftspartner der Beschwerdeführerin) sowie andererseits die Interessen, Rechte und Erwartungen der betroffenen Person zu berücksichtigen (ErwG 47 DSGVO).

Die Beschwerdeführerin und ihre Kunden haben, sobald Verträge ein kreditorisches Risiko enthalten, ein nachvollziehbares Interesse des kreditierenden Vertragspartners, dieses Risiko abzuschätzen. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle erfolgt zum Schutz potenzieller Vertragspartner der betroffenen Person, die Dritte iSv Art. 6 Abs. 1 lit. f DSGVO sind (vgl auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rz 133 f, 137). Damit dient sie auch dazu, Kreditinstitute dabei zu unterstützen, die Vorschriften der Kapitaladäquanzverordnung, die hinsichtlich der Schätzung der Risikoparameter einen Beobachtungszeitraum von zumindest fünf Jahren vorsehen, zu erfüllen.

Dagegen haben betroffene Personen ein Interesse daran, auf Grund der Verarbeitung nicht von Nachteilen im Wirtschaftsleben betroffen zu sein.

In einer Zusammenschau ergibt sich, dass, auf Grund des Interesses der Vertragspartner der Beschwerdeführerin Kreditrisiken abzuschätzen, hierfür die Beobachtung des historischen Zahlungsverhaltens des potentiellen Schuldners wesentlich ist und vor dem Hintergrund, dass es der EU-Verordnungsgesetzgeber für erforderlich sieht, das Risiko von Forderungen anhand eines zumindest fünfjährigen Beobachtungszeitraums vergangener Zahlungsausfälle abzuschätzen, die Verarbeitung von Informationen über vor etwas mehr als zweieinhalb Jahren positiv erledigte Forderungen, die innerhalb der letzten fünf Jahre entstanden sind, durch die Beschwerdeführerin erforderlich ist. Daran vermag auch der relativ geringe Betrag der bezahlten Forderungen nichts zu ändern. Die Interessen betroffener Personen, wie des Mitbeteiligten, an der Geheimhaltung ihrer historischen Zahlungsausfallsdaten, um Nachteile im Wirtschaftsleben zu vermeiden, überwiegen jedenfalls dann nicht, wenn Forderungen (wie hier aus 2016 und 2017) erst nach längerer Zeit (hier 2018) positiv erledigt wurden und ein (sogar fortgesetzter) qualifizierter Zahlungsverzug vorlag. Aus diesen Gründen war und ist die Speicherung der Daten berechtigt.

Wie oben festgestellt, wird inzwischen noch eine weitere Forderung aufgrund qualifizierten Zahlungsverzuges gespeichert und besteht diese Speicherung aus den genannten Gründen zurecht, wobei diese Forderung noch jünger ist als die oben erwähnten, und überdies nicht bezahlt wurde.

Im Übrigen ist davon auszugehen, dass die von der Beschwerdeführerin gespeicherten Daten bei einer beantragten Kreditvergabe von der kreditgebenden Stelle im Einzelfall zu evaluieren sein werden, was hinsichtlich der (relativ) geringen Höhe der Beträge nicht automatisch zu einer kompletten Weigerung einer Kreditvergabe führen und auch keinen Ausschluss vom Wirtschaftsleben bedeuten muss.

3.2.3. Auch dem Vorbringen des Mitbeteiligten und den Ausführungen der belangten Behörde, wonach die Daten des Mitbeteiligten nicht in der Insolvenzdatei verarbeitet werden und (auch) daher von der Beschwerdeführerin zu löschen seien, ist nicht zu folgen:

Die datenschutzrechtliche Zulässigkeit der Führung der Insolvenzdatei gründet nämlich auf § 256 Insolvenzordnung, einer rechtlichen Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c DSGVO, die einer Bonitätsdatenbank hingegen auf überwiegende berechtigte Interessen des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO (vgl. OGH 30.01.2017, 6 Ob 178/16v, jusIT 2017/52, 117 (Bergauer) wonach eine Löschung nach § 256 Insolvenzordnung nicht auf eine Datenverwendung durchschlägt). Aus § 256 Insolvenzordnung lässt sich nicht ableiten, dass Daten über Insolvenzen (überhaupt) nicht mehr, d.h. auf Grund anderer Erlaubnistatbestände nach Art. 6 DSGVO, verarbeitet werden dürfen, wenn sie aus der Insolvenzdatei gelöscht worden sind oder gar nicht eingetragen wurden. Eine derartige Einschränkung würde - jedenfalls in Bezug auf den hier einschlägigen Erlaubnistatbestand des Art. 6 Abs. 1 lit. f DSGVO - EU-Sekundärrecht widersprechen (vgl EuGH 24.11.2011, C-468/10 und C-469/10, ASNEF/FECEMD, Rz 48 f, wonach nationale Bestimmungen, die für die Verarbeitung personenbezogener Daten zusätzlich zu der vorgesehenen Interessenabwägung verlangen, dass diese Daten in öffentlich zugänglichen Quellen enthalten sind, Art. 7 lit. f Datenschutzrichtlinie 95/46/EG - der im Wesentlichen Art. 6 Abs. 1 lit. f DSGVO entspricht - entgegenstehen).

3.2.4. Die Beschwerdeführerin weist hinsichtlich der Verarbeitung bonitätsrelevanter Daten des Mitbeteiligten auch auf Bescheide der (damals zuständigen) Datenschutzkommission GZ K095.014/021-DSK/2001 und K600.033-018/0002-DVR/2007 hin, mit welchen die Datenanwendung „Warnliste“ bzw. "Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung" unter der Auflage bestimmter Löschungsfristen „genehmigt worden“ sei. Dazu ist zunächst festzuhalten, dass Meldungen an die (damalige) Datenschutzkommission durch die DSGVO inzwischen hinfällig geworden sind. Wie die belangte Behörde zutreffend ausführt, wurden Registrierungen im Datenverarbeitungsregister gemäß § 69 Abs. 2 DSG gegenstandslos. Auch handelt es sich bei dem zitierten Bescheid nicht um eine „Genehmigung“ iSd Erwägungsgrundes 171, sondern wurden hinsichtlich der an die Datenschutzkommission erfolgten Meldungen bestimmte Auflagen erteilt (die sich mit Gegenstandslosigkeit der Meldung erübrigt haben).

Soweit die Beschwerdeführerin vorbrachte, dass die gewerberechtliche Aufbewahrungspflicht sieben Jahre betrage, so trifft dies zu und ermächtigt die Beschwerdeführerin zur Speicherung der Daten im Rahmen ihrer Aufbewahrungspflichten. Der Vollständigkeit halber wird angemerkt, dass dies aber noch nicht bedeuten muss, dass diese Daten zur Beauskunftung an Dritte im Rahmen des Kreditauskunfteizweckes herangezogen werden dürfen; daher bedürfte dies jedenfalls einer besonderen Begründung im Rahmen einer neuerlichen Interessenabwägung im Einzelfall.

3.3. Zur Verarbeitung historischer Wohnadressen:

Die Beschwerdeführerin wendet sich auch gegen die in Spruchpunkt 1. des Bescheids getroffene Feststellung, wonach sie den Mitbeteiligten in seinem Recht auf Löschung verletzt habe, indem sie ihn betreffende historische Wohnadressen nicht gelöscht habe, bzw gegen den in Spruchpunkt 3. ausgesprochenen Löschungsauftrag.

Wendet man die unter Punkt 3.2. erörterten Grundsätze auf die Verarbeitung historischer Wohnadressen durch die Beschwerdeführerin an, bedeutet das:

Die Beschwerdeführerin verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Wohnadressen des Beschwerdeführers, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können.

Sie begründet die Verarbeitung damit, dass historische Wohnadressen notwendig seien, um Mietnomaden zu erkennen und erläutert die relativ häufige Korrelation eines häufigen Wohnsitzwechsels mit Zahlungsausfällen.

Im Falle des Mitbeteiligten stehen dieser Verarbeitung – anders als etwa im Erkenntnis W258 2216873-1/7E - die Prinzipien der "Datenminimierung" und der "Speicherbegrenzung" iSd Art. 5 DSGVO nicht entgegen:

Die Beschwerdeführerin führt aus, dass aus historischen Meldeadressen betroffener Personen auf ihre Bonität geschlossen werden könne, beispielsweise könnten auf Grund häufig wechselnder Wohn- bzw. Meldeadressen Mietnomaden erkannt werden. Der Beschwerdeführerin ist dahingehend zuzustimmen, dass zwischen den historischen Meldeadressen und der Zahlungsfähigkeit einer Person ein statistischer Zusammenhang begründet werden kann (vgl. auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rz 137) und sie auch grundsätzlich geeignet sind, Mietnomaden zu erkennen. Ihrer Verarbeitung stehen somit die allgemeinen Verarbeitungsgrundsätze des Art. 5 DSGVO nicht entgegen. Es besteht auch ein berechtigtes Interesse der Beschwerdeführerin iSd Art. 6 Abs. 1 lit. f DSGVO.

Wie aus einem aktuellen Auszug aus dem Zentralen Melderegister hervorgeht, ist der Mitbeteiligte seit seiner Volljährigkeit in den letzten elf Jahren mindestens acht Mal umgezogen, der letzte Umzug fand im Jahre 2019 statt. Insofern liegt eine überdurchschnittliche Zahl von Wohnsitzwechseln vor, wobei eine von der Beschwerdeführerin zusätzlich verarbeitete im Wirtschaftsleben des Mitbeteiligten verwendete Adresse gar nicht im ZMR aufscheint. Der Argumentation der Beschwerdeführerin, dass im gegenständlichen Fall die Verarbeitung von Adressdaten des Mitbeteiligten zur Beurteilung seines Zahlungsverhaltens als relevant erachtet werden kann, kann daher im gegenständlichen Fall nicht entgegengetreten werden. Daher fällt eine Abwägung der Interessen im gegenständlichen Fall zugunsten der Beschwerdeführerin aus. Die Verwendung der historischen Wohnadressen ist aus diesem Grund durch Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

3.4. Es war daher spruchgemäß zu entscheiden, wobei die Spruchteile 1. bis 3. des angefochtenen Bescheides durch den abgeänderten Spruch zu ersetzen waren. Spruchteil 2. wurde zwar von der Beschwerdeführerin nicht angefochten, wird jedoch durch die nunmehrige Gesamtabweisung der Beschwerde des Mitbeteiligten hinfällig und geht ebenfalls im gegenständlich abgeänderten Spruch auf.

3.5. Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Gemäß § 24 Abs 4 VwGVG kann – soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist – das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 EMRK noch Art. 47 GRC entgegenstehen.

Im gegenständlichen Fall konnte das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage geklärt war. Die Heranziehung weiterer Beweismittel war zur Klärung des Sachverhaltes nicht notwendig.

Das Bundesverwaltungsgericht hat vorliegend ausschließlich über eine Rechtsfrage zu erkennen (vgl. EGMR 20.6.2013, Appl. Nr. 24510/06, Abdulgadirov/AZE, Rz 34 ff). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.6.2012, B 155/12).

Die Durchführung einer mündlichen Verhandlung war daher nicht erforderlich.

Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.

Die Revision ist zulässig, weil Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Art. 133 Abs 4 B-VG zukommt. Zwar handelt es sich bei der Frage, wie lange Daten unter Beachtung der Verarbeitungsrundsätze des Art. 5 DSGVO und unter Vornahme einer Interessensabwägung nach Art. 6 Abs. 1 lit. f DSGVO verwendet werden dürfen, um eine grundsätzlich nicht reversible Einzelfallentscheidung. Es fehlt aber an Rechtsprechung des Verwaltungsgerichtshofs zur Frage, welchen Grundsätzen eine solche Interessensabwägung genügen muss; insbesondere, ob und unter welchen Voraussetzungen die Vorschriften der Kapitaladäquanzverordnung als Richtschnur für die Bestimmung der zulässigen Speicherdauer von Bonitätsdaten herangezogen werden können.