BVwG W258 2224155-1

Spruch:

W258 2224155-1/5E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerde von XXXX , vertreten durch LTRA Rechtsanwälte, 1070 Wien, Lindengasse 38/3, (mitbeteiligte Partei: XXXX ) gegen den Bescheid der Datenschutzbehörde vom 26.07.2019, GZ DSB-D124.448/0003-DSB/2019, in nichtöffentlicher Sitzung in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:

A) Die Beschwerde wird abgewiesen.

B) Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Mit Eingabe vom 29.04.2019, über Mängelbehebungsauftrag vom 10.05.2019 mittels Schreiben vom 15.05.2019 verbessert, behauptete der Beschwerdeführer eine Verletzung in seinem Recht auf Löschung ihn betreffender personenbezogener Daten gemäß Art 17 DSGVO sowie in seinem Recht auf Widerspruch gemäß Art 21 DSGVO und beantragte, die belangte Behörde möge die Verletzung in seinem Recht auf Löschung feststellen und der mitbeteiligten Partei auftragen, ihre gesetzliche Löschungsverpflichtung ihm gegenüber binnen 14 Tagen zu erfüllen.

Begründend führte er zusammengefasst aus, die mitbeteiligte Partei verarbeite Daten über ein ihn betreffendes Insolvenzverfahren, obwohl er den Zahlungsplan erfüllt habe und die Löschung sämtlicher das Insolvenz- und Schuldenregulierungsverfahren betreffender Daten aus der Insolvenzdatei bereits genehmigt worden sei. Die Verarbeitung der Daten durch die mitbeteiligte Partei sei daher unrechtmäßig bzw für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig und von ihr daher gemäß Art 17 Abs 1 lit a und d DSGVO zu löschen. Da die mitbeteiligte Partei die Verarbeitung der Daten nur auf Art 6 Abs 1 lit f DSGVO stützen könne, widerspreche er darüber hinaus der weiteren Verwendung seiner Daten, weil er durch ihre Verarbeitung Nachteile im Wirtschaftsleben erleide.

Er habe kein Löschungsbegehren und keinen Widerspruch an die mitbeteiligte Partei gerichtet, weil sie in Erfüllung eines durch den Beschwerdeführer an ihn gerichteten Auskunftsbegehrens darauf hingewiesen habe, dass eine vorzeitige Löschung der Daten nicht möglich wäre; sie hätte damit klargestellt, dass sie einem etwaigen Löschungsbegehren nicht nachkommen würde, weshalb Anträge entbehrlich gewesen wären.

2. Mit Bescheid vom 26.07.2019 wies die belangte Behörde die Beschwerde ab, weil eine Verletzung im Recht auf Löschung oder Widerspruch einen erfolglosen Antrag an den Verantwortlichen voraussetze.

3. Dagegen, soweit sich der Bescheid auf eine Verletzung im Recht auf Löschung bezieht, richtet sich die gegenständliche Beschwerde des Beschwerdeführers vom 19.08.2019, wegen Rechtswidrigkeit. Ein Verantwortlicher sei – nach der neuen Rechtslage nach DSGVO – aus eigenem, dh auch ohne Antrag der betroffenen Person, verpflichtet, Daten zu löschen, sobald – wie hier – ein Löschungstatbestand vorliege. Dieser Pflicht stehe spiegelbildlich das Recht der betroffenen Person auf Löschung gegenüber. Erfülle ein Verantwortlicher seine Verpflichtung zu Löschung nicht, sei die betroffene Person in ihrem Recht auf Löschung verletzt. Darüber hinaus könnten sich Betroffene gemäß Art 77 DSGVO wegen jeglichen Verstoß gegen die DSGVO an die belangte Behörde wenden; die mitbeteiligte Partei verarbeite die Daten über den Beschwerdeführer rechtswidrig, weshalb die belangte Behörde der mitbeteiligten Partei die Löschung der Daten auftragen hätte müssen.

4. Die belangte Behörde legte die Beschwerden unter Anschluss des Verwaltungsakts mit Schriftsatz vom 03.10.2019, hg eingelangt am 08.10.2019, vor, beantragte die Abweisung der Beschwerde und brachte zusammengefasst vor, die Ausübung des subjektiven Rechts auf Löschung bedürfe eines Antrags nach Art 12 DSGVO. Ein subjektives öffentliches Recht betroffener Personen darauf, dass ein Verantwortlicher seiner objektiven Löschungsverpflichtung nachkomme, bestehe nicht. Die Prüfung auf Einhaltung der objektiven Löschungsverpflichtung sei lediglich amtswegig möglich. Entgegen der Meinung des Beschwerdeführers habe sich die diesbezügliche Rechtslage durch die DSGVO auf Grund der Vergleichbarkeit des Rechts auf Löschung nach Art 17 DSGVO und § 27 DSG 2000 nicht geändert. Überdies würde eine automatische Löschungsverpflichtung von rechtswidrig verarbeiteten Daten in Hinblick auf die Möglichkeit Betroffener, auch die Einschränkung der Verarbeitung zu verlangen zu können, oftmals dem Interesse der Betroffenen widersprechen. Betroffene hätten auch kein subjektives Recht darauf, dass eine Aufsichtsbehörde von bestimmten, ihr gemäß Art 58 Abs 2 DSGVO eingeräumten Abhilfebefugnissen Gebrauch mache.

5. Mit eingeräumten Schriftsatz vom 04.11.2019 replizierte der Beschwerdeführer sinngemäß, Art 77 DSGVO räume dem Betroffenen ein Recht ein, sich an eine Aufsichtsbehörde zu wenden, wenn sie der Ansicht sei, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen die DSGVO verstoßen würde. Eine Verletzung seiner Betroffenenrechte sei hierfür nicht zwingend erforderlich. Die belangte Behörde könne von ihren Abhilfebefugnissen gemäß Art 58 Abs 2 lit c DSGVO auch ohne vorherigen Antrag der betroffenen Person an den Verantwortlichen Gebrauch machen.

Beweise wurden erhoben durch Einsichtnahme in den Verwaltungsakt.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Der folgende Sachverhalt steht fest:

Die mitbeteiligte Partei betreibt eine Wirtschaftsauskunftei. Sie verarbeitet über den Beschwerdeführer ua Informationen über einen Zahlungsplan nach Insolvenzordnung und dass dieser erfüllt worden sei.

Über Anfrage des Beschwerdeführers teilte ihm die mitbeteiligte Partei mit Schreiben vom 05.11.2018 mit, dass die Informationen über den erfüllten Zahlungsplan „fünf Jahre nach Erledigung, im September 2023 automatisch gelöscht“ werden würde und „eine vorzeitige Löschung dieser Informationen […] im Widerspruch zu unserer Aufgabe als Gläubigerschutzverband [stünde] und […] daher nicht möglich [sei]“. Dem Schreiben war eine aktuelle Auskunft der von der mitbeteiligten Partei über den Beschwerdeführer verarbeiteten Daten gemäß Art 15 DSGVO beigefügt, in der die folgenden Informationen enthalten sind:

„Insolvenz

Insolvenzverfahrensnr.: XXXX

Ediktswortlaut: XXXX geb. XXXX XXXX

Verfahrenseröffnung: 2013-06-24

Ende Anmeldefrist: 2013-09-05

Verfahrenscode: XXXX

Aktueller Verfahrensstand seit: 2018-09-19

Verfahrensstand: Zahlungsplan wurde erfüllt

[…]

Passiva laut Insolvenzantrag [EUR]: 530.300,00“

Der Beschwerdeführer stellte an die mitbeteiligte Partei weder einen Antrag auf Löschung oder Einschränkung der Verarbeitung gemäß Art 17 f DSGVO noch widersprach er ihr gegenüber der Verarbeitung seiner Daten gemäß Art 21 DSGVO.

Stattdessen wandte sich mit Eingabe vom 29.04.2019 direkt an die belangte Behörde. Sie lautet auszugsweise wie folgt (Fehler im Original):

„[…] 1. Bezeichnung des als verletzt erachteten Rechts:

Der Beschwerdeführer erachtet sich in seinem Recht auf Löschung gemäß Artikel 17 DSGVO verletzt. […]

Trotz Aufforderung hierzu ist der Beschwerdegegner nicht zur Löschung der unrechtmäßig verarbeiteten Daten bereit. […]

4. Rechtswidrigkeit:

Gemäß Artikel 17 Abs. 1 lit a und d DSGVO sind personenbezogene Daten, die für Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, und solche, die nicht mehr notwendig sind bzw. unrechtmäßig verarbeitet sind, zu löschen.

4.1. Verarbeitung erfolgt nicht rechtmäßig:

[…] Vorauszuschicken ist das die Daten schon alleine deshalb zu löschen sind, da die Verarbeitung unrechtmäßig erfolgt. […]

4.2. Widerspruch:

Darüber hinaus widerspricht der Beschwerdeführer der weiteren Verarbeitung seiner Daten betreffend die Insolvenz. […]

5. Zur Rechtzeitigkeit:

[…] Die Beschwerde ist daher rechtzeitig innerhalb der Frist des § 24 Abs. 4 DSG erhoben.

Es werden daher gestellt die

Anträge

die belangte Behörde möge

1. eine mündliche Verhandlung anberaumen

2. feststellen, dass der Beschwerdeführer von der Beschwerdegegnerin in seinem Recht auf Löschung verletzt wurde;

3. der Beschwerdegegnerin auftragen, ihre gesetzliche Löschungsverpflichtung gegenüber dem Beschwerdeführer binnen 14 Tagen zu erfüllen.“

Über Mängelbehebungsauftrag vom 10.05.2019 führte der Beschwerdeführer mit Verbesserung vom 15.05.2019 auszugsweise aus:

„[…] 3. Im Rahmen der Auskunftserteilung wurde mit Schreiben vom 5. November 2018 darauf hingewiesen, dass entsprechend der geltenden Löschfristen der Eintrag betreffend die Erfüllung des Zahlungsplanes fünf Jahre nach Erledigung, im September 2023 automatisch gelöscht werde. Eine vorzeitige Löschung dieser Information stünde im Widerspruch zur Aufgabe als Gläubigerverband und sei daher nicht möglich. […] Vor diesem Hintergrund wurde kein gesondertes Löschungsbegehren gestellt, da ja bereits vorab klargelegt wurde, dass dem Löschungsbegehren nicht entsprochen werden wird. […] Es bleiben sämtliche Anträge vollinhaltlich aufrecht. […]“

2. Die Feststellungen gründen auf der folgenden Beweiswürdigung:

Die Feststellungen gründen auf dem unbedenklichen Verwaltungsakt.

3. Rechtlich folgt daraus:

Die zulässige Beschwerde ist nicht berechtigt.

Die belangte Behörde wies die Datenschutzbeschwerde der mitbeteiligten Partei mit der Begründung ab, die Geltendmachung einer Verletzung im Recht auf Löschung erfordere einen zuvor vergeblich vom Betroffenen an den Verantwortlichen gestellten Antrag auf Löschung. Der Beschwerdeführer bestritt diese Ansicht mit näherer Begründung.

Tatsächlich kommt es auf die Klärung dieser Frage nicht an. Das Löschungsbegehren des Beschwerdeführers scheitert bereits auf Grund der folgenden Überlegungen:

Der Beschwerdeführer sieht sich durch die Entscheidung der belangten Behörde in seinem subjektiven Recht auf Löschung ihn betreffender personenbezogener Daten verletzt, weil die mitbeteiligte Partei – entgegen den Bescheidausführungen – Informationen zu seinem abgeschlossenen Insolvenzverfahren zu löschen habe. Dem kann nicht gefolgt werden.

Personenbezogene Daten sind über Antrag des Betroffenen ua dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sie unrechtmäßig verarbeitet wurden oder die betroffene Person Widerspruch gemäß Artikel 21 Abs 1 DSGVO gegen ihre Verarbeitung erhoben hat (Art 17 Abs 1 lit a, c 1. Fall und d DSGVO). Einem Löschungsbegehren stünde daher eine Datenverwendung entgegen, die notwendig und rechtmäßig ist und gegen die kein wirksamer Widerspruch erhoben worden ist.

Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie – unter Einhaltung der in Art 5 DSGVO genannten Verarbeitungsgrundsätze – auf Grund einer der in Art 6 DSGVO genannten Erlaubnistatbestände erfolgt.

3.2.1. Zur Einhaltung der Verarbeitungsgrundsätze nach Art 5 DSGVO:

Gemäß den Verarbeitungsgrundsätzen nach Art 5 DSGVO müssen personenbezogene Daten – soweit verfahrensrelevant – für festgelegte, eindeutige und legitime Zwecke erhoben werden („Zweckbindung“), dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“) und in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“).

Die mitbeteiligte Partei betreibt das Gewerbe der Kreditauskunftei gemäß § 152 GewO.

Zu den Aufgaben der Gewerbetreibenden iSd § 152 GewO gehört die Erteilung von Auskünften über die Kreditwürdigkeit von Unternehmen und Privatpersonen an Dritte. Kreditgeber sollen dadurch aussagefähige Informationen über vorhandene oder auch potenzielle Kreditnehmer, und zwar insbesondere über die Art und Weise ihrer bisherigen Schuldenbegleichung, zur Verfügung stehen (Riesz in Ennöckl/Raschauer/Wessely, GewO § 152 Rz 2). Dadurch soll es Kreditgebern ermöglicht werden, die Wahrscheinlichkeit, mit der der Kreditgeber am Ende wegen seiner Forderung befriedigt wird, und allenfalls die Prognose, mit wie vielen Schwierigkeiten das verbunden ist, zu bestimmen (Wendehorst, Was ist Bonität? Zum Begriff der „Kreditwürdigkeit“ in § 7 VKrG, in Blaschek/Habersberger (Hrsg), Eines Kredites würdig? (2011) 22). Eine Neigung zu vertragswidrigem Verhalten – etwa mangelnde finanzielle Selbstkontrolle oder habituelles Hinauszögern von Zahlungen bis zum Exekutionsdruck – lässt sich vor allem aus dem Finanzgebaren in der Vergangenheit heraus prognostizieren. Relevant ist dabei vergangenes vertragswidriges Verhalten, dass sich in schlichtem Zahlungsverzug, aber auch in gerichtlichen Verfahren bis hin zu Exekutionshandlungen oder gar in einer Insolvenzeröffnung manifestiert haben mag (aaO 23; vgl auch Heinrich, Bonitätsprüfung im Verbraucherkreditrecht (Wien 2014) 89 f).

Die mitbeteiligte Partei verarbeitet im Zuge des Betriebs des Gewerbes der Kreditauskunftei historische Informationen über Insolvenzverfahren des Beschwerdeführers, um sie (potentiellen) Gläubigern bereitzustellen, damit diese das Risiko etwaiger Zahlungsausfälle bestimmen können.

Dabei handelt es sich um einen festgelegten, eindeutigen und durch die Rechtsordnung anerkannten (§ 152 GewO) Zweck. Die Daten sind auch richtig und vollständig, weil die mitbeteiligte Partei auf die Erfüllung des Zahlungsplans hinweist. Sie sind entgegen der Meinung des Beschwerdeführers auch grundsätzlich erforderlich und geeignet, um eine Prognose über sein zukünftige Zahlungsverhalten abgeben zu können (siehe dazu auch EuGH 23.11.2006, Rs C-238/05 Rz 47, wonach Systeme zum Informationsaustausch zwischen Finanzinstituten bezüglich der Zahlungsfähigkeit von Kunden die Vorhersehbarkeit der Rückzahlungswahrscheinlichkeit verbessern, weshalb sie grundsätzlich geeignet sind, die Ausfallquote von Kreditnehmern zu verringern und dadurch den Wirkungsgrad des Kreditangebots zu erhöhen).

3.2.2. Zur Zulässigen Speicherdauer von Daten über historische Insolvenzen und Zahlungsausfälle:

Weder die DSGVO noch die gewerberechtlichen Regelungen zum Gewerbe der Kreditauskunftei (§ 152 GewO) enthalten konkrete Fristen zur zulässigen Speicherdauer von historischen Insolvenzverfahren und Zahlungsausfällen. Wie lange diese Daten jeweils verarbeitet werden dürfen, hängt daher grundsätzlich vom Einzelfall ab.

Auch wenn historische Zahlungsinformationen wesentlich sind, um das zukünftige Zahlungsverhalten eines (potentiellen) Schuldners vorhersagen zu können, haben sie umso weniger Aussagekraft, je länger sie zurückliegen und je länger es zu keinen weiteren Zahlungsstockungen und Zahlungsausfällen gekommen ist. Dem Alter der Forderung bzw dem Zeitpunkt des Feststehens des endgültigen Ausfalls der Forderung, dem Zeitpunkt etwaiger Tilgungen und das seitherige „Wohlverhalten“ des Schuldners kommen bei der Abwägung damit entscheidende Bedeutung zu.

Als Richtlinie, wie lange Bonitätsdaten zur Beurteilung der Bonität eines (potentiellen) Schuldners geeignet sind, können Beobachtungs- oder Löschungsfristen in rechtlichen Bestimmungen herangezogen werden, die dem Gläubigerschutz dienen oder die Erfordernisse an eine geeignete Bonitätsbeurteilung näher festlegen.

Solche Bestimmungen finden sich in der Verordnung (EU) Nr. 575/2013 des europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 („Kapitaladäquanzverordnung“), in der Kreditinstitute ua verpflichtet werden, ihre Kunden zu bewerten und diverse Risiken ihrer Forderungen abzuschätzen. Für Kredit- bzw Retailforderungen ggü natürlichen Personen haben Kreditinstitute, die ihre risikogewichteten Positionsbeträge anhand eines auf internen Beurteilungen basierenden Ansatzes berechnen dürfen (Art 143 Abs 1 leg cit), gemäß Art 151 Abs 6 iVm 180 Abs 2 lit a und e leg cit die Ausfallswahrscheinlichkeit der Forderung (Probability of Default – PD) ua anhand der langfristigen Durchschnitte der jährlichen Ausfallsquote zu schätzen; dabei ist ein historischer Beobachtungszeitraum für zumindest eine Datenquelle, die auch extern sein kann, von mindestens fünf Jahren zugrunde zu legen. Auch die durchzuführende Schätzung der Verlustquote bei einem Ausfall (Loss Given Default – LGD), hat sich gemäß Art 151 Abs 7 iVm 181 Abs 2 lit c leg cit grundsätzlich auf einen mindestens fünfjährigen Zeitraum zu beziehen.

Der (EU-)Verordnungsgeber geht daher davon aus, dass für die Beurteilung der Bonität eines (potentiellen) Schuldners bzw des Risikos einer Forderung, Daten über etwaige Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren relevant sind.

Wenn Kreditinstitute als potentielle Geschäftspartner der mitbeteiligten Partei zT rechtlich verpflichtet sind, ihre Forderungen anhand der Ausfallquoten zumindest der letzten fünf Jahre zu bewerten, und soll – wie hier – die Bonitätsdatenbank der Mitbeteiligten Partei auch dazu dienen, Kreditinstituten Daten zu liefern, die sie für ihre zT verpflichtende Bewertung benötigen, kann es nicht als Verstoß gegen das Prinzip der Datenminimierung oder der Speicherbegrenzung erkannt werden, wenn die mitbeteiligten Partei Daten über eine Insolvenz des Beschwerdeführers verarbeitet, wenn der Zahlungsplan erst vor etwas mehr als zwei Jahren, nämlich am 19.09.2018, erfüllt worden ist.

3.2.3. Zum Erlaubnistatbestand des Art 6 Abs 1 lit f DSGVO:

Die Verarbeitung personenbezogener Daten ist ua gemäß Art 6 Abs 1 lit f DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessensabwägung durchzuführen, bei der die berechtigten Interessen des Verantwortlichen oder eines Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind (zur vergleichbaren Vorgängerbestimmung des Art 7 lit f Datenschutzrichtlinie 95/46/EG vgl EuGH 04.05.2017, C-13/16, Rīgas satiksme, Rz 31). Dabei sind einerseits die Interessen des Verantwortlichen und von Dritten (mögliche Geschäftspartner der mitbeteiligten Partei) sowie andererseits die Interessen, Rechte und Erwartungen der betroffenen Person zu berücksichtigen (ErwG 47 DSGVO).

Die mitbeteiligte Partei und ihre Kunden haben, sobald Verträge ein kreditorisches Risiko enthalten, ein nachvollziehbares Interesse des kreditierenden Vertragspartners, dieses Risiko abzuschätzen. Die Verarbeitung von Daten über historische Insolvenzen und Zahlungsausfälle erfolgt zum Schutz potenzieller Vertragspartner der betroffenen Person, die Dritte iSv Art 6 Abs 1 lit f DSGVO sind (vgl auch Schantz in Simitis, Hornung, Spiecker, Datenschutzrecht, Art 6 Abs 1 Rz 133 f, 137). Damit dient sie auch dazu, Kreditinstitute dabei zu unterstützen, die Vorschriften der Kapitaladäquanzverordnung, die hinsichtlich der Schätzung der Risikoparameter einen Beobachtungszeitraum von zumindest fünf Jahren vorsehen, zu erfüllen.

Dagegen haben betroffene Personen ein Interesse daran, auf Grund der Verarbeitung nicht von Nachteilen im Wirtschaftsleben betroffen zu sein.

In einer Zusammenschau ergibt sich, dass, auf Grund des Interesses der Vertragspartner der mitbeteiligten Partei Kreditrisiken abzuschätzen, hierfür die Beobachtung des historischen Zahlungsverhaltens des potentiellen Schuldners wesentlich ist und vor dem Hintergrund, dass es der EU-Verordnungsgesetzgeber für erforderlich sieht, das Risiko von Forderungen anhand eines zumindest fünfjähriger Beobachtungszeitraums vergangener Zahlungsausfälle abzuschätzen, die Verarbeitung von Informationen über vor etwas mehr als zwei Jahren durch Erfüllung eines Zahlungsplans endgültig abgeschlossene Insolvenzverfahren durch die mitbeteiligte Partei erforderlich ist.

Die Interessen betroffener Personen, wie des Beschwerdeführers, an der Geheimhaltung ihrer historischen Insolvenz- und Zahlungsausfallsdaten, um Nachteile im Wirtschaftsleben zu vermeiden, überwiegen jedenfalls dann nicht, wenn – wie hier – die Höhe der Passiva des Insolvenzverfahrens EUR 530.300,00 beträgt und etwaige Nachteile des Betroffenen durch den Eintrag durch den Hinweis auf die Erfüllung des Zahlungsplans gemildert werden. Der vom Beschwerdeführer ins Treffen geführte Ausschluss aus der heutigen Informationsgesellschaft, weil Betroffene auf Grund eines derartigen Eintrags kein Mobiltelefon anmelden und keine Kreditkarte, einen Kredit oder ein Leasingfahrzeug erlangen könnte kann nicht überzeugen. Betroffene können trotz des Eintrags an der Informationsgesellschaft teilnehmen, indem sie Wertkarten-Telefone benutzen. Auch ist eine Kreditkarte für die Bezahlung von über das Internet erworbene Waren und Dienstleistungen nicht mehr erforderlich, weil die meisten Online-Shops alternative Zahlungsmethoden – etwa Vorauskassa per EPS-Sofortüberweisung – anbieten.

3.2.4. Zur Relevanz von Löschungsfristen aus der Insolvenzdatei:

Auch der Hinweis des Beschwerdeführers, dass die Löschung der Informationen über seine Insolvenz aus der Insolvenzdatei bereits bewilligt sei, kann ihm nicht helfen:

Die datenschutzrechtliche Zulässigkeit der Führung der Insolvenzdatei gründet nämlich auf § 256 Insolvenzordnung, einer rechtlichen Verpflichtung im Sinne des Art 6 Abs 1 lit c DSGVO, die einer Bonitätsdatenbank hingegen auf überwiegende berechtigte Interessen des Verantwortlichen gemäß Art 6 Abs 1 lit f DSGVO (vgl OGH 30.01.2017, 6 Ob 178/16v, jusIT 2017/52, 117 (Bergauer) wonach eine Löschung nach § 256 Insolvenzordnung nicht auf eine Datenverwendung durchschlägt, die auf Grund einer anderen Rechtsgrundlage erfolgt; die noch zum Datenschutzgesetz 2000 ergangene Entscheidung ist auf Grund der Vergleichbarkeit der Erlaubnistatbestände auch auf die Rechtslage nach DSGVO übertragbar). Aus § 256 Insolvenzordnung lässt sich nicht ableiten, dass Daten über Insolvenzen (überhaupt) nicht mehr, dh auf Grund anderer Erlaubnistatbestände nach Art 6 DSGVO, verarbeitet werden dürfen, wenn sie aus der Insolvenzdatei gelöscht worden sind. Eine derartige Einschränkung würde – jedenfalls in Bezug auf den hier einschlägigen Erlaubnistatbestand des Art 6 Abs 1 lit f DSGVO – EU-Sekundärrecht widersprechen (vgl EuGH 24.11.2011, C-468/10 und C-469/10, ASNEF/FECEMD, Rz 48 f, wonach nationale Bestimmungen, die für die Verarbeitung personenbezogener Daten zusätzlich zu der vorgesehenen Interessenabwägung verlangen, dass diese Daten in öffentlich zugänglichen Quellen enthalten sind, Art 7 lit f Datenschutzrichtlinie 95/46/EG – der im Wesentlichen Art 6 Abs 1 lit f DSGVO entspricht – entgegen stehen).

3.2.5. Zum Widerspruch des Beschwerdeführers gegen die Verwendung seiner Daten:

Auch der vom Beschwerdeführer gegen die Verwendung seiner Daten gegenüber der belangten Behörde erhobene Widerspruch kann eine Löschung der ihn betreffenden personenbezogenen Daten nicht rechtfertigen, weil ein wirksamer Widerspruch gegenüber dem für die Datenverarbeitung Verantwortlichen erklärt werden muss. Erst durch den Widerspruch, der ein Vorbringen zum besonderen Geheimhaltungsinteresse des Betroffenen zu enthalten hat, wird der Verantwortliche nämlich in die Lage versetzt zu erkennen, ob eine Verarbeitung der Daten des Betroffenen, die sich an sich auf den Erlaubnistatbestand der „Wahrung der (überwiegenden) berechtigten Interessen des Verantwortlichen oder eines Dritten“ gemäß Art 6 Abs 1 lit f DSGVO stützt, auf Grund seiner besonderen Situation dennoch nicht zulässig sein soll (siehe auch Haidinger in Knyrim, DatKomm Art 21 DSGVO Rz 19).

Da der Beschwerdeführer den Widerspruch nicht gegenüber dem Verantwortlichen erklärt hat, war er unwirksam, weshalb er an der nach Art 6 Abs 1 lit f DSGVO grundsätzlich zulässigen Datenverwendung nichts ändern konnte.

3.2.6. Die Verarbeitung von Daten über historische Insolvenzen des Beschwerdeführers durch die mitbeteiligte Partei entspricht damit den Verarbeitungsgrundsätzen des Art 5 DSGVO und ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig; ein Widerspruch gegen die Verarbeitung wurde nicht erfolgreich erhoben. Das Löschbegehren des Beschwerdeführers geht daher diesbezüglich ins Leere, weshalb die belangte Behörde die (Datenschutz-)Beschwerde des Beschwerdeführers im Ergebnis zu Recht abgewiesen hat.

3.3. Es war daher spruchgemäß zu entscheiden.

3.4. Da im Verfahren lediglich Rechtsfragen zu klären waren, konnte gemäß § 24 Abs 4 VwGVG auf die Durchführung einer mündlichen Verhandlung verzichtet werden (VwGH 19.09.2017, Ra 2017/01/0276).

Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.

Die Revision ist zulässig, weil Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Art 133 Abs 4 B-VG zukommen. Zwar handelt es sich bei der Frage, wie lange Daten unter Beachtung der Verarbeitungsrundsätze des Art 5 DSGVO und unter Vornahme einer Interessensabwägung nach Art 6 Abs 1 lit f DSGVO verwendet werden dürfen, um eine grundsätzlich nicht reversible Einzelfallentscheidung. Es fehlt aber an Rechtsprechung des Verwaltungsgerichtshofs zur Frage, welchen Grundsätzen eine solche Interessensabwägung genügen muss; insbesondere, ob und unter welchen Voraussetzungen die Vorschriften der Kapitaladäquanzverordnung als Richtschnur für die Bestimmung der zulässigen Speicherdauer von Bonitätsdaten herangezogen werden können.