Spruch:
Der Revision wird nicht Folge gegeben.
Die beklagte Partei ist schuldig, der klagenden Partei binnen 14 Tagen die mit 445,82 EUR (darin 74,30 EUR USt) bestimmten Kosten des Revisionsverfahrens zu ersetzen.
Text
Entscheidungsgründe:
Die beklagte Partei betreibt unter der Bezeichnung „K*****“ und „W*****“ Datenbanken zur Erteilung von Bonitätsauskünften über natürliche und juristische Personen, die dem Zweck der Wirtschaftsauskunft iSd § 152 Gewerbeordnung (GewO) dienen. Die beklagte Partei ist Betreiberin von Informationsverbundsystemen unter der Bezeichnung „KonsumentenKreditEvidenz“ und „Warnliste“.
Über die auf der Website der beklagten Partei eingerichtete Suchmaschine „K*****-Gratis BusinessSearch“ sind nicht bonitätsrelevante Basisinformationen über Unternehmen (Einzelunternehmer und Gesellschaften) - nämlich Name, Adresse, Rechtsform und ein Hinweis auf die Branche - frei abrufbar. Die Abfrage von Bonitätsdaten bzw weiterführenden Informationen ist grundsätzlich sowohl für Mitglieder als auch für Nichtmitglieder der beklagten Partei nach Zahlung eines Geldbetrags oder - im Rahmen der (entgeltlichen) Mitgliedschaft - in gewissen Fällen auch unentgeltlich möglich.
1996 ermittelte die beklagte Partei Daten des Klägers ohne dessen Zustimmung zur Verarbeitung. 1998 wurde über das Vermögen des Klägers der Konkurs eröffnet.
Der Kläger, vertreten durch ARGE-Daten, erhob mit Schreiben an die beklagte Partei vom 17. 7. 2008 Widerspruch.
Ab dem 17. 7. 2008 waren in der Datenbank der beklagten Partei die Daten des Klägers nicht mehr im Wege einer Onlineabfrage zugänglich. Im Fall einer Onlineabfrage erscheint seither die Auskunft „keinen Treffer gefunden“. Ungeachtet dessen waren die Daten des Klägers weiterhin einem nicht von vornherein abgegrenzten Personenkreis zugänglich. Voraussetzung für eine Übermittlung der personenbezogenen Daten des Klägers an Dritte war ab diesem Zeitpunkt jedoch die persönliche Überprüfung eines rechtlichen Interesses des Interessenten durch den Leiter der Wirtschaftsinformation der beklagten Partei bzw dessen Stellvertreter.
Ab 16. 1. 2009 richtete die beklagte Partei eine vollständige Sperre ein, sodass Daten über den Kläger seither nur mehr einem bestimmten Kreis zugänglich sind, nämlich dem Leiter der Wirtschaftsinformation und dessen Stellvertreter. Bei Anfragen Dritter erhält der Interessent nunmehr die Auskunft, dass über den Kläger keine Daten vorhanden seien. Bei internen Anfragen an den Leiter der Wirtschaftsauskunft wird intern bekannt gegeben, dass der Kläger Widerspruch erhoben hat. Eine unternehmensinterne Übermittlung von bonitätsbezogenen Daten des Klägers findet nicht statt.
Eine Löschung der Daten erfolgte nicht. Die Daten des Klägers werden von der beklagten Partei ungeachtet des eingeschränkten Zugriffs weiterhin verarbeitet.
Der Kläger begehrt die Löschung der gegenständlichen Daten. Er habe gemäß § 28 Abs 2 DSG 2000 Widerspruch erhoben und die Löschung der verwendeten Daten begehrt. Der Widerspruch sei mit einem Antrag auf Löschung gemäß § 28 Abs 1 DSG 2000 verbunden worden.
Das Erstgericht gab dem Klagebegehren statt. Dass der Zugriff auf die personenbezogenen Daten des Klägers nach dem Einlangen des Widerspruchs dahingehend beschränkt worden sei, dass ein rechtliches Interesse an einer Übermittlung der Daten geprüft worden sei bzw dass am 16. 1. 2009 - noch vor Schluss der mündlichen Verhandlung erster Instanz - der Zugriff dermaßen eingeschränkt worden sei, dass nur mehr der Leiter der Wirtschaftsinformation der beklagten Partei und dessen Stellvertreter auf diese Daten zugreifen habe können, sei irrelevant.
Das Berufungsgericht bestätigte diese Entscheidung. Eine Datei über Bonitätsdaten sei „öffentlich zugänglich“, wenn sie nicht nur einem von vornherein bestimmten, nach außen hin begrenzten Personenkreis zugänglich sei, sondern jedem, wenn auch gegen Entgelt (unter Berufung auf 6 Ob 195/08g). § 28 Abs 2 DSG 2000 gebe dem Betroffenen einen binnen acht Wochen zu erfüllenden materiell-rechtlichen Anspruch auf Löschung der Daten durch den „Auftraggeber“. Unter „Löschen“ verstehe das Datenschutzgesetz das physische Löschen. Da eine derartige physische Löschung bis zum Schluss der mündlichen Verhandlung erster Instanz nicht vorgenommen worden sei, habe die beklagte Partei den Kläger nicht klaglos gestellt. Auf § 27 DSG 2000 sei daher nicht mehr einzugehen.
Die ordentliche Revision sei zulässig, weil die Rechtsfrage, ob die „Löschung“ von Daten durch „physisches Löschen“ (Vernichten) oder durch „logisches Löschen“ (Sperren) von Daten erfüllt werde, weder vom Gesetz noch bisher vom Obersten Gerichtshof beantwortet worden sei.
Rechtliche Beurteilung
Die Revision ist aus dem vom Berufungsgericht angeführten Grund zulässig; sie ist aber nicht berechtigt.
1. Der Oberste Gerichtshof billigt die rechtliche Beurteilung der Vorinstanzen sowohl im Ergebnis als auch in der methodischen Ableitung (§ 510 Abs 3 ZPO).
2. Eine öffentlich zugängliche Datei im Sinne des Datenschutzgesetzes liegt vor, wenn sie einem nicht von vornherein bestimmten, nach außen hin begrenzten Personenkreis zugänglich gemacht wird und der Zugang zur Datei nur von der Entscheidung des Auftraggebers über das ausreichende berechtigte Interesse des Abfragenden abhängig ist. Es ist nicht erforderlich, dass „jedermann“ im wörtlichen Sinne Einsicht nehmen kann (6 Ob 156/09y; vgl auch 6 Ob 195/08g und 6 Ob 275/05t). Die Entgeltpflicht und das Erfordernis der Behauptung eines berechtigten Interesses sind kein Hindernis für die Qualifikation als „öffentlich zugängliche Datei“ (6 Ob 156/09y). An dieser, schon in der Entscheidung 6 Ob 195/08g zum Ausdruck gebrachten Rechtsansicht hat der Oberste Gerichtshof trotz teilweise kritischer Stellungnahmen im Schrifttum ausdrücklich festgehalten (6 Ob 156/09y).
3. Das DSG 2000 enthält keine Legaldefinition des Löschbegriffs (siehe § 4 DSG 2000). Das Vorgängergesetz - das Datenschutzgesetz 1978 - definierte im § 3 Z 11 zwei Varianten des Löschbegriffs. Demnach wurde zwischen dem Unkenntlichmachen von Daten in der Weise, dass eine Rekonstruktion nicht möglich ist (physisches Löschen), und der Verhinderung des Zugriffs von Daten durch programmtechnische Maßnahmen (logisches Löschen) unterschieden. Nach § 12 Abs 1 und § 27 Abs 2 DSG 1978 idF der DSG-Novelle 1986 war - sofern möglich - eine physische Löschung erforderlich; eine bloß logische Löschung reichte ausdrücklich nicht aus.
4. Aus der Nichtübernahme der Bestimmungen der § 3 Z 11, § 12 Abs 1 und § 27 Abs 2 DSG 1978 idF DSG-Novelle 1986 in das DSG 2000 kann nicht geschlossen werden, dass das Löschen von Daten nur noch auf eine Art bewirkt werden kann. Daten können vielmehr weiterhin physisch oder logisch gelöscht werden. Allerdings ergibt sich weder aus dem Wortlaut des DSG 2000 noch aus den erläuternden Bemerkungen ein Hinweis darauf, dass der Gesetzgeber den Betroffenen insoweit schlechter stellen wollte als nach dem DSG 1978.
5.1. Das DSG 2000 regelt zwei grundsätzlich verschiedene Arten des Umgangs mit Daten, namentlich
- das „Verarbeiten von Daten“ für den internen Bereich des Auftraggebers (Handlungen: Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen - siehe § 4 Z 9 DSG),
- die Verwendung von Daten für den Außenbereich (Überlassen von Daten iSd § 4 Z 11 DSG, Übermitteln von Daten iSd § 4 Z 12 DSG).
Das DSG nennt auch verschiedene Arten, Daten nicht zu verwenden, wie
- das Löschen und Vernichten von Daten (§ 4 Z 9 DSG) sowie
- das Sperren von Daten (§ 4 Z 9 DSG).
5.2. Damit unterscheidet das DSG deutlich zwischen dem bloßen „Sperren“ und dem „Löschen“. Auch der deutsche Gesetzgeber unterscheidet im Bundesdatenschutzgesetz ausdrücklich zwischen einer „Sperre“ und einer „Löschung“. Als „Sperre“ ist das Kennzeichnen gespeicherter personenbezogener Daten zu verstehen, um ihre weitere Verarbeitung oder Nutzung einzuschränken (§ 3 Abs 4 Z 4 BDSG), unter Löschung hingegen das Unkenntlichmachen gespeicherter personenbezogener Daten (§ 3 Abs 4 Z 4 BDSG). Die bloße Vornahme einer Zugriffsbeschränkung entspricht dabei dem Begriff der „Sperre“, und nicht jenem der „logischen Löschung“ als Unterfall der Löschung gemäß § 3 Abs 4 Z 4 BDSG (Kühling/Seidel/Sivridis, Datenschutzrecht, Anm zu § 3 BDSG).
5.3. Unter „Löschen“ wird eine Maßnahme mit der Wirkung verstanden, dass der Auftraggeber nicht mehr über die Daten verfügt (Jahnel, Handbuch Datenschutzrecht Rz 3/112). Demgegenüber bezeichnet eine „logische Löschung“ eine Maßnahme, mit der erreicht wird, dass Daten innerhalb der EDV-Anlage nicht mehr zur Verfügung stehen, unkenntlich gemacht werden sowie durch das Betriebssystem als nicht mehr vorhanden interpretiert werden. Sofern ein „Löschen“ erforderlich ist, reicht ein bloß „logisches Löschen“ nicht aus, bestünde doch andernfalls kein fassbarer Unterschied zur bloßen „Sperre“ von Daten (vgl Jahnel, Handbuch Rz 3/112 und 7/74 mwN; ebenso Drobesch/Grosinger, Datenschutzgesetz Anm 4 zu § 27 Abs 6; aA Dohr/Pollirer/Weiss/Knyrim, DSG² § 27 Anm 18). Jahnel verweist diesbezüglich auch auf § 3 Abs 4 Z 5 BDSG, wonach das Löschen das Unkenntlichmachen personenbezogener Daten bezeichnet. Unter Unkenntlichmachen werde jede Handlung verstanden, die irreversibel bewirke, dass eine Information nicht länger aus gespeicherten Daten gewonnen werden kann (Jahnel aaO Rz 3/112). Um das Löschungsgebot zu erfüllen, genügt es daher nicht, die Datenorganisation so zu verändern, dass ein „gezielter Zugriff“ auf die betreffenden Daten ausgeschlossen ist (Jahnel aaO Rz 3/112 aE). Dies entspricht auch der herrschenden Auffassung zum deutschen Recht (vgl Simitis, Kommentar zum Bundesdatenschutzgesetz6 § 3 Rz 180 ff).
5.4. Dazu kommt, dass nach den Tatsachenfeststellungen der Vorinstanzen die klagsgegenständlichen Daten zwar nicht mehr online erhältlich sind, aber nach wie vor einem „bestimmten Kreis“ vollinhaltlich zugänglich sind. Lediglich bei externen Anfragen wird - wahrheitswidrig - mitgeteilt, dass über den Kläger keine Daten vorhanden seien. Eine derartige Maßnahme entspricht allenfalls einer - noch dazu bloß teilweisen - „Sperrung“, jedenfalls aber nicht den Kriterien des „logischen Löschens“.
6.1. Nach § 28 Abs 2 DSG 2000 idF vor der DSG-Novelle 2010 kann der Betroffene gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei jederzeit auch ohne Begründung seines Begehrens Widerspruch erheben. Die Daten sind binnen acht Wochen zu löschen.
6.2. Nach dem völlig eindeutigen Gesetzeswortlaut löste bereits der Widerspruch nach § 28 Abs 2 DSG 2000 die Verpflichtung der beklagten Partei zur Löschung der den Kläger betreffenden Daten aus. Die nachträgliche Einschränkung des Zugriffs auf diese Daten entspricht dem nach dem Gesagten gerade nicht. Völlig zu Recht gingen daher schon die Vorinstanzen davon aus, dass die beklagte Partei den Kläger auch nicht klaglos gestellt hat.
7. Damit erweist sich das angefochtene Urteil des Berufungsgerichts aber als frei von Rechtsirrtum, sodass der unbegründeten Revision ein Erfolg zu versagen war.
Die Entscheidung über die Kosten des Revisionsverfahrens gründet sich auf den §§ 41, 50 ZPO.
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)