VwGH 2009/17/0223

Spruch:

Die Beschwerde wird als unbegründet abgewiesen.

Begründung

Aus der Beschwerde an den Verfassungsgerichtshof und der über Verfügung des Verwaltungsgerichtshofes ergänzten Beschwerde sowie dem in Kopie vorgelegten angefochtenen Bescheid ergibt sich nachstehender Sachverhalt :

Mit Schreiben vom 30. März 2007 ersuchte der Beschwerdeführer gemäß § 26 Abs. 1 DSG 2000 die D GmbH in W (die mitbeteiligte Partei) um Auskunft über die über ihn verarbeiteten Daten. Das Unternehmen verarbeitet personenbezogene Bonitätsdaten nach einer Gewerbeberechtigung gemäß § 152 GewO.

Der Beschwerdeführer erhielt zunächst nur die Auskunft, dass seine personenbezogenen Daten zum Zweck der Ausübung des Auskunfteigewerbes nach § 152 GewO zur Weitergabe an den Empfängerkreis der kreditgebenden Wirtschaft gespeichert würden. Konkrete Auskünfte über Empfänger der Datenübermittlungen sowie über die durch die D GmbH erstellten "Scoring-Werte" enthielt das Auskunftsschreiben nicht.

Am 3. April 2007 erhob der Beschwerdeführer Beschwerde an die belangte Behörde, welche die D GmbH mit Schreiben vom 6. April 2007 zur Stellungnahme aufforderte. Unter dem Datum 24. April 2007 erhielt der Beschwerdeführer sodann ein weiteres Auskunftsschreiben der D GmbH, in welchem Auskunft über die Empfänger personenbezogener Daten sowie über zwei "Scoring-Werte" gegeben wurde. Die Bedeutung dieser Werte wurde nicht näher erläutert.

Mit dem angefochtenen Bescheid wurde die Beschwerde nach dem DSG als unbegründet abgewiesen. Begründend führt die belangte Behörde nach Wiedergabe der einschlägigen Bestimmungen des DSG 2000 aus, dass der Auskunftsanspruch des Betroffenen auch dann erfüllt sei, wenn die Auskunft nach Ablauf der achtwöchigen Frist des § 26 Abs. 4 DSG 2000 erteilt werde. Die bloße Nichteinhaltung der Frist stelle zwar eine Rechtsverletzung dar, die aber durch Nachholung der Auskunft sanierbar sei und daher für sich alleine nicht nach § 31 Abs. 1 DSG 2000 geltend gemacht werden könne. Die Richtigkeit und Vollständigkeit der mittlerweile erteilten Auskunft zu den Übermittlungsempfängern sei vom Beschwerdeführer nicht bestritten worden. Eine Unvollständigkeit sei auch für die Datenschutzkommission nicht ersichtlich. Der beschwerdegegenständliche Anspruch auf Erhalt einer Auskunft über die Empfänger von Übermittlungen sei daher erfüllt, weshalb die Beschwerde in diesem Punkt abzuweisen gewesen sei.

Zu den "Scoring-Werten" wird ausgeführt, dass die mitbeteiligte Partei insofern den Standpunkt vertreten habe, dass sie bezüglich dieser "Scoring-Werte" nur Dienstleister der Unternehmen sei, die mit Hilfe der "Scoring-Werte" die Bonität der Kunden und potentiellen Kunden bewerteten. Sie sei daher nicht auskunftspflichtig.

Die mitbeteiligte Partei betreibe ein Zugangsportal zu Bonitätsdatenbanken, für die sie zum Teil selbst Auftraggeber sei, zum Teil jedoch nur Dienstleister in Form der Bereitstellung des Zugangsportals. Die Einsichtnahme von Kunden der mitbeteiligten Partei in Bonitätsdaten über das Zugangsportal führe zu einer Übermittlung der Daten an diese Kunden, die damit verantwortliche Auftraggeber einer allfälligen Weiterverwendung dieser Daten würden.

Da die Entscheidung, ob und wie Bonitätsdaten für ein "Scoring-System" verwendet werden, von den Kunden der mitbeteiligten Partei getroffen werde, treffe diese die Verantwortung für die Art und Weise der Verarbeitung und die Angemessenheit des Systems. Der logische Ablauf müsse deshalb so gesehen werden, dass von der mitbeteiligten Partei alle erforderlichen Daten an das "Scoring-System" (und damit an seinen Eigentümer) übermittelt würden. Die Unternehmen, die Eigentümer eines "Scoring-Systems" seien, würden ab dem Augenblick, in dem die Rohdaten in das "Scoring-System " eingespeist würden, zu Auftraggebern im Sinne des Datenschutzgesetzes. Die Errechnung des "Scoring-Wertes" könne nur vom Eigentümer des Systems selbst durchgeführt oder als Dienstleistung in Auftrag gegeben werden. Im vorliegenden Fall werde die mitbeteiligte Partei mit der Errechnung von "Scoring-Werten" beauftragt. Solange der Kunde der mitbeteiligten Partei das System vorgebe, nach dem die Errechnung vorzunehmen sei, sei der Kunde Auftraggeber dieser Datenverarbeitung, wobei ihm freilich - logisch vorgelagert - die mitbeteiligte Partei die notwendigen Bonitätsdaten übermittelt habe.

Daraus ergebe sich, dass die mitbeteiligte Partei zwar auskunftspflichtig hinsichtlich der von ihr vorgenommenen Datenübermittlungen sei, dass aber die Bedeutung eines von ihr als Dienstleister errechneten "Scoring-Wertes" nicht von ihr, sondern von ihrem auftraggebenden Kunden dem Auskunftswerber gemäß § 26 DSG 2000 mitzuteilen sei.

Der Beschwerdeführer habe angemerkt, dass die Unternehmen keine Gewerbeberechtigung als Auskunfteien über Kreditverhältnisse gemäß § 152 GewO 1994 besäßen und daher gar nicht berechtigt seien, Kreditbewertungen durchzuführen. Dazu sei schon darauf hinzuweisen, dass die Unternehmen in der vorliegenden Konstellation faktisch Auftraggeber seien. Dieses Argument verkenne, dass jedermann berechtigt sei, die Bonität eines möglichen Vertragspartners für sich zu beurteilen und dafür allgemein zugängliche Quellen heranzuziehen. Die Datenbanken der Gewerbetreibenden nach § 152 GewO 1994 stellten solche allgemein zugänglichen Quellen für Bonitätsinformationen dar. Es stehe auch jedem Auftraggeber das Recht zu, einen Dienstleister heranzuziehen (§ 10 Abs. 1 DSG 2000), sofern die Bestimmungen der §§ 10 und 11 DSG 2000 beachtet würden.

Gegen diesen Bescheid erhob der Beschwerdeführer zunächst Beschwerde an den Verfassungsgerichtshof wegen Verletzung des Rechts auf Auskunft nach § 1 Abs. 3 DSG, der ihre Behandlung mit Beschluss vom 22. September 2009, B 1994/07, ablehnte und sie antragsgemäß dem Verwaltungsgerichtshof zur Entscheidung abtrat.

In der über Verfügung des Verwaltungsgerichtshofes ergänzten Beschwerde wird Rechtswidrigkeit des Inhalts und Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften geltend gemacht.

Der Verwaltungsgerichtshof hat erwogen:

§ 4 Z 4 und 5 DSG 2000, BGBl. I Nr. 165/1999, lautet:

"§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

...

4. 'Auftraggeber': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;

5. 'Dienstleister': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z 8);

...

8. 'Verwenden von Daten': jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;

9. 'Verarbeiten von Daten': das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Z 12) von Daten;

...

11. 'Überlassen von Daten': die Weitergabe von Daten vom Auftraggeber an einen Dienstleister;

12. 'Übermitteln von Daten': die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;

5. Abschnitt

Die Rechte des Betroffenen

Auskunftsrecht

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden."

Die vorliegende Beschwerde wendet sich insbesondere gegen die Rechtsauffassung der belangten Behörde, dass die mitbeteiligte D GmbH hinsichtlich der Berechnung der sogenannten "Scoring-Werte" nicht Auftraggeberin sei und daher nicht zur Auskunft gemäß § 26 DSG 2000 verpflichtet sei.

Wenn der Beschwerdeführer in diesem Zusammenhang insbesondere darauf hinweist, dass ein Dienstleister gemäß § 4 Z 5 DSG 2000 nur dann vorliege, wenn ihm von seinem Auftraggeber Daten zur Verarbeitung überlassen worden seien, so übersieht er dabei, dass die Auskunftspflicht gemäß § 26 Abs. 1 DSG 2000 den Auftraggeber trifft. Maßgebliche Rechtsfrage ist somit nicht, ob die D GmbH Dienstleister hinsichtlich der Errechnung der "Scoring-Werte" ist, sondern ob sie als Auftraggeber im Sinn des § 4 Z 4 DSG 2000 hinsichtlich dieser Verarbeitung von Daten anzusehen ist.

Da jedoch gemäß § 4 Z 4 DSG 2000 Auftraggeber derjenige ist, der (allein oder gemeinsam mit anderen) die Entscheidung getroffen hat, Daten für einen bestimmten Zweck zu verarbeiten, ist entscheidungswesentlich, wer im Hinblick auf die Errechnung der "Scoring-Werte" als derjenige anzusehen ist, der die Entscheidung zur Verarbeitung der Daten getroffen hat. Wie sich aus § 4 Z 4 DSG ergibt, ist die Auftraggebereigenschaft unabhängig davon, ob derjenige, der die Entscheidung zur Verarbeitung getroffen hat, die Verarbeitung selbst durchführt oder hiezu einen anderen heranzieht. Da nach den Feststellungen der belangten Behörde - denen der Beschwerdeführer nicht entgegentritt - die Berechnung der "Scoring-Werte" auf jeweils ausdrücklichen Auftrag der Kunden der D GmbH und nach einem von diesen vorgegebenen Algorithmus erfolgte, wird die konkrete Entscheidung zur Verarbeitung der Daten in einer bestimmten Weise (nach dem vorgegebenen Algorithmus) vom jeweiligen Kunden getroffen. Auch die weiteren Bestimmungen in § 4 Z 4 DSG, nach denen in bestimmten Fällen nicht derjenige, der einem anderen Daten zur Herstellung eines von ihm beauftragten Werkes überlässt, Auftraggeber ist, bzw. ein solcher ein Werk in Auftrag gebender Vertragspartner dann nicht Auftraggeber ist, wenn er seinem Auftragnehmer die Verarbeitung der überlassenen Daten ausdrücklich untersagt, sprechen nicht gegen die Annahme, dass in einer Konstellation wie im Beschwerdefall die Kunden der D GmbH als Auftraggeber anzusehen sind. Es trifft nämlich gerade nicht zu, dass die Kunden der D GmbH die Verarbeitung der Daten ausdrücklich untersagt hätten (sie haben vielmehr den Auftrag hiezu gegeben). Es braucht daher nicht - wie dies in der Beschwerde im Hinblick auf § 4 Z 5 DSG getan wird - näher untersucht werden, ob im Beschwerdefall das Tatbestandselement "Überlassung der Daten", wie dieses in § 4 Z 4 letzter Satz DSG ebenfalls verwendet wird, zutrifft, wenn die Daten wie im Beschwerdefall offensichtlich nicht von den Auftraggebern der Werkleistung dem Auftragnehmer zur Verfügung gestellt werden, sondern sich bereits beim Werknehmer (der mitbeteiligten D GmbH) befinden. § 4 Z 4 letzter Satz DSG greift im Beschwerdefall mangels Untersagung der Verarbeitung der Daten durch die Kunden keinesfalls ein; er schließt somit die Auftraggebereigenschaft der Kunden nicht aus. Für die Beantwortung der Frage, wen die Auskunftspflicht nach § 26 Abs. 1 DSG trifft, ist nur erforderlich, den Auftraggeber im Sinn des § 4 Z 4 DSG festzustellen.

Nach dem Vorgesagten ergibt sich, dass hinsichtlich der Errechnung der "Scoring-Werte" die D GmbH nicht als Auftraggeberin im Sinn des § 4 Z 4 DSG 2000 anzusehen war. Ob sie nach der Definition des § 4 Z 5 DSG als Dienstleisterin zu bezeichnen war, ist demgegenüber nicht entscheidungsrelevant.

Wenn in der Beschwerde auch auf die Erläuterungen zu § 4 Z 4 und 5 DSG 2000 hingewiesen wird, wo auf den Aspekt der Erkennbarkeit der Identität des Auftragnehmers abgestellt wird, so ist daraus für den Standpunkt des Beschwerdeführers nichts zu gewinnen. Aus dem Gesichtspunkt der "sinnvollen Ausübbarkeit" des Auskunftsrechts, wie in der Beschwerde formuliert wird, spricht nichts dafür, entgegen dem Wortlaut des Gesetzes bei einer Konstellation wie der vorliegenden nicht die Kunden, die die Art und Weise der Verarbeitung vorgeben, sondern das die Verarbeitung konkret als Auftragnehmer eines Werkvertrags durchführende Unternehmen als Auftraggeber anzusehen.

Unverständlich ist in diesem Zusammenhang der Hinweis darauf, dass "kein Anlass" bestehe, den Betroffenen (das ist der Beschwerdeführer) hinsichtlich seines Auskunftsanspruches dahingehend zu schützen, dass dieses (?) nicht an das Unternehmen, sondern den jeweiligen Kunden zu richten" sei. Es geht an der Sache vorbei, wenn in der Beschwerde ausgeführt wird, dass der von den Kunden der D GmbH vorgegebene Algorithmus "für sich kein personenbezogenes Datum" darstelle. Es kommt nicht darauf an, dass dieser Algorithmus kein personenbezogenes Datum sei, sondern dass durch die Vorgabe des Algorithmus und den Auftrag, diesem entsprechend die Verarbeitung vorzunehmen, die Entscheidung über die Datenverarbeitung im Sinne des § 4 Z 4 DSG 2000 getroffen wird.

Unzutreffend ist auch, dass nur die D GmbH die Auskunft gemäß § 26 DSG 2000 erteilen könne. Da die Berechnung nach den Vorgaben der Kunden erfolgt, sind es nach dem hier zu beurteilenden Sachverhalt jedenfalls auch diese, die über die Art und Weise der Vorgaben Auskunft erteilen können.

Soweit in der Beschwerde schließlich Unschlüssigkeit und Widersprüchlichkeit der getroffenen Tatsachenfeststellungen gerügt wird, zeigen die (sprachlich unvollständigen) Ausführungen keine solche Unschlüssigkeit auf. Es kann nach dem Vorgesagten dahin gestellt bleiben, ob auch die mitbeteiligte Partei Aussagen über das Zustandekommen der "Scoring Werte" machen könnte. Entscheidend ist allein, dass die mitbeteiligte Partei nicht die Entscheidung über die Verarbeitung der Daten, die zu den sog. "Scoring Werten" führt, trifft und somit nicht Auftraggeber hinsichtlich dieser Verarbeitung ist.

In gleicher Weise sind die Ausführungen unter dem Gesichtspunkt der Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften nicht geeignet, eine Rechtswidrigkeit des angefochtenen Bescheides aufzuzeigen. Tatsachenfeststellungen über den "zeitlichen Ablauf und Zusammenhang der Übermittlung des "Scoring-Wertes"" waren nicht erforderlich. Die in der Beschwerde angesprochene Frage, ob sich ein Datentransfer zwischen Kunden und mitbeteiligter Partei vor der Erstellung der Scoring Werte ergäbe, ist für die rechtliche Beurteilung, dass die Kunden Auftraggeber dieser Datenverarbeitung seien, nicht von Bedeutung. Auch insofern verkennt die beschwerdeführende Partei die Rechtslage.

Da somit bereits der Inhalt der Beschwerde erkennen ließ, dass die vom Beschwerdeführer behauptete Rechtsverletzung nicht vorliegt, war die Beschwerde gemäß § 35 Abs. 1 VwGG ohne weiteres Verfahren in nichtöffentlicher Sitzung als unbegründet abzuweisen.

Wien, am 11. Dezember 2009