TE Vwgh Erkenntnis 2006/12/19 2005/06/0111

Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Giendl und die Hofräte Dr. Kail, Dr. Bernegger, Dr. Waldstätten und Dr. Bayjones als Richter, im Beisein der Schriftführerin Mag. Khozouei, über die Beschwerde des K-Verbandes in W, vertreten durch Putz & Partner, Rechtsanwälte in 1030 Wien, Reisnerstraße 12, gegen den Bescheid der Datenschutzkommission vom 15. Februar 2005, GZ. K120.981/0002- DSK/2005, betreffend Recht auf Auskunft gemäß § 26 Abs. 1 DSG (mitbeteiligte Partei: WP in W), zu Recht erkannt:

Die Beschwerde wird als unbegründet abgewiesen.

Der Beschwerdeführer hat dem Bund Aufwendungen in der Höhe von EUR 381,90 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.

Der Mitbeteiligte, ein Unternehmer, richtete, vertreten durch die ARGE DATEN - Österreichische Gesellschaft für Datenschutz, mit Schreiben vom 5. Mai 2004 ein Auskunftsbegehren an den Beschwerdeführer, der eine Wirtschaftsauskunftei betreibt. Dieses Begehren umfasste vor allem die Fragen, welche Daten des Mitbeteiligten gespeichert würden, woher die Daten stammten, die der Beschwerdeführer im Zusammenhang mit dem Mitbeteiligten verarbeitete und an wen die personenbezogenen Daten des Mitbeteiligten übermittelt worden seien.

Der Mitbeteiligte erhob in der Folge mit Schreiben vom 21. Juli 2004 (eingelangt bei der Datenschutzkommission am 22. Juli 2004) Beschwerde an die Datenschutzkommission. Auf das Auskunftsbegehren des Mitbeteiligten vom 5. Mai 2004 sei vom Beschwerdeführer bis zum 21. Juli 2004 keine Antwort erfolgt. Nach § 26 Abs. 4 Datenschutzgesetz (DSG 2000) habe ein Auftraggeber innerhalb von acht Wochen nach Einlangen eines Auskunftsbegehrens entweder die gewünschte Auskunft zu erteilen oder schriftlich zu begründen, warum keine Auskunft erteilt würde. Es möge dem Beschwerdeführer der Auftrag erteilt werden, eine den Vorgaben des § 26 DSG 2000 entsprechende Auskunft zu erteilen, wobei alle verarbeiteten Datenarten und insbesondere die tatsächlichen Eintragungen bei den einzelnen Datenarten, sowie die Herkunft der Daten und eventuelle Übermittlungsempfänger vollständig und in allgemein verständlicher Form zu beauskunften seien.

Im Rahmen des dazu eingeräumten Parteiengehöres verwies der Beschwerdeführer in seinem Schreiben vom 2. August 2004 auf die mit Schreiben vom 6. Mai 2004 dazu erteilten Auskünfte betreffend die Daten des Mitbeteiligten in seiner Wirtschaftsdatenbank (ausgestellt am 6. Mai 2004) und in der Konsumentenkreditevidenz (ausgestellt am 12. Mai 2004), die am 14. Mai 2004 dem Beschwerdeführer direkt eingeschrieben übermittelt worden seien.

Das Schreiben des Beschwerdeführers vom 6. Mai 2004, mit dem die u.a. in der KSV-Wirtschaftsdatenbank gespeicherten Daten des Mitbeteiligten übermittelt wurden, lautete wie folgt:

"Gerne senden wir Ihnen hier die in der KSV-Wirtschaftsdatenbank gespeicherten Daten.

Sollten Sie Inhalte vorfinden die nicht den Tatsachen entsprechen, bitten wir Sie uns aktuelle Unterlagen zu schicken. Gerne nehmen wir nach entsprechender Prüfung Änderungen vor.

Der KSV ist ein führender Anbieter von Wirtschaftsinformationen in Österreich. Die Basis dazu bildet die KSV-Wirtschaftsdatenbank. Hier sind alle wirtschaftlich relevanten Unternehmen und Organisationen Österreichs verzeichnet. Knapp 100 KSV Mitarbeiter und Mitarbeiterinnen sind laufend für die Aktualisierung dieser Daten verantwortlich.

Selbstverständlich verfügt der KSV über die erforderlichen rechtlichen Befugnisse zur Erhebung, Verwertung und Weitergabe solcher Daten. Wir verweisen in diesem Zusammenhang auf § 152 Gewerbeordnung und den Genehmigungsbescheid über Statuten und Vereinszweck des KSV als Wirtschaftsauskunftei (BM für Inneres, GDion für Öfftl. Sicherheit Zl. ... v. 11.8.1982).

Der Arbeitsablauf bei der Erstellung eines Unternehmensprofiles ist genau definiert, er beinhaltet

-

Einholung einer Selbstauskunft beim Beauskunfteten (Betroffener iS des DSG 2000)

-

Überprüfung bei finanzierenden Stellen (v.a. Bankauskünfte)

-

Überprüfung bei Lieferanten

Weiters fließen auch noch

-

Gewerbescheindaten

-

Firmenbuchdaten

-

Grundbuchsdaten

in das Unternehmensprofil ein.

Wir dürfen Ihnen versichern, dass der KSV stets größte Anstrengungen unternimmt, um der warenkreditgebenden Wirtschaft unter Einhaltung unserer Qualitätsrichtlinien korrekte Informationen zur Verfügung zu stellen.

Gem. § 26 DSG ist der KSV verpflichtet, auf Anfrage des Betroffenen diesem u.a. mitzuteilen, wer die 'allfälligen Empfänger oder Empfängerkreise von Übermittlungen' sind.

Da auch die Empfänger der Daten schutzwürdige Geheimhaltungsinteressen haben, interpretiert der KSV diese Bestimmung dahingehend, dass primär die Empfängerkreise bekannt zu geben sind. Allgemein gesprochen sind das Mitglieder und Kunden des KSV, die ein überwiegendes berechtigtes Interesse am Erhalt der Bonitätsauskunft bescheinigen können - typischerweise Kreditgeber wie Banken und Leasingunternehmen sowie Handelspartner, die auf offene Rechnung liefern oder Vorauszahlungen tätigen.

Sollte es jedoch von Seiten des Betroffenen begründete Sorge geben, dass durch die Übermittlung der Daten ein Schaden entstanden ist oder entstehen könnte, etwa weil die Daten grob unrichtig waren oder ein Empfänger die Daten missbräuchlich verwendet, wird der KSV Ihnen auch die konkreten Empfänger nennen. Wenn Sie uns solche Umstände glaubhaft machen können, werden wir ebenso rasch und unbürokratisch reagieren."

Diesem Schreiben sind die Angaben betreffend den Mitbeteiligten in der Wirtschaftsdatenbank (betreffend u.a. Name, Status, Adresse, Telefon, Fax, Email-Adresse, Gesamtbewertung, Detailbewertungen, Informationen zum Insolvenzverfahren, Firmenzusatzinformationen, Kennwerte, Grundbuch) bzw. in der Konsumentenkreditevidenz des Beschwerdeführers (betreffend gewährte Kredite, Kreditgeber, Laufzeit, Fälligkeit, Leasingverträge) angeschlossen.

Nach Vorhalt der mit dem Schreiben vom 6. Mai 2004 erteilten Auskunft durch den Beschwerdeführer machte der Mitbeteiligte im Verfahren vor der belangten Behörde geltend, dass die darin erteilte Auskunft unvollständig sei und nicht den Anforderungen des § 26 DSG 2000 entspreche. Es fehlten konkrete Angaben zur Herkunft der vorhandenen Daten des Mitbeteiligten, weiters seien nur abstrakte Empfängerkreise angegeben worden. Der Mitbeteiligte stellte den eingeschränkten Antrag, die Datenschutzkommission möge dem Beschwerdeführer auftragen, eine den Vorgaben des § 26 DSG 2000 entsprechende Auskunft zu erteilen, wobei alle verarbeiteten Datenarten, sowie insbesondere die Herkunft der vorliegenden Daten und eventuelle Übermittlungsempfänger vollständig und in allgemein verständlicher und hinlänglich konkreter Form zu beauskunften seien. Der Beschwerdeführer äußerte sich dazu mit Schreiben vom 18. November 2004.

Die belangte Behörde entschied in ihrer Sitzung vom 15. Februar 2005 über die vorliegende Beschwerde des Mitbeteiligten. Sie gab der Beschwerde Folge und stellte fest, dass der Beschwerdeführer den Mitbeteiligten dadurch im Recht auf Auskunft nach § 1 Abs. 3 Z. 1 i.V.m. § 26 Abs. 1, 3 und 4 DSG 2000 verletzt habe, dass er in der mit 6. Mai 2004 datierten Auskunft hinsichtlich der zur Person des Mitbeteiligten verarbeiteten Daten

-

nur allgemeine Angaben über deren Herkunft gemacht habe

-

nur Empfängerkreise anstatt konkrete Empfänger benannt habe.

Der Beschwerdeführer sei daher gemäß § 59 Abs. 2 AVG bei sonstiger Exekution schuldig, dem Mitbeteiligten hinsichtlich der zu seiner Person verarbeiteten Daten innerhalb einer Frist von drei Wochen konkrete Angaben über deren Herkunft, soweit sie verfügbar seien, zu machen, sowie die konkreten Empfänger zu benennen.

Die belangte Behörde ging bei dieser Entscheidung von folgendem Sachverhalt aus:

Der Mitbeteiligte, ein Unternehmer, vertreten durch die ARGE DATEN - Österreichische Gesellschaft für Datenschutz - habe am 5. Mai 2004 ein umfassendes Auskunftsbegehren an den Beschwerdeführer gerichtet. Der Beschwerdeführer habe mit einem Schreiben vom 6. Mai 2004 reagiert, dem Auszüge aus den Datenanwendungen "Wirtschaftsdatenbank" und "Konsumentenkreditevidenz" mit den zur Person des Beschwerdeführers darin verarbeiteten Daten angeschlossen gewesen seien. Hinsichtlich der Rechtsgrundlagen sei auf § 152 Gewerbeordnung sowie die Vereinsstatuten des Beschwerdeführers verwiesen worden.

Weiters wurden die eingangs angeführten Informationen über den Arbeitsablauf bei Erstellung des Unternehmerprofiles und über die Bekanntgabe der Empfänger oder der Empfängerkreise von Übermittlungen gegeben.

Der Beschwerdeführer habe konkrete Informationen sowohl über die Herkunft der zur Person des Beschwerdeführers verarbeiteten Daten als auch über die Empfänger dieser Daten protokolliert und bewahre sie zumindest drei Jahre lang auf. Dabei handle es sich um historische Firmenbuchauszüge, Insolvenzdaten in elektronischer und Papierform, erhaltene Bankauskünfte, Notizen über mit Dritten geführte Gespräche, Notizen über Gespräche mit dem Betroffenen selbst, historische Grundbuchsauszüge, Geschäftsberichte, Bilanzen etc.

Der Beschwerdeführer erstelle im Rahmen der "Wirtschaftsdatenbank" ein sogenanntes "Rating", also eine Bewertung der Bonität, die nach einem von ihm entwickelten System aus verschiedenen Daten der Betroffenen erstellt werde. (Dies gehe aus den Stellungnahmen des Beschwerdeführers vom 2. August und vom 18. November 2004 hervor.)

Rechtlich beurteilte die belangte Behörde insbesondere gestützt auf § 26 Abs. 1 und 3 DSG 2000 das Auskunftsersuchen des Mitbeteiligten wie folgt:

Gegenstand der Beschwerde sei die Vollständigkeit der Auskunft vom 6. Mai 2004 hinsichtlich Herkunft der Daten und hinsichtlich der Übermittlungsempfänger. Als Grundsatz sei dazu zunächst auf die Rechtsprechung der Datenschutzkommission hinzuweisen, wonach Übermittlungen jeweils so konkret zu beauskunften seien, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen könne. Die belangte Behörde habe allerdings bereits wiederholt, gestützt auf § 1 Abs. 3 und Abs. 4 i.V.m. Abs. 2 DSG 2000, die Auffassung vertreten, dass das Auskunftsrecht kein absolutes Recht sei. Es stehe danach vielmehr unter einem doppelten Gesetzesvorbehalt. Wie in § 26 Abs. 3 DSG 2000 nochmals auf einfachgesetzlicher Stufe ausdrücklich ausgeführt, habe das Auskunftsrecht seine Grenze auch in den berechtigten Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter, sofern diese Interessen in einer konkreten Situation als "überwiegend" zu werten seien.

Davon könne jedoch zunächst hinsichtlich der Datenherkunft bei den vom Beschwerdeführer in seiner Stellungnahme vom 18. November 2004 ins Treffen geführten Argumenten keine Rede sein. Der Beschwerdeführer führe darin aus, die Art der Verarbeitung, die Zeitintervalle der Aktualisierung, die Gesprächspartner bei Banken und Lieferanten würden insgesamt das betriebliche "Know-how" einer Kreditauskunftei darstellen. Daher hätte aus der Sicht des Beschwerdeführers der Mitbeteiligte einen "besonderen Grund" angeben müssen, um konkrete Informationen über die Herkunft seiner Daten zu erhalten.

Dem sei zu erwidern, dass eine Auskunft über die Datenherkunft, die vom Beschwerdeführer im Ergebnis ins Treffen geführten Angaben, die er als unter sein Betriebs- und Geschäftsgeheimnis fallend erachte, gar nicht zu umfassen brauche. Es sei, um den zuvor dargestellten Anforderungen an eine Auskunft zu genügen, lediglich hinsichtlich jeder Datenart - soweit noch verfügbar, also zumindest die letzten drei Jahre umfassend - deren konkrete Quelle anzugeben. Dazu seien Angaben wie z.B. "Selbstauskunft", "Telefonbuch", "Firmenbuch", "X-Bank", die der Beschwerdeführer zum Teil ohnehin in allgemeiner Form (d.h. ohne Zuordnung zu einer Datenart) schon gemacht habe, ausreichend. Hinsichtlich des Ratings müsse nicht die Methode der Erstellung offen gelegt werden, es genüge vielmehr, den Beschwerdeführer selbst als Schöpfer (Quelle) dieses Datums zu benennen. Dass dies - wie im Fall des zitierten Bescheides vom 12. November 2004 einen übermäßigen Aufwand darstellen würde, habe der Beschwerdeführer nicht dargelegt. Es sei dies auch angesichts der geringen Anzahl der zur Person des Mitbeteiligten vom Beschwerdeführer verarbeiteten Datenarten nicht wahrscheinlich.

Auch hinsichtlich der Übermittlungsempfänger erweise sich die Argumentation des Beschwerdeführers als nicht überzeugend. Nach der bereits zitierten Rechtsprechung sei das Rechtsverfolgungsbedürfnis des Betroffenen zu berücksichtigen und es seien Ausnahmen nur im Falle eines dieses Bedürfnis überwiegenden Interesses des Auftraggebers oder eines Dritten zulässig. Darum sei hinsichtlich der Frage, ob der Auftraggeber dem Betroffenen "Empfänger" oder "Empfängerkreise" mitzuteilen habe, eine an den Rechtsschutzinteressen des Betroffenen orientierte Interessensabwägung durchzuführen. Daraus ergebe sich, dass die Ansicht des Beschwerdeführers, wonach grundsätzlich bloß Empfängerkreise und nur ausnahmsweise (im Fall "begründeter Sorge") die konkreten Empfänger zu benennen seien, in dieser Allgemeinheit nicht zutreffe. Zur Rechtsverfolgung in einer für den Betroffenen so entscheidenden Frage wie seiner Bonität, könne es notwendig sein, übermittelte Bonitätsinformationen zu berichtigen, weshalb der Auftraggeber dem Betroffenen grundsätzlich immer die einzelnen Empfänger zu benennen habe, um ihm eine solche Berichtigung zu ermöglichen. Gerade Bonitätsinformationen über einen Unternehmer seien typischerweise für das Zustandekommen von Geschäftsabschlüssen entscheidend. Daher sei ein Interesse, den Empfänger dieser Auskünfte konkret benannt zu erhalten, um einerseits die Rechtmäßigkeit der Übermittlung an diese nachprüfen zu können, insbesondere aber ein entsprechendes Verhalten der Empfänger im Geschäftsverkehr vorhersehen zu können, evident. Worin die vom Beschwerdeführer behaupteten Geheimhaltungsinteressen der Übermittlungsempfänger bestünden, habe er nicht dargelegt. Die belangte Behörde könne solche in überwiegendem Ausmaß nicht erkennen. Die Interessenabwägung zwischen dem Auskunftsanspruch des Betroffenen und den berechtigten Geheimhaltungsansprüchen der Empfänger müsse daher anders ausfallen als im Fall von Direktmarketingunternehmen, wo ein Nutzen für den Betroffenen zur Durchsetzung von Löschungsrechten mangels physischer Datenübermittlung häufig nicht erkennbar sei.

Einen übermäßigen Aufwand, der durch die Bekanntgabe der konkreten Übermittlungsempfänger verursacht würde, habe der Beschwerdeführer, wie schon hinsichtlich der Auskunft über die Herkunft der Daten, nicht behauptet.

Der Beschwerdeführer habe daher dadurch, dass er dem Mitbeteiligten eine konkrete Auskunft über die Herkunft der Daten sowie die konkreten Empfänger von Übermittlungen nicht erteilt habe, diesen im Recht auf Auskunft verletzt und es sei die Nachholung dieser Auskunft aufzutragen gewesen.

In der dagegen erhobenen Beschwerde wird Rechtswidrigkeit des Inhaltes und Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften geltend gemacht. Zur Frage der Zulässigkeit der Beschwerde (Pkt. III) wird ausgeführt, dass der Beschwerdeführer innerhalb der von der belangten Behörde gesetzten Frist die erforderlichen Zusatzinformationen an die Vertreterin des Mitbeteiligten übermittelt habe, dies allerdings unter Vorbehalt. Der Beschwerdeführer erachtet sich in seinem Recht auf Geheimhaltung betriebsinterner Daten verletzt.

Die belangte Behörde hat die Verwaltungsakten vorgelegt und eine Gegenschrift samt Antrag auf kostenpflichtige Zurück- bzw. Abweisung der Beschwerde erstattet.

Auf Grund einer neuerlichen Anfrage wegen allenfalls mangelnder Beschwer im Hinblick auf die bereits erteilten aufgetragenen Auskünfte, führte der Beschwerdeführer aus, dass über die Herkunft der Daten und darüber, welche Auskunftsinhalte welchem Empfänger mitgeteilt worden seien, keine Auskunft erteilt worden sei. Es seien nur jene Empfänger bekannt gegeben worden, welche in den letzten drei Jahren eine Auskunft über den Mitbeteiligten erhalten hätten. Usus sei auch, dass jene Empfänger bekannt gegeben würden, die der Bekanntgabe zugestimmt hätten. Das Interesse des Beschwerdeführers an der Entscheidung des Verwaltungsgerichtshofes bestünde nach wie vor.

Der Verwaltungsgerichtshof hat erwogen:

Im vorliegenden Fall kommt das Datenschutzgesetz 2000 - DSG 2000, BGBl. I Nr. 165/1999 in der Fassung der Novelle BGBl. I Nr. 136/2001, zur Anwendung.

Die im vorliegenden Fall maßgeblichen Bestimmungen lauten wie

folgt:

"Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.

(5) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutz-kommission zur Entscheidung zuständig, es sei denn, dass Akte der Gesetzgebung oder der Gerichtsbarkeit betroffen sind."

"Zuständigkeit

§ 2. (1) Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr."

"Auskunftsrecht

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. ...

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. ...

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat."

Der Beschwerdeführer macht zur Verletzung seiner Rechte geltend, dass er mit dem angefochtenen Bescheid verpflichtet worden sei, Daten preiszugeben, die einerseits betriebsinterne Tätigkeitsbereiche beträfen, andererseits Interessen der beauskunfteten Empfänger beeinträchtigten und somit deren Recht auf Datenschutz verletzten. Darüber hinaus werde durch diese Verpflichtung allgemein sein Recht auf Geheimhaltung betriebsinterner Daten beeinträchtigt. Es liege somit eine Verletzung subjektiver Rechte vor und es sei das Erfordernis der Beschwer jedenfalls gegeben. Der Beschwerdeführer habe in der von der belangten Behörde gesetzten Frist die erforderlichen Zusatzinformationen an die Vertreterin des Beschwerdeführers nunmehr übermittelt, dies sei jedoch ausdrücklich unter Vorbehalt erfolgt.

Dazu führte die belangte Behörde ins Treffen, dass die vom Beschwerdeführer begehrte Aufhebung des angefochtenen Bescheides im Hinblick auf die bereits nach seinem Vorbringen erteilten Zusatzinformationen nur mehr theoretische Bedeutung habe, die Aufhebung des angefochtenen Bescheides könne seine rechtliche Position nicht mehr verbessern. Es fehle dem Beschwerdeführer daher das für die Erhebung einer Beschwerde beim Verwaltungsgerichtshof erforderliche Rechtsschutzinteresse. Eine Rückgängigmachung einer einmal erteilten Auskunft sei nicht vorstellbar.

Auf Grund einer neuerlichen Anfrage zur Frage seiner Beschwer im Lichte der Stellungnahme der belangten Behörde gab der Beschwerdeführer - wie bereits dargelegt - anders als in der Beschwerde an, die geforderte Auskunft bisher nur teilweise erteilt zu haben. Der Mitbeteiligte hat sich dazu nicht geäußert. Der Verwaltungsgerichtshof geht auf Grund dieser Stellungnahme des Beschwerdeführers zur Frage der Beschwer von der nach wie vor gegebenen Beschwer für den Beschwerdeführer durch den angefochtenen Bescheid aus.

Der Beschwerdeführer macht geltend, bei dem Recht auf Auskunft handle es sich nicht um ein absolutes Recht, sondern es stehe auf Grund des § 1 Abs. 3 sowie Abs. 4 DSG 2000 unter einem doppelten Gesetzesvorbehalt. Wie dies im § 26 Abs. 3 DSG 2000 nochmals auf einfachgesetzlicher Ebene ausdrücklich ausgeführt werde, habe das Auskunftsrecht des Betroffenen seine Grenze auch in den berechtigten Interessen (z.B. Datenschutzinteressen) des Auftraggebers oder Dritter, sofern deren Interessen in einer konkreten Situation als überwiegend zu werten seien. Bei der vorzunehmenden Interessenabwägung sei somit dem Interesse des Betroffenen auf Auskunftserteilung hinsichtlich des Ursprunges der personenbezogenen Daten das Interesse des Beschwerdeführers auf Geheimhaltung gegenüberzustellen. Die belangte Behörde habe selbst ausgeführt, dass Übermittlungen jeweils so konkret zu beauskunften seien, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle als auch gegenüber Übermittlungsempfängern durchsetzen könne. Gemäß § 27 Abs. 1 Z. 2 DSG 2000 habe jeder Auftraggeber auf begründeten Antrag des Betroffenen unrichtige Daten richtig zu stellen oder zu löschen. Würden dem Betroffenen somit im Rahmen eines Auskunftsersuchens nach § 26 DSG 2000 unrichtige Daten bekannt gegeben, sei diesem ein berechtigtes Interesse an der Richtigstellung bzw. Löschung dieser Daten zuzuerkennen. Im Bereich des gesetzlich eingeräumten Richtigstellungs- bzw. Löschungsanspruches obliege es somit dem Betroffenen, jene Gründe darzulegen, mit welchen er die Unrichtigkeit der verarbeiteten Daten zu begründen vermöge. Abgesehen davon sei jeder Auftraggeber verpflichtet, eine Löschung bzw. Richtigstellung vorzunehmen, sobald ihm die Unrichtigkeit der Daten bekannt werde.

Im vorliegenden Fall seien dem Mitbeteiligten hinsichtlich der Quelle der verarbeiteten Daten allgemein gehaltene Informationen, wie Firmenbuch, erhaltene Bankauskünfte, Geschäftsberichte, Bilanzdaten oder Gespräche mit Dritten, erteilt worden. Es sei dem Mitbeteiligten auch mitgeteilt worden, dass ihm, wenn begründete Sorge an der Richtigkeit der Daten bestehe, weiterführende Informationen betreffend die Datenquelle bzw. die Datenempfänger erteilt würden.

Da die Richtigkeit der Daten nicht beeinsprucht worden sei, stünden dem Betroffenen die in § 27 DSG 2000 normierten Möglichkeiten somit nicht zu. Ein Richtigstellungs- bzw. Löschungsinteresse müsse dem Betroffenen bei korrekten Daten jedenfalls abgesprochen werden. Dem Recht auf Auskunft bezüglich der Herkunft der Daten werde somit bei einer allgemein gehaltenen Quellenangabe vollkommen nachgekommen, sodass die vom Beschwerdeführer übermittelten Informationen jedenfalls als ausreichend zu bezeichnen seien.

Im Rahmen der Interessenabwägung müssten dem Interesse des Betroffenen auf Auskunft jene Interessen des Auftraggebers auf Geheimhaltung der Daten, dazu gehörten auch jene über die Herkunft und jene über die konkreten Empfänger, gegenüber gestellt werden. Die Einholung von Informationen und die darauf folgende Würdigung der selben, wie auch die Weitergabe an den Kreis der Kunden, die ein berechtigtes Interesse an der Übermittlung solcher Daten hätten - in der Regel stelle dies im weitesten Sinn die Übermittlung einer Bonitätsauskunft dar -, sei die Quintessenz der Tätigkeit einer jeden mit Gewerberecht ausgestatteten Auskunftei und sei damit das auf dem Markt von Bonitätsauskünften vom Kundenkreis als wesentliches Leistungsmerkmal empfundenes Qualitätsmerkmal.

Die Verarbeitung der Daten sowie deren Herkunft, die Zeitintervalle der Aktualisierung, die Gesprächspartner bei Banken und Lieferanten stelle sohin insgesamt das betriebliche "Know-how" einer Kreditauskunftei dar. Da seitens der Betroffenen die Einholung von Selbstauskünften hinsichtlich der Quantität nicht beschränkt sei und zwischen den einzelnen Auskunftsbegehren auch kein bestimmtes Zeitintervall verstreichen müsse, könnte - bei wiederholten Anfragen - ohne weiteres auf die Organisation sowie Arbeitsweise der Auskunftei geschlossen werden. An der Geheimhaltung derartiger geschäftsinterner Arbeitsabläufe bestehe allerdings ein erhebliches Interesse und werde durch die Bekanntgabe der konkreten Datenquellen das Recht auf Datenschutz beschnitten, jedenfalls überwiege das Interesse an der Geheimhaltung dann, wenn mangels Richtigstellungs- bzw. Löschungsinteresses des Betroffenen kein Grund ersichtlich sei, weshalb auch die Datenquellen und die konkreten Auskunftsempfänger bekannt gegeben werden müssten. Nach den Erwägungen zur Richtlinie 95/46/EG (Punkt 41) dürfe das Auskunftsrecht keinesfalls das Recht auf Wahrung des Geschäftsgeheimnisses berühren.

Ausdrücklich sei weiters anzumerken, dass die Auskunftserteilung über die konkrete Herkunft der Daten in aller Regel die Geschäftsbeziehungen der verarbeitenden Stelle offen lege. Die nach Auffassung der belangten Behörde jedenfalls schon im Lichte des bloßen Auskunftsrechtes nach § 26 DSG zwingende Offenlegung eines Informanten würde nach und nach zur "Austrocknung" einer wesentlichen Informationsquelle führen. Bei einer entsprechend vorgenommenen Interessenabwägung hätte die belangte Behörde zu dem Ergebnis kommen müssen, dass eine allgemein gehaltene Auskunft bezüglich der Herkunft der Daten jedenfalls als ausreichend zu beurteilen sei.

Dazu ist Folgendes auszuführen:

Die Ansicht des Beschwerdeführers, dass eine nähere Auskunft über die Herkunft der verwendeten Daten immer nur dann gegeben werden müsse, wenn der Betroffene begründete Zweifel an der Richtigkeit dieser Daten geltend macht, kann der Verwaltungsgerichtshof nicht teilen.

Das im § 26 Abs. 1 DSG 2000 verankerte Recht auf Auskunft eines Betroffenen über die zu seiner Person verarbeiteten Daten enthält auch ein Recht auf Auskunft über ihre Herkunft (vgl. zu den Daten, auf die sich diese Bestimmung - wie auch § 27 DSG - bezieht, das hg. Erkenntnis vom 23. Mai 2005, Zl. 2003/06/0021). Allein aus dieser Bestimmung ist abzuleiten, dass der Gesetzgeber dem von Datenverarbeitungen Betroffenen ein nicht weiter begründungsbedürftiges Interesse an der Auskunft darüber in dem in dieser Bestimmung vorgesehenen Ausmaß zuerkennt. Der Verwaltungsgerichtshof teilt die Ansicht der belangten Behörde, dass Auskünfte grundsätzlich so konkret erfolgen müssen, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann. § 27 Abs. 1 DSG 2000 regelt das Recht auf Richtigstellung oder Löschung von verarbeiteten Daten. Danach hat jeder Auftraggeber unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtig zu stellen oder zu löschen, und zwar

1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder

2. auf begründeten Antrag des Betroffenen.

Danach kommt die Löschung von verarbeiteten Daten insbesondere auch dann in Betracht, wenn sich die vorgenommene Verarbeitung als unzulässig erweist, mag das davon betroffene Datum auch richtig sein. Schon im Hinblick darauf kann der Ansicht des Beschwerdeführers nicht gefolgt werden, dass einem Betroffenen nur im Falle von unrichtigen Daten, was er entsprechend zu begründen hätte, ein Recht auf eine Auskunft über die Herkunft der Daten zusteht. Nur die Kenntnis der Herkunft von verarbeiteten Daten ermöglicht es dem Betroffenen, die Frage der Zulässigkeit ihrer Verarbeitung zu prüfen und allenfalls die Unzulässigkeit der Verarbeitung in Verbindung mit dem Recht auf Löschung der Daten geltend zu machen. Allein dieses allgemeine Überprüfungsinteresse des Betroffenen von verarbeiteten Daten spricht gegen die vom Beschwerdeführer vertretene generelle Einschränkung der Erteilung der Auskunft über die Herkunft der verarbeiteten Daten, nämlich nur soweit als berechtigte Zweifel an der Richtigkeit der verarbeiteten Daten geltend gemacht werden. Auch der Wortlaut des § 26 Abs. 1 DSG 2000, in dem das Recht auf Auskunft einfachgesetzlich verankert ist, - wie auch die Verfassungsbestimmung in § 1 Abs. 3 DSG 2000 - bieten keinen Anhaltspunkt für eine derartige generelle Einschränkung des Rechtes auf Auskunft des Betroffenen.

Wie sich aus den Regelungen des § 26 Abs. 1 bis 3 DSG 2000 - wie auch des § 1 Abs. 3 und Abs. 4 i.V.m. Abs. 2 DSG 2000 - ergibt, ist das Recht auf Auskunft von über eine Person verarbeitete Daten gemäß dieser Bestimmung aber kein absolutes Recht, es ist vielmehr verfassungsgesetzlich (in § 1 Abs. 3 und 4 DSG 2000) und in dessen Ausführung einfachgesetzlich durch die in § 26 Abs. 2 und 3 verankerten Beschränkungen begrenzt. Eine solche Grenze stellen berechtigte Interessen des Auftraggebers oder Dritter an der Geheimhaltung dieser Daten dar, sofern diese Interessen in einer konkreten Situation als "überwiegend" zu werten sind. Bei dieser dann geforderten Interessenabwägung sind das Interesse des Betroffenen an der Auskunft über von ihm verwendete Daten und die Geheimhaltungsinteressen des Auftraggebers oder Dritter gegeneinander abzuwägen. Dem Betroffenen kommt von der Regelung des Auskunftsrechtes in § 26 Abs. 1 DSG 2000 her ein gewichtiges Interesse an der Auskunft im Sinne dieser Bestimmung zu, das in dem Falle, dass an dem in Frage stehenden Datum vom Betroffenen auch berechtigte Zweifel an seiner Richtigkeit des in Frage stehenden Datums erhoben werden, von noch größerem Gewicht ist. Insoweit kann im vorliegendem Zusammenhang das Argument des Vorliegens berechtigter Zweifel an der Richtigkeit bei dieser Interessenabwägung eine Rolle spielen.

Der Beschwerdeführer hat sein Interesse an der Geheimhaltung der Herkunft der verwendeten Daten im vorliegenden Fall damit begründet, dass die Verarbeitung der Daten sowie deren Herkunft, die Zeitintervalle der Aktualisierung, die Gesprächspartner bei Banken und Lieferanten insgesamt das betriebliche Know-how einer Kreditauskunftei darstellten. Da seitens der Betroffenen die Einholung von Selbstauskünften hinsichtlich der Quantität nicht beschränkt sei und zwischen den einzelnen Auskunftsbegehren auch kein bestimmtes Zeitintervall verstrichen sein müsse, könnte bei wiederholten Anfragen ohne weiteres auf die Organisation sowie Arbeitsweise der Auskunftei geschlossen werden. An der Geheimhaltung derartiger geschäftsinterner Arbeitsabläufe bestehe allerdings ein erhebliches Interesse. Die belangte Behörde hat dem zutreffend entgegengehalten, dass es sich bei den in Frage stehenden Angaben über die Herkunft der verwendeten Daten nur um Angaben wie z.B. "Selbstauskunft", "Telefonbuch", "Firmenbuch", "X-Bank" handeln würde. Hinsichtlich des Ratings - auch darauf hat die belangte Behörde zutreffend verwiesen - müsste nicht die Methode der Erstellung offen gelegt werden, es würde vielmehr genügen, wenn sich der Beschwerdeführer als Schöpfer dieses Datums deklariert. Nur wenn das Auskunftsbegehren die Preisgabe personenbezogener Angaben über Dritte mit einschließen sollte, also die namentliche Bekanntgabe einer Bank oder der Name eines (nicht mit dem Beschwerdeführer identen) Schöpfers des Ratings gefordert wird, kommen berechtigte Interessen Dritter an der Geheimhaltung dieser Daten in Betracht, die mit den Interessen des Betroffenen abzuwägen sind. Ein diesbezüglich konkretes Vorbringen ist vom Beschwerdeführer im Verwatungsverfahren nicht vorgetragen worden. Warum auf Grund dieser Angaben auf die Organisation und die internen Arbeitsabläufe des Beschwerdeführers geschlossen werden könnte, ist für den Verwaltungsgerichtshof im Lichte des Vorbringens des Beschwerdeführers nicht nachvollziehbar. Im Falle weiterer Auskunftsersuchen desselben betroffenen Unternehmers wären die allenfalls dann berechtigten Interessen des Beschwerdeführers auf Geheimhaltung der Herkunft von Daten neuerlich, auch im Lichte möglicher Schlussfolgerungen auf die Geschäftstätigkeit des Beschwerdeführers im Hinblick auf die bereits erfolgte Auskunft, zu prüfen. Eine solche weitere Auskunft eines Betroffenen ist aber im vorliegenden Fall nicht Gegenstand des angefochtenen Bescheides.

Klarzustellen ist im Zusammenhang mit der angesprochenen Interessenabwägung auch, dass die gegen das Recht auf Auskunft angeführten Geheimhaltungsinteressen jeweils konkret, d.h. insbesondere bezogen auf das jeweils bekannt zu gebende Datum, geltend zu machen sind und ihre Berechtigung auch jeweils darauf bezogen geprüft werden muss. Der Beschwerdeführer hat im Gegensatz dazu weder im Verwaltungsverfahren noch in der Beschwerde derart konkrete Geheimhaltungsinteressen bezogen auf die konkret in Frage stehenden preiszugebenden Daten betreffend die Herkunft von verwendeten Daten ins Treffen geführt.

Der Beschwerdeführer wendet sich auch gegen die Ansicht der belangten Behörde, dass er im vorliegenden Fall dem Recht auf Auskunft gemäß § 26 Abs. 1 DSG 2000 nur entsprochen hätte, wenn er dem Mitbeteiligten konkrete Empfänger der in Frage stehenden Daten genannt hätte. Nach dem diesbezüglichen Wortlaut dieser Bestimmung ("allfällige Empfänger oder Empfängerkreise") könne sie nicht so verstanden werden, dass der Auftraggeber dem Betroffenen grundsätzlich immer die einzelnen Empfänger zu benennen habe. Bei einer vernünftigen Auslegung könne es nicht in das Belieben des Auskunftsersuchenden gestellt werden, ob er sich mit den Empfängerkreisen oder mit den konkreten Empfängern begnügen wolle, vielmehr stelle diese gesetzliche Anordnung auf die Umstände im Einzelfall ab, was nur bedeuten könne, dass konkrete "Auskunftsempfänger" (offensichtlich gemeint: Datenempfänger) nur dann zu nennen seien, wenn es begründeten Anlass gebe, diesen gegenüber - etwa im Falle von berechtigten Richtigstellungs- bzw. Löschungsinteressen - tätig zu werden.

Diesem Vorbringen des Beschwerdeführers kann gleichfalls nicht gefolgt werden. Soweit der Beschwerdeführer auch hier die Ansicht vertritt, dass nur im Falle, dass die Unrichtigkeit von verarbeiteten Daten vom Betroffenen entsprechend begründet wird, ein Recht auf Auskunft über den konkreten Empfänger von Daten bestehen soll, kann auf die Ausführungen zum Recht auf Auskunft über die Herkunft von Daten verwiesen werden. Wenn der Gesetzgeber in § 26 Abs. 1 DSG 2000 - in Übereinstimmung mit Art. 12 der EG-Richtlinie 95/46/EG (Datenschutzrichtlinie) - von allfälligen Empfängern oder Empfängerkreisen von Übermittlungen, die der Auskunft unterliegen, spricht, bedarf es der Auslegung, in welchen Fällen danach der konkrete Empfänger oder nur der Empfängerkreis anzugeben ist. Zunächst wird dafür maßgeblich sein, ob eine Übermittlung lediglich an einzelne Empfänger oder an eine Gruppe von Empfängern, also an einen Empfängerkreis, gegangen ist. Darüber hinaus kann sich aus der bei Vollziehung des Rechtes auf Auskunft gemäß § 26 Abs. 1 DSG 2000 gebotenen Interessenabwägung zwischen dem Interesse des Betroffenen an der Auskunft und allfälligen berechtigten Interessen des Auftraggebers an der Geheimhaltung von Empfängern von Daten ergeben, dass, obwohl Daten an einzelne Empfänger gegangen sind, zur Wahrung eines überwiegend berechtigten Geheimhaltungsinteresses des Auftraggebers oder Dritter, nur ein Empfängerkreis bekannt zu geben ist. Auch Art. 12 der EG-Richtlinie 95/46/EG, der u.a. vorschreibt, dass die Mitgliedstaaten jeder betroffenen Person das Recht garantieren, vom für die Verarbeitung Verantwortlichen u.a. "die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden" zu erhalten, bedarf in diesem Sinne der Interpretation und enthält dafür keine weiterführenden Kriterien.

Der Beschwerdeführer hat im Verfahren vor der belangten Behörde im Schreiben vom 18. November 2004 in diesem Zusammenhang geltend gemacht, dass die Übermittlungsempfänger ein berechtigtes Interesse auf Geheimhaltung hätten. Dies sei deshalb der Fall, da es bei einem Unternehmen vielfältige Gründe dafür geben könne, warum sich ein Geschäftspartner, eine kreditgewährende Bank, ein Leasingfinanzier, ein Lieferant oder ein Kunde über die Bonität eines Unternehmens ein aktuelles Bild machen wollten. Diese Personen hätten ebenfalls Betroffenenrechte, denn aus deren Nachfragefrequenz, Tiefe des Interesses etc. ließen sich vielfältige Schlüsse darüber ziehen, wie diese Unternehmen ihre Geschäftstätigkeit organisiert hätten und ihre Kredite vergäben.

Die belangte Behörde hat dazu nach Ansicht des Verwaltungsgerichtshofes zutreffend die Meinung vertreten, dass damit keine Interessen der Übermittlungsempfänger geltend gemacht wurden, die im Hinblick auf die Interessen des betroffenen Mitbeteiligten an der Kenntnis von an Dritte übermittelten Bonitätsinformationen über sein Unternehmen, von vorneherein als überwiegend einzustufen wären. Abgesehen davon handelt es sich dabei um keine entsprechend konkret dargelegten Geheimhaltungsinteressen des jeweils konkret betroffenen Empfängers von Daten des Mitbeteiligten. Dass der Mitbeteiligte aus der bloßen Bekanntgabe einer Bank oder eines sonstigen Unternehmens, dem Daten des Mitbeteiligten übermittelt wurden, auf die Geschäftstätigkeit der Bank oder des Unternehmens hätte schließen können, ist für den Verwaltungsgerichtshof gleichfalls nicht nachvollziehbar. Ausgehend davon, dass die Ausnahmebestimmung des § 26 Abs.2 DSG auf Art. 13 der EG-Richtlinie 95/46/EG beruht, kann auf den Erwägungsgrund Nr. 41 verwiesen werden, wonach zwar das Geschäftsgeheimnis vom Auskunftsrecht nicht berührt wird, dies aber nicht dazu führen kann, dass der betroffenen Person jegliche Auskunft verweigert wird. Darauf liefe es hinaus, würden die auch in der Richtlinie genannten Empfänger ohne einen die Interessenabwägung ermöglichenden konkreten Grund verschwiegen werden.

Die Beschwerde war daher gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.

Der Ausspruch über den Aufwandersatz gründet sich auf die §§ 47 ff VwGG i.V.m. der Verordnung BGBl. II Nr. 333/2003.

Wien, am 19. Dezember 2006