TE Dsk BescheidBeschwerde 2016/4/21 DSB-D122.451/0015-DSB/2016

GZ: DSB-D122.451/0015-DSB/2016 vom 21.4.2016

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

Bescheid der Datenschutzbehörde

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Mag. Gustav Z*** (Beschwerdeführer) vom 30. Dezember 2015 gegen die R**** Versicherungen AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft in Folge Mangelhaftigkeit der erteilten Auskunft vom 19. Oktober 2015 wie folgt:

1.   Der Beschwerde wird teilweise stattgegeben und festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in dessen Recht auf Auskunft verletzte, indem sie keine Auskunft über herangezogene Dienstleister erteilte.

2.   Der Beschwerdegegnerin wird aufgetragen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution die Auskunft gemäß Spruchpunkt 1 zu erteilen.

3.   Im Übrigen wird die Beschwerde abgewiesen.

Rechtsgrundlagen: §§ 1, 26 und 31 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF; §§ 26 ff des Maklergesetzes – MaklerG, BGBl. Nr. 262/1996 idgF; §§ 43 ff des Versicherungsvertragesgesetzes – VersVG, BGBl. Nr. 2/1959 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien

1. Der Beschwerdeführer behauptet in seiner Beschwerde sowie in Folgeeingaben im Rahmen des Parteiengehörs eine Verletzung im Recht Auskunft auf dadurch, dass die Beschwerdegegnerin unvollständig Auskunft erteilt habe. Er habe am 13. Oktober 2015 ein Auskunftsbegehren über sämtliche zu seiner Person verarbeiteten Daten, deren Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenanwendung sowie Anführung von Rechtsgrundlagen begehrt. Weiters habe er auch die Angabe von Namen und Adressen von beauftragten Dienstleistern begehrt. Die von der Beschwerdegegnerin mit Schreiben vom 19. Oktober 2015 erteilte Auskunft sei unvollständig. So sei eine Datenübermittlung an den A***-Verband nicht angeführt. Ebenso fehle eine Auskunft über die Datenübermittlung an die Y*** GmbH. Er habe der Beschwerdegegnerin mit Mail vom 28. Oktober 2015 mitgeteilt, dass er sämtliche Aufträge und Vollmachten, die er der Y*** GmbH jemals rechtswirksam erteilt hätte, widerrufen habe. Auch vor diesem Widerruf habe es Datenübermittlungen an die Y*** GmbH – über ein Webportal – gegeben. Des Weiteren sei in der Auskunft seine E-Mail-Adresse nicht angeführt, auch fehle die Auskunft darüber, dass Daten an die Inkassoabteilung übermittelt worden seien. Die Auskunft sei daher – zusammengefasst – insofern unvollständig, als keine Auskunft über Inhalt, Zweck und Rechtsgrundlage der Datenübermittlungen an die Y*** GmbH sowie die Inkassoabteilung gegeben worden sei; ebenso wenig sei Auskunft über Zweck und Rechtsgrundlage der Speicherung einer oder mehrerer E-Mail-Adressen gegeben worden.

2. Die Beschwerdegegnerin bringt in ihren Stellungnahmen vor, dass mangels Vorliegen der Voraussetzungen keine Datenübermittlung an den A***-Verband stattgefunden habe. Eine Speicherung der E-Mail-Adresse des Beschwerdeführers, gustav.z***@***.com, im Datenverarbeitungssystem sei nicht erfolgt, es sei lediglich die Antwortfunktion auf die eingehenden E-Mail-Nachrichten verwendet worden. Bezüglich der behaupteten Datenübermittlung an die hausinterne Inkassoabteilung sei anzumerken, dass die Eintreibung offener Prämienforderungen im Rahmen des Versicherungsvertrages erfolge. Der Versicherungsvertrag mit dem Beschwerdeführer sei über den seinerzeit bevollmächtigten Makler, die Y*** GmbH, zustande gekommen. Dabei seien im Auftrag des Beschwerdeführers dessen Daten von der Y*** GmbH an die Beschwerdegegnerin übermittelt worden. Die Beschwerdegegnerin habe mit der Y*** GmbH eine Courtagevereinbarung bezüglich vermittelter Versicherungsverträge. Der Beschwerdeführer verfüge über zwei Polizzen. Polizze Nr. 0****1 (Antrag vom 15. April 2015) sei am 19. April 2015 sowohl dem Beschwerdeführer als auch der Y*** GmbH übermittelt worden. Aufgrund eines Änderungsantrages der Y*** GmbH vom 31. August 2015 sei eine Konvertierung des Vertrages erfolgt. Die Folgepolizze zur Nr. 0****2 sei am 14. September 2015 dem Beschwerdeführer und der Y*** GmbH übersendet worden. Zur Polizze Nr. 0****2 habe es eine Mahnung vom 9. Oktober 2015 an den Beschwerdeführer durch die hauseigene Abteilung gegeben. Die Y*** GmbH habe eingeschränkten Zugriff auf das geschützte R*** Portal [der Beschwerdegegnerin]. Dort seien die Kunden und Vertragsdaten, wie Name, Anschrift, Geburtsdatum, Kunden- und Polizzennummer mit 17. April 2015 bzw. 19. Mai 2015 ersichtlich. Dazu werde auf den Screenshot in der Beilage (Anm. zum Schreiben vom 5. April 2016) verwiesen. Zugriffsprotokolle würden keine geführt.

B. Beschwerdegegenstand

Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin auf das Auskunftsersuchen des Beschwerdeführers vom 13. Oktober 2015 mit Schreiben vom 19. Oktober 2015 gesetzmäßig geantwortet hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

1. Der Beschwerdeführer schloss zu einem nicht feststellbaren Zeitpunkt einen Maklervertrag mit der Y*** GmbH ab, die in weiterer Folge den Versicherungsvertrag zur Polizze Nr. 0***1 (R*** Privat Rechtsschutz klassisch) mit der Beschwerdegegnerin vermittelte (Antrag vom 15. April 2015). Die Beschwerdegegnerin hat mit der Y*** GmbH eine Courtagevereinbarung abgeschlossen.

2. Mit Schreiben vom 19. April 2015 wurde der Y*** GmbH sowie dem Beschwerdeführer je eine Ausfertigung des Versicherungsvertrages samt den Vertragsbedingungen zugestellt.

Auf der Versicherungspolizze sowie den Begleitschreiben ist unter anderem folgender Satz angeführt:

„Es betreut Sie: Y*** GmbH, [Adresse]“

Gleichzeitig wurden die Kunden- und Vertragsdaten im Webportal der Beschwerdegegnerin für die Y*** GmbH ersichtlich gemacht.

3. Aufgrund eines Änderungsantrages vom 31. August 2015 erfolgte eine Konvertierung des Versicherungsvertrages. Die Folgepolizze Nr. 0****2 wurde mit Schreiben vom 14. September 2015 dem Beschwerdeführer und der Y*** GmbH zugesendet. Gleichzeitig wurden die Kunden und Vertragsdaten im Webportal der Beschwerdegegnerin für die Y*** GmbH ersichtlich gemacht.

Auf der Versicherungspolizze sowie den Begleitschreiben ist unter anderem folgender Satz angeführt:

„Es betreut Sie: Y*** GmbH, [Adresse]

4. Zur Polizze Nr. 0****2 gab es eine Mahnung an den Beschwerdeführer vom 9. Oktober 2015, die durch die hauseigene Inkassoabteilung der Beschwerdegegnerin erfolgte.

5. Der Beschwerdeführer korrespondierte mit Beschwerdegegnerin auch per Mail, wobei als E-Mail-Adresse des Beschwerdeführers gustav.z***@***.com in der Korrespondenz aufscheint. Diese Adresse wurde nur im E-Mail-System der Beschwerdegegnerin gespeichert. Um auf einlangende Mails zu reagierten, benützte die Beschwerdegegnerin die Antwortfunktion des E-Mail-Programmes. Es kann nicht festgestellt werden, dass eine andere als diese E-Mail-Adresse von der Beschwerdegegnerin gespeichert wurde. Es kann nicht festgestellt werden, dass die E-Mail-Adresse an Dritte übermittelt wurde.

6. Mit Schreiben vom 13. Oktober 2015 stellte der Beschwerdeführer das verfahrensgegenständliche Auskunftsersuchen an die Beschwerdegegnerin und begehrte darin u.a. auch Auskunft über herangezogene Dienstleister.

7. Die Beschwerdegegnerin erteilte darauf mit Schreiben vom 19. Oktober 2015 (soweit relevant) folgende Auskunft:

„Auskunftsbegehren gemäß DSG

Sehr geehrter Herr Mag. Z***,

auf Ihre Anfrage nach § 26 DSG […] teilen wir Ihnen gerne mit, welche Daten die [Beschwerdegegnerin] zur Ihrer Person gespeichert hat:

Name:         Mag. Z***

Vorname:   Gustav

Geburtsdatum:  **.**.1973

Adresse:   F****straße *3, **** M***

Aktive Polizze:  0****2 R**** Privat Rechtsschutz

Stornierte Polizze:         0****1 R**** Privat Rechtsschutz, storniert per 01.05.2015

Erledigte Schäden:          4*****3 vom 18.7.2015

                               5*****1 aus 10/2015

Die Speicherung dieser Daten ist für den Abschluss und die Erfüllung des bzw. der Versicherungsverträge erforderlich. Ihre persönlichen Daten werden nur zu dem Zweck verwendet, für den Sie uns diese Daten überlassen haben bzw. für deren Nutzung und Weitergabe Sie Ihr Einverständnis gegeben haben (z.B. am Versicherungsantrag). Von Ihnen übermittelte Daten werden streng vertraulich behandelt und nicht an Dritte weitergegeben.

[…]“

8. Mit E-Mail vom 28. Oktober 2015 teilte der Beschwerdeführer der Beschwerdegegnerin mit, dass er das Vertragsverhältnis zur Y*** GmbH aufgelöst habe.

Beweiswürdigung: Diese Feststellungen beruhen auf den zitierten Dokumenten, einschließlich der zu den genannten Polizzen-Nummern abgeschlossenen Versicherungsverträge, die von den Verfahrensparteien vorgelegt wurden. Die Feststellung betreffend die verwendete E-Mail-Adresse des Beschwerdeführers beruht auf der vorgelegten Mail-Korrespondenz zwischen den Verfahrensparteien. Dass der Beschwerdeführer auch von einer anderen E-Mail-Adresse die Beschwerdegegnerin kontaktierte, kam im Ermittlungsverfahren nicht hervor bzw. wurde dies vom Beschwerdeführer auch nicht behauptet. Die Feststellung, wonach es zu keiner Übermittlung der E-Mail-Adresse des Beschwerdeführers kam, ergibt sich aus den vorgelegten Unterlagen sowie daraus, dass der Beschwerdeführer dies auch nicht behauptete.

D. In rechtlicher Hinsicht folgt daraus:

1. Allgemeines

Zu beurteilen ist hier lediglich, ob die erteilte Auskunft vom 19. Oktober 2015 dem Gesetz entsprechend erfolgte. Etwaige nach diesem Zeitpunkt eingetretene Änderungen in Datenbeständen (wie bspw. auch erfolgte Übermittlungen) sind vom Gegenstand dieses Verfahrens nicht umfasst (vgl. dazu den Bescheid der Datenschutzbehörde vom 11. Jänner 2016, GZ DSB-D122.373/0001-DSB/2016).

2. Zu Spruchpunkt 1:

2.1. Zu lit. a (Dienstleister)

Der Beschwerdeführer begehrte unter anderem Auskunft über herangezogene Dienstleister. Auf diesen Aspekt ging die Beschwerdegegnerin in ihrer Auskunft vom 19. Oktober 2015 überhaupt nicht ein, weshalb bereits deshalb eine Verletzung im Recht auf Auskunft vorliegt. Diesbezüglich wird auch auf Punkt 4.2. der Begründung hingewiesen.

3. Zu Spruchpunkt 2:

Eine Frist von zwei Wochen erscheint angemessen, um die aufgetragene Auskunft zu erteilen.

4. Zu Spruchpunkt 3:

4.1. Zur Inkassomahnung

Der Beschwerdeführer erblickt eine Mangelhaftigkeit der Auskunft darin, dass die behauptete Übermittlung seiner Daten an die hauseigene Inkassoabteilung zwecks Mahnung vom Oktober 2015 nicht beauskunftet wurde.

Dabei übersieht der Beschwerdeführer, dass Gegenstand des zwischen ihm und der Beschwerdegegnerin abgeschlossenen Versicherungsvertrages auch die fristgerechte Zahlung von Versicherungsprämien ist (vgl. dazu auch Art. 12 des zwischen den Verfahrensparteien abgeschlossenen Vertrages). Die Einmahnung (vermeintlich) nicht fristgerecht eingezahlter Versicherungsprämien ist somit vom Zweck der Datenverarbeitung zur Abwicklung des Versicherungsvertrages mitumfasst. Eine auskunftsbedürftige Datenübermittlung im Sinne einer Änderung des Verwendungszweckes fand somit nicht statt.

4.2. Zur Y*** GmbH

4.2.1. Dem Rechtsverhältnis zwischen dem Beschwerdeführer und der Y*** GmbH einerseits und der Y*** GmbH und der Beschwerdegegnerin andererseits liegt jeweils ein Maklervertrag zugrunde. Makler gemäß § 1 MaklerG ist, wer auf Grund einer privatrechtlichen Vereinbarung (Maklervertrag) für einen Auftraggeber Geschäfte mit einem Dritten vermittelt, ohne ständig damit betraut zu sein.

4.2.2. Die §§ 26 ff MaklerG legen besondere Regeln für Versicherungsmakler fest.

Nach ständiger Rechtsprechung des Obersten Gerichtshofes ist der Versicherungsmakler zwar regelmäßig ein Doppelmakler, wird aber trotzdem als Hilfsperson des Versicherungsnehmers dessen Sphäre zugerechnet und hat primär als „Bundesgenosse“ des Versicherten dessen Interessen zu wahren. Davon zu unterscheiden ist der Versicherungsagent im Sinn des § 43 VersVG, der vom Versicherer ständig betraut ist, Versicherungsverträge zu vermitteln oder zu schließen, damit zum Versicherer ein Naheverhältnis hat und dessen Sphäre zugerechnet wird. Letzteres gilt auch für den sogenannten „Pseudomakler“ – ein Vermittler, der zum Versicherer in einem solchen wirtschaftlichen Naheverhältnis steht, das es zweifelhaft erscheinen lässt, ob er in der Lage ist, überwiegend die Interessen des Versicherungsnehmers zu wahren (§ 43a VersVG) – und den sogenannten „Anscheinsagenten“; darunter ist ein Vermittler zu verstehen, der mit nach den Umständen anzunehmender Billigung des Versicherers als Versicherungsagent auftritt (§ 43 Abs. 1 letzter Halbsatz VersVG). Ob der Versicherungsnehmer zu dieser Annahme berechtigt ist, beurteilt sich nach denselben Kriterien, wie sie für die Duldungs- und Anscheinsvollmacht entwickelt worden sind. Voraussetzung für die Zurechnung ist, dass der Versicherer einen äußeren Tatbestand schafft, aus dem auch der sorgfältige Versicherungsnehmer schließen kann, es müsse eine Betrauung der als Versicherungsagent auftretenden Person vorliegen (vgl. dazu das Urteil vom 16. Oktober 2015, GZ 7 Ob 161/15z, mwN).

In dem genannten Urteil hat der Oberste Gerichtshof auch folgendes ausgesprochen: Aus der Diktion („Sie werden betreut von: ...“) ist dem in der Versicherungspolizze enthaltenen Hinweis der objektive Erklärungswert beizumessen, dass die Betreuung des Versicherungskunden durch den angeführten Versicherungsmakler nicht nur mit Wissen, sondern auch mit Willen des Versicherers erfolgt. Damit wird ein Tatbestand geschaffen, aus dem der Versicherungskunde den Eindruck gewinnen muss, dass der Versicherungsmakler vom Versicherer generell mit der Vermittlung von Versicherungsverträgen betraut ist. Unter den gegebenen Umständen war es daher angezeigt, den Versicherungsmakler als „Anscheinsagenten“ nach § 43 Abs. 1 letzter Halbsatz VersVG zu behandeln.

4.2.3. Im vorliegenden Fall war auf den zitierten Versicherungspolizzen der Beschwerdegegnerin jeweils der Hinweis „Es betreut Sie: Y*** GmbH“ angeführt. Dies hat zur Folge, dass die Y*** GmbH – auf Basis der oben zitierten Rechtsprechung – als Anscheinsagent im Sinne von § 43 ff VersVG zu werten ist. Aufgrund der Nahebeziehung zu einem Versicherer sowie der für Versicherungsagenten geltenden Regeln ist es daher angezeigt, die Y*** GmbH bei der Verwendung personenbezogener Daten aus Versicherungsverträgen der Beschwerdegegnerin als deren Dienstleister im Sinne von § 4 Z 5 DSG 2000 zu qualifizieren.

Daraus folgt, dass Datenflüsse an die Y*** GmbH als Überlassungen nach § 4 Z 11 DSG 2000 zu werten sind, die als solche nicht dem Recht auf Auskunft unterliegen. Sehr wohl unterliegt aber die Heranziehung von Versicherungsagenten insofern dem Recht auf Auskunft, als diese auf Verlangen als herangezogene Dienstleister zu nennen sind.

4.3. Zur E-Mail-Adresse

4.3.1. Nach § 26 Abs. 1 DSG 2000 kommt dem Betroffenen (grundsätzlich) ein Recht auf eine umfassende und inhaltlich rechtmäßige Auskunft zu. Der Gesetzgeber hat dem von Datenverarbeitungen Betroffenen ein nicht weiter begründungsbedürftiges Interesse an der Auskunft in dem in dieser Bestimmung vorgesehenen Ausmaß zuerkannt. Die Auskunft muss grundsätzlich so konkret erfolgen, dass der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann (vgl. dazu das Erkenntnis des Verwaltungsgerichtshofes vom 27. Mai 2009, Zl. 2007/05/0052, mwN).

Weiters setzt das Recht auf Schutz der Privatsphäre voraus, dass sich ein Betroffener vergewissern kann, dass seine personenbezogenen Daten fehlerfrei verarbeitet werden und die Verarbeitung zulässig ist, d.h. insbesondere, dass die ihn betreffenden Basisdaten richtig sind und dass sie an Empfänger gerichtet sind, die zu ihrer Verarbeitung befugt sind. Darüber hinaus dient das Recht auf Auskunft auch dazu, die (verfassungsgesetzlich) gewährleisteten Rechte auf Richtigstellung oder Löschung durchzusetzen (vgl. dazu das Urteil des Europäischen Gerichtshofes vom 7. Mai 2009, Rs C-553/07, Rijkeboer).

Nach der Rechtsprechung der Datenschutzkommission (von welcher die Datenschutzbehörde als Nachfolgerin keinen Anlass sieht abzugehen) ist Auskunft über die verarbeiteten Daten in allgemein verständlicher Form zu erteilen, was bedeutet, dass der Betroffene nicht nur über die Art (Kategorien) der über ihn verarbeiteten Daten aufzuklären ist, sondern dass ihm der Inhalt dieser Daten bekanntzugeben ist. Es genügt daher nicht festzustellen, dass etwa der Name und das Geburtsdatum gespeichert seien, sondern es muss offengelegt werden, wie die tatsächlichen Eintragungen bei diesen Datenarten Name und Geburtsdatum lauten. Weiters sind bezüglich aller in Frage kommenden Datenarten die Herkunft dieser Daten und allfällige Übermittlungen zu beauskunften und zwar in hinlänglich konkreter Form, damit der Betroffene seine Berichtigungs- und Löschungsrechte sowohl gegenüber der Quelle der Daten als auch gegenüber Übermittlungsempfängern durchsetzen kann. Darüber hinaus sind der Zweck und die Rechtsgrundlagen der Datenverwendung zu beauskunften (vgl. dazu etwa den Bescheid vom 14. Dezember 2012, GZ K121.877/0011-DSK/2012).

4.3.2. Das Recht auf Auskunft umfasst somit auch jene Daten, die vom Auskunftswerber selbst oder dessen Bevollmächtigten dem Auftraggeber zugänglich gemacht wurden. Ziel des Rechts auf Auskunft ist nämlich – wie oben dargelegt – auch feststellen zu können, ob Daten fehlerfrei verarbeitet werden.

Wie festgestellt, ist die E-Mail-Adresse des Beschwerdeführers in einem elektronischen Datenverarbeitungssystem der Beschwerdegegnerin gespeichert. Dabei macht es keinen Unterschied, ob die E-Mail-Adresse bei den Stammdaten des Beschwerdeführers gespeichert ist oder nicht. Entscheidend ist, dass die E-Mail-Adresse einer automationsunterstützten Verarbeitung (nämlich im Mail-System) der Beschwerdegegnerin unterzogen wurde und folglich grundsätzlich dem Recht auf Auskunft unterliegt (vgl. dazu das Erkenntnis des Verwaltungsgerichtshofes vom 23. Mai 2005, Zl. 2003/06/0021).

4.3.3. Insgesamt muss aber auf die Bedeutung eines erkennbaren Rechtsschutzinteresses des Betroffenen für den Umfang seines Auskunftsrechts hingewiesen werden: Das Auskunftsrecht ist nicht absolut, sondern seiner Funktion nach (nur) ein Begleitgrundrecht, das der Durchsetzung des Grundrechts auf Geheimhaltung dient. Der Umfang des Auskunftsrechts muss daher in Relation zum jeweiligen Rechtsschutzinteresse gesehen werden (siehe dazu den Bescheid der Datenschutzkommission vom 21. Jänner 2009, GZ K121.415/0002-DSK/2009).

Wie festgestellt, verwendete der Beschwerdeführer seine E-Mail-Adresse im Zuge der Kommunikation mit der Beschwerdegegnerin, wobei diese die Adresse nicht außerhalb des Mail-Programmes speicherte und auf einlangende E-Mails des Beschwerdeführers durch Betätigung der Antwortfunktion im E-Mail-Programm reagierte, sodass automatisch sichergestellt war, dass die E-Mail-Adresse des Beschwerdeführers (orthographisch) richtig verwendet wurde.

Insoweit hatte der Beschwerdeführer darüber Kenntnis, dass seine E-Mail-Adresse von der Beschwerdegegnerin elektronisch verarbeitet und dass sie auch (orthographisch) richtig verwendet wurde. Auch hatte der Beschwerdeführer Kenntnis über die Herkunft der E-Mail-Adresse. Dass die E-Mail-Adresse des Beschwerdeführers an Dritte übermittelt wurde konnte nicht festgestellt werden und wurde vom Beschwerdeführer im Übrigen auch nicht behauptet. Selbiges gilt für den Fall der Verwendung einer anderen als der gespeicherten E-Mail-Adresse des Beschwerdeführers.

In einem Fall wie diesem kann daher kein Rechtsschutzinteresse des Beschwerdeführers an einer zusätzlichen Anführung seiner E-Mail-Adresse in einer Auskunft erkannt werden.

5. Es war somit spruchgemäß zu entscheiden.