TE Bvwg Erkenntnis 2020/4/29 W274 2224945-1

W274 2224945-1/3E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht erkennt durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundigen Laienrichter Prof. KommR POLLIRER und Dr. GOGOLA über die Beschwerde der XXXX , vertreten durch Dr. Hartmut Ramsauer, Rechtsanwalt, Georg-Wagnergasse 5, 5020 Salzburg, gegen den Bescheid der Datenschutzbehörde, Barichgasse 40 bis 42, 1030 Wien, vom 17.07.2019, GZ DSB-D123.2930002-DSB/2019, Beschwerdegegnerin XXXX , wegen Verletzung im Recht auf Löschung, in nicht-öffentlicher Sitzung zu Recht:

Der Beschwerde wird nicht Folge gegeben.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

ENTSCHEIDUNGSGRÜNDE:

Mit Beschwerde an die Datenschutzbehörde (im Folgenden: belangte Behörde) vom 07.08.2018 begehrt die Beschwerdeführerin (BF), anwaltlich vertreten, erkennbar die Feststellung einer Rechtsverletzung durch die XXXX (im Folgenden: BG) dadurch, dass diese die Eintragung der BF in die Warnliste der österreichischen Kreditinstitute betreffend einen Kontokorrentkredit über ? 5.923,53 aufrecht erhalte. Sie brachte vor, sie habe zu Kto.-Nr. XXXX von der BG einen Kontokorrentkredit eingeräumt erhalten, der am 01.07.2008 fällig gestellt worden sei. Dieser habe zum 15.07.2008 mit ? 5.923,33 ausgehaftet. Aufgrund der Fälligstellung habe die BG ihre Eintragung in die Warnliste der österreichischen Kreditinstitute veranlasst. Die BG habe die Betreibung ihrer Forderung dem Inkassoinstitut XXXX , XXXX (im Folgenden: XXXX ), übergeben. Bis Anfang 2013 sei die BF in Australien aufhältig gewesen. Nach ihrer Rückkehr nach Österreich habe sie von der XXXX eine Mitteilung erhalten, dass der Saldo mittlerweile mit ca. ? 13.000 aushafte. Sie habe über Intervention ihres Anwalts Kontoauszüge erhalten. Da sie eine Information der BG gemäß § 24 Abs. 2 VKrG nicht erhalten habe, habe sie über Anweisung ihres Anwalts das Kapital von ? 5.924,42 am 23.07.2013 an die BG überwiesen und mit Schreiben vom 17.07.2013 mitgeteilt, dass von ihr nur das Kapital bezahlt werde, da Zinsen, die länger als drei Jahre zurücklägen, verjährt seien. Weiters habe sie auch die Berechtigung der errechneten Inkassospesen beanstandet. Trotz mehrfacher Urgenz und Vergleichsangebote sei die BG nicht bereit, eine Streichung aus der Warnliste der österreichischen Kreditinstitute zu veranlassen. Die BF habe mit Schreiben ihres Vertreters vom 16.07.2018 nochmals die BG unter Hinweis auf die Verjährung der Zinsen und Inkassospesen aufgefordert, ihre Streichung aus der Warnliste der österreichischen Kreditinstitute zu veranlassen. Die Streichung sei für sie von wesentlicher Bedeutung, da sie derzeit hierdurch keine Kreditkarte von einer Bank in Österreich ausgestellt erhalte, was für sie erhebliche berufliche Nachteile bedeute. Die BG verstoße insofern gegen § 1 DSG. Da die BG das Kreditverhältnis am 01.07.2008 gekündigt habe, sei ab diesem Zeitpunkt das Kontokorrentverhältnis und somit auch die Geschäftsverbindung mit der BG beendet. Es greife ab dem 01.07.2018 daher die Verjährung gemäß § 1408 ABGB (gemeint wohl § 1480 ABGB) der noch offenen Zinsen. Da die BF der BG nichts mehr schulde, habe sie Anspruch, aus der Warnliste der österreichischen Kreditinstitute gestrichen zu werden. Mit Schreiben vom 30.07.2018 habe die XXXX nach Rücksprache mit der BG mitgeteilt, dass der Eintrag in die Warnliste bestehen bleibe, da die Forderung der BG zu Recht bestehe. Da die BG, obwohl ihr die BF nichts mehr schulde, die Eintragung in die Warnliste der österreichischen Kreditinstitute aufrechterhalte, verstoße sie gegen das DSG. Die Frist des § 24 Abs. 4 DSG sei eingehalten, da es sich bei der Eintragung in die Warnliste der österreichischen Kreditinstitute um einen Dauerzustand handle und bei rechtswidrigen Dauerzuständen die Frist erst zu laufen beginne, wenn der das Gesetz verletzende Zustand aufhöre.

Mitvorgelegt wurde Schriftverkehr zwischen der XXXX und der BF.

Über Mangelbehebungsauftrag vom 23.08.2018 ergänzte die BF ihre Beschwerde am 27.08.2018 dahingehend, dass diese auf Art 17 DSGVO gestützt werde, da ihre personenbezogenen Daten für den Zweck, für den sie verarbeitet worden seien, nicht mehr notwendig seien, da sie der BG nichts schulde.

Über Auftrag der belangten Behörde äußerte sich die BG mit Schreiben vom 13.11.2018 zusammengefasst wie folgt:

Eine Löschung der Daten zur BF aus der Warnliste könne erst nach sieben Jahren ab teilweiser Bezahlung der Schuld, sohin am 01.07.2020, erfolgen. Die Rechtsgrundlage für die Zulässigkeit der Warnliste liege in § 39 BWG. Damit seien auch die berechtigten Interessen des Art. 6 Abs 1 lit f DSGVO geschaffen worden, die auch nach Ansicht der Datenschutzkommission betreffend die Warnliste überwägen. Das Vorliegen eines überwiegenden berechtigten Interesses habe zur Folge, dass nicht nur keine Zustimmung des Kunden für die Datenübermittlung erforderlich sei, sondern diesem auch keine Widerrufsmöglichkeit offenstehe. Ein Warnhinweis diene nicht dem Zweck, die Eröffnung eines Kontos für einen bestimmten Kunden oder die Gewährung eines bestimmten Kredites zu verhindern. Er habe die Funktion, ein aus einem früheren Verhalten des Kunden ableitbares Risiko aufzuzeigen und der Bank die Möglichkeit zu geben, im Rahmen der Geschäftsverbindung mit diesem Kunden entsprechende Vorkehrungen zu treffen. Die Löschung der Daten aus der Warnliste erfolge drei Jahre nach vollständiger Bezahlung der Schuld bzw. in allen anderen Fällen sieben Jahre nach Tilgung der Schuld. Verwiesen werde auf § 7 Abs. 5 VKrG, wonach das Widerspruchsrecht bereits nach der alten Rechtslage gemäß § 28 Abs. 2 DSG 2000 nicht bei Eintragungen in die Warnliste anzuwenden gewesen sei.

Mit dem bekämpften Bescheid wies die belangte Behörde die Beschwerde ab, stellte des Parteienvorbringen dar und traf die folgenden Feststellungen:

"Die BG hat der BF einen Kontokorrentkredit eingeräumt. Diesen hat die BG am 01.07.2008 fällig gestellt. Zum 15.07.2008 hat dieser mit ? 5.923,53 ausgehaftet. Aufgrund der Fälligstellung des Kredites hat die BG eine Eintragung in die Warnliste der österreichischen Kreditinstitute veranlasst:

Warnliste

Datum der Abfrage: 18.05.2018

angefragte Person:

Familienname: XXXX

Vorname: XXXX

Geboren: XXXX

Adresse: XXXX

Eintragung 1

gespeicherte Personendaten

Familiennamen: XXXX

Vorname: XXXX

geboren XXXX

Adresse XXXX

Kreditdaten

Datum der Einmeldung: 14.08.2008

Identnummer: 10940799

Kreditgeber: XXXX

Kontonummer: XXXX

Symbol: G06

Forderung aus: Giro-Kontoverbindung

Betrag: zwischen ? 5.001,-- und ? 6.000,--

Mit der Betreibung der Forderung hat die BG die XXXX beauftragt. Nach ihrer Rückkehr aus Australien Anfang 2013 hat die BG von dem genannten Inkassounternehmen eine Mitteilung erhalten, wonach der Saldo mittlerweile mit etwa ? 13.000,-- aushaftet. Die BG hat am 23.07.2013 einen Betrag idH von ? 5.924,42 an das Inkassounternehmen überwiesen.

Mit Schreiben vom 28.06.2018 teilte das Inkassounternehmen der BG mit:

"Letzte Mahnung

bei Nichtbeachtung nach drei Tagen erfolgt endgültig die Klage

die Frist von drei Tagen soll Ihnen die letzte Möglichkeit einer außergerichtlichen Bereinigung geben

Gesamtschuldbetrag ? 11.702,85"

Mit Schreiben vom 16.07.2018 beantragte die BF bei der BG, die Löschung aus der Warnliste der österreichischen Kreditinstitute zu veranlassen. Mit Schreiben vom 30.07.2018 teilte die XXXX mit, dass - nach Rücksprache mit der BG - der Eintrag in der Warnliste bestehen bleibe. Eine Löschung des Eintrages aus der Warnliste hat die BG nicht veranlasst."

Rechtlich folgerte die belangte Behörde zusammengefasst, mangels Spezialregeln seien die allgemeinen Grundsätze der DSGVO anzuwenden, wonach unter anderem personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke verarbeitet werden dürften (vgl. Art. 5 Abs 1 lit b DSGVO). Dabei stelle sich die Frage, wie lange Zahlungserfahrungsdaten nach (teilweiser) Begleichung der Forderung noch gespeichert werden könnten, ehe sie für die Zwecke der Verarbeitung, also insbesondere des Gläubigerschutzes und der Risikominimierung der Kreditvergabe, nicht mehr notwendig seien. Nur wenn die personenbezogenen Daten noch bonitätsrelevant seien, bestehe ein Verarbeitungszweck gemäß Art. 5 Abs. 1 lit b DSGVO.

Bereits zu GZ DSB-D123.193/0003-DSB/2018 vom 07.12.2018 habe sich die DSB mit dieser Frage beschäftigt und dabei insbesondere ausgeführt, ein einheitlicher Maßstab, aus dem sich eine generelle Frist zur Löschung der bonititätsrelevanten Daten aus der Datenbank einer Kreditauskunft nach Tilgung der Schulden ergäbe, sei nicht zu erkennen. Es erscheine eine Einzelfallbeurteilung erforderlich. Maßgeblich hierfür könnten sein die Höhe der einzelnen Forderungen, das Alter der Forderungen (Datum der Eintragung in die Datenbank), die Anzahl der im Wege eines Inkassounternehmens eingetriebenen Forderungen, die Zeit, die seit Begleichung einer Forderung verstrichen sei, ebenso die Herkunft der Daten. Würden Informationen aus einem öffentlichen Register, wie der Insolvenzdatei, in der Datenbank der Kreditauskunft verarbeitet, werde zu berücksichtigen sein, wie lange diese Informationen im jeweiligen öffentlichen Register aufscheinen müssen. Eine generelle Löschung der bonitätsrelevanten Daten erst sieben Jahre nach Tilgung der Schuld werde im Hinblick auf Art. 6 Abs 1 lit f DSGVO nicht verhältnismäßig sein. Insofern werde von der Rechtsansicht zu GZ K600.033-018/0002-DVR/2007 abgegangen.

Es seien die berechtigten Interessen der BF jenen der BG gegenüberzustellen. Im Rahmen dieser Interessenabwägung sei zu berücksichtigen, dass Art. 6 Abs. 1 lit f DSGVO zwei kumulative Voraussetzungen kenne: Die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten müsse erforderlich sein, zum anderen dürften Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Hier habe die BF entsprechend Art. 17 Abs 1a DSGVO die unverzügliche Löschung des Eintrags aus der Warnliste verlangt. Der Zweck, für den die Daten erhoben worden seien, habe sich erledigt, da sie der BG aufgrund der Zahlung des Kapitals im Jahr 2013 nichts mehr schulde und die Zinsen bereits verjährt seien. Der Eintrag der Warnliste betreffend die BF beruhe auf eine Einmeldung durch die BG vom 14.08.2008. Zum 15.07.2008 (Fälligstellung) sei der Kredit mit ? 5.923,53 ausgehaftet. Eine Zahlung habe die BF erst rund fünf Jahre nach Einnmeldung der Forderung geleistet, wobei es sich dabei lediglich um einen Betrag handle, der in etwa jenem entspreche, den die BG 2008 fällig gestellt habe. Wenn die BF vorbringe, die vom Inkassounternehmen geforderten Zinsen seien teilweise verjährt bzw. die Inkassospesen zu hoch, so sei die belangte Behörde für die Beurteilung dieser Fragen nicht zuständig. Hier wäre der Zivilrechtsweg zu bestreiten. Ungeachtet dessen habe die (gemeint wohl) BF zum Zeitpunkt ihrer Zahlung nicht davon ausgehen können, dass sie damals die gesamte Forderung beglichen habe, sondern habe erkennen müssen, dass ab Fälligstellung jedenfalls Zinsen angefallen seien. Es entspreche dem normalen Wirtschaftsverkehr, dass für offene Forderungen Zinsen sowie eventuell auch Kosten für die Eintreibung der Forderung veranschlagt würden. Das von der BG beauftragte Inkassounternehmen habe der BF sowohl vor ihrer Zahlung, als auch danach, nämlich mit Schreiben vom 28.06.2018, mitgeteilt, das noch ein Betrag aushafte. Aufgrund dessen könne die BF auch heute, sollten keine weiteren Zahlungen geleistet worden seien, nicht davon ausgehen, dass sie der BG nichts mehr schulde. Aufgrund dessen sei davon auszugehen, dass das berechtigte Interesse der BG sowie Dritter gegenüber dem Interesse der BF an der Löschung der Daten überwiege. Derzeit seien die von dem Löschungsantrag der BF umfassten Daten im Hinblick auf den Gläubigerschutz noch bonitätsrelevant, weshalb die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet worden seien, nach wie vor notwendig seien. Der von der BG ins Treffen geführte Zeitpunkt für die Löschung des Eintrags, der 01.07.2020, sei daher nicht zu beanstanden.

Gegen diesen Bescheid richtet sich die Beschwerde der BF mit dem Antrag, den Bescheid dahingehend abzuändern, dass die behauptete Rechtsverletzung festgestellt werde.

Die belangte Behörde legte die Beschwerde samt dem elektronischen Verwaltungsakt mit dem Antrag vor, die Beschwerde abzuweisen.

Die Beschwerde ist nicht berechtigt:

Das Verwaltungsgericht legt den von der Behörde festgestellten, unbestrittenen - oben dargestellten - maßgeblichen Sachverhalt auch seiner Entscheidung zu Grunde.

Vorangestellt werden die wesentlichen berührten rechtlichen Bestimmungen samt einiger zum Verständnis zweckmäßiger Kommentierungen laut Zitierung:

Gemäß Art. 4. DSGVO bezeichnet im Sinne dieser Verordnung der Ausdruck:

7. "Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8. "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

9. "Empfänger" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

10. "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Der Begriff "Verantwortlicher" löst den Begriff "Auftraggeber" nach dem DSG 2000 ab. In der DS-RL war der Begriff in Art 2 lit d DS-RL geregelt, allerdings unter dem Titel "für die Verarbeitung Verantwortlicher" (Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 76 (Stand 1.12.2018) rdb.at).

Beim Verantwortlichen handelt es sich um jene Person oder Einrichtung, die dafür zu sorgen hat, dass die Datenschutzbestimmungen der DSGVO eingehalten werden. Damit gilt der Verantwortliche als Adressat der Pflichten aus der DSGVO und der Begriff dient der Zuweisung von Verantwortlichkeiten (s Art 24 Rz 1). Der Verantwortliche ist Adressat von Ansprüchen der betroffenen Person und gilt als Ansprechstelle für Maßnahmen der Aufsichtsbehörde (wie oben, Rz 77).

Der Verantwortliche hat geeignete Maßnahmen zu treffen, um sicherzustellen, dass jegliche Datenverarbeitung in Einklang mit der DSGVO und den ausführenden bzw ergänzenden Bestimmungen der nationalen Datenschutzgesetze erfolgt. Er ist sohin verantwortlich für die Einhaltung maßgeblicher Schranken, die Einhaltung der Rechte der betroffenen Personen und er ist Gegenstand der Verantwortlichkeit bei konkreten Datenverarbeitungen. Daran knüpfen sich Schadenersatzansprüche der betroffenen Person (Art 82) und Sanktionen (Art 83) (Rz 78).

Die Rolle des für die Verarbeitung Verantwortlichen definiert sich durch drei Merkmale:

1. jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle (personenbezogener Aspekt),

2. die allein oder gemeinsam mit anderen (pluralistische Kontrolle),

3. über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden (Entscheidungsfunktion) (Rz 80).

Pluralistischer Aspekt: Die Verantwortung kann nach der Definition auch bei mehreren Verantwortlichen liegen. Somit können, wie bereits in der DS-RL vorgesehen, verschiedene Verantwortliche gemeinsame Entscheidungsbefugnisse haben und können infolge geteilte rechtliche Verantwortung für eine Datenverarbeitung tragen (zur Verantwortungszuweisung s Art 24). Die DSGVO sieht spezielle Regelungen für die Verarbeitung von personenbezogenen Daten durch mehrere gemeinsam für die Verarbeitung Verantwortliche vor (Art 26). Nach Art 26 Abs 3 kann eine betroffene Person ihre Rechte im Rahmen der VO gegenüber jedem einzelnen der Verantwortlichen geltend machen. Im Fall mehrerer Verantwortlicher, kann es zu schwierigen Abgrenzungsfragen kommen. Daher ist es hilfreich, die konkrete Rollenverteilung in einem Projekt bzw Haftungsfragen in einer Vereinbarung zu konkretisieren (Rz 82).

Entscheidungsfunktion: Die Verantwortung wird dem übertragen, der die Entscheidungsmacht hat. Entscheidend für die Zuweisung der Verantwortlichkeit ist daher, wer über die wesentlichen Aspekte der Mittel der Verarbeitung entscheidet. Für die Zuschreibung der Verantwortlichen-Eigenschaft ist es nicht erforderlich, dass der Verantwortliche selbst Daten verarbeitet, sich im Besitz der verarbeiteten Daten befindet oder über die physische Herrschaft verfügt. Trifft er die Entscheidung, dass Daten zu verarbeiten sind, sind ihm sämtliche Personen und Stellen funktional zuzurechnen, die unter seiner Aufsicht bzw Anweisung Schritte einer Datenverarbeitung vornehmen (Hilfsorgane) (Rz 83).

Als Mittel sind nicht nur die technischen und organisatorischen Methoden gemeint, sondern das "Wie" der Verarbeitung. Damit sind Entscheidungen gemeint, wie welche Daten verarbeitet werden, an wen sie übermittelt werden oder wann sie gelöscht werden. Aus Art 4 Z 7 folgt, dass der Verantwortliche, die alleinige Entscheidung über eine Datenverarbeitung trifft. Daran ändert sich grundsätzlich nichts, wenn der Verantwortliche einen Dienstleister (Auftragsverarbeiter) mit der Datenverarbeitung beauftragt (Art 4 Z 8) (Rz 84).

Bei der Ausrichtung der Definition als Verantwortlicher als jene Person oder Stelle, die über Zweck(e) und Mittel der Verarbeitung entscheidet, handelt sich um eine funktionalistische Sichtweise, wonach die Verantwortlichkeit anhand des tatsächlichen Einflusses auf die Entscheidung zugewiesen wird. Hierfür kann eine explizite Rechtsgrundlage vorliegen, in diesem Fall ist die Zuweisung des Verantwortlichen und des Zwecks samt Datenkategorien und Datenempfänger meist klar identifizierbar. Wenn eine Rechtsnorm allerdings nur implizite rechtliche Verpflichtungen vorsieht, ist als Verantwortlicher jene Person oder Stelle anzusehen, die diese rechtliche Verpflichtung trifft und dafür personenbezogene Daten verarbeitet. (Rz 87).

Die DSGVO kennt in der Rollenverteilung keine Mischformen. Wenn ein Unternehmen bspw nur über die Mittel und nicht über die Zwecke der Verarbeitung entscheidet, ist es fraglich, ob damit die Qualifizierung für den Tatbestand als Verantwortlicher erfüllt ist. Dass dies problematisch werden kann, zeigt sich bspw beim Recht auf Datenübertragbarkeit, wenn Verantwortliche die "Inhaltsdaten" gar nicht verarbeiten (vgl dazu Art 20 Rz 12) (Rz 89).

Der Begriff des Auftragsverarbeiters dient, so wie die anderen Begriffe der datenschutzrechtlichen Rollenverteilung der Festlegung von Verantwortlichkeit. Daher ist dieser Begriff stets im Zusammenspiel mit den Rollen des Verantwortlichen iSd Art 4 Z 7 und des Dritten iSd Art 4 Z 10 zu sehen. Der Auftragsverarbeiter unterliegt nach den Bestimmungen der DSGVO allerdings auch zahlreichen gesetzlichen Verpflichtungen, in denen er selbst Normadressat ist (Rz 91).

Begriff und Inhalt der Definition entsprechen der Vorgängerbestimmung in der DS-RL. Inhaltlich findet sich die Parallele zum Dienstleister nach dem DSG 2000. Da die Formulierung wortident ist, kann davon ausgegangen werden, dass hier die Rolle des Dienstleisters mit der des Auftragsverarbeiters ident ist, wobei beachtet werden muss, dass nun zusätzliche Pflichten vorgesehen sind (Rz 93).

Die Regelungen zum Auftragsverarbeiter finden sich in Art 28. Entscheidend für die Qualifikation als Auftragsverarbeiter ist, dass dessen Datenverarbeitungen im Auftrag des Verantwortlichen durchgeführt werden und nicht der Auftragsverarbeiter selbst über die Verarbeitungszwecke und Verarbeitungsmittel entscheidet (Art 4 Z 2). Hierin findet sich das entscheidende Abgrenzungskriterium zum Verantwortlichen (Art 4 Z 7). Der Auftragsverarbeiter darf personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten. Da Auftragnehmer nach den Bestimmungen der DSGVO sorgfältig ausgewählt werden müssen, ist eine Vereinbarung zur Auftragsverarbeitung notwendig, die in Form eines Vertrags erfolgt. Zur Frage, ob der Einsatz der Mittel wesentlich oder unwesentlich ist, s Art 28 Rz 6 (Rz 94).

Nach Art 82 haftet der Auftragsverarbeiter nun gemeinsam mit dem Verantwortlichen (gesamtschuldnerisch) gegenüber der betroffenen Person sowohl für materielle als auch für immaterielle Schäden (Rz 97).

Gemäß Art. 5 Abs 1 DSGVO müssen personenbezogene Daten

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Richtigkeit);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur solange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Speicherbegrenzung);

f) in einer Weise verarbeitet werden, die eine angemesse Sicherheit der personenbezogenen Daten gewährleistet (Integrität und Vertraulichkeit)

Gemäß Art 6 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Gemäß Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern eine der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1a oder Art. 9 Abs. 2a stützte und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Art. 21 Abs. 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor oder die betroffene Person legt gemäß Art. 21 Abs. 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotenen Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben.

Gemäß Art. 24 (1) setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

(3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.

Art 26 (1): Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Gemäß § 152 Abs 1 GewO sind Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.

(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren.

§ 7 Verbraucherkreditgesetz (VKrG):

(1) Vor Abschluss des Kreditvertrags hat der Kreditgeber die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen zu prüfen, die er - soweit erforderlich - vom Verbraucher verlangt; erforderlichenfalls hat er auch Auskünfte aus einer zur Verfügung stehenden Datenbank einzuholen.

(2) Wenn diese Prüfung erhebliche Zweifel an der Fähigkeit des Verbrauchers ergibt, seine Pflichten aus dem Kreditvertrag vollständig zu erfüllen, hat der Kreditgeber den Verbraucher auf diese Bedenken gegen dessen Kreditwürdigkeit hinzuweisen.

(3) Sofern Kreditgeber und Verbraucher übereinkommen, den Gesamtkreditbetrag nach Abschluss des Kreditvertrags zu ändern, hat der Kreditgeber die ihm zur Verfügung stehenden Finanzinformationen über den Verbraucher auf neuen Stand zu bringen und die Kreditwürdigkeit des Verbrauchers vor jeder deutlichen Erhöhung des Gesamtkreditbetrags zu prüfen. Abs. 2 gilt entsprechend.

(4) Wird ein Kreditantrag auf Grund einer Datenbankabfrage abgelehnt, so hat der Kreditgeber den Verbraucher unverzüglich und unentgeltlich über das Ergebnis dieser Abfrage und über die Angaben der betreffenden Datenbank zu informieren, es sei denn, dies liefe Zielen der öffentlichen Ordnung oder der öffentlichen Sicherheit zuwider. Die Bestimmungen des Datenschutzgesetzes 2000 bleiben unberührt.

(5) § 28 Abs. 2 des Datenschutzgesetzes 2000 - DSG 2000, BGBl. I Nr. 165/1999 in der jeweils geltenden Fassung, ist auf bei der Datenschutzbehörde registrierte Informationsverbundsysteme kreditgebender Institutionen zur Bonitätsbeurteilung, bei denen die Verwendung auf § 8 Abs. 1 Z 2 oder Z 4 DSG 2000 beruht, ungeachtet des Zeitpunkts des Abschlusses der darin erfassten Verträge nicht anzuwenden.

§ 24 VKrG:

(1) Ein Vertrag über die Eröffnung eines laufenden Kontos, der dem Verbraucher die Möglichkeit der Überschreitung einräumt, muss Informationen über den Sollzinssatz, über die Bedingungen für die Anwendung des Sollzinssatzes, über Indizes oder Referenzzinssätze, die auf den anfänglichen Sollzinssatz Anwendung finden, über die vom Zeitpunkt einer Überschreitung an zu zahlenden Entgelte und gegebenenfalls über die Bedingungen, unter denen diese Entgelte geändert werden können, enthalten. Der Kreditgeber muss diese Informationen in regelmäßigen Abständen auf Papier oder einem anderen dauerhaften Datenträger mitteilen.

(2) Im Fall einer erheblichen Überschreitung für die Dauer von mehr als einem Monat hat der Kreditgeber dem Verbraucher unverzüglich auf Papier oder einem anderen dauerhaften Datenträger Folgendes mitzuteilen:

----------

1.-das Vorliegen einer Überschreitung,

2.-den betreffenden Betrag,

3.-den Sollzinssatz,

4.-allfällige Vertragsstrafen, Entgelte oder Verzugszinsen.

§ 39 Bankwesengesetz (BWG):

(1) Die Geschäftsleiter eines Kreditinstitutes haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters im Sinne des § 84 Abs 1 AktG anzuwenden. Dabei haben sie sich insbesondere über die bankgeschäftlichen und bankbetrieblichen Risiken zu informieren, diese durch angemessene Strategien und Verfahren zu steuern, zu überwachen und zu begrenzen sowie über Pläne und Verfahren gemäß § 39a zu verfügen. Weiters haben sie auf die Gesamtertragslage des Kreditinstitutes Bedacht zu nehmen.

(2) Die Kreditinstitute haben für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind. Die Verwaltungs-, Rechnungs- und Kontrollverfahren haben weitest gehend auch bankgeschäftliche und bankbetriebliche Risiken sowie Risiken aus der Vergütungspolitik und den Vergütungspraktiken zu erfassen, die sich möglicherweise ergeben können. Die Organisationsstruktur sowie die Verwaltungs-, Rechnungs- und Kontrollverfahren sind schriftlich und in nachvollziehbarer Weise zu dokumentieren. Die Organisationsstruktur hat durch dem Geschäftsbetrieb angemessene aufbau- und ablauforganisatorische Abgrenzungen Interessen- und Kompetenzkonflikte zu vermeiden. Die Zweckmäßigkeit dieser Verfahren und deren Anwendung ist von der internen Revision mindestens einmal jährlich zu prüfen.

(2a) Kreditinstitute können sich für die Entwicklung und laufende Wartung von Rating-Verfahren gemeinsamer Risikoklassifizierungseinrichtungen als Dienstleister bedienen, wenn sie dies der FMA zuvor angezeigt haben. Die Überlassung aller für die Erfassung und Beurteilung von Risiken erforderlichen Informationen durch die teilnehmenden Kreditinstitute an die gemeinsame Risikoklassifizierungseinrichtung ist zu dem ausschließlichen Zweck zulässig, durch Verarbeitung dieser Daten Verfahren zur Risikobeurteilung und Risikobegrenzung zu entwickeln und laufend zu warten und diese Verfahren den teilnehmenden Kreditinstituten zur Verfügung zu stellen; die Übermittlung von personenbezogenen Daten durch die Risikoklassifizierungseinrichtung ist nur an das Kreditinstitut zulässig, das die zu Grunde liegenden Schuldnerdaten eingemeldet hat. Die gemeinsame Risikoklassifizierungseinrichtung, ihre Organe, Bediensteten und sonst für sie tätigen Personen unterliegen dem Bankgeheimnis gemäß § 38. Die FMA hat in Bezug auf die gemeinsame Risikoklassifizierungseinrichtung alle in § 70 Abs. 1 genannten Auskunfts-, Vorlage- und Prüfungsbefugnisse; § 71 ist anzuwenden.

(2b) Die Verfahren gemäß Abs. 2 haben insbesondere zu berücksichtigen:

1. das Kreditrisiko und Gegenparteiausfallrisiko,

2. das Konzentrationsrisiko,

3. das Marktrisiko,

4. das Risiko einer übermäßigen Verschuldung,

5. das operationelle Risiko,

6. das Verbriefungsrisiko,

7. das Liquiditätsrisiko,

8. das Zinsrisiko hinsichtlich sämtlicher Geschäfte, die nicht bereits unter Z 3 erfasst werden,

9. das Restrisiko aus kreditmindernden Techniken,

10. die Risiken, die aus dem makroökonomischen Umfeld erwachsen,

11. das Risiko von Geldwäscherei und Terrorismusfinanzierung,

12. das Risiko, das sich aus dem Geschäftsmodell eines Institutes ergibt unter Berücksichtigung der Auswirkungen auf Diversifizierungsstrategien,

13. die Ergebnisse von Stresstests bei Instituten, die interne Ansätze verwenden, und

14. das systemische Risiko (§ 2 Z 41), das von einem Institut ausgeht.

Zur Sache:

In den vergangenen Jahren ergingen immer wieder - durch die DSK, die DSB sowie die ordentlichen Gerichte - Entscheidungen, deren Gegenstand datenschutzrechtliche Aspekte von Datenbanken über Informationen über Finanzierungen bzw im Zusammenhang mit Konten und Krediten ("Kleinkreditevidenz", "Warnliste der österreichischen Banken") sind:

Zu K600.033-018/0002-DVR/2007 wurden zB einer Bank "als Mustererledigung auch für andere Auftraggeber" Auflagen hinsichtlich der Eintragung von Daten in das Informationsverbundsystem KKE (Kleinkreditevidenz) erteilt. Ebenso wurden darin Umstände festgelegt, wann Löschungen zu erfolgen haben, zB. subsidiär sieben Jahre nach Tilgung der Schuld oder Eintritt eines sonstigen schuldbefreienden Ereignisses.

Zu K095.014/021-DSK/2001 sprach die Datenschutzkommission - bezogen auf die damalige Rechtslage - u.a. aus.:

"In die 'Warnliste' dürfen Kunden des Auftraggebers bzw. deren Bürgen (Garanten und Mitschuldner) nur eingetragen werden, wenn

a) der Kunde sein Konto durch vertragswidrig ausgestellte Schecks oder durch vertragswidrige Verwendung seiner Bankomat- oder Kreditkarte unerlaubt überzogen hat oder

b) eine mit dem Kunden bestehende Konto- bzw. Kreditverbindung aufgekündigt bzw. fälliggestellt oder in die Rechtsverfolgung übergeben wurde

und die Forderung innerhalb der im Fälligstellungsschreiben (Kontoaufkündigungsschreiben) gesetzten Zahlungsfrist nicht vollständig bezahlt wurde, wobei der aushaftende Betrag 1.000 Euro übersteigt. Vor Zusendung eines Fälligstellungsschreibens sind der Kunde und allfällige Bürgen (Garanten und Mitschuldner) in gebührender Weise zu mahnen. Wird eine Vereinbarung über die Schuld-Tilgung vor Ablauf der im Fälligstellungsschreiben bezeichneten Zahlungsfrist getroffen, darf eine Eintragung in die Warnliste nicht erfolgen. Kommt eine solche Vereinbarung erst nach Eintragung in die Warnliste, aber in engem zeitlichem Zusammenhang mit dieser Eintragung, zustande, ist in der 'Warnliste' ein Vermerk über das Bestehen einer Tilgungsvereinbarung anzubringen. Dieser Vermerk darf gelöscht werden, wenn der Schuldner die Tilgungsvereinbarung nicht einhält.

Vor Eintragung in die 'Warnliste' hat der Auftraggeber dem betroffenen Kunden und dessen Bürgen (Garanten und Mitschuldner) durch ausdrücklichen Hinweis im Fälligstellungsschreiben bzw. Kontoaufkündigungsschreiben mitzuteilen, dass

a) er in die 'Warnliste' eingetragen wird, falls innerhalb der in diesem Schreiben gesetzten Zahlungsfrist keine vollständige Zahlung erfolgt oder keine andere Vereinbarung getroffen wird, und, dass

b) es sich bei der 'Warnliste' um eine zu Zwecken des Gläubigerschutzes und der Risikominimierung geführte Liste handelt, aus der die teilnehmenden Banken einen Warnhinweis auf vertragswidriges Kundenverhalten entnehmen können.

Weiters ist der Betroffene im Fälligstellungsschreiben (Kontoaufkündigungsschreiben) vom Auftraggeber darüber zu informieren, dass er sich - abgesehen von der Möglichkeit der Inanspruchnahme der Rechtsbehelfe nach §§ 30 - 32 DSG 2000 - in allen Zweifelsfragen an den Auftraggeber oder ab dem Zeitpunkt der Eintragung seiner Daten in die 'Warnliste' auch an den Gläubigerschutzverein X wenden kann, insbesondere auch, wenn er sein Auskunfts-, Richtigstellungs-, Löschungs- oder Widerspruchsrecht gemäß §§ 26, 27 und 28 DSG 2000 hinsichtlich der 'Warnliste' geltend machen will.

Der Auftraggeber hat zu veranlassen, dass eine begründete Bestreitung der Forderung dem Grunde nach in der 'Warnliste' durch einen Bestreitungsvermerk unverzüglich ersichtlich gemacht wird.

Desgleichen ist zu veranlassen, dass die vollständige Bezahlung der Forderung in der Eintragung in der 'Warnliste' unverzüglich ausgewiesen wird.

Wenn das Nichtbestehen der Forderung dem Grunde nach rechtskräftig festgestellt wurde, hat der Auftraggeber zu veranlassen, dass die Daten des Betroffenen aus der 'Warnliste' unverzüglich gelöscht werden.

Ansonsten ist dafür zu sorgen, dass die Daten des Betroffenen,

----------

--drei Jahre nach vollständiger Bezahlung der Schuld bzw.

--in allen anderen Fällen sieben Jahre nach Tilgung der Schuld

aus der 'Warnliste' gelöscht werden. Das Widerspruchsrecht des Betroffenen nach § 28 Abs. 1 DSG 2000 gegen die allfällige Verweigerung eines Löschungsbegehrens wird hiedurch nicht berührt."

Begründend bezog sich die Datenschutzkommission zunächst auf mehreren Banken als Auftraggebern für die gemeldete Teilnahme an dem Informationsverbundsystem "Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten" erteilte Auflagen.

Die Datenschutzkommission als Registerbehörde habe die grundsätzliche Zulässigkeit der 'Warnliste' im Hinblick auf das Vorliegen überwiegender berechtigter Interessen an der Führung einer derartigen Liste der Banken zum Zweck der Risikominimierung bei der Kreditvergabe und zum Zwecke des Gläubigerschutzes zwar angenommen und die Registrierung nicht untersagt. Das Erfordernis der Erfüllung der Grundsätze des § 6 DSG 2000 verlange im vorliegenden Fall besondere Vorkehrung, um geeignete Garantien für eine Datenverwendung nach Treu und Glauben zu schaffen. Die Führung eines Informationsverbundsystems, das über die Betroffenen wesentlich nachteilige Informationen enthält, sei nur zulässig, wenn alle vernünftigerweise einsetzbaren Vorkehrungen getroffen sind, um die Richtigkeit der gespeicherten Daten zu bewirken, wozu insbesondere auch eine ausreichende Information der Betroffenen notwendig sei, damit diese ihre Rechte gegenüber den Auftraggebern der 'Warnliste' durchsetzen können. Andernfalls wäre der mit der Führung dieses Informationssystems verbundene Eingriff in das Grundrecht auf Datenschutz unverhältnismäßig und daher verfassungswidrig. Der Grundsatz der Datenverwendung nach Treu und Glauben (§ 6 DSG 2000) verlange, dass der Betroffene davon benachrichtigt wird, wenn sein Vertragspartner (die Bank) die Behauptung mangelnder Kreditwürdigkeit aufstellt und diese Behauptung an einen sehr großen Personenkreis (alle Teilnehmer an der gegenständlichen Datenanwendung) übermittelt, indem er die Information in einem Informationsverbundsystem mit einer Vielzahl von Teilnehmern zur Verfügung stellt, die potenzielle künftige Vertragspartner des Betroffenen sind. Darüber hinaus erfordere das Gebot der sachlichen Richtigkeit im Sinne des § 6 Abs. 1 Z 4 DSG, das auch ein Gebot der Vollständigkeit von Informationen mitumfasse, dass das Faktum einer begründeten Bestreitung der Forderung sichtbar gemacht werde und dass die Bezahlung der Forderung in der 'Warnliste' ausgewiesen werde. Aus dem Richtigkeitsgebot ergäbe sich weiters, dass eine Eintragung unverzüglich zu löschen sei, wenn rechtskräftig festgestellt sei, dass die Forderung nicht besteht. Dass die Daten in der 'Warnliste' für eine gewisse Zeit auch nach Tilgung der Schuld gespeichert bleiben sollen - und zwar 7 Jahre bzw. 3 Jahre - sei in dem Umstand der Warnfunktion der Liste begründet: Sie solle helfen, das Risiko einer neuerlichen Krediteinräumung zu beurteilen, wozu die Kenntnis des Vertragserfüllungsverhaltens des Betroffenen während eines angemessenen Zeitraums notwendig sei. Es sei hiebei sachlich gerechtfertigt, die Vertragserfüllung durch vollständige - wenn auch verspätete - Bezahlung gegenüber Tilgungsformen wie etwa der Restschuldbefreiung durch kürzere Aufrechterhaltung der Eintragung in der 'Warnliste' zu privilegieren. Die ausdrückliche Erwähnung des Widerspruchsrechts nach § 28 Abs. 1 DSG 2000 diene der Klarstellung dahingehend, dass besondere Fälle denkmöglich seien, in welchen ausnahmsweise eine Löschung zu einem früheren als dem in Punkt 5 genannten Zeitpunkt die einzig sachgerechte Lösung darstelle.

Die Meldung an die 'Warnliste' erfolge durch die Teilnehmerbank, deren Kunde der Betroffene sei. Diese Teilnehmerbank sei als Auftraggeber der Verarbeitung dieser Daten verantwortlich für die Richtigkeit der Daten. Da diese Verantwortung allein als Garantie für ein entsprechend hohes Maß an Richtigkeit der Daten der 'Warnliste' nicht genüge, um ungerechtfertigte Nachteile für Betroffene zu vermeiden, seien die Daten zusätzlich jährlich auf deren Richtigkeit zu überprüfen.

Wie bei Wiedergabe der Bescheidbegründung angeführt, bezog sich die DSB in ihrem (in einem anderen Verfahren ergangenen) Bescheid vom 7.12.2018 zu DSB-D123.193/0003-DSB/2018 auf den vorzitierten Bescheid K600.033-018/0002-DVR/2007 und hielt das dort formulierte Erfordernis einer "generellen Löschung" der bonitätsrelevanten Daten erst sieben Jahre nach Tilgung der Schuld im Hinblick auf Art 6 Abs 1 lit f DSGVO im Hinblick auf die geänderte Rechtslage als nicht verhältnismäßig.

Die belangte Behörde sah daher auf Grund der nunmehrigen Rechtslage - zu Recht - eine Interessenabwägung nach Art 6 Abs 1 lit f DSGVO als erforderlich.

Die BF hält dem berechtigten Interesse des Verantwortlichen (BG, KSV, Dritten) allein entgegen, der BG in ihrem Schreiben am 17.07.2013 mitgeteilt zu haben, dass von ihr nur das Kapital bezahlt werde, da Zinsen, die länger als drei Jahre zurücklägen, verjährt seien. Sie habe auch die Berechtigung der verrechneten Inkassospesen beanstandet. Da die BG das Kreditverhältnis am 01.07.2018 (gemeint wohl 1.7.2008) gekündigt habe, seien ab diesem Zeitpunkt das Kontokorrentverhältnis und somit auch die Geschäftsverbindung mit der BG beendet. Damit greife ab 01.07.2008 die Verjährung der offenen Zinsen gemäß § 1408 ABGB (gemeint wohl § 1480 ABGB). Im Zeitpunkt der Zahlung des Kapitals am 23.07.2013 seien daher nunmehr Zinsen aus den ? 5.924,42 für die letzten drei Jahre von ca. ? 700,-- offen gewesen. Im Zeitpunkt der Antragstellung am 07.08.21018 seien auch diese Zinsen bereits verjährt gewesen, sodass die BF im Zeitpunkt der Antragstellung nichts mehr geschuldet habe. Verjährte Zinsen könnten nicht mehr verlangt werden und Inkassospesen seien kein Teil der offenen Forderung. Eine Interessenabwägung falle daher zu Gunsten der BF aus. Die Eintragung in die Warnliste sei am 19.08.2008, somit vor zehn Jahren (bezogen auf den Beschwerdezeitpunkt), erfolgt. Seit der Begleichung seien bereits fünf Jahre verstrichen, die Verweigerung der Löschung sei unverhältnismäßig. Die BF habe auch vorgebracht, dass sie eine Information gemäß § 20 Abs. 2 VKrG von der BG nie erhalten habe.

Die BF übersieht, dass es sich - wie die BF selbst mehrmals vorbringt - bei dem Kreditverhältnis zwischen ihr und der BG um ein Kontokorrentverhältnis handelte, auf das die Verjährungsregel für Zinsen des § 1480 ABGB nur bedingt anwendbar ist.

Zu 8Ob387/97p hielt der OGH dazu fest:

"In Übereinstimmung mit der oberstgerichtlichen Rechtsprechung (SZ 66/125; SZ 68/93) ist das Berufungsgericht davon ausgegangen, daß Zinsen und andere Nebengebühren mit der Einstellung in das Kontokorrent wie jede andere Rechnungspost zu behandeln sind und ein rechtlich nicht mehr unterscheidbarer Teil der Gesamtforderung aus dem Kontokorrent werden, sodaß eine gesonderte Verjährung ausgeschlossen ist. In den Saldo bereits einbezogene abgereifte Zinsen sind daher ebenfalls ein nicht mehr zu unterscheidender Teil der Gesamtforderung, für die nicht mehr die dreijährige Verjährung des § 1480 ABGB gilt. Mit Beendigung des Kontokorrentverhältnisses (das ist die Beendigung der Geschäftsverbindung durch Kündigung) beginnt die jeweilige Verjährungsfrist für die einzelnen Forderungen zu laufen. Es greift somit auch eine selbständige, § 1480 ABGB unterliegende Verjährung der Zinsen Platz. Da die Wechselmandatsklage am 2.8.1994 eingebracht wurde, kommt dem vom Beklagten erhobenen Einwand der Verjährung nur insoweit Berechtigung zu, als die zwischen Fälligstellung des Kredites bis einschließlich 1.8.1991 abgereiften Zinsen verjährt sind.

Dieser Judikatur ist keineswegs die vom Beklagten vertretene, eher absurde Auslegung zu entnehmen, daß die bis zur Beendigung des Kontokorrentverhältnisses im Saldo enthaltenen Zinsen wieder ein rechtlich unterscheidbarer Teil der Gesamtforderung werden und es ab diesem Zeitpunkt wieder eine selbständige Verjährung der Zinsen, die während der nunmehr beendeten Verrechungsperiode bereits in den Saldo einbezogen wurden, gäbe. Die selbständige Verjährungsfrist für die Zinsen greift vielmehr, wie in diesen Entscheidungen deutlich zum Ausdruck kommt, erst für die nach Beendigung des Kontokorrentverhältnisses neu abreifenden Zinsen Platz."

Nach der ausdrücklichen Argumentation der BF, dass im Zeitpunkt der Zahlung des Kapitals am 23.7.2013 noch Zinsen (nach ihren Annahmen von ca. von ? 700,--) unberichtigt aushafteten, kam es daher - ausgehend von der oben dargestellten Rechtlage zur Verjährung von Zinsen im Kontokorrentverhältnis - selbst unter Außerachtlassung des Bestehen weiterer Forderungen der BG aus weiteren Zinsen bzw Betreibungskosten - zu keiner vollständigen Tilgung der Forderungen der BG gegenüber der BF, weil die damalige Zinsenschuld der 30 -jährigen Verjährung unterliegt.

Gerade der behauptete Umstand, die BF schulde der BG nichts mehr, nimmt diese aber zum Anlaß ihrer Behauptung, eine Interessenabwägung müßte zu ihren Gunsten ausschlagen.

Angesichts der aufgrund der Feststellungen und der Behauptung der BF vorliegenden Umstände, dass diese das Kapital einer 2008 fälliggestellten Kontokorrentforderung erst 2013 tilgte, jedenfalls bis zur Fälligstellung abgereifte Zinsen aus diesem Kontokorrentverhältnis - entsprechend der oben dargestellten Verjährungssituation - daher nicht verjährt und offen sind, ist die von der belangten Behörde getroffene Interessenabwägung, wonach das berechtigte Interesse Dritter, nämlich von Unternehmen, die (auch) auf Grundlage der Einträge in der Warnliste entscheiden, ob sie eine Vertragsbeziehung eingehen oder nicht, an der Verwendung der Daten über Kreditverhältnisse der BF gegenüber deren Interesse an der Löschung der Daten überwiegt, weil diese derzeit noch bonitätsrelevant sind, nicht zu beanstanden. Dieses Ergebnis bezieht sich im Sinne einer Gesamtabwägung auf die gesamte Eintragung ("Betrag zwischen EUR 5001,-- und EUR 6.000,--), wobei die BF ohnedies erkennbar lediglich eine Gesamtlöschung ("Feststellung der Rechtsverletzung nach Art 17 DSGVO") sowohl in der Datenschutzbeschwerde als auch in der nunmehrigen Beschwerde an das BVwG, nicht aber eine Einschränkung der Verarbeitung iSd Art 18, geltend machte.

Eine Bedeutung der Behauptung der Verletzung der BF von Informationsrechten nach § 20 Abs 2 VKrG (gemeint wohl § 24 Abs 2) durch die BG im datenschutzrechtlichen Zusammenhang ist nicht ersichtlich.

Komplex ist das Verhältnis der Rollen der einmeldenden Bank (BG) einerseits und des KSV als Betreibers der "Warnliste" andererseits. Fallbezogen ist ist hier unter Bezugnahme auf die obigen Darstellungen zu Art 4 Z 7 und 8 DSGVO nur auszuführen: Aufgrund des Umstandes, dass durch die Teilnehmerbank die Meldung an die "Warnliste" erfolgt, sie daher für die Richtigkeit der Daten verantwortlich ist, wird sie nach neuer Rechtslage auf Grund der DSGVO ebenso Verantwortlicher im Bezug auf die von ihr gemeldeten Daten sein, wie der KSV im Bezug auf den Betrieb der Liste.

Da der maßgebliche Sachverhalt feststeht und eine mündliche Verhandlung nicht beantragt wurde, konnte von der Durchführung einer solchen Abstand genommen werden.

Der Ausspruch zur Unzulässigkeit der Revision folgt dem Umstand, dass die wesentliche Beurteilung, ob eine Löschung der Daten der BF aus der "Warnliste" zu erfolgen hat, aufgrund der festgestellten Einzelfallumstände zur Zahlung der Schuld und der daraus resultierenden Bonitätseinschätzung der BF zu erfolgen hatte.