Entscheidungsdatum
17.06.2020Norm
AVG §37Spruch
W253 2221146-1/15E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Jörg C. BINDER als Vorsitzenden und die fachkundigen Laienrichter XXXX und XXXX als Beisitzer über die Beschwerden von 1. XXXX GmbH, XXXX , vertreten durch PUTZ & RISCHKA Rechtsanwälte KG, Reisnerstraße 12, 1030 Wien, und 2.) XXXX , geboren am XXXX , XXXX , vertreten durch Thurnherr Wittwer Pfefferkorn Partner Rechtsanwälte GmbH, 6850 Dornbirn jeweils gegen den Bescheid der Datenschutzbehörde vom 12.04.2019, GZ DSB-D123.609/0003-DSB/2018, in nichtöffentlicher Sitzung zu Recht erkannt:
A)
1. Die Beschwerde der Erstbeschwerdeführerin wird abgewiesen.
2. Der Beschwerde des Zweitbeschwerdeführers wird teilweise stattgeben und Spruchpunkt 1. des genannten Bescheids dahingehend abgeändert, dass festgestellt wird, dass die Erstbeschwerdeführerin den Zweitbeschwerdeführer, dadurch in seinem Recht auf Auskunft verletzt hat,
a) in dem sie, in der erteilten Auskunft nicht nachvollziehbar dargelegt hat, welche Verarbeitungen von der XXXX GmbH in welchem Dateisystem getätigt werden;
b) in dem, in der von ihr erteilten Auskunft keine ausreichenden Auskünfte über die von der XXXX GmbH angezogenen Verarbeitungszwecke erteilt wurden;
c.) in dem sie, die Inhalte der an die Übermittlungsempfänger übermittelten Daten nicht beauskunftet hat;
d.) in dem sie, keine Auskunft über die Herkunft der Daten erteilt hat;
e.) in dem sie, keine Auskunft über die automatisierte Entscheidungsfindung einschließlich Profiling erteilt hat;
f.) in dem sie weder die Übermittlungsempfänger noch den Inhalt der Übermittlung an diese beauskunftet hat.
Spruchpunkt 2. des Bescheids wird dahingehend abgeändert, dass dieser zu lauten hat:
Der XXXX wird aufgetragen, binnen 14 Tagen bei sonstiger Exekution dem Zweitbeschwerdeführer folgende Informationen zu beauskunften:
a. Welche Verarbeitungen von der XXXX in welchem Dateisystem getätigt werden.
b. Die von der XXXX angezogenen Verarbeitungszwecke in hinreichend bestimmter Form.
c. Die Empfänger oder Kategorien von Empfängern gegenüber denen, durch die XXXX , personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sowie deren Inhalt.
d. Die Herkunft der Daten.
e. In klarer sowie einfacher Sprache Informationen über die involvierte Logik, sowie die Tragweite und die Auswirkungen automatisierter Entscheidungsfindung einschließlich Profiling.
f. Nachvollziehbar strukturierte Informationen über die Übermittlungsempfänger und den Inhalt der Übermittlung an diese.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG ist zulässig.
Text
ENTSCHEIDUNGSGRÜNDE:
Verfahrensgegenständlich ist die Frage, ob die von der Erstbeschwerdeführerin, erteilte Auskunft den einschlägigen Bestimmungen entspricht.
I. Verfahrensgang:
1. XXXX (iwF: „Zweitbeschwerdeführer“) begehrte mit Schreiben vom 19.07.2018 von der XXXX GmbH, XXXX (iwF: „Erstbeschwerdeführerin“) Auskunftserteilung gemäß Art. 15 DSGVO hinsichtlich Art, Inhalt, Herkunft, Übermittlungsempfänger, Verwendungszweck sowie Rechtsgrundlage der von der Erstbeschwerdeführerin verwendeten personenbezogenen Daten des Zweitbeschwerdeführers. Mit Schreiben vom 24.08.2018 übermittelte ihm die Erstbeschwerdeführerin eine Auskunft hinsichtlich der zur seiner Person verarbeiteten Daten gemäß Art 15 DSGVO.
2. Am 19.07.2018 erhob der Zweitbeschwerdeführer schriftlich Beschwerde bei der Datenschutzbehörde (iwF: „DSB oder belangte Behörde“) und begründete dies im Wesentlichen damit, dass Auskünfte über Verarbeitungszwecke, die Rechtsgrundlagen der Verarbeitung, die Herkunft der Daten, die Auskunft über automatisierte Entscheidungsfindung einschließlich Profiling sowie die Auskunft über die Übermittlungen (insbesondere in Drittländer) nicht vollständig sei und es ihm auf Basis der Angaben in der Auskunft nicht nachvollziehbar sei, ob die Auskunft über die verarbeiteten Datenkategorien vollständig sei. Überdies seien die Angaben zu den betroffenen Rechten nicht nachvollziehbar.
3. Am 08.11.2018 langte eine ergänzende Stellungnahme der Erstbeschwerdeführerin beim Zweitbeschwerdeführer ein. Unter einem teilte die belangte Behörde dem Zweitbeschwerdeführer im Rahmen des Parteiengehörs mit, dass diese gemäß § 24 Abs. 6 DSG die formlose Einstellung des Verfahrens beabsichtigte.
4. Daraufhin teilte der Zweitbeschwerdeführer am 08.12.2018 näher begründet der belangten Behörde mit, dass aus seiner Sicht die ursprünglich behaupteten Rechtsverletzungen weiterhin bestehen würde.
5. Mit Bescheid vom 12.04.2019 gab die belangte Behörde schließlich der Beschwerde des Zweitbeschwerdeführers statt, stellte unter einem fest, dass die Erstbeschwerdeführerin dem Zweitbeschwerdeführer keine vollständige Auskunft erteilt habe und diesen dadurch in seinem Recht auf Auskunft verletzt habe und trug der Erstbeschwerdeführerin auf, innerhalb von zwei Wochen bei sonstiger Exekution, dem Zweitbeschwerdeführer Auskunft über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 15 Abs. 1 lit. c DSGVO) sowie alle verfügbaren Informationen über die Herkunft der Daten (Art. 15 Abs. 1 lit.g DSGVO) zu erteilen.
6. Am 15.05.2019 erhob die Erstbeschwerdeführerin Beschwerde gegen diesen Bescheid der belangten Behörde. Zusammengefasst wurde in dieser Beschwerde ausgeführt, dass die Erstbeschwerdeführerin bereits vollständig und jedenfalls ausreichend Angaben über die Quellen der Daten in der dem Zweitbeschwerdeführer erteilten Auskunft getätigt zu haben, da zu den einzelnen Datensystemen getrennt die Quellen angeführt worden wären. Hinsichtlich der mit Bescheid aufgetragenen Beauskunftung der Empfänger oder Empfängerkategorien führte die Erstbeschwerdeführerin aus, dass diese ebenfalls im Zuge der Auskunft mitgeteilt worden seien. Bei einer zutreffenden rechtlichen Beurteilung hätte die belangte Behörde erkennen müssen, dass die Angabe der Empfänger von personenbezogenen Daten dort, wo es Empfänger gab, richtig und ausreichend gewesen sei, dort wo es mangels Übermittlung von personenbezogenen Daten des Zweitbeschwerdeführers keine namentlich zu nennenden Übermittlungsempfänger gegeben habe, die Angaben über die Empfängerkreise jedenfalls ausreichend gewesen wären und somit dem Erfordernis der DSGVO nach Art. 15 Abs. 1 lit. c genüge getan worden sei. Ebenso hätte die belangte Behörde bei einer zutreffenden rechtlichen Beurteilung erkennen müssen, dass die Angaben über die Herkunft der Daten bzw. die Datenquellen in Ansehung der dem Zweitbeschwerdeführer beauskunfteten Daten richtig und ausreichend gewesen sei. Denn einerseits seien die Quellen ausdrücklich genannt worden und andererseits ergebe sich aus den Daten selbst, dass die über den Zweitbeschwerdeführer verarbeiteten Daten - deren Richtigkeit der Betroffenen gar nicht in Zweifel gezogen habe - aus dem Firmenbuch stammen würden. Somit sei unter Einbeziehung der allgemeinen Hinweise über die Datenquellen die Angaben über die Datenquellen jedenfalls ausreichend und wäre damit dem Erfordernis des Art. 15 Abs. 1 lit. c DSGVO entsprochen worden.
Darüber hinaus monierte die Erstbeschwerdeführerin, dass sie durch die belangte Behörde in ihrem Recht auf Parteiengehör gemäß § 37 AVG verletzt worden sei, da ihr die Stellungnahme des Zweitbeschwerdeführers vom 04.12.2018 nicht zu einer abschließenden Stellungnahme vorgelegt worden sei. Sie habe daher keine Gelegenheit gehabt, zu jenen rechtserheblichen Tatsachen, welche die Behörde ihrer Entscheidung zugrunde gelegt habe, Stellung zu nehmen. Die belangte Behörde habe auch den Sachverhalt nur unzureichend festgestellt. Hätte nämlich die DSB die in der Auskunft an den aufgezeigten Stellen befindlichen Angaben über Übermittlungsempfänger bzw. die Tatsache, dass es solche nicht gibt, daher auch solche nicht genannt werden hätten können, festgestellt und berücksichtigt wäre die belangte Behörde zu einem für die Erstbeschwerdeführerin günstigeren Ergebnis gekommen. Gleiches gelte für die Datenquellen, da bei Berücksichtigung aller Umstände nicht nur festgestellt worden wäre, welche Datenquellen ausdrücklich genannt worden seien, sondern dass die Herkunft der anderen Daten aus dem Firmenbuch evident sei.
Außerdem sei eine Beweiswürdigung der DSB im angefochtenen Bescheid nicht auffindbar und somit auch nicht überprüfbar. Ein bloßer Hinweis auf übereinstimmendes Vorbringen und den Inhalt von Schreiben kann aus Sicht der Erstbeschwerdeführern eine Auseinandersetzung mit den Beweisergebnissen im Einzelnen nicht ersetzen. Daher sei der Bescheid auch in diesem Umfang fehlerhaft.
7. Am 27.05.2019 langte bei der belangten Behörde die Beschwerde des Zweitbeschwerdeführers gegen deren Bescheid vom 12.04.2019 ein. Eingangs monierte der Zweitbeschwerdeführer, dass im gegenständlichen Fall das Recht auf Auskunft gemäß Art. 15 DSGVO schon durch den Umstand, dass die Erteilung von Auskünften die nicht einem bestimmten Verantwortlichen zugeordnet werden können, verletzt werde, denn es sei im gegenständlichen Fall so, dass die Erstbeschwerdeführerin nur im Namen der XXXX Gruppe Auskünfte erteilt habe. Die Erteilung von Auskünften im Namen der Gruppe ließe keine Rückschlüsse darauf zu, welche konkreten Daten zum Zweitbeschwerdeführer, von welcher Gesellschaft bzw. von welchem Rechtsträger der Gruppe verarbeitet werden würden. Durch eine solche Vermischung der beauskunfteten Daten, würde eine Rückverfolgung allfälliger Datenströme zwischen den verschiedenen Rechtsträgern einer Unternehmensgruppe verunmöglicht werden. Eine Prüfung der Rechtmäßigkeit solcher Datenströme könne nur erfolgen, wenn klargestellt wäre, welche Daten von welchem Rechtsträger jeweils auf welcher Rechtsgrundlage verarbeitet werden würden und welche Rechtsgrundlagen für allfällige Übermittlungen zwischen den Rechtsträgern zur Anwendung kämen. Die Erstbeschwerdeführerin mache im Hinblick auf eine gemeinsame Verantwortlichkeit von Unternehmen der XXXX Gruppe keine konkreten Angaben. Dadurch sei der Verpflichtung des Art. 26 Abs. 2 DSGVO nicht entsprochen worden und habe der Zweitbeschwerdeführer bereits in seinem ursprünglichen Antrag um diesbezügliche Auskunft ersucht.
Hinsichtlich der Klarstellungen der Erstbeschwerdeführerin zu den verarbeiteten Datenkategorien und den tatsächlich verarbeiteten Daten vom 04.12.2018 hielt der Beschwerdeführer (ausgenommen die Problematik der Zuordnung der Auskunft über die verarbeiteten Daten) fest, dass diesbezüglich eine Mangelhaftigkeit der Auskunft nicht mehr behauptet werde.
Hinsichtlich der Unvollständigkeit der Auskunft über Verarbeitungszwecke führte der Zweitbeschwerdeführer ins Treffen, dass die von der Erstbeschwerdeführerin bekannt gegebenen Verarbeitungszwecke so allgemein gehalten seien, dass diese keine ausreichende Auskunft im Sinne des Art. 15 Abs. 1 lit. a DSGVO darstellen würden. Schwerwiegender sei jedoch der Umstand, dass eine Zuordnung der verarbeiteten Datenkategorien zu den genannten Verarbeitungszwecken nicht erfolgt sei. Eine Beurteilung der Rechtmäßigkeit einer Datenverarbeitung könne nur dann erfolgen, wenn die Verarbeitungszwecke den dafür verarbeiteten Daten gegenübergestellt worden wären. Es ergebe sich nicht aus der Auskunft der Erstbeschwerdeführerin, ob nunmehr alle verarbeiteten Datenkategorien für alle Zwecke verarbeitet werden oder nicht. Dies habe der Zweitbeschwerdeführer, entgegen der Ausführungen der belangten Behörde im angefochtenen Bescheid sowohl in der ursprünglichen Beschwerde als auch in der Stellungnahme vom 04.12.2018 ausdrücklich vorgebracht.
Hinsichtlich der unvollständigen Auskunft über Rechtsgrundlagen der Verarbeitung führte der Zweitbeschwerdeführer aus, dass, entgegen der Ansicht der belangten Behörde, es herrschende Meinung sei, dass die Verpflichtung zur Auskunftserteilung sehr wohl auch Informationen zur Rechtsgrundlage der jeweiligen Datenverarbeitung umfasse, damit es der betroffenen Person ermöglicht würde, die Rechtmäßigkeit einer Datenverarbeitung zu prüfen. Es sei dies von der Erstbeschwerdeführerin auch anerkannt worden, weil diese nachträglich allgemeinen Auskünfte zur Rechtsgrundlage erteilt habe. Jedoch seien die von der Erstbeschwerdeführerin herangezogenen Rechtsgrundlagen im gegenständlichen Fall nicht einschlägig.
Hinsichtlich der nicht nachvollziehbaren Angaben zu den Betroffenenrechten führte der Zweitbeschwerdeführer lediglich der Vollständigkeit halber und unter Verzicht auf die diesbezügliche Ergänzung der Auskunft der Erstbeschwerdeführerin aus, dass die von der Erstbeschwerdeführerin in ihrer Auskunft mitgeteilten Informationen zu den Betroffenenrechten nicht nachvollziehbar seien und deswegen den Vorgaben der Bestimmungen des Art. 15 Abs. 1 lit. e DSGVO und Art. 15 Abs. 1 lit. f DSGVO i.V.m. Art. 12 DSGVO nicht entsprechen würden.
Hinsichtlich der behaupteten Unvollständigkeit der Auskunft über automatisierte Entscheidungsfindung einschließlich Profiling führte der Zweitbeschwerdeführer aus, dass weiterhin konkrete Angaben über die für die Berechnung der angeführten Scorewerte herangezogene Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung fehlen würden. Die Ansicht der belangten Behörde im angefochtenen Bescheid wonach die erteilte Auskunft ausreiche, sei nicht nachvollziehbar und entspreche nicht der bisherigen Rechtsprechung der DSB.
Zur unvollständigen Auskunft über die Übermittlungsempfänger führte der Zweitbeschwerdeführer aus, dass die belangte Behörde seiner Beschwerde stattgegeben und einen entsprechenden Leistungsauftrag an die Erstbeschwerdeführerin erteilt habe. Jedoch enthalte die Auskunft keinerlei Informationen dazu welche Daten bzw. Datenkategorien jeweils an die bekanntzugebenden Empfänger übermittelt worden seien. Schon vor Inkrafttreten der DSGVO, sei gemäß Art. 12 der Datenschutz-Richtlinie eine Auskunft über die tatsächlich an die Empfänger übermittelten Daten vorgesehen gewesen. Auch habe der EUGH in der Entscheidung „Rijkeboer“ ausdrücklich festgehalten, dass neben dem Empfänger bzw. den Empfängerkategorien auch der Inhalt der übermittelten Daten zu beauskunften sei und dass das diesbezügliche Auskunftsrecht nicht nur für die Gegenwart sondern auch für die Vergangenheit gelte. Es seien im Hinblick auf die diesbezüglich inhaltlich vollständig vergleichbaren Wortlaute der Bestimmung des Art. 12 lit. a Datenschutz-Richtlinie und der Bestimmung des Art. 15 Abs. 1 lit. c DSGVO die Überlegungen des EuGH in der genannten Entscheidung auch auf diese Bestimmung übertragbar. Eine Einschränkung des Umfangs des in Art. 15 DSGVO genannten Auskunftsrecht im Vergleich zum Art. 12 Datenschutz-Richtlinie sei wohl nicht anzunehmen. Aus Sicht des Zweitbeschwerdeführers bestehe daher eine Verpflichtung der Erstbeschwerdeführerin auch den Inhalt der an die zu nennenden Empfänger übermittelten Information bekanntzugeben. Daher sei der diesbezügliche Leistungsauftrag in Spruch Punkt 2 des angefochtenen Bescheides unvollständig.
Weiters regte der Zweitbeschwerdeführer an, dass das Bundesverwaltungsgericht einen Antrag auf Vorabentscheidung gemäß Art. 267 AEUV zur Auslegung des Art. 15 DSGVO an den Gerichtshof der Europäischen Union stellen und dabei vom Beschwerdeführer näher in der Beschwerde ausgeführte Fragen zur Interpretation berücksichtigen wolle.
8. Am 11.07.2019 langte die Beschwerdevorlage der belangten Behörde beim Bundesverwaltungsgericht ein. Von der Möglichkeit einer Beschwerdevorentscheidung machte die belangte Behörde keinen Gebrauch, bestritt unter vollinhaltlichem Verweis auf den angefochtenen Bescheid die Beschwerdevorbringen und stellte die Anträge, dass Bundesverwaltungsgericht möge gemäß § 28 Abs. 2 VwGVG in der Sache selbst entscheiden, da der maßgebliche Sachverhalt feststehen würde und die Beschwerde abweisen.
9. Am 24.01.2020 stellte der Zweitbeschwerdeführer gemäß Art. 133 Abs. 1 Z. 2 B-VG einen Fristsetzungsantrag.
10. Am 26.03.2020 langte die verfahrensleitende Anordnungen des Verwaltungsgerichtshofs am Bundesverwaltungsgericht ein und wurde das Bundesverwaltungsgericht aufgefordert gemäß § 38 Abs. 4 VwGG eine Entscheidung binnen drei Monaten zu erlassen.
11. Im Rahmen des gerichtlich eingeräumten Parteiengehörs langte am 05.05.2020 eine Stellungnahme des Zweitbeschwerdeführers am Bundesverwaltungsgericht ein. Der Zweitbeschwerdeführer stellte noch einmal klar, dass ein zentrales Problem im gegenständlichen Verfahren darin gelegen sei, dass die Erstbeschwerdeführerin sowohl in ihrer ursprünglichen Auskunft vom 24.08.2018, als auch in ihrer Stellungnahme vom 07.11. 2018 ohne weitere Differenzierung Auskünfte über die von der XXXX Gruppe vorgenommenen Datenverarbeitungen erteilt habe.
Der Zweitbeschwerdeführer betonte noch einmal, dass die Auskunft hinsichtlich Art. 15 Abs. 1 lit. c DSGVO nicht den in Art. 12 Abs. 1 DSGVO genannten Voraussetzungen, wonach Auskünfte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln seien, entsprechen würde.
Hinsichtlich der Angaben über die Herkunft der Daten und dem in diesem Zusammenhang von der Erstbeschwerdeführerin vorgebrachten Argument, dass sich aus den Daten selbst deren Herkunft ergebe, führte der Zweitbeschwerdeführer aus, dass eine Auskunft nicht eine Denksportaufgabe für die betroffene Person darstellen möge, sondern in transparenter Form die gesetzlich vorgeschriebenen Informationen enthalten solle.
Hinsichtlich der von der Erstbeschwerdeführerin behaupteten Verletzung des Rechts auf Parteiengehör, führte der Zweitbeschwerdeführer aus, dass die Erstbeschwerdeführerin am 07.11.2018 eine umfangreiche Stellungnahme an die belangte Behörde erstattet habe. Daraufhin habe der Zweitbeschwerdeführer am 04.12.2018 lediglich rechtliche Standpunkte der belangten Behörde zur Stellungnahme der Erstbeschwerdeführerin übermittelt, weshalb die nochmalige Einräumung einer Stellungnahmemöglichkeit im Sinne von § 45 Abs. 3 AVG nicht geboten gewesen sei. Im Übrigen habe der Zweitbeschwerdeführer der Erstbeschwerdeführerin ihre Stellungnahme vom 04.12.2018 elektronisch übermittelt und sei diese daher der Erstbeschwerdeführerin bekannt gewesen. Bis zur Bescheiderlassung am 12.04.2019 habe die Erstbeschwerdeführerin daher fünf Monate Zeit gehabt, eine ergänzende Stellungnahme an die belangte Behörde zu übermitteln.
Hinsichtlich der von der Erstbeschwerdeführerin bemängelten fehlenden Beweiswürdigung führte der Zweitbeschwerdeführer aus, dass sich eine solche im in Beschwerde gezogenen Bescheid finden würde und die Frage der Vollständigkeit der Auskunft eine rechtliche Frage sei.
12. Mit Schriftsatz vom 08.05.2020 replizierte die Erstbeschwerdeführerin. Zur Auskunftserteilung im Namen der Gruppe führte sie aus, dass die Erstbeschwerdeführerin ( XXXX ) und der XXXX jedenfalls keine datenschutzrechtlichen gemeinsam für die Verarbeitung Verantwortlichen im Sinne des Art. 26 DSGVO seien. Vielmehr sei die XXXX Auftragsverarbeiterin für den XXXX und erfolge auf dieser Basis eine Verarbeitung von Daten. Eine Auskunft nach Art. 15 DSGVO habe den Schwerpunkt auf die Verständlichkeit aus der Sicht des Durchschnittsmenschen anzulegen. Dies sei durch die gegenständlich erteilten Auskünfte jedenfalls ausreichend erfüllt. Der Durchschnittsmensch sei nicht an der gesellschaftlichen Organisation der Zusammensetzung der XXXX Gruppe interessiert. Es sei aus Sicht der Erstbeschwerdeführerin und der Gruppe hoher Wert auf leichte Lesbarkeit und Verständlichkeit der Auskünfte gelegt worden. Bis zu diesem Verfahren habe es keine nennenswerten Beschwerden, geschweige denn behördliche Verfahren zu dieser Thematik gegeben. Die vom Zweitbeschwerdeführer geforderte Trennung und Aufsplittung der Auskünfte würde der Zielsetzung nach Art. 12 DSGVO zuwiderlaufen, weil dadurch gerade ein Übermaß an Informationen und eine Überforderung des durchschnittlichen Betroffenen erreicht würde und andererseits für den Durchschnittsmenschen die Verständlichkeit der Auskunft sehr beeinträchtigt sei. Es sei zu berücksichtigen, dass der Zweitbeschwerdeführer Rechtsanwalt und rechtskundig sei und jedenfalls über die Struktur der Gruppe und deren gesellschaftsrechtliche Zusammensetzung in Kenntnis sei. Die Beschwerde sei daher nicht berechtigt und daher gänzlich abzuweisen.
Zu den Verarbeitungszwecken führte die Erstbeschwerdeführern aus, dass diese nicht zu allgemein gehalten seien, sondern vielmehr ausreichend konkret angegeben wurden. Nach ständiger Rechtsprechung der belangten Behörde, seien der Gläubigerschutz und die Risikominimierung ausdrücklich als zulässige Verarbeitungszwecke anerkannt. Hinsichtlich der angeblich unvollständigen Auskunft über Rechtsgrundlagen der Verarbeitung führte die Erstbeschwerdeführerin Folgendes aus: Die Mitteilung der Rechtsgrundlage für die Verarbeitung sei in Art. 15 DSGVO nicht ausgeführt und sei diese im Rahmen einer Auskunft nach Art. 15 DSGVO nicht verpflichtend vorgesehen. Dies entspreche auch der herrschenden Meinung. Im Unterschied zur alten Rechtslage nach § 26 Abs. 1 DSG 2000 sei die Angabe der Rechtsgrundlage nunmehr nicht mehr angeführt. Es sei insofern eine Änderung der Rechtslage eingetreten. Die Frage der Rechtsgrundlage sei im Rahmen der Prüfung der Zulässigkeit der Verarbeitung eines Löschungsansuchens gem. Art. 17 DSGVO zu prüfen und nicht im Rahmen von Art. 15 DSGVO zu beauskunften.
Zu den angeblich nicht nachvollziehbaren Angaben zu den Betroffenenrechten führte die Erstbeschwerdeführerin aus, dass die Rechtsbelehrung nach Art. 15 Abs. 1 lit. e und f. DSGVO sich in einem abstrakten Hinweis auf diese Rechte erschöpfe.
Hinsichtlich der angeblich unvollständigen Auskunft über automatisierte Entscheidungsfindung einschließlich Profiling, führte die Erstbeschwerdeführerin aus das gegenständlich einerseits die Voraussetzungen für eine Auskunft nach Art. 15 Abs. 1 lit. h DSGVO nicht vorlägen und andererseits die erteilten Auskünfte ausreichend sein.
Zu der vom Zweitbeschwerdeführer monierten unvollständigen Auskunft über Übermittlungsempfänger führte die Erstbeschwerdeführerin aus, dass nach den verarbeiteten Daten, die Datenempfänger angegeben worden seien bzw. eine diesbezügliche negative Auskunft erfolgt sei. Unabhängig davon verpflichtet Art. 15 Abs. 1 lit. c DSGVO den datenschutzrechtlichen Verantwortlichen nur die Empfänger oder Kategorien von Empfänger bekanntzugeben. Dies umfasse jedoch nicht die Inhalte der Daten oder die übermittelten Daten. Die angegebenen Übermittlungsempfänger bezögen sich auf die darüber angeführten Daten. Insofern sei daher sogar eine Angabe welche Daten übermittelt worden sein, erfolgt.
13. Mit weiterem Schriftsatz vom 29.05.2020 erwiderte die Erstbeschwerdeführerin die Stellungnahme des Zweitbeschwerdeführers vom 11.05.2020.
II. Das Bundesverwaltungsgericht hat erwogen:
Feststellungen:
Der unter I. dargestellte Verfahrensgang wird festgestellt und dem Erkenntnis zu Grunde gelegt.
Der folgende Sachverhalt steht fest:
1.1. Mit Schreiben an die XXXX GmbH (Erstbeschwerdeführerin) vom 19.07.2018 ersuchte der Zweitbeschwerdeführer unter Verweis auf ua. Art. 15 Abs. 1 DSG VO für den Fall, dass ihn betreffende personenbezogene Daten von dieser verarbeitet werden würden, um Bekanntgabe der folgenden Informationen:
? „Verarbeitungs Zwecke und Rechtsgrundlagen der Verarbeitung;
? Kategorien personenbezogener Daten, die verarbeitet werden;
? Empfänger, gegenüber denen die personenbezogenen Daten offengelegt wurden (einschließlich Auftragsverarbeiter gemäß Art. 28 DSGVO und gemeinsame verantwortliche gemäß Art. 26 DSGVO sowie Empfänger in Drittstaaten);
? Kategorien von Empfängern, gegenüber denen die Daten gegebenenfalls noch offengelegt werden;
? geplante Dauer, für die mich betreffenden personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
? alle verfügbaren Informationen über die Herkunft der mich betreffenden personenbezogenen Daten;
? das allfällige Bestehen einer automatisierten Entscheidungsfindung einschließlich pro failing gemäß Art. 22 Abs. 1 DSGVO und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.“
Für den Fall dass den Zweitbeschwerdeführer betreffende personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt würden, ersuchte der Zweitbeschwerdeführer um Bekanntgabe näherer Informationen zu den von der Erstbeschwerdeführerin jeweils vorgesehenen Garantien gemäß Art. 46 DSGVO. Unter einem ersuchte der Beschwerdeführer um Übermittlung einer Kopie der ihn betreffenden personenbezogenen Daten, die Gegenstand der Verarbeitung durch die Erstbeschwerdeführerin seien.
1.2. Am 24.08.2018 übermittelte die Erstbeschwerdeführerin das beschwerdegegenständliche Auskunftsschreiben an den Zweitbeschwerdeführer.
1.3. Der Zweitbeschwerdeführer hat mit Schreiben an die DSB vom 12.10.2018 Beschwerde gegen die Auskunft der Erstbeschwerdeführerin vom 24.08.2018 wegen unvollständiger Auskunft über verarbeitete Daten, unvollständiger Auskunft über Verarbeitungszwecke, unvollständiger Auskunft über Rechtsgrundlagen der Verarbeitung, unvollständiger Auskunft über Herkunft der Daten, nicht nachvollziehbarer Angaben zu den betroffenen Rechten, unvollständiger Auskunft über automatisierte Entscheidungsfindung einschließlich Profiling sowie unvollständiger Auskunft über Übermittlungen (insbesondere Drittländer) erhoben.
1.4. Die belangte Behörde teilte dem Zweiteschwerdeführer am 19.11.2018 das Ergebnis des Ermittlungsverfahrens mit und legte die Stellungnahme der Erstbeschwerdeführerin zur Beschwerde vor. Unter einem teilte die belangte Behörde mit, dass sie beabsichtige das Verfahren gemäß § 24 Abs. 6 DSG formlos einzustellen.
Auszugsweise teilte die Erstbeschwerdeführerin Folgendes mit:
„Ad 2.1. Unvollständige Auskunft über verarbeitete Daten
[…] Bisher hat doch jeder Betroffene die Ausführungen in den Auskünften der Beschwerdegegnerin zutreffend dahin gedeutet, dass zwar die zum Betroffenen angeführten personenbezogenen Daten vollständig angeführt werden, dem Betroffenen aber darüberhinaus bekannt gegeben wird, welche Datenkategorien die Beschwerdegegnerin insgesamt verarbeitet. Das bedeutet keinesfalls, dass zu jeder von der Bit Beschwerdegegnerin verarbeiteten Daten Kategorie auch tatsächlich Daten des Betroffenen verarbeitet werden und somit aus einem Umkehrschluss heraus Unvollständigkeit vorliegt. Dieser Schluss ist somit nicht nachvollziehbar.
Auf Basis der Angaben in der Auskunft kann vielmehr kein Zweifel bestehen, dass die Auskunft vollständig ist, dem Betroffenen aber darüberhinaus eine vollständige Auskunft über die von der Beschwerdegegnerin verarbeiteten Datenkategorien erteilt wird.
Ad 2.2. Unvollständige Auskunft über Verarbeitungszwecke
auch diese Ausführungen sind nicht nachvollziehbar, da der Beschwerdeführer zutreffend selbst die ihm zur Kenntnis gebrachten Verarbeitungs Zwecke aufführt. […]
Den Beschwerdeführer wurden, wie schon zuvor ausgeführt, sämtliche seine Person betreffenden personenbezogenen Daten bekannt gegeben [. …] Selbstverständlich erfolgt die Verarbeitung dieser Daten ausnahmslos im Rahmen der, dem Betroffenen bekannt gegebenen Verarbeitungs Zwecke, die überdies im Bereich der Rechtsanwaltschaft als hinlänglich bekannt angenommen werden dürfen.
[…]
Ad 2.3. unvollständige Auskunft über Rechtsgrundlagen der Verarbeitung
Die Angaben zur Rechtsgrundlagen nach der DSGVO durch Hinweis auf Art. 6 Abs. 1 lit. b und f DRS GVO sind hinreichend, wenn es sich dabei um die klassischen Grundlagen für das Auskunfteigewerbe schlechthin handelt […].
[…] bezieht sich diese Rechtsgrundlage Verarbeitung der Daten und die Erteilung von Bonitätsauskünfte auf bestehende oder beabsichtigte Rechtsverhältnisse, die der Betroffene mit Dritten eingegangen ist oder einzugehen beabsichtigt.
Es ist nicht erkennbar, weshalb im Hinblick schon auf die Einleitung der Auskunft nicht klar sein sollte, dass die vom XXXX erteilten Bonitätsauskünfte nicht das berechtigte Interesse der Dritten, nämlich der Mitglieder und Kunden des XXXX betreffen würden.
Insoweit ist auch der Vorwurf unter Angabe des Art. 14 Abs. 2 lit. b DSGVO nicht berechtigt, da explizit dargestellt wird, dass mit der Ausübung des Gewerbes der Auskunftei das Ziel verfolgt wird, Wirtschaftstreibende vor finanziellem Schaden zu bewahren und solcherart auch die Liquidität jener Unternehmen zu fördern, deren Liquidität durch Forderungsausfälle andernfalls beeinträchtigt wäre.
Ad 2.4. Unvollständige Auskunft über Herkunft der Daten
[…]
Entgegen der Auffassung des Beschwerdeführers handelt es sich dabei nicht nur um allgemeine und damit unzureichende Angaben, sondern sind auch diese Angaben umfassend und vollständig.
Die Anordnung der DRS GVO ist nicht dahin auszulegen, dass zu jedem personenbezogenen Datum im einzelnen anzugeben ist, aus welcher Quelle dieses stammt, dies würde die Anforderungen an eine Auskunft nach Art. 15 DRS GVO überspannen.
[…]
Ad 2.5. Nicht nachvollziehbare Angaben zu der betroffenen Rechten
nach Ansicht der Beschwerdegegnerin sind die Ausführungen zu den betroffenen Rechten deutlich und ausreichend […]
Der Beschwerdeführer vermeint offenbar, dass sämtliche gesetzlichen Vorschriften im Detail anzuführen wären, was schon deshalb nicht tunlich ist, weil die Betroffenen als Adressaten mit zig Seiten einer Auskunft konfrontiert wären, ohne dass sie auf die wesentlichen Aspekte der Auskunft nach Art. 15 DRS GVO hingewiesen werden.
[…] Wollte man im Sinne der Beschwerde sämtliche Detailinformationen nach Art. 15 lit bis lit. h DSGVO dermaßen umfassend ausführen, so würden die Empfänger dieser Auskünfte nicht rund acht Zeiten halten sondern ein mehrfaches davon.
Ad 2.6. Unvollständige Auskunft über automatisierte Entscheidungsfindung einschließlich Profiling
diese Auffassung der Beschwerde nicht nachvollziehbar, dass schon eingangs der Ausführungen (1.Abs) zur PROFILBILDUNG dargestellt wird, was unter profiling zu verstehen ist und dass sich diese Ausführungen auf alle Score-Werte beziehen. Es ist damit nicht nachvollziehbar, welche Informationen der Beschwerdeführer an dieser Stelle vermisst.
[…] Der Beschwerdeführer übersieht auch, dass es ihm unbenommen bleibt in Punkten, die ihm wichtig sind, ergänzende Ausführungen zu begehren, der XXXX ist geradezu bekannt dafür, dass er diese Auskünfte in der für jeden betroffenen unterschiedlichen verständlichen Form erteilt. Allerdings gilt dies – wenn vom Beschwerdeführer zu Scorinwerten auch „involvierte Logik“ angesprochen wird – bis zur Grenze der für die Beschwerdegegnerin zu schützenden Betriebsgeheimnissen
Ad 2.7. Unvollständige Auskunft über Übermittlungen (insbesondere an Drittländer)
[…] Dass solche Übermittlungen nicht stattgefunden haben, ist ein „Negativhinweis“ jedenfalls entbehrlich.
1.6. Mit Bescheid der belangten Behörde vom 12.04.2019, GZ DSB-D123.699/0003-DSB/2018 gab die belangte Behörde der Beschwerde des Zweitbeschwerdeführers statt und stellte fest, dass die Erstbeschwerdeführerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, dem sie keine vollständige Auskunft erteilt hat. Unter einem wurde der der Erstbeschwerdeführerin aufgetragen innerhalb der Frist von zwei Wochen bei sonstiger Exekution dem Beschwerdeführer Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 15 Abs. 1 lit. C DSGVO) sowie alle verfügbaren Informationen über die Herkunft der Daten (Art. 15 Abs. 1 lit. g DSGVO) zu übermitteln.
1.7. Die Beschwerde der Erstbeschwerdeführerin langte am 15. Mai 2019 bei der belangten Behörde ein.
1.8. Am 27.05.2020 langte die Beschwerde des Zweitbeschwerdeführers bei der belangten Behörde ein.
1.9. 1.9 Mit Schreiben vom 27.04.2020 wurde den Beschwerdeführern hinsichtlich der beim Bundesverwaltungsgericht eingelangten Beschwerden gegen den Bescheid der DSB wechselseitig Gelegenheit zur Stellungnahme eingeräumt.
1.10. Am 06.05.2020 langte eine Stellungnahme des Zweitbeschwerdeführers ein.
1.11. Die von der Erstbeschwerdeführerin erteilte Auskunft ist unvollständig.
2. Beweiswürdigung:
Die Feststellungen gründen auf den Inhalten des vorliegenden unbedenklichen Verwaltungsaktes und des Bescheids Datenschutzbehörde vom 12.04.2019, GZ DSB-D123.699/0003-DSB/2018, sowie auf dem Inhalt des Gerichtsakts.
3. Rechtliche Beurteilung:
3.1. Die zulässigen Beschwerden sind hinsichtlich der Erstbeschwerdeführerin nicht berechtigt und hinsichtlich der Zweitbeschwerdeführerin zum Teil berechtigt.
3.2. Die maßgeblichen rechtlichen Bestimmungen lauten wie folgt:
Aus dem Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG):
„§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
(2) Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.
(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.
(7) Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.
(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.
(9) Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.
(10) In die Entscheidungsfrist gemäß § 73 AVG werden nicht eingerechnet:
1. die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;
2. die Zeit während eines Verfahrens nach Art. 56, 60 und 63 DSGVO.“
Aus der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in weiterer Folge DSGVO genannt:
„Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
[…]
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
[…]
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
[…]
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
[…]
18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht
[…]
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
[…]
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
3.3. Umgelegt auf den vorliegenden Sachverhalt folgt daraus:
3.3.1. Auskunftserteilung im Namen der „ XXXX Gruppe“:
Wie oben bereits festgestellt, hat der Zweitbeschwerdeführer seinen Antrag auf Auskunft gemäß DSGVO am 19.07.2018 per Einschreiben an die XXXX GmbH, XXXX gerichtet.
Das Anschreiben zur Zusendung der Auskunft vom 24.08.2018 an den Zweitbeschwerdeführer erging im Auftrag der XXXX GmbH und des XXXX . Wie diesem Anschreiben zur Auskunft zu entnehmen ist, handelt es sich bei dem beigeschlossenen Schreiben um die Auskunft nach Art. 15 DSGVO, wonach alle beim XXXX gespeicherten Daten aufgelistet sind.
Der Auskunft selbst ist zu entnehmen, dass die XXXX GmbH ein Mitglied der XXXX Gruppe ist und dass die vorliegende Auskunft Daten umfasst, die über den Zweitbeschwerdeführer beim XXXX und der XXXX GmbH zum Zweck der Auskunftserteilung gespeichert sind.
Auch wenn das Begleitschreiben nicht Gegenstand des Verfahrens ist, sei am Rande bemerkt, dass diese Vorgehensweise durchaus dazu geeignet ist, Verwirrung bei betroffenen Personen, ungeachtet deren beruflicher Stellung und Ausbildungsstand zu stiften.
Innerhalb der Auskunft wird, wie der Zweitbeschwerdeführer während des gesamten Administrativverfahren moniert, keine weitere Differenzierung getroffen, aus der erkenntlich ist, welche Daten von welchem Verantwortlichen zu welchem Zweck verarbeitet werden. Ebenso findet sich kein Hinweis darauf, dass die die Erstbeschwerdeführerin Auftragsverarbeiterin des XXXX sei.
Gemäß Art. 4 Abs. 7 sind für die Rolle des Verantwortlichen im vorliegenden Sachverhalt folgende drei Merkmale relevant:
1. natürliche oder juristische Person,
2. die allein oder gemeinsam mit anderen
3. über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Sowohl die XXXX GmbH als auch der XXXX sind juristische Personen die eigenen Angaben zu Folge getrennte Dateisysteme führen und über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Dies ergibt sich schon aus dem Umstand, dass im Begleitschreiben zur Auskunft darauf hingewiesen wird, dass dieses Schreiben im Auftrag dieser beiden juristischen Personen unterfertigt worden ist sowie aus dem Faktum, dass in der Auskunft selbst darauf hingewiesen wird, dass Daten beauskunftet werden, die sowohl beim XXXX als auch bei der XXXX GmbH in den Anwendungen gespeichert sind. Darüber hinaus, führt die Erstbeschwerdeführerin in ihrer Stellungnahme vom 07.11.2018 (Ad. 2.7. Unvollständige Auskunft über Übermittlungen (insbesondere an Drittländer), Seite 6) aus, dass Auskünfte nach Art. 15 DSGVO aus allen Dateisystemen erteilt werden auch wenn sich der Betroffene nur an einen der Verantwortlichen in der XXXX Gruppe gewendet hat.
Insoweit irrt die belangte Behörde daher, wenn sie in dem in Beschwerde gezogenen Bescheid zu diesem Punkt ausführt, dass dem Zweitbeschwerdeführer die gewünschte Auskunft erteilt worden sei, weil der Zweitbeschwerdeführer sein Auskunftsersuchen nachweislich an die XXXX GmbH als Verantwortliche gerichtet hat, und es ihm eben nicht möglich ist, zu erkennen welche Daten von adressierten Verantwortlichen verarbeitet werden. Daran vermag auch der Umstand nichts zu ändern, dass, wie der Stellungnahme der Erstbeschwerdeführerin vom 07.11.18 zu entnehmen ist, die Auskunft über alle in der Gruppe vorhandenen Dateisysteme erfolgt, auch wenn sich ein Betroffener in Unkenntnis der Struktur der XXXX Gruppe nur an einen Verantwortlichen in der Gruppe wendet. Selbst wenn der zur Entscheidung berufene Senat davon ausgeht, dass die Erstbeschwerdeführerin mit dieser Vorgehensweise der betroffenen Person im Zuge der Auskunft nach Art. 15 DSGVO entgegenkommen möchte und den Servicegedanken in den Vordergrund stellt, ist auf den Zweck und den Wortlaut der Bestimmung abzustellen, wonach sich das Recht zur Auskunft ausdrücklich gegen den jeweiligen Verantwortlichen richtet, um einer betroffenen Person die Möglichkeit zu verschaffen, sich der Verarbeitung von personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Eine undifferenzierte Auskunft, aller in den Datensystemen der verschiedenen Verantwortlichen verwendeten Daten der betroffenen Person in cumulo erschwert bzw. verunmöglicht nach Ansicht des zur Entscheidung berufenen Senats zumindest die Überprüfung der Rechtmäßigkeit der Verarbeitung und entspricht weder dem in Art. 5 Abs. 1 lit. a DSGVO normierten und der gesamten DSGVO zugrunde gelegten Transparenzgebot noch den dem Kap. III in Art. 12 Abs 1 DSGVO vorangestellten Kriterien für die Übermittlung von Mitteilungen nach Art. 15 DSGVO, welche in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen hat. Hätte die Erstbeschwerdeführerin die Auskunft so ausgestaltet, dass klar ist welche Verarbeitungen von welchem Verantwortlichen in welchem Dateisystem getätigt werden, so wäre der Ansicht der belangten Behörde in diesem Punkt zu folgen gewesen.
3.3.2. Unvollständige Auskunft über die Verarbeitungszwecke
Gemäß Art 15 Abs 1 lit a DSGVO sind die Verarbeitungszwecke im Sinne des Art. 5 Abs1 lit b DSGVO zu beauskunften. Gemäß der in Art. 5 DSGVO geregelten Grundsätze für die Verarbeitung müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Diese Zwecke sind der betroffenen Person vom Verantwortlichen bekanntzugeben. Eindeutigkeit von Verarb
