TE Bvwg Erkenntnis 2020/10/5 W256 2224648-1

W256 2224648-1/16E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende, der fachkundigen Laienrichterin Dr. Claudia Rosenmayr-Klemenz und dem fachkundigen Laienrichter Mag. Matthias Schachner als Beisitzer über die Beschwerde des XXXX , vertreten durch Brand Rechtsanwälte GmbH in 1020 Wien, gegen den Bescheid der Datenschutzbehörde vom 3. September 2019, GZ: DSB- XXXX zu Recht erkannt:

A)       Die Beschwerde wird als unbegründet abgewiesen.

B)       Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.

Entscheidungsgründe:

I.       Verfahrensgang:

In seiner an die Datenschutzbehörde gerichteten Beschwerde vom 24. September 2018 behauptete der Beschwerdeführer eine Verletzung in seinem Recht auf Löschung gemäß Art 17 DSGVO durch die XXXX (im Folgenden: mitbeteiligte Partei). Er habe am 7. August 2018 ein – der Beschwerde beiliegendes – Löschungsbegehren mittels E-Mail an die mitbeteiligte Partei gerichtet. Mit – ebenfalls beiliegendem – Schreiben vom 24. September 2018 habe die mitbeteiligte Partei dem Beschwerdeführer mitgeteilt, dass seinem Löschungsbegehren nicht entsprochen werden könne. Der Beschwerdeführer halte diese Antwort u.a. unter Verweis auf sein E-Mail vom 7. August 2018 mangelhaft.

Über Aufforderung der belangten Behörde teilte die mitbeteiligte Partei in ihrer Stellungnahme vom 23. Oktober 2018 der belangten Behörde mit, dass ein Eintrag in der Warnliste bestehe. Rechtsgrundlage für die Zulässigkeit der Warnliste sei § 39 BWG über die Sorgfaltspflicht. Demnach seien Kreditinstitute verpflichtet, geeignete Kontrollverfahren zur Erfassung und Beurteilung bankgeschäftlicher Risiken einzurichten. Dies gelte insbesondere auch für Risiken, die der Bank durch die Gewährung von Krediten und der Führung von Konten entstehe. Das Risiko einer Kreditgewährung könne nur dann sorgfältig beurteilt werden, wenn man die Verpflichtung des Kunden auch gegenüber Dritten, insbesondere gegenüber anderen Banken, aber auch eigene Erfahrungen berücksichtigen könne. Würden diese Aspekte außer Acht gelassen werden, wäre dies ein Verstoß gegen die Verpflichtung der Bank, bei der Verwaltung der ihr anvertrauten Gelder Risiken weitgehend zu vermeiden. Damit seien auch die berechtigten Interessen des Art 6 Abs 1 lit f DSGVO geschaffen worden, die auch nach Ansicht der Datenschutzkommission in ihrer Entscheidung vom 21. September 2001, K095.014/016-DSK/2001 betreffend die Warnliste überwiegen würden. Die Löschung der Daten aus der Warnliste erfolge drei Jahre nach vollständiger Bezahlung der Schuld bzw. in allen anderen Fällen sieben Jahre nach Tilgung der Schuld. In diesem Fall müsse die mitbeteiligte Partei nach durchgeführter Prüfung leider mitteilen, dass eine Löschung der Daten des Beschwerdeführers aus der Warnliste erst nach 7 Jahren ab teilweiser Bezahlung der Schuld – sohin am 17. März 2025 – erfolgen könne.

Dazu führte der Beschwerdeführer in seiner E-Mail vom 16. November 2018 aus, nach der Rechtsprechung der Datenschutzkommission sei im Falle eines Löschungsbegehrens eine Einzelfallprüfung vorzunehmen. Der Verantwortliche habe dabei den Löschungsanspruch des Betroffenen im Einzelnen zu prüfen und die Löschung zu verfügen bzw. der betroffenen Person begründet mitzuteilen, warum die Löschung zu diesem Zeitpunkt nicht vorgenommen werde. Eine solche Einzelfallprüfung sei im vorliegenden Fall nicht erfolgt, sondern habe sich die mitbeteiligte Partei pauschal auf die Aufbewahrungsfristen von sieben Jahren berufen. Im Übrigen seien die Daten geeignet, den Beschwerdeführer in seinem beruflichen Fortkommen zu behindern. Auch seien sie veraltet, weil sich seine wirtschaftlichen Verhältnisse geändert hätten. Der Beschwerdeführer sei seit 2016 erfolgreich unternehmerisch tätig, weshalb aus den Daten keine wahren Informationen zur Beurteilung der Kreditwürdigkeit gezogen werden könnten. Letztlich würden die Daten auch unter Verletzung der Informationspflichten verarbeitet werden. Schon nach der alten Rechtslage sei ein Betroffener über eine beabsichtigte Aufnahme in die Warnliste entsprechend zu informieren gewesen. Eine besondere Information des Beschwerdeführers sei aber unterblieben, weshalb schon aus diesem Grund die Verarbeitung unrechtmäßig sei.

Mit E-Mail vom 25. Februar 2019 wurde vom Beschwerdeführer eine an ihn gerichtete Auskunft des Kreditschutzverbandes vom 25. Februar 2019, welche u.a. die Eintragung der mitbeteiligten Partei in der Warnliste aufzeige, vorgelegt.

Mit dem angefochtenen Bescheid wurde die Beschwerde des Beschwerdeführers als unbegründet abgewiesen. Begründend führte die belangte Behörde aus, dass es sich – wie dem Bescheid der Datenschutzkommission vom 23. November 2001, K095.014/021-DSB/2019 und auch dem Bescheid der Datenschutzbehörde vom 19. Februar 2019, D123.159/0002-DSB/2019 zu entnehmen sei – bei der gegenständlichen Datenbank um eine zu Zwecken des Gläubigerschutzes und der Risikominimierung geführte Liste handle, aus der die teilnehmenden Banken einen Warnhinweis auf vertragswidriges Kundenverhalten entnehmen könnten. Verfahrensgegenständlich stelle sich die Frage, wie lange Zahlungserfahrungsdaten nach (teilweiser) Begleichung der Forderung noch bei der Beschwerdeführerin gespeichert werden können, ehe sie für die Zwecke der Verarbeitung nicht mehr notwendig seien. Nur wenn die Daten noch bonitätsrelevant seien, bestehe ein Verarbeitungszweck gemäß Art 5 Abs 1 lit b DSGVO. Dazu habe eine Bewertung der berechtigten Interessen der betroffenen Person zu erfolgen und seien diese berechtigten Interessen der mitbeteiligten Partei gegenüberzustellen. Der Beschwerdeführer bringe dazu vor, dass die Daten veraltet seien und ihn am beruflichen Fortkommen hindern würden. Demgegenüber stünde das Interesse der mitbeteiligten Partei, die gegenständliche Eintragung in ihrer Datenbank zu Zwecken des Gläubigerschutzes und der Risikominimierung bei Kreditvergabe aufrechtzuerhalten. Der Datenbank der mitbeteiligten Partei sei zu entnehmen, dass die in Rede stehenden Forderungen gegen den Beschwerdeführer am 16. März 2018 teilweise getilgt worden seien. Die Datenschutzbehörde habe bereits festgehalten, dass auch eine vergangene Zahlungsunfähigkeit eine wesentliche Grundlage für die Bonitätsbeurteilung darstellen könne, weil dadurch der Schluss auf eine zukünftige Zahlungsunfähigkeit gezogen werden könne. Das treffe auch auf die vorliegenden Zahlungserfahrungsdaten des Beschwerdeführers zu. Gleichwohl es sich bei der damaligen Forderung in Höhe von 2.645 EUR um keine allzu hohe Schuld handle und eine Rückzahlung von 70 % als vergleichsweise hoch einzustufen sei, sei zu berücksichtigen, dass diese zumindest seit Mai 2012 bestehende Forderung dennoch nur quotenmäßig im März 2018 zurückbezahlt worden sei. Zwischen der quotenmäßigen Rückzahlung der Forderung und dem Antrag auf Löschung im August 2018 liege ein Zeitraum von weniger als einem Jahr. Zusätzlich sei zu betonen, dass die Löschung aus der Insolvenzdatei erst im März 2019 [richtig: 2018] erfolgt sei. Dabei sei davon auszugehen, dass der Beschwerdeführer die vernünftige Erwartungshaltung haben hätte können, dass vor dem Hintergrund einer bloß quotenmäßigen Erfüllung der Forderung seine Daten jedenfalls für einen Zeitraum von länger als sechs Monaten ab dieser Erfüllung weiterhin in der Warnliste eingetragen bleiben würden. Die belangte Behörde sei daher der Ansicht, dass dem Gläubigerschutz und der Risikominimierung bei Kreditvergabe und somit den berechtigten Interessen der mitbeteiligten Partei sowie Dritter derzeit noch ein höherer Stellenwert einzuräumen sei, als den dargelegten Interessen des Beschwerdeführers. Die Eintragung in der Warnliste sei daher notwendig und rechtmäßig.

Gegen diesen Bescheid richtet sich die vorliegende Beschwerde. In der Warnliste der Banken bestehe nach wie vor die Eintragung der mitbeteiligten Partei zum Beschwerdeführer „Teilweise Tilgung -2018/03/16“. Aufgrund dieser Eintragung seien vom Beschwerdeführer gestellte Finanzierungsanträge bei seiner Hausbank nicht positiv erledigt worden. Eintragungen in Bankenwarnlisten würden dazu dienen, das potentielle Ausfallsrisiko von Bankkunden beurteilen zu können. Gemäß Art 5 Abs 1lit d DSGVO müssen personenbezogene Daten aktuell sein. Die Eintragung diene dazu, seine persönliche Kreditwürdigkeit zu bewerten. Seine wirtschaftlichen Verhältnisse hätten sich jedoch grundlegend geändert und sei dies der mitbeteiligten Partei, deren Kunde der Beschwerdeführer sei, hinreichend bekannt. Insofern sei die Eintragung sachlich unrichtig. Um die Kreditwürdigkeit des Beschwerdeführers beurteilen zu können, seien vielmehr auch die aktuellen wirtschaftlichen Gegebenheiten des Beschwerdeführers zu berücksichtigten. Davon abgesehen erfolge die Verarbeitung seiner Daten auch im Sinne des Art 5 Abs 1 lit a DSGVO nicht rechtmäßig, weil der Beschwerdeführer über die beabsichtigte Aufnahme nicht besonders bzw. umfassend in Kenntnis gesetzt worden sei. Schon nach der alten Rechtslage sei die mitbeteiligte Partei dazu jedoch verpflichtet gewesen. Im Übrigen sei die von der belangten Behörde vorgenommene Interessensabwägung auch nicht richtig erfolgt. Aufgrund des Alters, der Höhe und der Löschung seiner Daten aus der Ediktsdatei habe der Beschwerdeführer nicht erwarten können, dass die in Rede stehende Eintragung aufrecht bleibe. Die Interessen der mitbeteiligten Partei in Bezug auf den Gläubigerschutz seien demgegenüber als gering anzusehen. Mit Beschluss des Bezirksgerichtes vom 20. März 2018, sohin vor 19 Monaten, sei überdies die Löschung der Eintragung aus der Ediktsdatei veranlasst worden. Die Eintragung sei daher als unverhältnismäßig anzusehen.

Die belangte Behörde legte die Beschwerde samt dem Verfahrensakt dem Bundesverwaltungsgericht am 22. Oktober 2019 vor und erstattete eine Gegenschrift.

Mit Schriftsatz vom 14. Juli 2020 stellte der Beschwerdeführer einen Fristsetzungsantrag wegen Verletzung der Entscheidungspflicht an den Verwaltungsgerichtshof.

Mit verfahrensleitender Anordnung des Verwaltungsgerichtshofes vom 22. Juli 2020 wurde dem Bundesverwaltungsgericht aufgetragen, binnen drei Monaten eine Entscheidung zu erlassen.

Über entsprechende Aufforderung des Bundesverwaltungsgerichts teilte die mitbeteiligte Partei dem Bundesverwaltungsgericht mit Schreiben vom 9. September 2020 mit, dass sie grundsätzlich Betroffene vorab über die etwaige Eintragung in die Warnliste der Banken informiere. Beispielhaft werde dazu eine Kreditkündigung aus dem Jahr 2008, welche dem Beschwerdeführer zu einem anderen Geschäft im Form eines Standardschreibens übermittelt worden sei, vorgelegt. Auch werde ein E-Mail des Beschwerdeführers an einen Kundenbetreuer der mitbeteiligten Partei vom 12. April 2010 vorgelegt. Daraus gehe eindeutig hervor, dass dem Beschwerdeführer eine Eintragung in die Warnliste im Falle der Nichtbezahlung einer Forderung vorab bewusst gewesen sei.

Dazu führte der Beschwerdeführer in seiner Stellungnahme vom 16. September 2020 aus, die mitbeteiligte Partei habe den Beschwerdeführer über die gegenständliche Eintragung in die Warnliste nicht informiert. Dies, insbesondere auch die Speicherdauer dieses Eintrags, sei dem Beschwerdeführer auch nicht bewusst gewesen. Die von der mitbeteiligten Partei vorgelegten dem Beschwerdeführer übermittelten Schreiben würden eine von der mitbeteiligten Partei dem Beschwerdeführer angedrohte Kreditkündigung betreffen. Hintergrund dieser Schreiben sei, dass das Konto des Beschwerdeführers einen offenen Saldo aufgewiesen habe, weshalb ihm die mitbeteiligte Partei das vorgelegte Schreiben betreffend eine Kreditkündigung übermittelt habe. Mit der mitbeteiligten Partei sei gemäß dem ebenfalls vorgelegten E-Mail in diesem Fall vereinbart worden, dass keine Eintragung in die Warnliste erfolgen werde. Verfahrensgegenständlich sei nun aber ohnedies allein die Eintragung in die Warnliste aufgrund seines Insolvenzverfahrens, wobei anzumerken sei, dass selbst in den (nicht verfahrensrelevanten) Schreiben der mitbeteiligten Partei betreffend eine Kreditkündigung keine Informationen über die Speicherdauer von Eintragungen erteilt worden seien. Eine ausreichende Information sei sohin auch in diesen Schreiben nicht erteilt worden.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Die mitbeteiligte Partei betreibt als Bankinstitut gemeinsam mit anderen Bankinstituten eine Datenbank, in der u.a. Zahlungserfahrungsdaten von natürlichen Personen gespeichert werden („Warnliste der Banken“). Die Warnliste der Banken dient dazu, das potentielle Ausfallsrisiko von Kunden beurteilen zu können.

Mit Schreiben der mitbeteiligten Partei vom 17. Dezember 2008 wurde dem Beschwerdeführer in einer – hier nicht verfahrensgegenständlichen – Kreditangelegenheit u.a. mitgeteilt, dass ein ihm eingeräumter Kredit gekündigt und insofern der noch offene Betrag damit fällig werde. Abschließend wurde der Beschwerdeführer in diesem Schreiben darauf aufmerksam gemacht, dass im Falle einer nicht fristgerechten Bezahlung eine Eintragung in die Warnliste der Banken erfolgen müsse. Dabei handle es sich um eine zu Zwecken des Gläubigerschutzes und der Risikominimierung geführte Liste, aus der die teilnehmenden Kreditinstitute einen Warnhinweis auf vertragswidriges Kundenverhalten entnehmen könnten.

Mit E-Mail des Beschwerdeführers vom 12. April 2010 an einen Kundenbetreuer der mitbeteiligten Partei verweist dieser in Zusammenhang mit einer von der mitbeteiligten Partei am 6. April 2010 fällig gestellten Forderung u.a. auf seine schlechte wirtschaftliche Situation und den Umstand, dass er durch etwaige Eintragungen in die „Bonitätsdatenliste“ weiter eingeschränkt sei.

Die mitbeteiligte Partei hat – laut den vom Beschwerdeführer vorgelegten Auskünften des Kreditschutzverbandes – aufgrund einer offenen Forderung aus einer Girokontoverbindung am 22. Juli 2010 einen Eintrag des Beschwerdeführers in der Warnliste der Banken veranlasst. Dieser Eintrag weist aktuell den Status „Teilweise Tilgung – 2018-03-16“ auf.

Gegen den Beschwerdeführer wurde aufgrund diverser gegen ihn gerichteter Forderungen, darunter auch die oben genannte Forderung der mitbeteiligten Partei aus der Girokontoverbindung in Höhe von EUR 2.645 am 9. August 2010 ein Schuldenregulierungsverfahren eröffnet.

Der im Zuge dessen festgelegte Zahlungsplan sah eine Rückzahlungsquote von 70 % vor, welche vom Beschwerdeführer im März 2018 erfüllt wurde.

In weiterer Folge bewilligte das Bezirksgericht XXXX mit Beschluss vom 4. Mai 2018, XXXX die vom Beschwerdeführer begehrte Löschung seiner Eintragungen in der Insolvenzdatei gemäß § 256 Abs. 3 IO.

Mit E-Mail vom 7. August 2018 richtete der Beschwerdeführer folgendes (auszugsweise wiedergegebenes Schreiben an die mitbeteiligte Partei:

„[…]

Sehr geehrte Damen und Herren,

Sie haben im Juli 2010 ohne mich vorher zu informieren (siehe Bescheid der DSK) einen Eintrag in die Warnliste der österreichischen Banken verfügt. Mittlerweile habe ich den Zahlungsplan ordnungsgemäß erfüllt und wurde die Ediktsdatei am 4. Mai von Gerichts wegen per Bescheid gelöscht.

Nach Auskunft des [..] sind Sie jedoch die einzige Bank, die keine Löschung aus der Warnliste getätigt hat, obwohl Sie per Bescheid der DSK dazu verpflichtet wären, die Daten regelmäßig zu prüfen.

Ich ersuche Sie daher den Eintrag aus der Warnliste zu löschen, da dies für mich in meiner derzeitigen Situation als Unternehmer wirtschaftlich sehr einschränkend wirkt, [..].“

Daraufhin teilte die mitbeteiligte Partei dem Beschwerdeführer mit Schreiben vom 19. September 2018 folgendes (auszugsweise wiedergegeben) mit:

„[..]

Bezugnehmend auf Ihr Löschungsbegehren dürfen wir folgendes mitteilen:

Hinsichtlich der von Ihnen ersuchten Löschung erlauben wir darauf hinzuweisen, dass die Rechtsgrundlage für die Zulässigkeit der Warnliste die Bestimmung des § 39 BWG über die Sorgfaltspflicht ist. Die Kreditinstitute sind aufgrund des BWG verpflichtet, geeignete Kontrollverfahren zur Erfassung und Beurteilung bankgeschäftlicher Risiken einzurichten. Dies gilt insbesondere auch für die Risiken, die der Bank durch die Gewährung von Krediten und der Führung von Konten entstehen. Das Risiko einer Kreditgewährung oder Kontoeröffnung kann nur dann hinreichend beurteilt werden, wenn man die Verpflichtung eines Kunden auch gegenüber Dritten, insbesondere anderer Banken, aber auch eigene Erfahrungen gebührend berücksichtigt. Würden diese Aspekte außer Acht gelassen werden, wäre dies ein Verstoß der Bank gegen ihre Verpflichtung, bei der Verwaltung der ihr anvertrauten Gelder Risiken weitgehend zu vermeiden. Damit sind auch die berechtigten Interessen des Art 6 Abs 1 lit f DSGVO (vormals § 8 Abs 1 Z 4 DSG 2000) geschaffen worden, die auch nach Ansicht Datenschutzkommission betreffend die Warnliste (Bescheid der DSK vom 21.9.2001, GZ K095.014/016-DSK/2001) überwiegen.

Das Vorliegen eines überwiegenden berechtigten Interesses hat wiederum zur Folge, dass nicht nur keine Zustimmung des Kunden für die Datenübermittlung erforderlich ist, sondern diesem auch keine Widerrufsmöglichkeit offensteht […]. Darüber hinaus erlauben wir uns darauf hinzuweisen, dass auch laut OGH-Entscheidung vom 19.11.2002, GZ 4 Ob 179/02f, die Zustimmung in einem Teil der in Z 26 der AGB (alt) angeführten Fälle von vornherein entbehrlich ist, weil auch dann keine Verletzung schutzwürdiger Geheimhaltungsinteressen vorliegt, wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung der Daten erfordern (Art 6 Abs. 1 lit f DSGVO). Daher ist eine Zustimmung des Bankkunden für die Übermittlung zB. an die Warnliste entbehrlich und somit auch keiner Widerrufsmöglichkeit zugänglich [..].

Weiters halten wir fest, dass z.B. ein Warnhinweis nicht dem Zweck dient, die Eröffnung eines Kontos für einen bestimmten Kunden oder die Gewährung eines bestimmten Kredites zu verhindern. Er hat vielmehr die Funktion, ein bestimmtes – aus einem früheren Verhalten des Kunden ableitbares – Risiko aufzuzeigen und der Bank die Möglichkeit zu geben, im Rahmen der Geschäftsverbindung mit diesem Kunden entsprechende Vorkehrungen zu treffen. Wenn ein bestimmtes Geschäft mit einem Kunden im Hinblick auf einen Eintrag in die Warnliste abgelehnt wird, so deshalb, weil dieses Geschäft aufgrund der notwendigen Risikobeurteilung, in die auch Negativmeldungen einfließen, bzw. aufgrund der im Rahmen der Sorgfaltspflicht vorzunehmenden Kreditwürdigkeitsbeurteilung nicht eingegangen werden kann.

Die Löschung der Daten aus der Warnliste erfolgt drei Jahre nach vollständiger Bezahlung der Schuld bzw. in allen anderen Fällen sieben Jahre nach Tilgung der Schuld.

Im Übrigen verweisen wir auf § 7 Abs 5 des Verbraucherkreditgesetzes, wonach das Widerspruchsrecht bereits nach der alten Rechtslage gemäß § 28 Abs. 2 DSG 2000 [..] nicht bei der Eintragung in die Warnliste anzuwenden war.

In Ihrem Fall müssen wir nach durchgeführter Prüfung leider mitteilen, dass eine Löschung der Daten zu Ihrer Person aus der Warnliste erst nach 7 Jahren ab teilweise Bezahlung der Schuld – sohin am 17.03.2025 – erfolgen kann.

[…]“

2. Beweiswürdigung:

Diese Feststellungen ergeben sich aus den im Verfahren erstatteten Eingaben und den darin vorgelegten Schreiben. Es bestehen von Seiten des Bundesverwaltungsgerichts keine Bedenken an der Richtigkeit dieser Schreiben und ihres Inhaltes zu zweifeln und wurden solche Zweifel im Übrigen auch von keiner Partei vorgetragen.

3. Rechtliche Beurteilung:

Im vorliegenden Fall wendet sich der Beschwerdeführer dagegen, dass die mitbeteiligte Partei die von ihm begehrte Löschung des von der mitbeteiligten Partei in der Warnliste der Banken veranlassten Eintrags zu seiner Person mit dem (bloßen) Hinweis auf § 39 BWG verweigert hat. Die über ihn verarbeiteten Daten seien zum einen veraltet und damit zur Beurteilung der Bonität gar nicht mehr erforderlich. Zum anderen sei der Beschwerdeführer über die Aufnahme seiner Daten in die Warnliste aber auch nie „besonders“ informiert worden, weshalb deren Verarbeitung generell unrechtmäßig sei.

Art 17 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) räumt der betroffenen Person ein Recht auf Löschung ein, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind (lit. a) oder wenn sie unrechtmäßig verarbeitet wurden (lit. c).

Nach Art 6 Abs. 1 lit c DSGVO ist die Verarbeitung von personenbezogenen Daten rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, die der Verantwortliche unterliegt.

Nach Art 6 Abs. 1 lit f DSGVO ist die Verarbeitung von personenbezogenen Daten rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Art 6 Abs. 1 lit f DSGVO sieht dementsprechend – wie auch bereits Art. 7 Buchst. f der Richtlinie 95/46 - zwei kumulative Voraussetzungen vor, damit eine Verarbeitung personenbezogener Daten rechtmäßig ist, und zwar zum einen, dass die Verarbeitung personenbezogener Daten zur Verwirklichung des berechtigten Interesses überhaupt erforderlich ist, und zum anderen, dass nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person(en) überwiegen.

Durch die Bestimmung des § 39 Bankwesengesetz, BGBl. Nr. 532/1993 i.d.F. BGBl. I Nr. 36/2018 (BWG) werden Kreditinstituten in Einklang mit der Verordnung (EU) Nr. 575/2013 des europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 ("Kapitaladäquanzverordnung") Sorgfaltsmaßnahmen in Zusammenhang mit der Erfassung, Beurteilung, Steuerung und Überwachung von bankgeschäftlichen Risiken u.a. in Zusammenhang mit der Vergabe von Krediten auch an natürliche Personen auferlegt. Konkret ordnet § 39 Abs. 2 BWG an, dass Kreditinstitute – wie die mitbeteiligte Partei – für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen haben, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind.

Nach Abs. 2b Z 1 dieser Bestimmung haben solche Verfahren gemäß Abs. 2 u.a. insbesondere das Kreditrisiko zu berücksichtigen.

Die auf der Verordnungsermächtigung des § 39 Abs. 4 BWG basierende Verordnung der Finanzmarktaufsichtsbehörde (FMA) über die ordnungsgemäße Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten gemäß § 39 Abs. 2b BWG (Kreditinstitute-Risikomanagementverordnung – KI-RMV) sieht zur Bestimmung des Kreditrisikos in ihrem § 5 Abs. 3 Z 2 vor, dass Kreditinstitute wirksame Systeme für die Erkennung und Verwaltung von Problemkrediten einzurichten haben (siehe dazu auch Kammel in Laurer/M. Schütz/Kammel/Ratka, BWG4 § 39 Rn 28 (Stand 1.5.2018, rdb.at), wonach als Verwaltungsverfahren im Sinne des § 39 Abs. 2 BWG sämtliche Einrichtungen, Verfahren sowie ablauforganisatorische Maßnahmen zu verstehen sind, die die reibungslose Durchführung des bankgeschäftlichen Betriebs sicherstellen, wie etwa auch Informations-, Kommunikations- und Sicherheitssysteme sowie auch Erwägungsgrund 42 der Kapitaladäquanzverordnung, wonach zur Datenverarbeitung im Zusammenhang mit der Vergabe und der Verwaltung von Krediten an Kunden auch die Entwicklung und Validierung von Systemen für das Kreditrisikomanagement und die Kreditrisikomessung gehören. Dies dient nicht nur den legitimen Interessen von Instituten, sondern auch dem Ziel dieser Verordnung, bessere Methoden für Risikomessung und -management anzuwenden und diese Methoden auch im Hinblick auf die vorgeschriebenen Eigenmittel zu nutzen.).

Dabei können sie – wie aus Art 179 Abs. 2 und Art 180 Abs. 2 lit e der die Aufsichtsanforderungen konkret festlegenden Kapitaladäquanzverordnung hervorgeht – sowohl auf externe, interne und zusammengefasste Datenquellen oder auch unter bestimmten Voraussetzungen auf institutsübergreifende in einem Pool zusammengefasste Daten zurückgreifen (siehe dazu auch das Urteil des Europäischen Gerichtshofs, EuGH 23.11.2006, Rs C-238/05 Rz 4, wonach Systeme zum Informationsaustausch zwischen Finanzinstituten über Kreditinformationen die Kenntnisse der Kreditinstitute über potenzielle Kreditnehmer und damit die Vorhersehbarkeit der Rückzahlungswahrscheinlichkeit verbessern, weshalb solche Register grundsätzlich geeignet sind, die Ausfallquote von Kreditnehmern zu verringern und dadurch den Wirkungsgrad des Kreditangebots zu erhöhen).

Vor diesem rechtlichen Hintergrund bestehen im vorliegenden Fall daher keine Bedenken dagegen, dass die mitbeteiligte Partei zur Verarbeitung von bonitätsrelevanten Daten in der Warnliste der Banken grundsätzlich berechtigt ist und ihr die Rechtsordnung diesbezüglich – wenn auch keine rechtliche Verpflichtung, aber doch – ein grundsätzlich gebilligtes berechtigtes Interesse iSd Art 6 Abs. 1 lit f DSGVO einräumt (siehe dazu OGH, 11.10.2010. 6 Ob 112/10d zur Rechtslage vor der DSGVO; siehe auch Ehmann/Selmayr, Datenschutzgrundverordnung zu Art 6, Rn17, wonach eine „freiwillige“ Übermittlung von Daten durch den Verarbeiter, ohne dass dazu eine rechtliche Verpflichtung besteht, die in Abs. 1 lit c normierte Bedingung der Erforderlichkeit nicht erfüllt.).

Der Beschwerdeführer wendet sich aber auch gar nicht dagegen, sondern bringt für den vorliegenden Fall vielmehr vor, die gegenständliche Eintragung und ihre Dauer sei ohne „besondere“ Information des Beschwerdeführers wider Treu und Glauben und damit unzulässig erfolgt.

Wie bereits oben ausgeführt, setzt Art 6 Abs. 1 lit f DSGVO die Vornahme einer Abwägung der berechtigten Interessen an der Verarbeitung mit den Interessen und Grundrechten der betroffenen Person voraus.

Dabei sind nach Erwägungsgrund 47 die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen (vgl. auch Ehmann/Selmayr, Datenschutzgrundverordnung² zu Art. 6, Rn 28).

Eine „besondere“ Information der betroffenen Person durch den Verantwortlichen ist daher – wie vom Beschwerdeführer gefordert – im vorliegenden Fall nicht zwingend erforderlich, sondern genügt es in diesem Fall vielmehr auf die vernünftigen Erwartungen der betroffenen Person in Bezug auf eine Datenverarbeitung und damit auf die Erwartungen einer redlichen, verständigen Person in der Situation der von der Datenverarbeitung betroffenen Person abzustellen.

Wie dem E-Mail des Beschwerdeführers vom 12. April 2010 in Zusammenhalt mit dem an ihn zuvor in einer Kreditkündigungsangelegenheit gerichteten Schreiben der mitbeteiligten Partei vom 17. September 2008 zu entnehmen ist, war der Beschwerdeführer grundsätzlich darüber in Kenntnis, dass die mitbeteiligte Partei im Falle der Nichtbezahlung von Forderungen einen Eintrag in der Warnliste zum Zweck und für die Dauer der Beurteilung der Bonität veranlassen werde.

Bei objektiver („vernünftiger“) Betrachtung musste der Beschwerdeführer daher auch im gegenständlichen Fall davon ausgehen, dass es aufgrund der Nichtbezahlung seiner Forderung zu einem Eintrag in der Warnliste zum Zweck und für die Dauer der Beurteilung seiner Bonität kommen werde.

Da der Beschwerdeführer somit aber mit den Folgen einer Nichtbezahlung auch in dieser Hinsicht – zumindest objektiv betrachtet – rechnen hätte müssen und er diese Folgen insofern für sich vorab auch abwägen hätte können, kann ein gegenüber dem oben dargelegten Interesse der mitbeteiligten Partei überwiegendes Interesse des Beschwerdeführers nicht erkannt werden, sodass gegen die gegenständlich erfolgte Eintragung an sich auch keine Bedenken bestehen.

Sofern der Beschwerdeführer dazu vorbringt, die gegenständliche Eintragung sei nunmehr veraltet und insofern zur Beurteilung der Bonität des Beschwerdeführers gar nicht mehr relevant, ist Folgendes festzuhalten:

Wie festgestellt wurde, verarbeitet die mitbeteiligte Partei in der Warnliste der Banken zum Beschwerdeführer aktuell den Vermerk „Teilweise Tilgung -2018-03-16“ und damit Angaben über das Zahlverhalten des Beschwerdeführers in der Vergangenheit.

Die die Aufsichtsanforderungen an Kreditinstitute regelnde Kapitaladäquanzverordnung legt in ihrem Art 180 Abs. 2 lit e in Bezug auf die Schätzung von Retailforderungen fest, dass unabhängig davon, ob ein Institut für seine Schätzung der Verlustmerkmale externe, interne oder zusammengefasste Datenquellen oder eine Kombination daraus verwendet, der zugrundeliegende historische Beobachtungszeitraum für zumindest eine Datenquelle mindestens fünf Jahre betragen muss. Wurde eine Datenquelle über einen längeren Zeitraum beobachtet und sind die entsprechenden Daten relevant, so wird dieser längere Beobachtungszeitraum herangezogen. Wenn sich neuere Daten besser zur Vorhersage der Verlustquoten eignen, muss ein Institut historischen Daten nicht die gleiche Bedeutung beimessen.

Daraus folgt aber, dass fünf Jahre zurückliegende Zahlungserfahrungsdaten jedenfalls (noch) als bonitätsrelevant angesehen werden können (siehe dazu auch BvwG, 30.10.2019, W258 2216873-1/7E).

Die vom Beschwerdeführer geäußerten Bedenken in Bezug auf die Relevanz von im Zeitpunkt seines Löschungsbegehrens nicht einmal fünf Monate zurückliegenden Zahlungserfahrungsdaten können daher nicht nachempfunden werden.

Daran ändert auch nichts, dass die Daten des Beschwerdeführers mittlerweile aus der Insolvenzdatei gelöscht wurden, weil die Aufnahme von Daten in die Insolvenzdatei nicht – wie im vorliegenden Fall – dem Zweck der Beurteilung der Bonität, sondern gemäß § 255 IO allein zum Zweck der öffentlichen Bekanntmachung (Zustellung) von Schriftstücken und Beschlüssen im Insolvenzverfahren dient. Eine aufgrund eines bereits abgeschlossenen Insolvenzverfahrens erfolgte Löschung aus der Insolvenzdatei nach § 256 IO kann daher keine Aussage über die Relevanz von Daten zum Zweck der Beurteilung der Bonität treffen.

zum Entfall einer mündlichen Verhandlung:

Gemäß § 24 Abs 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Gemäß § 24 Abs 4 VwGVG kann - soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist - das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art 6 Abs 1 EMRK noch Art 47 GRC entgegenstehen.

Im gegenständlichen Fall konnte das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage – geklärt war, weshalb die Durchführung einer öffentlichen mündlichen Verhandlung – wie nicht einmal beantragt – zur weiteren Klärung des Sachverhaltes nicht beitragen und damit unterbleiben konnte.

zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art 133 Abs 4 zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. So fehlt es insgesamt an höchstgerichtlicher Rechtsprechung zur Zulässigkeit der Verarbeitung von (vergangenen) Zahlungserfahrungsdaten einer betroffenen Person durch ein Kreditinstitut in einer institutsübergreifenden Datenbank („Warnliste der Banken“) zum Zweck der Beurteilung der Bonität.

Es war daher spruchgemäß durch Senat zu entscheiden.