rating service  security service privacy service
 
2007/03/06 Bei unordentlicher Datenverarbeitung kein Anspruch auf Datenschutz?
Eigentümliche DSK-Entscheidung zum Auskunftsrecht - Wieweit muss ein Auftraggeber seine Datenanwendung so gestalten, dass er dem Auskunftsrecht der Betroffenen auch nachkommen kann? - "Kreditinformationsdienst" versucht durch neue Tricks Datenschutzgesetz zu umgehen - Eigentümliche Entscheidung der DSK lässt viele Fragen offen.

Mit Bescheid 121.220/0001-DSK/2007 vom 2.2.2007 hat sich die Datenschutzkommission der Beschwerde einer Betroffenen gegen einen "Kreditinformationsdienst" gewidmet, die sich in ihrem Auskunftsrecht bezüglich der Verwendung personenbezogenen Daten verletzt fühlte. Die Fallkonstellation hierzu ist insoferne von Interesse, als sich der Beschwerdegegner (der "Kreditinformationsdienst") auf den Standpunkt stellte, er könne zwar nicht ausschließen, Daten der Betroffenen verwendet zu haben, könne aber aufgrund der Beschaffenheit seiner Datenanwendung dies nicht nachvollziehen und daher dem Auskunftsrecht nicht nachkommen. Die DSK gab der Beschwerde nur teilweise statt, viele Fragen bleiben offen.


Ausgangslage

Beschwerdeführerin ist eine Sozialversicherungsanstalt, welche der Auffassung ist, der Beschwerdegegner, ein privater "Kreditinformationsdienst", habe auf sie bezogene Daten verarbeitet, ohne dabei seiner Informationspflicht nachgekommen zu sein. Der betreffende "Kreditinformationsdienst" betreibt eine Datenbank, in der zahlreiche Personen in Bezug auf ihre Bonität bewertet werden, unter anderem mit Eintragungen über gegen diese geführte Zwangsvollstreckungen (Exekutionen), teilweise offensichtlich auch unter Nennung des betreibenden Gläubigers. Die Herkunft dieser Daten ist zumindest aufklärungsbedürftig, die Verwendung dürfte jedenfalls in den meisten Fällen rechtswidrig sein. Gegen diesen "Kreditinformationsdienst" laufen auch schon eine Reihe von Verfahren.

Auskünfte nach dem DSG 2000 können grundsätzlich von jedermann über in der Datenbank gespeicherte Personen eingeholt werden, sofern der betreibende Gläubiger namentlich genannt wird, bekommt der Anfragende auch die Information, wer Exekution geführt hat.

Von Versicherten wurde die Sozialversicherungsanstalt darauf aufmerksam gemacht, dass im Rahmen dieses Auskunftsdienstes bonitätsrelevante Daten, welche auch den Sozialversicherungsträger betreffen, verwendet würden, der entsprechende "Kreditinformationsdienst" wirbt sogar explizit damit, auch über Exekutionen von Krankenkassen, die letztendlich einen Konkurs ankündigen würden, zu informieren.

Auf ein entsprechendes Auskunftsbegehren erging seitens der Beschwerdegegnerin die Auskunft, man verwende keine Daten des Sozialversicherungsträgers, diesem komme daher "auch gar keine Parteienstellung in einem Auskunftsverfahren zu." Die Beschwerdeführerin befasste mit diesem Fall die Datenschutzkommission.


Die Entscheidung

In einer Stellungnahme an die DSK bleibt der Beschwerdegegner zunächst bei der Darstellung, es würden keinerlei Daten der Beschwerdegegnerin verarbeitet, im übrigen könne die Datenbank des "Kreditinformationsdienst" nur nach dem Kriterium des betroffenen Schuldners und nicht nach jenem eines betreibenden Gläubigers durchsucht werden. Im übrigen interessiere sich auch keiner seiner Kunden dafür, welcher genaue Sozialversicherungsträger Exekution geführt habe, wesentlich sei nur die Tatsache der Exekution durch einen Sozialversicherungsträger. "In den meisten seiner Daten" sei der betreibende Sozialversicherungsträger auch nicht namentlich nicht genannt sondern lediglich durch das Kürzel SVA bezeichnet.

Letztendlich stellte sich der Beschwerdegegner auf den Standpunkt, aufgrund der Organisation seiner Datenverarbeitung- Suche nur nach dem Kriterium des Schuldners möglich- müsste er sämtliche Datensätze überprüfen, um dem Auskunftsverlangen der Beschwerdeführerin nachkommen zu können, was eine Schikane darstelle. Insoferne solle die Beschwerdeführerin gefälligst im Rahmen ihres Auskunftsbegehrens die Schuldner nennen, in deren Bezug eine Verarbeitung ihrer Daten vermutet werde.

In ihren Sachverhaltsfeststellungen kam die DSK zum Erkenntnis, dass in den von der Beschwerdeführerin namhaft gemachten Fällen keine Verarbeitung ihrer Daten festgestellt werden könne, da in diesem Fall nur die Bezeichnung "Sozialversicherung" verwendet worden sei und nicht die Bezeichnung des konkreten Trägers.

Im Rahmen der rechtlichen Würdigung wurde zunächst festgehalten, dass - selbstverständlich- ein Auskunftsrecht auch bestehe, wenn keine Daten verwendet würden ("Recht auf Negativauskunft"), die diesbezügliche Rechtsansicht der Beschwerdegegnerin demnach unrichtig sei.

In Bezug auf die konkret namhaft gemachten Fälle wurde seitens der DSK dem Wirtschaftsauskunftsdienst bezüglich der erteilten Negativauskunft allerdings Recht gegeben, da eben nur die Bezeichnung "Sozialversicherung" und nicht die konkrete Trägerbezeichnung verarbeitet worden sei.

Allerdings wurde mit Bescheid dem "Beschwerdeführer" (sic!, gemeint ist natürlich der Beschwerdegegner ) auch aufgetragen, seine Auskunft zu ergänzen, da nicht erklärt worden sei, ob die erteilte Negativauskunft sich auf die gesamte Datenbank beziehe, somit auszuschließen sei, dass Daten der Beschwerdeführerin verarbeitet würden bzw. sei in der Auskunft auch keine Begründung geliefert worden, warum der Beschwerdegegner seiner Auskunftsverpflichtung nicht nachkommen könne.


Ansicht der DSK erstaunlich und gegen Betroffeneninteressen

Erstaunlich ist die Rechtsansicht der DSK zumindest dort, wo sich die Entscheidung auf die konkret durch die Beschwerdeführerin namhaft gemachten Fälle bezieht und dort die Negativauskunft für rechtens gehalten wird.

Es mag zutreffen, dass zwar konkret nur die Bezeichnung  "Sozialversicherung" und nicht die Bezeichnung des konkreten Trägers verwendet worden ist. Allerdings sei der DSK in Erinnerung gerufen, dass personenbezogene Daten auch dann vorliegen, wenn der Betroffene aufgrund der Verarbeitung "bestimmbar" ist.

Aufgrund der Organisation des österreichischen Sozialversicherungswesens lässt sich mit der Information der Berufsgruppe des betroffenen Schuldners bzw. dessen Arbeitsort leicht ermitteln, welche konkrete Sozialversicherungsanstalt für den Betroffenen zuständig ist. Demnach handelt es sich um keinerlei Anonymisierung des betreibenden Gläubigers, wenn nur das Kürzel "Sozialversicherung" verwendet wird.

Die Argumentationslinie, die konkrete Sozialversicherungsanstalt sei nicht ermittelbar, lässt sich darüberhinaus ohnehin nur aufgrund der rechtlichen Selbständigkeit der einzelnen Träger aufrechterhalten, ist somit auch juristischer Formalismus.

Noch interessanter ist allerdings die Argumentationslinie des "Kreditinformationsdienstes".


Argumentation des "Kreditinformationsdienstes" ignorant und rechtlich nicht haltbar

Es soll hier gar nicht thematisiert werden, wie der entsprechende Auskunftsdienst eigentlich zu den verarbeiteten Daten gelangt ist, auch nicht, warum dieser seiner Informationspflicht gegenüber der Betroffenen nicht nachkommt.

Die Argumente, warum man der Auskunftsverpflichtung nicht nachkommen könne, sind jedenfalls mehr als fragwürdig. Dass sich eine abfragende Person meist nicht dafür interessieren mag, ob gerade die konkrete Sozialversicherungsanstalt exekutiert hat, mag richtig sein, entbehrt jedoch jeder rechtlichen Relevanz, da der Abfrager dennoch in Besitz des entsprechenden Datums gelangen kann.

Auch die Tatsache, dass  es nicht möglich ist, in der Datenbank des Auskunftsdienstes nach einem betreibenden Gläubiger gezielt zu suchen, ist unwesentlich. Wesentlich ist lediglich, dass die entsprechenden Daten verarbeitet werden und ein entsprechender Abfrager- auch wenn er nicht gezielt nach der Beschwerdeführerin sucht- zu deren personenbezogenen Daten gelangen kann.

Letztlich nur mehr als "chuzpe" bezeichnet werden kann aber die Auffassung des "Kreditinformationsdienstes", es wäre schikanös, dass er sämtlich Daten überprüfen solle, die Auskunftsbegehrende solle konkrete Schuldner nennen.

Dabei handelt es sich letztendlich um eine Umkehrung der Rolle von Auskunftsbegehrendem und Auskunftspflichtigen. Es sind zwar Mitwirkungspflichten des Betroffenen bei der Auskunftserteilung vorgesehen, letztlich ist es aber keineswegs Aufgabe desjenigen, dessen Daten verarbeitet werden, dafür zu sorgen, dass der Auskunftspflichtige seiner Verpflichtung auch nachkommen kann. Es ist auch gar nicht ersichtlich, wie die beschwerende Versicherungsanstalt so am Verfahren mitwirken sollte, dass tatsächlich eine vernünftige Auskunftserteilung zustandekommt. Soll diese vielleicht sämtliche ihrer Versichertendaten mit den Schuldnerdaten des Auskunftsdienstes abgleichen, um festzustellen, ob sich bei ihr Versicherte, die exekutiert wurden, in der Datei des Beschwerdegegners wiederfinden bzw. dazu ihre Daten verarbeitet wurden? Das würde wohl die Mitwirkungspflicht des Betroffenen mehr als überstrapazieren.

Folgt man der Darstellung des Beschwerdegegners selbst, ergibt sich folgendes Bild: Dieser verarbeitet offenkundig massenweise personenbezogene Daten, ohne dass offenbar auch nur für ihn selbst nachvollziehbar/überprüfbar ist, wessen Daten eigentlich verarbeitet werden. Daher ist es für diesen auch nicht möglich, seinen gesetzlichen Verpflichtungen nachzukommen- sei es Auskunft oder Information. Verarbeitung nach Treu und Glauben?


Datenverwendung rechtswidrig

Als Betroffener braucht es mich nun aber gar nicht interessieren, ob der Auftraggeber "alle Dateien durchforsten muss", um seinen gesetzlichen Verpflichtungen nachzukommen, der Gesetzgeber hat entsprechende Ausnahmen vom Auskunftsrecht auch nicht vorgesehen.

Falls der betroffene "Kreditinformationsdienst" seinen gesetzlichen Verpflichtungen aufgrund der Art, wie er verarbeitet, nicht nachkommen kann, ergibt sich somit nur eine Konsequenz: Die Datenverwendung ist - zumindest in der stattfindenden Form - nicht rechtmäßig.

Man darf demnach gespannt sein, ob und in welcher Form der Beschwerdegegner der Verpflichtung, die ihm die DSK auferlegt hat, nachkommt. Das letzte Wort ist hoffentlich noch nicht gesprochen.

mehr --> Wirtschaftsauskunftsdienste - ARGE DATEN erzielt wichtigen Erf...
mehr --> Auskunfts- und Inkassodienste, bei denen Auskünfte eingeholt werden sollten
mehr --> Weitere Artikel zum Thema "Bonität"

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2022 Information gemäß DSGVOwebmaster