Parlamentarische Materialien

4644/AB XXIII. GP

Eingelangt am 29.08.2008
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.

Bundeskanzler

Anfragebeantwortung

Die Abgeordneten zum Nationalrat Mag Maier, Kolleginnen und Kollegen haben am 8. Juni 2008 unter der Nr. 4723/J an mich eine schriftliche parlamentarische Anfrage betreffend „Warndateien (oder so genannte schwarze Listen) in Österreich-Bonität von KundInnen - Datenschutzrechtliche Probleme“ gerichtet.

Diese Anfrage beantworte ich wie folgt:

Zu den Fragen 1 und 2:

Ø Unterliegt die Führung (Datenanwendung) von so genannten Warnlisten (d.s. Da-tenbanken) der Vorabkontrolle (§ 18 Abs. 2 DSG) durch die DSK? Wenn nein, wa-rum nicht? Wenn ja, wie viele sind nach der Vorabkontrolle registriert?

Ø Wie viele und welche derartiger „Warnlisten" (Datenbanken) in Österreich sind dem Ressort bekannt? Wie viele Datensätze sind in diesen „Warnlisten“ abge-speichert? Wie viele Personen davon betroffen? Wie viele sind davon als öffent-lich zugängliche Datenbank anzusehen?

Gemäß § 18 Abs. 2 DSG 2000 dürfen meldepflichtige Datenanwendungen erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission aufgenommen wer-den, wenn sie die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben (Z 3) oder in Form eines Informationsverbundsystems durchgeführt werden sollen (Z 4). „Warnlisten" unterliegen daher grundsätzlich der Vorabkontrolle durch die Datenschutzkommission (DSK).

Aufgrund der Ergebnisse des Prüfungsverfahrens kann die DSK dem Auftraggeber anlässlich der Registrierung Auflagen für die Vornahme der vorabkontrollpflichtigen Datenanwendung durch Bescheid erteilen, soweit dies zur Wahrung der durch das DSG 2000 geschützten Interessen der Betroffenen notwendig ist. Die DSK hat von dieser Möglichkeit mehrfach Gebrauch gemacht und per Bescheid Auflagen für fol-gende Datenanwendungen erteilt:

• „Kleinkreditevidenz zum Zweck des Gläubigerschutzes und der Risikomini-mierung (kurz: Kleinkreditevidenz oder KKE)“

(vgl. Musterbescheid GZ K600.033-018/0002-DVR/2007),

• „Warnliste der österreichischen Versicherungsunternehmen zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf auffälliges Vermittlerverhalten im Vertrieb" (kurz: Warnliste betreffend Vermittlerverhal-ten)" (vgl. Musterbescheid GZ K600.014-010/0002-DVR/2007) sowie

• „Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten (kurz: Warnliste der Banken)“ (vgl. Bescheide K095.014/016-DSK/2001 und K095.014/021-DSK/2001)

Diese Informationen sind auf der Homepage der DSK unter http://www.dsk.gv.at/site/6299/default.aspx abrufbar.

Laut Auskunft des Datenverarbeitungsregisters (DVR) sind im Rahmen der Warnliste der Banken bislang ungefähr 760 Meldungen von Banken als Auftraggeber einge-langt. Auch die Anzahl der bislang im Zusammenhang mit der KKE eingebrachten Meldungen beläuft sich auf eine ähnliche Höhe, wobei laufend weitere Meldungen eingebracht werden. Weitergehende Informationen, insbesondere hinsichtlich der in den Warnlisten abgespeicherten Datensätze oder der Anzahl der Betroffenen, stehen mir nicht zur Verfügung. Ich darf allerdings darauf hinweisen, dass gemäß § 16 Abs. 2 DSG 2000 zum Zweck der Publizität der Datenanwendungen jedermann in das DVR Einsicht nehmen kann.

Zu den Fragen 3 und 5:

Ø Ist aus Sicht des Ressorts für die Aufnahme von personenbezogenen Daten in eine so genannte „Warnliste" eine Zustimmungserklärung Betroffener - Konsu-menten wie Unternehmer - einzuholen? Wenn nein, warum nicht? Wenn ja, ge-nügt ein entsprechender Hinweis in Allgemeinen Geschäftsbedingungen (z.B. im

Kleingedruckten)? Oder muss diese Zustimmungserklärung ausdrücklich ver-einbart werden?

Ø Unter welchen Voraussetzungen dürfen überhaupt Daten von Personen in diese sogenannten „Warnlisten“ aufgenommen werden?

Die Zulässigkeit der Verwendung von Daten ergibt sich grundsätzlich aus den §§ 7ff DSG 2000. Daten dürfen gemäß § 7 Abs. 1 DSG 2000 nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden. Daten dürfen ferner gemäß § 7 Abs. 2 DSG 2000 nur übermittelt werden, wenn sie aus einer zulässigen Datenanwendung stammen, der Empfänger seine ausreichende gesetzliche Zustän-digkeit oder rechtliche Befugnis im Hinblick auf den Übermittlungszweck glaubhaft ge-macht hat und durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheim-haltungsinteressen des Betroffenen nicht verletzt werden. Darüber hinaus sind der Verhältnismäßigkeitsgrundsatz sowie die Grundsätze des § 6 DSG 2000, insbeson-dere der Grundsatz der Datenanwendung nach Treu und Glauben sowie der sachli-chen Richtigkeit, zu beachten.

§ 8 DSG 2000 zählt in Ausführung von § 1 Abs. 2 DSG 2000 verschiedene Fälle auf, in denen schutzwürdige Geheimhaltungsinteressen der Betroffenen bei der Verwen-dung nicht-sensibler Daten nicht verletzt werden, darunter Fälle der ausdrücklichen gesetzlichen Ermächtigung oder Verpflichtung zur Verwendung der Daten (§ 8 Abs. 1 Z 1), der Zustimmung des Betroffenen zur Verwendung seiner Daten, wobei ein Wi-derruf jederzeit zulässig ist und die Unzulässigkeit der weiteren Verwendung bewirkt (§ 8 Abs. 1 Z 2) oder der überwiegenden berechtigten Interessen des Auftraggebers oder eines Dritten (§ 8 Abs. 1 Z 4).

Der Begriff der Zustimmung wird in § 4 Z 14 DSG 2000 als gültige, insbesondere oh-ne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt, definiert. An eine hinreichend präzise und zwangsfreie Zustimmung sind dabei strenge Anfor-derungen zu stellen (vgl. Rundschreiben des BKA-VD, 810.008/1-V/1 a/85 vom 10. 8. 1985). Ein Hinweis in den Allgemeinen Geschäftsbedingungen reicht dafür grund-sätzlich nicht aus (vgl. Urteil des OGH vom 27.1.1999, 7 Ob 170/98). Angesichts der drohenden negativen Auswirkungen bzw. der Tatsache, dass sich wohl kaum ein Be-troffener freiwillig in eine „schwarze Liste" eintragen lässt, gehe ich allerdings davon aus, dass die Verwendung von Daten in der Regel nicht auf die Zustimmung der Be-troffenen gemäß § 8 Abs. 1 Z 2 DSG 2000 gestützt werden kann.

Schließlich ist § 49 DSG 2000 zu erwähnen, demzufolge niemand einer für ihn recht-liche Folgen nach sich ziehenden oder eine ihn erheblich beeinträchtigenden Ent-scheidung unterworfen werden darf, die ausschließlich auf Grund einer automations-unterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, sei-ner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.

Zu Frage 4:

Ø Oder stimmt es, dass Betroffene - Konsumenten oder Unternehmer - von der Auf-nahme ihrer Daten in sogenannten „Warnlisten" zumindest im Nachhinein infor-miert werden müssen? Wenn nein, warum nicht?

Wie die DSK in ihren Bescheiden zur Warnliste der Banken festgehalten hat, verlangt der Grundsatz der Datenverwendung nach Treu und Glauben gemäß § 6 Z 1 DSG 2000 eine ausreichende Information bzw. entsprechende Benachrichtigung der Betroffenen über die Verarbeitung personenbezogener Daten im Rahmen einer Warnliste, um ihnen die Durchsetzung ihrer Rechte gegenüber den Auftraggebern zu ermöglichen (DSK K095.014/016-DSK/2001 und K095.014/021-DSK/2001; vgl. ferner OGH 15.12.2005, 6 Ob 275/05t). Ähnliches ergibt sich aus § 24 DSG 2000, der die Informationspflicht des Auftraggebers näher determiniert.

Zu den Fragen 6 bis 8:

Ø Welche personenbezogenen Daten dürfen in eine so genannten „Warnliste" auf-genommen werden? Inwieweit dürfen dabei auch „sensible Daten" aufgenommen werden?

Ø Dürfen bei der Aufnahme von Daten über Zahlungsverpflichtungen von Betroffe-

nen - Konsumenten oder Unternehmer - nur unbestrittene Forderungen aufge-nommen werden oder auch bestrittene Forderungen?

Ø Teilen Sind Sie die Auffassung, dass Forderungen in eine derartige Warnliste nur ab einem bestimmten Betrag aufgenommen werden dürfen? Wenn ja, ab wel-chem Betrag?

Welche personenbezogenen Daten in einer Datenanwendung verarbeitet werden dürfen, ergibt sich aus den Bestimmungen über die Zulässigkeit der Datenverwen-dung (§ 7ff DSG 2000) und insbesondere den Grundsätzen des § 6 DSG 2000. So dürfen Daten beispielsweise nur verwendet werden, soweit sie für den Zweck der Datenanwendung wesentlich sind und über diesen Zweck nicht hinausgehen (§ 6 Abs. 1 Z 3 DSG 2000). Dies gilt grundsätzlich auch für sensible Daten, wobei bei Würdigung des Verhältnismäßigkeitsgrundsatzes sowie bei der Prüfung, ob schutz-würdige Geheimhaltungsinteressen der Betroffenen gemäß § 9 DSG 2000 verletzt werden, ein entsprechend strengerer Maßstab zur Anwendung gelangt.

Das Gebot der sachlichen Richtigkeit im Sinne des § 6 Abs. 1 Z 4 DSG 2000 erfor-dert ferner, dass das Faktum einer begründeten Bestreitung der Forderung sichtbar gemacht und die Bezahlung der Forderung in der "Warnliste" ausgewiesen wird (vgl. DSK K095.014/016-DSK/2001 und K095.014/021-DSK/2001). Die Betragshöhe der Forderungen kann bei der Beurteilung der Verhältnismäßigkeit einer Datenanwen-dung eine Rolle spielen. Die DSK hat in ihrem Bescheid über die Warnliste über Ver-mittlerverhalten beispielsweise eine betragsmäßige Grenze eingezogen, unterhalb derer die Daten gelöscht werden müssen (vgl. DSK K600.014-010/0002-DVR/2007).

Zu den Fragen 9 bis 12:

Ø Wie können sich Betroffene gegen falsche Eintragungen in so genannte Warnlis-ten effektiv zur Wehr setzen?

Ø Können nach der ständigen Rechtsprechung Betroffene die Löschung ihrer Daten ohne Angabe von Gründen durchsetzen?

Ø Wann müssen Daten in diesen sogenannten „Warnlisten" überhaupt von den Auf-traggebern dieser Datenbanken gelöscht werden?

Ø Müssen die Datenbestände einer derartigen „Warnliste" durch die Auftraggeber regelmäßig aktualisiert werden? Wenn ja, zu welchen Konsequenzen führt die Nichtaktualisierung?

Gemäß § 1 Abs. 3 DSG 2000 hat jedermann ein verfassungsgesetzlich gewährleiste-tes Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden (Z 1), sowie das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten (Z 2). Die diesbezüg-lichen einfachgesetzlichen Ausführungsbestimmungen finden sich in den §§ 26, 27 und 28 DSG 2000. Werden diese Betroffenenrechte verletzt, so steht die Möglichkeit einer Beschwerde an die Datenschutzkommission (§ 31 DSG 2000) bzw. die Anru-fung der Gerichte (§ 32 DSG 2000) offen.

Das in § 27 DSG 2000 näher geregelte Recht auf Löschung kann der Betroffene nur mittels begründetem Antrag geltend machen. Sofern die Voraussetzungen des § 28 DSG 2000 erfüllt sind, kann die Löschung von Daten die Folge der Ausübung des Widerspruchsrechts sein. Aus dem Richtigkeitsgebot des § 6 Abs. 1 Z 4 DSG 2000 ergibt sich ferner, dass eine Eintragung vom Auftraggeber unverzüglich zu löschen ist, wenn rechtskräftig festgestellt ist, dass die Forderung nicht besteht (vgl. DSK K095.014/016-DSK/2001 und K095.014/021-DSK/2001). Derselbe Grundsatz ver-langt, dass Daten, wenn nötig, auf den neuesten Stand gebracht werden. Datenbe-stände müssen demnach von den Auftraggebern regelmäßig aktualisiert werden, um gemäß § 7 Abs. 3 DSG 2000 die Voraussetzungen für die Zulässigkeit der Verwen-dung der Daten zu erfüllen.

Zu Frage 13:

Ø Wie können aus Sicht des Ressort die Rechte Betroffener gestärkt werden, damit Falscheinträge auch tatsächlich gelöscht und veralterte Daten richtig gestellt wer-den? Sind aus Sicht des Ressorts schärfere Sanktionen notwendig?

Ein vom Bundeskanzleramt am 11. April 2008 zur Begutachtung versendeter Entwurf für eine „DSG-Novelle 2008" sah verschiedene Maßnahmen zur Stärkung der Betrof-fenenrechte vor, darunter die Einrichtung eines betrieblichen Datenschutzbeauftrag-ten, Verbesserungen beim Auskunftsrecht der Betroffenen, eine Ausdehnung der Be-schwerdemöglichkeit an die DSK sowie eine Klarstellung und Stärkung der Betroffe-nenrechte gemäß § 49 Abs. 3 DSG 2000.

Zu den Fragen 14 und 18:

Ø Muss gegenüber Betroffenen eine „Bonitätsentscheidung" - die auf eine Eintra-gung in so genannte Warnlisten zurückzuführen ist -jeweils begründet werden?

Ø Trifft den Auftraggeber einer derartigen Warnliste eine Warn- oder Informations-pflicht, gegenüber allen Personen deren Daten in der Datei enthalten sind, wenn diese Datenbankdateien verlustig gehen oder gestohlen werden? Wenn nein, wa-rum nicht?

Der Auftraggeber einer Datenanwendung ist gemäß § 24 Abs. 1 DSG 2000 dazu an-gehalten, den Betroffenen in geeigneter Weise über den Zweck der Datenanwen-dung sowie Name und Adresse des Auftraggebers zu informieren. Darüber hinaus-gehende Informationen sind gemäß § 24 Abs. 2 DSG 2000 zu erteilen, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist.

Datenschutzrechtlich gesehen besteht keine Verpflichtung des Auftraggebers, die konkreten Gründe für eine Antragsablehnung bzw. die Verweigerung eines Vertrags-abschlusses mitzuteilen. Dabei handelt es sich um eine zivilrechtliche Entscheidung. Dem Betroffenen stehen jedoch mit dem Auskunftsrecht gemäß § 26 DSG 2000 so-wie der Verpflichtung des Auftraggebers gemäß § 49 Abs. 3 DSG 2000, dem Betrof-fenen auf seinen Antrag hin den logischen Ablauf automatisierter Einzelentscheidun-gen in allgemein verständlicher Form darzulegen, weitere Instrumente zur Verfü-gung, um die Ablehnung nachvollziehen zu können.

Zu den Fragen 15 und 16:

Ø Unter welchen Voraussetzungen dürfen Daten aus einer so genannten „Warnlis-te" von den Auftraggebern bzw. Datenbankbetreibern (z.B. Wirtschaftsauskunfts-dienste) überhaupt an andere Unternehmen oder Interessensvertretungen weiter-gegeben werden?

Ø Unter welchen Voraussetzungen dürfen Daten aus einer so genannten „Warnlis-te" von den Auftraggebern bzw. Datenbankbetreibern (z.B. Wirtschaftsauskunfts-dienste) grenzüberschreitend - weitergegeben an wen auch immer- werden?

Die Zulässigkeit der Übermittlung von Daten bestimmt sich grundsätzlich nach den Voraussetzungen der §§ 7ff DSG 2000 unter Berücksichtigung des Verhältnismäßig-keitsgrundsatzes sowie der Grundsätze des § 6 DSG 2000. Darüber hinaus kann die DSK dem Auftraggeber von vorabkontrollpflichtigen Datenanwendungen Auflagen für die Vornahme der Datenanwendung erteilen, welche auch Fragen der Datenüber-mittlung an Dritte betreffen können. Die Übermittlung von Daten ins Ausland ist grundsätzlich anhand der Vorgaben der §§ 12 und 13 DSG 2000 zu prüfen.