Ende März 2023 hat sich die österreichische Datenschutzbehörde mit der unrechtmäßigen Verarbeitung von Daten mangels Rechtsgrundlage gemäß Artikel 6 Abs 1 DSGVO durch eine Kreditauskunftei (Beschwerdegegnerin) zur Bonitätsprüfung beschäftigt. Die Daten hatte die Kreditauskunftei von einem Adressverlag erhalten. Die Datenübermittlung durch den Adressverlag war weder rechtmäßig noch vom Zweck der ursprünglichen Datenverarbeitung des Adressverlages gedeckt, wie die Behörde in einem gesonderten Verfahren gegen den Adressverlag befand.
Sachverhalt
Der Beschwerdeführer stellte bei der Beschwerdegegnerin einen Antrag auf Auskunft. In dieser Auskunft wurden als Quelle seiner personenbezogenen Daten unter anderem „Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO 1994“ genannt. Die Beschwerdegegnerin hatte zumindest Name, Adresse und Geburtsdatum von einem Adressverlag erhalten. Grundlage für die unrechtmäßige Datenübermittlung war eine Vereinbarung über die Lieferung und Nutzung von Adressdaten zwischen dem Adressverlag und der Beschwerdegegnerin. Die erhobenen Daten wurden von der Beschwerdegegnerin dazu verwendet, Bewertungen der Bonität, unter anderem jener des Beschwerdeführers, durchzuführen. Weder über den Umstand, dass der Adressverlag die Daten des Beschwerdeführers verarbeitet, noch darüber, dass dieser die Daten an die Beschwerdegegnerin übermittelt, wurde der Beschwerdeführer informiert.
Beurteilung der Rechtmäßigkeit der Datenverarbeitung
Jede Verarbeitung personenbezogener Daten muss allen in Artikel 5 DSVGO aufgelisteten Grundsätzen (hier relevant Rechtmäßigkeit und Zweckbindung) übereinstimmen. Damit eine Verarbeitung rechtmäßig ist, muss diese zumindest einem Erlaubnistatbestand des Artikel 6 DSGVO entsprechen (Verbot mit Erlaubnisvorbehalt). Andernfalls ist eine Datenverarbeitung unzulässig und damit rechtswidrig.
Nachdem der Beschwerdeführer von der Datenverarbeitung nichts wusste, konnte eine Einwilligung zur Verarbeitung (Artikel 6 Abs 1 lit. a) nicht vorliegen.
Ferner konnte der Beschwerdegegner aus zwei Gründen weder den Erlaubnistatbestand der Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Abs 1 lit. c ) noch jenen zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (Artikel 6 Abs 1 lit. e) heranziehen. Das Gewerbe der Beschwerdegegnerin ist in § 152 GewO 1994 verankert und erfüllt diese Voraussetzung nicht.
Auch auf ein berechtigtes Interesse (Artikel 6 lit. f) konnte sich die Beschwerdegegnerin nicht berufen. Ausschlaggebend war, dass in einem Parallelverfahren gegen den Adressverlag ein Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung von der Datenschutzbehörde festgestellt wurde (nicht rechtskräftig). In die notwendige Interessensabwägung ist als Faktor einzubeziehen, dass der Adressverlag nicht befugt war, die Daten zur Bonitätsbeurteilungszwecken offenzulegen. Der Adressverlag darf nämlich die erhobenen Daten ausschließlich zu Marketingzwecken verwenden und an Dritte weitergeben. Die Verwendung durch den Beschwerdegegner für Bonitätszwecke war daher vom rechtmäßigen Zweck nicht gedeckt und damit wurde der Grundsatz der Zweckbindung nicht erfüllt. Zudem konnte die Beschwerdegegnerin die Rechtmäßigkeit der Ermittlung der Daten des Beschwerdeführers durch den Adressverlag nicht nachweisen. Ein Verweis auf eine bestehende Gewerbeberechtigung sowie die Aufsicht durch die Gewerbebehörde reichte nicht aus.
Auswirkungen der Rechtswidrigkeit
Nach der ständigen Rechtsprechung des Verwaltungsgerichtshofes (Erkenntnis vom 23. Februar 2021, Ra 2019/04/0054) bewirkt die rechtswidrige Ermittlung personenbezogener Daten durch einen Verantwortlichen die Rechtswidrigkeit einer anschließenden Übermittlung durch denselben Verantwortlichen. In weiterer Folge führt eine unrechtmäßige Übermittlung dazu, dass der andere Verantwortliche die Daten auch nicht rechtmäßig verarbeiten kann.
Für die Praxis bedeutet diese Entscheidung der Datenschutzbehörde einmal mehr, dass Unternehmen genau darauf achten müssen, dass jede Datenverarbeitung sämtlichen Grundsätzen der DSGVO entspricht, somit sowohl eine zulässige Rechtsgrundlage vorliegt als auch eine allfällige Übermittlung vom Zweck der Verarbeitung gedeckt ist. Der Umstand, dass ein Unternehmen Daten von einem „professionellen“ oder „seriösen“ Adressverlag erhält, reicht als Rechtsgrundlage nicht aus!
Ihr KWR-Datenschutzteam steht Ihnen gerne zur Verfügung.