Der VwGH beschäftigte sich jüngst in einer Entscheidung (GZ: Ro 2020/04/0037) zu brennenden Fragen rund um Datenverarbeitungen für die Bankenwarnliste. In diese Liste tragen die teilnehmenden Kreditinstitute zu Zwecken des Gläubigerschutzes und der Risikominimierung negative Zahlungserfahrungsdaten ein. Das von den DORDA Datenschutzexperten für die UniCredit Bank Austria erwirkte Erkenntnis hat auch außerhalb der Finanzbranche Relevanz, als sich einige Themen verallgemeinern lassen:
Unvollständige Information führt nicht zur Unrechtmäßigkeit der Verarbeitung
Ein Betroffener hatte argumentiert, dass durch das Fehlen einer Information zur Speicherdauer die Datenverarbeitung unzulässig sei und er ua deshalb ein Recht auf Löschung habe. Gestützt auf die EuGH-Entscheidung C‑60/22 verneint der VwGH dies aber zu Recht: Nur weil die Informationspflicht nach Art 13 und 14 DSGVO nicht vollständig erfüllt ist, entfällt die Rechtsgrundlage nach Art 6 DSGVO nicht. Daher besteht allein aus diesem Grund auch kein abgeleitetes Recht auf Löschung. Der VwGH hat allerdings auch klargestellt, dass dies nicht gilt, wenn die Informationspflicht gar nicht erfüllt wurde und sich die Verarbeitung auf die Einwilligung der betroffenen Person stützt. Diesfalls wäre die Verarbeitung tatsächlich rechtswidrig. Dies ist stringent, da die Einwilligung schließlich stets (voll) informiert erteilt werden muss. Fraglich ist aber, ob das gänzliche Fehlen der Informationspflichten bei anderen Rechtsgrundlagen automatisch auch dieselben drastischen Folgen haben kann oder muss. Hier liegt die Begründung der Zulässigkeit der Verarbeitung ja in anderen Abwägungen, die von der Informationspflicht unabhängig(er) sind.
Die Klarstellung, dass nicht jeder geringfügige Verstoß gegen die Informationspflichten sofort zur Unzulässigkeit der Verarbeitung oder gar einem Löschanspruch Betroffener führt, ist zu begrüßen. Damit erteilen sowohl der EuGH als auch der VwGH vielfach monierten Extrempositionen eine Absage.
Nachträgliche Änderungen machen Daten nicht zwingend rückwirkend unrichtig
Der Betroffene verlangte zudem eine Aktualisierung seiner Daten und somit Löschung der noch gespeicherten Informationen zu bereits getilgten Schulden. Gretchenfrage war daher, ob spätere Änderungen der (finanziellen) Umstände historisch korrekte Daten über Außenstände nachträglich unrichtig machen. Wenn man diesem Ansatz folgt, wäre die Konsequenz, dass eine Pflicht zur Berichtigung und Löschung von Daten in der Bankenwarnliste bestünde, sobald die Schuld getilgt wurde. Das Höchstgericht verneinte dies, wenn es bei der Datenverarbeitung gerade auf die ursprüngliche Situation ankommt. Sonst wäre beispielweise die Verarbeitung von Daten, die eine zeitliche Entwicklung zeigen, nicht möglich. Darauf kommt es bei der Bankenwarnliste – dazu sogleich – aber genau an.
Die Erkenntnis ist in diesem Punkt eine wichtige Klarstellung für die Praxis im Umgang mit historischen Daten, sofern diese zB für eine Bewertung, die im berechtigten Interesse des Unternehmens liegt, relevant sind. Der Gedanke kann dabei über den konkreten Anlassfall hinaus für ähnliche Konstellationen verallgemeinert werden.
Bankenwarnliste auf Basis berechtigter Interessen zulässig
Im Rahmen des Verfahrens hat der VwGH schließlich auch zur Rechtsgrundlage und Speicherdauer der Bankenwarnliste entschieden: Kreditinstitute unterliegen einer regulatorischen Verpflichtung zur Erfassung, Beurteilung, Steuerung und Überwachung von Risiken bzw der Prüfung der Kreditwürdigkeit von Kunden. Dies kann erforderlichenfalls auch die Führung einer eigenen Datenbank bzw die Einholung von Auskünften aus einer (eigenen oder fremden) Datenbank erfordern bzw rechtfertigen. Aus den regulatorischen Anforderungen ergibt sich ein berechtigtes Interesse an der Verarbeitung von negativen Zahlungserfahrungsdaten von Kunden. Etwaige nachteilige Auswirkungen auf Kunden, die auf der Bankenwarnliste stehen, überwiegen diesen Interessen laut dem VwGH nicht.
Aber auch zum Zeitraum der Zulässigkeit der Datenverarbeitung hat der VwGH Stellung bezogen: So kann die Verarbeitung von zumindest fünf Jahre zurückliegenden Zahlungserfahrungsdaten in der Bankenwarnliste nach wie vor dem Gläubigerschutz und der Risikominimierung durch Beurteilung des Ausfallsrisikos potenzieller Kunden dienen. Die Frist beginnt bei einem Insolvenzverfahren nicht mit der gerichtlichen Bestätigung des Zahlungsplans, sondern erst mit dem Zeitpunkt seiner vollständigen Erfüllung. Im Ergebnis besteht im Insolvenzfall also zumindest bis fünf Jahre nach Erfüllung des Zahlungsplans ein berechtigtes Interesse an der Verarbeitung von (wenn auch faktisch veralteten, aber historisch richtigen) Zahlungserfahrungsdaten.
Fazit und Breitenwirkung
Der VwGH hat mit seiner klaren und nachvollziehbaren Interessensabwägung für die gesamte Finanzdienstleistungsbranche wesentliche Fragen geklärt und damit Sicherheit geschaffen. Die dem Gläubigerschutz dienende Verwendung der Bankenliste kommt am Ende des Tages tatsächlich auch der Gesamtheit der Betroffenen zugute, deren Gelder verwaltet werden. Sie werden vor etwaigen Ausfällen wegen Leistungen an nicht kreditwürdige Kunden geschützt. Darüber hinaus hat die Entscheidung, dass geringfügige Verstöße der Informationspflichten die Rechtmäßigkeit der Datenverarbeitung nicht per se berühren, auch eine größere Breitenwirkung.