VwGH vom 15.11.2012, 2008/17/0096
Beachte
Miterledigung (miterledigt bzw zur gemeinsamen Entscheidung
verbunden):
2008/17/0097
Betreff
Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Pallitsch, die Hofräte Dr. Holeschofsky und Dr. Köhler sowie die Hofrätinnen Dr. Zehetner und Mag. Nussbaumer-Hinterauer als Richter, im Beisein des Schriftführers Mag. Pichler, über die Beschwerden der O GmbH in W (vormals: O GmbH), vertreten durch Rechtsanwaltskanzlei Foglar-Deinhardstein KG in 1010 Wien, Plankengasse 7, gegen die Bescheide der Datenschutzkommission beim Bundeskanzleramt 1.) vom , Zl. K121.348/0007-DSK/2008 (hg. Verfahren Zl. 2008/17/0096), und 2.) vom , Zl. K121.339/0007- DSK/2008 (hg. Verfahren Zl. 2008/17/0097), jeweils betreffend Auskunft nach dem DSG (mitbeteiligte Parteien: zu 1.) K in W und zu 2.) P in I), zu Recht erkannt:
Spruch
Die Beschwerden werden als unbegründet abgewiesen.
Die Beschwerdeführerin hat dem Bund Aufwendungen in der Höhe von insgesamt EUR 1.221,20 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
Begründung
1.1. Die Beschwerdeführerin betreibt ein eigenes Mobilfunknetz in Österreich.
Der Mitbeteiligte zur Zl. 2008/17/0096 wollte am mit der Beschwerdeführerin einen Vertrag über Telekommunikationsdienstleistungen schließen. Die Beschwerdeführerin gab bei der D GmbH eine Bonitätsprüfung in Auftrag und überließ dieser für diesen Zweck die Identitätsdaten des Mitbeteiligten. Die D GmbH errechnete auf der Grundlage der von ihr gespeicherten oder aus Datenanwendungen Dritter ermittelten Bonitätsdaten nach einem von der Beschwerdeführerin vorgegebenen Algorithmus einen bestimmten "Scoring-Wert". Auf der Grundlage dieses Werts traf die Beschwerdeführerin die Entscheidung, den Mitbeteiligten als Kunden abzulehnen.
Mit Schreiben vom stellte der Mitbeteiligte ein Auskunftsersuchen gemäß §§ 1 und 26 DSG 2000 an die Beschwerdeführerin, in dem er Auskunft darüber begehrte, welche Daten die Beschwerdeführerin über den Mitbeteiligten speichere, woher die Daten stammten, an wen personenbezogene Daten des Mitbeteiligten übermittelt worden seien, zu welchem Zweck die Datenanwendungen betrieben worden seien, auf Grund welcher Vertrags- oder Rechtsgrundlagen die Daten verwendet worden seien und - soweit die Daten in einem Informationsverbundsystem verwendet würden -, über die Geschäftszahl des entsprechenden Bescheides der Datenschutzkommission und darüber, ob die Beschwerdeführerin Betreiberin des Informationsverbundsystems sei und falls nicht, wer der Betreiber sei.
1.2. Die Beschwerdeführerin antwortete mit Schreiben vom , dass sie bezüglich des Mitbeteiligten keine personenbezogenen Daten gespeichert habe.
1.3. Am erhob der Mitbeteiligte Beschwerde an die belangte Behörde und beantragte unter Hinweis auf das hg. Erkenntnis vom , Zl. 2005/06/0111, die Durchsetzung des Auskunftsrechts im Sinne einer vollständigen Erteilung der Auskunft.
1.4. Mit dem zur Zl. 2008/17/0096 angefochtenen Bescheid gab die belangte Behörde der Beschwerde Folge und verpflichtete die Beschwerdeführerin dazu, dem Mitbeteiligten
"1. Auskunft über alle zu seiner Person als Ergebnis von Bonitätsprüfungen im Jahr 2007 verarbeiteten Daten, insbesondere Bonitätseinstufungen und Scoring-Werte zu erteilen,
2. Auskunft über Namen und Adressen von Dienstleistern zu erteilen und
3. Auskunft über den logischen Ablauf der automatisierten Entscheidungsfindung im von ihr eingerichteten Bonitätsprüfungssystem in allgemein verständlicher Form zu erteilen."
Begründend stellte die belangte Behörde nach Darstellung des Verfahrensganges und des Vorbringens der Partei zunächst folgenden Sachverhalt fest:
Der Mitbeteiligte habe am mit der Beschwerdeführerin einen Vertrag über Telekommunikationsleistungen schließen wollen. Die Beschwerdeführerin habe bei der D GmbH eine Bonitätsprüfung in Auftrag gegeben und dieser für diesen Zweck die Identitätsdaten des Mitbeteiligten überlassen. Die D GmbH habe als Dienstleisterin der Beschwerdeführerin eine Identitätsprüfung durchgeführt und auf Grundlage der von ihr gespeicherten oder von ihr aus Datenanwendungen Dritter ermittelten bonitätsrelevanten Daten des Mitbeteiligten nach einem von der Beschwerdeführerin festgelegten Verfahren einen "Scoring-Wert" errechnet. Auf der Grundlage dieses Werts habe die Beschwerdeführerin die Entscheidung getroffen, den Mitbeteiligten als Kunden abzulehnen. Daten betreffend diese Bonitätsprüfung, darunter der "Scoring-Wert", seien Anfang Jänner 2008 noch bei D GmbH gespeichert gewesen.
Nach Wiedergabe der §§ 26 und 49 DSG 2000, des § 152 Abs. 2 Gewerbeordnung 1994 und der §§ 92 und 97 TKG 2003 führte die belangte Behörde sodann aus, die D GmbH betreibe ein Zugangsportal zu Bonitätsdatenbanken, für die sie zum Teil selbst Auftraggeber, zum Teil jedoch nur Dienstleister in Form der Bereitstellung des Zugangsportals sei. Die Einsichtnahme von Kunden der D GmbH (wie der Beschwerdeführerin) in Bonitätsdaten über das Zugangsportal führe zu einer Übermittlung dieser Daten an die Kunden, die damit verantwortliche Auftraggeber einer allfälligen Weiterverwendung dieser Daten würden.
Da die Entscheidung, ob und wie die Bonitätsdaten für ein Scoring-System verwendet würden, von den Kunden der D GmbH getroffen würde, treffe diese Kunden die Verantwortung für die Art und Weise der Verarbeitung und die Angemessenheit des Systems. Von der D GmbH würden alle erforderlichen Daten an das Scoring-System und damit an dessen Eigentümer, die Beschwerdeführerin, übermittelt. Die Unternehmen, die Eigentümer eines Scoring-Systems seien, würden ab dem Augenblick, in dem die Rohdaten in das Scoring-System eingespeist würden, zu Auftraggebern im Sinne des Datenschutzgesetzes. Die Errechnung des "Scoring-Werts" könne nur von der Beschwerdeführerin selbst durchgeführt werden oder als Dienstleistung in Auftrag gegeben werden. Im Beschwerdefall sei die D GmbH mit der Errechnung der "Scoring-Werte" beauftragt worden. Solange die Beschwerdeführerin das System vorgebe, nach dem die Errechnung vorzunehmen sei, sei sie Auftraggeber dieser Datenverarbeitung, wobei ihr freilich - logisch vorgelagert - die D GmbH die notwendigen Bonitätsdaten übermittelt habe.
Daraus ergebe sich, dass die Bedeutung eines von der D GmbH als Dienstleister errechneten "Scoring-Wertes" nicht von dieser, sondern von der Beschwerdeführerin als Auftraggeber gegenüber dem Auskunftswerber gemäß § 26 DSG 2000 zu beauskunften sei.
Es sei jedermann berechtigt, die Bonität eines möglichen Vertragspartners zu beurteilen und dafür allgemein zugängliche Quellen heranzuziehen. Die Datenbanken der Gewerbetreibenden nach § 152 GewO 1994 stellten solche allgemein zugängliche Quellen für Bonitätsinformationen dar.
Die Beschwerdeführerin sei für die Datenverwendung für Zwecke der von ihr in Auftrag gegebenen Bonitätsprüfung durch die D GmbH verantwortlich. Zu den entsprechenden Pflichten gehöre es insbesondere, die rechtzeitige Löschung von Daten (§ 27 Abs. 1 Z 1 DSG 2000) zu veranlassen und die Erfüllung des Auskunftsrechts eines Betroffenen sicherzustellen (§ 26 Abs. 1 und 4 DSG 2000).
Da es sich bei einer Bonitätsprüfung der festgestellten Art um ein System handle, das den Betroffenen einer automatisierten Einzelentscheidung im Sinne des § 49 Abs. 2 Z 2 DSG 2000 unterwerfe, treffe die Beschwerdeführerin überdies die besondere Auskunftspflicht gemäß § 49 Abs. 3 DSG 2000.
Die Beschwerdeführerin habe eingewendet, sie speichere keine Daten über den Beschwerdeführer in ihrem System und dürfe dies gemäß der in § 97 Abs. 2 TKG 2003 ausdrücklich angeordneten Löschungspflicht auch gar nicht. Damit übersehe die Beschwerdeführerin jedoch, dass sie nicht nur für die Daten in ihrem System verantwortlich sei, sondern auch das System der D GmbH mit einzubeziehen habe. Zudem stelle das Auskunftsrecht des § 26 Abs. 1 DSG 2000 gerade nicht darauf ab, ob Daten rechtmäßig gespeichert seien. Eine datenschutzrechtliche Auskunft müsse auch rechtswidrig verarbeitete Daten umfassen. Dies ergebe sich deutlich aus der Löschungssperre nach § 26 Abs. 7 DSG 2000, die den Auftraggeber daran hindere, eine Datenanwendung vor Auskunftserteilung etwa durch Löschung unrichtiger oder keinem gesetzmäßigen Zweck (mehr) entsprechender Daten zu sanieren.
Da das Ermittlungsverfahren ergeben habe, dass die D GmbH weiterhin unter der auftraggeberischen Verantwortung der Beschwerdeführerin Daten betreffend die Bonitätsbewertung des Beschwerdeführers verarbeite, nämlich jedenfalls den errechneten "Scoring-Wert" bezüglich des Mitbeteiligten speichere, entspreche die erteilte Auskunft, keine Daten des Mitbeteiligten zu verarbeiten, als inhaltlich unrichtige Auskunft nicht dem Gesetz. Alles andere würde auch ein "Rechtsschutzdefizit zu Tage fördern", könne doch der Betroffene beim Dienstleister D GmbH sein Auskunftsrecht nicht erfolgreich durchsetzen.
1.5. Gegen diesen Bescheid richtet sich die zur hg. Zl. 2008/17/0096 protokollierte Beschwerde.
1.6. Auch der im Verfahren zur Zl. 2008/17/0097 Mitbeteiligte erhielt von der Beschwerdeführerin über sein Auskunftsersuchen nach § 26 Abs. 1 DSG 2000 die Auskunft, dass über ihn bei der Beschwerdeführerin keine Daten verarbeitet würden.
Auch dieser Mitbeteiligte wendete sich mit Beschwerde an die belangte Behörde, weil die Auskunft unvollständig gewesen sei, da auch über die bei der D GmbH vorhandenen Daten im Zusammenhang mit der Errechnung eines ihn betreffenden "Scoring-Werts" Auskunft erteilt werden müsse.
1.7. Mit dem zur Zl. 2008/17/0097 angefochtenen Bescheid gab die belangte Behörde dieser Beschwerde statt und verpflichtete die Beschwerdeführerin dazu, dem Mitbeteiligten binnen zwei Wochen bei sonstiger Exekution
"1. Auskunft über alle zu seiner Person als Ergebnis von Bonitätsprüfungen im Jahr 2007 verarbeiteten Daten, insbesondere Bonitätseinstufungen und Scoring-Werte zu erteilen oder zu begründen, warum die Auskunft nicht oder nicht vollständig erteilt wird,
2. Auskunft über Namen und Adressen von Dienstleistern zu erteilen."
Die Begründung des Bescheids entspricht über weite Strecken wörtlich jener des zur hg. Zl. 2008/17/0096 angefochtenen Bescheids. Die belangte Behörde kommt auch in diesem Bescheid zum Schluss, dass die erteilte Auskunft als inhaltlich unrichtige Auskunft nicht dem Gesetz entspreche, habe doch die Beschwerdeführerin keine Auskunft zu den Verarbeitungen durch die Dienstleisterin D GmbH erteilt. Sie habe somit den Mitbeteiligten in seinem Auskunftsrecht verletzt.
1.8. Gegen diesen Bescheid richtet sich die zur hg. Zl. 2008/17/0097 protokollierte Beschwerde.
1.9. Die belangte Behörde legte in beiden Verfahren die Verwaltungsakten vor und erstattete eine Gegenschrift, in der die kostenpflichtige Abweisung der Beschwerden beantragt wird.
Die Mitbeteiligten haben sich nicht geäußert.
2. Der Verwaltungsgerichtshof hat beschlossen, die beiden Beschwerdeverfahren wegen ihres sachlichen und persönlichen Zusammenhanges zur gemeinsamen Beratung und Entscheidung zu verbinden, und hat erwogen:
2.1.1. Die §§ 4, 10, 11 und 26 DSG 2000, BGBl. I Nr. 165/1999, lauteten in der im Beschwerdefall maßgeblichen Fassung vor der DSG-Novelle 2010, BGBl. I Nr. 133/2010, auszugsweise (§ 26 in der Fassung BGBl. I Nr. 136/2001):
"§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
Tabelle in neuem Fenster öffnen
1. | ... |
4. | 'Auftraggeber': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber; |
5. | 'Dienstleister': natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden (Z 8); |
... | |
8. | 'Verwenden von Daten': jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten; |
9. | 'Verarbeiten von Daten': das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Z 12) von Daten; |
... | |
11. | 'Überlassen von Daten': die Weitergabe von Daten vom Auftraggeber an einen Dienstleister; |
12. | 'Übermitteln von Daten': die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber |
hinaus auch die Verwendung von Daten für ein anderes | |
Aufgabengebiet des Auftraggebers; | |
… | |
Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen |
§ 10. (1) Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.
…
Pflichten des Dienstleisters
§ 11. (1) Unabhängig von allfälligen vertraglichen Vereinbarungen haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:
1. die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden; insbesondere ist die Übermittlung der verwendeten Daten ohne Auftrag des Auftraggebers verboten;
…
5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten;
6. dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen notwendig sind.
(2) Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der in Abs. 1 genannten Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten.
5. Abschnitt
Die Rechte des Betroffenen
Auskunftsrecht
§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
…
(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluss des Verfahrens nicht vernichten."
2.1.2. Die §§ 92 und 97 Telekommunikationsgesetz 2003 (in der Folge: TKG), BGBl. I Nr. 70/2003, lauteten auszugsweise:
"§ 92. (1) …
…
(3) In diesem Abschnitt bezeichnet unbeschadet des § 3 der Begriff
1. …
…
3. 'Stammdaten' alle personenbezogenen Daten, die für die Begründung, die Abwicklung, Änderung oder Beendigung der Rechtsbeziehungen zwischen dem Benutzer und dem Anbieter oder zur Erstellung und Herausgabe von Teilnehmerverzeichnissen erforderlich sind; dies sind:
Tabelle in neuem Fenster öffnen
a) | Familienname und Vorname, |
b) | akademischer Grad, |
c) | Wohnadresse, |
d) | Teilnehmernummer und sonstige Kontaktinformation für die Nachricht, |
e) | Information über Art und Inhalt des Vertragsverhältnisses. |
f) | Bonität; |
4. | … |
§ 97. (1) Stammdaten dürfen unbeschadet der §§ 90 Abs. 6 und 96 Abs. 2 von Betreibern nur für folgende Zwecke ermittelt und verarbeitet werden:
1. Abschluss, Durchführung, Änderung oder Beendigung des Vertrages mit dem Teilnehmer;
Tabelle in neuem Fenster öffnen
2. | Verrechnung der Entgelte; |
3. | Erstellung von Teilnehmerverzeichnissen, auch gemäß § 18 und |
4. | Erteilung von Auskünften an Notrufträger. |
(2) Stammdaten sind spätestens nach Beendigung der vertraglichen Beziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen."
2.2. Die angefochtenen Bescheide beruhen hinsichtlich ihres jeweils unter Punkt 1. enthaltenen Auftrags (Auskunftserteilung über alle zur Person der Mitbeteiligten als Ergebnis von Bonitätsprüfungen im Jahr 2007 verarbeitete Daten, insbesondere Scoring-Werte) auf der Auffassung, die Beschwerdeführerin sei bei der Auskunftserteilung auch verpflichtet gewesen, das System der D GmbH als ihrer Dienstleisterin mit einzubeziehen. Das Auskunftsrecht nach § 26 Abs. 1 DSG 2000 stelle auch nicht darauf ab, ob Daten rechtmäßig gespeichert würden. Eine datenschutzrechtliche Auskunft müsse auch rechtswidrig verarbeitete Daten umfassen.
Die Beschwerdeführerin wendet demgegenüber ein, nach § 97 Abs. 2 TKG zur Löschung der Stammdaten der Mitbeteiligten verpflichtet gewesen zu sein und nach dieser Löschung keinen Einfluss mehr auf die Datenverarbeitung der D GmbH gehabt zu haben. Aus § 152 Abs. 2 GewO 1994 folge die Eigenverantwortlichkeit der D GmbH im Sinne des § 4 Z 4 letzter Satz DSG, sodass die D GmbH nach diesem Zeitpunkt als Auftraggeberin anzusehen gewesen sei.
2.3. Der Verwaltungsgerichtshof geht im Zusammenhalt mit der Begründung der angefochtenen Bescheide davon aus, dass sich der jeweilige Auftrag in den angefochtenen Bescheiden ungeachtet der umfassenden Formulierung lediglich darauf erstreckt, den Mitbeteiligten auch Auskunft über allenfalls bei der D GmbH im Zeitpunkt der Auskunftserteilung noch vorhandene Daten zu erteilen.
2.4.1. Der belangten Behörde ist grundsätzlich dahin gehend zu folgen, dass die Beschwerdeführerin hinsichtlich der Berechnung der sogenannten "Scoring-Werte" als Auftraggeberin im Sinne des § 4 Z 4 DSG 2000 anzusehen ist (vgl. in diesem Sinne das hg. Erkenntnis vom , Zl. 2009/17/0223).
2.4.2. Auf Grund der Löschungsverpflichtung nach § 97 Abs. 2 TKG 2003 kann die Auskunftsverpflichtung nach § 26 Abs. 1 DSG 2000 sich nicht auf die von der Beschwerdeführerin in der Vergangenheit verarbeiteten Daten beziehen.
2.4.3. Wenn jedoch, wie der Verwaltungsgerichtshof in seinem Erkenntnis vom , Zl. 2009/17/0223, zu Grunde gelegt hat, die Beschwerdeführerin als Auftraggeberin im Sinne des § 4 Z 4 DSG 2000 hinsichtlich der gegenständlich erfolgten Datenverarbeitung anzusehen ist, trifft es zu, dass sich ihre Auskunftsverpflichtung als Auftraggebers im Sinne des § 4 Z 4 DSG 2000 nach § 26 Abs. 1 DSG auch auf die durch den Dienstleister gemäß § 4 Z 5 DSG 2000 (die D GmbH) im Rahmen des Auftrags verarbeiteten Daten erstreckt.
2.4.4. Dem Einwand der Beschwerdeführerin, die Auftraggebereigenschaft sei mit der Löschung der Daten nach § 97 Abs. 2 TKG 2003 auf die D GmbH übergegangen, ist Folgendes entgegenzuhalten:
§ 4 Z 4 letzter Satz DSG 2000 setzte in der hier anwendbaren Fassung (vor der Novelle des Jahres 2010) dafür, dass der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber gilt, voraus, dass "dem Auftragnehmer anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt" wurde oder aber "der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen" habe. Die Vorschrift kommt daher dann nicht zur Anwendung, wenn die Entscheidung über die Verwendung der Daten vom (zivilrechtlichen) Auftraggeber getroffen wird (vgl. auch die nunmehrige Fassung des § 4 Z 4 DSG 2000, "wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten (Z 8) zu verwenden"). Im vorliegenden Zusammenhang wurde jedoch der Algorithmus, nach dem die "Scoring-Werte" berechnet wurden, von der Beschwerdeführerin vorgegeben. Damit wurde auch die Entscheidung getroffen, welche Daten für die Berechnung erforderlich waren. § 4 Z 4 letzter Satz DSG 2000 ist daher im gegebenen Zusammenhang nicht einschlägig.
Im Übrigen würde bei einer Anwendbarkeit des § 4 Z 4 letzter Satz DSG 2000 die Auftraggeberstellung der D GmbH nicht erst mit der Löschung der Daten nach § 97 Abs. 2 TKG 2003 durch die Beschwerdeführerin entstehen, sondern die D GmbH hätte dann, wenn sie eigenständig hätte entscheiden können, welche Daten sie heranzieht, von Anfang an insofern die Auftraggeberstellung gehabt.
2.4.5. Der Gesetzgeber hat in § 11 Abs. 1 Z 5 DSG 2000 die Verpflichtung des Dienstleisters normiert, dem Auftraggeber "nach Beendigung der Dienstleistung" alle Verarbeitungsergebnisse und die Daten ("die Unterlagen, die Daten enthalten") entweder zu übergeben, in dessen Auftrag weiter aufzubewahren oder zu vernichten. Diese Verpflichtung besteht nach dem Einleitungssatz des § 11 Abs. 1 DSG 2000 "unabhängig von allfälligen vertraglichen Vereinbarungen". Gemäß § 11 Abs. 1 Z 6 DSG 2000 trifft den Dienstleister die Verpflichtung, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter den Z 1 bis 5 genannten Verpflichtungen notwendig sind (vgl. auch § 10 Abs. 1 DSG 2000).
Gemäß § 11 Abs. 2 DSG 2000 sind Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der in Abs. 1 genannten Pflichten, also auch der Rückgabe- bzw. Vernichtungspflicht, soweit nicht ein Vertrag über die Aufbewahrung besteht, "zum Zweck der Beweissicherung schriftlich festzuhalten".
Aus den genannten Vorschriften kann im Zusammenhang mit der hier schlagend gewordenen Verpflichtung, auch Auskunft über allenfalls beim Dienstleister (noch) vorhandene Daten über die Mitbeteiligten zu erteilen, geschlossen werden, dass den Auftraggeber jedenfalls eine Erkundigungspflicht hinsichtlich solcher Daten trifft und er die ihm vom Dienstleister übermittelten Informationen an die Auskunftswerber weiterzuleiten hat.
Auch wenn die D GmbH nach § 11 Abs. 1 Z 5 DSG 2000 zur Vernichtung jener "Verarbeitungsergebnisse" und "Unterlagen, die Daten enthalten" verpflichtet war, die nicht an die Beschwerdeführerin "übergeben" wurden, bestand für den Fall der rechtswidrigen Nichterfüllung durch den Dienstleister dieser Verpflichtung die Auskunftspflicht hinsichtlich solcher Daten für die Beschwerdeführerin.
2.5. Aus den vorstehenden Überlegungen folgt, dass der im jeweiligen Punkt 1. der angefochtenen Bescheide erteilte Auftrag nicht rechtswidrig ist.
2.6. Hinsichtlich der in den Punkten 2. und 3. des zur hg. Zl. 2008/17/0096 angefochtenen Bescheides bzw. des in Punkt 2. des zur hg. Zl. 2008/17/0097 angefochtenen Bescheides enthaltenen Aufträge (Name und Adresse von Dienstleistern bekannt zu geben bzw. zu Zl. 2008/17/0096 zusätzlich die Auskunft über den logischen Ablauf der automatisierten Entscheidungsfindung im Bonitätsprüfungssystem zu erteilen) enthalten die Beschwerden keinerlei Ausführungen.
Es ist für den Verwaltungsgerichtshof nicht ersichtlich, inwiefern die angefochtenen Bescheide in diesen Punkten rechtswidrig sein sollten.
2.7. Aus den dargelegten Erwägungen ergibt sich, dass die beschwerdeführende Partei durch die angefochtenen Bescheide in ihren Rechten weder wegen der geltend gemachten noch wegen einer vom Verwaltungsgerichtshof aus eigenem aufzugreifenden Rechtswidrigkeit verletzt worden ist.
Die Beschwerde war infolgedessen gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.
2.8. Die Kostenentscheidung gründet sich auf die §§ 47 ff VwGG in Verbindung mit der VwGH-Aufwandersatzverordnung 2008, BGBl. II Nr. 455, insbesondere deren § 3 Abs. 2.
Wien, am