Der Hessische Verwaltungsgerichtshof hat mit Beschluss vom 02.01.2014 (Az.: 10 B 1397/13) entschieden, dass ein Kreditschutzunternehmen Dritten gegenüber keine Auskunft über die Sperrung von Daten geben darf. Die Auskunft darf auch nicht so ausgestaltet sein, dass sie von dem Anfragenden als versteckte Mitteilung einer Datensperrung verstanden werden kann.
Sachverhalt
Die Situation ist eine alltägliche. Im Zuge des Abschlusses eines gewerblichen Leasingvertrages für ein Auto möchte sich der Leasinggeber der Kreditwürdigkeit des Leasingnehmers versichern. Dazu fragt er bei Kreditschutzunternehmen an, ob Daten zu den Betroffenen vorlägen. Sind Einträge vorhanden, geht dies meist zu Lasten des Leasingnehmers. Im hier entschiedenen Fall wurde das Kreditschutzunternehmen, nach Beschwerden von Betroffenen, die neue Leasingverträge abschließen wollten, von der hessischen Datenschutzaufsichtsbehörde dazu verpflichtet bei teilweiser oder vollständiger Sperrung von Daten Betroffener, Dritten keine Auskünfte zu den Betroffenen zu erteilen, die einen Hinweis auf die Speicherung von Daten enthielten. Formulierungen, wie etwa „über gespeicherte Datenarten wird derzeit/generell keine Auskunft erteilt“, „… ist nicht möglich …“, „… ist nicht gestattet …“ seien unzulässig, da sie für anfragende Unternehmen dennoch den Schluss zuließen, dass Daten vorhanden seien und damit negative Folgen haben könnten.
Entscheidung
Wie auch schon das VG Darmstadt (Az.: 5 L 304/13.DA), so sieht der VGH den Bescheid der Datenschutzbehörde als rechtmäßig an. Die von dem Kreditschutzunternehmen bisher verwendete Formulierung, wonach „eine Auskunftserteilung zurzeit nicht möglich ist“, sei nämlich nicht mit den Vorgaben des § 35 Abs. 4a BDSG vereinbar. Danach darf die Tatsache der Sperrung von personenbezogenen Daten nicht übermittelt werden.
Nun kann man sich freilich auf den Standpunkt stellen, dass das Unternehmen ja die Tatsche der Sperrung gerade nicht mitteilt. Doch der VGH geht davon aus, dass der Gesetzgeber mit der Bestimmung in § 35 Abs. 4a BDSG offensichtlich sicherstellen wollte, „dass in der Außenwirkung für den Betroffenen, auf den sich die personenbezogenen Daten beziehen, die Sperrung dieselbe Wirkung entfaltet wie eine Löschung“. Die Auskunftserteilung im Fall der Sperrung muss also einer solchen wie im Fall der Löschung von Daten gleichen. Nur dann könne die mit der Sperrung, als gegenüber der Löschung geringerem Mittel, vom Gesetzgeber beabsichtigte gleiche Wirkung erreicht werden.
Für diese Auffassung scheint in der Tat der gesetzgeberische Wille zu sprechen. § 35 Abs. 4a BDSG beruht auf einem Entwurf zur Änderung des BDSG aus dem Jahre 2008 (BT-Drs. 16/10529). Dort heißt es (S. 19):
Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperre bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann.
Nun ist es freilich eine Auslegungsfrage, wer als Empfänger einer Auskunft etwas aus dem Wortlaut einer solchen schließen kann. Es wird jedoch davon ausgegangen, dass allein durch die Kenntnis, dass bestimmte Daten gesperrt wurden, negative Rückschlüsse auf den Betroffenen gezogen werden könnten. Formulierungen wie „zurzeit“ oder „derzeit“ sieht der VGH daher nicht als neutral genug an, um einem solchen Rückschluss vorbeugen zu können. Wie eine solche „Nichtmitteilung“ vorzunehmen ist, lässt das Gesetz jedoch offen. Der VGH erkennt an,
dass es im Einzelfall schwierig sein kann, diese dargelegten Voraussetzungen zu erfüllen. Dies kann jedoch nicht dazu führen, dass ein Betroffener, dessen personenbezogene Daten nicht gelöscht, sondern lediglich gesperrt sind, auskunftsbegehrenden Stellen gegenüber schlechter gestellt wird.
Was tun?
Die Datenschutzbehörde ordnete folgende Vorgehensweise an:
- Bei teilweise gesperrten Daten: Dritten zu diesen Daten keine Auskunft oder ausschließlich die Auskunft, dass zu den betroffenen Datenarten keine Daten gespeichert seien, zu geben
- Bei vollständiger Sperrung von Daten: Dritten zu dem Betroffenen keine Auskunft oder die Auskunft, dass keine Daten zu dem Betroffenen gespeichert seien, zu geben
Sowohl VG als auch VGH sahen diese Vorgaben als recht- und insbesondere auch verhältnismäßig an. Zur Not bleibe laut dem VGH eben nur eine Alternative: die Antwort zu verweigern.