TE Bvwg Erkenntnis 2020/3/31 W258 2221952-1

W258 2221952-1/3E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerde von XXXX , vertreten durch CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, 1010 Wien, Gauermanngasse 2, mitbeteiligte Partei vor dem Bundesverwaltungsgericht XXXX gegen den Bescheid der Datenschutzbehörde vom XXXX , GZ XXXX , in nichtöffentlicher Sitzung in einer datenschutzrechtlichen Angelegenheit

A1) beschlossen:

Die Beschwerde gegen Spruchpunkt 3., mit dem der Antrag der mitbeteiligten Partei auf Aussetzung des Verfahrens gemäß § 38 AVG zurückgewiesen worden ist, wird zurückgewiesen;

A2) und zu Recht erkannt:

Im Übrigen wird die Beschwerde abgewiesen.

B) Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.

ENTSCHEIDUNGSGRÜNDE:

Verfahrensgegenständlich ist die Frage, ob ein Mieterbeirat einer Wohnhausanlage iSd Mitbestimmungsstatus der XXXX Verantwortlicher im Sinne der DSGVO sein kann, bejahendenfalls, ob der Beschwerdeführer, ein Mieterbeirat im vorgenannten Sinn, ein datenschutzrechtliches Auskunftsbegehren der mitbeteiligten Partei erfüllt hat.

I. Verfahrensgang:

1. Die mitbeteiligte Partei behauptete mit Eingabe vom 04.07.2018, verbessert mit Eingaben vom 23.07.2018, 06.08.2018 und 07.08.2018, eine Verletzung in ihrem Recht auf Auskunft, weil ihr Auskunftsbegehren an die Beschwerdeführerin vom XXXX unverständlich und unrichtig beantwortet worden sei.

2. Über die - zuerst an die XXXX gerichtete - Aufforderung zur Stellungnahme der belangten Behörde vom 12.09.2018 brachte jene mit Stellungnahme vom 25.09.2019 zusammengefasst vor, der Beschwerdeführer sei als Mieterbeirat erste Anlaufstelle für die Bewohner und Schnittstelle in der Kommunikation zwischen den Mietern untereinander sowie zwischen den Mietern und der Hausverwaltung. Da im Mitbestimmungsstatut, in dem die Mieterbeiräte geregelt seien, keine Datenverarbeitung durch Mieterbeiräte vorgesehen sei, würden weder die Mieterbeiräte noch ihre Obleute personenbezogene Daten verarbeiten.

3. Mit Eingabe vom 12.10.2018 replizierte die mitbeteiligte Partei zusammengefasst, die übermittelten Beilagen würden nicht von der Beschwerdeführerin, sondern von der XXXX stammen, die nach dem Mitbestimmungsstatut nicht Mitglied des Mieterbeirates und daher nicht berechtigt sei, für den Beschwerdeführer Auskünfte zu erteilen.

4. Über Aufforderung der belangten Behörde - nunmehr an den Beschwerdeführer adressiert - brachte er mit Stellungnahmen vom 07.02.2019 und 20.02.2019 sinngemäß vor, die mitbeteiligte Partei sei von ihm an die zuständige Kundenmanagerin von XXXX verwiesen worden bzw sie müsse sich an XXXX wenden. Eine Datenschutzverletzung liege nicht vor, weil er weder eine Telefonnummer noch eine E-Mail-Adresse der mitbeteiligten Partei, sondern lediglich ihre Bitten, Beschwerden und Wünsche telefonisch an die Kundenmanagerin weitergegeben habe.

5. Am 27.03.2019 replizierte die mitbeteiligte Partei, dass die Ausführungen des Beschwerdeführers nach wie vor nicht die erforderlichen Inhalte einer Auskunft enthalten. Darüber hinaus sei der Umstand, dass sie kein Telefon besitze, kein Beweis dafür, dass keine Nummer weitergegeben worden wäre. Die Obfrau des Beschwerdeführers habe der mitbeteiligten Partei auch E-Mails zugesandt und selbst dargelegt, Daten mit XXXX über deren Kundenmanagerin ausgetauscht zu haben. Weiters werde die Aussetzung des Verfahrens beantragt.

6. Mit Bescheid vom XXXX gab die belangte Behörde der Beschwerde der mitbeteiligten Partei statt, stellte fest, dass der Beschwerdeführer die mitbeteiligte Partei dadurch in ihrem Recht auf Auskunft verletzt habe, indem er der mitbeteiligten Partei die Informationen gemäß Art 15 Abs 1 lit a bis h DSGVO nicht erteilt habe (Spruchpunkt 1.), trug dem Beschwerdeführer auf, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution, der mitbeteiligten Partei Auskunft über personenbezogene Daten der mitbeteiligten Partei "zu den in Art 15 Abs 1 lit a bis h DSGVO aufgezählten Informationen zu erteilen" (Spruchpunkt 2.) und wies den Antrag auf Aussetzung des Verfahrens zurück (Spruchpunkt 3.). Begründend führte die belangte Behörde zusammengefasst aus, dem Beschwerdeführer komme die Stellung eines Verantwortlichen iSd DSGVO zu, sei Adressat der Betroffenenrechte der DSGVO und habe daher die von der mitbeteiligten Partei beantragte Auskunft gemäß Art 15 DSGVO zu erteilen; bislang sei die Auskunft nicht erteilt worden. Auf Aussetzung eines Verfahrens bestehe kein Rechtsanspruch, weshalb der darauf gerichtete Antrag zurückzuweisen war.

7. Gegen diesen Bescheid richtet sich die gegenständliche Beschwerde wegen inhaltlicher Rechtswidrigkeit und Rechtswidrigkeit auf Grund der Verletzung von Verfahrensvorschriften. Begründend führt der Beschwerdeführer zusammengefasst aus, er sei kein Verantwortlicher, weil ihm keine Entscheidungsfreiheit über Zwecke und Mittel einer etwaigen Datenverarbeitung zukomme und auch das Mitbestimmungsstatut keine rechtlichen Grundlagen für Datenverarbeitungen durch den Beschwerdeführer enthalte. Auch die frühere Meldung der Datenanwendung der "Hausverwaltung XXXX " im Datenverarbeitungsregister habe keine Datenverarbeitung durch den Mieterbeirat als Verantwortlichen enthalten. Die Weiterleitung der Wünsche, Beschwerden und Bitten der mitbeteiligten Partei sei stets nur telefonisch erfolgt, wobei der Beschwerdeführer zu keiner Zeit beabsichtigt habe, diese Informationen iSd DSGVO zu verarbeiten. Selbst für den Fall, dass der Beschwerdeführer als Verantwortlicher iSd DSGVO zu qualifizieren wäre, habe er eine dem Gesetz entsprechende Negativauskunft erteilt, indem er der mitbeteiligten Partei mitgeteilt habe, dass er keine Daten über sie verarbeite; dies ergebe sich aus seiner Korrespondenz mit der mitbeteiligten Partei und der belangten Behörde. Die belangte Behörde habe darüber hinaus keine Feststellungen zur Frage getroffen, inwieweit die mitbeteiligte Partei selbst im Mieterbeirat mitwirke; tatsächlich sei sie kooptiert, was ein weiteres Indiz dafür wäre, dass der Beschwerdeführer kein Verantwortlicher sei. Da die Schreiben des Beschwerdeführers vom 07.02.2019 und 20.02.2019 eine Diskrepanz zwischen dem Verständnis einer Datenverarbeitung nach DSGVO durch den Beschwerdeführer und dem tatsächlichen Nichtvorliegen einer Datenverwendung aufzeigen, hätte die belangte Behörde sicherstellen müssen, dass der Beschwerdeführer ihre Schreiben richtig versteht.

8. Die belangte Behörde legte die Beschwerde unter Anschluss des Verwaltungsakts mit Schriftsatz vom 11.07.2019, hg eingelangt am 01.08.2019, dem erkennenden Gericht vor.

Beweise wurden erhoben durch Einsichtnahme in den Verwaltungsakt und in das Mitbestimmungsstatut der XXXX vom 01.01.2015.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Der folgende Sachverhalt steht fest:

1.1. XXXX ist Obfrau des Beschwerdeführers.

1.2. Die mitbeteiligte Partei stellte mit Schreiben vom 02.02.2018 ein Auskunftsbegehren an die "Vorsitzende" des Beschwerdeführers.

1.3. Die Obfrau des Beschwerdeführers hat das Auskunftsbegehren mit einem handschriftlich verfassten Schreiben mit folgendem Inhalt beantwortet (Fehler im Original):

"S.g. Herr [...]!

Ihr E-Mail Konto funktioniert nicht!

Ich habe 0 Daten von Abstellplätzen. (Datenschutz lt. XXXX ) Somit würde ich Sie bitten

1) Schreiben Sie künftig KONKRET auf was Sie wissen möchten, da ich kein Rechtsanwalt bin und nicht gewillt bin, dass ich mir § aus dem Internet raus suche.

2) Wenden Sie sich mit diesem Anliegen direkt an Frau [...].

3) Sollte dieser Mieter ein Problem haben, so soll dieser direkt zu mir kommen! [...]"

1.4. Die mitbeteiligte Partei reagierte darauf mit Schreiben vom 06.02.2018:

"[...] Sg Fr [...],

ich darf mich auf Ihre gestrige Nachricht beziehen, die ich um 16:00 im EU-konformen Zustellfach vorfand.

Nach den gesetzlichen Bestimmungen wäre eine Auskunft nach DSG idgF verständlich abzufassen. Dazu wollen Sie ausführen in welchem Bezug ich zur Agenda der Abstellplätze stehe.

Ja, auch als Vorsitzende des XXXX Mieter Beirates sind Sie kein Rechtsanwalt. Das müssen Sie dazu auch nicht sein. Und auch nicht zur Erteilung einer Auskunft nach DSG idgF. Insoweit gab ich Ihnen eine Hilfestellung durch den Link zum BKA.

Wieso soll ich XXXX kontaktieren, wenn ich von Ihnen als Vorsitzende des XXXX Mieter Beirates eine Auskunft nach DSG idgF begehre? Welche Rolle spielt Fr [...] der XXXX in der Agenda der Abstellplätze? Dazu wollen Sie auch näher verständlich ausführen.

Um exemplarisch (beispielhaft) - also ohne Ausschlusswirkung - zu konkretisieren sehe ich von Ihrer Auskunft nach DSG idgF umfasst, wenn Sie Termine für mich vereinbaren oder an andere Organisationen E-Mails erteilen. Dazu wollen Sie im Sinne des DSG idgF neben verständlich auch umfassend (vollständig) ausführen. [...]"

1.5. Im verwaltungsbehördlichen Verfahren führte die Obfrau des Beschwerdeführers mit Stellungnahme vom 07.02.2019 an die belangte Behörde auszugsweise aus (bereinigt um grammatikalische und orthographische Fehler):

"[...] .) Ich bin EHRENAMTLICHER Mieterbeirat - Herr XXXX ist kooptiert.

.) Jegliche Auskunft, wie Parkplätze und dergl. sind für Mieterbeiräte ebenso ein Datenschutz Punkt, worauf XXXX sich beruft - deshalb wurde Herr [...] von mir an Frau [...] (die zuständige Kundenmanagerin) verwiesen, was bei meinen Schreiben, das von Ihnen beigefügt wurde, ersichtlich ist.

.) Was die Abrechnung der BKA betrifft, so holt Herr [...] sich jedes Jahr die detaillierte Auflistung, die XXXX zur Verfügung stellt. Wenn diesbezüglich Fragen auftreten sollten, so muss er sich auch hier an XXXX wenden, da jegliche Auskunft auch für mich als Vorsitzender unter Datenschutz fallen.

.) Dass ein Mieterbeirat, der, ich möchte dies nochmals betonen, es ehrenamtlich macht, Auskunft erhält, diese Zeit ist vorbei.

Ich möchte Sie bitten, dass Sie Herrn [...] mitteilen, da von mir die Auskunft nicht akzeptiert wird, er soll sich bitte um weitere Auskünfte mit XXXX in Verbindung setzen, da ich künftig nur noch als Antwort ?Datenschutz' bekomme (bei Rückfragen, ob diese Aussage richtig ist, bitte an die zuständigen Angestellten von XXXX wenden).

Ich verstehe nicht, wenn ein Mieter diese Tätigkeit ehrenamtlich ausübt, ihn gleich ?angedroht' wird. Dass es seitens XXXX Datenschutz Punkte gibt, die streng eingehalten werden müssen, sollte gerade einer Behörde wie Ihnen bekannt sein! [...]"

1.6. In ihrer weiteren Stellungnahme vom 20.02.2019 an die belangte Behörde gibt die Obfrau des Beschwerdeführers ergänzend an (bereinigt um grammatikalische und orthographische Fehler):

"[...] ich habe weder, da lt. seiner Aussage er kein Telefon besitzt, eine Nummer von Herrn [...] weitergegeben, noch eine Mail Adresse, da auch er eine solche nicht besitzt. Das einzige, das ich immer wieder weitergegeben habe, war, telefonisch an die Kundenmanagerin Frau [...] seine Bitten/Beschwerden/Wünsche. Da es von ihm bei egal welchem Thema immer erwünscht wurde, so habe ich meiner Meinung nach nichts verletzt. Ich hoffe Ihnen nun mit dieser Aussage geholfen zu haben und verbleibe [...]"

1.7. Die unter Pkt 1.5. und 1.6. zitierten Stellungnahmen wurden der mitbeteiligten Partei durch die belangte Behörde übermittelt; die mitbeteiligte Partei hat in Bezug auf ihr Auskunftsbegehren vom 02.02.2018 keine weiteren als die unter Pkt 1.3., 1.5. und 1.6. genannten Schreiben von der Obfrau des Beschwerdeführers erhalten.

1.8. Der Beschwerdeführer kommuniziert durch seine Obfrau mit den Mietern in Erfüllung seiner Aufgaben auch mittels E-Mail.

2. Die Feststellungen ergeben sich aus der folgenden Beweiswürdigung:

Die Feststellungen gründen auf dem unbedenklichen Verwaltungsakt und der Einsicht in das Mitbestimmungsstatut der XXXX vom 01.01.2015, (abrufbar unter https:// XXXX .html), auf das sich sowohl die belangte Behörde in der Bescheidbegründung als auch der Beschwerdeführer in der Beschwerde beziehen.

Dass der Beschwerdeführer durch seine Obfrau mit den von ihm betreuten Mietern auch per E-Mail kommuniziert, folgt aus den Angaben der Obfrau des Beschwerdeführers in ihrem handschriftlichen Schreiben an die mitbeteiligte Partei, wonach sein E-Mail-Konto nicht funktioniere. Dies impliziert, dass sie versucht hat, mit der mitbeteiligten Partei mittels E-Mail zu kommunizieren. Dass die Kommunikation nicht nur zur Beantwortung des Auskunftsbegehrens erfolgt hat, sondern auch in Erfüllung ihrer Aufgaben als Obfrau des Mieterbeirats folgt aus dem weiteren Inhalt dieses Schreiben, in dem sie sich ua auf Mieter bezieht, die bei Problem zu ihr kommen sollen.

3. Rechtlich folgt daraus:

Zu A1) Zurückweisung der Beschwerde gegen Spruchpunkt 3.:

Mit Spruchpunkt 3. hat die belangte Behörde den Antrag der mitbeteiligten Partei auf Aussetzung des Verwaltungsverfahrens zurückgewiesen. Die dagegen erhobene Beschwerde, die sich ausdrücklich auf alle Spruchpunkte bezieht, ist nicht zulässig.

Art 132 Abs 1 B-VG regelt die (prozessuale) Berechtigung zur Erhebung einer Beschwerde gegen Bescheide wegen Rechtswidrigkeit beim Verwaltungsgericht (Beschwerdelegitimation). Die Beschwerdelegitimation ist eine Prozessvoraussetzung, die vorliegen muss, damit das Gericht in der Hauptsache (dh über den geltend gemachten Anspruch) verhandeln und erkennen kann. Voraussetzung der Beschwerdelegitimation für eine Parteibeschwerde ist die Behauptung, durch den angefochtenen Bescheid in einem oder mehreren eigenen subjektiven Rechten verletzt zu sein, und dass eine solche Verletzung gegenüber dem Beschwerdeführer wenigstens möglich ist (Kolonovits/Muzak/Stöger, Verwaltungsverfahrensrecht10 Rz 700, 703, mwN; vgl dazu auch VwGH 06.07.2016, Ra 2015/01/0037; 16.11.2011, 2011/17/0111).

Da § 38 AVG keiner Partei einen Anspruch auf Aussetzung eines Verfahrens einräumt (vgl VwGH 11.07.2019, Ra 2019/03/0029, mwN), kann der Beschwerdeführer durch die Zurückweisung eines entsprechenden Antrags in seinen subjektiven Rechten nicht verletzt sein. Ihm mangelt somit die Beschwerdeberechtigung, weshalb spruchgemäß zu entscheiden war.

Zu A2) Abweisung der Beschwerde hinsichtlich Spruchpunkt 1. und 2. des bekämpften Bescheids:

Die - zulässige - Beschwerde gegen Spruchpunkt 1. und 2. des bekämpften Bescheids, wonach der Beschwerdeführer die mitbeteiligte Partei in ihrem Recht auf Auskunft verletzt und er ihr Auskunft zu erteilen habe, ist nicht berechtigt.

3.1. Zur anwendbaren Rechtslage:

Seit dem Auskunftsersuchen der mitbeteiligten Partei am 02.02.2018 hat sich die Rechtslage durch die DSGVO und das DSG geändert.

Übergangsbestimmungen finden sich ua in § 69 Abs 5 DSG, wonach Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens des DSG noch nicht anhängig gemacht wurden, nach der Rechtslage nach Inkrafttreten des DSG zu beurteilen sind. Die Judikatur des VwGH, wonach die Rechtslage zum Zeitpunkt des Stichtages anzuwenden ist, wenn darüber abzusprechen ist, was zu einem bestimmten Stichtag rechtens war, steht dem nicht entgegen, weil - wie in diesem Fall - der Gesetzgeber anderes regeln kann (siehe zB VwGH 24.03.2015, Ro 2014/09/0066).

Das Beschwerdeverfahren wurde bei der Datenschutzbehörde erst anhängig gemacht, nachdem das DSG in Geltung getreten ist. Sie hatte daher gemäß § 69 Abs 5 DSG die neue Rechtslage, dh das DSG und die DSGVO, anzuwenden, weshalb auch das erkennende Gericht die neue Rechtslage anzuwenden hat.

3.2. Die maßgeblichen rechtlichen Bestimmungen lauten:

3.2.1. Die Bestimmungen des DSG idF BGBl I Nr 14/2019 (in Folge kurz "DSG") lauten auszugsweise:

"Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt. [...]"

3.2.2. Die Bestimmungen der DSGVO lauten auszugsweise:

"Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. ?personenbezogene Daten' alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. ?Verarbeitung' jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

[...] 7. ?Verantwortlicher' die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; [...]"

"KAPITEL III

Rechte der betroffenen Person

Abschnitt 1

Transparenz und Modalitäten

Artikel 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; [...]"

"Artikel 15

Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen."

3.2.3. Das Mitbestimmungsstatut der XXXX vom 01.01.2015 (abrufbar unter XXXX ) normiert Folgendes:

"[...] § 5 Mieterbeirat

(1) Der Mieterbeirat nimmt die Interessen aller BewohnerInnen (bzw. auch BewohnerInnengruppen) wahr und führt die Beschlüsse der Hausversammlung aus. MietervertreterInnen üben ihre Funktion ehrenamtlich aus.

(2) Der Mieterbeirat besteht aus den in der Wahlversammlung (§ 8) gewählten MietervertreterInnen. Wird nur ein/e MietervertreterIn gewählt, übt diese Person die Funktion des gesamten Mieterbeirats aus.

(3) Im Mieterbeirat können auf Beschluss der BewohnerInnen in einer Hausversammlung (§ 10) auch BewohnerInnen als VertreterInnen von Interessensgruppen und Initiativen für einzelne Themen und Bereiche (z.B. Stiegen) zeitlich begrenzt auf die Dauer des Prozesses/Projektes Sitz und Stimme erhalten.

(4) - (10) [...]"

§ 6 Aufgaben des Mieterbeirats

(1) Der Mieterbeirat vertritt die Anliegen der BewohnerInnen gegenüber dem Eigentümer ( XXXX ) und der Hausverwaltung.

(2) Der Mieterbeirat hat zu gewährleisten, dass die Interessen unterschiedlicher von Entscheidungen betroffener BewohnerInnengruppen (Kinder, Jugendliche, Berufstätige, Senior-Innen, Behinderte, Frauen, Männer u.v.a.) bedacht und bei der Beschlussfassung in der Hausversammlung berücksichtigt werden.

(3) Der Mieterbeirat beruft mindestens einmal jährlich eine Hausversammlung ein, vollzieht Beschlüsse der Hausversammlung und berichtet den BewohnerInnen über seine Tätigkeit.

(4) Wendet sich ein/e BewohnerIn an den Mieterbeirat, hat dieser den Antrag in angemessener Frist zu behandeln. Die antragstellende Mietpartei ist auf dem Laufenden zu halten und von der Erledigung in Kenntnis zu setzen.

§ 7 Arbeitsweise des Mieterbeirats

(1) Wurden mehrere MietervertreterInnen gewählt, so haben sie aus ihrer Mitte eine/n Vorsitzende/n zu wählen und zu beschließen, wer die Funktion der Stellvertreterin/des Stellvertreters des/r Vorsitzenden, der Schriftführerin/des Schriftführers beziehungsweise deren/dessen StellvertreterInnen sowie sonstige zu definierende Funktionen (siehe Abs. 2) übernimmt. Werden mehrere StellvertreterInnen des/der Vorsitzenden bestimmt, sind diese StellvertreterInnen zu reihen.

(2) Die Funktionen des/der Vorsitzenden bzw. der Stellvertreterin/des Stellvertreters müssen bestimmt werden. Alle weiteren SprecherInnen für unterschiedliche BewohnerInnengruppen oder Themen können an einzelne MietervertreterInnen gebunden werden (z.B. Kinder/Jugendliche, BewohnerInnen mit Behinderung, Grünraum, Hofgestaltung, Betriebskosten etc.). Im Idealfall kann jede Person im Mieterbeirat alle unterschiedlichen Interessen mitberücksichtigen. Vor Abstimmungen oder Entscheidungen, die diese Gruppen in besonderem Maß betreffen, sind VertreterInnen dieser Gruppe (Kinder, Jugendliche, Menschen mit Behinderung etc.) unbedingt einzubeziehen.

(3) Die Aufteilung der durch Wahl bestimmten Funktionen (Konstituierung) ist XXXX mitzuteilen. Erfolgt dies nicht binnen vier Wochen nach der Wahl, erlischt deren Funktion. Es besteht dann kein Mieterbeirat.

(4) Die/der Vorsitzende vertritt den Mieterbeirat nach außen. Schriftstücke sind von XXXX an die/den Vorsitzende/n des Mieterbeirats zu übermitteln, es sei denn, es wurde ein/e andere/r MietervertreterIn als Zustellbevollmächtigte/r namhaft gemacht.

(5) Der Mieterbeirat wird von der/dem Vorsitzenden einberufen. Eine Einberufung soll mindestens zweimal jährlich stattfinden. Der Mieterbeirat ist beschlussfähig, wenn alle Beiratsmitglieder eingeladen wurden und mindestens die Hälfte von ihnen anwesend ist. Der Mieterbeirat fasst seine Beschlüsse mit einfacher Stimmenmehrheit. Bei Stimmengleichheit entscheidet die/der Vorsitzende.

(6) Die Beschlüsse des Mieterbeirats sind allen Mietparteien persönlich zuzustellen oder durch Hausanschlag in jedem Stiegenhaus kundzumachen. Zur Information der MieterInnen sollen regelmäßig Sprechstunden für die BewohnerInnen abgehalten werden. Die BewohnerInnen sind über Zeit und Ort zu informieren.

(7) Gewählte MietervertreterInnen haben ihre Funktion (Sitz- und Stimmrecht) persönlich auszuüben. [...]"

3.3. Für den gegenständlichen Fall ergibt sich unter Berücksichtigung der zitierten Rechtslage Folgendes:

3.3.1. Gemäß § 24 Abs 1 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten ua gegen die DSGVO verstößt. Gemäß Art 15 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine - dem Transparenzgebot des Art 12 Abs 1 DSGVO entsprechende - Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ua ein Recht auf Auskunft über diese personenbezogenen Daten, die in Art 15 Abs 1 lit a bis h DSGVO genannten Informationen und auf eine Kopie der personenbezogenen Daten. Verarbeitet der Verantwortliche keine personenbezogenen Daten über die betroffene Person, ist sie darüber zu informieren (arg "ob").

3.3.2. Der Beschwerdeführer bringt vor, er sei als Mieterbeirat kein Verantwortlicher im Sinne des Art 4 Z 7 DSGVO und damit kein Adressat eines Auskunftsbegehrens. So habe er keine Kompetenz über die Aspekte und Mittel einer Datenverarbeitung zu entscheiden, das Mitbestimmungsstatut enthalte keine rechtliche Grundlage zu Datenverarbeitungen als Verantwortlicher, auch die ehemalige Meldung der Datenanwendung "Hausverwaltung XXXX " im Datenverarbeitungsregister habe keine Datenverarbeitung durch den Beschwerdeführer als Verantwortlichen (damals Auftraggeber) enthalten und bei der telefonischen Weiterleitung von Wünschen, Beschwerden und Bitten des Beschwerdegegners handle es sich um keine Datenverarbeitung. Dem kann nicht gefolgt werden.

3.3.3. Der Beschwerdeführer ist als Mieterbeirat zwar weder natürliche noch juristische Person, er kann aber dennoch Verantwortlicher im Sinne der DSGVO sein:

3.3.3.1. Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art 4 Z 7 DSGVO).

3.3.3.2. Nach der bisherigen nationalen Rechtspraxis zur Datenschutz-Richtlinie bzw dem DSG 2000, ist einem Mieterbeirat zwar keine eigenständige Rechtspersönlichkeit zugekommen, er konnte aber als Personen- und Zweckgemeinschaft datenschutzrechtlicher Auftraggeber iSd (mit Geltung der DSGVO außer Kraft getretenen) § 4 Z 4 DSG 2000 und als solcher beschränkt Partei- und Rechtsfähig sein (vgl zur Frage, ob eine ARGE nach dem DSG 2000 Auftraggeber und Dienstleister sein kann, VwGH 27.04.2012, 2010/17/0003 mwN; allgemein zur Partei- und Rechtsfähigkeit siehe VwGH 28.11.2001, 2001/17/0111 mit Verweis auf den Beschluss vom 14.09.2001, 2001/19/0068 und Raschauer, Allgemeines Verwaltungsrecht5 Rz 57).

3.3.3.3. Durch die nunmehrige autonome Geltung der DSGVO in den einzelnen Mitgliedstaaten ist der Begriff des Verantwortlichen europarechtlich autonom auszulegen (siehe zur autonomen Auslegung des Begriffs der juristischen Person Raschauer in Sydow Handkommentar Datenschutzgrundverordnung (2016) Art 4 Rz 129) und kann auf die Rechtspraxis eines einzelnen Mitgliedstaaten nicht mehr zurückgegriffen werden; andernfalls käme es in den jeweiligen Mitgliedsstaaten - entgegen der Intention der DSGVO - zu unterschiedlichen datenschutzrechtlichen Verantwortlichkeiten.

3.3.3.4. Legt man den Begriff des "Verantwortlichen" europarechtlich autonom aus, erhellt bereits der Wortsinn des Art 4 Z 7 DSGVO, dass Verantwortliche nicht auf natürliche oder juristische Personen, Behörden und Einrichtungen beschränkt sind, sondern auch "andere Stellen" sein können. Verantwortlicher zu sein, hängt damit nicht von Organisations- oder Rechtsform ab (in diesem Sinne auch Hödl in Knyrim, DatKomm, Art 4 DSGVO Rz 81), sondern von funktionalen Gesichtspunkten. Daraus folgt, dass auch eine Personen- oder Zweckgemeinschaft als solche datenschutzrechtliche Verantwortliche - und in diesem Umfang beschränkt Partei- und Rechtsfähig - sein kann, und zwar unabhängig davon, ob ihr nach nationalem Recht Rechtspersönlichkeit zukommt oder nicht.

3.3.3.5. Der Beschwerdeführer ist eine Personen- und Zweckgemeinschaft zur Vertretung der Gemeinschaft der Mieter einer städtischen Wohnhausanlage und kann als solche daher datenschutzrechtlich Verantwortlicher sein.

3.3.4. Die Zuweisung der tatsächlichen Verantwortlichkeit für einer Datenverarbeitung erfolgt funktional anhand des tatsächlichen Einflusses auf die Verarbeitung der in Frage stehenden personenbezogenen Daten (siehe dazu Artikel-29-Datenschutzgruppe, WP 169, 10, zur Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("Datenschutzrichtlinie"), deren wesentliche Inhalte grundsätzlich auf die DSGVO übertragbar sind, weil der Begriff des Verantwortlichen nach der DSGVO dem der RL 95/46/EG entspricht). In diesem Sinne entscheidet derjenige, bei dem die faktische Verantwortung für die Verarbeitung liegt (Artikel-29-Datenschutzgruppe, WP 169, 11, 14).

3.3.5. Verantwortlichkeit kann sich dabei auch aufgrund einer impliziten Zuständigkeit ergeben: Dieser Fall ist gegeben, wenn die Fähigkeit zu entscheiden nicht ausdrücklich gesetzlich geregelt und auch keine direkte Folge konkreter gesetzlicher Bestimmungen ist, aber trotzdem aus allgemeinen gesetzlichen Bestimmungen oder geltender Rechtspraxis auf bestimmten Rechtsgebieten (Zivilrecht, Handelsrecht, Arbeitsrecht usw.) abzuleiten ist. In diesem Fall sind für die Ermittlung des für die Verarbeitung Verantwortlichen bestehende traditionelle Rollen richtungweisend, die üblicherweise eine bestimmte Verantwortlichkeit implizieren: zB Arbeitgeber in Bezug auf Daten über ihre Mitarbeiter, Verleger in Bezug auf Daten über Abonnenten oder Verbände in Bezug auf Daten über ihre Mitglieder oder Mitwirkenden. In all diesen Fällen kann die Fähigkeit zu entscheiden als natürliche Verknüpfung mit der funktionellen Rolle einer (privaten) Organisation betrachtet werden, die letztendlich auch Verantwortlichkeiten hinsichtlich des Datenschutzes mit sich bringt (Artikel-29-Datenschutzgruppe, WP 169, 13).

3.3.6. Die Entscheidungskompetenz hat sich auf Zweck und Mittel der Datenverarbeitung beziehen. Die Entscheidung über die Zwecke - dh über das erwartete Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet - der Verarbeitung, bedingt dabei stets eine Einstufung als für die Verarbeitung Verantwortlicher, wohingegen die Entscheidung über die Mittel - dh über die "Art und Weise, wie ein Ergebnis oder Ziel erreicht wird" - nur dann die Verantwortung für die Verarbeitung beinhaltet, wenn über wesentliche Aspekte der Mittel entschieden wird. Wesentliche Elemente, die traditionell und naturgemäß der Entscheidung durch den für die Verarbeitung Verantwortlichen vorbehalten sind, sind beispielsweise, welche Daten verarbeitet werden, wie lange die Verarbeitung erfolgt und wer Zugang zu den Daten erhält (Artikel-29-Datenschutzgruppe, WP 169, 16 f).

3.3.7. Angewendet auf den gegenständlichen Fall bedeutet das:

3.3.8. Die Bestimmungen über den Mieterbeirat, seine Zusammensetzung, Konstituierung, Rechte, Pflichten und Arbeitsweise finden sich im Mitbestimmungsstatut der XXXX , einer öffentlichen, vom Gemeinderat beschlossenen Bekanntgabe der XXXX . Mieterbeiräte bestehen aus gewählten Mietervertretern und vertreten die Anliegen der Bewohner gegenüber dem Eigentümer und der Hausverwaltung (siehe § 5 Abs 2 und 6 Abs 1 Mitbestimmungsstatut). Er beruft mindestens einmal jährlich eine Hausversammlung ein, vollzieht Beschlüsse der Hausversammlung, berichtet den Bewohnern über seine Tätigkeit (§ 6 Abs 1 und 3 Mitbestimmungsstatut) und ist unter den in § 7 Abs 5 Mitbestimmungsstatut genannten Voraussetzungen beschlussfähig. Weiters können sich Bewohner an den Mieterbeirat wenden, der ein solches Anbringen in angemessener Frist zu behandeln und den antragstellenden Bewohner auf dem Laufenden zu halten sowie von der Erledigung in Kenntnis zu setzen hat (vgl § 6 Abs 4 Mitbestimmungsstatut).

3.3.9. Regelungen, wie ein Mieterbeirat seine Aufgaben zu erfüllen hat, finden sich im Mitbestimmungsstatut nur punktuell. So hat ein Mieterbeirat beispielsweise bestimmte Informations- bzw Mitteilungspflichten gegenüber XXXX zu erfüllen (siehe zB § 5 Abs 5 und 7, § 7 Abs 3, § 9 Abs 1, § 10 Abs 12 Mitbestimmungsstatut) sowie Anträge der Bewohner in angemessener Frist zu behandeln und darüber zu informieren. Regelungen, ob und welche personenbezogenen Daten ein Mieterbeirat verwenden darf oder zu verwenden hat bzw wie die Verarbeitung zu erfolgen hat, finden sich nicht.

3.3.10. Daraus folgt einerseits, dass sich aus den Aufgaben des Mieterbeirats im Sinne der vorherigen Ausführungen der ehemaligen Artikel 29 Datenschutzgruppe implizit seine Kompetenz ergibt, all jene Daten zu verarbeiten, die für die Erfüllung dieser Aufgaben erforderlich sind. Der Beschwerdeführer kann sich daher nicht wie in seiner Beschwerde vorgebracht darauf berufen, dass er kein Verantwortlicher sei, weil im Mitbestimmungsstatut keine ausdrücklichen Bestimmungen zur Verwendung personenbezogener Daten enthalten wären.

3.3.11. Im Gegenteil folgt aus dem Fehlen derartiger Bestimmungen andererseits, dass die XXXX XXXX hinsichtlich der Verarbeitung personenbezogener Daten keinerlei Vorgaben macht und der Mieterbeirat alleinverantwortlich darüber entscheiden kann und zu entscheiden hat, welche Daten auf welche Art und Weise er zur Erfüllung seiner Aufgaben verarbeitet.

3.3.12. Für eine derartige Eigenverantwortlichkeit der Mieterbeiräte spricht - wie die belangte Behörde zutreffend ausführt - auch die Rolle der Mieterbeiräte als Interessenvertretung der Mieter gegenüber der Eigentümerin, dh der XXXX bzw XXXX . Andernfalls könnte die XXXX die Verarbeitung personenbezogener Daten, die der Mieterbeirat zur Erfüllung seiner Aufgaben benötigt, derart beeinflussen, dass er seine Aufgabe als Interessenvertretung nicht mehr erfüllen könnte.

3.3.13. Der Einwand des Beschwerdeführers, wonach eine allfällige Kooptierung der mitbeteiligten Partei ein Indiz dafür sein soll, dass der Beschwerdeführer kein Verantwortlicher iSd Art 4 Z 7 DSGVO sei, ist nicht nachvollziehbar: So können in den Mieterbeirat kooptierte Bewohner an Besprechungen des Mieterbeirats teilnehmen (siehe S 27 des Mitbestimmungsstatuts). Inwieweit sich dadurch die Kompetenz des Mieterbeirates ändert, personenbezogenen Daten zu verarbeiten, vermag die Beschwerde nicht darzutun.

3.3.14. Auch der Einwand des Beschwerdeführers, das Datenverarbeitungsregister habe keine Meldung einer Datenverarbeitung des Mieterbeirats als Aufraggeber (nunmehr Verantwortlichen) enthalten, vermag nicht zu überzeugen. Die - zum Teil automatisiert und lediglich auf Grund der Angaben des Meldenden übernommenen - Meldungen im - mit Geltung der DSGVO abgeschafften - Datenverarbeitungsregister, entfalten für die Frage, ob der Beschwerdeführer als Verantwortlicher im Sinne der DSGVO anzusehen ist, keinerlei Bindungswirkung für das erkennende Gericht.

3.3.15. In einer Gesamtschau folgt daher, dass der Beschwerdeführer selbst entscheidet, welche personenbezogenen Daten er zur Erfüllung der ihm nach dem Mitbestimmungsstatut übertragenen Aufgaben verarbeitet und auf welche Art die Verarbeitung erfolgt. Da er im Zuge der Erfüllung seiner Aufgaben personenbezogene Daten - zum Teil auch automationsunterstützt (E-Mail) - verarbeitet, ist auch der sachliche Anwendungsbereich des Art 2 Abs 1 DSGVO (nicht bloß unstrukturierte manuelle Datenverarbeitung) erfüllt. Er ist somit Verantwortlicher im Sinne des Art 4 Z 7 DSGVO und zulässiger Adressat eines Auskunftsbegehrens nach Art 15 DSGVO.

3.3.16. Mit Schreiben vom 02.02.2018 stellte die mitbeteiligte Partei ein Auskunftsbegehren an die Beschwerdeführerin. Ohne die konkret über die mitbeteiligte Partei verarbeiteten Daten zu nennen oder ihr mitzuteilen, dass er keine Daten über ihn verarbeite, bezog sich der Beschwerdeführer in seiner Antwort auf "Daten von Abstellplätzen". Die Urgenz der mitbeteiligten Partei vom 06.02.2018 blieb unbeantwortet. Auch in den vom Beschwerdeführer im behördlichen Verfahren eingebrachten Stellungnahmen führt er nicht aus, ob und allenfalls welche Daten er über die mitbeteiligte Partei verarbeitet. Zwar gibt die Obfrau des Beschwerdeführers in der Stellungnahme vom 20.02.2019 an, dass sie keine Telefonnummer oder Mail-Adresse, sondern nur Bitte/Beschwerden/Wünsche der mitbeteiligten Partei weitergegeben habe, aus dem objektiven Erklärungswert folgt aber - entgegen den Ausführungen des Beschwerdeführers - nicht, ob er diese Datenarten, zumindest die Bitten/Beschwerden/Wünsche, nicht noch auf andere Art verarbeitet, beispielsweise speichert, um ihn in Zukunft über den Fortgang der Bearbeitung seiner Anfrage zu informieren, oder andere Daten der mitbeteiligten Partei verarbeitet. Die Stellungnahme ist damit - würde man sie für sich oder in einer Gesamtschau mit den weiteren Stellungnahmen des Beschwerdeführers als Auskunft werten - auch weder präzise noch verständlich oder klar im Sinne des Art 13 DSGVO.

3.3.17. Da der Beschwerdeführer somit das Auskunftsbegehren der mitbeteiligten Partei nicht im Sinne des Art 15 DSGVO erfüllt hat, hat er sie in ihrem Recht auf Auskunft verletzt, weshalb die belangte Behörde diese Rechtsverletzung zu Recht festgestellt und ihre Behebung aufgetragen hat.

3.3.18. Da die belangte Behörde zu diesem Ergebnis bereits aus den vorliegenden objektiven Beweismitteln, dh dem Auskunftsbegehren der mitbeteiligten Partei, der Antwort der Beschwerdeführerin und der unbeantwortet gebliebenen Urgenz der mitbeteiligten Partei sowie aus dem Mitbestimmungsstatut, gelangen konnte, vermag der vom Beschwerdeführer in der Beschwerde erhobene Vorwurf, dass die belangte Behörde die Obfrau des Beschwerdeführers auf Grund ihres offensichtlichen fehlerhaften Verständnisses der Ausführungen der belangten Behörde, besser belehren hätte müssen, nicht darzutun, inwieweit es durch eine andere Belehrung zu einem für den Beschwerdeführer günstigeren Verfahrensausgang kommen hätte können.

3.3.19. Es war daher spruchgemäß zu entscheiden.

3.3.20. Da im Verfahren im Wesentlichen Rechtsfragen zu klären waren, konnte gemäß § 24 Abs 4 VwGVG von der Durchführung einer - nicht beantragten - mündlichen Verhandlung abgesehen werden.

Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. So fehlt es an Rechtsprechung des Verwaltungsgerichtshofs zur Frage, ob Interessensvertretungen, wie im gegenständlichen Fall der Mieterbeirat, als Verantwortliche iSd Art 4 Z 7 DSGVO anzusehen sind.