TE Bvwg Erkenntnis 2020/9/23 W101 2132039-1

W101 2132039-1/15E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Christine AMANN als Vorsitzende, die fachkundige Laienrichterin Mag. Huberta MAITZ-STRASSNIG als Beisitzerin und den fachkundigen Laienrichter Dr. Michael GOGOLA als Beisitzer über die Beschwerde des XXXX gegen den Spruchteil 3. des Bescheides der Datenschutzbehörde vom 15.06.2016, GZ. DSB-D122.471/0007-DSB/2016, zu Recht erkannt:

A)

Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm § 24 Abs. 1 und Abs. 5 DSG idgF als unbegründet abgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

Der Beschwerdeführer erhob am 01.02.2016 eine Datenschutzbeschwerde gegen Google Inc. (= Beschwerdegegnerin vor der Datenschutzbehörde und mitbeteiligte Partei vor dem Bundesverwaltungsgericht) wegen Verletzung im Recht auf Auskunft. Er begründete seine Datenschutzbeschwerde im Wesentlichen folgendermaßen:

Er habe sein Auskunftsbegehren vom 30.10.2015 an die mitbeteiligte Partei per Einschreiben versandt und diesem Begehren als Identitätsnachweis eine Reisepasskopie angeschlossen. Zunächst hätte er im November 2015 ein Antwortschreiben der mitbeteiligten Partei in englischer Sprache erhalten. Mit Antwortschreiben der mitbeteiligten Partei vom 22.12.2015 in deutscher Sprache hätte er eine weitere Reaktion auf sein Auskunftsbegehren erhalten, auch bei dem Antwortschreiben vom 22.12.2015 habe er nicht die von ihm geforderten Auskünfte erhalten.

Mit dem Auskunftsbegehren vom 30.10.2015 forderte der Beschwerdeführer Auskunft über:

?        alle zu seiner Person verarbeiteten Daten,

?        die Informationen über ihre Herkunft,

?        allfällige Empfänger oder Empfängerkreise von Übermittlungen (iSd § 4 Z 12 DSG 2000),

?        den Zweck bzw. die Zwecke der Datenverwendung,

?        die Rechtsgrundlage(n) der Datenverwendung,

?        allfällige ihn betreffenden automatisierten Einzelentscheidungsfindungen und

?        die konkret herangezogenen Dienstleister.

Das Antwortschreiben der mitbeteiligten Partei vom 22.12.2015 lautete wörtlich folgendermaßen:

„In Beantwortung Ihres Auskunftsersuchens in Bezug auf Ihre personenbezogenen Daten möchten wir Sie auf Google Inc.‘s Online-Ressourcen verweisen, die Google Inc. ihren Nutzern zwecks Zugangs zu deren personenbezogenen Daten zur Verfügung stellt.

Diese Werkzeuge sind über die account settings (https://www.google.com/settings/datatools) zugänglich. Der Nutzer kann das Dashboard (https://www.google.com/settings/dashboard) verwenden, um schnell und einfach eine Zusammenfassung der mit seinem Konto im Zusammenhang stehenden Daten einzusehen, wie etwa E-Mails, Kontakte, Suchverlauf und Standortverlauf. Er kann auch Google Takeout (https://www.google.com/settings/takeout) benutzen, um eine Kopie der in seinem Konto gespeicherten Daten herunterzuladen.

Für den Fall, dass die erforderlichen Informationen nicht über die oben erwähnten Instrumente zugänglich sind, kann der Nutzer sein Ersuchen an Google Inc. über ein speziell dafür vorgesehenes Web-Formular (https://support.google.com/policies/contact/sar) stellen. Dieses ist über den Privacy Troubleshooter (https://support.google.com/policies/troubleshooter/2990837?hl=en&rd=2) zugänglich. Zwecks Authentifizierung der Identität des Nutzers verlangt Google Inc., dass sich der Nutzer in seinem Google Konto anmeldet, um auf das entsprechende Web-Formular zuzugreifen.

Bitte beachten Sie, dass Google Inc. – zwecks Sicherstellung, dass die Nutzerdaten geheim gehalten und die Daten nur direkt dem betroffenen Nutzer offengelegt werden – lediglich Auskunftsersuchen, die über das Google Konto des Nutzers gestellt werde, bearbeiten kann.

Zwecks Auffindens von Informationen, die durch Googles Suchmaschine indexiert wurden, kann die Google Suche verwendet werden. Wir hoffen auf Ihr Verständnis, dass Google Inc. in Beantwortung Ihres Auskunftsersuchens nicht einfach eine Liste von allen Ergebnissen (oder sogar Ausdrucke) erstellen kann, die in Verbindung mit dem Namen ‚ XXXX ‘ stehen. Da mehr als eine Person namens XXXX existiert, ist Google Inc. nicht in der Lage, festzustellen, ob solche Informationen Ihre Person betreffen.“

Im Zuge des Verwaltungsverfahrens holte die Datenschutzbehörde von beiden Parteien mehrere schriftliche Stellungnahmen ein.

Mit Bescheid vom 15.06.2016, GZ. DSB-D122.471/0007-DSB/2016, gab die Datenschutzbehörde einerseits in Spruchteil 1. der Datenschutzbeschwerde teilweise statt und stellte diesbezüglich fest, dass die mitbeteiligte Partei (= Beschwerdegegnerin vor der Datenschutzbehörde) den Beschwerdeführer (= Antragsteller bzw. Beschwerdeführer vor der Datenschutzbehörde) in seinem Recht auf Auskunft in insgesamt 7 Punkten verletzt habe und andererseits verpflichtete sie in Spruchteil 2. innerhalb einer Frist von vier Wochen bei sonstiger Exekution Auskunft gemäß Spruchteil 1. zu erteilen.

In folgenden Spruchunterpunkten des Spruchteiles 1. war eine Verletzung des Rechtes auf Auskunft festgestellt worden, indem die mitbeteiligte Partei keine Auskunft über

a)       außerhalb des Nutzerkontos des Beschwerdeführers zu seiner Person durch sie verarbeitete Daten,

b)       konkrete Empfänger oder Empfängerkreise von Übermittlungen der Daten des Beschwerdeführers, soweit dies nicht im Rahmen einer Online-Einsicht ersichtlich ist,

c)       die konkrete Herkunft der Daten des Beschwerdeführers, soweit dies nicht im Rahmen einer Online-Einsicht ersichtlich ist,

d)       den Beschwerdeführer allfällig betreffende automatisierte Einzelentscheidungsfindungen,

e)       den Zweck bzw. die Zwecke der Datenverwendung,

f)       die Rechtsgrundlage(n) der Datenverwendung sowie

g)       konkret herangezogene Dienstleister

erteilte.

In Spruchteil 3. dieses Bescheides war die Datenschutzbeschwerde „im Übrigen“ abgewiesen worden, d.h. hinsichtlich des Verweises auf die Einsicht in die von der mitbeteiligten Partei zur Verfügung gestellten Online-Werkzeuge.

Die Datenschutzbehörde stellte in diesem Bescheid im Wesentlichen folgenden Sachverhalt fest:

Der Beschwerdeführer habe mit Schreiben vom 30.10.2015 unter Beilage einer Ausweiskopie ein Auskunftsbegehren an die mitbeteiligte Partei gerichtet, in welchem er Auskunft über sämtliche im aktuellen Datenbestand der mitbeteiligten Partei zu seiner Person verarbeiteten Daten begehrt hätte. Er hätte dabei auch Auskunft über die Herkunft der Daten, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck bzw. Zwecke der Datenverwendung und die Rechtsgrundlage der Datenverwendung begehrt. Für den Fall, dass Daten automationsunterstützt zum Zweck der Bewertung einzelner Aspekte seiner Person verarbeitet würden und diese Verarbeitung rechtliche Folgen nach sich zögen oder ihn einer erheblich beeinträchtigenden Entscheidung unterwerfen würden, hätte er beantragt, ihm den logischen Ablauf der automatisierten Entscheidungsfindungen in allgemein verständlicher Form darzulegen. Ebenfalls hätte er die Bekanntgabe sämtlicher Dienstleister mit Namen und Adressen verlangt.

Mit Schreiben vom 22.12.2015 hätte die mitbeteiligte Partei dem Beschwerdeführer (in deutscher Sprache) mitgeteilt, dass in Beantwortung des Auskunftsersuchens auf die Online-Ressourcen verwiesen würde, welche die mitbeteiligte Partei ihren Nutzern zwecks Zugangs zu deren personenbezogenen Daten zur Verfügung stelle. Der Beschwerdeführer sei darauf hingewiesen worden, dass die mitbeteiligte Partei lediglich Auskunftsersuchen, die über das Google-Konto des Nutzers gestellt würden, bearbeiten könne. Zwecks Auffindung von Informationen, die durch die Suchmaschine der mitbeteiligten Partei indexiert würden, könne die Google-Suche verwendet werden. Abschließend sei der Beschwerdeführer auf Folgendes hingewiesen worden: „Wir hoffen auf Ihr Verständnis, dass Google Inc. in Beantwortung Ihres Auskunftsersuchens nicht einfach eine Liste von allen Ergebnissen (oder sogar Ausdrucke) erstellen kann, die in Verbindung mit dem Namen ‚ XXXX ‘ stehen. Da mehr als eine Person namens XXXX existiert, ist Google Inc. nicht in der Lage, festzustellen, ob solche Informationen Ihre Person betreffen.“

Mit Schreiben der mitbeteiligten Partei vom 24.02.2016 sei der Beschwerdeführer (wiederum in deutscher Sprache) mitgeteilt worden, dass er die zur Verfügung stehenden Online-Werkzeuge der mitbeteiligten Partei nutzen könne, um Auskunft über die zu seiner Person verarbeitenden Daten zu erhalten. Gleichzeitig sei ihm nochmals mitgeteilt worden, dass die Anmeldung über das Konto die einzig mögliche Form der Authentifizierung darstelle, die die mitbeteiligte Partei akzeptieren könne, weil durch die Vorlage eines Reisepasses alleine nicht sichergestellt werden könne, dass der Auskunftswerber der tatsächliche Nutzer des Kontos sei.

Der Beschwerdeführer habe die von der mitbeteiligten Partei zur Verfügung gestellten Online-Werkzeuge seit dem Absenden des Auskunftsbegehrens vom 30.10.2015 nicht in Anspruch genommen.

Die mitbeteiligte Partei stelle Online-Werkzeuge zur Verfügung, die Konto- und Nichtkontoinhaber von Diensten von ihr benützen könnten. Bei Kontoinhabern verlange die mitbeteiligte Partei, dass diese sich zwecks Identifizierung über ihr Konto anmelden. Die Online-Werkzeuge würden es Nutzern ermöglichen, einen Überblick über die über sie im Zusammenhang mit einem Konto stehenden gespeicherten Daten zu erlangen, diese Daten herunterzuladen sowie Einschränkungen und Löschungen vorzunehmen.

Die Datenschutzbehörde begründete den Ausspruch in Spruchteil 3. des o.a. Bescheides rechtlich im Wesentlichen folgendermaßen:

Der Beschwerdeführer moniere im Wesentlichen, dass die elektronische Einsicht in Datenbestände unter Ausnutzung der von der mitbeteiligten Partei angebotenen Online-Werkzeuge keine Auskunft iSd DSG 2000 darstelle, weil die Auskunft schriftlich zu erteilen sei.

Wenn der Beschwerdeführer vorbringe, dass ihm durch eine Online-Einsicht Kosten entstünden (wie etwa die Anschaffung eines PCs oder Laptops bzw. eines Druckers) so sei dem entgegenzuhalten, dass es sich dabei um so genannte „Sowieso“-Kosten handle, die mit der Nutzung des Internets verbunden seien. Dass der Beschwerdeführer Internetdienste in Anspruch nehme, ergebe sich schon aus der von ihm angegebenen E-Mailadresse.

Soweit sich die Datenschutzbeschwerde daher dagegen richte, dass die mitbeteiligte Partei den Beschwerdeführer keine Auskunft über die im Rahmen der von ihm genutzten Dienste der mitbeteiligten Partei verwendeten Daten erteilt hätte und soweit sich im Rahmen der Online-Einsicht diese Daten sowie konkrete Übermittlungsempfänger und die konkrete Herkunft von Daten nachvollziehen ließen, erweise sich die Datenschutzbeschwerde als unbegründet.

Gegen den Spruchteil 3. dieses Bescheides erhob der Beschwerdeführer fristgerecht eine Beschwerde.

Mit Schreiben der Datenschutzbehörde vom 15.06.2016 war die Beschwerde samt Verwaltungsakt an das Bundesverwaltungsgericht übermittelt worden.

Mit Schreiben vom 13.11.2019 brachte das Bundesverwaltungsgericht dem Beschwerdeführer zur Kenntnis, dass in einem sogenannten „Altfall“ (= Fall, der beim Bundesverwaltungsgericht bereits vor dem 25.05.2018 anhängig war) die neue Rechtslage nach der DSGVO und des DSG zur Anwendung komme, und bot ihm die Möglichkeit, zu allfälligen Änderungen im gegenständlichen Sachverhalt binnen vier Wochen eine schriftliche Stellungnahme abzugeben. Mit Schreiben vom selben Tag war auch der mitbeteiligten Partei die Möglichkeit geboten worden, zum gegenständlichen Sachverhalt eine schriftliche Stellungnahme abzugeben.

Mit Schreiben vom 16.12.2019 machte die mitbeteiligte Partei u.a. geltend, dass sie nunmehr den Namen „Google LLC“ trage und zwischenzeitlich, wie aus der beigelegten aktuellen Datenschutzerklärung ersichtlich (= Beilage ./1), nicht mehr datenschutzrechtlich Verantwortliche hinsichtlich der Nutzer der meisten Google-Dienste sei, welche Verbrauchern im europäischen Wirtschaftsraum und der Schweiz erbracht würden. Dies gelte insbesondere für die Suchmaschine und das Google-Konto.

Hinsichtlich der Schriftlichkeit machte die mitbeteiligte Partei in diesem Schreiben insbesondere geltend: Der unrichtigen Behauptung vom Beschwerdeführer, eine Online-Auskunft sei kein zulässiges Mittel zur Erfüllung der Auskunftspflicht, könne angesichts der klaren Rechtslage nicht gefolgt werden. Dies sei von der Datenschutzbehörde auch rechtsrichtig so entschieden worden. Die mitbeteiligte Partei biete allen ihren Nutzern ein sicheres System zur Auskunft mittels Fernzugangs an. Allerdings hätte der Beschwerdeführer im Rahmen des bisherigen Verfahrens sämtliche Kooperation und den Zugriff auf die Onlinetools der mitbeteiligten Partei verweigert. Die mitbeteiligte Partei sei bislang bereit gewesen, den Beschwerdeführer mit einer weiteren Anleitung beim Zugriff auf die Informationen zu unterstützen, auf die er Anspruch habe, welche bereits über die Tools zugänglich seien, könne aber nicht mehr bereitstellen, als die mitbeteiligte Partei nach dem Gesetz verpflichtet sei.

Zum Identitätsnachweis des Beschwerdeführers machte die mitbeteiligte Partei in diesem Schreiben geltend: Alleine aufgrund einer Reisepasskopie und angesichts der Vielzahl namensgleicher Personen sowie der Möglichkeit, auch fremde Namen – wie etwa „ XXXX “ als eigenes Pseudonym zu verwenden – könne noch kein Rückschluss auf allfällige auskunftspflichtige Datenverarbeitungen gezogen werden. Daher stelle die Kopie eines Reisepasses im gegenständlichen Sachzusammenhang alleine keinen ausreichenden Identitätsnachweis dar. Auch das Versenden von Korrespondenz durch die mitbeteiligte Partei an die E-Mail-Adresse vom Beschwerdeführer zeige nicht, dass sie keine Zweifel über die Zuordnung des Nutzerkontos zu ihm habe. Die Antwort an die vom Beschwerdeführer angegebene Adresse behebe nicht die Zweifel der mitbeteiligten Partei an der Identität und Zuordnung zu einem Nutzerkonto. Gerade die Angabe einer E-Mail-Adresse, die zu einem Google-Konto gehöre, sei leider eine Taktik, die auch Unberechtigte anwenden würden, um sich den Zugang zu fremden Daten zu erschleichen. Die mitbeteiligte Partei habe im Wege des Ersuchens zum Einstieg in den Google-Account durch den Beschwerdeführer mittels der von ihm gewählten Zugangsdaten ihre Verpflichtungen erfüllt. Ohne gehörige Authentifizierung dürfe jedoch im Falle von Zweifeln der Identität, die in einem solchen Fall auch bestünden, keine Auskunft erteilt werden. Es liege daher an dem Beschwerdeführer, in seinen Google-Account einzusteigen und die Daten bzw. Informationen zu seiner Person einzusehen.

Mit Schreiben vom 03.01.2020 gab der Beschwerdeführer in einer schriftlichen Stellungnahme insbesondere an, ihn als betroffene Person treffe keine Mitwirkungspflicht und er sei für die mitbeteiligte Partei identifizierbar gewesen. Er hob darin hervor, dass die aktuelle Rechtslage nach der DSGVO keine Mitwirkungspflicht von Auskunftswerbern kenne und führte dazu weiters aus: Verantwortliche seien daher lediglich berechtigt, Auskunftswerber um Konkretisierung ihrer Auskunftsverlangen zu bitten, hätten aber keinen Anspruch auf eine Präzisierung. Auskunftswerber könnten daher darauf bestehen, dass alle zu ihrer Person verarbeiteten Daten beauskunftet würden. Im Auskunftsersuchen an die mitbeteiligte Partei sei ausdrücklich die Beauskunftung sämtlicher zu seiner Person verarbeiteten Daten verlangt worden. Die mitbeteiligte Partei sei daher rechtlich verpflichtet, ihm eine vollständige Auskunft zu erteilen, ohne dass er an der Auskunftserteilung mitwirken müsste.

Zur Identifizierbarkeit seiner Person brachte er darin vor: Auskunftswerber seien auch dann als ausreichend identifiziert zu erachten, wenn sie Kenntnis der Login-Daten (User-ID und Passwort) von Benutzer-Accounts haben bzw. die Verfügungsgewalt über Benutzer-Accounts (etwa E-Mail-Postfächer) auf sonstige Art nachweisen würden. Daran, dass er Verfügungsgewalt über das bei der mitbeteiligten Partei gespeicherte E-Mail-Postfach „ XXXX @gmail.com“ verfüge, bestehe für die mitbeteiligte Partei kein Zweifel. Die von der mitbeteiligten Partei zu erteilenden Auskünfte hätten daher auch sämtliche im Zusammenhang mit diesem Benutzer-Account verarbeiteten Daten zu umfassen.

Schließlich machte er darin geltend, dass er sich weiterhin in seinem Recht auf Auskunft als verletzt erachte, weil ihm die mitbeteiligte Partei nach wie vor keine schriftliche Auskunft über die zu seiner Person verarbeiteten Daten erteilt habe.

Mit Schreiben vom 17.01.2020 machte die mitbeteiligte Partei u.a. weiters Folgendes geltend: Seit 22.01.2019 sei Google Ireland Limited der Verantwortliche bezüglich der personenbezogenen Daten im Zusammenhang mit der Nutzung ihrer Dienste durch Nutzer mit gewöhnlichem Aufenthalt im EWR oder der Schweiz. In diesem Umfang sei Google LLC inzwischen „nicht mehr Verantwortlicher iSd DSGVO der bisher beschwerdegegenständlichen Verarbeitungstätigkeiten“. Dies habe keinen Einfluss auf die Verarbeitung von personenbezogenen Daten bei der Zurverfügungstellung der Suchergebnisse, die in der Google-Suchmaschine angezeigt würden. Für diese personenbezogenen Daten sei die mitbeteiligte Partei weiterhin Verantwortliche gemäß den Bestimmungen der DSGVO.

Mit Schreiben des Bundesverwaltungsgerichtes vom 30.01.2020 war die mitbeteiligte Partei zur weiteren Abklärung aufgefordert worden, alle vertraglichen und sonstigen Unterlagen dem Bundesverwaltungsgericht vorzulegen, aus denen hervorgehe, „ob zum jetzigen Zeitpunkt Google LLC oder Google Ireland Limited für die beauskunftenden Daten des XXXX verantwortlich“ sei.

In der dazu am 24.02.2020 eingegangenen schriftlichen Stellungnahme vom 21.02.2020 machte die mitbeteiligte Partei im Wesentlichen geltend:

Zu der aktuellen Verantwortlichkeit von Google LLC und Google Ireland Limited (hinsichtlich der sieben Spruchunterpunkte des Spruchteiles 1. des o.a. Bescheides, die sich auf Datenverarbeitungen außerhalb des Nutzerkontos beziehen würden,) werde mitgeteilt, dass sich die Verantwortlichenstellung in Bezug auf eine allfällige Verarbeitung von Daten zur Person des Beschwerdeführers außerhalb dessen Google-Nutzerkontos differenziert darstelle:

?        Google Ireland Limited wäre derzeit Verantwortliche iSd Art. 4 Z 7 DSGVO für eine etwaige Verarbeitung personenbezogener Daten vom Beschwerdeführer außerhalb des Nutzerkontos, aber im Zusammenhang mit der Nutzung eines Google-Dienstes;

während

?        Google LLC derzeit Verantwortliche iSd Art. 4 Z 7 DSGVO für eine etwaige Verarbeitung personenbezogener Daten vom Beschwerdeführer außerhalb des Nutzerkontos in Suchergebnissen wäre.

Am 08.07.2020 fand denselben Bescheid betreffend im Beschwerdeverfahren Zl. W101 2132183-1 eine mündliche Verhandlung vor dem Bundesverwaltungsgericht statt, an der alle beteiligten Parteien – also auch des gegenständlichen Beschwerdeverfahrens –teilnahmen.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Während des Verwaltungsverfahrens vor der Datenschutzbehörde war Google Inc. Auftraggeberin (nunmehr Verantwortliche) für die Verarbeitung der personenbezogenen Daten des Beschwerdeführers. Mittlerweile ist Google LLC als Rechtsnachfolgerin von Google Inc. in das Verfahren eingetreten und somit mitbeteiligte Partei im gegenständlichen Beschwerdeverfahren.

Mit Auskunftsbegehren vom 30.10.2015 hat der Beschwerdeführer Auskünfte über folgende sieben Punkte verlangt:

?        alle zu seiner Person verarbeiteten Daten,

?        die Informationen über deren Herkunft,

?        allfällige Empfänger oder Empfängerkreise von Übermittlungen,

?        den Zweck bzw. die Zwecke der Datenverwendung,

?        die Rechtsgrundlage(n) der Datenverwendung,

?        allfällige automatisierte Einzelentscheidungsfindungen und

?        konkret herangezogene Dienstleister.

Die vom Beschwerdeführer begehrten Auskünfte betreffen in Folge dessen seine personenbezogenen Daten sowohl innerhalb als auch außerhalb seines Nutzerkontos bei der mitbeteiligten Partei.

Bereits mit dem Auskunftsbegehren war der mitbeteiligten Partei vom Beschwerdeführer als Identitätsausweis eine Kopie des Reisepasses vorgelegt worden. Auch die Mailadresse („ XXXX @gmail.com“) und die Wohnadresse des Beschwerdeführers waren der mitbeteiligte Partei bekannt. Zudem hat es bereits im Jahr 2014 Korrespondenz zwischen dem Beschwerdeführer und der mitbeteiligten Partei unter Verwendung von dessen Mailadresse gegeben.

Es steht fest, dass im Vorfeld des Antwortschreibens der Beschwerdeführer für die mitbeteiligte Partei aufgrund der vorhandenen Identitätshinweise und der vorangegangenen Korrespondenz – gegebenenfalls in Verbindung mit einer entsprechenden Standortbestimmung des Computers des Beschwerdeführers – identifizierbar war.

Somit war die mitbeteiligte Partei grundsätzlich verpflichtet, als Auskunftsgeberin die vom Beschwerdeführer begehrten Auskünfte oder im Falle einer Unmöglichkeit eine Negativauskunft zu erteilen.

Im Antwortschreiben vom 22.12.2015 ist der Beschwerdeführer von der mitbeteiligten Partei (in einem ersten Schritt) auf die Einsicht in die von der mitbeteiligten Partei zur Verfügung gestellten Online-Werkzeuge in Bezug auf sein Nutzerkonto verwiesen worden.

Der Beschwerdeführer hat – den Spruchteil 3. des o.a. Bescheides betreffend – geltend gemacht, dass die elektronische Einsicht in Datenbestände unter Ausnutzung der von der mitbeteiligten Partei angebotenen Online-Werkzeuge keine rechtskonforme Auskunft darstelle, weil die Auskunft schriftlich zu erteilen sei.

Als maßgebend ist folglich festzustellen, dass der Beschwerdeführer als Inhaber eines Nutzerkontos bei der mitbeteiligten Partei die Möglichkeit hatte, Einsicht in die Online-Werkzeuge zu nehmen, und er insofern nicht berechtigt ist, neben dieser Art der Auskunftserteilung zusätzlich Auskünfte zu den personenbezogenen Daten innerhalb seines Nutzerkontos in schriftlicher Form zu bekommen.

2. Beweiswürdigung:

Die Feststellungen zum maßgeblichen Sachverhalt ergeben sich aus dem Verwaltungsakt, der Beschwerde und dem Gerichtsakt.

Der Beschwerdeführer hat in mehreren schriftlichen Stellungnahmen sowohl vor der Datenschutzbehörde als auch vor dem Bundesverwaltungsgericht geltend gemacht (siehe auch seinen Aussagen in der Verhandlung auf S. 9f des Verhandlungsprotokolls zu Zl. W101 2132183-1),

(a)      dass für die mitbeteiligte Partei überhaupt kein Zweifel an der Zuordnung des Nutzerkontos zu seiner Person und daher keine Notwendigkeit irgendeiner weiteren Identifizierung bestanden habe sowie

(b)      dass er nicht verpflichtet gewesen sei, sich auf von der mitbeteiligten Partei zur Verfügung gestellten Online-Werkzeuge verweisen zu lassen, um sich auf eigene Kosten Auskünfte einzuholen.

Aufgrund der festgestellten vorhanden Identitätshinweise und der vorangegangen Korrespondenz ist der Beschwerdeführer für die mitbeteiligte Partei – gegebenenfalls in Verbindung mit einer Standortbestimmung des Computers des Beschwerdeführers – im Vorfeld des Antwortschreibens identifizierbar gewesen, sodass dem Vorbringen des Beschwerdeführers ad (a) nur beigepflichtet werden kann.

Alle in der Verhandlung vom informierten Vertreter der mitbeteiligten Partei getätigten Aussagen dahingehend, dass der Beschwerdeführer weder durch die vorgelegten Identitätsausweise noch durch zusätzliche organisationsinterne Maßnahmen oder sonstige Hinweise für die mitbeteiligte Partei im Vorfeld des Antwortschreibens identifizierbar gewesen sei, sind angesichts der großen Organisationsstruktur der mitbeteiligten Partei und deren Möglichkeiten realitätsfremd und daher unglaubwürdig.

In Folge dessen ist damals die mitbeteiligte Partei als Auskunftsgeberin – wie oben festgestellt – grundsätzlich verpflichtet gewesen, entweder die begehrten Auskünfte oder gegebenenfalls eine Negativauskunft zu erteilen.

Dieser Verpflichtung ist die mitbeteiligte Partei im Rahmen ihrer Möglichkeiten im Antwortschreiben vom 22.12.2015 – bekräftigt durch jenes vom 24.02.2016 – auch im konkreten durch die zwei Schritte nachgekommen. Wie oben festgestellt, wurde der Beschwerdeführer in einem ersten Schritt in Bezug auf sein Nutzerkonto auf die Einsicht in die Online-Werkzeuge verwiesen.

Begründet wurde der Verweis auf die Einsicht in die Online-Werkzeuge in diesem Antwortschreiben wörtlich „um schnell und einfach eine Zusammenfassung der mit dem Konto im Zusammenhang stehenden Daten einzusehen“. Weiters hat die mitbeteiligte Partei den Beschwerdeführer im Detail darüber informiert, wie er seine personenbezogenen Daten im Nutzerkonto selbst abrufen kann (…). Es hat sogar von Seiten des informierten Vertreters der mitbeteiligten Partei das Angebot gegeben, sich „direkt mit XXXX auszutauschen, um ihn gegebenenfalls durch die Online-Tools durchzuführen“ (siehe S. 8 des Verhandlungsprotokolls zu Zl. W101 2132183-1).

Unter Berücksichtigung dessen steht für den Senat fest, dass es dem Beschwerdeführer sehr wohl möglich gewesen wäre, Einsicht in die Online-Werkzeuge seines Nutzerkontos zu nehmen und er jedenfalls kein Zugangsproblem hatte. Entgegen seinem Vorbringen ad (b) ist der Beschwerdeführer demzufolge verpflichtet gewesen, sich auf die Online-Werkzeuge der mitbeteiligten Partei zu seinem Nutzerkonto verweisen zu lassen, aber natürlich nur bezüglich jener personenbezogenen Daten, die dort auch abrufbar gewesen sind.

Aus all diesen Erwägungen hat der Senat obige Feststellungen getroffen.

3. Rechtliche Beurteilung:

3.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gemäß § 27 Abs. 1 DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde. Gemäß § 27 Abs. 2 erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Gegenständlich liegt somit Senatszuständigkeit vor.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

3.2. Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.

Gemäß § 28 Abs. 2 VwGVG hat über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG das Verwaltungsgericht dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

3.3. Zu A)

3.3.1. § 69 Abs. 4 DSG enthält keine Übergangsbestimmungen bezüglich der anhängigen Verfahren in Datenschutzangelegenheiten vor dem Bundesverwaltungsgericht. Damit ist die zum Zeitpunkt der Beschlussfassung des Senates geltende Rechtslage anzuwenden (vgl. VwGH vom 19.02.2018, Ra 2015/07/0074; VwGH vom 22.02.2018, Ra 2017/22/0125; u.v.a.).

Die hier relevanten Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ABl. L 119 vom 04.05.2016, im Folgenden: DSGVO, lauten:

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

2.-6. (…)

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.-26. (…).

Artikel 11

Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

(1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.

(2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.

Artikel 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

(3) - (5) (…)

(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

(7) (…).

Artikel 15

Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) (…)

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) (…).

3.3.2. Verantwortlichkeit

Entsprechend dem Gegenstand dieses Verwaltungsverfahrens geht es um einen Tatzeitraum zwischen dem Eingang des Auskunftsbegehrens vom 30.10.2015 bis zum nochmaligen Antwortschreiben vom 24.02.2016. Auftraggeberin (nunmehr Verantwortliche) war in diesem Zeitraum Google Inc. als Beschwerdegegnerin vor der Datenschutzbehörde.

Mittlerweile ist es innerhalb von Google zu einer Organisations- bzw. Unternehmensänderung gekommen. Seit 22.01.2019 ist laut aktueller Google-Datenschutzerklärung bei Nutzern, die ihren gewöhnlichen Aufenthalt im europäischen Wirtschaftsraum oder der Schweiz haben, Google Ireland Limited der für deren Daten zuständige Verantwortliche.

Die Datenschutzbehörde hat in der Verhandlung vor dem Bundesverwaltungsgericht (siehe S. 3 und S. 10 unten des Verhandlungsprotokolls) die Meinung vertreten, dass – aufgrund der erfolgten Organisations- bzw. Unternehmensänderung innerhalb von Google – nicht mehr Google Inc. (nunmehr Google LLC), sondern Google Ireland Limited zur Erteilung der gegenständlichen Auskünfte an den Beschwerdeführer zuständig sei. Auch die mitbeteiligte Partei hat in mehreren schriftlichen Stellungnahmen gegenüber dem Bundesverwaltungsgericht (sowie gegenüber der Datenschutzbehörde siehe Beilage zum Verhandlungsprotokoll) in eine ähnliche Richtung argumentiert, aber nicht in derselben Deutlichkeit wie die Datenschutzbehörde.

Die Verantwortlichkeit einer Person steht in einem untrennbaren Zusammenhang mit der Tat selbst, die allenfalls eine Datenschutzverletzung darstellt. Denn nach dem Verwaltungsstrafverfahren nach der DSGVO kann es nur bei einer Zurechenbarkeit einer Tat zu einer natürlichen Person als Täter – auch bei einer juristischen Person, wie der Verwaltungsgerichtshof eingehend im Erkenntnis vom 12.05.2020, Ro 2019/04/0229, ausgeführt hat, – zu einer (verwaltungs)strafrechtlichen Verfolgung kommen. Folglich bezieht sich auch die Frage der Verantwortlichkeit ausschließlich auf den Zeitraum (hier: Eingang des Auskunftsbegehrens vom 30.10.2015 bis 24.02.2016), in dem die Tat einer allfälligen Datenschutzverletzung begangen wurde.

Mit dieser Interpretation folgt der Senat den Ausführungen des Verwaltungsgerichtshofes im besagten Erkenntnis.

Jede andere Interpretation – so auch obige der Datenschutzbehörde – würde zu dem sinnwidrigen Ergebnis führen, dass eine juristische Person als Verantwortliche (Täterin) sich durch eine nachträgliche Änderung ihrer Organisations- bzw. Unternehmensstruktur ihrer Verantwortlichkeit für die Tat einer Datenschutzverletzung (im Verwaltungsstrafverfahren ihrer strafrechtlichen Verfolgung) entziehen könnte.

Entsprechend den bürgerlich rechtlichen Vorschriften bei einem Unternehmensübergang ist Google LLC als Rechtsnachfolgerin der Google Inc. in die Funktion der mitbeteiligten Partei eingetreten.

In diesem Zusammenhang soll nicht unerwähnt bleiben, dass beispielsweise auch der Europäische Gerichtshof in einem datenschutzrechtlichen Vorabentscheidungsverfahrens nach Art. 267 AEUV „Google LLC“ als „Rechtsnachfolgerin der Google Inc.“ geführt hat (siehe EuGH vom 24.09.2019 in der Rechtssache C-507/17).

Aus diesen Gründen ist gegenständlich die mitbeteiligte Partei als juristische Person Verantwortliche iSd Begriffsbestimmung des § 4 Abs. 7 DSGVO, weil sie (im Tatzeitraum) über die Zwecke und Mittel der Verarbeitung von den personenbezogenen Daten (des Beschwerdeführers) allein zu entscheiden hatte.

3.3.3. Auskunftsrecht

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person (der Beschwerdeführer) das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informationen nach lit. a) bis h).

3.3.3.1. Identifizierbarkeit im Vorfeld des Antwortschreibens

Personenbezogene Daten sind laut der Begriffsbestimmung des Art. 4 Z 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Laut Ehmann/Selmayr (Hrsg, Datenschutz-Grundverordnung, 2. Auflage, 2018, Art. 4 Rz 16) ist diese Begriffsbestimmung sinnvollerweise analog zu Art. 2 c und Art. 9 der RL 202/58/EG zu verstehen, d.h. als eine Abfolge von Feststellungen von geographischem Ort und Zeitpunkt eines Gerätes bzw. einer Person. Eine solche Folge von Koordinaten sei bereits bei relativ grober Auflösung eindeutig und könne damit zur Identifizierung eines Individuums dienen. Außer solchen dynamischen Standortdaten könnten aber auch eher statische Angaben, wie etwa Wohn- oder Büroadressen, oder andere geographische Angaben dazu beitragen, die betroffene Person zu identifizieren.

Aus dem Erwägungsgrund (64) ist ersichtlich, dass der Verantwortliche alle vertretbaren Mittel nutzen sollte, um die Identität einer auskunftssuchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen.

Zur Frage der Identifizierbarkeit ist auch auf die Rechtsprechung des Verwaltungsgerichtshofes zu verweisen, wonach die Identität einer betroffenen Person auch aus der Situation heraus klar sein kann. Dies kann beispielsweise der Fall sein, wenn sich der Auftraggeber (Anm.: nunmehr Verantwortliche) – ohne an der Identität des Betroffenen zu zweifeln – nach einem unmittelbar vorangegangenen Rechtsstreit bereits auf eine längere Korrespondenz mit diesem eingelassen hat (VwGH v. 04.07.2016, Ra 2016/04/0014; siehe auch BVwG v. 27.05.2020, Zl. W214 2228346-1/16E).

Unter Berücksichtigung dessen wurde bereits oben festgestellt, dass im Vorfeld des Antwortschreibens der Beschwerdeführer als betroffene Person für die mitbeteiligte Partei aufgrund der vorhandenen Identitätshinweise und der vorangegangenen Korrespondenz im Jahr 2014 – gegebenenfalls in Verbindung mit einer entsprechenden Standortbestimmung des Computers der betroffenen Person – identifizierbar war.

3.3.3.2. Verweis auf Einsicht der Online-Werkzeuge versus Schriftlichkeit betreffend personenbezogener Daten innerhalb des Nutzerkontos

Wie oben bereits ausgesprochen, hat die mitbeteiligte Partei den Beschwerdeführer (in einem ersten Schritt) auf die Einsicht in die von ihr zur Verfügung gestellten Online-Werkzeuge beim Nutzerkonto verwiesen.

Der Verweis auf die Einsicht der Online-Werkzeuge des Nutzerkontos wurde im Bescheid bereits von der Datenschutzbehörde hinsichtlich der dort abrufbaren personenbezogenen Daten als rechtens gewertet.

Dazu hat der Beschwerdeführer in seiner Stellungnahme vom 03.01.2020 geltend gemacht, dass auch nach Geltung der DSGVO ein Anspruch auf schriftliche Auskunftserteilung bestehe (vgl. Art. 15 Abs. 3 DSGVO). Nur dann, wenn Auskunftswerber Auskunftsverlangen elektronisch stellen würde, hätten Auskünfte in einem gängigen elektronischen Format erteilt zu werden. Doch selbst in diesem Fall können Auskunftswerber eine schriftliche Auskunftserteilung verlangen. Ihn auf Online-Werkzeuge zu verweisen, widerspreche – mangels elektronischer Antragsstellung – dem Wortlaut der DSGVO.

Zutreffend ist, dass in der Literatur diese Meinung vertreten wird, so auch Ehmann (in Ehmann/Selmayr, Hrsg, Datenschutz-Grundverordnung, 2. Auflage, 2018, Art. 15 Rz 32) auf den sich auch der Beschwerdeführer bezogen hat. Aus Sicht des erkennenden Senates ist dem aber in mehrfacher Hinsicht entgegenzuhalten:

Zunächst kann die Vorgabe eines elektronischen Anbringens iSd Art. 15 Abs. 3 DSGVO (argum: „Stellt die betroffene Person den Antrag elektronisch, …“) nur für jene Anbringen gelten, die ab der Geltung der DSGVO am 25.05.2018 gestellt wurden bzw. werden, was gegenständlich aber nicht der Fall ist, weil das Auskunftbegehren am 30.10.2015 gestellt wurde.

Eine Erwägung im Erwägungsgrund (59) lautet ausdrücklich, dass der Verantwortliche auch dafür sorgen sollte, dass Anträge elektronisch gestellt werden können, insbesondere wenn personenbezogene Daten elektronisch verarbeitet werden. Daraus ist nach einer Wortinterpretation abzuleiten, dass Anträge elektronisch gestellt werden können, aber nicht müssen.

Beim Schreiben der Passagen in Rz 32 („Indirekt ergibt sich daraus, dass bei einem ‚Antrag auf Papier‘ auch Kopien zur Verfügung zu stellen sind.“) hat Ehmann als Autor offensichtlich an (ältere) Personen gedacht, die überhaupt keinen Computerzugang haben. So schreibt dieser doch als Begründung im letzten Satz der – auch vom Beschwerdeführer zitierten – Rz 32, die Ausübung des Auskunftsrechts ergäbe für die betroffene Person nur dann Sinn, wenn sie die Kopien in einer Form erhalte, „die sie auf der Basis ihrer technischen und sonstigen Möglichkeiten dazu befähigen, die Kopien zu lesen und auszuwerten“.

Der Beschwerdeführer ist Computer versiert und hat zuhause ein Computerequipment; er hat auch in der Verhandlung nicht bestritten, aufgrund seiner Computerausstattung grundsätzlich die Möglichkeit zu haben, in die Online-Werkzeuge seines Nutzerkontos Einsicht zu nehmen.

In diesem Zusammenhang gilt es außerdem zu berücksichtigen, dass im Erwägungsgrund (63) ausdrücklich erwähnt wird: Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.

Aus diesen Erwägungen folgt für den vorliegenden Fall, dass der Beschwerdeführer als Inhaber eines Nutzerkontos bei der mitbeteiligten Partei die Möglichkeit hatte, Einsicht in die Online-Werkzeuge zu nehmen, und er insofern nicht berechtigt ist, neben dieser Art der Auskunftserteilung zusätzlich Auskünfte zu den personenbezogenen Daten innerhalb seines Nutzerkontos in schriftlicher Form zu bekommen. Daher muss sich der Beschwerdeführer hinsichtlich dieser personenbezogenen Daten auf die Einsicht in die Online-Werkzeuge verweisen lassen.

3.3.4. Da dem angefochtenen Spruchteil 3. des o.a. Bescheides aus diesen Gründen eine Rechtswidrigkeit iSd Art. 130 Abs. 1 Z 1 B-VG nicht anhaftet, war die dagegen erhobene Beschwerde gemäß § 28 Abs. 2 VwGVG iVm § 24 Abs. 1 und Abs. 5 DSG idgF abzuweisen.

3.3.5. Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Der Beschwerdeführer hat gegenständlich zwar ausdrücklich auf die Durchführung einer öffentlichen mündlichen Verhandlung verzichtet und dies in seiner schriftlichen Stellungnahme vom 03.01.2020 nochmals bekräftigt, aber trotzdem hat „de-facto“ am 08.07.2020 eine Verhandlung stattgefunden, nämlich denselben Bescheid betreffend im Beschwerdeverfahren Zl. W101 2132183-1.

Demzufolge war der Sachverhalt zu Spruchteil 3. des o.a. Bescheides aus der Aktenlage iVm der durchgeführten Verhandlung zu Zl. W101 2132183-1 vollständig geklärt.

3.4. Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Der großteils fehlenden Rechtsprechung des Verwaltungsgerichtshofes zur seit 25.05.2018 geltenden Rechtslage nach dem DSG und der DSGVO (hier: Art. 15) kommt gegenständlich eine große Bedeutung zu.