Entscheidungsdatum
26.04.2021Norm
B-VG Art133 Abs4Spruch
W214 2219800-3/20E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende und die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde des XXXX gegen den Bescheid der Datenschutzbehörde vom 14.05.2019, Zl DSB-D123.770/0009-DSB/2019, zu Recht erkannt:
A)
A1) Der Beschwerde wird gemäß § 28 Abs. 2 Verwaltungsgerichtsverfahrensgesetz, BGBl. I Nr. 33/2013 idgF (VwGVG) teilweise stattgegeben und festgestellt, dass der XXXX den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem er über den 24.09.2018 hinaus das Lichtbild des Beschwerdeführers zum Personalausweis Nr XXXX im zentralen und im lokalen Identitätsdokumentenregister gespeichert hat.
A2) Dem XXXX wird aufgetragen, innerhalb einer Frist von zwei Wochen das Lichtbild des Beschwerdeführers zum Personalausweis Nr. XXXX sowohl aus dem zentralen Identitätsdokumentenregister als auch aus der lokalen Anwendung zu löschen bzw. die Löschung dieses Lichtbildes zu veranlassen.
A3) Im Übrigen wird die Beschwerde gemäß § 28 Abs. 2 VwGVG als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang
1. In seiner an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 10.11.2018 (verbessert mit Eingaben vom 14.11.2018 und 29.11.2018) machte der Beschwerdeführer, XXXX , eine Verletzung im Recht auf Geheimhaltung geltend. Dazu wurde zusammengefasst vorgebracht, dass eine dauerhafte Speicherung seiner biometrischen Daten zum Personalausweis Nr. XXXX sowie seiner Lichtbilder zu den Personalausweisen Nr. XXXX und Nr. XXXX durch den XXXX als Passbehörde und Verantwortlichen gemäß Art. 4 Z 7 DSGVO im Identitätsdokumentenregister (IDR) des XXXX unverhältnismäßig und (wegen der Nichtbeachtung von Löschfristen) unzulässig (gewesen) sei. Er beantrage daher die Löschung.
2. Über Aufforderung der belangten Behörde erstattete der XXXX (ursprünglicher Beschwerdegegner im Verfahren vor der belangten Behörde, mitbeteiligte Partei im Verfahren vor dem Bundesverwaltungsgericht) am 08.01.2019 eine Stellungnahme, in welcher zunächst festgehalten wurde, dass die XXXX nach der Geschäftseinteilung des XXXX für die Vertretung der XXXX in Angelegenheiten des Datenschutzes, insbesondere vor der belangten Behörde zuständig sei. Inhaltlich wurde zur Datenschutzbeschwerde des Beschwerdeführers ausgeführt, dass im Bereich der lokalen Anwendungen eine Speicherung der Lichtbilder, da sich § 22a Abs. 5 Passgesetz 1992, der die Löschung der in diesen verarbeiteten Daten regele, nicht aber auf Lichtbilder, sondern nur auf weitere Verfahrensdaten Bezug nehme, auch über die Erstellung des Reisepasses bzw. Personalausweises hinaus zulässig sei, was auch vom Beschwerdeführer selbst nicht bestritten werde. Zum Personalausweis Nr. XXXX des Beschwerdeführers werde ausgeführt, dass dieser eine Gültigkeitsdauer bis 23.11.2014 gehabt habe und vom Beschwerdeführer mit 07.09.2015 als verloren gemeldet worden sei. Die Verarbeitung im Rahmen der zentralen Evidenz könne somit in diesem Fall auf § 22b Abs. 2 Z 1 Passgesetz 1992 gestützt werden, was zur Folge hätte, dass jene personenbezogenen Daten, die im Rahmen dieses Verfahrens verarbeitet worden seien, ein Jahr nach Ablauf der Gültigkeit, dies wäre der 23.11.2015, für Auskünfte zu sperren und nach Ablauf von zwei weiteren Jahren, dies wäre wiederum der 23.11.2017, zu löschen gewesen wären. Allerdings sei zu berücksichtigen, dass es abseits der passrechtlichen Bestimmungen ein weitergehendes Erfordernis zur Verarbeitung dieser Daten gebe, da jedenfalls die Strafverfolgungsbehörden zur Verhinderung eines etwaigen Missbrauchs der gegenständlichen öffentlichen Urkunde (vgl. die §§ 223 ff. StGB zum Bereich der Urkundenfälschung), einen Zugriff auf die entsprechenden personenbezogenen Daten, inklusive des Lichtbildes, benötigen würden um etwaige Abgleiche mit möglichen von diesem Personalausweis angefertigten Fälschungen durchführen zu können. Darüber hinaus sei auch mit zu bedenken, dass es den Bürgermeistern als Fundbehörden im Sinne des § 4 Abs. 3 SPG, BGBl. Nr. 566/1991, nach § 53b SPG möglich sein müsse, alle für die Ausfolgung an den Eigentümer maßgeblichen personenbezogenen Daten zu verarbeiten, wozu unzweifelhaft auch das Lichtbild selbst zählen werde. Dementsprechend bestünden gesetzliche Verpflichtungen der Strafverfolgung bzw. des Fundwesens, welche im Sinne des Art. 17 Abs. 3 DSGVO einer Löschung des Lichtbildes in der zentralen Evidenz nach § 22b Passgesetz 1992 entgegenstehen würden und – da es sich bei der DSGVO um eine Verordnung handle und diese sohin unmittelbar anwendbar sei – aufgrund des Vorrangs des Unionsrechts § 22c Passgesetz 1992 und seine Löschungsfristen unangewendet zu bleiben hätten. Bezüglich der Personalausweise mit den Nrn. XXXX und XXXX sei auszuführen, dass laut dem vom Beschwerdeführer übermittelten Auszug aus dem Lokalen Identitätsregister der Personalausweis Nr. XXXX nach einer Reklamation durch den Beschwerdeführer am 24.09.2015 auf ungültig gesetzt worden sei und der Personalausweis bei der XXXX verblieben sei. In diesem Fall sei sohin nur eine Verarbeitung personenbezogener Daten im Rahmen eines Verfahrens nach § 22b Abs. 1 Passgesetz 1992, nämlich im Zuge des Verfahrens zur Ausstellung des Personalausweises Nr. XXXX , in Betracht gekommen. Für diesen Fall der Verarbeitung personenbezogener Daten sehe § 22c Abs. 1 leg. cit. die Sperrung für Auskünfte dieser Daten betreffend ein Jahr nach der Entwertung des Reisepasses oder Personalausweises vor. Dies wäre nun, da die Ungültigerklärung am 24.09.2015 erfolgte, der 24.09.2016. Da nun aber unmittelbar im Gefolge dessen ein neuer Personalausweis zur Nr. XXXX ausgestellt worden sei (das Antragsdatum für diesen laute laut dem vom Beschwerdeführer übermittelten Auszug aus dem lokalen Identitätsdokumentenregister auf den 24.09.2015), sei davon auszugehen, dass im Zuge der Erstellung dieses Personalausweises dasselbe Lichtbild wie für den vorherigen für ungültig erklärten Personalausweis gebraucht worden sei. Dies würde nun bedeuten, dass, da dessen Entwertungsdatum erst 2025 liege, noch keine Auskunftssperre bzw. Löschung für die Lichtbilder zu den Personalausweisen der Nr. XXXX und Nr. XXXX nach § 22c Passgesetz 1992 zu erfolgen habe.
3. Der Beschwerdeführer erstattete am 19.03.2019 eine Replik auf die Stellungnahme der mitbeteiligten Partei und führte aus, dass sofern – wie von der mitbeteiligten Partei behauptet – Lichtbilder keine Verfahrensdaten iSd §22a Passgesetz 1992 seien und hierfür daher ex lege keine Löschfrist existiere, es sich um eine planwidrige Lücke handle. Da sowohl (biometrische) Lichtbilder als auch Fingerabdrücke biometrische Daten iSd Art. 4 Z 14 DSGVO seien, könne und solle von der sehr kurzen Löschfrist für Fingerabdrücke daher auch auf eine ähnliche Frist für Lichtbilder geschlossen werden. Weiters lege die mitbeteiligte Partei das Unionsrecht denkunmöglich aus, § 22c Passgesetz 1992 könne nur zugunsten einer noch kürzeren Löschfrist zurücktreten. Die Aufhebung einer Löschfrist, wie des § 22c Passgesetz 1992 (lex specialis), aufgrund der DSGVO zugunsten einer permanenten Speicherung sei daher eine denkunmögliche Art der Rechtsauslegung. Hinsichtlich der Behauptung der mitbeteiligten Partei, Lichtbilder seien Teil jener Daten, die zur Inkenntnissetzung einer Behörde von der Ausstellung eines Reisedokuments dienen würden, sei auszuführen, dass seitens der mitbeteiligten Partei zu erläutern wäre, in welchen Fällen das derzeit im IDR gespeicherte Lichtbild zur Durchsetzung einer Passversagung oder der Fahndung nach gestohlenen Reisedokumenten genutzt werde und weshalb hierfür die Speicherung der Lichtbilder aller ausgestellten Reisedokumente zwingend notwendig und verhältnismäßig sei. Hierfür würden nämlich bereits die Dokumentendaten ausreichen. Der Vollzug des Fundwesens liefere ebenfalls keine hinreichende Rechtfertigung für die Verarbeitung von Lichtbildern im IDR, da es bei ausländischen Ausweisen kein Lichtbild im IDR gebe und nur eine Überprüfung anhand des am Ausweis befindlichen Lichtbildes erfolgen könne. Auch das Argument, dass zentral gespeicherte Lichtbilder zur Verhinderung von Fälschungen dienen würden, lasse die Speicherung des Lichtbilds aller Inhaber von Reisedokumenten als nicht verhältnismäßig erscheinen, da etliche gelindere Mittel zur Risikominimierung existieren würden, die in Kombination das Risiko so gut wie neutralisieren würden. Eine Verarbeitung bloß aufgrund abstrakter, möglicherweise in Zukunft eintretender Gefahren oder Notwendigkeiten rechtfertige nicht in jedem Fall eine undifferenzierte Speicherung und es müsse in jedem Einzelfall eine Abwägung getroffen werden. Es sei daher die minimal mögliche Speicherdauer und das minimal mögliche Datenset für den jeweiligen Zweck und Anlass zu wählen. Alle verfügbaren Daten einfach undifferenziert zu speichern, weil man sie eventuell irgendwann für irgendwas gebrauchen könnte, widerspreche den Prinzipien und dem heutigen Erkenntnisstand im Datenschutzrecht. § 22c Abs. 3 Passgesetz 1992, der sich über den § 22b Abs. 1 auf verlorene Dokumente beziehe, eröffne außerdem die Möglichkeit, Daten bereits vor Ablauf der Höchstaufbewahrungsfristen zu löschen, wenn der Verarbeitungszweck weggefallen sei, was wiederrum i.V.m den Prinzipien der Zweckbindung (Art. 5 Abs. 1 lit b DSGVO), Datenminimierung (Art. 5 Abs. 1 lit c DSGVO) und Speicherbegrenzung (Art. 5 Abs. 1 lit e DSGVO) zu einer kurzen Speicherfrist führen müsste. Wenn nun § 22c Abs. 3 Passgesetz 1992 diese Möglichkeit für verlorene Dokumente eröffne, so sollte dies im Umkehrschluss auch für noch im Besitz des Inhabers befindliche Dokumente gelten. Die dauerhafte Speicherung von Lichtbildern im IDR bei verlorenen Reisedokumenten über die Löschfristen hinaus sei bereits aufgrund der hier eindeutigen Gesetzeslage des § 22c Abs. 2 Passgesetz 1992 unzulässig. Eine dauerhafte Speicherung von Lichtbildern im IDR als Form der Vorratsdatenspeicherung oder als erkennungsdienstliche Evidenz für zum größten Teil unbescholtene Bürger, die für alle „Eventualitäten“ dienen könnte, sei ebenso unverhältnismäßig.
4. Am 19.06.2019 forderte die belangte Behörde die mitbeteiligte Partei zur ergänzenden Stellungnahme auf.
5. Mit Stellungnahme vom 09.07.2019 hielt die mitbeteiligte Partei zunächst fest, dass ihr die Replik des Beschwerdeführers nie zugegangen sei und führte (soweit für das gegenständliche Beschwerdeverfahren relevant) aus, dass sämtliche Reisedokumentenanträge einschließlich jeweils eines Passfotos des Beschwerdeführers auf Grund seines jeweils schriftlichen, unterschriebenen Antrages im Pass-EDV-Programm Identitätsdokumentenregister (IDR) des XXXX verdatet worden seien. Diese darin gespeicherten Passfotos seien im Wege des IDR an die XXXX als die vom XXXX beauftragte Dienstleisterin für die Produktion der Reisedokumente übermittelt worden. Eine Produktion österreichischer biometrischer Reisepässe mit Datenträger und österreichischer Personalausweise sowie die Zustellung der neu produzierten Reisedokumente per Post erfordere zwingend die Speicherung und Übermittlung eines Passfotos an die XXXX . Übermittlungen der Personen- und Dokumentendaten des Beschwerdeführers an andere EmpfängerInnen seien nicht erfolgt. Für den Beschwerdeführer seien auf diesem Wege seit 2004 insgesamt zwei biometrische Reisepässe mit Datenträger (einer verloren gemeldet, einer gültig) und drei Personalausweise (einer verloren gemeldet, einer ungültig, einer gültig) ausgestellt worden. Weitere Verarbeitungstätigkeiten seien von Seiten der XXXX im IDR in Bezug auf die gegenständlichen Lichtbilder nicht vorgenommen worden.
Der Stellungnahme angeschlossen wurde jeweils ein Auszug aus dem ZMR sowie dem Zentralen und Lokalen Identitätsdokumentenregister den Beschwerdeführer betreffend.
6. Am 10.07.2019 übermittelte die belangte Behörde der mitbeteiligten Partei die Replik des Beschwerdeführers und gab ihr Gelegenheit zur Ergänzung ihrer Stellungnahme vom 09.07.2019.
7. Die mitbeteiligte Partei übermittelte am 18.07.2019 eine ergänzende Stellungnahme, in welcher sie (soweit für das gegenständliche Beschwerdeverfahren relevant) ausführte, dass sich im Falle der Personalausweise Nr. XXXX und Nr. XXXX die Verarbeitungstätigkeit nicht auf § 22b Abs. 2, sondern dessen Abs. 1 stütze. Dies habe nun zur Folge, dass sich eine Auskunftssperre betreffend die im Rahmen des Verfahrens nach § 22b Abs. 1 leg. cit. verarbeiteten personenbezogenen Daten nach § 22c Abs. 1 richte.
8. Die belangte Behörde übermittelte dem Beschwerdeführer mit Schreiben vom 26.07.2019 die Stellungnahmen der mitbeteiligten Partei und gab ihm ebenfalls Gelegenheit zur Abgabe einer Stellungnahme.
Der Beschwerdeführer erstattete jedoch in der Folge keine weitere Stellungnahme.
9. Mit dem angefochtenen Bescheid gab die belangte Behörde der Beschwerde des Beschwerdeführers teilweise statt und stellte fest, dass die mitbeteiligte Partei den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt habe, indem über den 23. November 2017 hinaus die personenbezogenen Daten des Beschwerdeführers (§ 22b Abs. 2 Passgesetz 1992) zum Personalausweis Nr. XXXX im zentralen Identitätsdokumentenregister gespeichert worden seien (Spruchpunkt 1.). Der mitbeteiligten Partei wurde auftragen, innerhalb einer Frist von zwei Wochen die Daten gemäß Spruchpunkt 1 zu löschen (Spruchpunkt 2.). Im Übrigen wurde die Beschwerde wegen Verletzung im Recht auf Geheimhaltung abgewiesen (Spruchpunkt 3.).
Begründend führte die belangte Behörde (nach Wiederholung des Vorbringens der Parteien und des Verfahrensganges) zunächst aus, dass Beschwerdegegenstand die Frage sei, ob die mitbeteiligte Partei den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt habe, indem biometrische Daten bzw. der gesamte Datensatz zum Personalausweis Nr. XXXX über den Zeitpunkt der Antragsstellung hinaus, jedenfalls jedoch länger als bis zum 24. November 2009 gespeichert worden sei, sowie, indem die Speicherung der Lichtbilder zu den Personalausweisen Nr. XXXX , Nr. XXXX und Nr. XXXX über das Produktionsdatum hinaus erfolgt sei.
Rechtlich sei auszuführen, dass bei Verarbeitung personenbezogener Daten in lokalen Anwendungen gemäß § 22a Abs. 1 Passgesetz 1992 die Passbehörden, dies seien nach § 16 Abs. 1 leg. cit. die Bezirksverwaltungsbehörden, für den Bereich des Bundeslandes Wien gemäß Art. 109 B-VG der XXXX , ermächtigt seien, bei Antragstellung auf Ausstellung eines Reisepasses oder Personalausweises mehrere Daten des Antragstellers, darunter nach § 22a Abs. 1 lit. leg. cit. auch das Lichtbild, zum Zwecke der Einbringung dieser Daten in den Reisepass oder Personalausweis zu verarbeiten und diese Daten hierfür dem Auftragsverarbeiter im Sinne des § 3 Abs. 6 leg. cit. zu übermitteln. Nach § 22a Abs. 2 Passgesetz 1992 sei die örtlich zuständige Passbehörde ermächtigt, weitere für das Ausstellungsverfahren und sonstige Verfahren nach diesem Bundesgesetz erforderliche personenbezogene Daten (Verfahrensdaten) zu ermitteln und gemeinsam mit den darauf Bezug habenden Daten nach Abs. 1 sowie die weiteren Daten nach § 22b Abs. 1 leg. cit. automationsunterstützt zu verarbeiten. Nach § 22a Abs. 5 Passgesetz 1992 seien die Verfahrensdaten nach Abs. 2 leg. cit. zu löschen, sobald sie nicht mehr benötigt würden, spätestens aber zehn Jahre nach Eintritt der Rechtskraft der Entscheidung oder nach Ausstellung des Reisepasses. Diese Löschungsbestimmungen würden sich auf „weitere Verfahrensdaten“ nach Abs. 2 leg. cit. beziehen. Daraus ergebe sich, dass das Passgesetz 1992 in lokalen Anwendungen keine explizite Löschfrist für die in Abs. 1 genannten Verfahrensdaten und somit auch für Lichtbilder vorsehe. Bei Lichtbildern handle es sich somit um Verfahrensdaten, die keiner gesetzlich normierten Löschung aus der lokalen Evidenz unterliegen würden. Hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen der zentralen Evidenz normiere § 22b Abs. 1 Passgesetz 1992, dass Passbehörden als gemeinsame Verantwortliche gemäß Art. 4 Z 7 iVm Art. 26 Abs. 1 DSGVO ermächtigt seien, die für die Wahrnehmung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten nach § 22a Abs. 1, sohin auch Lichtbilder, mit Ausnahme der lit. k, sowie ab dem Zeitpunkt der Ausstellung auch zusätzliche Daten gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff habe, die diesem von den anderen Verantwortlichen zur Verfügung gestellt worden seien. Zweck dieser Verarbeitung sei es, eine Behörde gemäß Abs. 4 über die erfolgte Ausstellung eines Reisepasses oder Personalausweises oder über ein Verfahren nach diesem Bundesgesetz in Kenntnis zu setzen. Die Passbehörden dürften weiters Namen, Geschlecht, akademischen Grad, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Wohnsitze oder Kontaktstelle, Lichtbild, das bereichsspezifische Personenkennzeichen, Namen der Eltern einer Person und Aliasdaten einer Person ermitteln und im Rahmen einer zentralen Evidenz samt dem für die Speicherung maßgebenden Grund sowie die Ausstellungsbehörde, das Ausstellungsdatum, die Passnummer und die Gültigkeitsdauer des Reisepasses oder Passersatzes verarbeiten, wenn ein Reisepass oder Passersatz der betroffenen Person als verloren oder entfremdet gemeldet sei (§ 22b Abs. 2 Passgesetz 1992). § 18 leg. cit. regle, dass unter einem Passersatz ein Personalausweis zu verstehen sei. Für den Personalausweis Nr. XXXX gelte, dass personenbezogene Daten, die gemäß § 22b Abs. 2 Passgesetz 1992 verarbeitet worden seien, sofern es sich um einen als verloren oder entfremdet gemeldeten Passersatz der betroffenen Person handle, gemäß § 22c Abs. 2 Passgesetz 1992 ein Jahr nach Ablauf der Gültigkeitsdauer für Auskünfte zu sperren seien. Gemäß Abs. 4 seien die für Auskünfte gesperrten personenbezogenen Daten nach Ablauf von zwei weiteren Jahren zu löschen. Der Personalausweis Nr. XXXX habe eine Gültigkeitsdauer bis 23. November 2014 gehabt. Mit 23. November 2015 wären die personenbezogenen Daten für Auskünfte zu sperren und mit Ablauf von zwei weiteren Jahren, mit 23. November 2017, zu löschen gewesen. Den seitens der mitbeteiligten Partei vorgebrachten Argumenten, dass einer Löschung unter anderem Bestimmungen des Vollzugs des Fundwesens sowie der Strafverfolgung entgegenstünden, könne nicht gefolgt werden. Die belangte Behörde habe, in Anlehnung an die Rechtsprechung des Verfassungsgerichtshofes, schon ausgesprochen, dass die bloße Möglichkeit eines Verfahrens, ohne dass es hiefür konkrete Anhaltspunkte gebe, eine weitere Speicherung personenbezogener Daten nicht zu rechtfertigen vermöge, weshalb für die verfahrensgegenständliche Datenverarbeitung kein Rechtfertigungsgrund im Sinne des § 1 Abs. 2 DSG vorliege. Hinsichtlich der Personalausweise Nr. XXXX und Nr. XXXX sei auszuführen, dass personenbezogene Daten gemäß § 22b Abs. 1 Passgesetz 1992 ein Jahr nach der Entwertung des Reisepasses oder Personalausweises, bei Reisepässen spätestens aber sechs Jahre nach Ablauf der letzten Gültigkeitsdauer für Auskünfte zu sperren seien. Die für Auskünfte gesperrten personenbezogenen Daten seien nach Ablauf von zwei weiteren Jahren auch physisch zu löschen (§ 22c Abs. 4 Passgesetz 1992). Mit 24. September 2015 sei der Personalausweis mit der Nr. XXXX für ungültig erklärt worden. Mit 24. September 2016 wären die personenbezogenen Daten für Auskünfte zu sperren und nach Ablauf von zwei Jahren auch zu löschen gewesen. Da jedoch mit 24. September 2015 ein Antrag für einen neuen Personalausweis gestellt worden sei, sei davon auszugehen, dass im Zuge der Erstellung des Ausweises dasselbe Lichtbild verwendet worden sei. Daraus ergebe sich, dass eine Auskunftssperre bzw. Löschung für diese Personalausweise noch nicht greife. Der Vollständigkeit halber werde darauf hingewiesen, dass gemäß Art. 89 B-VG die Prüfung der Gültigkeit gehörig kundgemachter Verordnungen, Kundmachungen über die Wiederverlautbarung eines Gesetzes (Staatsvertrages), Gesetze und Staatsverträge den Gerichten nicht zustehe. Dies gelte umso mehr für Verwaltungsbehörden.
10. Gegen diesen Bescheid erhob der Beschwerdeführer mit Schriftsatz vom 24.08.2019 eine Beschwerde an das Bundesverwaltungsgericht. Darin führte er hinsichtlich Spruchpunkt 1. und 2. des angefochtenen Bescheides aus, dass seitens der belangten Behörde nur die Löschung aus der zentralen Evidenz gefordert werde. Aus dem Bescheid ergebe sich jedoch nicht, ob dies auch für die lokale Evidenz zu gelten habe. Es werde daher beantragt, Spruchpunkt 1 und 2 dahingehend zu erweitern, dass sämtliche Daten zum Ausweis Nr. XXXX zu löschen seien, womit auch die lokale Evidenz umfasst sein solle. Zu Spruchpunkt 3. werde ausgeführt, dass die Verwendung desselben Lichtbildes für die Ausweise Nr. XXXX und XXXX keinen Rechtfertigungsgrund darstelle, dieses Datum weiterhin zu verarbeiten, denn auch im Falle identischer Daten würde die Bestimmung des § 22c Abs. 2 Passgesetz 1992 greifen. Da der Ausweis Nr. XXXX eingezogen und für ungültig erklärt worden sei, wären sämtliche Daten zu diesem Ausweis per 24.09.2016 für Auskünfte zu sperren und per 24.09.2018 zu löschen gewesen. Die belangte Behörde erwähne den Art. 89 B-VG und argumentiere, dass Gerichten (exkl. VfGH) und Verwaltungsbehörden die Prüfung von Gesetzen nicht zustehe. Dem sei entgegenzuhalten, dass bereits aufgezeigt worden sei, wie der Vollzug des Passgesetz 1992 im Einklang mit datenschutzrechtlichen Rahmenbedingungen gebracht werden könne und weshalb es sich – spätestens seit Konkretisierung des Datenschutzrechts durch die DSGVO - um eine planwidrige Lücke handeln müsse, wenn keine Löschfrist existiere oder keine Mindestaufbewahrungsfristen bzw. Speicherdauern festgelegt seien. Es sei somit nie eine Aufhebung eines geltenden Gesetzes, sondern dessen durchaus möglicher Vollzug im Einklang mit der Rahmengesetzgebung begehrt worden. Die belangte Behörde gehe ebenso wie die mitbeteiligte Partei lediglich auf nationale Vorschriften, nämlich das Passgesetz 1992, ein und beleuchte nicht die datenschutzrechtlichen Rahmenbedingungen und Grundprinzipien, die diesem übergeordnet seien und besonders bei fehlenden oder zu wenig konkreten nationalen Bestimmungen (fehlende Löschfristen in Bezug auf die „lokale Evidenz“ beim § 22a Passgesetz 1992) unmittelbar zum Tragen kommen würden. Bei Fehlen einer ex lege Löschfrist sei die Aufbewahrungsfrist daher aus dem beabsichtigten oder ex lege Verarbeitungszweck abzuleiten. Die Verarbeitungszwecke seien im letzten Satz des § 22a Abs. 1 Passgesetz 1992 sowie § 22b Abs. 1 Passgesetz 1992 taxativ aufgezählt und nach Produktion und Versendung des Ausweises und ggf. Ablaufs einer angemessenen Reklamationsfrist in Bezug auf das Lichtbild jedenfalls erreicht, wodurch eine weitere Verarbeitung nicht mehr dem zugedachten Zweck entsprechen würde. Hilfsweise bestehe auch eine mögliche Analogie zu Fingerabdrücken als biometrische Daten, für die ex lege eine relativ kurze Löschfrist bestehe. Des Weiteren seien nationale Bestimmungen, die im Widerspruch zur unionsrechtlichen Rahmengesetzgebung (DSGVO) stehen würden, nicht anzuwenden. Eine fehlende Löschfrist berechtige daher keineswegs, wie von der belangten Behörde behauptet, zur unbegrenzten Aufbewahrung von Daten oder der Einschränkung einer Löschung auf die zentrale Evidenz, da die Prinzipien des Art. 5 DSGVO dem entgegenstehen würden. Es werde daher beantragt, Spruchpunkt 3 dahingehend abzuändern, dass die Lichtbilder zu den Ausweisen Nr. XXXX und Nr. XXXX aus den lokalen und zentralen Evidenzen zu löschen seien. Weiters werde der Antrag gestellt, dem EuGH die Auslegungsfrage gem. Art. 267 AEUV vorzulegen, ob in nationalen Normen erwähnte Verarbeitungszwecke im Zusammenwirken mit Art. 5 DSGVO das Bestehen von Löschfristen implizieren würden, sowie ob es eine unbegrenzte Speicherung von Daten ohne explizite Normierung geben könne.
11. Am 03.09.2019 übermittelte die mitbeteiligte Partei der belangten Behörde die Bestätigung des XXXX , dass, entsprechend dem Spruchpunkt 1. des Bescheides, die Personalausweisdaten des öst. Personalausweises Nr. XXXX , im zentralen IDR gelöscht worden seien. Dem Löschungsauftrag der belangten Behörde sei sohin innerhalb der im Spruchpunkt 2. des Bescheides festgelegten Frist entsprochen worden.
12. Die belangte Behörde teilte dem Beschwerdeführer mit Schreiben vom 12.09.2019 mit, dass bestätigt worden sei, dass entsprechend dem Spruchpunkt 1. des Bescheides die Personalausweisdaten des österreichischen Personalausweises Nr. XXXX , im zentralen IDR gelöscht worden seien.
13. Mit Schreiben vom 18.09.2019 wurde von der belangten Behörde die Beschwerde samt Verwaltungsakt dem Bundesverwaltungsgericht zur Entscheidung vorgelegt.
14. Aufgrund der Verfügung des Geschäftsverteilungsausschusses vom 17.07.2020 wurde die gegenständliche Rechtssache in die nunmehr zuständige Gerichtsabteilung W214 zugewiesen, wo sie am 24.07.2020 einlangte.
15. Am 17.12.2020 übermittelte der Beschwerdeführer dem Bundesverwaltungsgericht eine „Anregung einer Vorlage an den VfGH“ und führte dazu aus, dass er die Vorlage der §§ 22a, b Passgesetz 1992 zur Prüfung der Verfassungsmäßigkeit beim VfGH aufgrund der Verletzung des Determinierungsgebots (Art. 18 B-VG), der DSGVO-Rahmengesetzgebung (Art. 5, 6, 9, 12 und 23 DSGVO), der Verfassungsbestimmung des § 1 Abs. 2 DSG, des Art. 7 und 8 GRC, des Art. 16 AEUV, des Art. 8 EMRK sowie der Gefahr für die Grund- und Freiheitsrechte durch laufende Zugriffserweiterungen auf Bestandsdaten, Fehlen eines Richtervorbehalts und eines effektiven nachgelagerten Rechtsschutzes, anrege. Die derzeitigen Regelungen der §§ 22a, b Passgesetz 1992 würden keine genauen Speicherdauern (maximal bzw. minimal), Verarbeitungszwecke oder Übermittlungsermächtigungen für bestimmte Datenkategorien festlegen bzw. werde zwischen den einzelnen Datenkategorien nicht unterschieden, was jedoch bereits zur Wahrung einer transparenten und für den Betroffenen nachvollziehbaren sowie rechtmäßigen Verarbeitung notwendig wäre.
16. Das Bundesverwaltungsgericht übermittelte am 04.02.2021 die Beschwerde des Beschwerdeführers sowie den Schriftsatz vom 17.12.2020 der mitbeteiligten Partei zur Kenntnis und gab ihr Gelegenheit zur Abgabe einer Stellungnahme.
17. Mit Stellungnahme vom 23.02.2021 führte die mitbeteiligte Partei aus, dass der vom Beschwerdeführer angeführte Artikel 5 Abs. 1 lit. e DSGVO normiere, dass personenbezogene Daten in einer Form gespeichert werden müssten, die die Identifizierung der betroffenen Person nur solange ermögliche, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich sei. Diese vom Beschwerdeführer angesprochene Speicherbegrenzung sei im § 22c Abs. 1, Abs. 2 Z 1 und 2 und Abs. 4 Passgesetz 1992 durch Sperrfristen und Löschungsfristen bezüglich der personenbezogenen Daten und der Dokumentendaten nachvollziehbar geregelt. Diese, auf die Dauer der Gültigkeit der österreichischen Reisedokumente abstellenden, Aufbewahrungsfristen der personenbezogenen Daten in der Evidenz (Identitätsdokumentenregister) seien deshalb wichtig, da ansonsten bei allfälligen Problemen mit österreichischen Reisepässen und Personalausweisen im Zusammenhang mit einer Grenzkontrolle, beispielsweise bei Verdacht auf eine Verfälschung, die Abklärung der Personendaten und der Ausstellungsdaten des Reisedokuments nicht mehr möglich wäre. Weiters wären im Falle einer Entfremdung (Diebstahl) oder Verlustes des österreichischen Reisepasses bzw. österreichischen Personalausweises die Anzeigelegung und die Ausschreibung in der Sachenfahndung (national gemäß § 22b Abs. 2 Z 1 Passgesetz 1992 und international gemäß den Vorschriften zum Schengener Abkommen) nicht mehr möglich, zumal die Reisedokumente-Nummer, die Ausstellungsbehörde, das genaue Ausstellungsdatum, das Gültigkeitsdatum usw. nicht mehr ermittelbar wären. Zudem wäre bei allfälligen Zweifeln an der Echtheit des vorgelegten Reisedokuments bei dessen Verwendung als Reisedokument oder als amtlicher Lichtbildausweis bei Identitätsabklärungen auf Anfrage im Einzelfall der im § 22b Abs. 4 und Abs. 4a Passgesetz 1992 genannten Behörden ein Abgleich des ausgestellten österreichischen Reisedokumentes mit den vom Reisedokumente-Antragsteller beantragten Reisedokumentdaten bis zum Ablauf der Gültigkeitsdauer des Reisedokuments durch die Passbehörde ohne die im Zuge der Beantragung von Reisedokumenten und -ausstellung verarbeiteten Evidenzdaten (insbesondere Namen, Geburtsdatum, Staatsbürgerschaftsnachweis, Passfoto, Unterschrift, Ausstellungsbehörde, Reisedokumentnummer, Ausstellungsdatum, Gültigkeitsdatum) nicht mehr möglich. Es sei festzuhalten, dass § 22c Passgesetz 1992 jeweils auf personenbezogene Daten und nicht auf unterschiedliche Systeme verweise. Durch den Verweis auf § 22b Passgesetz 1992, der wiederum auf den § 22a Passgesetz 1992 verweise, würden die personenbezogenen Daten nur näher konkretisiert. Dementsprechend seien die entsprechenden gesetzlichen Löschfristen vorhanden. Die Löschungsverpflichtung hinsichtlich des Personalausweises mit der Nr. XXXX sei erfüllt, aufgrund der Spruchpunkte 1. und 2. des angefochtenen Bescheides der belangten Behörde sei die Löschung der Daten zum österreichischen Personalausweis Nr. XXXX im zentralen Identitätsdokumentenregister und im technisch mit diesem untrennbar verbundenen lokalen Identitätsdokumentenregister beim XXXX per E-Mail am 30. August 2019 veranlasst worden. Der Personalausweis Nr. XXXX scheine im Identitätsdokumentenregister nicht mehr auf (weder zentral noch lokal). Es werde daher festgehalten, dass hinsichtlich der personenbezogenen Daten des Personalausweises mit der Nr. XXXX keinerlei Beschwer mehr vorliege, da dem Begehren des Beschwerdeführers entsprochen worden sei. Hinsichtlich des Personalausweises mit der Nr. XXXX bestehe keine Löschungsverpflichtung, da dieser bis 6. September 2025 gültig sei. Die Argumentation des Beschwerdeführers zu § 22a Abs. 1 und § 22b Abs. 1 Passgesetz 1992 bezüglich des Fehlens einer ex-lege Löschungsfrist in der Evidenz für gültige öst. Reisedokumente sei nicht nachvollziehbar, in § 22c Passgesetz 1992 sei ohnehin die, auf die Gültigkeitsdauer des öst. Reisedokumentes abstellende, Aufbewahrungsfrist der personenbezogenen Reisedokumente-Daten geregelt. § 22c Passgesetz 1992 beziehe sich – wie erwähnt – auf konkret genannte Daten und nicht Systeme. Andererseits sei auch deshalb die Argumentation nicht nachvollziehbar, da die §§ 22a Abs. 1 und 22b Abs. 1 Passgesetz 1992 die Passbehörden ermächtigen würden, die bei der Antragstellung auf Ausstellung eines öst. Reisepasses oder eines öst. Personalausweises taxativ aufgezählten Datenarten des Antragstellers (wie Namen, Geburtsdaten, Lichtbild, Unterschrift, usw.) und die Ausstellungsdaten des öst. Reisedokuments (wie Ausstellungsbehörde, Ausstellungsdatum, Gültigkeitsdatum, Pass- oder Personalausweisnummer, usw.) in der zentralen und in der lokalen Evidenz (im zentralen und lokalen Identitätsdokumentenregister des XXXX ) zu verarbeiten, also insbesondere zu speichern. Es bestehe damit eine Verarbeitungsermächtigung. Selbst bei der Annahme des Fehlens einer gesetzlichen Löschungsverpflichtung käme der Art. 5 Abs. 1 lit. e DSGVO während der aufrechten Gültigkeitsdauer des Personalausweises nicht zum Tragen, da die personenbezogenen Daten jedenfalls während der Gültigkeitsdauer und auch noch danach in personenbezogener Form aus den oben genannten Gründen weiter benötigt werden. Eine Löschungsfrist sei in den §§ 22a Abs. 1 und 22b Abs. 1 Passgesetz 1992 für die Dauer der Gültigkeit der ausgestellten öst. Reisedokumente nicht normiert und wäre eine solche während der Laufzeit der Reisedokumente auch kontraproduktiv. Auch hinsichtlich des Personalausweises mit der Nr. XXXX bestehe keine Löschungsverpflichtung, der Beschwerdeführer habe den Personalausweis Nr. XXXX reklamiert und sei dieser am 24. September 2015 im Identitätsdokumentenregister auf „ungültig“ gesetzt worden und am selben Tag den Produktionsauftrag für den gebührenfreien Ersatz-Personalausweis für den Beschwerdeführer im Wege des Identitätsdokumentenregisters an die XXXX auf Basis der Personalausweis-Antragsniederschrift vom 7. September 2015 und mit dem damals der Passbehörde vorgelegten Foto erteilt worden. Der „Ersatz“-Personalausweis Nr. XXXX mit den ursprünglichen Ausstellungs- und Gültigkeitsdaten (7. September 2015 bis 6. September 2025) und demselben Foto sei dem Beschwerdeführer nachweislich am 14. Oktober 2015 ausgefolgt worden. Beide Personalausweise würden im Hinblick auf den Antrag eine rechtliche Einheit bilden, dies lasse sich insbesondere mit dem Verweis auf dieselben Antragsgrundlagen begründen. Eine Löschung der IDR-Daten des reklamierten Personalausweises Nr. XXXX im Identitätsdokumentenregister hätte zur Folge, dass damit der Verarbeitung (Speicherung) der personenbezogenen Daten des Beschwerdeführers gemäß §§ 22a Abs. 1 und 22b Abs. 1 Passgesetz 1992 für den bis 6. September 2025 gültigen „Ersatz“-Personalausweis Nr. XXXX die Grundlage entzogen wäre. Die vom Beschwerdeführer verlangte Sperre der Daten des Personalausweises Nr. XXXX für Auskünfte in der zentralen und in der lokalen Evidenz (Identitätsdokumentenregister) per 24. September 2016 und die Löschung dieser Personalausweisdaten mit 24. September 2018 gemäß § 22c Abs. 2 und Abs. 4 Passgesetz 1992 könne daher nicht zum Tragen kommen. Dem Vorbringen, es handle sich bei den Lichtbildern im Identitätsdokumentenregister um biometrische Daten iSd Art. 4 Z 14 DSGVO werde entschieden entgegengetreten, da diese nicht auf dem Datenträger des biometrischen Reisepasses („Chip“) gespeichert seien.
18. Das Bundesverwaltungsgericht übermittelte die Stellungnahme der mitbeteiligten Partei am 07.04.2021 im Rahmen des Parteiengehörs dem Beschwerdeführer und der belangten Behörde.
19. Der Beschwerdeführer führte mit Stellungnahme vom 15.04.2021 - unter Anschluss von Dokumenten – aus, dass es sich bei den Lichtbildern, die für Reisepässe und Personalausweise verwendet werden, um biometrische Daten handle. Weiters wiederholte der Beschwerdeführer, dass die Speicherung seines Lichtbildes nicht notwendig sei. Auch wenn im Alltagsleben ein Ausweis erforderlich sei, könne man die Identität üblicherweise mit jedem amtlichen Lichtbildausweis (Studentenausweis, Waffenbesitzkarte, Führerschein…) nachweisen. Allenfalls wäre noch eine rein lokale Speicherung des gescannten Antragsformulars inkl. Lichtbild in einem Archiv der Passbehörde ohne automatisierte Abrufmöglichkeiten mit dem Zweck der Verfahrensdokumentation vereinbar.
20. Das Bundesverwaltungsgericht ersuchte die mitbeteiligte Partei um Klärung, ob das Lichtbild, das anlässlich der Ausstellung des später für ungütig erklären Personalausweises gespeichert wurde, sowohl unter der Nr. des ungültigen Personalausweises als auch unter der Nr. des daraufhin ausgestellten gültigen Personalausweises gesondert gespeichert ist.
Dazu teilte die mitbeteiligte Partei mit Schreiben vom 22.04.2021 mit, dass die Bundesapplikation Identitätsdokumentenregister (IDR) so aufgebaut sei, dass jeder Reisepass- bzw. Personalausweisantrag samt dem jeweils vorgelegten Lichtbild gesondert erfasst werde. Insoweit sei auch jedes Lichtbild zum jeweiligen Antrag (Dokumentdatensatz) gesondert erfasst und damit gesondert gespeichert; Im vorliegenden Fall sei für den Beschwerdeführer aufgrund seiner Urgenz eines vermeintlichen Produktionsfehlers des von ihm am 07.09. 2015 beantragten Personalausweises (Plastikkarte) zur Nummer XXXX ein neuer gebührenfreier Personalausweis mit der Nummer XXXX am 24.09.2015 vom MBA 4/5 ausgestellt worden. Auch hier sei der dahingehende Antrag auf gebührenfreie Neuausstellung samt dem Lichtbild gesondert im IDR erfasst und gespeichert worden. Für die gebührenfreie Neuausstellung dürfe passrechtlich dasselbe Lichtbild verwendet werden, sofern zwischen den beiden Ausstellungsdaten nicht mehr als sechs Monate liegen. Dies ändere jedoch nichts daran, dass im vorliegenden Fall das verwendete Lichtbild im IDR mit dem Antrag auf gebührenfreie Neuausstellung des Personalausweises ebenso gesondert verspeichert worden sei.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt I. angeführte Verfahrensgang wird den Feststellungen zugrunde gelegt.
Der Beschwerdeführer machte in seiner Datenschutzbeschwerde vom 10.11.2018 (verbessert mit Eingaben vom 14.11.2018 und 29.11.2018) eine Verletzung im Recht auf Geheimhaltung geltend und brachte vor, dass eine dauerhafte Speicherung seiner biometrischen Daten zum Personalausweis Nr. XXXX sowie seiner Lichtbilder zu den Personalausweisen Nr. XXXX und Nr. XXXX durch den XXXX als Passbehörde und Verantwortlichen gemäß Art. 4 Z 7 DSGVO im Identitätsdokumentenregister (IDR) des XXXX unverhältnismäßig und (wegen der Nichtbeachtung von Löschfristen) unzulässig (gewesen) sei. Der Beschwerdeführer beantragte daher die Löschung der personenbezogenen Daten zum Personalausweis Nr. XXXX sowie der Lichtbilder zu den Personalausweisen Nr. XXXX und Nr. XXXX .
Mit Bescheid vom 14.05.2019, Zl DSB-D123.770/0000-DSB/2019, gab die belangte Behörde der Beschwerde des Beschwerdeführers teilweise statt und stellte fest, dass die mitbeteiligte Partei den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt habe, indem über den 23. November 2017 hinaus die personenbezogenen Daten des Beschwerdeführers (§ 22b Abs. 2 Passgesetz 1992) zum Personalausweis Nr. XXXX im zentralen Identitätsdokumentenregister gespeichert worden seien (Spruchpunkt 1.). Der mitbeteiligten Partei wurde auftragen, innerhalb einer Frist von zwei Wochen die Daten gemäß Spruchpunkt 1 zu löschen (Spruchpunkt 2.). Im Übrigen wurde die Beschwerde wegen Verletzung im Recht auf Geheimhaltung abgewiesen (Spruchpunkt 3.).
Gegen diesen Bescheid erhob der Beschwerdeführer mit Schriftsatz vom 24.08.2019 eine Beschwerde an das Bundesverwaltungsgericht.
Die Daten des Beschwerdeführers zum Personalausweis Nr. XXXX wurden spätestens am 03.09.2019 aus dem zentralen und lokalen Identitätsdokumentenregister, welche technisch untrennbar verbunden sind, gelöscht.
Das Lichtbild des Beschwerdeführers, das anlässlich der Antragstellung für den Personalausweis Nr. XXXX verarbeitet wurde, wird von der mitbeteiligten Partei noch immer beim Datensatz dieses am 24.09.2015 für ungültig erklären Personalausweises verarbeitet.
Dieses Lichtbild wird von der mitbeteiligten Partei auch beim Datensatz zum Personalausweis Nr. XXXX des Beschwerdeführers verarbeitet.
2. Beweiswürdigung:
Die Feststellungen ergeben sich aus dem Verwaltungsakt und aus dem Gerichtsakt und sind unstrittig.
3. Rechtliche Beurteilung:
Zu A)
3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.
Gemäß § 6 Bundesverwaltungsgerichtsgesetz (BVwGG) entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF (welcher im Wesentlichen dem bis 24.05.2018 in Geltung gestandenen § 39 DSG 2000 entspricht) entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das Verwaltungsgerichtsverfahrensgesetz (VwGVG) geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkraftretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles sowie andere näher genannte (im vorliegenden Fall nicht relevante) Gesetze und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 2 VwGVG hat über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG das Verwaltungsgericht dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Zu den Prozessvoraussetzungen:
Die Beschwerde wurde gemäß § 7 Abs. 4 VwGVG fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.
3.3. Zu Spruchteil A):
3.3.1. Rechtslage:
Die belangte Behörde hat ihrem Bescheid folgende Rechtsgrundlagen zugrunde gelegt:
Art. 58 Abs. 2 lit. d sowie Art. 77 der Datenschutz-Grundverordnung (DSGVO), ABl. Nr. L 119 vom 04.05.2016; §§ 1, 24 Abs. 1 und 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF sowie §§ 22a, 22b, 22c des Passgesetzes 1992, BGBl. Nr. 839/1992 idgF. Diese Bestimmungen sind auch im gegenständlichen Beschwerdeverfahren vor dem Bundesverwaltungsgericht heranzuziehen, darüber hinaus ist Art. 5 Abs. 1 lit. c DSGVO relevant.
Art. 4 Z 14 DSGVO lautet:
„14.
„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“
Art. 5 Abs. 1 lit. c und e DSGVO lauten:
„Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);“
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);“
Art. 58 Abs. 2 lit. d DSGVO lautet:
„Artikel 58 Befugnisse
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,“
Art. 77 DSGVO lautet:
„Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“
§ 1 und § 24 Abs. 1 und 5 DSG lauten:
„Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“
§ 22a Passgesetz 1992 samt Überschrift lautet:
„Verarbeitung personenbezogener Daten anlässlich der Antragstellung und in lokalen Anwendungen
§ 22a. (1) Die Passbehörden sind ermächtigt, bei Antragstellung auf Ausstellung eines Reisepasses oder Personalausweises
a) Namen,
b) Geschlecht,
c) akademischen Grad,
d) Geburtsdatum,
e) Geburtsort,
f) Staatsbürgerschaft,
g) Wohnsitze oder Kontaktstelle (§ 19a MeldeG),
h) Größe,
i) besondere Kennzeichen in verbaler Beschreibung,
j) Lichtbild,
k) die Papillarlinienabdrücke zweier Finger,
l) Unterschrift sowie
m) das bereichsspezifische Personenkennzeichen (bPK) gemäß § 9 des E-Government-Gesetzes – E-GovG, BGBl. I Nr. 10/2004, und
n) Namen, Geschlecht und Geburtsdaten miteingetragener Kinder
des Antragstellers zum Zwecke der Einbringung dieser Daten in den Reisepass oder Personalausweis zu verarbeiten und diese Daten hiefür dem Auftragsverarbeiter gemäß § 3 Abs. 6 zu übermitteln.
(2) Die örtlich zuständige Passbehörde ist ermächtigt, weitere für das Ausstellungsverfahren und sonstige Verfahren nach diesem Bundesgesetz erforderliche personenbezogene Daten (Verfahrensdaten) zu ermitteln und gemeinsam mit den darauf Bezug habenden Daten nach Abs. 1 sowie die weiteren Daten nach § 22b Abs. 1 automationsunterstützt zu verarbeiten.
(3) Für eine Ermittlung der Daten nach Abs. 2 dürfen als Auswahlkriterium nur Namen, Geburtsdaten, Reisepass- oder Personalausweisnummer, eine Verfahrenszahl oder das bereichsspezifische Personenkennzeichen (bPK, § 9 E-Government-Gesetz) verarbeitet werden. Die Beauskunftung des Lichtbildes und des Unterschriftsbildes ist nur zulässig, wenn dies eine notwendige Voraussetzung für die Erfüllung einer behördlichen Aufgabe darstellt. Gemäß Abs. 1 lit. k verarbeitete Papillarlinienabdrücke dürfen ausschließlich für die Identifizierung des Passinhabers und die Prüfung der Authentizität des Dokuments in Vollziehung dieses Gesetzes verarbeitet werden.
(4) Gemäß Abs. 2 verarbeitete Daten dürfen – soweit darüber hinaus nicht eine gesonderte ausdrückliche gesetzliche Ermächtigung besteht – nur zur Vollziehung dieses Bundesgesetzes verarbeitet werden. Verfahrensdaten dürfen jedoch ausschließlich durch die jeweils zuständige örtliche Passbehörde verarbeitet werden.
(5) Die Verfahrensdaten nach Abs. 2 sind zu löschen, sobald sie nicht mehr benötigt werden, spätestens aber zehn Jahre nach Eintritt der Rechtskraft der Entscheidung oder nach Ausstellung des Reisepasses. Daten über Urkunden, die in Verfahren nach diesem Bundesgesetz zum Beweis vorzulegen sind, und Daten über behördliche Entscheidungen, die in solchen Verfahren zu berücksichtigen sind, sind ein Jahr nach Entwertung des Reisepasses oder Personalausweises, bei Reisepässen spätestens sechs Jahre nach Ablauf der Gültigkeitsdauer zu löschen.
(5a) Die Daten nach Abs. 1 lit. k sind spätestens zwei Monate nach Versendung des Dokuments (§ 3 Abs. 6), und spätestens vier Monate nach Versendung des Dokuments unter Einbindung des Bundesministeriums für europäische und internationale Angelegenheiten, zu löschen, sonst mit wirksamer Zurückziehung oder rechtskräftiger Zurück- oder Abweisung des Antrages.
(6) Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen sind drei Jahre lang aufzubewahren.“
§ 22b Passgesetz 1992 samt Überschrift lautet:
„Verarbeitung personenbezogener Daten im Rahmen der zentralen Evidenz
§ 22b. (1) Die Passbehörden sind als gemeinsam Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO ermächtigt, die für die Wahrnehmung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben erforderlichen personenbezogenen Daten nach § 22a Abs. 1 mit Ausnahme der lit. k sowie ab dem Zeitpunkt der Ausstellung
a) die Ausstellungsbehörde,
b) das Ausstellungsdatum,
c) die Pass- oder Personalausweisnummer,
d) die Gültigkeitsdauer,
e) den Geltungsbereich,
f) das bereichsspezifische Personenkennzeichen (bPK, § 9 des E-Government-Gesetzes),
g) besondere für das Ausstellungsverfahren notwendige Informationen sowie
h) einen Vermerk über ein laufendes Verfahren nach diesem Bundesgesetz
gemeinsam in der Art zu verarbeiten, dass jeder Verantwortliche auch auf jene Daten in der Datenverarbeitung Zugriff hat, die dieser von den anderen Verantwortlichen zur Verfügung gestellt wurden. Zweck dieser Verarbeitung ist es, eine Behörde gemäß Abs. 4 über die erfolgte Ausstellung eines Reisepasses oder Personalausweises oder über ein Verfahren nach diesem Bundesgesetz in Kenntnis zu setzen.
(1a) Die Erfüllung von Informations-, Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten nach den Bestimmungen der DSGVO gegenüber dem Betroffenen obliegt jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet werden. Nimmt ein Betroffener unter Nachweis seiner Identität ein Recht nach der DSGVO gegenüber einem gemäß dem ersten Satz unzuständigen Verantwortlichen wahr, ist er an den zuständigen Verantwortlichen zu verweisen.
(1b) Der Bundesminister für Inneres übt die Funktion des Auftragsverarbeiters gemäß Art. 4 Z 8 in Verbindung mit Art. 28 Abs. 1 DSGVO aus. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen. In dieser Funktion hat er datenqualitätssichernde Maßnahmen zu setzen, wie insbesondere Hinweise auf eine mögliche Identität zweier ähnlicher Datensätze oder die Schreibweise von Adressen zu geben. Zudem ist er berechtigt, weitere Auftragsverarbeiter in Anspruch zu nehmen.
(2) Die Passbehörden dürfen weiters Namen, Geschlecht, akademischen Grad, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Wohnsitze oder Kontaktstelle (§ 15a MeldeG), Lichtbild, das bereichsspezifische Personenkennzeichen (bPK, § 9 E-Government-Gesetz), Namen der Eltern einer Person und Aliasdaten einer Person ermitteln und im Rahmen einer zentralen Evidenz samt dem für die Speicherung maßgebenden Grund sowie die Ausstellungsbehörde, das Ausstellungsdatum, die Passnummer und die Gültigkeitsdauer des Reisepasses oder Passersatzes verarbeiten, wenn
1. ein Reisepass oder Passersatz der betroffenen Person als verloren oder entfremdet gemeldet ist,
2. der betroffenen Person ein Reisepass oder Passersatz gemäß §§ 14 oder 15 versagt oder entzogen worden ist oder
3. die Passbehörde über die Anordnung zur Abnahme eines Reisedokuments nach § 107 des Bundesgesetzes über das gerichtliche Verfahren in Rechtsangelegenheiten außer Streitsachen (Außerstreitgesetz – AußStrG), BGBl. I Nr. 111/2003, oder den Widerruf einer solchen Maßnahme unterrichtet wird.
Zweck dieser Verarbeitung ist die Feststellung der Identität von Personen und die Verhinderung missbräuchlicher Verarbeitung von Reisedokumenten sowie die Information der Behörden über bestehende Versagungs- und Entziehungsgründe. Für die Verwendung der Lichtbilddaten gilt § 22a Abs. 3 letzter Satz sinngemäß.
(3) Die Passbehörden sind ermächtigt,
1. die von ihnen in der zentralen Evidenz gespeicherten personenbezogenen Daten aus Anlass eines konkreten Verfahrens für die Zwecke nach Abs. 1 letzter Satz und Abs. 2 vorletzter Satz sowie
2. die in der zentralen Evidenz gespeicherten personenbezogenen Daten für Zwecke von Verfahren nach diesem Bundesgesetz
zu verarbeiten. Ein Abruf der personenbezogenen Daten ist nur anhand der in § 22a Abs. 3 genannten Suchkriterien zulässig. Die Verwendung eines gemäß Z 2 gespeicherten Lichtbilds ist mit Ausnahme der Beauskunftung nur innerhalb von sechs Monaten, nachdem das Lichtbild erstmals in der zentralen Evidenz verarbeitet wurde, zulässig.
(4) Über Anfrage im Einzelfall dürfen gemäß Abs. 1 und 2 verarbeitete Daten bestimmter Personen an die Passbehörden für Zwecke von Verfahren nach diesem Bundesgesetz, an die Stammzahlenregisterbehörde zum Zwecke des elektronischen Datennachweises gemäß § 18 Abs. 1 E-GovG, an die Sicherheitsbehörden, ordentliche Gerichte und staatsanwaltschaftliche Behörden für deren Tätigkeit im Dienste der Strafrechtspflege übermittelt werden. Im Falle der Einräumung einer Möglichkeit zum automatisierten Abruf der personenbezogenen Daten ist ein solcher nur anhand der in § 22a Abs. 3 genannten Suchkriterien zu gestatten. Sonst sind Übermittlungen nur zulässig, wenn hiefür eine ausdrückliche gesetzliche Ermächtigung besteht.
(4a) Über Anfrage im Einzelfall dürfen Namen, Geburtsdaten, Lichtbild sowie Pass- oder Personalausweisnummer bestimmter Personen an Behörden übermittelt werden, sofern diese die Identität einer Person im Rahmen einer gesetzlich übertragenen Aufgabe festzustellen haben und dies anders nicht oder nicht in der nach den Umständen gebotenen Zeit möglich ist. Abs. 4 zweiter Satz gilt.
(5) Die Protokollierungsregelungen des § 22a Abs. 6 finden auch auf die zentralen Evidenzen nach Abs. 1 und 2 dieser Bestimmung Anwendung.
(6) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.
(7) Der Bundesminister für Inneres hat auf ein unter Verwendung der Funktion Elektronischer Identitätsnachweis (E-ID) gestelltes Verlangen des Betroffenen einen Vermerk, dass der Betroffene rechtzeitig über den Ablauf der Gültigkeitsdauer seines Reisedokumentes informiert wird, in der zentralen Evidenz zu verarbeiten und den Betroffenen in angemessener Zeit vor Ablauf der Gültigkeitsdauer seines Reisedokumentes zu verständigen. Eine Verständigung hat zu unterbleiben und der diesbezügliche Vermerk ist zu löschen, sofern der Betroffene dies verlangt. Der Bundesminister für Inneres ist ermächtigt, einen späteren Zeitpunkt, ab dem Betroffene über den Ablauf der Gültigkeitsdauer ihrer Reisedokumente verständigt werden können, durch Verordnung festzulegen.
(8) Die Staatsbürgerschaftsbehörde ist ermächtigt und auf Anfrage verpflichtet, der Behörde Daten, über die sie rechtmäßig verfügt und die für Verfahren oder für die Einleitung eines Verfahrens nach diesem Bundesgesetz benötigt werden, zu übermitteln. Eine Verweigerung der Auskunft ist nicht zulässig. Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden.“
§ 22c Passgesetz 1992 samt Überschrift lautet:
„Zentrale Evidenz; Auskunftssperre und Löschung