TE Bvwg Erkenntnis 2021/10/21 W101 2205856-1

W101 2205856-1/10E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Christine AMANN als Vorsitzende und die fachkundigen Laienrichter MMag. Dr. Winfried PÖCHERSTORFER sowie Mag. Thomas GSCHAAR als Beisitzer über die Beschwerde des XXXX gegen den Bescheid der Datenschutzbehörde vom 06.07.2018, GZ. DSB-D123.051/0002-DSB/2018, zu Recht erkannt:

A)

I. Die Beschwerde wird hinsichtlich des den Akt S90951/235-Recht/2016 betreffenden Teils der Datenschutzbeschwerde gemäß § 28 Abs. 2 VwGVG iVm § 24 Abs. 8 DSG idgF und Art. 57 Abs. 4 DSGVO abgewiesen.

II. Die Beschwerde wird hinsichtlich des anderen Teils der Datenschutzbeschwerde gemäß § 28 Abs. 2 VwGVG iVm § 17 VwGVG mit der Maßgabe abgewiesen, dass der Spruch des angefochtenen Bescheids wie folgt zu ergänzen ist:

„Im Übrigen wird die Datenschutzbeschwerde gemäß § 13 Abs. 3 AVG zurückgewiesen.“

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

Am 19.06.2018 brachte Herr XXXX (= Beschwerdeführer vor dem Bundesverwaltungsgericht und Antragsteller vor der Datenschutzbehörde) eine Datenschutzbeschwerde gegen das XXXX (= mitbeteiligte Partei vor dem Bundesverwaltungsgericht und Beschwerdegegner vor der Datenschutzbehörde) gemäß § 24 DSG ein, weil er in seinem Recht auf Geheimhaltung verletzt worden sei. Er begründete seine Datenschutzbeschwerde im Wesentlichen folgendermaßen:

Die mitbeteiligte Partei habe den elektronischen Akt S90951/235-Recht/2016 „veröffentlicht“. Da der Beschwerdeführer unter Amtsverschwiegenheit stehe, möge die Datenschutzbehörde das XXXX auffordern, den Akt S90951/235-Recht/2016 der Datenschutzbehörde vorzulegen. Weiters möge die Datenschutzbehörde das XXXX auffordern, den Ermittlungsbericht, welcher das XXXX als Beilage ./46 („Gedächtnisprotokoll zu den Erstmaßnahmen/ Erhebungen zum Vorfall, vermuteter unbefugter Zugriff auf Serverlaufwerke durch XXXX “) im Verfahren 9 Cga 78/17f vorgelegt habe, ebenfalls der Datenschutzbehörde vorzulegen (Anm.: Dieses Vorbringen betrifft den elektronischen Akt P780378/89-PersB/2017).

Mit Auftrag zur Mangelbehebung vom 27.06.2018 forderte die Datenschutzbehörde den Beschwerdeführer auf, binnen zwei Wochen ab Erhalt dieses Schreibens folgende Elemente anzugeben:

1.       die Bezeichnung des als verletzt erachteten Rechtes;

2.       der Sachverhalt, aus dem die Rechtsverletzung abgeleitet werde;

3.       die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stütze;

4.       das Begehren, die behauptete Rechtsverletzung festzustellen;

5.       die Angaben, die erforderlich seien, um beurteilen zu können, ob die Datenschutzbeschwerde rechtzeitig eingebracht worden sei;

6.       betreffend eine behauptete Verletzung im Recht auf Information/Auskunft von Daten/Berichtigung von Daten/Löschung von Daten/Einschränkung der Datenverarbeitung/Datenübertragbarkeit/Widerspruch/Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruhe: der zugrundeliegende Antrag und eine allfällige Antwort der mitbeteiligten Partei.

Darüber hinaus führte die Datenschutzbehörde aus, dass durch die habituelle Datenschutzbeschwerdeführung gegen die mitbeteiligte Partei ein amtswegiges Prüfverfahren nicht infrage komme. Der Beschwerdeführer möge somit den Beschwerdegegenstand den gesetzlichen Voraussetzungen folgend relevieren.

Mit Schreiben vom 27.06.2018 gab der Beschwerdeführer binnen gesetzter Frist im Wesentlichen Folgendes an:

Er sei in seinem Recht auf Geheimhaltung personenbezogener Daten verletzt worden. Der Akt S90951/235-Recht/2016 enthalte u.a. persönliche Krankendaten wie auch Daten über Mobbingvorkommnisse. Dieser Akt sei mit allgemeinen Zugriffsrechten ausgestattet worden und somit hätten ca. ca. 1.500 Mitarbeiter des XXXX die Erlaubnis erhalten, auf diesen Akt zuzugreifen. Am 24.10.2017 habe das XXXX die Beilage ./46 (im Verfahren 9 Cga 78/17f) einem Gericht vorgelegt und wenige Tage vor Einbringung der Datenschutzbeschwerde habe der Beschwerdeführer Kenntnis über diese Beilage erlangt.

Mit Bescheid vom 06.07.2018, GZ. DSB-D123.051/0002-DSB/2018, lehnte die Datenschutzbehörde die Behandlung der Datenschutzbeschwerde vom 19.06.2018 ab.

In diesem Bescheid traf die Datenschutzbehörde folgende wesentliche Sachverhaltsfeststellungen:

Der Beschwerdeführer habe in einem Dienstverhältnis zur mitbeteiligten Partei gestanden und mit Schreiben vom 13.06.2017 zu GZ. P780378/89-PersB/2017 sei seine „fristlose Entlassung“ (vorzeitige Auflösung des Dienstverhältnisses gemäß § 34 VBG) ausgesprochen worden, welche er mit Klage vom 05.07.2017 beim Arbeits- und Sozialgericht Wien angefochten habe.

Mit Eingaben vom

1.       05.06.2017, protokolliert zu DSB-D216.449/0001-DSB/2017,

2.       12.02.2018, protokolliert zu DSB-D122.852/0001-DSB/2018, und

3.       „18.05.2018, protokolliert zu DSB-D210.829/0001-DSB/2018“

(richtigerweise: 10.08.2017, protokolliert zu DSB-D210.829/0001-DSB/2017)

habe der Beschwerdeführer jeweils gegen die mitbeteiligte Partei oder gegen deren Mitarbeiter Verfahren vor der Datenschutzbehörde angestrebt und stets die Verletzung von Geheimhaltungspflichten wegen Zugänglichmachung des Aktes S90951/235-Recht/2016 mit den Rechten „allgemeiner Mitarbeiter“ gerügt.

Der Beschwerdeführer habe darüber hinaus im Verfahren zu GZ. D210.829 zur OZ 0004/2018 bekannt gegeben, dass er die Vorlage von Beweisen im Verfahren vor der Datenschutzbehörde an die mitbeteiligte Partei nicht wünsche, um diese dann überraschend in einem parallelen Strafverfahren vorbringen zu können.

Die Datenschutzbehörde habe sich mehrmals mit dem Sachverhalt selbst auseinandergesetzt.

Auf der Grundlage dieser Sachverhaltsfeststellungen folgerte die Datenschutzbehörde in rechtlicher Hinsicht Folgendes:

Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen könne die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfragen tätig zu werden (Art. 57 Abs. 4 DSGVO).

Die Einbringung einer Datenschutzbeschwerde gemäß § 24 DSG sei jedenfalls unter eine Anfrage im Sinne des Art. 57 Abs. 4 DSGVO zu subsumieren, wie sich auch aus Art. 78 Abs. 2 DSGVO ergebe.

Gegenständlich habe der Beschwerdeführer bereits dreimal innerhalb eines Zeitraumes von weniger als einem Jahr Verfahren betreffend einen behaupteten Verstoß der mitbeteiligten Partei gegen die ihm obliegende Geheimhaltungspflicht anhängig gemacht, wobei der Gegenstand der Datenschutzbeschwerde stets eine behauptete Unregelmäßigkeit in der Aktenführung der mitbeteiligten Partei gewesen sei. Der Beschwerdeführer sei in einem Dienstverhältnis zur mitbeteiligten Partei gestanden und das Dienstverhältnis sei aus wichtigem Grund, wegen einer gröblichen Dienstpflichtverletzung, aufgelöst worden.

Seit diesem Zeitpunkt führe der Beschwerdeführer Verfahren gegen die mitbeteiligte Partei. Die Datenschutzbehörde habe sich in den festgestellten Fällen in der Sache mit den Eingaben des Beschwerdeführers auseinandergesetzt. Die neuerliche Verfahrensführung sei in Anbetracht der häufigen Wiederholung des im Kern stets gleichbleibenden Begehrens als exzessiv anzusehen. Es gehe dem Beschwerdeführer wieder um die bereits von der Datenschutzbehörde mehrmals beurteilten Sachverhalte und auch offenkundig darum, Druck auf die mitbeteiligte Partei in parallel laufenden Zivilrechts- und Strafverfahren auszuüben.

Die Ablehnung der Behandlung der Datenschutzbeschwerde sei gemäß § 24 Abs. 8 DSG mittels Bescheid zu verfügen.

In der gegen diesen Bescheid fristgerecht erhobenen Beschwerde brachte der Beschwerdeführer im Wesentlichen vor:

Aus unnachvollziehbaren Gründen habe die Datenschutzkommission (gemeint wohl Datenschutzbehörde) anfänglich ein Kontroll- und Ombudsverfahren gemäß § 30 DSG 2000 geführt. Der Beschwerdeführer habe sich somit wieder an die Datenschutzbehörde wenden müssen. Danach sei er mehrmals aufgefordert worden, Stellungnahmen und Ergänzungen einzubringen. Nur deswegen, weil, der Beschwerdeführer diesen Aufforderungen nachgekommen sei, könnten darin keine exzessiven Anfragen erblickt werden.

Der Beschwerdeführer sehe sich in seinem Recht auf Geheimhaltung verletzt und habe dies der Datenschutzbehörde angezeigt. Der Sachverhalt der Datenschutzbeschwerde sei eingegrenzt und entsprechende Behauptungen aufgestellt worden, welche anschließend von der Datenschutzbehörde auf ihren sachlichen Wahrheitsgehalt und ihre rechtliche Stichhaltigkeit hätten überprüft werden können. Allerdings habe die Datenschutzbehörde es unterlassen, ein Verfahren nach § 31 DSG 2000 zu führen.

Der Beschwerdeführer unterliege der Pflicht zur Wahrung des Amtsgeheimnisses. Daher sei es ihm untersagt, die beiden elektronischen Akten des XXXX S90951/235-Recht/2016 und P780378/59-PersB/2016 der Datenschutzbehörde als Beweis für den besonders schutzwürdigen Inhalt und der dafür erteilten Berechtigungsstufe „Allgemeiner Mitarbeiter“ des XXXX vorzulegen, woraus hervorgehe, dass ca. 1.400 Mitarbeiter des EDV-Bereichs des XXXX diese Akten mit besonders schutzwürdigen Daten zugänglich gemacht und somit das Recht auf Geheimhaltung verletzt worden sei.

Dem Antrag, die Datenschutzbehörde möge die beiden genannten Akten von der mitbeteiligten Partei einfordern, sei nicht nachgekommen worden, stattdessen habe die Datenschutzbehörde die Behandlung der Datenschutzbeschwerde abgelehnt, was eine Mangelhaftigkeit des Verfahrens erkennen lasse.

Der Beschwerdeführer stellte sohin die Anträge, das Bundesverwaltungsgericht möge

1.       eine mündliche Verhandlung durchführen und

2.       den angefochtenen Bescheid abändern und der Beschwerde stattgeben;

3.       in eventu den angefochtenen Bescheid aufheben und der ersten Instanz eine neuerliche Entscheidung nach allfälliger Verfahrensergänzung auftragen.

Mit Schreiben der Datenschutzbehörde vom 10.09.2018 war die Beschwerde samt Verwaltungsakt an das Bundesverwaltungsgericht übermittelt worden.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Der Beschwerdeführer hat in seiner Datenschutzbeschwerde vom 19.06.2018 gegen die mitbeteiligte Partei einerseits die Verletzung von Geheimhaltungspflichten seiner personenbezogenen Daten wegen Zugänglichmachung des ihn betreffenden Aktes S90951/235-Recht/2016 für ca. 1.400 Mitarbeiter des XXXX geltend gemacht.

Mit Eingaben vom

1. 05.06.2017, GZ. DSB-216.449/0001-DSB/2017 und

2. 10.08.2017, GZ. DSB-210.829/0001-DSB-2017

hat der Beschwerdeführer gegen die mitbeteiligte Partei Verfahren vor der Datenschutzbehörde angestrebt und u.a. stets die Verletzung von Geheimhaltungspflichten wegen Zugänglichmachung des ihn betreffenden Aktes S90951/235-Recht/2016 mit den Rechten „allgemeiner Mitarbeiter“ gerügt.

Das Verfahren zu GZ. DSB-216.449/0001-DSB/2017 hat die Datenschutzbehörde zum Anlass genommen, beim XXXX ein Kontroll- und Ombudsverfahren durchzuführen und zwar zu der Frage, ob das XXXX im internen ELAK-System unberechtigten Personen Zugriffsberechtigten auf bestimmte Sachgebietsakte erteilt hat. Das Ergebnis dieses Ermittlungsverfahrens war, dass keinen unberechtigten Personen derartige Zugriffsberechtigungen erteilt wurden.

Das Verfahren zu GZ. DSB-210.829/0001-DSB/2017 wurde von der Datenschutzbehörde mit Erledigung vom 17.05.2018, GZ. DSB-210.829/0004-DSB/2017, eingestellt, weil bereits zuvor im Verfahren zu GZ. DSB-216.449/0001-DSB/2017 festgestellt wurde, dass das XXXX keinen unberechtigten Personen Zugriffsberechtigungen im internen ELAK-System erteilt hat.

Als maßgeblich ist folglich hinsichtlich des den Akt S90951/235-Recht/2016 betreffenden Teils der Datenschutzbeschwerde festzustellen, dass der Beschwerdeführer bereits in zwei vorangegangenen Verfahren zum selben Sachverhalt die Verletzung von Geheimhaltungspflichten seiner personenbezogenen Daten wegen Zugänglichmachung des ihn betreffenden Aktes S90951/235-Recht/2016 für eine große Anzahl von Mitarbeitern des XXXX geltend gemacht hat.

1.2. Der Beschwerdeführer hat in seiner Datenschutzbeschwerde vom 19.06.2018 gegen die mitbeteiligte Partei andererseits die Verletzung von Geheimhaltungspflichten geltend gemacht, welche aus den elektronischen Akten S90951/235-Recht/2016 und P780378/59-PersB/2016 ersichtlich sei. Die mitbeteiligte Partei habe diese Akten der Datenschutzbehörde vorzulegen.

Mit Mangelbehebungsauftrag vom 27.06.2018 wurde dem Beschwerdeführer von der Datenschutzbehörde eine entsprechende Verbesserung des Anbringens (hier: der Datenschutzbeschwerde) aufgetragen.

Hinsichtlich dieses Teils der Datenschutzbeschwerde hat der Beschwerdeführer dem behördlichen Mangelbehebungsauftrag nicht entsprochen.

1.3. Fest steht, dass der Beschwerdeführer laut Behindertenpass, ausgestellt am 25.04.2018, aufgrund einer Persönlichkeitsstörung einen Behinderungsgrad von 50 % aufweist.

2. Beweiswürdigung:

Die Feststellungen zum maßgeblichen Sachverhalt ergeben sich aus dem Verwaltungsakt, der Beschwerde und dem Gerichtsakt.

ad 1.1. Aus dem Verwaltungsakt ist eindeutig ersichtlich, dass der Beschwerdeführer bereits in den Verfahren zu GZen. DSB-216.449/0001-DSB/2017 und DSB-210.829/0001-DSB/2017 die Verletzung von Geheimhaltungspflichten seiner personenbezogenen Daten wegen Zugänglichmachung des ihn betreffenden Aktes S90951/235-Recht/2016 für eine große Anzahl von Mitarbeitern geltend gemacht hat. wobei in diesen Verfahren nur teilweise als Beschwerdegegner vor der Datenschutzbehörde vom Beschwerdeführer namhaft gemachter wurden.

Die Eingabe vom 12.02.2018, GZ. DSB-D122.852/0001-DSB/2018, betrifft die Datenschutzbeschwerde dieses Tages, in der vom Beschwerdeführer geltend gemacht wurde, er sei in seinem Recht auf Geheimhaltung personenbezogener Daten verletzt worden, weil die mitbeteiligte Partei am 12.02.2016 im Rahmen eines Gesprächs mit dem Benutzerbetreuer XXXX und dem Benutzerbetreuer-Assistenten XXXX ein – von der Personalabteilung B an den Beschwerdeführer gerichtetes – Schreiben verlesen habe. Dieses Schreiben müsse die mitbeteiligte Partei (hier: ein konkret namhaft gemachter Mitarbeiter der gegenständlichen mitbeteiligten Partei) im Vorfeld des Gesprächs aus dem elektronischen Akt, GZ. P780378/59-PersB/2016, abgerufen haben.

Daraus folgt, dass diese Eingabe – nicht wie von der Datenschutzbehörde festgestellt – denselben elektronischen Akt betrifft wie die Eingaben zu GZen. DSB-216.449/0001-DSB/2017 und DSB-210.829/0001-DSB/2017, zumal diese den anderen elektronischen Akt GZ. P780378/ 59-PersB/2016 betrifft.

ad 1.2. Es entspricht keiner vom Gesetz geforderten Verbesserung, darauf zu beharren, dass die Verletzung von Geheimhaltungspflichten aus den (von der mitbeteiligten Partei vorzulegenden) elektronischen Akten S90951/235-Recht/2016 und P780378/59-PersB/2016 ersichtlich sei.

ad 1.3. Aus dem aus dem (im Verwaltungsakt aufliegenden) Behindertenpass, ausgestellt am 25.04.2018, sowie aus einem (auch im Verwaltungsakt aufliegenden) den Beschwerdeführer betreffenden psychologischen Gutachten vom 18.06.2018 ergibt sich, dass er aufgrund einer Persönlichkeitsstörung einen Behinderungsgrad von 50 % aufweist.

Aufgrund der vorliegenden Persönlichkeitsstörung ist der Beschwerdeführer möglicherweise nicht in der Lage, zu verstehen, dass er die Verletzung von Geheimhaltungspflichten seiner personenbezogenen Daten einerseits wegen Zugänglichmachung des ihn betreffenden Aktes S90951/235-Recht/2016 bereits zum dritten Mal bei der Datenschutzbehörde gerügt hat und dass er andererseits der aufgetragenen Verbesserung nicht entsprochen hat.

Aus diesen Erwägungen wurden obige Feststellungen getroffen.

3. Rechtliche Beurteilung:

3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG entscheiden die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gemäß § 27 Abs. 1 DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 leg. cit. und der Entscheidungspflicht der Datenschutzbehörde. Gemäß § 27 Abs. 2 erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Gegenständlich liegt somit Senatszuständigkeit vor.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

3.2. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß § 28 Abs. 1 VwGVG hat Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhaltes durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.3. Zu A)

3.3.1. Anzuwendende Rechtslage

Im gegenständlichen Fall liegt eine Datenschutzbeschwerde vom 19.06.2018 betreffend eine (geltend gemachte) Verletzung im Recht auf Geheimhaltung durch die Zugänglichmachung des den Beschwerdeführer betreffenden Aktes S90951/235-Recht/2016 für Mitarbeiter des XXXX vor. Auf den vorliegenden Sachverhalt ist somit die neue Rechtslage (DSGVO und DSG) anzuwenden.

3.3.1.1. Die maßgeblichen Bestimmungen der DSGVO

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe in Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

3.-5. (…)

6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.-26. (…).

Artikel 57

Aufgaben

(…)

(4) Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

3.3.1.2. Die maßgeblichen Bestimmungen des DSG

Artikel 1

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(…)

Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:

1. die Bezeichnung des als verletzt erachteten Rechts,

2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),

3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,

4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,

5. das Begehren, die behauptete Rechtsverletzung festzustellen und

6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.

(7) Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.

(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

(9) Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.

(10) In die Entscheidungsfrist gemäß § 73 AVG werden nicht eingerechnet:

1. die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;

2. die Zeit während eines Verfahrens nach Art. 56, 60 und 63 DSGVO.

3.3.2. Zum Spruch in A) I.

Gemäß Art. 57 Abs. 4 DSGVO kann die Aufsichtsbehörde bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden.

Der Beschwerdeführer hat in seiner Datenschutzbeschwerde vom 19.06.2018 die Verletzung von Geheimhaltungspflichten seiner personenbezogenen Daten zum einen Teil wegen Zugänglichmachung des ihn betreffenden Aktes S90951/235-Recht/2016 für Mitarbeiter des XXXX geltend gemacht.

Die Datenschutzbehörde hat sich mit diesem Teil der Datenschutzbeschwerde bereits zuvor in den Verfahren zu GZen. DSB-216.449/0001-DSB/2017 und DSB-210.829/0001-DSB/2017 auseinandergesetzt und in einem aufwändigen Kontroll- und Ombudsverfahren gemäß § 30 DSG 2000 festgestellt, dass der Beschwerdeführer nicht – wie von ihm geltend gemacht – in seinem Recht auf Geheimhaltung verletzt wurde.

Somit ist die neuerliche Verfahrensführung als offenkundig unbegründet iSd Art. 57 Abs. 4 DSGVO anzusehen.

Der zuständige Senat gelangt daher zu dem Ergebnis, dass die Datenschutzbehörde zu Recht die Behandlung der gegenständlichen Datenschutzbeschwerde hinsichtlich des den Akt S90951/235-Recht/2016 betreffenden Teils abgelehnt hat.

3.3.3. Zum Spruch in A) II.

Gemäß § 13 Abs. 3 AVG ermächtigen Mängel in schriftlichen Anbringen die Behörde nicht zur Zurückweisung. Die Behörde hat vielmehr von Amts wegen deren Behebung zu veranlassen und kann dem Einschreiter die Behebung des Mangels innerhalb einer angemessenen Frist mit der Wirkung auftragen, dass das Anbringen nach fruchtlosem Ablauf dieser Frist zurückgewiesen wird. Wird der Mangel rechtzeitig behoben, so gilt das Anbringen als ursprünglich richtig eingebracht.

Diese Gesetzesbestimmung ist gemäß § 17 VwGVG auch im verwaltungsgerichtlichen Verfahren anzuwenden.

Da dem von der Datenschutzbehörde erteilten Mängelbehebungsauftrag vom 27.06.2018 binnen gesetzter Frist vom Beschwerdeführer nicht entsprochen wurde, hätte bereits die Datenschutzbehörde den anderen Teil der Datenschutzbeschwerde gemäß § 13 Abs. 3 AVG zurückweisen müssen.

Folglich ist dieser Teil der gegenständlichen Datenschutzbeschwerde gemäß § 28 Abs. 2 VwGVG iVm § 17 VwGVG mit einer entsprechenden Maßgabenabänderung des erstinstanzlichen Spruches abzuweisen.

3.3.4. Da im Ergebnis dem angefochtenen Bescheid aus diesen Gründen eine Rechtswidrigkeit iSd Art. 130 Abs. 1 Z 1 B-VG nicht anhaftet, war die dagegen erhobene Beschwerde insgesamt spruchgemäß abzuweisen.

3.4. Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Der Beschwerdeführer hat zwar gegenständlich einen Antrag auf Durchführung einer öffentlichen Verhandlung gestellt, jedoch kann im gegenständlichen Fall das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage geklärt war. Das Bundesverwaltungsgericht hatte ausschließlich über eine Rechtsfrage zu erkennen (vgl. EGMR 20.06.2013, Appl. Nr. 24510/06, Abdulgadirov/AZE, Rz 34ff). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.06.2012, B 155/12).

Von der Durchführung einer mündlichen Verhandlung war folglich gemäß § 24 Abs. 1 und Abs. 4 VwGVG abzusehen.

3.5. Zu B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.