Entscheidungsdatum
20.10.2021Norm
AVG §13 Abs8Spruch
W211 2231475-1/9E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch die Richterin Mag.a Barbara SIMMA LL.M. als Vorsitzende und die fachkundige Laienrichterin Margareta MAYER-HAINZ und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde des XXXX gegen den Bescheid der Datenschutzbehörde vom XXXX , Zl. XXXX in nichtöffentlicher Sitzung zu Recht:
A)
Die Beschwerde wird als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit Datenschutzbeschwerde vom XXXX .2018 (bei der Datenschutzbehörde eingelangt am XXXX .2018) behauptete der Beschwerdeführer eine Verletzung im Recht auf Geheimhaltung gemäß § 1 und §§ 8 sowie 62 Abs. 1 Z 1 Datenschutzgesetz (DSG) durch die Österreichische Post AG (die mitbeteiligte Partei).
Der Beschwerdeführer führte zusammengefasst aus, dass die mitbeteiligte Partei zwar in Form einer „Firma“ auftrete, de facto aber ein staatlicher Betrieb sei. Bei der Postzollstelle sei am XXXX 2018 eine Briefsendung mit einer vom Beschwerdeführer bestellten Ware eingegangen. Aufgrund von Unregelmäßigkeiten im Zusammenhang mit der Sendung habe der Beschwerdeführer am XXXX .2018 die „Hotline“ der mitbeteiligten Partei kontaktiert. Er habe dort seine Handynummer mit der Bitte um Rückruf hinterlassen, wobei er die mitbeteiligte Partei ausdrücklich aufgefordert habe, diese Nummer keinesfalls an Dritte weiterzugeben. Dies sei ihm ausdrücklich zugesichert worden. Er sei daraufhin von der mitbeteiligten Partei zurückgerufen worden und habe die Sendung beheben können.
Am XXXX .2018 sei er von der XXXX angerufen worden. Auf konkrete Nachfrage des Beschwerdeführers, woher die XXXX seine Telefonnummer und seinen Namen habe, sei er von der Anruferin darüber informiert worden, dass sie diese von der mitbeteiligten Partei zu Umfragezwecken erhalten habe. Am selben Tag sei er von einer anderen Nummer kontaktiert worden, wobei der Anrufer die Rufnummernanzeige offensichtlich unterdrückt habe. Nachdem er „Wollen Sie an einer Umfrage teilnehmen“ gehört habe, habe er sofort aufgelegt.
Er habe zu keinem Zeitpunkt sein Einverständnis zur Weitergabe seines Namens und seiner Telefonnummer gegeben, sondern ausdrücklich gefordert, seine Kontaktdaten nicht weiterzugeben. Ebenso wenig liege ein öffentliches Interesse vor. Da er von der Datenweitergabe keine Kenntnis gehabt habe, sei auch ein Widerspruch nicht möglich gewesen. Der Beschwerdeführer sei daher in seinem Recht nach § 1 Abs. 1 DSG verletzt worden. Auch § 61 Abs. 1 Z 2 DSG sei jedenfalls anwendbar.
2. Mit Stellungnahme vom XXXX .2018 führte die mitbeteiligte Partei zu dieser Datenschutzbeschwerde aus, dass es sich bei der XXXX um eine Auftragsverarbeiterin im Sinne des Art. 28 DSGVO handle. Die Einholung einer Zustimmung für die gegenständliche Datenübermittlung sei daher nicht notwendig. Die Kundenzufriedenheitsumfrage sei nicht durch Mitarbeiter_innen der mitbeteiligten Partei, sondern durch ein externes Unternehmen durchgeführt worden. Damit werde sichergestellt, dass die mitbeteiligte Partei keine personenbezogenen Ergebnisse der Umfrage erhalte. Die Datenübermittlung sei unter Einhaltung aller datenschutzrechtlichen Bestimmungen, insbesondere der Art. 28 ff DSGVO, erfolgt. Die Beschwerde sei jedoch zum Anlass genommen worden, den Beschwerdeführer für künftige Kundenzufriedenheitsumfragen zu sperren.
3. Mit Schreiben vom XXXX .2018 forderte die Datenschutzbehörde die mitbeteiligte Partei erneut zur Stellungnahme auf. Insbesondere wurde die mitbeteiligte Partei darauf hingewiesen, dass alleine die Tatsache, dass es sich bei dem gegenständlichen Unternehmen angeblich um eine Auftragsverarbeiterin handle, noch nichts über die Rechtmäßigkeit der Verarbeitung aussage.
4. Die mitbeteiligte Partei brachte mit Stellungnahme vom XXXX .2019 vor, dass sie Postdienstanbieter im Sinne des Postmarktgesetzes (PMG) und außerdem Universaldienstbetreiber gemäß § 12 PMG sei. Entsprechend der ihr übertragenen Verpflichtungen habe sie unter anderem ein Beschwerdemanagement einzurichten, zumindest jährlich Informationen über die Qualität ihrer Dienste zu veröffentlichen (§ 32 PMG), der Regulierungsbehörde unter anderem die Anzahl der Reklamationen darzustellen (§ 6 Abs. 7 PMG) und den Universaldienst im Sinne der Bedürfnisse von Nutzer_innen weiter zu entwickeln und durch geeignete Maßnahmen und Vorschläge zur Sicherung der Versorgung mit Postdiensten zur Weiterentwicklung des Universaldienstes beizutragen (§ 6 Abs. 8 PMG). Um dieser Verpflichtung hinreichend nachzukommen, habe die mitbeteiligte Partei den Postkundenservice eingerichtet, welcher auch durch den Beschwerdeführer genutzt worden sei.
Damit die Qualität entsprechend der gesetzlichen Verpflichtung weiterentwickelt und auch veröffentlicht werden könne, stelle die Befragung der Nutzer_innen die geeignetste und anerkannteste Methode dar. Die Befragung selbst werde durch die XXXX als Auftragsverarbeiterin durchgeführt, die im Rahmen der Vereinbarung nach Art. 28 DSGVO agiere. Zwecke und Mittel seien von der mitbeteiligten Partei vorgegeben, womit die XXXX auch nicht als Dritte im Sinne des Art. 4 Z 10 DSGVO qualifiziert werden könne. Im Sinne der Datenminimierung erhalte diese lediglich die Telefonnummer und den Namen der zu befragenden Person, um eine ordnungsgemäße Ansprache möglich zu machen. Die zu befragenden Personen würden nur einmal je Anlassfall kontaktiert werden, zudem könne die Befragung jederzeit abgelehnt werden. Wenn überhaupt, könne damit nur von einer kaum spürbaren Beeinträchtigung gesprochen werden.
Bei Kontaktaufnahme des Postkundenservice durch Kunden und Kundinnen würden diese entsprechend Art. 13 DSGVO in Form einer Bandansage auf die Information zum Thema Datenschutz auf der Website der mitbeteiligten Partei ausdrücklich hingewiesen. Dieser Information lasse sich klar entnehmen, dass entsprechende Befragungen durchgeführt werden können. Unter Punkt 3.2. der Website seien Marktforschungsinstitute als mögliche externe Dienstleister_innen angeführt. Wenn Personen den Postenkundenservice kontaktieren würden, sei also sichergestellt, dass sie die Informationen gem. Art. 13 DSGVO erhalten würden.
Zwischen der Kontaktaufnahme beim Postenkundenservice und der Kontaktaufnahme durch die XXXX bestehe ein gewisser Zeitraum, innerhalb dessen jedenfalls schon Widersprüche getätigt werden können. Die Teilnahme an der Umfrage sei somit freiwillig und könne jederzeit abgelehnt werden. Erst bei Kontaktaufnahme durch die XXXX habe der Beschwerdeführer einen Widerspruch eingelegt, weshalb auch keine Befragung stattgefunden habe.
Die Einrichtung des Kundenservice basiere auf einer gesetzlichen Verpflichtung. Eine Befragung müsse zur Darlegung der Reklamationen bzw. zur Serviceüberprüfung durchgeführt werden. Die Befragung sei die geeignetste und anerkannte bzw. einzige Methode. Damit ergebe sich die Rechtmäßigkeit der Datenverarbeitung aus Art. 6 Abs. 1 lit. c DSGVO.
Daneben handle die mitbeteiligte Partei auch im öffentlichen Interesse, da ihr die postalische Grundversorgung samt damit einhergehender Qualitätsüberprüfung-/veröffentlichungspflicht/-verbesserungspflicht übertragen worden sei. Somit sei auch Art. 6 Abs. 1 lit. e DSGVO einschlägig. Daneben könne als Rechtsgrundlage auch Art. 6 Abs. 1 lit. f DSGVO herangezogen werden. Die mitbeteiligte Partei fungiere nicht als Behörde im Sinne des Ausschließungsgrundes. Das Interesse an der Qualitätsüberprüfung-/veröffentlichungspflicht/-verbesserungspflicht ergebe sich aus den rechtlichen Vorgaben des PMG und sei daher rechtmäßig. Insofern resultiere daraus ein Nutzen für die mitbeteiligte Partei als Verantwortliche, als diese ihre Servicequalität laufend entsprechend den gesetzlichen Vorgaben verbessern könne sowie ein Nutzen für die Allgemeinheit, als diese eine bessere Grundversorgung erhalte. Als berechtigt werde ein Interesse beispielsweise dann angesehen, wenn dies zur Wahrnehmung von Direktwerbung oder Werbung an sich oder aber auch zur Verarbeitung von Marktforschungszwecken verfolgt werde.
Ebenso ergebe sich aus dem Grundrecht der unternehmerischen Freiheit (Art. 16 der GRC) das berechtigte Interesse der mitbeteiligten Partei, von ihren Kunden deren Einschätzung des Beschwerdemanagements zu erfahren, um in Folge deren Bedürfnissen und Wünschen besser gerecht zu werden. Auch ohne Vorliegen einer gesetzlichen Verpflichtung sei die gegenständliche Verarbeitung personenbezogener Daten daher rechtmäßig. Nur mit den eingesetzten Kontaktdaten könne eine Befragung durchgeführt werden, womit die Verarbeitung auch erforderlich gewesen sei. Das Interesse der mitbeteiligten Partei und das Interesse der Allgemeinheit an der Datenverarbeitung überwiege gegenüber dem Interesse des Beschwerdeführers. Zudem seien die Kontaktdaten keine besonders schützenswerten Daten.
Der Eingabe war die Vereinbarung über die Auftragsverarbeitung nach Art. 28 DSGVO in Kopie angeschlossen.
5. Mit Schreiben vom XXXX .2019 erstattete der Beschwerdeführer folgende Äußerung zu den Stellungnahmen der mitbeteiligten Partei: Eingangs wolle er ergänzend auf einen „krassen“ Datenmissbrauch der mitbeteiligten Partei hinweisen. Die mitbeteiligte Partei verwende auf ihrer Website unzulässige Cookies und „Spyware“, da insbesondere ein unmittelbarer Widerspruch nicht möglich sei. Dies werde als weiterer Beschwerdepunkt gegenständlicher Beschwerde hinzugefügt.
Zur Stellungnahme der mitbeteiligten Partei könne festgehalten werden, dass weder § 32 Abs. 6 PMG noch § 6 Abs. 7 und Abs. 8 PMG eine Rechtfertigung der Datenweitergabe an Dritte enthalte. Auch das Argument der Effizienzsteigerung würde die Datenweitergabe an Dritte nicht rechtfertigen. Im Zuge seiner Anfrage sei ihm keine Information im Sinne des Art. 13 DSGVO erteilt worden. Ob die Teilnahme an der Befragung freiwillig sei, sei unerheblich, da Gegenstand der Beschwerde die Datenweitergabe an Dritte sei. Er habe zu keinem Zeitpunkt eine Einwilligung erteilt, wobei insbesondere auch ein Anruf bei der „Hotline“ nicht als solche gewertet werden könne. Das Marktforschungsunternehmen unterliege nicht der Aufsicht der mitbeteiligten Partei. Im Übrigen sei auch der zwischen der XXXX und der mitbeteiligten Partei abgeschlossene Vertrag gegenständlich nicht anwendbar, da er explizit der Datenweitergabe widersprochen habe. Es wäre auch zu klären, ob der Vertrag nicht per se sitten- und gesetzwidrig sei.
6. Mit dem angefochtenen Bescheid vom XXXX wies die Datenschutzbehörde die Datenschutzbeschwerde hinsichtlich der widerrechtlichen Setzung von Cookies zurück (Spruchpunkt 1.). Darüber hinaus wies sie die Beschwerde als unbegründet ab (Spruchpunkt 2.). Der Antrag des Beschwerdeführers auf Verhängung einer Geldbuße wurde zurückgewiesen (Spruchpunkt 3.)
Die Datenschutzbehörde führte soweit wesentlich aus, dass das Schreiben des Beschwerdeführers vom XXXX .2019 auf Grundlage des verfahrenseinleitenden Beschwerdevorbringens vom XXXX 2018 betreffend die rechtswidrige Setzung von Cookies eine wesentliche Antragsänderung im Sinne des § 13 Abs. 8 AVG darstelle, weswegen das Vorbringen dahingehend zurückzuweisen gewesen sei. Es sei jedoch zum Anlass genommen worden, ein separates Beschwerdeverfahren einzuleiten.
Im vorliegenden Fall sei die „Weitergabe“ der personenbezogenen Daten des Beschwerdeführers durch die mitbeteiligte Partei an das Marktforschungsinstitut erfolgt. Die darauffolgende Kundenzufriedenheitsanfrage dieses Unternehmens habe den Beschwerdefall des Beschwerdeführers zum Gegenstand und sei somit ausschließlich im Interesse und im Auftrag der mitbeteiligten Partei erfolgt. Die Verfolgung eigener Zwecke des Marktforschungsunternehmens sei zu keinem Zeitpunkt beabsichtigt gewesen, womit eine eigenständige Verantwortlichkeit des Marktforschungsunternehmens zu verneinen sei. Die gegenständliche „Weitergabe“, sei daher eine der mitbeteiligten Partei zurechenbare Datenverarbeitung.
Die Daten des Beschwerdeführers seien nicht an „Dritte“ übermittelt oder offengelegt, sondern im Sinne von Art. 28 DSGVO vom Marktforschungsinstitut im Namen der mitbeteiligten Partei vereinbarungsgemäß verarbeitet worden. Ein Recht darauf, dass Verantwortliche keine Auftragsverarbeiter_innen in Anspruch nehmen, bestehe nicht. Die mitbeteiligte Partei sei aufgrund der Bestimmungen des PMG einerseits dazu verpflichtet ein Beschwerdemanagement einzurichten und andererseits die Qualität der im Zuge des Universaldienstes, also der Postzustellung, angebotenen Leistungen durch geeignete Maßnahmen zu verbessern, und damit zur Ergreifung bestimmter Maßnahmen. Auch wenn der mitbeteiligten Partei in diesen Bestimmungen keine konkrete Maßnahme und auch keine bestimmte Datenverarbeitung angeordnet werde, dürfe dem Gesetzgeber nicht unterstellt werden, dass er der mitbeteiligten Partei damit die Möglichkeit einer Datenverarbeitung entziehen wolle, weil die Bestimmung sonst sinnlos wäre.
Die Behandlung einer Beschwerde eines Kunden und einer Kundin sowie die durchzuführenden Qualitätssicherungsmaßnahmen seien ohne Namen und Kontaktadresse nicht denkbar, wenn die dafür erforderlichen Daten nicht verarbeitet werden dürften. Bei Namen und Kontaktmöglichkeit bestehe kein Zweifel daran, dass die Datenverarbeitung im gegeben minimalen Umfang auch erforderlich sei.
Schließlich wurde ausgeführt, dass ein subjektives Recht auf Einleitung eines Verwaltungsstrafverfahrens gegen konkrete Verantwortliche aus Art. 77 Abs. 1 DSGVO bzw. § 24 Abs. 1 und 5 DSG nicht abzuleiten sei, und das Prinzip der Amtswegigkeit gemäß § 25 Abs. 1 VStG gelte. Ein Verwaltungsstrafverfahren könne daher von einer betroffenen Person nur angeregt werden, ein Anspruch auf Einleitung bestehe nicht.
7. In der dagegen fristgerecht erhobenen Beschwerde führte der Beschwerdeführer soweit hier wesentlich zusammengefasst aus, dass die Datenschutzbeschwerde die Weitergabe von Daten an Dritte betroffen habe. Es sei hierbei gänzlich belanglos, ob diese Weitergabe aufgrund privatrechtlicher Verträge oder sonstiger Vereinbarungen basiere.
Das Grundrecht auf Datenschutz sei ein verfassungsrechtlich geschütztes Rechtsgut, das nicht durch privatrechtliche Verträge außer Kraft gesetzt werden könne. Es sei auch unerheblich, ob die Datenschutzbehörde eine dritte Stelle als "verlängerten Arm" ansehen wolle oder nicht. Der Beschwerdeführer habe nur auf die Forderung der Hotline der mitbeteiligten Partei, eine Bearbeitung sei ansonsten nicht möglich, seine (damalige) Telefonnummer bekannt gegeben, dies mit dem ausdrücklichen Hinweis, selbige nicht an Dritte weiterzugeben. Die beiden Firmen, welche letztlich diese Telefonnummern erhalten und den Beschwerdeführer kontaktiert hätten, seien Marktforschungsfirmen, deren Unternehmenszweck die Erhebung von Kundenwünschen für Werbezwecke sei. Es sei nicht ersichtlich, in welcher Weise eine Werbefirma der Qualitätssicherung dienlich sein könnte. Auch die §§ 6 und 32 PMG böten keinerlei Hinweis darauf, dass die mitbeteiligte Partei dadurch ermächtigt sei, Kundendaten an Dritte weiterzugeben.
Art. 28 Abs. 2 DSGVO bestimme, dass Auftragsverarbeiter_innen keine weiteren Auftragsverarbeiter_innen ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des/der Verantwortlichen in Anspruch nehmen können. Sohin sei die Weitergabe der Daten an eine Werbefirma jedenfalls ohne datenschutzrechtliche Grundlage erfolgt. Es liege daher eine Verletzung des Datenschutzes durch die mitbeteiligte Partei vor, da diese ohne Einwilligung iSd Art 7 DSGVO und entgegen einer expliziten Aufforderung des Beschwerdeführers dessen Daten an eine Drittfirma weitergegeben habe.
Im angefochtenen Bescheid sei weiter die Beschwerde betreffend die unzulässige Setzung von Cookies zurückgewiesen worden. Mit demselben Datum habe die Datenschutzbehörde jedoch einen Mängelbehebungsauftrag mit Fristsetzung ohne Zustellung erlassen, dem sohin nicht Folge geleistet werden habe können, da über die Sache sogleich abgesprochen worden sei. Es liege daher eine Verletzung des AVG schon insofern vor, als kein Parteiengehör gewährt worden sei. Die Verwendung von Cookies falle sowohl unter den Begriff Datenverarbeitung, als auch unter den Begriff Datenweitergabe. Es sei daher unzutreffend, wenn die Datenschutzbehörde vermeine, die Verwendung von Cookies durch die mitbeteiligte Partei wäre vom Beschwerdeinhalt nicht umfasst.
Die Frage einer Verwaltungsstrafe werde im angefochtenen Bescheid überdies nicht weiterverfolgt, was die Unwilligkeit der Datenschutzbehörde zur Behandlung gewisser Angelegenheiten wiederum deutlich mache.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Der Beschwerdeführer kontaktierte aufgrund von Zustellproblemen im Zusammenhang mit einer Postsendung am XXXX .2018 die „Hotline“ der mitbeteiligten Partei. Dort hinterließ er seine Handynummer mit der Bitte um Rückruf, wobei er die mitbeteiligte Partei ausdrücklich aufforderte, diese Nummer keinesfalls an Dritte weiterzugeben.
Am XXXX .2018 wurde der Beschwerdeführer von der XXXX angerufen. Auf konkrete Nachfrage des Beschwerdeführers, woher die XXXX seine Telefonnummer und seinen Namen habe, wurde er von der Anruferin darüber informiert, dass sie diese von der mitbeteiligten Partei zu Umfragezwecken erhalten habe. Am selben Tag wurde der Beschwerdeführer von einer anderen Nummer zu Umfragezwecken kontaktiert, wobei der Anrufer die Rufnummernanzeige unterdrückt hatte. Der Beschwerdeführer beendete diesen Anruf sofort, nachdem sein Gesprächspartner gefragt hatte, ob er an einer Umfrage teilnehmen wollte.
1.2. Zwischen der mitbeteiligten Partei und der XXXX wurde am XXXX .2018 folgender Vertrag abgeschlossen (wiedergegeben in Auszügen):
„VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG nach Art. 28 DSGVO
abgeschlossen zwischen
XXXX (im folgenden „Verantwortlicher")
und
XXXX
XXXX (im folgenden „Auftragsverarbeiter“)
1. Gegenstand der Vereinbarung
a) Das Aufgabengebiet des Auftragsverarbeiters umfasst die Durchführung von Umfragen aller Art und nach Bedarf, im Besonderen aber die Durchführung der regelmäßig laufenden Erhebung der „Zufriedenheit mit dem Post Kundenservice“.
Im Rahmen dieses Vertrages sind unter „personenbezogenen Daten“, solche personenbezogenen Daten zu verstehen, die der Verantwortliche dem Auftragsverarbeiter im Rahmen des oben näher beschriebenen Vertrages überlässt bzw. deren Verarbeitung dem Auftragsverarbeiter im jenem Vertrag aufgetragen wird.
b) Verarbeitet werden Kategorien personenbezogener Daten und Kategorien betroffener
Personen gemäß Anlage 1.
2. Pflichten des Auftragsverarbeiters
a) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen (E-Mail ausreichend) Aufträge des Verantwortlichen zu verarbeiten. Alle Datenverarbeitungstätigkeiten finden ausschließlich in einem Mitgliedsstaat der Europäischen Union statt.
b) Der Auftragsverarbeiter ist nicht befugt, personenbezogene Daten des Verantwortlichen ohne dessen schriftlicher Einwilligung Dritten offenzulegen. Soweit
der Auftragsverarbeiter dazu aufgrund gesetzlicher Bestimmungen verpflichtet ist, hat
er den Verantwortlichen unverzüglich im Vorhinein zu informieren.
c) Die Übermittlung von personenbezogenen Daten an Dritte, zu der keine gesetzliche Verpflichtung des Auftragsverarbeiters besteht, setzt einen schriftlichen (E-Mail ausreichend) Auftrag des Verantwortlichen voraus.
d) Eine Verarbeitung der personenbezogenen Daten für eigene Zwecke des Auftragsverarbeiters darf nur nach vorherigem schriftlichem Einverständnis des Verantwortlichen erfolgen.
e) Der Auftragsverarbeiter verpflichtet sich zur Wahrung des Datengeheimnisses und erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Er hat alle mit der Datenverarbeitung betrauten Personen verpflichtet, personenbezogene Daten, die diesen ausschließlich aufgrund ihrer berufsmäßigen Beschäftigung anvertraut oder zugänglich werden, unbeschadet sonstiger gesetzlicher Verschwiegenheitsverpflichtungen geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung/Bekanntgabe der Daten besteht. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit bzw. ihrem Ausscheiden beim Auftragsverarbeiter aufrecht.
f) Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DSGVO ergriffen hat. Der Auftragsverarbeiter sichert zu, die in Anlage 2 beschriebenen und ausgewählten, dem Risiko angemessenen, technischen und organisatorischen Maßnahmen ergriffen zu haben und auch in Zukunft zu ergreifen, um die personenbezogenen Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust zu schützen sowie ihre ordnungsgemäße Verarbeitung und die Nichtzugänglichkeit für unbefugte Dritte sicherzustellen. Der Auftragsverarbeiter verpflichtet sich dazu, die technischen und organisatorischen Maßnahmen in obigem Sinne auf dem Stand der Technik zu halten und nach technischem Fortschritt bzw. geänderter Bedrohungslage zu aktualisieren bzw. anzupassen.
g) Der Auftragsverarbeiter stellt sicher, dass der Verantwortliche die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch sowie automatisierte Entscheidungsfindung im Einzelfall) und unter Berücksichtigung des österreichischen Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung (DSG idgF) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann, überlässt dem Verantwortlichen alle dafür notwendigen Informationen und unterstützt diesen bei der Erfüllung diesbezüglicher Pflichten nach besten Kräften. Wird ein entsprechender Antrag, mit dem Betroffenenrechte geltend gemacht werden, an den Auftragsvererbeiter gerichtet und ist aus dem Inhalt des Antrages ersichtlich, dass der Antragsteller den Antragsverarbeiter irrtümlich für den Verantwortlichen der von ihm für den Verantwortlichen durchgeführten Verarbeitungstätigkeit hält, hat der Auftragsverarbeiter den Antrag unverzüglich an den Verantwortlichen weiterzuleiten und dies dem Antragsteller unter Bekanntgabe des Datums des Einlangens des Antrages mitzuteilen.
h) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation) nach besten Kräften. Insbesondere verpflichtet sich der Auftragsverarbeiter dazu, den Verantwortlichen unverzüglich, längstens jedoch binnen 36 Stunden ab dessen Kenntnisnahme, von Datenschutzverletzungen zu informieren.
i) Der Auftragsverarbeiter wird darauf hingewiesen, dass er ein Verarbeitungsverzeichnis nach Maßgabe des Art. 30 Abs. 2 DSGVO zu errichten hat.
j) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Insbesondere verpflichtet sich der Auftragsverarbeiter, dem Verantwortlichen auf dessen Anfrage unverzüglich angemessene schriftliche Nachweise zur Umsetzung und Effektivität der in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen zu übermitteln. Über Ersuchen des Verantwortlichen wird diesem im Einzelfall auch die Erklärung über die Wahrung des Datengeheimnisses hinsichtlich jener Person vorgelegt, die mit der Durchführung des Auftrags betraut ist.
k) Dem Verantwortlichen wird hinsichtlich der Verarbeitung der von ihm überlassenen personenbezogenen Daten das Recht eingeräumt, selbst durch qualifizierte und zur Geheimhaltung verpflichtete Mitarbeiter oder durch eine zur Berufsverschwiegenheit verpflichtete Person (gerichtlich zertifizierter Sachverständiger etc.) beim Auftragsverarbeiter die Ordnungsgemäßheit der Datenverarbeitung nach Ankündigung zu überprüfen. Dies während der büroüblichen Zeiten und in Abstimmung mit dem Datenschutzbeauftragten des Auftragsverarbeiters oder einer sonst für den Datenschutz verantwortlichen Person.
Der Datenschutzbeauftragte/Verantwortliche für den Datenschutz beim Auftragsverarbeiter ist:
Herr/Frau
XXXXXXX
l ) Der Auftragsverarbeiter ist nach Beendigung des Auftrags verpflichtet, dem Verantwortlichen alle Verarbeitungsergebnisse und Unterlagen, die vertragsgegenständliche personenbezogene Daten enthalten, zu übergeben; davon unberührt bleibt die Speicherung der dem Auftragsverarbeiter überlassenen personenbezogenen Daten und Verarbeitungsergebnisse soweit und solange dieser für seine Leistungen Gewähr zu leisten hat.
Nach Ablauf der Gewährleistungsfrist hat der Auftragsverarbeiter sämtliche vertragsgegenständliche personenbezogene Daten zu löschen oder diese nach Aufforderung des Verantwortlichen vor Durchführung der Löschung sicher zu verwahren. Dies gilt insbesondere, soweit der Auftragsverarbeiter zu einer weiteren Aufbewahrung von personenbezogenen Daten nicht aufgrund zwingender gesetzlicher
Bestimmungen verpflichtet ist.
Über Ersuchen des Verantwortlichen bestätigt der Auftragsverarbeiter die Datenlöschung schriftlich.
Wenn der Auftragsverarbeiter die personenbezogenen Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die personenbezogenen Daten nach Beendigung des Auftrags entweder in diesem Format oder nach Wunsch des Verantwortlichen in dem Format, in dem er die personenbezogenen Daten vom Verantwortlichen erhalten hat oder in einem anderen gängigen Format herauszugeben.
m) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, falls er
der Ansicht ist, eine Weisung des Verantwortlichen verstoße gegen Datenschutzbestimmungen der EU oder der Mitgliedstaaten.
3. Sub-Auftragsverarbeiter
a) Der Auftragsverarbeiter ist ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen.
b) Im Falle einer schriftlichen Zustimmung schließt der Auftragsverarbeiter die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragsverarbeiter auf Grund dieser Vereinbarung obliegen. Der Auftragsverarbeiter hat dem Verantwortlichen die Überbindung der Verpflichtungen gemäß der vorliegenden Vereinbarung auf Anfrage jederzeit urkundlich nachzuweisen.
c) Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
d) Der Verantwortliche erteilt seine Zustimmung zur Heranziehung der in Anlage 3 genannten Sub- Auftragsverarbeiter.
4. Dauer der Vereinbarung
? Die Laufzeit der Vereinbarung richtet sich nach dem in Punkt 1a) genannten Vertrag.
x Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von drei Monaten zum Monatsende schriftlich gekündigt werden. Die Möglichkeit zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt.
Insofern eine datenschutzrechtliche Dienstleistervereinbarung zwischen den Vertragspartnern in Bezug auf die Hauptleistung, die im in Punkt 1a) genannten Vertrag näher beschrieben ist, schon besteht, wird sie durch die gegenständliche Vereinbarung über eine Auftragsdatenverarbeitung ersetzt.
5. Sonstige Bestimmungen
a) Sämtliche Streitigkeiten aus und im Zusammenhang mit diesem Vertrag unterliegen
österreichischem Recht, unter Ausschluss des UN-Kaufrechts und kollisionsrechtlicher Bestimmungen. Für sämtliche Streitigkeiten wird das für XXXX Wien sachlich und örtlich zuständige Gericht vereinbart.
b) Verbindlich ist nur, was schriftlich vereinbart ist; es bestehen keine mündlichen Nebenabreden. Änderungen und Ergänzungen der Vereinbarung bedürfen zu ihrer Gültigkeit der Schriftform; dies gilt auch für ein Abgehen vom Formerfordernis der Schriftlichkeit.
c) Sämtliche Rechte und Pflichten aus dieser Vereinbarung gehen auf allfällige Rechtsnachfolger beider Vertragsparteien über.
d) Die Parteien vereinbaren, den Abschluss dieser Vereinbarung und deren Inhalt vertraulich zu behandeln. Dies gilt nicht, soweit eine Partei gemäß den Bestimmungen der gegenständlichen Vereinbarung bzw. aufgrund gesetzlicher Verpflichtung zur Offenlegung dieser Vereinbarung bzw. von Inhalten daraus verpflichtet ist. Dies gilt, insoweit die gegenständliche Vereinbarung keine entgegenstehenden Bestimmungen enthält und keine gesetzlichen Auskunftspflichten bestehen.
e) Der Auftragsverarbeiter verpflichtet sich, (i) dass sich seine gesetzlichen Vertreter, Mitarbeiter und eingesetzte und/oder beauftragte Subunternehmer an sämtliche geltenden gesetzlichen Bestimmungen im Zusammenhang mit Anti- Korruptionsvorschriften halten sowie (ii) geeignete Maßnahmen zu setzen, um die Einhaltung der Anti-Korruptionsvorschriften sicherzustellen. Ein Verstoß gegen Anti- Korruptionsvorschriften berechtigt den Verantwortlichen - unbeschadet sonstiger Rücktritts- und Kündigungsrechte - zur fristlosen außerordentlichen Kündigung der Vereinbarung sowie zur Geltendmachung allfälliger Schadenersatzansprüche.
f) Sollten einzelne Bestimmungen dieser Vereinbarung ungültig oder unwirksam sein oder werden, so werden die Vertragsparteien einvernehmlich eine gültige bzw. wirksame Bestimmung festlegen, die den ungültigen bzw. unwirksamen Bestimmungen wirtschaftlich am nächsten kommt.
Die Ungültigkeit oder Unwirksamkeit einzelner Bestimmungen hat keine Auswirkung auf die Gültigkeit bzw. Wirksamkeit des gesamten Vertrages.
g) Dieser Vertrag wird in zwei Originalen errichtet, von denen jeder Vertragspartner eines erhält.
h) Die Anlagen 1, 2 und 3 gelten als integrierte Bestandteile des Vertrages.
[…]“
In der Anlage zum gegenständlichen Vertrag werden als verarbeitete Datenkategorien dabei „Personenstammdaten“ (bspw. Vor- und Nachname) sowie „Kontaktdaten“ (bspw. Telefonnummer) genannt. Als betroffene Personen werden Mitarbeiter_innen und Kundinnen und Kunden genannt. Weiters enthält der Auftragsverarbeitungsvertrag noch technisch-organisatorische Maßnahmen, unter anderem zur Vertraulichkeit und Integrität.
1.3. Der Beschwerdeführer brachte mit Schreiben vom XXXX .2019 an die Datenschutzbehörde ergänzend vor, dass die mitbeteiligte Partei überdies rechtswidrige Cookies auf ihrer Website setze, und reichte eine dahingehende Datenschutzbeschwerde ein.
2. Beweiswürdigung:
Die Feststellungen ergeben sich aus dem Akt in Verbindung mit dem Vorbringen der Parteien, insbesondere aus dem vorgelegten Vertrag zwischen der mitbeteiligten Partei und der XXXX vom XXXX .2018, und sind nicht strittig.
3. Rechtliche Beurteilung:
Zu A)
1. § 1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) lautet (in Auszügen):
(Verfassungsbestimmung)
Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
[…]
Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), lauten (in Auszügen):
Artikel 4 Begriffsbestimmungen Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. – 6. […]
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8.„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. […]
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
11. – 26. […]
Artikel 6 Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; […]
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. […]
Artikel 28 Auftragsverarbeiter
(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
(4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
(5) – (6) […]
Die maßgeblichen Bestimmungen des Postmarktgesetzes (PMG), lauten (in Auszügen):
Universaldienst
Begriff und Umfang
§ 6. (1) – (7) […]
(8) Der Universaldienstbetreiber ist verpflichtet, den Universaldienst im Sinne der Bedürfnisse von Nutzerinnen und Nutzern weiter zu entwickeln und durch geeignete Maßnahmen und Vorschläge zur Sicherung der Versorgung mit Postdiensten und zur Weiterentwicklung des Universaldienstes beizutragen. In diesem Zusammenhang sind insbesondere längere Öffnungszeiten, bessere Erreichbarkeit und alle Möglichkeiten der Standortsicherung, insbesondere durch fremdbetriebene Post-Geschäftsstellen, zu prüfen.
(9) […]
Pflichten der Postdiensteanbieter
§ 32. (1) – (2) […]
(3) Postdiensteanbieter haben ein Beschwerdemanagement einzurichten, sodass Nutzerinnen und Nutzer Streit- oder Beschwerdefälle vorbringen können.
(4) – (5) […]
(6) Postdiensteanbieter haben zumindest jährlich vergleichbare, angemessene und aktuelle Informationen über die Qualität ihrer Dienste, insbesondere die Laufzeiten der beförderten Postsendungen anhand der von der ÖNORM EN 13850 vorgegebenen Methodik, zu veröffentlichen und der Regulierungsbehörde auf deren Anforderung vor der Veröffentlichung in Papierform und elektronisch verarbeitbarer Form bekannt zu geben.
2. Anwendung der Rechtsgrundlagen auf die gegenständliche Beschwerde:
Beschwerdegegenstand ist die Frage, ob die mitbeteiligte Partei den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem sie die Kontaktdaten des Beschwerdeführers (Name und Handynummer) an die XXXX übermittelte, von der diese Daten in weiterer Folge für Zwecke einer Kundenzufriedenheitsumfrage verwendet wurden.
2.1. Zu Spruchpunkt 1. des angefochtenen Bescheides: Zurückweisung der Datenschutzbeschwerde wegen widerrechtlicher Setzung von Cookies:
Die Datenschutzbehörde führte im angefochtenen Bescheid aus, dass die Eingabe des Beschwerdeführers vom XXXX .2019 auf Grundlage des verfahrenseinleitenden Beschwerdevorbringens vom XXXX .2018 betreffend die rechtswidrige Setzung von Cookies eine wesentliche Antragsänderung im Sinne des § 13 Abs. 8 AVG darstelle und deswegen das Vorbringen dahingehend zurückzuweisen sei. Die Eingabe sei jedoch zum Anlass genommen worden, ein separates Datenschutzbeschwerdeverfahren einzuleiten.
Nach § 13 Abs. 8 AVG ist eine Antragsänderung nur dann zulässig, wenn dadurch die Sache ihrem Wesen nach nicht geändert wird, wobei der Gesetzgeber die Unbestimmtheit dieser Wendung bewusst in Kauf nahm. Die AB betonen jedoch die Änderungsfreundlichkeit des Gesetzes, sodass im Zweifel nicht von einer das Wesen verändernden Antragsänderung auszugehen ist.
Jedoch soll eine Antragsänderung dann das Wesen der Sache berühren und daher weiterhin jedenfalls unzulässig sein, wenn es sich in Wahrheit nicht um eine Änderung des ursprünglichen Antrags, sondern um ein neues, „anderes Vorhaben“ handelt, wenn das Vorhaben also im Lichte der anzuwendenden Materiengesetze eine andere Qualität erhält (siehe Hengstschläger/Leeb, AVG § 13 Rz 45 (Stand 1.1.2014, rdb.at)).
Im vorliegenden Fall erfuhr die ursprüngliche Datenschutzbeschwerde vom XXXX .2018, die sich ausschließlich auf die Verletzung im Recht auf Geheimhaltung durch die Übermittlung der Kontaktdaten des Beschwerdeführers an die XXXX sowie die Verwendung derselben durch diese zum Zwecke einer Kundenzufriedenheitsumfrage bezog, durch die Eingabe vom XXXX 2019, die die rechtswidrige Setzung von Cookies durch die mitbeteiligte Partei zum Gegenstand hatte, eine wesentliche Antragsänderung im Sinne des § 13 Abs. 8 AVG. Das ergänzende, Cookies betreffende, Vorbringen des Beschwerdeführers in seiner Äußerung vom XXXX .2019 berührt insoferne das Wesen des Verfahrensgegenstandes, wie er mit der Beschwerde vom XXXX 2018 dargelegt wurde, als dass er eben über diesen weit hinausgeht und ein neues, anderes, ergänzendes Vorbringen und damit einen neuen – anderen – Beschwerdegegenstand betraf.
Vor diesem Hintergrund erfolgte die Zurückweisung der Datenschutzbeschwerde betreffend die Setzung von Cookies durch die Datenschutzbehörde zu Recht.
Im Lichte dessen, dass in Bezug auf das ergänzende – neue -, Cookies betreffende, Vorbringen des Beschwerdeführers durch die Datenschutzbehörde ein weiteres Verfahren eröffnet wurde, liegt außerdem kein Rechtsschutzmangel in Bezug auf diesen Beschwerdepunkt vor.
2.2. Zu Spruchpunkt 2. des angefochtenen Bescheides: Abweisung der Datenschutzbeschwerde hinsichtlich der geltend gemachten Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG:
Der Beschwerdeführer brachte in der Datenschutzbeschwerde vor, die mitbeteiligte Partei habe unrechtmäßig seinen Namen und seine Telefonnummer an eine „Dritte“, die XXXX , weitergegeben und damit gegen Geheimhaltungspflichten verstoßen.
Bei einem Namen und einer Telefonnummer handelt es sich unstrittigerweise um personenbezogene Daten des Beschwerdeführers nach Art. 4 Z 1 DSGVO, die auch nach Art. 4 Z 2 DSGVO verarbeitet (nämlich übermittelt, bereitgestellt) wurden.
Es stellt sich daher die Frage, ob die erfolgte Datenverarbeitung durch die XXXX zur Kundenzufriedenheitsumfrage eine Verarbeitung durch Dritte darstellt.
In Art. 4 Z 10 DSGVO wird die Auftragsverarbeiterin ausdrücklich vom Begriff der Dritten ausgenommen. Art. 4 Z 8 DSGVO wiederum definiert den Begriff der Auftragsverarbeiterin. Und eine Verantwortliche zeichnet sich dadurch aus, dass sie allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Z 7 DSGVO).
Im vorliegenden Fall bestimmt die mitbeteiligte Partei über Zwecke und Mittel der Verarbeitung, wie sich aus dem von ihr vorgelegten, mit der XXXX am XXXX .2018 abgeschlossenen Vertrag ergibt.
Art. 28 DSGVO regelt sodann die konkrete Verarbeitung durch eine Auftragsverarbeiterin.
Hinsichtlich der Frage einer Privilegierung der Prüfung der Rechtmäßigkeit der Verarbeitung durch die Auftragsverarbeiterin gegenüber sonstigen Datenverarbeitungen wird in der Literatur Folgendes ausgeführt [vgl. zu den folgenden Absätzen Bogendorfer in Knyrim, DatKomm Art 28 DSGVO Rz 23 - 28 (Stand 1.10.2018, rdb.at)]:
„Eine vergleichbare Unterscheidung iZm den Datenflüssen zwischen den verschiedenen Akteuren einer Datenverarbeitung wie im DSG 2000 und entsprechend klare Privilegierungen enthält die DSGVO nicht. Sie fasst sämtliche Verarbeitungsschritte pauschal und ohne weitere Unterscheidungen in der Definition der „Verarbeitung“ in Art 4 Z 2 zusammen und versteht darunter „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Mangels Differenzierung innerhalb der in Art 4 Z 2 erwähnten, sehr breiten Offenlegungsmöglichkeiten (Übermittlung, Verbreitung oder andere Form der Bereitstellung) und mangels einer Einbeziehung der Auftragsverarbeitung in den Kanon der Rechtmäßigkeitsgrundlagen nach Art 6 und 9 stellt sich die Frage, ob die „Privilegierung“ des Datenflusses zwischen dem Verantwortlichen und dem Auftragsverarbeiter weggefallen ist und nun dafür eine Rechtmäßigkeitsgrundlage vorliegen muss. Die überwiegende Meinung in der Literatur sieht dies allerdings nach unterschiedlichen Interpretationsansätzen anders und erachtet eine eigene Rechtfertigungsgrundlage für die Datenübertragung an den Auftragsverarbeiter weiterhin für nicht erforderlich:
So wird argumentiert, dass Art 28 als eigenständige Befugnisnorm verstanden werden kann.
Dagegen wird kritisch angemerkt, dass die Art 6 und 9 abschließenden Charakter aufweisen und keine Hinweise auf eine Erweiterungsmöglichkeit des dort normierten Rechtmäßigkeitskanons bestehen.
Von einer systematischen und teleologischen Betrachtung ausgehend wird […] in der Literatur zurecht angemerkt, dass Art 28 gerade von seiner ratio darauf ausgerichtet ist, dass beim Verarbeitungsprozess eine enge Bindung zwischen Verantwortlichem und Auftragsverarbeiter hergestellt wird, wofür als Kompensation dafür eine „Befreiung“ vom Erfordernis des Vorliegens einer Rechtmäßigkeitsgrundlage stattfinden soll. Die Offenlegung personenbezogener Daten durch Übermittlung iSd Art 4 Z 2 meine daher nur die Weitergabe an Dritte iSd Art 4 Z 10 und nicht an jeden Empfänger. Die Gefahr eines Kontrollverlusts des Verantwortlichen ist durch Art 28 und 29 nicht gegeben. Das ebenso mit der DSGVO verfolgte Ziel eines erleichterten Datenflusses (vgl ErwGr 10) würde beim Erfordernis einer Rechtmäßigkeitsgrundlage nicht erreicht werden.
Aus systematischen Überlegungen heraus wird argumentiert, dass das Erfordernis einer Rechtmäßigkeitsgrundlage des Datenflusses zwischen einem Verantwortlichen und einem Auftragsverarbeiter eine Gleichstellung des Auftragsverarbeiters mit einem Verantwortlichen bewirken würde, wogegen allerdings Art 28 Abs 10 mit der Entscheidungszuordnung über Zweck und Mitteleinsatz der Datenverarbeitung (s Rz 6 und 8) spricht.
Der Ansatz, dass eine Datenverarbeitung durch einen Auftragsverarbeiter aufgrund einer Interessenabwägung nach Art 6 Abs 1 lit f zulässig ist, vermag als Argument für einen „privilegierten“ Datenfluss zwischen Verantwortlichem und Auftragsverarbeiter nicht zu überzeugen, da hier bereits eine eigene Rechtmäßigkeitsprüfung der Datenübertragung an den Auftragsverarbeiter erfolgt. Praktisch gesehen wird es zwar bei nicht-sensiblen Daten regelmäßig zutreffend sein, dass die Interessenabwägung die Rechtmäßigkeit des Datenflusses an den Auftragsverarbeiter ergibt. Für besondere personenbezogene Daten nach Art 9 besteht aber gar keine Möglichkeit einer Interessenabwägung, weshalb in diesen Fällen dann ohne eine besondere Rechtfertigung nach Art 9 eine Auftragsverarbeitung nicht möglich ist. Ein sprachlicher Ansatz, dass Art 28 als generelle Interessenabwägung auch bei besonderen personenbezogenen Daten gewertet werden kann, ist der DSGVO nicht zu entnehmen.
Ein anderer Ansatz in der Literatur leitet die „Privilegierung“ der Auftragsverarbeitung überzeugend aus den Definitionen der Datenverarbeitung (Art 4 Z 2), des Verantwortlichen (Art 4 Z 7), des Auftragsverarbeiters (Art 4 Z 8), des Empfängers (Art 4 Z 9) und des Dritten (Art 4 Z 10) ab. Bei der Datenübertragung an den Auftragsverarbeiter findet zwar eine Offenlegung an einen Empfänger, aber keine Übermittlung iSd Art 4 Z 2 statt, da diese das Vorhandensein eines „Dritten“ gem Art 4 Z 10 voraussetzt und der Auftragsverarbeiter kein solcher ist.
Der „Empfänger“ wird gem Art 4 Z 9 als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht [...],“ definiert. […]
Ein Dritter iSd Art 4 Z 10 ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Unter „Empfänger“ kann ein Überbegriff verstanden werden, der sämtliche Akteure außer den Betroffenen selbst umfasst, während die Definition des „Dritten“ einen Teilausschluss aus dem Empfängerkreis beinhaltet, indem er neben den Betroffenen auch den (ursprünglichen) Verantwortlichen, den Auftragsverarbeiter sowie die unter deren unmittelbarer Verantwortung befugt tätigen Personen (zB Mitarbeiter oder Sub-Auftragsverarbeiter) nicht dem Personenkreis der Dritten zurechnet. Da der Auftragsverarbeiter definitionsgemäß personenbezogene Daten nur im Auftrag verarbeitet und kein Dritter iSd Art 4 Z 10 ist, ist er fiktiv ein „interner“ Empfänger, dem keinerlei Eigenkompetenz bei der Verwendung der übertragenen Daten zukommt und der weisungsgebunden ist. Die Datenverarbeitung kann daher als ein einheitlicher Verarbeitungsvorgang gewertet werden, für den nur eine einheitliche Rechtmäßigkeitsprüfung erforderlich ist. Diese einheitliche Betrachtungsweise ist zulässig, weil die weite Definition des Verarbeitungsbegriffs in Art 4 Z 2 nicht nur isoliert einzelne Vorgänge, sondern auch eine Vorgangsreihe kennt. Die Rechtfertigung der Auftragsverarbeitung folgt akzessorisch dem Erlaubnisgrund der zugrunde liegenden Verarbeitung beim Verantwortlichen. Der Auftragsverarbeiter ist aufgrund der engen Weisungsgebundenheit nach Art 29 lediglich das „alter ego“ des Verantwortlichen, dessen „verlängerter Arm“.
Dieses Argument findet auch in der Stellungnahme der Artikel-29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ eine Unterstützung. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter werden als „innerer Kreis der Datenverarbeitung“ angesehen und nicht als Dritte. Die Rechtmäßigkeit der Datenverarbeitungstätigkeit des Auftragsverarbeiters wird durch den erteilten Auftrag des Verantwortlichen bestimmt. Der Auftragsverarbeiter ist letztlich funktionell mit einem Mitarbeiter des Verantwortlichen vergleichbar, der sich von diesem durch seine organisatorische Eigenständigkeit unterscheidet: es obliegt dem Verantwortlichen zu entscheiden, ob er eine Datenverarbeitung innerhalb seiner Organisation vornimmt oder ganz bzw teilweise an externe Organisationen delegiert.“
Ähnlich auch Bertermann in Ehmann/Selmayr, DS-GVO2, K5 bis 7 zu Art 28:
„Es bleibt daher nur das Verständnis, die Auftragsverarbeitung als zulässiges Mittel der Verarbeitung zu begreifen, welches der Verantwortliche unter der Voraussetzung der Einhaltung der Vorgaben des Art. 28 einsetzen darf. Sofern die Verarbeitung selbst nach einer der in Art. 6 Abs. 1 genannten Bedingungen rechtmäßig ist, kann der Verantwortliche einen oder mehrere Auftragsverarbeiter nach seinen Weisungen einsetzen. Insofern ist bedeutsam, dass die faktisch identische Definition der „Verarbeitung“ in Art. 2d DS-RL und Art. 4 Nr. 2 DS-GVO als Verarbeitung nicht nur isoliert einzelne Vorgänge, sondern auch eine Vorgangsreihe kennt. Betrachtet man Verarbeitungen daher nicht auf der Mikroebene, sondern auf der Makroebene, kann sich eine Auftragsverarbeitung durchaus als Teil der Verarbeitung verstehen lassen. Voraussetzung ist jedoch stets, dass eine Übermittlung nur an weisungsgebundene Auftragsverarbeiter erfolgt. Sobald eine Übermittlung an einen Dritten erfolgt, wird der Rahmen der zulässigen Mittel der Verarbeitung durchbrochen und es bedarf einer gesonderten Rechtsgrundlage für die Übermittlun