TE Bvwg Erkenntnis 2024/5/13 W101 2249293-1

1. AVG § 13a heute
2. AVG § 13a gültig ab 01.02.1991

1. AVG § 37 heute
2. AVG § 37 gültig ab 01.01.1999 zuletzt geändert durch BGBl. I Nr. 158/1998
3. AVG § 37 gültig von 01.02.1991 bis 31.12.1998

1. AVG § 39 heute
2. AVG § 39 gültig ab 15.08.2018 zuletzt geändert durch BGBl. I Nr. 57/2018
3. AVG § 39 gültig von 20.04.2002 bis 14.08.2018 zuletzt geändert durch BGBl. I Nr. 65/2002
4. AVG § 39 gültig von 01.01.1999 bis 19.04.2002 zuletzt geändert durch BGBl. I Nr. 158/1998
5. AVG § 39 gültig von 01.02.1991 bis 31.12.1998

1. AVG § 7 heute
2. AVG § 7 gültig ab 01.08.2018 zuletzt geändert durch BGBl. I Nr. 58/2018
3. AVG § 7 gültig von 01.01.2008 bis 31.07.2018 zuletzt geändert durch BGBl. I Nr. 5/2008
4. AVG § 7 gültig von 01.02.1991 bis 31.12.2007

1. B-VG Art. 130 heute
2. B-VG Art. 130 gültig ab 01.02.2019 zuletzt geändert durch BGBl. I Nr. 14/2019
3. B-VG Art. 130 gültig von 01.01.2019 bis 31.01.2019 zuletzt geändert durch BGBl. I Nr. 22/2018
4. B-VG Art. 130 gültig von 01.01.2019 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 138/2017
5. B-VG Art. 130 gültig von 25.05.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 22/2018
6. B-VG Art. 130 gültig von 01.01.2015 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 101/2014
7. B-VG Art. 130 gültig von 01.01.2014 bis 31.12.2014 zuletzt geändert durch BGBl. I Nr. 115/2013
8. B-VG Art. 130 gültig von 01.01.2014 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 51/2012
9. B-VG Art. 130 gültig von 01.01.2004 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 100/2003
10. B-VG Art. 130 gültig von 01.01.1998 bis 31.12.2003 zuletzt geändert durch BGBl. I Nr. 87/1997
11. B-VG Art. 130 gültig von 01.01.1991 bis 31.12.1997 zuletzt geändert durch BGBl. Nr. 685/1988
12. B-VG Art. 130 gültig von 01.07.1976 bis 31.12.1990 zuletzt geändert durch BGBl. Nr. 302/1975
13. B-VG Art. 130 gültig von 18.07.1962 bis 30.06.1976 zuletzt geändert durch BGBl. Nr. 215/1962
14. B-VG Art. 130 gültig von 25.12.1946 bis 17.07.1962 zuletzt geändert durch BGBl. Nr. 211/1946
15. B-VG Art. 130 gültig von 19.12.1945 bis 24.12.1946 zuletzt geändert durch StGBl. Nr. 4/1945
16. B-VG Art. 130 gültig von 03.01.1930 bis 30.06.1934

1. B-VG Art. 133 heute
2. B-VG Art. 133 gültig von 01.01.2019 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 138/2017
3. B-VG Art. 133 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 22/2018
4. B-VG Art. 133 gültig von 25.05.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 22/2018
5. B-VG Art. 133 gültig von 01.08.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 164/2013
6. B-VG Art. 133 gültig von 01.01.2014 bis 31.07.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
7. B-VG Art. 133 gültig von 01.01.2004 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 100/2003
8. B-VG Art. 133 gültig von 01.01.1975 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 444/1974
9. B-VG Art. 133 gültig von 25.12.1946 bis 31.12.1974 zuletzt geändert durch BGBl. Nr. 211/1946
10. B-VG Art. 133 gültig von 19.12.1945 bis 24.12.1946 zuletzt geändert durch StGBl. Nr. 4/1945
11. B-VG Art. 133 gültig von 03.01.1930 bis 30.06.1934

1. DSG Art. 1 § 1 heute
2. DSG Art. 1 § 1 gültig ab 01.01.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
3. DSG Art. 1 § 1 gültig von 01.01.2000 bis 31.12.2013

1. DSG Art. 2 § 24 heute
2. DSG Art. 2 § 24 gültig ab 25.05.2018 zuletzt geändert durch BGBl. I Nr. 120/2017
3. DSG Art. 2 § 24 gültig von 01.01.2010 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 133/2009
4. DSG Art. 2 § 24 gültig von 01.01.2000 bis 31.12.2009

1. DSG Art. 2 § 24 heute
2. DSG Art. 2 § 24 gültig ab 25.05.2018 zuletzt geändert durch BGBl. I Nr. 120/2017
3. DSG Art. 2 § 24 gültig von 01.01.2010 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 133/2009
4. DSG Art. 2 § 24 gültig von 01.01.2000 bis 31.12.2009

1. VwGVG § 28 heute
2. VwGVG § 28 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 138/2017
3. VwGVG § 28 gültig von 01.01.2014 bis 31.12.2018

W101 2249293-1/5E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Christine AMANN als Vorsitzende, die fachkundige Laienrichterin Mag. Viktoria HAIDINGER als Beisitzerin und den fachkundigen Laienrichter Mag. Thomas GSCHAAR als Beisitzer über die Beschwerde des XXXX gegen den Bescheid der Datenschutzbehörde vom 24.11.2021, GZ. D124.3544, 2021-0.332.520, Das Bundesverwaltungsgericht hat durch die Richterin Dr. Christine AMANN als Vorsitzende, die fachkundige Laienrichterin Mag. Viktoria HAIDINGER als Beisitzerin und den fachkundigen Laienrichter Mag. Thomas GSCHAAR als Beisitzer über die Beschwerde des römisch XXXX gegen den Bescheid der Datenschutzbehörde vom 24.11.2021, GZ. D124.3544, 2021-0.332.520,

A)

I. zu Recht erkannt:römisch eins. zu Recht erkannt:

Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm § 24 Abs. 1 und Abs. 5 DSG idgF als unbegründet abgewiesen.Die Beschwerde wird gemäß Paragraph 28, Absatz 2, VwGVG in Verbindung mit Paragraph 24, Absatz eins und Absatz 5, DSG idgF als unbegründet abgewiesen.

II. beschlossen:römisch II. beschlossen:

Der weitere Antrag wird gemäß Art. 130 Abs. 1 Z 1 B-VG als unzulässig zurückgewiesen.Der weitere Antrag wird gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG als unzulässig zurückgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:römisch eins. Verfahrensgang:

Mit Schreiben vom 11.01.2021, verbessert mit Schriftsatz vom 15.02.2021, brachte Herr XXXX (= Beschwerdeführer vor dem Bundesverwaltungsgericht und Antragsteller vor der Datenschutzbehörde) eine Datenschutzbeschwerde gegen das XXXX (= erstmitbeteiligte Partei vor dem Bundesverwaltungsgericht und Erstbeschwerdegegner vor der Datenschutzbehörde) ein, weil er in seinem Recht auf Geheimhaltung verletzt worden sei. Er begründete seine Datenschutzbeschwerde im Wesentlichen folgendermaßen:Mit Schreiben vom 11.01.2021, verbessert mit Schriftsatz vom 15.02.2021, brachte Herr römisch XXXX (= Beschwerdeführer vor dem Bundesverwaltungsgericht und Antragsteller vor der Datenschutzbehörde) eine Datenschutzbeschwerde gegen das römisch XXXX (= erstmitbeteiligte Partei vor dem Bundesverwaltungsgericht und Erstbeschwerdegegner vor der Datenschutzbehörde) ein, weil er in seinem Recht auf Geheimhaltung verletzt worden sei. Er begründete seine Datenschutzbeschwerde im Wesentlichen folgendermaßen:

Die erstmitbeteiligte Partei habe im Rahmen eines Verfahrens vor der Datenschutzbehörde zur GZ. D124.1773 betreffend einen ca. 25 Jahre zurückliegenden Geschäftsfall exzessiv personenbezogene Daten des Beschwerdeführers an die Datenschutzbehörde übermittelt, wofür keine rechtliche Grundlage existiert habe und ein vermeintlicher Verstoß gegen das „Datenlöschgebot“ vorliege. Dies stelle ein Verstoß gegen Art. 5 und Art. 6 DSGVO dar. Des Weiteren habe sich die Datenschutzbehörde aufgrund des anhängigen Verfahrens bei der erstmitbeteiligten Partei zwar nur nach den historischen Daten erkundigt, dies aber in mehrdeutiger bzw. missverständlicher Weise. In diesem Fall stelle sich die Frage, wen nun die Verantwortung am oben erwähnten Exzess treffe. Die erstmitbeteiligte Partei habe im Rahmen eines Verfahrens vor der Datenschutzbehörde zur GZ. D124.1773 betreffend einen ca. 25 Jahre zurückliegenden Geschäftsfall exzessiv personenbezogene Daten des Beschwerdeführers an die Datenschutzbehörde übermittelt, wofür keine rechtliche Grundlage existiert habe und ein vermeintlicher Verstoß gegen das „Datenlöschgebot“ vorliege. Dies stelle ein Verstoß gegen Artikel 5 und Artikel 6, DSGVO dar. Des Weiteren habe sich die Datenschutzbehörde aufgrund des anhängigen Verfahrens bei der erstmitbeteiligten Partei zwar nur nach den historischen Daten erkundigt, dies aber in mehrdeutiger bzw. missverständlicher Weise. In diesem Fall stelle sich die Frage, wen nun die Verantwortung am oben erwähnten Exzess treffe.

Mit Stellungnahme vom 19.03.2021 führte die erstmitbeteiligte Partei zur Datenschutzbeschwerde des Beschwerdeführers im Wesentlichen Folgendes aus:

Soweit der Beschwerdeführer eine rechtswidrige Verarbeitung durch die Datenschutzbehörde erblicke, könne keine Beschwer durch ein Verhalten der erstmitbeteiligten Partei gegeben sein, weshalb aufgrund der fehlenden Passivlegitimation der erstmitbeteiligten Partei die Datenschutzbeschwerde zurückzuweisen wäre. Darüber hinaus sei die erstmitbeteiligte Partei durch die Datenschutzbehörde aufgefordert worden, die verarbeiteten personenbezogenen Daten des Beschwerdeführers anzugeben, wozu diese auch gemäß Art. 58 Abs. 1 lit. a DSGVO ermächtigt sei. Daher sei die Datenschutzbeschwerde auch unbegründet.Soweit der Beschwerdeführer eine rechtswidrige Verarbeitung durch die Datenschutzbehörde erblicke, könne keine Beschwer durch ein Verhalten der erstmitbeteiligten Partei gegeben sein, weshalb aufgrund der fehlenden Passivlegitimation der erstmitbeteiligten Partei die Datenschutzbeschwerde zurückzuweisen wäre. Darüber hinaus sei die erstmitbeteiligte Partei durch die Datenschutzbehörde aufgefordert worden, die verarbeiteten personenbezogenen Daten des Beschwerdeführers anzugeben, wozu diese auch gemäß Artikel 58, Absatz eins, Litera a, DSGVO ermächtigt sei. Daher sei die Datenschutzbeschwerde auch unbegründet.

Mit Schreiben vom 05.05.2021 gab der Beschwerdeführer auf Vorhalt der Datenschutzbehörde mit Schreiben vom 21.04.2021 an, dass er seine ursprüngliche Datenschutzbeschwerde vom 11.01.2021 auch gegen die Datenschutzbehörde (= zweitmitbeteiligte Partei vor dem Bundesverwaltungsgericht und Zweitbeschwerdegegnerin vor der Datenschutzbehörde) ausdehne.

Mit Bescheid vom 24.11.2021, GZ. D124.3544, 2021-0.332.520, wies die Datenschutzbehörde die Datenschutzbeschwerde vom 11.01.2021 hinsichtlich beider mitbeteiligten Parteien ab.

In diesem Bescheid traf die Datenschutzbeschwerde im Wesentlichen folgende Sachverhaltsfeststellungen:

Der Beschwerdeführer habe in seiner Datenschutzbeschwerde vom 25.11.2021 (wohl gemeint 25.11.2019), GZ. D124.1773, eine Verletzung seines Geheimhaltungsrechts durch die erstmitbeteiligte Partei behauptet und hierzu ausgeführt, dass beim Einrichten eines eAMS Kontos am 04.11.2019 gleich zu Beginn seine Adresse, Familienstand, Name und Titel aus einem ca. 25 Jahre zurückliegenden Geschäftsfall angezeigt worden sei. Da laut beiliegendem Merkblatt des AMS seine Daten nur 7 Jahre aufbewahrt werden würden, habe er eine Lücke im System vermutet, sodass derart alte Daten beim planmäßigen Löschen übersehen worden seien.

Die zweitmitbeteiligte Partei habe (als Behörde) mit Schreiben vom 11.09.2020, GZ. D124.1773, der erstmitbeteiligten Partei die Datenschutzbeschwerde des Beschwerdeführers übermittelt und habe diese zur Beantwortung folgender Fragen aufgefordert:

„1. Welche konkreten personenbezogenen Daten des Beschwerdeführers werden von Ihnen verarbeitet?

2. Aufgrund welcher konkreten Rechtsgrundlage werden diese personenbezogenen Daten verarbeitet?

3. Worauf stützt sich die Verarbeitung von Daten des Beschwerdeführers, deren Erhebung bereits über 5 Jahre (oder länger) zurückliegt und inwiefern stellen, die von Ihnen genannten Normen (z.B. AlVG) geeignete Rechtsgrundlagen für deren Verarbeitung dar? Sie werden in diesem Zusammenhang insbesondere ersucht, darzulegen, inwiefern diese Daten im konkreten Fall des Beschwerdeführers zur Prüfung allfällig bestehender Ansprüche benötigt werden und ob bezüglich der Geltendmachung dieser Ansprüche nicht schon Verjährung eingetreten ist.“

Mit Bescheid vom 03.02.2021, GZ. D124.1773 (2021-0.022.217), habe die zweitmitbeteiligte Partei die Datenschutzbeschwerde des Beschwerdeführers abgewiesen.

Auf der Grundlage dieser Sachverhaltsfeststellungen folgerte die Datenschutzbehörde in rechtlicher Hinsicht im Wesentlichen Folgendes:

Der Beschwerdeführer erachte sich in seiner Datenschutzbeschwerde vom 25.11.2021 (wohl gemeint 25.11.2019), GZ. D124.1773, durch die erstmitbeteiligte Partei dadurch im Recht auf Geheimhaltung als verletzt, da die erstmitbeteiligte Partei seine Daten für einen zu langen Zeitraum aufbewahrt hätte und in diesem Zusammenhang vermutet habe, dass durch eine Lücke im System der erstmitbeteiligten Partei veraltete Daten beim planmäßigen Löschen übersehen worden wären. Wie festgestellt, habe die zweitmitbeteiligte Partei die erstmitbeteiligte Partei daher im Rahmen der Aufforderung zur Stellungnahme aufgefordert, darzulegen, welche Daten sie zum Beschwerdeführer verarbeite.

Soweit der Beschwerdeführer nunmehr vermeine, dass die zweitmitbeteiligte Partei zu viele Daten von der erstmitbeteiligten Partei angefordert hätte, sei darauf hinzuweisen, dass die zweitmitbeteiligte Partei gemäß § 37 AVG dazu angehalten gewesen sei, den wahren objektiven Sachverhalt von Amts wegen festzustellen und ergebe sich dies im Übrigen auch aus Art. 57 Abs. 1 lit. f DSGVO, wonach jede Aufsichtsbehörde den Gegenstand einer Beschwerde in angemessenem Umfang zu untersuchen habe. Für die Datenschutzbehörde sei auch nicht nachvollziehbar, auf welche Weise es der zweitmitbeteiligten Partei hätte möglich sein solle, zu beurteilen, ob es eine Lücke im automatischen Löschsystem der erstmitbeteiligten Partei gebe, wenn sie im ersten Schritt nicht erhebe, welche Daten von der erstmitbeteiligten Partei zum Beschwerdeführer überhaupt verarbeitet werden würden. Soweit der Beschwerdeführer nunmehr vermeine, dass die zweitmitbeteiligte Partei zu viele Daten von der erstmitbeteiligten Partei angefordert hätte, sei darauf hinzuweisen, dass die zweitmitbeteiligte Partei gemäß Paragraph 37, AVG dazu angehalten gewesen sei, den wahren objektiven Sachverhalt von Amts wegen festzustellen und ergebe sich dies im Übrigen auch aus Artikel 57, Absatz eins, Litera f, DSGVO, wonach jede Aufsichtsbehörde den Gegenstand einer Beschwerde in angemessenem Umfang zu untersuchen habe. Für die Datenschutzbehörde sei auch nicht nachvollziehbar, auf welche Weise es der zweitmitbeteiligten Partei hätte möglich sein solle, zu beurteilen, ob es eine Lücke im automatischen Löschsystem der erstmitbeteiligten Partei gebe, wenn sie im ersten Schritt nicht erhebe, welche Daten von der erstmitbeteiligten Partei zum Beschwerdeführer überhaupt verarbeitet werden würden.

Die Datenschutzbehörde verweise im Übrigen auch darauf, dass grundsätzlich ein berechtigtes Interesse der zuständigen Behörde an der Verarbeitung personenbezogener Daten für Zwecke eines Verwaltungsverfahrens bestehe, welches das Interesse der Betroffenen an der Geheimhaltung ihrer personenbezogenen Daten überwiege.

Soweit der Beschwerdeführer zudem behaupte, dass die Übermittlung seiner Daten von der erstmitbeteiligten Partei an die zweitmitbeteiligte Partei rechtsgrundlos erfolgt wäre, sei darauf hinzuweisen, dass sich die Rechtsgrundlage für die Übermittlung der Daten von der erstmitbeteiligten Partei an die zweitmitbeteiligte Partei aus § 37 und § 39 Abs. 2 AVG ergebe. Darüber hinaus sei auch darauf hinzuweisen, dass die erstmitbeteiligte Partei im Verfahren vor der zweitmitbeteiligten Partei entsprechend ihrer Mitwirkungspflicht gemäß Art. 31 iVm Art. 58 Abs. 1 lit. a und lit. e DSGVO angehalten gewesen sei, der zweitmitbeteiligten Partei alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der zweitmitbeteiligten Partei notwendig gewesen seien. Soweit der Beschwerdeführer zudem behaupte, dass die Übermittlung seiner Daten von der erstmitbeteiligten Partei an die zweitmitbeteiligte Partei rechtsgrundlos erfolgt wäre, sei darauf hinzuweisen, dass sich die Rechtsgrundlage für die Übermittlung der Daten von der erstmitbeteiligten Partei an die zweitmitbeteiligte Partei aus Paragraph 37 und Paragraph 39, Absatz 2, AVG ergebe. Darüber hinaus sei auch darauf hinzuweisen, dass die erstmitbeteiligte Partei im Verfahren vor der zweitmitbeteiligten Partei entsprechend ihrer Mitwirkungspflicht gemäß Artikel 31, in Verbindung mit Artikel 58, Absatz eins, Litera a und Litera e, DSGVO angehalten gewesen sei, der zweitmitbeteiligten Partei alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der zweitmitbeteiligten Partei notwendig gewesen seien.

Die Datenschutzbeschwerde habe sich daher im Ergebnis als nicht berechtigt erwiesen, weshalb sie gemäß § 24 Abs. 5 DSG abzuweisen gewesen sei. Die Datenschutzbeschwerde habe sich daher im Ergebnis als nicht berechtigt erwiesen, weshalb sie gemäß Paragraph 24, Absatz 5, DSG abzuweisen gewesen sei.

In der gegen diesen Bescheid fristgerecht erhobenen Beschwerde brachte der Beschwerdeführer im Wesentlichen vor:

Er habe in einem anderen Verfahren vor der Datenschutzbehörde (GZ. D124.1773) ausschließlich die Verarbeitung seiner 25 Jahre zurückliegenden persönlichen Daten durch die erstmitbeteiligte Partei als unzulässig bezeichnet. Obwohl die Rechtmäßigkeit der Verarbeitung der aktuellen Daten des Beschwerdeführers durch die erstmitbeteiligte Partei nie bezweifelt worden sei, habe die zweitmitbeteiligte Partei eine uneingeschränkte Anfrage an die erstmitbeteiligte Partei gestellt, welche persönliche Daten des Beschwerdeführers verarbeitet werden würden. So habe die erstmitbeteiligte Partei in ihrer Antwort auch die aktuellen Daten des Beschwerdeführers miteinbezogen und an die zweitmitbeteiligte Partei gesendet, was ein Verstoß gegen das Datenminimierungsgebot und die Zweckbindung nach Art. 5 Abs. 1 lit. b und lit. c DSGVO darstelle. Er habe in einem anderen Verfahren vor der Datenschutzbehörde (GZ. D124.1773) ausschließlich die Verarbeitung seiner 25 Jahre zurückliegenden persönlichen Daten durch die erstmitbeteiligte Partei als unzulässig bezeichnet. Obwohl die Rechtmäßigkeit der Verarbeitung der aktuellen Daten des Beschwerdeführers durch die erstmitbeteiligte Partei nie bezweifelt worden sei, habe die zweitmitbeteiligte Partei eine uneingeschränkte Anfrage an die erstmitbeteiligte Partei gestellt, welche persönliche Daten des Beschwerdeführers verarbeitet werden würden. So habe die erstmitbeteiligte Partei in ihrer Antwort auch die aktuellen Daten des Beschwerdeführers miteinbezogen und an die zweitmitbeteiligte Partei gesendet, was ein Verstoß gegen das Datenminimierungsgebot und die Zweckbindung nach Artikel 5, Absatz eins, Litera b und Litera c, DSGVO darstelle.

Der Beschwerdeführer stellte sohin die Anträge, das Bundesverwaltungsgericht möge

1.       die unverhältnismäßige Datenübermittlung als Verstoß gegen das Gebot der Datenminimierung und Zweckbindung (Art. 5 Abs. 1 lit. b und c DSGVO) feststellen und die Verantwortlichen anhalten, in Zukunft selektiver vorzugehen und 1.       die unverhältnismäßige Datenübermittlung als Verstoß gegen das Gebot der Datenminimierung und Zweckbindung (Artikel 5, Absatz eins, Litera b und c DSGVO) feststellen und die Verantwortlichen anhalten, in Zukunft selektiver vorzugehen und

2.       die vom Beschwerdeführer beanstandeten Verhaltenselemente bzw. das Verhaltensmuster der belangten Behörde hinsichtlich den Regeln für die Verfahrensführung bzw. zur Benachteiligung einer Partei bewerten und im Falle eines Verstoßes Maßnahmen ergreifen, die diese in Zukunft zu unterbinden.

Mit Schreiben der Datenschutzbehörde vom 13.12.2021 (hg eingelangt am 15.12.2021) war die Beschwerde samt Verwaltungsakt an das Bundesverwaltungsgericht übermittelt worden.

II. Das Bundesverwaltungsgericht hat erwogen:römisch II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Bei der erstmitbeteiligten Partei handelt es sich um ein Dienstleistungsunternehmen des öffentlichen Rechts mit eigener Rechtspersönlichkeit, welchem die Umsetzung der Arbeitsmarktpolitik des Bundes übertragen ist.

Bei der zweitmitbeteiligten Partei handelt es sich um die gesetzlich eingerichtete nationale Aufsichtsbehörde in Datenschutzangelegenheiten.

Der Beschwerdeführer hat in seiner Datenschutzbeschwerde vom 25.11.2019, eingelangt bei der zweitmitbeteiligten Partei am 27.11.2019 und protokolliert unter der GZ. D124.1773, eine Verletzung seines Geheimhaltungsrechts durch die erstmitbeteiligte Partei behauptet und führte hierzu Folgendes aus: „Beim Einrichten eines eAMS Kontos am 04.11.2019 wurden gleich zu Beginn meine Adresse, Familienstand, Name und Titel aus einem ca. 25 Jahre zurückliegenden Geschäftsfall angezeigt. Da It. beiliegendem Merkblatt des AMS meine Daten nur 7 Jahre aufbewahrt werden, vermutete ich eine Lücke im System, dass derart alte Daten beim planmäßigen Löschen übersehen würden. […]“Der Beschwerdeführer hat in seiner Datenschutzbeschwerde vom 25.11.2019, eingelangt bei der zweitmitbeteiligten Partei am 27.11.2019 und protokolliert unter der GZ. D124.1773, eine Verletzung seines Geheimhaltungsrechts durch die erstmitbeteiligte Partei behauptet und führte hierzu Folgendes aus: „Beim Einrichten eines eAMS Kontos am 04.11.2019 wurden gleich zu Beginn meine Adresse, Familienstand, Name und Titel aus einem ca. 25 Jahre zurückliegenden Geschäftsfall angezeigt. Da römisch eins t. beiliegendem Merkblatt des AMS meine Daten nur 7 Jahre aufbewahrt werden, vermutete ich eine Lücke im System, dass derart alte Daten beim planmäßigen Löschen übersehen würden. […]“

Die zweitmitbeteiligte Partei hat (als Behörde) mit Schreiben vom 11.09.2020, GZ. D124.1773 (2020-0.235.183), der erstmitbeteiligten Partei die Beschwerde des Beschwerdeführers übermittelt und forderte diese zur Beantwortung der folgenden Fragen auf: „1. Welche konkreten personenbezogenen Daten des Beschwerdeführers werden von Ihnen verarbeitet? 2. Aufgrund welcher konkreten Rechtsgrundlage werden diese personenbezogenen Daten verarbeitet? 3. Worauf stützt sich die Verarbeitung von Daten des Beschwerdeführers, deren Erhebung bereits über 5 Jahre (oder länger) zurückliegt und inwiefern stellen, die von Ihnen genannten Normen (zb. AIVG) geeignete Rechtsgrundlagen für deren Verarbeitung dar? Sie werden in diesem Zusammenhang insbesondere ersucht, darzulegen, inwiefern diese Daten im konkreten Fall des Beschwerdeführers zur Prüfung allfällig bestehender Ansprüche benötigt werden und ob bezüglich der Geltendmachung dieser Ansprüche nicht schon Verjährung eingetreten ist.“

Die erstmitbeteiligte Partei übermittelte mit ergänzender Stellungnahme vom 13.10.2020 zur GZ. D124.1773 der zweitmitbeteiligten Partei einen achtunddreißigseitigen Datenausdruck gemäß Art. 15 DSGVO zur Person des Beschwerdeführers (datiert mit 01.11.2020). Dieser beinhaltete folgende Daten des Beschwerdeführers: Personenstammdaten, Kontaktdaten, Daten von Angehörigen, Daten zur Vormerkung beim AMS, Bezugszeiten, vermittlungsrelevante Daten, Förderungsfälle, Kursteilnahmen, Auszahlungsdaten, Beschäftigungs- und Versicherungsdaten, Abmeldedaten, Anwartschaften und eine Dokumentation aller Ereignisse vom 05.11.2019 bis 07.09.2020. Dieser stellt alle zum Zeitpunkt des 01.10.2020 verarbeitete Daten betreffend den Beschwerdeführer dar, insbesondere (auch) betreffend den aktuellsten Geschäftsfall vom 16.11.2019.Die erstmitbeteiligte Partei übermittelte mit ergänzender Stellungnahme vom 13.10.2020 zur GZ. D124.1773 der zweitmitbeteiligten Partei einen achtunddreißigseitigen Datenausdruck gemäß Artikel 15, DSGVO zur Person des Beschwerdeführers (datiert mit 01.11.2020). Dieser beinhaltete folgende Daten des Beschwerdeführers: Personenstammdaten, Kontaktdaten, Daten von Angehörigen, Daten zur Vormerkung beim AMS, Bezugszeiten, vermittlungsrelevante Daten, Förderungsfälle, Kursteilnahmen, Auszahlungsdaten, Beschäftigungs- und Versicherungsdaten, Abmeldedaten, Anwartschaften und eine Dokumentation aller Ereignisse vom 05.11.2019 bis 07.09.2020. Dieser stellt alle zum Zeitpunkt des 01.10.2020 verarbeitete Daten betreffend den Beschwerdeführer dar, insbesondere (auch) betreffend den aktuellsten Geschäftsfall vom 16.11.2019.

Mit Bescheid vom 03.02.2021, GZ. D124.1773 (2021-0.022.217), hat die zweitmitbeteiligte Partei die Beschwerde des Beschwerdeführers abgewiesen. Mit Erkenntnis vom 09.03.2023, Zl. W252 2242206-1/7E, gab das Bundesverwaltungsgericht einer gegen diesen Bescheid erhobenen Beschwerde teilweise statt und sprach im Spruchteil I. aus, dass die erstmitbeteiligte Partei den Beschwerdeführer in seinem Recht auf Geheimhaltung dahingehend verletzt hat, indem sie die Daten aus dem Geschäftsfall 1992 bis 1994, wie die Adresse und den Familienstand des Beschwerdeführers, bis zum neuerlichen Geschäftsfall am 16.11.2019 ohne Rechtsgrundlage weiterverarbeitet hat. Eine gegen Spruchteil I. des Erkenntnisses gerichtete außerordentliche Revision ist beim Verwaltungsgerichtshof anhängig.Mit Bescheid vom 03.02.2021, GZ. D124.1773 (2021-0.022.217), hat die zweitmitbeteiligte Partei die Beschwerde des Beschwerdeführers abgewiesen. Mit Erkenntnis vom 09.03.2023, Zl. W252 2242206-1/7E, gab das Bundesverwaltungsgericht einer gegen diesen Bescheid erhobenen Beschwerde teilweise statt und sprach im Spruchteil römisch eins. aus, dass die erstmitbeteiligte Partei den Beschwerdeführer in seinem Recht auf Geheimhaltung dahingehend verletzt hat, indem sie die Daten aus dem Geschäftsfall 1992 bis 1994, wie die Adresse und den Familienstand des Beschwerdeführers, bis zum neuerlichen Geschäftsfall am 16.11.2019 ohne Rechtsgrundlage weiterverarbeitet hat. Eine gegen Spruchteil römisch eins. des Erkenntnisses gerichtete außerordentliche Revision ist beim Verwaltungsgerichtshof anhängig.

Am 11.01.2021, verbessert am 15.02.2021 und ergänzt am 05.05.2021, hat der Beschwerdeführer die gegenständliche Datenschutzbeschwerde gegen die erst- und zweitmitbeteiligte Partei eingebracht und eine exzessive Datenübermittlung seiner personenbezogenen Daten behauptet. Dies aufgrund einer Aufforderung zur Übermittlung und der anschließenden Übermittlung der konkret verarbeiteten personenbezogenen Daten durch die mitbeteiligten Parteien im Verfahren zur GZ. D124.1773.

Es wird festgestellt, dass die von der erstmitbeteiligten Partei an die zweitmitbeteiligte Partei übermittelten Daten dem Umfang nach der Aufforderung der zweitmitbeteiligten Partei (Aufforderung zur Stellungnahme vom 11.09.2020 zur GZ. D124.1773) entsprechen. Die zweitmitbeteiligte Partei forderte (als Behörde) die erstmitbeteiligte Partei zur Übermittlung der konkret verarbeiteten personenbezogenen Daten des Beschwerdeführers auf, um in dessen Beschwerdesache zur GZ. D124.1773 den entscheidungsrelevanten Sachverhalt ermitteln zu können.

2. Beweiswürdigung:

Die Feststellungen gründen auf dem unbedenklichen Verwaltungsakt, dem in Sachverhaltsfragen unstrittigen Vorbringen der Verfahrensparteien, dem Gerichtsakt zur Zl. W252 2242206-1 sowie dem diesbezüglichen Verwaltungsakt zur GZ. D124.1773.

Die Feststellungen über die Rechtspersönlichkeiten der mitbeteiligten Parteien sind amtsbekannt.

Die Feststellungen über die Datenschutzbeschwerde des Beschwerdeführers, dem Schreiben der zweitmitbeteiligten Partei vom 11.09.2020 und der ergänzenden Stellungnahme der erstmitbeteiligten Partei vom 13.10.2020 sowie dem angeschlossenen Datenausdruck (datiert mit 01.11.2020) ergeben sich aus dem Verwaltungsakt zur GZ. D124.1773. Der weitere Verfahrensverlauf ergibt sich aus dem Gerichtsakt zur Zl. W252 2242206-1.

Die Feststellung zur verfahrensgegenständlichen Datenschutzbeschwerde ergibt sich aus dem Verwaltungsakt zur GZ. D124.3544.

Die Feststellung, dass der Umfang der Datenübermittlung der erstmitbeteiligten Partei an die zweitmitbeteiligte Partei der Aufforderung der zweitmitbeteiligten Partei vom 11.09.2020 zur GZ. D124.1773 entspricht, ergibt sich aus einem Abgleich des achtunddreißigseitigen Datenausdrucks mit dem Wortlaut der konkret erteilten Aufforderung. Die weitere Feststellung ergibt sich aus dem Vorbringen der zweitmitbeteiligten Partei im Laufe des Verfahrens.

3. Rechtliche Beurteilung:

3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG entscheiden die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.3.1. Gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG entscheiden die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gemäß § 27 Abs. 1 DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 leg. cit. und der Entscheidungspflicht der Datenschutzbehörde. Gemäß § 27 Abs. 2 erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Gemäß Paragraph 27, Absatz eins, DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7, leg. cit. und der Entscheidungspflicht der Datenschutzbehörde. Gemäß Paragraph 27, Absatz 2, erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Gegenständlich liegt somit Senatszuständigkeit vor.

3.2. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.3.2. Gemäß Paragraph 31, Absatz eins, VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß Paragraph 28, Absatz eins, VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhaltes durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.Gemäß Paragraph 28, Absatz 2, VwGVG hat das Verwaltungsgericht über Beschwerden dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhaltes durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.3. Zu A) I. Erkenntnis:3.3. Zu A) römisch eins. Erkenntnis:

3.3.1. Anzuwendende Rechtlage:

§ 1 DSG – Grundrecht auf Datenschutz:Paragraph eins, DSG – Grundrecht auf Datenschutz:

(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) (…)

Art. 4 DSGVO – Begriffsbestimmungen:Artikel 4, DSGVO – Begriffsbestimmungen:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

3.- 6. (…)

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.-16. (…)

Art. 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten:Artikel 5, DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten:

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung:Artikel 6, DSGVO – Rechtmäßigkeit der Verarbeitung:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Inter