Entscheidungsdatum
28.06.2023Norm
AVG §74 Abs1Spruch
W214 2245388-1/18E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende und die fachkundige Laienrichterin Mag. Viktoria HAIDINGER, LL.M. als Beisitzerin sowie den fachkundigen Laienrichter Dr. Wolfgang GORICNIK, MBL, als Beisitzer über die Beschwerde der XXXX vertreten durch RA Mag. Volkert SACKMANN, gegen den Bescheid der Datenschutzbehörde vom 07.07.2021, Zl. D124.2627 2020-0.744.638, Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende und die fachkundige Laienrichterin Mag. Viktoria HAIDINGER, LL.M. als Beisitzerin sowie den fachkundigen Laienrichter Dr. Wolfgang GORICNIK, MBL, als Beisitzer über die Beschwerde der römisch XXXX vertreten durch RA Mag. Volkert SACKMANN, gegen den Bescheid der Datenschutzbehörde vom 07.07.2021, Zl. D124.2627 2020-0.744.638,
A)
I. zu Recht erkannt:römisch eins. zu Recht erkannt:
1. Der Beschwerde wird hinsichtlich der behaupteten Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG stattgeben und es wird festgestellt, dass (von 31.07.2019 bis 17.07.2022) das Bundesministerium für Digitalisierung und Wirtschaftsstandort als Stammzahlenregisterbehörde bzw. (ab 18.07.2022) das Bundesministerium für Finanzen als Stammzahlenregisterbehörde die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung gemäß § 1 DSG verletzt haben, indem das jeweils genannte Bundesministerium personenbezogene Daten der Beschwerdeführerin im „Ergänzungsregister für sonstige Betroffene (ERsB)“ verarbeitet hat.1. Der Beschwerde wird hinsichtlich der behaupteten Verletzung im Recht auf Geheimhaltung gemäß Paragraph eins, DSG stattgeben und es wird festgestellt, dass (von 31.07.2019 bis 17.07.2022) das Bundesministerium für Digitalisierung und Wirtschaftsstandort als Stammzahlenregisterbehörde bzw. (ab 18.07.2022) das Bundesministerium für Finanzen als Stammzahlenregisterbehörde die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung gemäß Paragraph eins, DSG verletzt haben, indem das jeweils genannte Bundesministerium personenbezogene Daten der Beschwerdeführerin im „Ergänzungsregister für sonstige Betroffene (ERsB)“ verarbeitet hat.
2. Im Übrigen wird die Beschwerde als unbegründet abgewiesen.
II. beschlossen: römisch II. beschlossen:
Der Antrag, der belangten Behörde einen Kostenersatz aufzutragen, wird als unzulässig zurückgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgangrömisch eins. Verfahrensgang
1. In ihrer an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 23.06.2020 (verbessert mit Eingabe vom 11.08.2020) machte die Beschwerdeführerin eine Verletzung im Recht auf Geheimhaltung sowie im Recht auf Löschung geltend. Dazu brachte sie zusammengefasst vor, dass sie als XXXX mit ihrer Privatadresse im Ergänzungsregister des Bundesministeriums für Digitalisierung und Wirtschaftsstandort (BMDW, Beschwerdegegner vor der belangten Behörde, im Folgenden: „BM“, nunmehriger Rechtsnachfolger: Bundesministerium für Finanzen als Stammzahlenregisterbehörde, mitbeteiligte Partei vor dem Bundesverwaltungsgericht) widerrechtlich eingetragen sei. Aus § 6 Abs. 4 E-GovG sowie § 1 ERegV 2009 ergebe sich, dass nur jene Personen, die nicht im ZMR eingetragen seien, überhaupt in das Ergänzungsregister eingetragen werden dürften. Dies gelte aber auch nur für das Ergänzungsregister für natürliche Personen, welches nicht öffentlich sei. Dass sie aufgrund ihrer minimalen Nebenbeschäftigung in das öffentliche Ergänzungsregister eingetragen worden sei und nun die Löschung ihrer Daten vom BM verweigert werde, verletze sie nicht nur in ihren Rechten, sondern gefährde auch ihre Sicherheit, da auch nicht einmal auszuschließen sei, dass ihre persönlichen Daten nunmehr auch im „Darknet“ abrufbar seien.1. In ihrer an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 23.06.2020 (verbessert mit Eingabe vom 11.08.2020) machte die Beschwerdeführerin eine Verletzung im Recht auf Geheimhaltung sowie im Recht auf Löschung geltend. Dazu brachte sie zusammengefasst vor, dass sie als römisch XXXX mit ihrer Privatadresse im Ergänzungsregister des Bundesministeriums für Digitalisierung und Wirtschaftsstandort (BMDW, Beschwerdegegner vor der belangten Behörde, im Folgenden: „BM“, nunmehriger Rechtsnachfolger: Bundesministerium für Finanzen als Stammzahlenregisterbehörde, mitbeteiligte Partei vor dem Bundesverwaltungsgericht) widerrechtlich eingetragen sei. Aus Paragraph 6, Absatz 4, E-GovG sowie Paragraph eins, ERegV 2009 ergebe sich, dass nur jene Personen, die nicht im ZMR eingetragen seien, überhaupt in das Ergänzungsregister eingetragen werden dürften. Dies gelte aber auch nur für das Ergänzungsregister für natürliche Personen, welches nicht öffentlich sei. Dass sie aufgrund ihrer minimalen Nebenbeschäftigung in das öffentliche Ergänzungsregister eingetragen worden sei und nun die Löschung ihrer Daten vom BM verweigert werde, verletze sie nicht nur in ihren Rechten, sondern gefährde auch ihre Sicherheit, da auch nicht einmal auszuschließen sei, dass ihre persönlichen Daten nunmehr auch im „Darknet“ abrufbar seien.
Der Datenschutzbeschwerde angeschlossen wurde eine Kopie des Auskunftsbegehrens der Beschwerdeführerin an das BM vom 13.05.2020, das Antwortschreiben des BM samt Beilagen vom 27.05.2020, der Antrag auf Löschung der Beschwerdeführerin vom 03.06.2020, das Antwortschreiben des BM vom 16.06.2020 sowie eine gutachterliche Stellungnahme zum Österreichischen Ergänzungsregister der Rechtsanwaltskanzlei XXXX vom 15.05.2020. Der Datenschutzbeschwerde angeschlossen wurde eine Kopie des Auskunftsbegehrens der Beschwerdeführerin an das BM vom 13.05.2020, das Antwortschreiben des BM samt Beilagen vom 27.05.2020, der Antrag auf Löschung der Beschwerdeführerin vom 03.06.2020, das Antwortschreiben des BM vom 16.06.2020 sowie eine gutachterliche Stellungnahme zum Österreichischen Ergänzungsregister der Rechtsanwaltskanzlei römisch XXXX vom 15.05.2020.
2. Über Aufforderung der belangten Behörde erstattete das BM am 15.09.2020 eine Stellungnahme, in welcher ausgeführt wurde, dass das Ergänzungsregister Bestandteil des Identitätsmanagements im österreichischen E-Government sei und getrennt nach natürlichen Personen (ERnP) und sonstigen Betroffenen (ERsB) geführt werde. Im E-Government sei eine Differenzierung beim Begriff „Identität“ sowie beim Betroffenenbegriff von großer Bedeutung, da die eindeutige Unterscheidbarkeit der Betroffenen eine notwendige Voraussetzung für die inhaltliche Richtigkeit der E-Government-Anwendungen sei. Insofern bestehe ein berechtigtes Interesse, in elektronischen Verfahren unverwechselbar unterscheiden zu können, ob eine natürliche Person in Privatangelegenheiten agiere oder dabei unternehmerisch tätig sei. Adressat des E-GovG als Betroffener sei gemäß § 2 Z 7 E-GovG jede Einheit, der bei ihrer Teilnahme am Rechts- oder Wirtschaftsverkehr eine eigene Identität zukommen könne. Dabei gehe das E-GovG von einem weiten Begriffsumfeld aus, so wie auch der Unternehmensbegriff des § 3 Z 20 Bundesstatistikgesetz 2000 (vgl. § 1b E-GovG). Dieser Unternehmensbegriff sei breit und umfasse gleichermaßen natürliche Personen (z.B. freie Dienstnehmer, freiberuflich Tätige, Einzelunternehmen) wie auch juristische Personen, Personengesellschaften, Personengemeinschaften und Personenvereinigungen, die unternehmerisch tätig seien. Dementsprechend könnten natürliche Personen im Identitätsmanagement des E-Government sowohl als natürliche Person, die nur im Zentralen Melderegister oder Ergänzungsregister für natürliche Personen zu erfassen sei, oder etwa als Einzelunternehmen, das ins Ergänzungsregister für sonstige Betroffene einzutragen sei, Betroffener im Sinne § 2 Z 7 E-GovG sein. Es sei wichtig hervorzuheben, dass hier eben nicht der Mensch in seiner Eigenschaft als natürliche Person eingetragen werde, sondern das Unternehmen - sei dieses auch keine eigene Rechtspersönlichkeit und einer natürlichen Person als Träger zuzurechnen. Ein Einzelunternehmen sei daher unter dem Begriff der „Einrichtung“ im Sinne § 2 Z 7 E- GovG zu subsumieren, da erst diese Interpretation alle denkbaren Akteure umfassen könne, die eben am Rechts- oder Wirtschaftsverkehr als unterscheidbare Identität teilnehmen würden. Somit sei die Eintragung von Einzelunternehmen im Ergänzungsregister für sonstige Betroffene zulässigerweise erfolgt. Die Verarbeitung der Daten des Ergänzungsregisters für sonstige Betroffene beruhe auf der gesetzlichen Grundlage des § 6 Abs. 4 E-GovG, womit auch personenbezogene Daten zulässigerweise verarbeitet werden dürften. Hinsichtlich der Anforderungen des Legalitätsprinzips werde auf den in dieser Bestimmung angeführten Zweck des Nachweises der eindeutigen Identität sonstiger Betroffener (Bestand, Bezeichnung) hingewiesen. Die exakten Datenkategorien würden im 3. Abschnitt in der Ergänzungsregisterverordnung normiert. Darüber hinaus komme aufgrund des gesetzlich normierten Zwecks der eindeutigen Identifizierung von Betroffenen auch die Wahrnehmung von Aufgaben im öffentlichen Interesse als Erlaubnistatbestand gemäß Art. 6 Abs. 1 lit. e DSGVO als datenschutzrechtliche Grundlage für die Datenverarbeitung in Betracht.2. Über Aufforderung der belangten Behörde erstattete das BM am 15.09.2020 eine Stellungnahme, in welcher ausgeführt wurde, dass das Ergänzungsregister Bestandteil des Identitätsmanagements im österreichischen E-Government sei und getrennt nach natürlichen Personen (ERnP) und sonstigen Betroffenen (ERsB) geführt werde. Im E-Government sei eine Differenzierung beim Begriff „Identität“ sowie beim Betroffenenbegriff von großer Bedeutung, da die eindeutige Unterscheidbarkeit der Betroffenen eine notwendige Voraussetzung für die inhaltliche Richtigkeit der E-Government-Anwendungen sei. Insofern bestehe ein berechtigtes Interesse, in elektronischen Verfahren unverwechselbar unterscheiden zu können, ob eine natürliche Person in Privatangelegenheiten agiere oder dabei unternehmerisch tätig sei. Adressat des E-GovG als Betroffener sei gemäß Paragraph 2, Ziffer 7, E-GovG jede Einheit, der bei ihrer Teilnahme am Rechts- oder Wirtschaftsverkehr eine eigene Identität zukommen könne. Dabei gehe das E-GovG von einem weiten Begriffsumfeld aus, so wie auch der Unternehmensbegriff des Paragraph 3, Ziffer 20, Bundesstatistikgesetz 2000 vergleiche Paragraph eins b, E-GovG). Dieser Unternehmensbegriff sei breit und umfasse gleichermaßen natürliche Personen (z.B. freie Dienstnehmer, freiberuflich Tätige, Einzelunternehmen) wie auch juristische Personen, Personengesellschaften, Personengemeinschaften und Personenvereinigungen, die unternehmerisch tätig seien. Dementsprechend könnten natürliche Personen im Identitätsmanagement des E-Government sowohl als natürliche Person, die nur im Zentralen Melderegister oder Ergänzungsregister für natürliche Personen zu erfassen sei, oder etwa als Einzelunternehmen, das ins Ergänzungsregister für sonstige Betroffene einzutragen sei, Betroffener im Sinne Paragraph 2, Ziffer 7, E-GovG sein. Es sei wichtig hervorzuheben, dass hier eben nicht der Mensch in seiner Eigenschaft als natürliche Person eingetragen werde, sondern das Unternehmen - sei dieses auch keine eigene Rechtspersönlichkeit und einer natürlichen Person als Träger zuzurechnen. Ein Einzelunternehmen sei daher unter dem Begriff der „Einrichtung“ im Sinne Paragraph 2, Ziffer 7, E- GovG zu subsumieren, da erst diese Interpretation alle denkbaren Akteure umfassen könne, die eben am Rechts- oder Wirtschaftsverkehr als unterscheidbare Identität teilnehmen würden. Somit sei die Eintragung von Einzelunternehmen im Ergänzungsregister für sonstige Betroffene zulässigerweise erfolgt. Die Verarbeitung der Daten des Ergänzungsregisters für sonstige Betroffene beruhe auf der gesetzlichen Grundlage des Paragraph 6, Absatz 4, E-GovG, womit auch personenbezogene Daten zulässigerweise verarbeitet werden dürften. Hinsichtlich der Anforderungen des Legalitätsprinzips werde auf den in dieser Bestimmung angeführten Zweck des Nachweises der eindeutigen Identität sonstiger Betroffener (Bestand, Bezeichnung) hingewiesen. Die exakten Datenkategorien würden im 3. Abschnitt in der Ergänzungsregisterverordnung normiert. Darüber hinaus komme aufgrund des gesetzlich normierten Zwecks der eindeutigen Identifizierung von Betroffenen auch die Wahrnehmung von Aufgaben im öffentlichen Interesse als Erlaubnistatbestand gemäß Artikel 6, Absatz eins, Litera e, DSGVO als datenschutzrechtliche Grundlage für die Datenverarbeitung in Betracht.
Bei der Beschwerdeführerin sei die Eintragung durch die Eintragungsstelle Steuer (Finanzamt) veranlasst worden. In der Regel erfolge eine Eintragung in das ERsB nach den Vorgaben des E-Government-Gesetzes für gewerberechtliche Verfahren oder für Zwecke der Finanzverwaltung (Steuer), um beispielsweise Einkünfte aus Land- und Forstwirtschaft, selbstständiger Arbeit oder Einkünfte aus Vermietung und Verpachtung sowie sonstiger Einkünfte durch die Finanzbehörde korrekt zuordnen zu können. Im vorliegenden Fall liege nach Rücksprache mit der Eintragungsstelle Steuer seit 2018 ein aufrechter Betrieb vor (Beratungstätigkeit).
Das Ergänzungsregister für sonstige Betroffene sei aufgrund der Novelle der Ergänzungsregisterverordnung, BGBl. II Nr. 317/2020, nicht mehr als öffentliches Register zu führen, weshalb auch kein Datenauszug mehr über die Website möglich sei. Das Ergänzungsregister für sonstige Betroffene sei aufgrund der Novelle der Ergänzungsregisterverordnung, Bundesgesetzblatt Teil 2, Nr. 317 aus 2020,, nicht mehr als öffentliches Register zu führen, weshalb auch kein Datenauszug mehr über die Website möglich sei.
3. Die belangte Behörde übermittelte der Beschwerdeführerin am 03.11.2020 die Stellungnahme des BM und gab ihr ebenfalls Gelegenheit, binnen Frist eine Stellungnahme abzugeben.
4. Die Beschwerdeführerin erstattete am 10.11.2020 eine Stellungnahme und führte aus, dass der Stellungnahme des BM schon aus sprach- und denklogischen Gründen nicht zu folgen sei. In der e-Government-Struktur in Österreich brauche jede natürliche oder juristische Person eine eindeutige Nummer. Wenn ein Mensch in Österreich gemeldet sei, komme diese Nummer aus dem Zentralen Melderegister. Sie sei in Österreich gemeldet, weshalb eine rechtmäßige Eintragung in das ERnP oder ERsB Register ausscheide. Die Argumentation des BM, natürliche Personen könnten Betroffene iSd § 2 Z 7 E-GovG sein und seien in das ERsB einzutragen, da nicht der Mensch in seiner Eigenschaft als natürliche Person eingetragen werde, sondern das Unternehmen – sei dieses auch keine eigene Rechtspersönlichkeit und einer natürlichen Person als Träger zuzurechnen – mute äußerst befremdlich an. Die österreichische Rechtsordnung kenne natürliche und juristische Personen – eine natürliche Person, die unternehmerisch tätig sei, sei eine natürliche Person. Ein Mensch sei selbstredend weder juristische Person, noch Personenmehrheit oder Einrichtung iSd § 2 Z 7 E-GovG. Auch vor dem Hintergrund der abgabenrechtlichen Geheimhaltungspflicht (§ 48a BAO) sei eine Aufnahme von Einzelunternehmen als „Einrichtungen“ bzw. „Betroffene“ in das ERsB unzulässig. Eine andere Auslegung würde dem Legalitätsprinzip nach Art. 18 B-VG widersprechen und das Grundrecht auf Datenschutz gemäß § 1 DSG faktisch aushebeln. Ein solcher Grundrechtseingriff würde auch an der fehlenden Rechtfertigung nach § 1 Abs. 2 DSG iVm Art. 8 Abs. 2 EMRK scheitern. Da weder die Eintragung ihrer Person in das ERsB noch die Speicherung ihrer Daten rechtlich zulässig gewesen sei, bestehe ein Rechtsanspruch auf Löschung und Feststellung der Verletzung des Grundrechts auf Datenschutz. 4. Die Beschwerdeführerin erstattete am 10.11.2020 eine Stellungnahme und führte aus, dass der Stellungnahme des BM schon aus sprach- und denklogischen Gründen nicht zu folgen sei. In der e-Government-Struktur in Österreich brauche jede natürliche oder juristische Person eine eindeutige Nummer. Wenn ein Mensch in Österreich gemeldet sei, komme diese Nummer aus dem Zentralen Melderegister. Sie sei in Österreich gemeldet, weshalb eine rechtmäßige Eintragung in das ERnP oder ERsB Register ausscheide. Die Argumentation des BM, natürliche Personen könnten Betroffene iSd Paragraph 2, Ziffer 7, E-GovG sein und seien in das ERsB einzutragen, da nicht der Mensch in seiner Eigenschaft als natürliche Person eingetragen werde, sondern das Unternehmen – sei dieses auch keine eigene Rechtspersönlichkeit und einer natürlichen Person als Träger zuzurechnen – mute äußerst befremdlich an. Die österreichische Rechtsordnung kenne natürliche und juristische Personen – eine natürliche Person, die unternehmerisch tätig sei, sei eine natürliche Person. Ein Mensch sei selbstredend weder juristische Person, noch Personenmehrheit oder Einrichtung iSd Paragraph 2, Ziffer 7, E-GovG. Auch vor dem Hintergrund der abgabenrechtlichen Geheimhaltungspflicht (Paragraph 48 a, BAO) sei eine Aufnahme von Einzelunternehmen als „Einrichtungen“ bzw. „Betroffene“ in das ERsB unzulässig. Eine andere Auslegung würde dem Legalitätsprinzip nach Artikel 18, B-VG widersprechen und das Grundrecht auf Datenschutz gemäß Paragraph eins, DSG faktisch aushebeln. Ein solcher Grundrechtseingriff würde auch an der fehlenden Rechtfertigung nach Paragraph eins, Absatz 2, DSG in Verbindung mit Artikel 8, Absatz 2, EMRK scheitern. Da weder die Eintragung ihrer Person in das ERsB noch die Speicherung ihrer Daten rechtlich zulässig gewesen sei, bestehe ein Rechtsanspruch auf Löschung und Feststellung der Verletzung des Grundrechts auf Datenschutz.
5. Mit dem angefochtenen Bescheid wies die belangte Behörde die Datenschutzbeschwerde der Beschwerdeführerin als unbegründet ab.
Rechtlich führte die belangte Behörde in Bezug auf die behauptete Verletzung im Recht auf Geheimhaltung aus, dass zu prüfen sei, ob die erfolgte Eintragung der Beschwerdeführerin in das ERsB Deckung in den (ausreichend determinierten) Bestimmungen des E-GovG und der ERegV 2009 finde. Laut § 3 Abs. 1 E-GovG dürften im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs Zugriffsrechte auf personenbezogene Daten nur eingeräumt werden, wenn die eindeutige Identität desjenigen, der zugreifen wolle, und die Authentizität seines Ersuchens nachgewiesen seien. Dieser Nachweis müsse in elektronisch prüfbarer Form erbracht werden. Dabei diene der Elektronische Identitätsnachweis (E-ID) dem Nachweis der eindeutigen Identität im elektronische Verkehr mit öffentlichen Stellen. Die eindeutige Identifikation von Betroffenen erfolge dabei auf Basis ihrer Stammzahl (§§ 4 Abs. 1, 6 Abs. 1 leg. cit.). Für natürliche Personen, die im Zentralen Melderegister eingetragen seien, werde die Stammzahl aus ihrer ZMR-Zahl gebildet (§ 6 Abs. 2 leg. cit.). Für Betroffene, die im Firmenbuch, im Vereinsregister oder im Ergänzungsregister eingetragen seien, sei als Stammzahl […] die im Ergänzungsregister vergebene Ordnungsnummer zu verwenden (§ 6 Abs. 3 leg. cit.). Gemäß § 6 Abs. 4 leg. cit. seien Betroffene, die weder im Melderegister eingetragen seien, noch im Firmenbuch oder im Vereinsregister eingetragen sein müssten, auf ihren Antrag oder in den Fällen des § 10 Abs. 2 auf Antrag des Verantwortlichen der Datenverarbeitung im Ergänzungsregister einzutragen. Das Ergänzungsregister werde getrennt nach natürlichen Personen und sonstigen Betroffenen geführt. Der Betroffenenbegriff werde dabei in § 2 Z 7 E-GovG legal definiert, wonach „Betroffener“ jede natürliche Person, juristische Person sowie sonstige Personenmehrheit oder Einrichtung sein könne, der bei ihrer Teilnahme am Rechts- oder Wirtschaftsverkehr eine eigene Identität zukomme. „Identität“ sei laut Z 1 leg. cit. die Bezeichnung der Nämlichkeit von Betroffenen durch Merkmale, die geeignet seien, ihre Unterscheidbarkeit von anderen zu ermöglichen; solche Merkmale seien insbesondere der Name und das Geburtsdatum, aber auch etwa die Firma oder (alpha)nummerische Bezeichnungen. Bei der Beschwerdeführerin handle es sich zwar richtigerweise um eine natürliche Person, die jedoch – abseits der Stellung als Privatperson – aufgrund einer selbständigen (Beratungs-)Tätigkeit im Wirtschaftsleben und damit zusammenhängend im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs als Einzelunternehmerin auftrete. Den Bestimmungen des E-GovG sei jedoch auch zu entnehmen, dass ein erhebliches öffentliches Interesse an einer eindeutigen Identifizierbarkeit im elektronischen Verkehr bestehe (vgl. insb § 3 Abs. 1 leg. cit.). Insofern sei die vom BM vertretene Ansicht, es handle sich dabei um eine Betroffene, welcher iSv § 2 Z 7 E-GovG eine eigene Identität – unabhängig von einer in diesem Zusammenhang unerheblichen (gesetzlich normierten) Rechtsfähigkeit – zukomme, durchaus nachvollziehbar. Durch den Vermerk der Organisationsform im ERsB als „Einzelunternehmen“ liege überdies die laut Z 1 leg. cit. geforderte Unterscheidbarkeit von der Beschwerdeführerin als Privatperson vor. Aufgrund der oben festgehaltenen Differenzierung hinsichtlich der Person der Beschwerdeführerin erweise sich auch die vom BM angeführte Bestimmung des § 6 Abs. 4 E-GovG als eine für die verfahrensgegenständliche Verarbeitung taugliche gesetzliche Grundlage: Die von der Beschwerdeführerin vorgebrachte Eintragung im Melderegister sei gerade nicht in ihrer Eigenschaft als Einzelunternehmerin erfolgt, sondern vielmehr als (natürliche) Privatperson. Eine darüberhinausgehende Eintragung im Firmenbuch sei hingegen – wie festgestellt - nicht gegeben und sei auch zu keinem Zeitpunkt behauptet worden. § 16 ERegV 2009, welcher mit Novelle vom 10. Juli 2020 (BGBl. II Nr. 317/2020) behoben worden sei, habe die Führung des ERsB als öffentliches Register ausdrücklich vorgesehen. Somit habe auch die bis zum 07.05.2020 erfolgte Veröffentlichung der Daten der Beschwerdeführerin auf einer rechtlichen Grundlage beruht. Die Verarbeitung der personenbezogenen Daten der Beschwerdeführerin im Rahmen des Ergänzungsregisters für sonstige Betroffene könne auf die gesetzlichen Grundlagen des § 6 Abs. 4 iVm § 2 Z 7 des E-GovG sowie der ERegV 2009 gestützt werden, weshalb sich die Verarbeitung als rechtmäßig erweise und von keiner Verletzung im Recht auf Geheimhaltung gem. § 1 Abs. 1 DSG auszugehen sei. Rechtlich führte die belangte Behörde in Bezug auf die behauptete Verletzung im Recht auf Geheimhaltung aus, dass zu prüfen sei, ob die erfolgte Eintragung der Beschwerdeführerin in das ERsB Deckung in den (ausreichend determinierten) Bestimmungen des E-GovG und der ERegV 2009 finde. Laut Paragraph 3, Absatz eins, E-GovG dürften im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs Zugriffsrechte auf personenbezogene Daten nur eingeräumt werden, wenn die eindeutige Identität desjenigen, der zugreifen wolle, und die Authentizität seines Ersuchens nachgewiesen seien. Dieser Nachweis müsse in elektronisch prüfbarer Form erbracht werden. Dabei diene der Elektronische Identitätsnachweis (E-ID) dem Nachweis der eindeutigen Identität im elektronische Verkehr mit öffentlichen Stellen. Die eindeutige Identifikation von Betroffenen erfolge dabei auf Basis ihrer Stammzahl (Paragraphen 4, Absatz eins,, 6 Absatz eins, leg. cit.). Für natürliche Personen, die im Zentralen Melderegister eingetragen seien, werde die Stammzahl aus ihrer ZMR-Zahl gebildet (Paragraph 6, Absatz 2, leg. cit.). Für Betroffene, die im Firmenbuch, im Vereinsregister oder im Ergänzungsregister eingetragen seien, sei als Stammzahl […] die im Ergänzungsregister vergebene Ordnungsnummer zu verwenden (Paragraph 6, Absatz 3, leg. cit.). Gemäß Paragraph 6, Absatz 4, leg. cit. seien Betroffene, die weder im Melderegister eingetragen seien, noch im Firmenbuch oder im Vereinsregister eingetragen sein müssten, auf ihren Antrag oder in den Fällen des Paragraph 10, Absatz 2, auf Antrag des Verantwortlichen der Datenverarbeitung im Ergänzungsregister einzutragen. Das Ergänzungsregister werde getrennt nach natürlichen Personen und sonstigen Betroffenen geführt. Der Betroffenenbegriff werde dabei in Paragraph 2, Ziffer 7, E-GovG legal definiert, wonach „Betroffener“ jede natürliche Person, juristische Person sowie sonstige Personenmehrheit oder Einrichtung sein könne, der bei ihrer Teilnahme am Rechts- oder Wirtschaftsverkehr eine eigene Identität zukomme. „Identität“ sei laut Ziffer eins, leg. cit. die Bezeichnung der Nämlichkeit von Betroffenen durch Merkmale, die geeignet seien, ihre Unterscheidbarkeit von anderen zu ermöglichen; solche Merkmale seien insbesondere der Name und das Geburtsdatum, aber auch etwa die Firma oder (alpha)nummerische Bezeichnungen. Bei der Beschwerdeführerin handle es sich zwar richtigerweise um eine natürliche Person, die jedoch – abseits der Stellung als Privatperson – aufgrund einer selbständigen (Beratungs-)Tätigkeit im Wirtschaftsleben und damit zusammenhängend im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs als Einzelunternehmerin auftrete. Den Bestimmungen des E-GovG sei jedoch auch zu entnehmen, dass ein erhebliches öffentliches Interesse an einer eindeutigen Identifizierbarkeit im elektronischen Verkehr bestehe vergleiche insb Paragraph 3, Absatz eins, leg. cit.). Insofern sei die vom BM vertretene Ansicht, es handle sich dabei um eine Betroffene, welcher iSv Paragraph 2, Ziffer 7, E-GovG eine eigene Identität – unabhängig von einer in diesem Zusammenhang unerheblichen (gesetzlich normierten) Rechtsfähigkeit – zukomme, durchaus nachvollziehbar. Durch den Vermerk der Organisationsform im ERsB als „Einzelunternehmen“ liege überdies die laut Ziffer eins, leg. cit. geforderte Unterscheidbarkeit von der Beschwerdeführerin als Privatperson vor. Aufgrund der oben festgehaltenen Differenzierung hinsichtlich der Person der Beschwerdeführerin erweise sich auch die vom BM angeführte Bestimmung des Paragraph 6, Absatz 4, E-GovG als eine für die verfahrensgegenständliche Verarbeitung taugliche gesetzliche Grundlage: Die von der Beschwerdeführerin vorgebrachte Eintragung im Melderegister sei gerade nicht in ihrer Eigenschaft als Einzelunternehmerin erfolgt, sondern vielmehr als (natürliche) Privatperson. Eine darüberhinausgehende Eintragung im Firmenbuch sei hingegen – wie festgestellt - nicht gegeben und sei auch zu keinem Zeitpunkt behauptet worden. Paragraph 16, ERegV 2009, welcher mit Novelle vom 10. Juli 2020 Bundesgesetzblatt Teil 2, Nr. 317 aus 2020,) behoben worden sei, habe die Führung des ERsB als öffentliches Register ausdrücklich vorgesehen. Somit habe auch die bis zum 07.05.2020 erfolgte Veröffentlichung der Daten der Beschwerdeführerin auf einer rechtlichen Grundlage beruht. Die Verarbeitung der personenbezogenen Daten der Beschwerdeführerin im Rahmen des Ergänzungsregisters für sonstige Betroffene könne auf die gesetzlichen Grundlagen des Paragraph 6, Absatz 4, in Verbindung mit Paragraph 2, Ziffer 7, des E-GovG sowie der ERegV 2009 gestützt werden, weshalb sich die Verarbeitung als rechtmäßig erweise und von keiner Verletzung im Recht auf Geheimhaltung gem. Paragraph eins, Absatz eins, DSG auszugehen sei.
Zur behaupteten Verletzung im Recht auf Löschung sei auszuführen, dass die von der Beschwerdeführerin behauptete unrechtmäßige Verarbeitung ihrer personenbezogenen Daten iSV Art. 17 Abs. 1 lit. d DSGVO nicht vorliege. Auch sei die Eintragung im ERsB für die Zwecke, für die sie erfolgt sei – nämlich die eindeutige Identifizierung der Beschwerdeführerin im Rahmen der Teilnahme am elektronischen Verkehr mit öffentlichen Stellen (Finanzverwaltung) – weiterhin notwendig. Sonstige Löschungsgründe würden gegenständlich nicht in Frage kommen und seien von der Beschwerdeführerin auch nicht vorgebracht worden. Folglich habe das BM die Löschung zurecht verweigert und sei keine Verletzung im Recht auf Löschung gem. Art. 17 DSGVO festzustellen gewesen. Zur behaupteten Verletzung im Recht auf Löschung sei auszuführen, dass die von der Beschwerdeführerin behauptete unrechtmäßige Verarbeitung ihrer personenbezogenen Daten iSV Artikel 17, Absatz eins, Litera d, DSGVO nicht vorliege. Auch sei die Eintragung im ERsB für die Zwecke, für die sie erfolgt sei – nämlich die eindeutige Identifizierung der Beschwerdeführerin im Rahmen der Teilnahme am elektronischen Verkehr mit öffentlichen Stellen (Finanzverwaltung) – weiterhin notwendig. Sonstige Löschungsgründe würden gegenständlich nicht in Frage kommen und seien von der Beschwerdeführerin auch nicht vorgebracht worden. Folglich habe das BM die Löschung zurecht verweigert und sei keine Verletzung im Recht auf Löschung gem. Artikel 17, DSGVO festzustellen gewesen.
6. Gegen diesen Bescheid erhob die Beschwerdeführerin mit Schriftsatz vom 03.08.2021 eine Beschwerde an das Bundesverwaltungsgericht.
Darin wurde (nach einer Zusammenfassung des bisherigen Verfahrens) ausgeführt, dass das Verfahren vor der belangten Behörde, vor allem in Bezug auf die Feststellungen, wonach die Beschwerdeführerin seit 2018 Einkünfte aus selbständiger Tätigkeit, insbesondere aus Beratungstätigkeiten, erziele und sie dadurch im Wirtschaftsleben und damit zusammenhängend im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs als Einzelunternehmerin auftrete, mangelhaft sei. Diese Feststellung sei schlicht und ergreifend aus der Luft gegriffen, die belangte Behörde habe offenbar die Angaben des BM ungeprüft übernommen, jedoch übersehen, dass die Beschwerdeführerin weder jemals (im Wirtschaftsleben) als Einzelunternehmerin aufgetreten sei, noch jemals Beratungsleistungen erbracht habe. Die Beschwerdeführerin sei mit Beschluss vom 12.12.2017 für die Funktionsperiode XXXX vom Vorstand der XXXX bestellt worden. Hätte die belangte Behörde die Angaben des BM überprüft bzw. die Beschwerdeführerin aufgefordert, ihre Nebenbeschäftigung bekannt zu geben, wäre die hier bekämpfte Entsc
