Entscheidungsdatum
11.07.2023Norm
ASVG §750 Abs1aSpruch
W214 2257639-1/8E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde des XXXX , vertreten durch den Rechtsanwalt Dr. David M. SUNTINGER, gegen Spruchpunkt 1. des Bescheides der Datenschutzbehörde vom 15.06.2022, Zl. D770.1336 2022-0.432.117, zu Recht erkannt:Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde des römisch XXXX , vertreten durch den Rechtsanwalt Dr. David M. SUNTINGER, gegen Spruchpunkt 1. des Bescheides der Datenschutzbehörde vom 15.06.2022, Zl. D770.1336 2022-0.432.117, zu Recht erkannt:
A)
Die Beschwerde wird gemäß § 28 Abs. 2 Verwaltungsgerichtsverfahrensgesetz, BGBl. I Nr. 33/2013 idgF (VwGVG), als unbegründet abgewiesen.Die Beschwerde wird gemäß Paragraph 28, Absatz 2, Verwaltungsgerichtsverfahrensgesetz, Bundesgesetzblatt Teil eins, Nr. 33 aus 2013, idgF (VwGVG), als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
1. In seiner an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 23.12.2021 machte der Beschwerdeführer eine Verletzung im Recht auf Geheimhaltung geltend. Dazu wurde zusammengefasst vorgebracht, dass er mit einem an ihn adressierten Schreiben vom Dachverband der [österreichischen] Sozialversicherungsträger (Beschwerdegegner vor der belangten Behörde, Mitbeteiligter vor dem Bundesverwaltungsgericht) und vom „Sozialministerium /Service für Bürgerinnen und Bürger“ zu einem Impftermin geladen worden sei. Es ergebe sich für ihn der dringende Verdacht, dass dieser Einladung eine unzulässige Weitergabe und Verarbeitung seiner besonders geschützten persönlichen Gesundheitsdaten zugrunde liege. Zudem beantragte der Beschwerdeführer, die Datenverarbeitung gem. § 22 Abs. 4 DSG zu untersagen und gemäß § 22 Abs. 5 DSG eine Geldbuße zu verhängen.1. In seiner an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 23.12.2021 machte der Beschwerdeführer eine Verletzung im Recht auf Geheimhaltung geltend. Dazu wurde zusammengefasst vorgebracht, dass er mit einem an ihn adressierten Schreiben vom Dachverband der [österreichischen] Sozialversicherungsträger (Beschwerdegegner vor der belangten Behörde, Mitbeteiligter vor dem Bundesverwaltungsgericht) und vom „Sozialministerium /Service für Bürgerinnen und Bürger“ zu einem Impftermin geladen worden sei. Es ergebe sich für ihn der dringende Verdacht, dass dieser Einladung eine unzulässige Weitergabe und Verarbeitung seiner besonders geschützten persönlichen Gesundheitsdaten zugrunde liege. Zudem beantragte der Beschwerdeführer, die Datenverarbeitung gem. Paragraph 22, Absatz 4, DSG zu untersagen und gemäß Paragraph 22, Absatz 5, DSG eine Geldbuße zu verhängen.
Beigelegt wurde das betreffende Impfaufforderungsschreiben.
2. Über Aufforderung der belangten Behörde erstattete der Mitbeteiligte am 14.01.2022 eine Stellungnahme und führte darin im Wesentlichen aus, dass er - wie in § 750 Abs. 1a ASVG vorgesehen - im Auftrag des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK), Briefe an bestimmte Personen geschickt habe, die bis zu einem Stichtag noch keine Impfung gegen SARS-CoV-2 erhalten hätten. Für den Versand dieser Schreiben sei der Mitbeteiligte datenschutzrechtlicher Verantwortlicher. Die gegenständliche Verarbeitung sei rechtmäßig gemäß Art 6 Abs. 1 lit. c – hilfsweise lit. e – DSGVO iVm Art 9 Abs. 2 lit. i – hilfsweise lit. g bzw. lit. h – erfolgt. Insbesondere sei mit § 750 Abs. 1a und Abs. 2 ASVG eine konkrete Rechtsgrundlage für die fallbezogene Verarbeitung geschaffen worden.2. Über Aufforderung der belangten Behörde erstattete der Mitbeteiligte am 14.01.2022 eine Stellungnahme und führte darin im Wesentlichen aus, dass er - wie in Paragraph 750, Absatz eins a, ASVG vorgesehen - im Auftrag des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK), Briefe an bestimmte Personen geschickt habe, die bis zu einem Stichtag noch keine Impfung gegen SARS-CoV-2 erhalten hätten. Für den Versand dieser Schreiben sei der Mitbeteiligte datenschutzrechtlicher Verantwortlicher. Die gegenständliche Verarbeitung sei rechtmäßig gemäß Artikel 6, Absatz eins, Litera c, – hilfsweise Litera e, – DSGVO in Verbindung mit Artikel 9, Absatz 2, Litera i, – hilfsweise Litera g, bzw. Litera h, – erfolgt. Insbesondere sei mit Paragraph 750, Absatz eins a und Absatz 2, ASVG eine konkrete Rechtsgrundlage für die fallbezogene Verarbeitung geschaffen worden.
3. Die belangte Behörde teilte dem Beschwerdeführer mit Schreiben vom 11.04.2022 die Ergebnisse des Ermittlungsverfahrens mit und übermittelte ihm die Stellungnahme des Mitbeteiligten vom 14.01.2022. Dem Beschwerdeführer wurde Parteiengehör eingeräumt und die Gelegenheit zur Abgabe einer Stellungnahme gegeben.
4. Vonseiten des Beschwerdeführers erfolgte hierauf keine weitere Stellungnahme.
5. Mit dem nunmehr angefochtenen Bescheid vom 15.06.2022 wurde die Beschwerde als unbegründet abgewiesen (Spruchpunkt 1.). Der Antrag des Beschwerdeführers, die belangte Behörde möge die Datenverarbeitung gemäß § 22 Abs. 4 DSG untersagen, wurde abgewiesen (Spruchpunkt 2.). Der Antrag des Beschwerdeführers, die belangte Behörde möge gegen den Mitbeteiligten eine Geldbuße verhängen, wurde zurückgewiesen (Spruchpunkt 3.). 5. Mit dem nunmehr angefochtenen Bescheid vom 15.06.2022 wurde die Beschwerde als unbegründet abgewiesen (Spruchpunkt 1.). Der Antrag des Beschwerdeführers, die belangte Behörde möge die Datenverarbeitung gemäß Paragraph 22, Absatz 4, DSG untersagen, wurde abgewiesen (Spruchpunkt 2.). Der Antrag des Beschwerdeführers, die belangte Behörde möge gegen den Mitbeteiligten eine Geldbuße verhängen, wurde zurückgewiesen (Spruchpunkt 3.).
Begründend führte die belangte Behörde (nach Wiederholung des Vorbringens der Parteien und Darstellung des Verfahrensganges) zunächst aus, dass Beschwerdegegenstand die Frage sei, ob der Mitbeteiligte den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt habe, indem der Mitbeteiligte die Daten des Beschwerdeführers zum Zweck des Versands eines Schreibens, in welchem der Mitbeteiligte den Beschwerdeführer über das Risiko schwer an COVID-19 zu erkranken und die Möglichkeit der Inanspruchnahme einer kostenlosen Impfung gegen SARS-CoV-2 informiert habe, unrechtmäßig verarbeitet habe.
Rechtlich führte die belangte Behörde zu Spruchpunkt 1. aus, dass der Mitbeteiligte als Körperschaft des öffentlichen Rechts hinsichtlich der verfahrensgegenständlichen Verarbeitung als Behörde im Sinn des § 1 Abs. 2 DSG zu qualifizieren sei und zum Zweck des Versands eines Informationsschreibens betreffend das Risiko schwer an COVID-19 zu erkranken und die Möglichkeit der Inanspruchnahme einer kostenlosen Impfung gegen SARS-CoV-2, die Daten des Beschwerdeführers aus dem zentralen Impfregister und den eigenen Daten, konkret aus dem zentralen Patientenindex, verarbeitet habe. Da sich der Mitbeteiligte in diesem Zusammenhang auf § 750 Abs. 1a und Abs. 2 ASVG und somit auf einen tragenden Eingriffstatbestand gemäß § 1 Abs. 2 DSG stützen habe können, habe sich die Beschwerde als nicht berechtigt erwiesen.Rechtlich führte die belangte Behörde zu Spruchpunkt 1. aus, dass der Mitbeteiligte als Körperschaft des öffentlichen Rechts hinsichtlich der verfahrensgegenständlichen Verarbeitung als Behörde im Sinn des Paragraph eins, Absatz 2, DSG zu qualifizieren sei und zum Zweck des Versands eines Informationsschreibens betreffend das Risiko schwer an COVID-19 zu erkranken und die Möglichkeit der Inanspruchnahme einer kostenlosen Impfung gegen SARS-CoV-2, die Daten des Beschwerdeführers aus dem zentralen Impfregister und den eigenen Daten, konkret aus dem zentralen Patientenindex, verarbeitet habe. Da sich der Mitbeteiligte in diesem Zusammenhang auf Paragraph 750, Absatz eins a und Absatz 2, ASVG und somit auf einen tragenden Eingriffstatbestand gemäß Paragraph eins, Absatz 2, DSG stützen habe können, habe sich die Beschwerde als nicht berechtigt erwiesen.
6. Gegen Spruchpunkt I. (gemeint wohl: 1.) dieses Bescheides erhob der Beschwerdeführer im Wege seiner rechtsanwaltlichen Vertretung fristgerecht Beschwerde an das Bundesverwaltungsgericht und brachte zusammengefasst vor, dass der Mitbeteiligte die in Art 14 DSGVO vorgesehene Informationspflicht missachtet und damit gegen den Grundsatz der Transparenz in Art 5 Abs. 1 lit. a 3.Fall DSGVO verstoßen habe. Zudem sei im Hinblick auf § 18 Abs. 1 GTelG und § 750 Abs. 1a und Abs. 2 gegen den Zweckbindungsgrundsatz nach Art. 5 Abs. 1 lit. b DSGVO verstoßen worden, es liege fallbezogen eine Zweckänderung vor, weswegen der Mitbeteiligte damit sowohl Art. 6 Abs. 4 als auch Art. 14 Abs. 4 DSGVO verletzt habe. Der Mitbeteiligte wäre verpflichtet gewesen, mit dem BMSGPK eine schriftliche Vereinbarung über die gemeinsame Datenverarbeitung gemäß Art. 26 DSGVO abzuschließen. Ebenso hätte der Mitbeteiligte zuvor eine Datenschutz-Folgenabschätzung vornehmen müssen. Nach der Judikatur der belangten Behörde verletze auch der – hier vorliegende - Verstoß gegen die Informationspflicht das Recht des Beschwerdeführers auf Geheimhaltung. Der Betroffene könne sich auf jede Bestimmung der DSGVO stützen, wenn dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG führen könne. Gegenständlich hätten sowohl die Kompatibilitätsprüfung iSd Art 6 Abs. 4 DSGVO, als auch der Abschluss einer Vereinbarung mit dem BMSGPK gemäß Art 26 DSGVO sowie die Durchführung einer Datenschutz-Folgenabschätzung, die Verletzung der schutzwürdigen Geheimhaltungsinteressen des Beschwerdeführers verhindert. Überdies liege angesichts der gemeinsamen Verantwortlichkeit mit dem BMSGPK ein Verstoß gegen die in § 39 Abs. 1 AVG dargelegte Offizialmaxime vor. Weiters sei der bekämpfte Bescheid mangelhaft begründet, da die belangte Behörde nicht einmal angeführt habe, auf welcher Rechtsgrundlage sie die Datenverarbeitung des Mitbeteiligten als gerechtfertigt ansehe.6. Gegen Spruchpunkt römisch eins. (gemeint wohl: 1.) dieses Bescheides erhob der Beschwerdeführer im Wege seiner rechtsanwaltlichen Vertretung fristgerecht Beschwerde an das Bundesverwaltungsgericht und brachte zusammengefasst vor, dass der Mitbeteiligte die in Artikel 14, DSGVO vorgesehene Informationspflicht missachtet und damit gegen den Grundsatz der Transparenz in Artikel 5, Absatz eins, Litera a, 3.Fall DSGVO verstoßen habe. Zudem sei im Hinblick auf Paragraph 18, Absatz eins, GTelG und Paragraph 750, Absatz eins a und Absatz 2, gegen den Zweckbindungsgrundsatz nach Artikel 5, Absatz eins, Litera b, DSGVO verstoßen worden, es liege fallbezogen eine Zweckänderung vor, weswegen der Mitbeteiligte damit sowohl Artikel 6, Absatz 4, als auch Artikel 14, Absatz 4, DSGVO verletzt habe. Der Mitbeteiligte wäre verpflichtet gewesen, mit dem BMSGPK eine schriftliche Vereinbarung über die gemeinsame Datenverarbeitung gemäß Artikel 26, DSGVO abzuschließen. Ebenso hätte der Mitbeteiligte zuvor eine Datenschutz-Folgenabschätzung vornehmen müssen. Nach der Judikatur der belangten Behörde verletze auch der – hier vorliegende - Verstoß gegen die Informationspflicht das Recht des Beschwerdeführers auf Geheimhaltung. Der Betroffene könne sich auf jede Bestimmung der DSGVO stützen, wenn dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach Paragraph eins, Absatz eins, DSG führen könne. Gegenständlich hätten sowohl die Kompatibilitätsprüfung iSd Artikel 6, Absatz 4, DSGVO, als auch der Abschluss einer Vereinbarung mit dem BMSGPK gemäß Artikel 26, DSGVO sowie die Durchführung einer Datenschutz-Folgenabschätzung, die Verletzung der schutzwürdigen Geheimhaltungsinteressen des Beschwerdeführers verhindert. Überdies liege angesichts der gemeinsamen Verantwortlichkeit mit dem BMSGPK ein Verstoß gegen die in Paragraph 39, Absatz eins, AVG dargelegte Offizialmaxime vor. Weiters sei der bekämpfte Bescheid mangelhaft begründet, da die belangte Behörde nicht einmal angeführt habe, auf welcher Rechtsgrundlage sie die Datenverarbeitung des Mitbeteiligten als gerechtfertigt ansehe.
7. Mit Schreiben vom 20.07.2022 (eingelangt am 28.07.2022) legte die belangte Behörde die Beschwerde sowie den Verwaltungsakt dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme dahingehend ab, dass das Beschwerdevorbringen zur Gänze bestritten und auf den angefochtenen Bescheid verwiesen werde.
8. Am 28.04.2023 übermittelte das Bundesverwaltungsgericht die Beschwerde dem Mitbeteiligten zur Kenntnis und gab ihm Gelegenheit zur Abgabe einer Stellungnahme.
9. Mit Stellungnahme vom 16.05.2023 äußerte sich der Mitbeteiligte im Wesentlichen dahingehend, dass er nicht – auch unter Hinweis auf Erwägungsgrund 62 der DSGVO - gegen die in Art 14 DSGVO normierten Informationspflicht verstoßen habe, weshalb somit auch kein Verstoß gegen Art 5 Abs. 1 lit. a 3. Fall DSGVO vorliege. Die vom Beschwerdeführer geforderte Zweckbindung nach Art 5 Abs. 1 lit. b DSGVO werde durch § 750 Abs. 2 ASVG erfüllt. Die vorgebrachte Notwendigkeit der Durchführung einer Kompatibilitätsprüfung aufgrund erfolgter Zweckänderung bestehe nicht. Im Übrigen wären alle für die Zulässigkeit einer zweckändernden Weiterverarbeitung sensibler Daten erforderlichen Voraussetzungen – deren Erfordernis ausdrücklich bestritten wird – kumulativ erfüllt. Weiters sei der Mitbeteiligte durch das ASVG als datenschutzrechtlicher Verantwortlicher gemäß Art 4 Z 7 DSGVO vorgesehen. Die konkrete Erfüllung des Gesetzes, insbesondere die Vorgehensweise, sei eigenständig von ihm durchgeführt worden, die gegenständliche Datenverarbeitung sei unter alleiniger datenschutzrechtlicher Verantwortung des Mitbeteiligten durchgeführt worden. Der Abschluss einer Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO sei somit mangels Vorliegens einer gemeinsamen Verantwortung nicht erforderlich gewesen. Im Vorfeld der betreffenden Datenverarbeitung sei zudem eine entsprechende Risikoeinschätzung durchgeführt worden, es sei jedoch keine Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung gegeben gewesen. Da keine der vom Beschwerdeführer vorgebrachten vermeintlichen Verstöße vorliegen würden, liege auch keine Verletzung des Rechts auf Geheimhaltung vor. Die Datenverarbeitung sei aufgrund der eindeutigen gesetzlichen Regelung in § 750 Abs 1a und Abs 2 ASVG erfolgt.9. Mit Stellungnahme vom 16.05.2023 äußerte sich der Mitbeteiligte im Wesentlichen dahingehend, dass er nicht – auch unter Hinweis auf Erwägungsgrund 62 der DSGVO - gegen die in Artikel 14, DSGVO normierten Informationspflicht verstoßen habe, weshalb somit auch kein Verstoß gegen Artikel 5, Absatz eins, Litera a, 3. Fall DSGVO vorliege. Die vom Beschwerdeführer geforderte Zweckbindung nach Artikel 5, Absatz eins, Litera b, DSGVO werde durch Paragraph 750, Absatz 2, ASVG erfüllt. Die vorgebrachte Notwendigkeit der Durchführung einer Kompatibilitätsprüfung aufgrund erfolgter Zweckänderung bestehe nicht. Im Übrigen wären alle für die Zulässigkeit einer zweckändernden Weiterverarbeitung sensibler Daten erforderlichen Voraussetzungen – deren Erfordernis ausdrücklich bestritten wird – kumulativ erfüllt. Weiters sei der Mitbeteiligte durch das ASVG als datenschutzrechtlicher Verantwortlicher gemäß Artikel 4, Ziffer 7, DSGVO vorgesehen. Die konkrete Erfüllung des Gesetzes, insbesondere die Vorgehensweise, sei eigenständig von ihm durchgeführt worden, die gegenständliche Datenverarbeitung sei unter alleiniger datenschutzrechtlicher Verantwortung des Mitbeteiligten durchgeführt worden. Der Abschluss einer Vereinbarung über die gemeinsame Verantwortung nach Artikel 26, DSGVO sei somit mangels Vorliegens einer gemeinsamen Verantwortung nicht erforderlich gewesen. Im Vorfeld der betreffenden Datenverarbeitung sei zudem eine entsprechende Risikoeinschätzung durchgeführt worden, es sei jedoch keine Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung gegeben gewesen. Da keine der vom Beschwerdeführer vorgebrachten vermeintlichen Verstöße vorliegen würden, liege auch keine Verletzung des Rechts auf Geheimhaltung vor. Die Datenverarbeitung sei aufgrund der eindeutigen gesetzlichen Regelung in Paragraph 750, Absatz eins a und Absatz 2, ASVG erfolgt.
Beigefügt wurde eine Stellungnahme an die belangte Behörde sowie die obengenannte Risikoeinschätzung.
II. Das Bundesverwaltungsgericht hat erwogen:römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt I. dargestellte Verfahrensgang wird den Feststellungen zu Grunde gelegt.Der unter Punkt römisch eins. dargestellte Verfahrensgang wird den Feststellungen zu Grunde gelegt.
Insbesondere wird folgender Sachverhalt festgestellt:
Der Mitbeteiligte ist eine Körperschaft des öffentlichen Rechts und hat Rechtspersönlichkeit.
Dieser hat die Daten des Beschwerdeführers verarbeitet und an diesen ein Schreiben, in welchem er ihn über das Risiko schwer an COVID-19 zu erkranken und die Möglichkeit der Inanspruchnahme einer kostenlosen Impfung gegen SARS-CoV-2 informiert, geschickt.
Zur Ermittlung der Daten des Beschwerdeführers hat der Mitbeteiligte im zentralen Impfregister überprüft, ob zum Beschwerdeführer zum Stichtag 22.11.2021 zumindest ein Impfeintrag vorhanden war und hat, da ein solcher Impfeintrag nicht vorhanden war, in einem nächsten Schritt die Wohnadresse des Beschwerdeführers im zentralen Patientenindex ermittelt.
In der Folge hat der Mitbeteiligte einen Lückenbrief mit allgemeinen Brieftext und Impfvorschlag sowie die Daten des Beschwerdeführers an einen Druckdienstleister im Rahmen einer Auftragsdatenverarbeitung übermittelt.
Beim Impfvorschlag handelt es sich nicht um eine personenbezogene Zuweisung eines Impftermins, weshalb in diesem Zusammenhang auch keine Daten des Beschwerdeführers an Dritte weitergegeben worden sind.
Nach der Übermittlung der Daten an den Druckdienstleister hat der Mitbeteiligte die Daten des Beschwerdeführers gelöscht. Der Druckdienstleister hat gegenüber dem Mitbeteiligten die Löschung der Daten des Beschwerdeführers bestätigt.
Der Beschwerdeführer hat in keiner Phase der Verarbeitung seiner personenbezogenen Daten (Zugriff auf das zentrale Impfregister, Zugriff auf den Patientenindex) mitgewirkt bzw. hierfür eine Zustimmung erteilt.
2. Beweiswürdigung:
Die Feststellungen ergeben sich aus dem Verwaltungsakt sowie dem hg. Gerichtsakt und sind unstrittig.
3. Rechtliche Beurteilung:
3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit. 3.1. Gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß Paragraph 27, Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft. Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. römisch eins 2013/33 in der Fassung BGBl. römisch eins 2013/122, geregelt (Paragraph eins, leg.cit.). Gemäß Paragraph 58, Absatz 2, VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles sowie anderer näher genannte (im vorliegenden Fall nicht relevante) Gesetze und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.Gemäß Paragraph 17, VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Artikel 130, Absatz eins, B-VG die Bestimmungen des AVG mit Ausnahme der Paragraphen eins bis 5 sowie des römisch IV. Teiles sowie anderer näher genannte (im vorliegenden Fall nicht relevante) Gesetze und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist. Gemäß Paragraph 28, Absatz eins, VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß Paragraph 31, Absatz eins, VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist. Gemäß Paragraph 28, Absatz 2, VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Zu den Prozessvoraussetzungen:
Die Beschwerde wurde gemäß § 7 Abs. 4 VwGVG fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.Die Beschwerde wurde gemäß Paragraph 7, Absatz 4, VwGVG fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.
3.3. Zu Spruchteil A)
3.3.1. Rechtslage:
§ 1 DSG lautet:Paragraph eins, DSG lautet:
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.Paragraph eins, (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
§ 24 Abs. 1 und 5 DSG lauten:Paragraph 24, Absatz eins und 5 DSG lauten:
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.Paragraph 24, (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen Paragraph eins, oder Artikel 2 1. Hauptstück verstößt.
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
§ 4 Abs. 1 DSG:Paragraph 4, Absatz eins, DSG:
„§ 4. (1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.“
Art. 4 Z 1 DSGVO lautet:Artikel 4, Ziffer eins, DSGVO lautet:
„Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
Art. 5 Abs. 1 lit. b DSGVO lautet:Artikel 5, Absatz eins, Litera b, DSGVO lautet:
„Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a)
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b)
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c)
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d)
sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e)
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f)
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2 Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Art. 6 DSGVO lautet:Artikel 6, DSGVO lautet:
„Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a)
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b)
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c)
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d)
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e)
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f)
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel römisch IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a)
Unionsrecht oder
b)
das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbe
