Entscheidungsdatum
30.09.2024Norm
B-VG Art133 Abs4Spruch
W256 2248861-1/8E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline KIMM als Vorsitzende sowie die fachkundige Laienrichterin Dr. Claudia ROSENMAYR-KLEMENZ und die fachkundige Laienrichterin Mag. Adriana MANDL als Beisitzerinnen über die Beschwerde der XXXX , vertreten durch Ing. Mag. XXXX , Rechtsanwalt in 2700 Wiener Neustadt, gegen den Bescheid der Datenschutzbehörde vom 1. September 2021, Zl. D124.3862 (2021-0.451.790) zu Recht erkannt:Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline KIMM als Vorsitzende sowie die fachkundige Laienrichterin Dr. Claudia ROSENMAYR-KLEMENZ und die fachkundige Laienrichterin Mag. Adriana MANDL als Beisitzerinnen über die Beschwerde der römisch 40 , vertreten durch Ing. Mag. römisch 40 , Rechtsanwalt in 2700 Wiener Neustadt, gegen den Bescheid der Datenschutzbehörde vom 1. September 2021, Zl. D124.3862 (2021-0.451.790) zu Recht erkannt:
A)
Die Beschwerde wird als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig. Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
Entscheidungsgründe
I. Verfahrensgangrömisch eins. Verfahrensgang
In ihrer an die belangte Behörde gerichteten Beschwerde vom 25. März 2021 behauptete die Beschwerdeführerin eine Verletzung in ihrem Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG durch Rechtsanwalt Dr. XXXX (im Folgenden: Mitbeteiligter). Der Mitbeteiligte sei der anwaltliche Vertreter ihres Ehemannes. Seit dem Jahr 2020 bestehe eine schriftliche Korrespondenz über die Möglichkeit einer Ehescheidung, die zwischen ihrem Rechtsvertreter und dem Mitbeteiligten geführt worden sei. Die Beschwerdeführerin lebe bereits seit drei Jahren von ihrem Ehemann getrennt. Im Herbst 2020 habe sie bemerkt, dass sich ihr Ehemann in der Nähe der von ihr bewohnten Liegenschaft aufhalte. Darüber hinaus habe das detaillierte Wissen über eine „außereheliche“ Beziehung den starken Verdacht geweckt, dass ihr Ehemann nach wie vor Zugang zur damals von ihm installierten Videoüberwachungsanlage habe. Damit habe ihr Rechtsvertreter den Mitbeteiligten mit Schreiben vom 3. Dezember 2020 konfrontiert und ihn gleichzeitig zur Übermittlung von sämtlichem angefertigten Bildmaterial auf einem Datenträger innerhalb einer Woche aufgefordert. Statt eines Datenträgers habe der Mitbeteiligte mit E-Mail vom 05. Jänner 2021 eine ungesicherte "zip-Datei" mit dem Dateinamen "Fotos. zip" samt einem Begleitschreiben an ihren Rechtsvertreter übermittelt. Diese zip-Datei habe 42 Fotodateien der Überwachungskamera in ihrem Garten enthalten, wobei die Beschwerdeführerin auf 41 Fotodateien im Garten auf ihrer Liegenschaft bei intimen und sexuellen Handlungen mit einer weiteren Person abgebildet sei. Die Beschwerdeführerin sei schockiert darüber, welche Aufnahmen ihr Ehemann ohne ihr Wissen und ihre Zustimmung gespeichert habe und welche durch den Mitbeteiligten ohne ihre Zustimmung verarbeitet und überdies ohne technische Daten-Schutzvorkehrungen (Passwort, verschlüsselte Übermittlung etc) weitergeleitet worden seien. Sie habe keine Einwilligung dazu gegeben, dass der Mitbeteiligte derartige Fotos besitzen oder verarbeiten (z. B. in seinem Emailsystem versenden) dürfe oder auch nur sonst in irgendeiner Weise darüber verfügen dürfe. Zugrunde gelegen sei nämlich nur ihre Aufforderung, kommuniziert durch ihren Rechtsvertreter, dass ihr Ehemann die Daten auf einem Datenträger übermitteln solle und eben damit geradezu ausgeschlossen werden sollte, dass Dritte von Fotos ihrer Videoüberwachungsanlage Kenntnis erlangen sollten. Es liege durch die Verwendung der allgemeinen Emailadresse " XXXX com" auch die Vermutung nahe, dass nicht nur der Mitbeteiligte vom Inhalt dieser zip-Datei Kenntnis erlangt habe, sondern auch seine Dienstnehmer. Die Datenverarbeitung des Mitbeteiligten, die dazu führe, dass er Bildmaterial besessen und weitergeleitet habe, welches die Beschwerdeführerin bei intimen und sexuellen Handlungen deutlich abbilde, stelle sohin eine Verletzung des Art. 9 DSGVO dar. Der Beschwerde beigelegt wurden 3 bespielhafte und geschwärzte Bilder sowie der genannte Schriftverkehr.In ihrer an die belangte Behörde gerichteten Beschwerde vom 25. März 2021 behauptete die Beschwerdeführerin eine Verletzung in ihrem Recht auf Geheimhaltung gemäß Paragraph eins, Absatz eins, DSG durch Rechtsanwalt Dr. römisch 40 (im Folgenden: Mitbeteiligter). Der Mitbeteiligte sei der anwaltliche Vertreter ihres Ehemannes. Seit dem Jahr 2020 bestehe eine schriftliche Korrespondenz über die Möglichkeit einer Ehescheidung, die zwischen ihrem Rechtsvertreter und dem Mitbeteiligten geführt worden sei. Die Beschwerdeführerin lebe bereits seit drei Jahren von ihrem Ehemann getrennt. Im Herbst 2020 habe sie bemerkt, dass sich ihr Ehemann in der Nähe der von ihr bewohnten Liegenschaft aufhalte. Darüber hinaus habe das detaillierte Wissen über eine „außereheliche“ Beziehung den starken Verdacht geweckt, dass ihr Ehemann nach wie vor Zugang zur damals von ihm installierten Videoüberwachungsanlage habe. Damit habe ihr Rechtsvertreter den Mitbeteiligten mit Schreiben vom 3. Dezember 2020 konfrontiert und ihn gleichzeitig zur Übermittlung von sämtlichem angefertigten Bildmaterial auf einem Datenträger innerhalb einer Woche aufgefordert. Statt eines Datenträgers habe der Mitbeteiligte mit E-Mail vom 05. Jänner 2021 eine ungesicherte "zip-Datei" mit dem Dateinamen "Fotos. zip" samt einem Begleitschreiben an ihren Rechtsvertreter übermittelt. Diese zip-Datei habe 42 Fotodateien der Überwachungskamera in ihrem Garten enthalten, wobei die Beschwerdeführerin auf 41 Fotodateien im Garten auf ihrer Liegenschaft bei intimen und sexuellen Handlungen mit einer weiteren Person abgebildet sei. Die Beschwerdeführerin sei schockiert darüber, welche Aufnahmen ihr Ehemann ohne ihr Wissen und ihre Zustimmung gespeichert habe und welche durch den Mitbeteiligten ohne ihre Zustimmung verarbeitet und überdies ohne technische Daten-Schutzvorkehrungen (Passwort, verschlüsselte Übermittlung etc) weitergeleitet worden seien. Sie habe keine Einwilligung dazu gegeben, dass der Mitbeteiligte derartige Fotos besitzen oder verarbeiten (z. B. in seinem Emailsystem versenden) dürfe oder auch nur sonst in irgendeiner Weise darüber verfügen dürfe. Zugrunde gelegen sei nämlich nur ihre Aufforderung, kommuniziert durch ihren Rechtsvertreter, dass ihr Ehemann die Daten auf einem Datenträger übermitteln solle und eben damit geradezu ausgeschlossen werden sollte, dass Dritte von Fotos ihrer Videoüberwachungsanlage Kenntnis erlangen sollten. Es liege durch die Verwendung der allgemeinen Emailadresse " römisch 40 com" auch die Vermutung nahe, dass nicht nur der Mitbeteiligte vom Inhalt dieser zip-Datei Kenntnis erlangt habe, sondern auch seine Dienstnehmer. Die Datenverarbeitung des Mitbeteiligten, die dazu führe, dass er Bildmaterial besessen und weitergeleitet habe, welches die Beschwerdeführerin bei intimen und sexuellen Handlungen deutlich abbilde, stelle sohin eine Verletzung des Artikel 9, DSGVO dar. Der Beschwerde beigelegt wurden 3 bespielhafte und geschwärzte Bilder sowie der genannte Schriftverkehr.
Dazu führte der Mitbeteiligte in seiner Stellungnahme vom 25. Mai 2021 aus, es sei richtig, dass er in der noch außergerichtlichen Ehescheidungsverhandlung Herrn XXXX , den „noch“ Ehemann der Beschwerdeführerin, vertrete. Richtig sei auch, dass er über Aufforderung des Vertreters der Beschwerdeführerin, RA Ing. Mag. XXXX , Fotos zugesendet habe, die die Beschwerdeführerin nackt beim Geschlechtsverkehr zeigen würden. Dies sei allerdings allein aufgrund des Aufforderungsschreibens des Rechtsanwalts der Beschwerdeführerin vom 3. Dezember 2020 erfolgt. Er habe aufgrund dieses Aufforderungsschreibens umgehend seinen Mandanten mit Brief vom 04. Dezember 2020 über den Sachverhalt informiert und ihn ersucht, dem Wunsch nach Übersendung des Bildmaterials nachzukommen. Daraufhin habe er nach Urgenzen von seinem Mandanten per E-Mail am 22. Dezember 2020 die Stellungnahme zu seinem Brief vom 04. Dezember 2020 bekommen und auf einer ZIP-Datei die besagten Fotos. Zufolge der Tatsache, dass die Übersendung drei Tage vor Weihnachten stattgefunden habe, sei die Weiterleitung nicht unverzüglich an den Antragstellervertreter erledigt worden. Nachdem dieser die Übermittlung urgiert habe, habe dieser seine Mitarbeiter in der Kanzlei angewiesen, die Bilder gesichert an den Vertreter der Beschwerdeführerin zu übermitteln, wobei die Mitarbeiter natürlich der Schweigepflicht unterliegen würden. Dazu führte der Mitbeteiligte in seiner Stellungnahme vom 25. Mai 2021 aus, es sei richtig, dass er in der noch außergerichtlichen Ehescheidungsverhandlung Herrn römisch 40 , den „noch“ Ehemann der Beschwerdeführerin, vertrete. Richtig sei auch, dass er über Aufforderung des Vertreters der Beschwerdeführerin, RA Ing. Mag. römisch 40 , Fotos zugesendet habe, die die Beschwerdeführerin nackt beim Geschlechtsverkehr zeigen würden. Dies sei allerdings allein aufgrund des Aufforderungsschreibens des Rechtsanwalts der Beschwerdeführerin vom 3. Dezember 2020 erfolgt. Er habe aufgrund dieses Aufforderungsschreibens umgehend seinen Mandanten mit Brief vom 04. Dezember 2020 über den Sachverhalt informiert und ihn ersucht, dem Wunsch nach Übersendung des Bildmaterials nachzukommen. Daraufhin habe er nach Urgenzen von seinem Mandanten per E-Mail am 22. Dezember 2020 die Stellungnahme zu seinem Brief vom 04. Dezember 2020 bekommen und auf einer ZIP-Datei die besagten Fotos. Zufolge der Tatsache, dass die Übersendung drei Tage vor Weihnachten stattgefunden habe, sei die Weiterleitung nicht unverzüglich an den Antragstellervertreter erledigt worden. Nachdem dieser die Übermittlung urgiert habe, habe dieser seine Mitarbeiter in der Kanzlei angewiesen, die Bilder gesichert an den Vertreter der Beschwerdeführerin zu übermitteln, wobei die Mitarbeiter natürlich der Schweigepflicht unterliegen würden.
Die Beschwerdeführerin führte dazu in ihrer Stellungnahme vom 22. Juni 2021 aus, sie habe nicht gewusst, dass ihr Ehemann sie beim Geschlechtsverkehr filme. Insofern habe sie den Mitbeteiligten auch nicht aufgefordert, solche Bilder zu schicken. Der Mitbeteiligte wäre, besonders aufgrund seiner Funktion als Rechtsanwalt, verpflichtet gewesen, die „hochbrisanten“ Bilder unter besonderen Schutzvorkehrungen zu übermitteln. Bei derart höchst schutzwürdigen Bildern wäre es zwingend nötig gewesen, eine sichere Übermittlungsform zu verwenden und keinesfalls eine elektronische Übermittlungsform zu wählen. Der Mitbeteiligte hätte z.B. anbieten können, dass der Datenträger in seiner Kanzlei abgeholt werde. Eine gesicherte Übermittlung habe nicht stattgefunden. Die Beschwerdeführerin moniere in ihrer Beschwerde nicht, dass sich der Mitbeteiligte widerrechtlich Zugang zu diesen Fotos verschafft habe, sondern dass er sich diese Fotos per E-Mail von ihrem Ehemann zusenden habe lassen, diese Fotos angesehen und in weiterer Folge ungeschützt an den Rechtsvertreter der Beschwerdeführerin per E-Mail übersendet habe.
Mit dem angefochtenen Bescheid wurde die Beschwerde der Beschwerdeführerin wegen einer Verletzung im Recht auf Geheimhaltung als unbegründet abgewiesen. Beschwerdegegenständlich sei die Frage, ob der Mitbeteiligte die Beschwerdeführerin durch Verarbeitung – insbesondere durch die elektronische Übermittlung mehrerer Bildaufnahmen, auf denen die Beschwerdeführerin abgebildet sei – in ihrem Recht auf Geheimhaltung verletzt habe. Der Mitbeteiligte vertrete den Ehemann der Beschwerdeführerin, wobei sich dieser und die Beschwerdeführerin zum Zeitpunkt der Einbringung der gegenständlichen Beschwerde in außergerichtlichen Ehescheidungsverhandlungen befunden hätte. Der Rechtsvertreter der Beschwerdeführerin habe ein (wörtlich wiedergegebenes) Schreiben vom 3. Dezember 2020 an den Mitbeteiligten adressiert und darin diesen zur Übermittlung sämtlichen Bildmaterials der Beschwerdeführerin auf einem Datenträger aufgefordert. Daraufhin habe der Mitbeteiligte mit (wörtlich wiedergegebenem) Schreiben vom 7. Jänner 2021 mehrere Bildaufnahmen der Beschwerdeführerin in einer Zip-Datei an den Rechtsvertreter der Beschwerdeführerin übermittelt. Rechtlich hielt die belangte Behörde fest, dass die maßgeblichen Normen betreffend die Standespflichten eines Rechtsanwaltes in § 9 RAO normiert seien. Ein Rechtsanwalt sei demnach verpflichtet, die übernommenen Vertretungen dem Gesetz gemäß zu führen und die Rechte seiner Partei gegen jedermann mit Eifer, Treue und Gewissenhaftigkeit zu vertreten. Der Rechtsanwalt sei weiters verpflichtet, das ihm durch den Bevollmächtigungsvertrag übertragene Geschäft umsichtig zu besorgen. Wer einen Rechtsanwalt betraut, dürfe davon ausgehen, dass dieser im besonderen Maße geeignet sei, ihn vor Nachteilen zu schützen und alle nach der Rechtsordnung erforderlichen Schritte zur Verwirklichung des ihm bekannten Geschäftszweckes zu unternehmen. Er sei befugt, alles, was er nach dem Gesetz zur Vertretung seiner Partei für dienlich erachtet, unumwunden vorzubringen, ihre Angriffs- und Verteidigungsmittel in jeder Weise zu gebrauchen, welche seinem Antrag, seinem Gewissen und den Gesetzen nicht widerstreiten. § 9 Abs. 1 zweiter Satz RAO stelle einen Rechtfertigungsgrund dar. Aus datenschutzrechtlicher Sicht sei für die Verarbeitung personenbezogener Daten durch einen Rechtsanwalt im Rahmen des vertraglichen Verhältnisses mit dem Mandanten insbesondere Art. 6 Abs. 1 lit. b DSGVO relevant. Darüber hinaus sei Art. 6 Abs. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen – insbesondere auch Dritter – denkbar. Im Hinblick auf sensible Daten komme Art. 9 Abs. 2 lit. f DSGVO in Betracht, welcher eine Ausnahme vom Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO für die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen beinhalte. Wie festgestellt, habe der Rechtsvertreter der Beschwerdeführerin zur Übermittlung sämtlicher Bilder längstens binnen 7 Tagen aufgefordert. Es könne daher davon ausgegangen werden, dass die Datenverarbeitung zum Zweck der Verteidigung gegen mögliche rechtliche Schritte durch die Beschwerdeführerin durchgeführt wurde, was ein berechtigtes Interesse darstelle. Die Übermittlung sei weiters zur Erreichung des Zweckes erforderlich. Insbesondere im Hinblick auf die Verschwiegenheitsverpflichtungen, denen die mitbeteiligte Partei unterliege, sei auch kein Überwiegen der Interessen der Beschwerdeführerin zu erblicken, zumal sie selbst durch ihren Rechtsvertreter zur Übermittlung aufgefordert hatte (wenn auch auf einem anderen Übermittlungsweg). Hinsichtlich einer Verletzung des Grundrechts auf Geheimhaltung durch unzureichende „besondere datenschutzrechtliche Schutzvorkehrungen“ sei festzuhalten, dass aus der DSGVO kein Recht abzuleiten sei, wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art. 32 DSGVO von einem Verantwortlichen verlangen könnte. Zwar sei es grundsätzlich möglich, dass eine betroffene Person aufgrund unzureichender Datensicherheitsmaßnahmen eines Verantwortlichen im Grundrecht auf Geheimhaltung verletzt werde (etwa, weil es dadurch zur Offenlegung an unbefugte Dritte komme), diesfalls müsse jedoch eine konkrete Verletzung erfolgt sein und zweitens würde der betroffenen Person auch in diesem Fall kein Recht auf Wahl einer spezifischen Datensicherheitsmaßnahme erwachsen. Im vorliegenden Fall habe nicht festgestellt werden können, dass durch die E-Mail-Übermittlung die Beschwerdeführerin infolge mangelnder Datensicherheitsmaßnahmen in datenschutzrechtlichen Rechten verletzt worden sei. Im Ergebnis sei somit spruchgemäß zu entscheiden gewesen.Mit dem angefochtenen Bescheid wurde die Beschwerde der Beschwerdeführerin wegen einer Verletzung im Recht auf Geheimhaltung als unbegründet abgewiesen. Beschwerdegegenständlich sei die Frage, ob der Mitbeteiligte die Beschwerdeführerin durch Verarbeitung – insbesondere durch die elektronische Übermittlung mehrerer Bildaufnahmen, auf denen die Beschwerdeführerin abgebildet sei – in ihrem Recht auf Geheimhaltung verletzt habe. Der Mitbeteiligte vertrete den Ehemann der Beschwerdeführerin, wobei sich dieser und die Beschwerdeführerin zum Zeitpunkt der Einbringung der gegenständlichen Beschwerde in außergerichtlichen Ehescheidungsverhandlungen befunden hätte. Der Rechtsvertreter der Beschwerdeführerin habe ein (wörtlich wiedergegebenes) Schreiben vom 3. Dezember 2020 an den Mitbeteiligten adressiert und darin diesen zur Übermittlung sämtlichen Bildmaterials der Beschwerdeführerin auf einem Datenträger aufgefordert. Daraufhin habe der Mitbeteiligte mit (wörtlich wiedergegebenem) Schreiben vom 7. Jänner 2021 mehrere Bildaufnahmen der Beschwerdeführerin in einer Zip-Datei an den Rechtsvertreter der Beschwerdeführerin übermittelt. Rechtlich hielt die belangte Behörde fest, dass die maßgeblichen Normen betreffend die Standespflichten eines Rechtsanwaltes in Paragraph 9, RAO normiert seien. Ein Rechtsanwalt sei demnach verpflichtet, die übernommenen Vertretungen dem Gesetz gemäß zu führen und die Rechte seiner Partei gegen jedermann mit Eifer, Treue und Gewissenhaftigkeit zu vertreten. Der Rechtsanwalt sei weiters verpflichtet, das ihm durch den Bevollmächtigungsvertrag übertragene Geschäft umsichtig zu besorgen. Wer einen Rechtsanwalt betraut, dürfe davon ausgehen, dass dieser im besonderen Maße geeignet sei, ihn vor Nachteilen zu schützen und alle nach der Rechtsordnung erforderlichen Schritte zur Verwirklichung des ihm bekannten Geschäftszweckes zu unternehmen. Er sei befugt, alles, was er nach dem Gesetz zur Vertretung seiner Partei für dienlich erachtet, unumwunden vorzubringen, ihre Angriffs- und Verteidigungsmittel in jeder Weise zu gebrauchen, welche seinem Antrag, seinem Gewissen und den Gesetzen nicht widerstreiten. Paragraph 9, Absatz eins, zweiter Satz RAO stelle einen Rechtfertigungsgrund dar. Aus datenschutzrechtlicher Sicht sei für die Verarbeitung personenbezogener Daten durch einen Rechtsanwalt im Rahmen des vertraglichen Verhältnisses mit dem Mandanten insbesondere Artikel 6, Absatz eins, Litera b, DSGVO relevant. Darüber hinaus sei Artikel 6, Absatz eins, Litera f, DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen – insbesondere auch Dritter – denkbar. Im Hinblick auf sensible Daten komme Artikel 9, Absatz 2, Litera f, DSGVO in Betracht, welcher eine Ausnahme vom Verarbeitungsverbot des Artikel 9, Absatz eins, DSGVO für die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen beinhalte. Wie festgestellt, habe der Rechtsvertreter der Beschwerdeführerin zur Übermittlung sämtlicher Bilder längstens binnen 7 Tagen aufgefordert. Es könne daher davon ausgegangen werden, dass die Datenverarbeitung zum Zweck der Verteidigung gegen mögliche rechtliche Schritte durch die Beschwerdeführerin durchgeführt wurde, was ein berechtigtes Interesse darstelle. Die Übermittlung sei weiters zur Erreichung des Zweckes erforderlich. Insbesondere im Hinblick auf die Verschwiegenheitsverpflichtungen, denen die mitbeteiligte Partei unterliege, sei auch kein Überwiegen der Interessen der Beschwerdeführerin zu erblicken, zumal sie selbst durch ihren Rechtsvertreter zur Übermittlung aufgefordert hatte (wenn auch auf einem anderen Übermittlungsweg). Hinsichtlich einer Verletzung des Grundrechts auf Geheimhaltung durch unzureichende „besondere datenschutzrechtliche Schutzvorkehrungen“ sei festzuhalten, dass aus der DSGVO kein Recht abzuleiten sei, wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Artikel 32, DSGVO von einem Verantwortlichen verlangen könnte. Zwar sei es grundsätzlich möglich, dass eine betroffene Person aufgrund unzureichender Datensicherheitsmaßnahmen eines Verantwortlichen im Grundrecht auf Geheimhaltung verletzt werde (etwa, weil es dadurch zur Offenlegung an unbefugte Dritte komme), diesfalls müsse jedoch eine konkrete Verletzung erfolgt sein und zweitens würde der betroffenen Person auch in diesem Fall kein Recht auf Wahl einer spezifischen Datensicherheitsmaßnahme erwachsen. Im vorliegenden Fall habe nicht festgestellt werden können, dass durch die E-Mail-Übermittlung die Beschwerdeführerin infolge mangelnder Datensicherheitsmaßnahmen in datenschutzrechtlichen Rechten verletzt worden sei. Im Ergebnis sei somit spruchgemäß zu entscheiden gewesen.
Dagegen richtet sich die vorliegende Beschwerde. In der zwischen den Rechtsvertretern der Beschwerdeführerin und des Ehemannes geführten Korrespondenz habe die Beschwerdeführerin den Ehemann dazu aufgefordert, sämtliches Bildmaterial, das er von ihr anhand einer Videoüberwachungsanlage angefertigt habe, auf einem Datenträger zu übermitteln. Erst nach Erhalt dieses Bildmateriales habe sie Kenntnis vom Inhalt dieser höchstpersönlichen und sensiblen Bilder erlangt. Einer derartigen Datenverarbeitung durch den Mitbeteiligten habe die Beschwerdeführerin nicht zugestimmt und sei eine solche für die Verteidigung der wechselseitigen Rechtsstandpunkte auch nicht erforderlich gewesen. Aus diesem Grund habe sie Beschwerde an die belangte Behörde erhoben. Es gehe im vorliegenden Fall – wie von der belangten Behörde verfehlt angenommen worden sei – nicht um bestimmte Übermittlungsvorgänge, sondern um die Tatsache, dass der Mitbeteiligte die Beschwerdeführerin durch die Verarbeitung der Fotos in ihrem Recht auf Geheimhaltung verletzt habe. Um die Forderung der Beschwerdeführerin zu erfüllen, hätte es nämlich genügt, wenn der Ehemann der Beschwerdeführerin die Fotos auf einem Datenträger direkt übermittelt hätte oder hätte dieser dem Mitbeteiligten den Datenträger direkt übergeben müssen, damit dieser wiederum ihr oder ihrem Rechtsvertreter diese Daten physisch übermitteln hätte können. Stattdessen führe die Vorgangsweise, dass der Mitbeteiligte die Daten, die ihre sexuelle Integrität berühren, per E-Mail vom Ehemann entgegennehme, diese Daten im E-Mail System verarbeite und in weiterer Folge in dieser Form ungeschützt an den Rechtsvertreter der Beschwerdeführerin per E-Mail versende, zu einem Eingriff in ihr Recht auf Geheimhaltung. Dieser Eingriff sei das Ergebnis davon, dass die mitbeteiligte Partei die notwendigen Datensicherheitsmaßnahmen nicht ergriffen habe. Dabei werde aber unterstrichen, dass sich ihre Beschwerde nicht auf die Einhaltung der Datensicherheitsmaßnahmen bezogen habe, sondern allein darauf, dass die Verarbeitung erfolgt sei, ohne dass ein Rechtfertigungsgrund dafür vorgelegen sei. Sie habe kein Recht geltend gemacht, wonach sie eine spezifische Datensicherheitsmaßnahme bei der Übermittlung von Daten durchsetzen habe wollen, sondern sich allein über die unrechtmäßige Datenverarbeitung durch die mitbeteiligte Partei beschwert. Der von der belangten Behörde herangezogene Rechtfertigungsgrund des Art 6 Abs. 1 lit f DSGVO komme hier nicht in Betracht, da sich dieser Rechtfertigungsgrund nur auf die Verarbeitung von Daten beziehen könne, die zwischen dem Mandanten und seinem Rechtsanwalt ausgetauscht werden und nicht auf jene, die mit der gegnerischen Partei ausgetauscht werden. Die Beschwerdeführerin stelle daher im Wesentlichen den Antrag, dass der Beschwerde – gegebenenfalls nach Durchführung einer mündlichen Verhandlung - Folge gegeben werde. Dagegen richtet sich die vorliegende Beschwerde. In der zwischen den Rechtsvertretern der Beschwerdeführerin und des Ehemannes geführten Korrespondenz habe die Beschwerdeführerin den Ehemann dazu aufgefordert, sämtliches Bildmaterial, das er von ihr anhand einer Videoüberwachungsanlage angefertigt habe, auf einem Datenträger zu übermitteln. Erst nach Erhalt dieses Bildmateriales habe sie Kenntnis vom Inhalt dieser höchstpersönlichen und sensiblen Bilder erlangt. Einer derartigen Datenverarbeitung durch den Mitbeteiligten habe die Beschwerdeführerin nicht zugestimmt und sei eine solche für die Verteidigung der wechselseitigen Rechtsstandpunkte auch nicht erforderlich gewesen. Aus diesem Grund habe sie Beschwerde an die belangte Behörde erhoben. Es gehe im vorliegenden Fall – wie von der belangten Behörde verfehlt angenommen worden sei – nicht um bestimmte Übermittlungsvorgänge, sondern um die Tatsache, dass der Mitbeteiligte die Beschwerdeführerin durch die Verarbeitung der Fotos in ihrem Recht auf Geheimhaltung verletzt habe. Um die Forderung der Beschwerdeführerin zu erfüllen, hätte es nämlich genügt, wenn der Ehemann der Beschwerdeführerin die Fotos auf einem Datenträger direkt übermittelt hätte oder hätte dieser dem Mitbeteiligten den Datenträger direkt übergeben müssen, damit dieser wiederum ihr oder ihrem Rechtsvertreter diese Daten physisch übermitteln hätte können. Stattdessen führe die Vorgangsweise, dass der Mitbeteiligte die Daten, die ihre sexuelle Integrität berühren, per E-Mail vom Ehemann entgegennehme, diese Daten im E-Mail System verarbeite und in weiterer Folge in dieser Form ungeschützt an den Rechtsvertreter der Beschwerdeführerin per E-Mail versende, zu einem Eingriff in ihr Recht auf Geheimhaltung. Dieser Eingriff sei das Ergebnis davon, dass die mitbeteiligte Partei die notwendigen Datensicherheitsmaßnahmen nicht ergriffen habe. Dabei werde aber unterstrichen, dass sich ihre Beschwerde nicht auf die Einhaltung der Datensicherheitsmaßnahmen bezogen habe, sondern allein darauf, dass die Verarbeitung erfolgt sei, ohne dass ein Rechtfertigungsgrund dafür vorgelegen sei. Sie habe kein Recht geltend gemacht, wonach sie eine spezifische Datensicherheitsmaßnahme bei der Übermittlung von Daten durchsetzen habe wollen, sondern sich allein über die unrechtmäßige Datenverarbeitung durch die mitbeteiligte Partei beschwert. Der von der belangten Behörde herangezogene Rechtfertigungsgrund des Artikel 6, Absatz eins, Litera f, DSGVO komme hier nicht in Betracht, da sich dieser Rechtfertigungsgrund nur auf die Verarbeitung von Daten beziehen könne, die zwischen dem Mandanten und seinem Rechtsanwalt ausgetauscht werden und nicht auf jene, die mit der gegnerischen Partei ausgetauscht werden. Die Beschwerdeführerin stelle daher im Wesentlichen den Antrag, dass der Beschwerde – gegebenenfalls nach Durchführung einer mündlichen Verhandlung - Folge gegeben werde.
Die belangte Behörde hat dem Bundesverwaltungsgericht die Beschwerde samt dem Verwaltungsakt vorgelegt.
In ihrer im Rahmen des Parteiengehörs erstatteten Stellungnahme zur Beschwerde wiederholte die mitbeteiligte Partei im Wesentlichen ihr bisheriges Vorbringen.
Aufgrund der Verfügung des Geschäftsverteilungsausschusses vom 20. Oktober 2023 wurde die gegenständliche Rechtssache der Gerichtsabteilung W245 abgenommen und neu der Gerichtsabteilung W256 zugewiesen.
II. Das Bundesverwaltungsgericht hat erwogen:römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen
Der Mitbeteiligte ist Rechtsanwalt und vertritt als solcher den Ehemann der Beschwerdeführerin.
Seit dem Jahr 2020 bestand zwischen dem Rechtsanwalt der Beschwerdeführerin und dem Mitbeteiligten eine außergerichtliche schriftliche Korrespondenz über die Möglichkeit einer Ehescheidung zwischen der Beschwerdeführerin und dem Mandanten des Mitbeteiligten.
Mit Schreiben vom 3. Dezember 2020 richtete die Vertretung der Beschwerdeführerin im Zuge dieser Korrespondenz folgendes (auszugsweise wiedergegebenes) Schreiben an die mitbeteiligte Partei:
„…
Betrifft: XXXX – Ehescheidung Betrifft: römisch 40 – Ehescheidung
[..]
Sehr geehrter Herr Kollege,
[..]
2. unzulässige Videoüberwachung meiner Mandantin:
Ihr Mandant hat weiterhin den Zugang zum Videoüberwachungssystem betreffend das eheliche Wohnhaus behalten und seit seinem Auszug meine Mandantin offenbar lückenlos überwacht.
Mit seinem grundlosen Auszug im Februar 2018 hat Ihr Mandant jegliche Legitimation verloren, den Wohnbereich meiner Mandantin zu überwachen.
Nunmehr werden die daraus gewonnenen Informationen offenkundig auch noch dazu eingesetzt, höchstpersönliche Angelegenheiten meiner Mandantin zu dokumentieren und Behauptungen angeblicher Eheverfehlungen meiner Mandantin damit zu stützen.
Ich fordere Ihren Mandanten daher hiermit auf, unverzüglich – längstens binnen 7 Tage – sämtliches Bildmaterial, das er von meiner Mandantin seit seinem Auszug aus der Ehewohnung angefertigt hat, auf einem Datenträger zu übermitteln. [..]“
Darüber informierte der Mitbeteiligte seinen Mandanten, den Ehemann der Beschwerdeführerin mit Brief vom 4. Dezember 2020. Gleichzeitig ersuchte er darin den Ehemann, dem Wunsch der Beschwerdeführerin nachzukommen.
Mit E-Mail vom 22. Dezember 2020 übermittelte der Ehemann dem Mitbeteiligten das angeforderte Bildmaterial auf einer ZIP-Datei. Auf dieser ZIP-Datei befanden sich mehrere Fotos der Beschwerdeführerin, darunter 41 Fotodateien, die sie bei intimen und sexuellen Handlungen in ihrem Garten zeigen.
Die zur Verschwiegenheit verpflichtete Kanzlei des Mitbeteiligten hat im Auftrag des Mitbeteiligten dem Rechtsanwalt der Beschwerdeführerin am 5. Jänner 2021 folgendes Schreiben des Mitbeteiligten samt der obigen ZIP-Datei per E-Mail übermittelt:
„..
Sehr geehrter Herr Kollege!
Zu Ihrem E-Mail vom 3.12.2020 übersende ich beiliegend die ZIP-Datei, auf der die Fotos Ihrer Mandantin enthalten sind, […].“
2. Beweiswürdigung
Die Feststellungen ergeben sich aus dem Verwaltungsakt, insbesondere dem übereinstimmenden Vorbringen der Parteien und sind diese im Übrigen unstrittig.
3. Rechtliche Beurteilung
Zu Spruchpunkt A)
Die hier wesentlichen Bestimmungen lauten wie folgt:
§ 1 Datenschutzgesetz – DSG, BGBl. I Nr. 165/1999 idgF (DSG) lautet auszugsweise wie folgt:Paragraph eins, Datenschutzgesetz – DSG, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF (DSG) lautet auszugsweise wie folgt:
„Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.Paragraph eins, (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
[…]“
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; DSGVO) lautet auszugsweise wie folgt:
„
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
[…]
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
[…]
Artikel 9
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
[..]
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
[..]“
§ 9 Rechtsanwaltsordnung, RGBl. Nr. 96/1868 zuletzt geändert durch BGBl. I Nr. 19/2020 (RAO):Paragraph 9, Rechtsanwaltsordnung, RGBl. Nr. 96/1868 zuletzt geändert durch Bundesgesetzblatt Teil eins, Nr. 19 aus 2020, (RAO):
„(1) Der Rechtsanwalt ist verpflichtet, die übernommenen Vertretungen dem Gesetz gemäß zu führen und die Rechte seiner Partei gegen jedermann mit Eifer, Treue und Gewissenhaftigkeit zu vertreten. Er ist befugt, alles, was er nach dem Gesetz zur Vertretung seiner Partei für dienlich erachtet, unumwunden vorzubringen, ihre Angriffs- und Verteidigungsmittel in jeder Weise zu gebrauchen, welche seinem Auftrag, seinem Gewissen und den Gesetzen nicht widerstreiten.
(2) [..]
(3) Der Rechtsanwalt ist zur Verschwiegenheit über die ihm anvertrauten Angelegenheiten und die ihm sonst in seiner beruflichen Eigenschaft bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse seiner Partei gelegen ist, verpflichtet. Er hat in gerichtlichen und sonstigen behördlichen Verfahren nach Maßgabe der verfahrensrechtlichen Vorschriften das Recht auf diese Verschwiegenheit. Gleiches gilt für die Gesellschafter sowie die Mitglieder der durch Gesetz oder Gesellschaftsvertrag vorgesehenen Aufsichtsorgane einer Rechtsanwalts-Gesellschaft. Handelt es sich bei diesen Gesellschaftern oder Aufsichtsorganen nicht um Rechtsanwälte, so hat sie der Rechtsanwalt zur Verschwiegenheit zu verpflichten und für die verlässliche Einhaltung dieser Verpflichtung hinreichend vorzukehren; Entsprechendes gilt für die vom Rechtsanwalt herangezogenen Hilfskräfte.
[..]“
Zunächst ist vorauszuschicken, dass sich die Beschwerdeführerin in ihrer Datenschutzbeschwerde ausschließlich gegen eine Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG wegen einer unrechtmäßigen Datenverarbeitung (im Sinne des Art 5 Abs. 1 lit a iVm Art 6 DSGVO) gewendet hat und deckt sich dies im Übrigen auch mit dem eigenen Vorbringen der Beschwerdeführerin in ihrer Beschwerde an das Bundesverwaltungsgericht. Darin stellte die Beschwerdeführerin ausdrücklich klar, dass sich ihre Datenschutzbeschwerde allein gegen eine Verletzung im Recht auf Geheimhaltung wegen einer unrechtmäßigen Datenverarbeitung richtet, ein (zusätzlicher) Verstoß gegen die Datensicherheitsmaßnahmen damit aber von ihr nicht geltend gemacht worden sei. Zunächst ist vorauszuschicken, dass sich die Beschwerdeführerin in ihrer Datenschutzbeschwerde ausschließlich gegen eine Verletzung im Recht auf Geheimhaltung nach Paragraph eins, Absatz eins, DSG wegen einer unrechtmäßigen Datenverarbeitung (im Sinne des Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, DSGVO) gewendet hat und deckt sich dies im Übrigen auch mit dem eigenen Vorbringen der Beschwerdeführerin in ihrer Beschwerde an das Bundesverwaltungsgericht. Darin stellte die Beschwerdeführerin ausdrücklich klar, dass sich ihre Datenschutzbeschwerde allein gegen eine Verletzung im Recht auf Geheimhaltung wegen einer unrechtmäßigen Datenverarbeitung richtet, ein (zusätzlicher) Verstoß gegen die Datensicherheitsmaßnahmen damit aber von ihr nicht geltend gemacht worden sei.
Vor diesem Hintergrund erübrigt es sich im vorliegenden Fall auf einen Verstoß gegen den in Art 5 Abs. 1 lit f normierten Grundsatz der Datensicherheit näher einzugehen (siehe dazu VwGH, 06.03.2024, Ro 2021/04/0030, Rn 51ff wonach mit einer Datenschutzbeschwerde sowohl ein Verstoß gegen § 1 Abs. 1, als auch gegen die (Grundsätze der) DSGVO (gesondert) geltend gemacht werden kann), zumal die belangte Behörde darüber im angefochtenen Bescheid ohnedies nicht abgesprochen hat. Vor diesem Hintergrund erübrigt es sich im vorliegenden Fall auf einen Verstoß gegen den in Artikel 5, Absatz eins, Litera f, normierten Grundsatz der Datensicherheit näher einzugehen (siehe dazu VwGH, 06.03.2024, Ro 2021/04/0030, Rn 51ff wonach mit einer Datenschutzbeschwerde sowohl ein Verstoß gegen Paragraph eins, Absatz eins,, als auch gegen die (Grundsätze der) DSGVO (gesondert) geltend gemacht werden kann), zumal die belangte Behörde darüber im angefochtenen Bescheid ohnedies nicht abgesprochen hat.
zum geltend gemachten Recht auf Geheimhaltung:
Die Beschwerdeführerin wendet sich im vorliegenden Fall konkret dagegen, dass der mitbeteiligte Rechtsanwalt ohne Rechtfertigung sie betreffendes höchstpersönliches Bildmaterial von ihrem Ehemann angefordert, elektronisch angenommen und in weiterer Folge an den Rechtsanwalt der Beschwerdeführerin elektronisch weitergeleitet hat.
Unbestritten ist, dass der Mitbeteiligte die in Rede stehende Datenverarbeitung in seiner Funktion als Rechtsanwalt durchgeführt hat und zwar aufgrund des Mandats des Ehemannes der Beschwerdeführerin, diesen in der Scheidungsangelegenheit mit der Beschwerdeführerin außergerichtlich zu vertreten. Außer Zweifel steht auch, dass der mitbeteiligte Rechtsanwalt im Zuge der in dieser Scheidungsangelegenheit geführten Korrespondenz vom Rechtsanwalt der Beschwerdeführerin darüber informiert wurde, dass die Beschwerdeführerin davon ausgehe, dass ihr Ehemann sie betreffende „höchstpersönliche Angelegenheiten“ mittels einer Videoüberwachungsanlage dokumentiere und insofern der Mandant des Mitbeteiligten aufgefordert werde, sämtliches Bildmaterial, das er von ihr seit dem Auszug aus der Ehewohnung angefertigt habe, auf einem Datenträger zu übermitteln. Aufgrund dieser Aufforderung hat der Mitbeteiligte das in Rede stehende Bildmaterial von seinem Mandanten angefordert und in weiterer Folge an den Rechtsanwalt der Beschwerdeführerin weitergeleitet.
Vorauszuschicken ist an dieser Stelle auch, dass an der eigenständigen Verantwortlichkeit des mitbeteiligten Rechtsanwaltes im Sinne des Art 4 Z 7 DSGVO in Bezug auf die in Rede stehende Datenverarbeitung keine Bedenken bestehen. Zwar fand die vorliegende Datenverarbeitung aufgrund des Mandats und damit im Auftrag des Ehemannes statt. Die Entscheidung über die Zwecke und Mittel der im Zuge dieses Mandats erfolgten Datenverarbeitung(en) lag jedoch schon aufgrund der in § 9 Abs. 1 2. Satz RAO normierten Unabhängigkeit seiner Tätigkeit, beim mitbeteiligten Rechtsanwalt selbst (vgl. dazu Hartung in Kühling/Buchner, Datenschutzgrundverordnung BDSG4 [2020], Art 28, Rn. 47) und ist dazu im Verfahren im Übrigen auch nichts Gegenteiliges hervorgekommen.Vorauszuschicken ist an dieser Stelle auch, dass an der eigenständigen Verantwortlichkeit des mitbeteiligten Rechtsanwaltes im Sinne des Artikel 4, Ziffer 7, DSGVO in Bezug auf die in Rede stehende Datenverarbeitung keine Bedenken bestehen. Zwar fand die vorliegende Datenverarbeitung aufgrund des Mandats und damit im Auftrag des Ehemannes statt. Die Entscheidung über die Zwecke und Mittel der im Zuge dieses Mandats erfolgten Datenverarbeitung(en) lag jedoch schon aufgrund der in Paragraph 9, Absatz eins, 2. Satz RAO normierten Unabhängigkeit seiner Tätigkeit, beim mitbeteiligten Rechtsanwalt selbst vergleiche dazu Hartung in Kühling/Buchner, Datenschutzgrundverordnung BDSG4 [2020], Artikel 28,, Rn. 47) und ist dazu im Verfahren im Übrigen auch nichts Gegenteiliges hervorgekommen.
§ 1 Abs. 1 DSG legt fest, dass jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Eine Beschränkung dieses Anspruchs ergibt sich aus Abs. 2 leg. cit., wobei die DSGVO und insbesondere auch die darin verankerten Grundsätze zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen sind (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz [DSG]2 § 1, Rz 39 [Stand 1.2.2022, rdb.at]). Nach § 1 Abs. 2 DSG sind Beschränkungen des Grundrechts auf Datenschutz im Wesentlichen zulässig, wenn die Datenverarbeitung ausreichend legitimiert bzw. rechtmäßig ist und diese in der gelindesten, zum Ziel führenden Art vorgenommen wird. Paragraph eins, Absatz eins, DSG legt fest, dass jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Eine Beschränkung dieses Anspruchs ergibt sich aus Absatz 2, leg. cit., wobei die DSGVO und insbesondere auch die darin verankerten Grundsätze zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen sind (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz [DSG]2 Paragraph eins,, Rz 39 [Stand 1.2.2022, rdb.at]). Nach Paragraph eins, Absatz 2, DSG sind Beschränkungen des Grundrechts auf Datenschutz im Wesentlichen zulässig, wenn die Datenverarbeitung ausreichend legitimiert bzw. rechtmäßig ist und diese in der gelindesten, zum Ziel führenden Art vorgenommen wird.
Die Anforderungen für eine rechtmäßige Datenverarbeitung sind in Art. 6 DSGVO konkretisiert. Danach erfordert die Rechtmäßigkeit jeder Verarbeitung, dass die Verarbeitung mindestens einem der in Art. 6 Abs. 1 DSGVO abschließend festgelegten Rechtsgründe genügen muss. Die Anforderungen für eine rechtmäßige Datenverarbeitung sind in Artikel 6, DSGVO konkretisiert. Danach erfordert die Rechtmäßigkeit jeder Verarbeitung, dass die Verarbeitung mindestens einem der in Artikel 6, Absatz eins, DSGVO abschließend festgelegten Rechtsgründe genügen muss.
Gemäß Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Prinzip der Datenminimierung). § 1 Abs. 2 DSG letzter Satz ordnet diesem Grundsatz entsprechend an, dass jeder Eingriff in das Grundrecht auf Datenschutz jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden darf (Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 1 [Stand 12.6.2018], rdb.at). Die Verarbeitung personenbezogener Daten soll auf das Unvermeidbare reduziert werden. Dadurch wird sichergestellt, dass die Verarbeitung durch den festgelegten Zweck tatsächlich begrenzt wird (vgl. OGH 22.12.2021, 6 Ob214/21w, unter Hinweis auf Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art. 5 DSGVO Rz 21 und 34). Daten sind erheblich, wenn sie für die Zweckerreichung förderlich, also im Sinne der grundrechtlichen Verhältnismäßigkeitsdogmatik geeignet sind. Kann man sich hingegen die Verarbeitung bestimmter Daten wegdenken, ohne dass die Zweckerreichung erschwert wird, dann sind diese nicht erheblich (Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art. 5 DSGVO Rz 34ff. [Stand 7.5.2020], rdb.at).Gemäß Artikel 5, Absatz eins, Litera c, DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Prinzip der Datenminimierung). Paragraph eins, Absatz 2, DSG letzter Satz ordnet diesem Grundsatz entsprechend an, dass jeder Eingriff in das Grundrecht auf Datenschutz jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden darf (Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG Paragraph eins, [Stand 12.6.2018], rdb.at). Die Verarbeitung personenbezogener Daten soll auf das Unvermeidbare reduziert werden. Dadurch wird sichergestellt, dass die Verarbeitung durch den festgelegten Zweck tatsächlich begrenzt wird vergleiche OGH 22.12.2021, 6 Ob214/21w, unter Hinweis auf Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Artikel 5, DSGVO Rz 21 und 34). Daten sind erheblich, wenn sie für die Zweckerreichung förderlich, also im Sinne der grundrechtlichen Verhältnismäßigkeitsdogmatik geeignet sind. Kann man sich hingegen die Verarbeitung bestimmter Daten wegdenken, ohne dass die Zweckerreichung erschwert wird, dann sind diese nicht erheblich (Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Artikel 5, DSGVO Rz 34ff. [Stand 7.5.2020], rdb.at).
