W245 2263552-1 – Bundesverwaltungsgericht Entscheidung

W245 2263552-1/20E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Bernhard SCHILDBERGER, LL.M. als Vorsitzenden sowie Mag.a Viktoria HAIDINGER als fachkundige Laienrichterin und Mag. Thomas GSCHAAR als fachkundigen Laienrichter über die Beschwerde des XXXX vertreten durch Baker McKenzie Rechtsanwälte LLP Co KG, Schottenring 25, 1010 Wien, gegen den Bescheid der Datenschutzbehörde vom 22.08.2022, Zl. 2022-0.577.930 (DSB-D771.831), betreffend Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG, nach Durchführung einer mündlichen Verhandlung, zu Recht erkannt:

A) Die Beschwerde wird als unbegründet abgewiesen.

B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

Verfahrensgegenstand:

Der Beschwerdeführer, das Amt der XXXX Landesregierung hat personenbezogene Daten (Name, Adresse und Sozialversicherungsnummer) von XXXX (in der Folge „die mitbeteiligte Partei“) im Patientenindex (§ 18 GTelG 2012) ermittelt. Anschließend hat der Beschwerdeführer den Impfstatus der mitbeteiligten Partei im zentralen Impfregister (§§ 24c ff GTelG 2012) erhoben. Mit Hilfe dieser Datenverarbeitung wurde festgestellt, dass die mitbeteiligte Partei in XXXX lebte, zumindest 18 Jahre alt war und über keine COVID-Schutzimpfung verfügte. In der Folge übermittelte der Beschwerdeführer einen Brief an die mitbeteiligte Partei. Dieser Brief enthielt Informationen über eine COVID-Schutzimpfung sowie einen vorgeschlagenen Impfort und -termin. Verfahrensgegenständlich wird geprüft, ob der Beschwerdeführer mit seiner Datenverarbeitung das Recht der mitbeteiligten Partei auf Geheimhaltung verletzt hat.

I. Verfahrensgang:

I.1. Mit Eingabe vom 21.12.2021 brachte die mitbeteiligte Partei eine Beschwerde bei der Österreichischen Datenschutzbehörde (in der Folge auch „belangte Behörde“) ein.

In ihrer Beschwerde führte die mitbeteiligte Partei aus, dass sie vom Beschwerdeführer mit einem Schreiben zu einem Impftermin eingeladen worden sei. Die mitbeteiligte Partei habe den Verdacht, dass der Einladung eine unzulässige Weitergabe und Verarbeitung ihrer besonders geschützten persönlichen Gesundheitsdaten (Art. 5, 6 und 9 DSGVO) vorangegangen sei. Gemäß § 750 ASVG habe nur der Dachverband der Sozialversicherungsträger ein Recht zu einer entsprechenden Datenverarbeitung. Andere Behörden oder Gebietskörperschaften hätten dazu kein Recht. Auch sehe § 21 GTelG 2012 keine Zugriffsberechtigung vor und es liege kein Anwendungsfall nach §§ 8 und 10 DSG vor.

Die mitbeteiligte Partei beantragte bei der belangten Behörde die Feststellung einer Grundrechtsverletzung, die Untersagung der Datenverarbeitung gemäß § 22 Abs. 4 DSG sowie die Verhängung einer Geldbuße gemäß § 22 Abs. 5 DSG.

I.2. Nach Aufforderung zur Stellungnahme brachte der Beschwerdeführer in einem verwaltungsbehördlichen (Parallel-)Verfahren vor, dass er in Bezug auf die verfahrensgegenständliche Datenverarbeitung alleiniger Verantwortlicher sei. Die XXXX habe über Auftrag der XXXX , die wiederum im Auftrag des Beschwerdeführers tätig gewesen sei, die Empfänger des Impferinnerungsschreibens dadurch ermittelt, indem sie über den Patientenindex alle Personen erhoben habe, die über eine Adresse in XXXX verfügt hätten und über 18 Jahre alt gewesen seien. Im Anschluss seien alle jene Personen herausgefiltert worden, die über einen Eintrag für eine Impfung mit einem in der EU zugelassenen Impfstoff gegen COVID-19 verfügt hätten. Der Beschwerdeführer könne die Datenverarbeitung auf Art. 9 Abs. 2 lit. g und i DSGVO iVm § 24d Abs. 2 Z 3 GTelG 2012, § 8 DSG und die gesetzlichen Zuständigkeitsregelungen, wie insbesondere das Reichssanitätsgesetz und das Übergangsgesetzes 1920, stützen.

I.3. In der Folge übermittelte die belangte Behörde die Stellungnahme des Beschwerdeführers (siehe Punkt I.2) der mitbeteiligten Partei zur Stellungnahme. Im Rahmen des Parteiengehörs gab die mitbeteiligte Partei keine Replik zur Stellungnahme des Beschwerdeführers ab.

I.4. Mit dem im Spruch genannten Bescheid gab die belangte Behörde der Beschwerde der mitbeteiligten Partei teilweise statt und stellte fest, dass der Beschwerdeführer die mitbeteiligte Partei dadurch in ihrem Recht auf Geheimhaltung verletzt habe, indem er unrechtmäßig auf ihre Daten im zentralen Impfregister und im Patientenindex zugegriffen und diese Daten zum Zweck des Versands eines Schreibens mit Informationen betreffend einen Termin für eine Corona-Schutzimpfung verarbeitet habe (Spruchpunkt 1.). Den Antrag der mitbeteiligten Partei, die Datenverarbeitung gemäß § 22 Abs. 4 DSG zu untersagen, wies die belangte Behörde ab (Spruchpunkt 2.) und den Antrag der mitbeteiligten Partei, über den Beschwerdeführer eine Geldbuße zu verhängen, wies sie zurück (Spruchpunkt 3.).

Begründend führte die belangte Behörde zu Spruchpunkt 1. aus, dass der Beschwerdeführer ohne Vorliegen einer tragenden gesetzlichen Grundlage auf die Daten der mitbeteiligten Partei im zentralen Impfregister zugegriffen habe. Daher sei auch die nachfolgende Datenverarbeitung durch den Beschwerdeführer rechtswidrig gewesen. Entgegen der Ansicht des Beschwerdeführers würden § 24d Abs. 2 Z 3 GTelG 2012, § 8 DSG sowie die gesetzlichen Zuständigkeitsregelungen keine Grundlage für die verfahrensgegenständlichen Datenverarbeitungen bieten. Die Anwendung des § 24d Abs. 2 Z 3 GTelG 2012 setze nämlich nach § 24d Abs. 1 Z 4 GTelG 2012 eine spezifische Zugriffsberechtigung gemäß § 24f Abs. 4 GTelG 2012 voraus, über die der Beschwerdeführer nicht verfügt habe.

Der Antrag auf Untersagung der Datenverarbeitung sei mangels unmittelbarer Gefährdung ab- und der Antrag auf Verhängung einer Geldbuße mangels subjektiven Rechts zurückzuweisen gewesen.

Der Bescheid wurde dem Beschwerdeführer am 22.08.2022 zugestellt.

I.5. Gegen den Bescheid der belangten Behörde richtete sich die am 19.09.2022 fristgerecht erhobene Beschwerde. In der Beschwerde beantragte der Beschwerdeführer, den bekämpften Bescheid dahingehend abzuändern, dass die verfahrenseinleitende datenschutzrechtliche Beschwerde zur Gänze abgewiesen werde. Begründend führte er – sinngemäß und soweit nicht bereits im verwaltungsbehördlichen Verfahren vorgebracht – aus, dass er in der pandemiebedingten Krisenzeit („harter Lockdown“) vom XXXX Landeshauptmann angewiesen worden sei, ein Impferinnerungsschreiben an die Einwohner XXXX in Entsprechung des Impfplans zu senden. Das Verwaltungshandeln des Beschwerdeführers sei daher dem Landeshauptmann zuzurechnen. Jedoch würden die datenschutzrechtliche Verantwortlichkeit und die Zurechnung des Verwaltungshandelns in diesem Fall – zulässigerweise – auseinanderfallen.

Der Landeshauptmann verfüge für den hier (vorwiegend) relevanten und zulässigen Zweck des Krisenmanagements nach § 24d Abs. 2 Z 5 GTelG 2012 gemäß § 24f Abs. 4 Z 6 lit. a GTelG 2012 über eine spezifische Zugriffsberechtigung, woraus sich die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch den Beschwerdeführer ergebe.

Der Beschwerdeführer könne sich darüber hinaus auf den Sondertatbestand des § 24d Abs. 2 Z 3 GTelG 2012 für Impferinnerungen stützen. Auch wenn für diesen Tatbestand niemandem eine spezifische Zugriffberechtigung nach § 24f Abs. 4 GTelG 2012 zukomme, sei das Fehlen einer Zugriffsberechtigung nicht als absolutes Verbot zu sehen. Die Datenverarbeitung sei darüber hinaus auch durch § 8 DSG gerechtfertigt.

Zur Datenverarbeitung führte der Beschwerdeführer aus, dass er über die XXXX als Auftragsverarbeiterin bzw. die XXXX als Sub-Auftragsverarbeiterin auf die Daten der betroffenen Person im zentralen Impfregister zugegriffen habe und diese Daten mit den Daten der betroffenen Person im Patientenindex zur Ermittlung der aktuellen Wohnadresse abgeglichen habe.

I.6. Im Zuge der Aktenvorlage an das Bundesverwaltungsgericht (in der Folge auch „BVwG“) gab die belangte Behörde eine Stellungnahme zur Bescheidbeschwerde ab. Darin führte sie aus, dass die Ausführungen des Beschwerdeführers, dass nicht er, sondern der Landeshauptmann von XXXX der Verantwortliche des Impfschreibens gewesen wäre, mit dem Layout des Impferinnerungsschreibens, mit seinem Vorbringen im verwaltungsbehördlichen Verfahren (siehe Punkt I.2) und der von ihm veröffentlichten Datenschutzerklärung nicht vereinbar seien.

Aus § 24d Abs. 2 Z 5 GTelG 2012 sei nicht ableitbar, dass der Landeshauptmann berechtigt gewesen sei, zum Zweck des Versands des verfahrensgegenständlichen Impferinnerungsschreibens auf die Daten des zentralen Impfregisters zuzugreifen. Die Bestimmung sei weder ausreichend präzise noch hinreichend konkret.

Würde man der Argumentation des Beschwerdeführers folgen, wären die Einführung des § 750 ASVG durch BGBl. I Nr. 35/2021 sowie dessen Novellierung durch BGBl. I Nr. 197/2021 und die Einführung des § 4g Epidemiegesetzes durch BGBl. I Nr. 89/2022, die präzise darlegen, unter welchen Voraussetzungen die Ermittlung bzw. die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt sei, überhaupt nicht notwendig gewesen. Es könne dem Gesetzgeber in diesem Zusammenhang nicht unterstellt werden, Sinnloses – weil redundant – regeln zu wollen.

Das Vorbringen des Beschwerdeführers zur einschränkenden Interpretation des § 24d GTelG 2012, wonach nicht jedenfalls eine spezifische Zugriffsberechtigung bestehen müsse, sei auf Grund des klaren Gesetzeswortlauts nicht mit dem Legalitätsprinzip des Art. 18 Abs. 2 B-VG vereinbar.

Schließlich verwies die belangte Behörde auf ein ihr – in einem anderen Verfahren – vorgelegtes Rechtsgutachten, das im Ergebnis belege, dass die durchgeführte Datenverarbeitung auch nicht, wie vom Beschwerdeführer vermeint, auf andere gesetzliche Bestimmungen gestützt werden könne.

I.7. Im Zuge der Anberaumung einer mündlichen Verhandlung wurde dem Beschwerdeführer die Möglichkeit eingeräumt, eine Replik zur Stellungnahme der belangten Behörde (siehe Punkt I.6) abzugeben. Dazu langte am 05.01.2023 eine Stellungnahme des Beschwerdeführers ein.

I.8. Am 10.01.2023 führte das BVwG eine öffentliche mündliche Verhandlung durch. Am 17.01.2023 reichte der Beschwerdeführer das Angebot „Unterstützung bei Abwicklung des ‚Post-Versandes von Impferinnerungsschreiben an ungeimpfte Personen im Bundesland XXXX ‘“ nach.

II. Das Bundesverwaltungsgericht hat erwogen:

II.1. Feststellungen:

Der entscheidungsrelevante Sachverhalt steht fest.

II.1.1. Zum Verfahrensgang:

Der unter Punkt I dargestellte Verfahrensgang wird festgestellt und der Entscheidung zu Grunde gelegt.

II.1.2. Zum Impferinnerungsschreiben des Beschwerdeführers an die mitbeteiligte Partei:

„[Wappen]

Amt der XXXX Landesregierung

XXXX [1. Optionsfeld: Name und Adresse]

Ihr persönlicher Termin für die COVID-Schutzimpfung ist da!

Die COVID-Schutzimpfung ist derzeit die wichtigste Maßnahme, um die Pandemie zu beherrschen und ein weitgehend normales Leben wieder zu ermöglichen. Das Europäische Gremium für Gesundheit sowie das Nationale Impfgremium (NIG) empfehlen in diesem Zusammenhang ausdrücklich die COVID-Schutzimpfung.

Warum ist diese Impfung so wichtig?

Durch die Impfung sinkt das persönliche Risiko, bei einer Infektion einen schweren Erkrankungsverlauf zu erleiden und somit auch das Risiko eines damit verbundenen Aufenthalts auf einer Intensivstation bzw. zu versterben. Auch die Gefahr an Long-COVID zu erkranken (das ist auch bei einem leichten Verlauf durchaus möglich) wird stark reduziert. Sie schützen mit der Impfung aufgrund des geringeren Erkrankungsrisikos nicht nur sich persönlich, sondern auch Ihre Mitmenschen.

Mit fortschreitender Dauer der Pandemie werden in ganz Österreich – zum Schutz aller – immer mehr Bereiche auf die 2G-Regel (Zutritt nur für vollständig geimpfte Personen oder Genesene) umgestellt werden. Zudem wird mit Februar 2022 die Impfpflicht bundesweit eingeführt.

Für Sie wurde ein Termin für eine COVID-Schutzimpfung reserviert:

[2. Optionsfeld: Impftermin und Impfort]

Wir laden Sie ein, von diesem Angebot Gebrauch zu machen.

Um etwaige Wartezeiten vor Ort zu vermeiden, können Sie statt des oben reservierten Termins auch einen Alternativtermin online in einem Impfzentrum oder bei niedergelassenen ÄrztInnen unter XXXX buchen. Dies gilt auch, wenn Sie akut erkrankt sind oder z.B. aufgrund einer anderen Therapie diesen Termin nicht wahrnehmen können. Im Falle, dass Sie sich inzwischen haben impfen lassen, wollen wir uns bei Ihnen dafür ganz herzlich bedanken!

Sollte Ihnen bekannt sein, dass für Sie aus medizinischen Gründen (beispielsweise Gegenanzeigen) eine COVID-Impfung nicht möglich ist, so erachten Sie das vorliegende Schreiben bitte als gegenstandslos. Wenn Sie unsicher sind, ob Sie gegen COVID geimpft werden können, so empfehlen wir zur Abklärung ein ärztliches Aufklärungs-/Beratungsgespräch zu nutzen. Bei Fragen zur COVID-Impfung in XXXX (beispielsweise Anmeldung), steht Ihnen auch die Hotline des Landes unter XXXX zur Verfügung. Bringen Sie zur Impfung bitte Ihren Lichtbildausweis und – wenn vorhanden – Ihre e-card mit.

Danke! XXXX impft. Gegen Corona. Gemeinsam.

in Kooperation mit

[Beilage Information zu „Impfmythen“]“.

Im 1. Optionsfeld wurden Name und Adresse der mitbeteiligten Partei eingesetzt. Im 2. Optionsfeld wurden ein Impftermin und Impfort für die mitbeteiligte Partei eingefügt. Der Impfort wurde aufgrund der örtlichen Nähe des Wohnorts der mitbeteiligten Partei und der Kapazitäten der Impfstelle vom Beschwerdeführer zugewiesen. Es erfolgte eine Verknüpfung des Wohnortes der mitbeteiligten Person mit einem Impfort.

II.1.3. Zur Erhebung der Adressaten für die Impferinnerungsschreiben:

Die mitbeteiligte Partei wurde aufgrund folgender Maßnahmen des Beschwerdeführers zum Empfänger eines Impferinnerungsschreibens ausgewählt:

1. Mit der Ermittlung der Adressaten des Schreibens beauftragte der Beschwerdeführer die XXXX , die den Auftrag an die XXXX weitergab.

2. In Erfüllung des Auftrags ermittelte die XXXX am 25.11.2021 zunächst sämtliche Personen aus dem Patientenindex, die über 18 Jahre alt waren und eine Adresse in XXXX angegeben hatten.

3. Im Anschluss filterte die XXXX die Personen aus, die im zentralen Impfverzeichnis über einen Eintrag für eine Impfung mit einem in der EU zugelassenen Impfstoff gegen COVID-19 verfügten.

4. Die Namen und Adressen der verbleibenden Personen übermittelte die XXXX am 25.11.2021 an den Beschwerdeführer.

II.1.4. Zur Mitwirkung bzw. zur Zustimmung der mitbeteiligten Partei an der Verarbeitung der personenbezogenen Daten:

Die mitbeteiligte Partei hat in keiner Phase der Verarbeitung ihrer personenbezogenen Daten (Zugriff auf den Patientenindex, Zugriff auf das zentrale Impfregister sowie Bearbeitung der Optionsfelder im Impferinnerungsschreiben) mitgewirkt bzw. hierfür eine Zustimmung erteilt.

II.1.5. Zur Einflussnahme auf die Verarbeitung der personenbezogenen Daten:

Hinsichtlich Festlegung des Zwecks und der Mittel der verfahrensgegenständlichen Verarbeitung wurde vom Beschwerdeführer ein Vorschlag ausgearbeitet, welcher in der Folge vom Landeshauptmann – mit einer kurzen Anweisung – freigegeben wurde.

Der Landesamtsdirektor des Amtes der XXXX Landesregierung hat die Voraussetzungen für das Impferinnerungsschreiben geklärt und entsprechende Maßnahmen im Land XXXX veranlasst. In diesem Zusammenhang hat der Landesamtsdirektor an Sitzungen mit anderen Beteiligten (Vertreter von anderen Bundesländern, XXXX ) teilgenommen.

Der Landesamtsdirektor des Amtes der XXXX Landesregierung war von Beginn der Pandemie bis Ende 2022 Leiter der Landes-Einsatzleitung. Aufgabe dieser Einsatzleitung war es, Maßnahmen im Land XXXX zur Bekämpfung der Pandemie zu setzen. Zur Bewältigung der operativen Anforderungen der Pandemie wurde im Amt der XXXX Landesregierung auch eine eigene Organisationsstruktur implementiert.

Der Prozess (Ablauf) für das Impferinnerungsschreiben an Bürger des Landes XXXX wurde vom Beschwerdeführer ausgearbeitet.

Der Beschwerdeführer (medizinischer Stab) hat den Vorschlag ausgearbeitet, dass allen Personen in XXXX , die zumindest 18 Jahre alt waren, ein Impferinnerungsschreiben übermittelt werden sollte.

Das Impferinnerungsschreiben (siehe Punkt II.1.2) wurde vom Beschwerdeführer (Abteilung XXXX ) konzipiert.

Die Verknüpfung des Wohnortes der mitbeteiligten Partei mit dem Impfort beruht auf einem Vorschlag des Beschwerdeführers und wurde in der Folge von ihm technisch umgesetzt.

Die Beauftragung der XXXX erfolgte durch den Beschwerdeführer (für das Land XXXX , vertreten durch den Beschwerdeführer, dieser vertreten durch XXXX Abteilung XXXX ) am 19.11.2021. Auf dieser Grundlage erfolgte die Erhebung und Übermittlung der Adressaten an den Beschwerdeführer (siehe Punkt II.1.3).

Der Landeshauptmann nahm an den koordinierenden Besprechungen mit der XXXX nicht teil.

Die Organisationen XXXX und XXXX haben die personenbezogenen Daten freigegeben.

Der Beschwerdeführer deklarierte sich mehrmals als Verantwortlicher der Verarbeitung der personenbezogenen Daten.

II.1.6. Zur Beauftragung der XXXX :

Mit Beauftragung am 19.11.2021 wurde die XXXX für den Beschwerdeführer als Auftragsverarbeiterin gemäß Art. 4 Z 8 DSGVO tätig.

Die XXXX hat sich gegenüber dem Beschwerdeführer verpflichtet die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.

Die XXXX hat die personenbezogen Daten (siehe dazu Punkt II.1.3) ausschließlich im Rahmen des Auftrages des Beschwerdeführers verarbeitet.

II.1.7. Zu den Rahmenbedingungen, die zum Impferinnerungsschreiben geführt haben:

Im Zeitraum 25.11.2021 bis zum 06.12.2021 galt gemäß der am 21.11.2021 erlassenen und am 01.12.2021 novellierten 5. COVID-19-Notmaßnahmenverordnung, BGBl. II 475/2021 idF BGBl. II 511/2021, ein „harter Lockdown“.

Im November 2021 wurden mit österreichweit 327.869 Infektionen die seit Beginn der Pandemie höchsten Neuinfektionszahlen registriert.

Im November 2021 gab es im Land XXXX 1.400 bis 1.600 Fälle pro Tag. Das Land XXXX hatte im Österreichvergleich keine gute Impfquote. Mit einem Impferinnerungsschreiben sollten ungeimpfte Bürger im Land XXXX über die Möglichkeit einer Impfung informiert werden und sollte die Zahl der Behandlungen von Infizierten mit schweren Verläufen in Krankenhäusern reduziert werden. Ferner stand eine „Omikron-Welle“ im Raum, deren Auswirkungen man noch nicht abschätzen konnte.

Der Beschwerdeführer verfügte über keine quantifizierbare, dokumentierte Erwartungshaltung darüber, wie viele ungeimpfte Personen sich aufgrund des Impferinnerungsschreiben impfen lassen würden.

II.2. Beweiswürdigung:

Beweis wurde erhoben durch Einsicht in den Verwaltungsakt der belangten Behörde sowie in den Gerichtsakt des BVwG.

II.2.1. Zum Verfahrensgang:

Der oben angeführte Verfahrensgang ergibt sich aus dem unbedenklichen und unzweifelhaften Akteninhalt des vorgelegten Verwaltungsaktes der belangten Behörde und des Gerichtsaktes des BVwG.

II.2.2. Zum Impferinnerungsschreiben des Beschwerdeführers an die mitbeteiligte Partei:

Diesbezügliche Feststellungen ergeben sich zweifelsfrei aus dem Impfschreiben an die mitbeteiligte Partei, welches sie der Beschwerde an die belangte Behörde beilegte sowie aus der Beilage zur Stellungnahme des Beschwerdeführers vom 31.01.2022.

Zum Impfort ist anzumerken, dass der Beschwerdeführer im Vorfeld – vor Versendung des Impferinnerungsschreibens – unter Berücksichtigung der Kapazitäten einer Impfstelle naheliegende Orte zugewiesen hat. Damit wurde sichergestellt, dass man zum vorgeschlagenen Impftermin an der jeweiligen Impfstelle über ausreichende Kapazitäten (wie Impfstoffe) verfügte (Verhandlungsniederschrift vom 10.01.2023, Seite 20). Sohin konnte festgestellt werden, dass der mitbeteiligten Partei ein Impfort unter Berücksichtigung der örtlichen Nähe ihres Wohnortes und der Kapazitäten einer Impfstelle vom Beschwerdeführer zugewiesen wurde.

II.2.3. Zur Erhebung der Adressaten für die Impferinnerungsschreiben:

Die dahingehenden Feststellungen ergeben sich zweifelsfrei aus der Beilage zur Stellungnahme des Beschwerdeführers vom 31.01.2022 sowie aus den glaubhaften Erklärungen von XXXX und XXXX in der Beschwerdeverhandlung (Verhandlungsniederschrift vom 10.01.2023, Seite 11 und 18).

II.2.4. Zur Mitwirkung bzw. zur Zustimmung der mitbeteiligten Partei an der Verarbeitung der personenbezogenen Daten:

Diesbezügliche Feststellungen ergeben sich zweifelsfrei aus den Ausführungen des Beschwerdeführers (siehe Beilage zur Stellungnahme des Beschwerdeführers vom 31.01.2022) sowie aus den glaubhaften Erklärungen von XXXX und XXXX in der Beschwerdeverhandlung (zur Erhebung der Adressdaten siehe Verhandlungsniederschrift vom 10.01.2023, Seite 11 und 18 und zur Bearbeitung der Optionsfelder für das Impferinnerungsschreiben siehe Verhandlungsniederschrift vom 10.01.2023, Seite 20). Aus diesen Erklärungen ergibt sich eindeutig, dass die mitbeteiligte Partei nie an diesen Verarbeitungsschritten mitgewirkt hat bzw. dass hierfür vom Beschwerdeführer vorher in keiner Phase eine Zustimmung der mitbeteiligten Partei eingeholt wurde. Diese Erwägungen wurden auch von XXXX in der Beschwerdeverhandlung belegt (Verhandlungsniederschrift vom 10.01.2023, Seite 17).

II.2.5. Zur Einflussnahme auf die Verarbeitung der personenbezogenen Daten:

Die dahingehenden Feststellungen ergeben sich zweifelsfrei aus den glaubhaften Angaben von XXXX und XXXX in der Beschwerdeverhandlung (Verhandlungsniederschrift vom 10.01.2023, Seite 8, 15 f und 20 f) sowie aus dem unterfertigten Angebot „Unterstützung bei Abwicklung des ‚Post-Versandes von Impferinnerungsschreiben an ungeimpfte Personen im Bundesland XXXX ‘“ und der Stellungnahme des Beschwerdeführers vom 05.01.2023 und der dazugehörigen Beilage ./3.

Die abschließende Feststellung, dass sich der Beschwerdeführer mehrmals als Verantwortlicher deklariert hat, ergibt sich aus seiner Datenschutzerklärung (siehe Beilage zur Stellungnahme des Beschwerdeführers vom 31.01.2022) und aus den Eingaben des Beschwerdeführers im verwaltungsbehördlichen und verwaltungsgerichtlichen Verfahren (siehe Beantwortung der Fragen der Datenschutzbehörde zur Stellungnahme vom 31.01.2022, Bescheidbeschwerde des Beschwerdeführers sowie Stellungnahme des Beschwerdeführers vom 05.01.2023).

II.2.6. Zur Beauftragung der XXXX :

Diesbezügliche Feststellungen beruhen auf dem Angebot „Unterstützung bei Abwicklung des ‚Post-Versandes von Impferinnerungsschreiben an ungeimpfte Personen im Bundesland XXXX ‘“ (Punkt 5.2.). Auf Grundlage dieser Vereinbarung nahm die XXXX die verfahrensgegenständliche Verarbeitung (siehe Punkt II.1.3) vor. Im Verfahren ist nicht hervorgekommen, dass die XXXX dem Beschwerdeführer die verfahrensgegenständlichen Daten aufgrund einer anderen Rechtsbeziehung übergeben hat. Insgesamt waren somit entsprechende Feststellungen zu treffen.

II.2.7. Zu den Rahmenbedingungen, die zum Impferinnerungsschreiben geführt haben:

Die dahingehenden Feststellungen beruhen auf dem Vorbringen des Beschwerdeführers in seiner Bescheidbeschwerde (Seite 2) sowie auf den Angaben von XXXX in der Beschwerdeverhandlung (Verhandlungsniederschrift vom 10.01.2023, Seite 8 f).

II.3. Rechtliche Beurteilung:

II.3.1. Zur Zuständigkeit:

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Dem angefochtenen Bescheid liegt eine Entscheidung der belangten Behörde gemäß § 1 DSG zugrunde. Diese Angelegenheit ist gemäß § 27 DSG von Senatsentscheidungen erfasst.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I Nr. 33/2013, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß § 28 Abs. 1 VwGVG haben die Verwaltungsgerichte die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß Abs. 2 leg.cit. hat das Verwaltungsgericht über Beschwerden nach Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn

1. der maßgebliche Sachverhalt feststeht oder

2. die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

Wie oben bereits ausgeführt steht der in der Angelegenheit maßgebliche Sachverhalt aufgrund der Aktenlage fest. Das Bundesverwaltungsgericht hat daher in der Sache selbst zu entscheiden.

II.3.2. Zu Spruchpunkt A) – Abweisung der Beschwerde:

II.3.2.1. Zur Verantwortlichkeit des Beschwerdeführers:

II.3.2.1.1. Zur Rechtslage im gegenständlichen Beschwerdeverfahren:

Art. 4 Z 7 DSGVO – Begriffsbestimmungen – lautet:

Im Sinne dieser Verordnung bezeichnet der Ausdruck: […]

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

§ 2 XXXX Datenverarbeitungsgesetz ( XXXX ) – Verantwortliche, gemeinsame Verantwortliche – lautet:

(1) Als Verantwortliche nach Art. 4 Z 7 der Datenschutz-Grundverordnung gelten:

a) das Amt der XXXX Landesregierung;

b) das Amt der XXXX Landesregierung gemeinsam mit dem betreffenden Verantwortlichen in Fällen, in denen das Land XXXX für einen vom Amt der XXXX Landesregierung verschiedenen Verantwortlichen eine Datenverarbeitung betreibt oder beauftragt, und zwar unmittelbar aufgrund landesgesetzlicher Anordnung oder aufgrund landesgesetzlicher Vorschriften, wonach insbesondere

1. das Amt der XXXX Landesregierung Geschäftsstelle für den betreffenden Verantwortlichen ist,

2. das Amt der XXXX Landesregierung die Kanzleigeschäfte für den betreffenden Verantwortlichen führt oder

3. das Land XXXX die Sachmittel für den betreffenden Verantwortlichen bereitzustellen hat;

c) das Amt der XXXX Landesregierung gemeinsam mit dem betreffenden Verantwortlichen in Fällen, in denen das Land XXXX für

1. Gemeinden oder Gemeindeverbände,

2. die Bildungsdirektion,

3. Leiter von Schulen oder

4. sonstige Verantwortliche, wie Interessenvertretungen und für deren Wirkungsbereich bestellte Organe, landesgesetzlich eingerichtete Körperschaften, Vereine oder sonstige Einrichtungen,

eine Datenverarbeitung betreibt oder beauftragt.

(2) In den Fällen des Abs. 1 lit. b und c sind das Amt der XXXX Landesregierung und der jeweils betreffende Verantwortliche gemeinsam Verantwortliche im Sinn des Art. 26 der Datenschutz-Grundverordnung.

(3) Das Amt der XXXX Landesregierung ist immer alleiniger Verantwortlicher, wenn eine Datenverarbeitung vom Land XXXX betrieben oder beauftragt wird, soweit

a) keine gemeinsame Verantwortung im Sinn des Abs. 1 lit. b oder c besteht und

b) keine Auftragsverarbeitung nach § 5 vorliegt.

II.3.2.1.2. Für die gegenständliche Beschwerdesache wird auf folgende einschlägige höchstgerichtliche Rechtsprechung verwiesen:

Die Festlegung der Zwecke und der Mittel läuft darauf hinaus, zu entscheiden „warum“ und „auf welche Weise“ die Verarbeitung erfolgt. Bei einer bestimmten Verarbeitung ist der Verantwortliche der Akteur, der entschieden hat, warum die Verarbeitung erfolgt (also „mit welchem Ziel“ oder „wozu“), und auf welche Weise dieses Ziel erreicht werden soll (also welche Mittel eingesetzt werden, um das Ziel zu erreichen). Eine natürliche oder juristische Person, die einen solchen Einfluss auf die Verarbeitung personenbezogener Daten nimmt, ist somit gemäß der Definition in Art. 4 Abs. 7 DSGVO an der Festlegung der Zwecke und Mittel dieser Verarbeitung beteiligt (EuGH 10.07.2018, C-25/17 (Zeugen Jehovan todistajat), Rn 68).

II.3.2.1.3. Vor diesem Hintergrund ergibt sich für die Beschwerdesache Folgendes:

Der Umstand, dass der Beschwerdeführer sich selbst – mehrmals – als Verantwortlicher deklariert, indiziert zwar diese Rolle, jedoch sind die Angaben des Beschwerdeführers dahingehend zu verifizieren, ob sich seine Verantwortlichkeit aus einer Rechtsvorschrift bzw. aus einem faktischen Einfluss gemäß Art. 4 Z 7 DSGVO tatsächlich bestimmen lässt.

Der Beschwerdeführer, dieser vertreten durch XXXX , Abteilung XXXX – hat für das Land XXXX am 19.11.2021 die XXXX beauftragt, die Adressaten für das Impferinnerungsschreiben zu erheben und zu übermitteln. Vor diesem Hintergrund ergibt sich schon aus § 2 Abs. 1 lit. a sowie Abs. 3 XXXX explizit, dass der Beschwerdeführer als Verantwortlicher für die verfahrensgegenständliche personenbezogene Datenverarbeitung zu qualifizieren ist (dahingehend zustimmend auch der Beschwerdeführer und die belangte Behörde, siehe Verhandlungsniederschrift vom 10.01.2023, Seite 14 bzw. der Datenschutzbeauftragte des Beschwerdeführers, siehe Verhandlungsniederschrift vom 10.01.2023, Seite 21).

Neben der gesetzlichen Grundlage ergibt sich die Verantwortung des Beschwerdeführers auch aus seinem faktischen Einfluss. Der Beschwerdeführer hat den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten maßgeblich (mit)bestimmt. Im vorliegenden Fall wurde vom Beschwerdeführer ein Vorschlag für die Verarbeitung der personenbezogenen Daten ausgearbeitet, die Voraussetzungen für das Impferinnerungsschreiben geklärt, der Prozess für das Impferinnerungsschreiben ausgearbeitet, vorgeschlagen, dass allen Personen in XXXX , die zumindest 18 Jahre alt waren, ein Impferinnerungsschreiben übermittelt werden sollte und schließlich auch eine Verknüpfung des Wohnortes der mitbeteiligten Partei mit einem Impfort vorgeschlagen. Damit hat der Beschwerdeführer maßgeblich den Zweck der Verarbeitung der personenbezogenen Daten bestimmt. Schließlich hat der Beschwerdeführer auch die Mittel der Verarbeitung bestimmt: So hat er die XXXX beauftragt, die Adressaten für das Impferinnerungsschreiben zu erheben und zu übermitteln und hat ein Impferinnerungsschreiben konzipiert. Ferner hat er die Verknüpfung des Wohnortes der mitbeteiligten Partei mit einem Impfort selbst vorgenommen. Vor diesem Hintergrund ergibt sich, dass die Verantwortlichkeit des Beschwerdeführers auch aus seinem faktischen Einfluss abgeleitet werden kann, da er Zweck und Mittel der Datenverarbeitung bestimmt hat (dahingehend zustimmend auch der Beschwerdeführer und die belangte Behörde, siehe Verhandlungsniederschrift vom 10.01.2023, Seite 16).

Besonders hervorzuheben ist, dass im Amt der XXXX Landesregierung zur Bewältigung der operativen Anforderungen der Pandemie eine eigene Organisationsstruktur implementiert wurde. Der Landesamtsdirektor des Amtes der XXXX Landesregierung war von Beginn der Pandemie bis Ende 2022 Leiter der Landes-Einsatzleitung. Zweck dieser Organisationsstruktur war es, operative Maßnahmen auf Ebene des Landes zu setzen. Auch das verfahrensgegenständliche Impferinnerungsschreiben stellt eine operative Maßnahme des Landes dar. Vor dem Hintergrund der dargestellten Organisationsmaßnahme des Beschwerdeführers zur Bewältigung der Pandemie auf operative Ebene ist eindeutig erkennbar, dass der Beschwerdeführer maßgeblichen Einfluss auf die Maßnahme „Impferinnerungsschreiben“ ausgeübt hat.

Insgesamt gründet sich die datenschutzrechtliche Verantwortlichkeit des Beschwerdeführers auf eine Rechtsvorschrift sowie auf seinen faktischen Einfluss.

Im vorliegenden Fall hat zwar der Landeshauptmann den Vorschlag des Beschwerdeführers – mit einer kurzen Anweisung – freigegeben. Diese Handlung des Landeshauptmannes beseitigt jedoch nicht die – rechtliche bzw. faktische – Verantwortlichkeit des Beschwerdeführers. Die Verhaltensweisen des Beschwerdeführers und des Landeshauptmannes sind als konvergierend zu betrachten. Die verfahrensgegenständliche Verarbeitung wäre ohne Beteiligung beider Parteien an den Zwecken und Mitteln nicht möglich gewesen (siehe dazu edpb, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, Rz 54 ff, https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_de.pdf, zuletzt aufgerufen am 27.01.2023; Lang in Taeger/Gabel, DSGVO•BDSG•TTDSG4, Art. 26, Rz 46 ff). Grundsätzlich sehen die meisten Bundesländer vor, dass das Amt der Landesregierung als datenschutzrechtlicher Verantwortlicher agiert (Lachmayer, Verwaltungsdatenschutzrecht im Informationszeitalter, JRP 2022, 95(99) bei Fn 38).

Auch die Datenfreigaben durch die Organisationen XXXX schränken die – rechtliche und faktische – Verantwortlichkeit des Beschwerdeführers nicht maßgeblich ein.

Schließlich ist gemäß § 27 VwGVG eine allfällige datenschutzrechtliche Verantwortlichkeit des Landeshauptmannes sowie der Organisationen XXXX nicht Gegenstand des Bescheidbeschwerdeverfahrens.

II.3.2.2. Zur Zurechnung des Zugriffs auf den Patientenindex und das zentrale Impfregister:

Die XXXX hat die Abfragen aus dem Patientenindex und aus dem zentralen Impfverzeichnis und die Zusammenführung der Daten im Auftrag der XXXX durchgeführt, die wiederum im Auftrag des Beschwerdeführers gehandelt hat. Sohin sind die Datenverarbeitungen damit datenschutzrechtlich dem Beschwerdeführer zuzurechnen (Art. 4 Z 8 DSGVO).

II.3.2.3. Zur Verletzung im Recht auf Geheimhaltung:

II.3.2.3.1. Zur Rechtslage im gegenständlichen Beschwerdeverfahren:

§ 1 DSG – Grundrecht auf Datenschutz – lautet auszugsweise:

(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

[…]

§ 8 DSG – Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von betroffenen Personen – lautet auszugsweise:

(1) Soweit gesetzlich nicht ausdrücklich anderes bestimmt ist, bedarf die Übermittlung von Adressdaten eines bestimmten Kreises von betroffenen Personen zum Zweck ihrer Benachrichtigung oder Befragung der Einwilligung der betroffenen Personen.

(2) Wenn allerdings eine Beeinträchtigung der Geheimhaltungsinteressen der betroffenen Personen angesichts der Auswahlkriterien für den Betroffenenkreis und des Gegenstands der Benachrichtigung oder Befragung unwahrscheinlich ist, bedarf es keiner Einwilligung, wenn

1. Daten desselben Verantwortlichen verarbeitet werden oder

2. bei einer beabsichtigten Übermittlung der Adressdaten an Dritte

a) an der Benachrichtigung oder Befragung auch ein öffentliches Interesse besteht oder

b) keiner der betroffenen Personen nach entsprechender Information über Anlass und Inhalt der Übermittlung innerhalb angemessener Frist Widerspruch gegen die Übermittlung erhoben hat.

[…]

(6) Sofern es gemäß den vorstehenden Bestimmungen zulässig ist, Namen und Adresse von Personen, die einem bestimmten Betroffenenkreis angehören, zu übermitteln, dürfen auch die zum Zweck der Auswahl der zu übermittelnden Adressdaten notwendigen Verarbeitungen vorgenommen werden.

Art. 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten – lautet:

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung – lautet (auszugsweise):

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

[…]

Artikel 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten – lautet (auszugsweise):

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,

g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

[…]

§ 18 GTelG 2012 – Überprüfung der Identität von ELGA-Teilnehmer/innen – lautet auszugsweise:

(1) Der Dachverband hat im übertragenen Wirkungsbereich einen Patientenindex einzurichten und zu betreiben. Dieser dient:

3. der Überprüfung der eindeutigen Identität (§ 2 Z 2 E-GovG) natürlicher Personen im Rahmen von ELGA oder anderen eHealth-Anwendungen sowie

4. der Lokalisierung von Verweisregistern, in denen sich Verweise auf ELGA-Gesundheitsdaten dieser natürlichen Personen befinden können.

[…]

(4) Die Überprüfung der Identität der ELGA-Teilnehmer/innen (§ 14 Abs. 1 Z 1) hat in elektronischer Form unter Mitwirkung des ELGA-Teilnehmers/der ELGA-Teilnehmerin zu erfolgen. Dabei sind die im Patientenindex gespeicherten Identitätsdaten mit den im Rahmen der Identifikation erhobenen Identitätsdaten zu vergleichen. Die Erhebung der Identitätsdaten kann durch

1. eine elektronische Prüfung der Gültigkeit der e-card und dem Auslesen von Daten der e-card mittels e-card-System (§§ 31a ff ASVG) oder

2. Verwenden eines E-ID (§ 2 Z 10 E-GovG) oder

3. Verarbeiten von Identitätsdaten einer gemäß § 4 Abs. 2 eindeutig identifizierten natürlichen Person, die bei einem ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 lit. d und e gespeichert sind wobei das IT-Sicherheitskonzept gemäß § 8 die Überprüfung der Identität der ELGA-Teilnehmer/innen technisch abzusichern hat zum Zweck der Verarbeitung der ELGA-Gesundheitsdaten gemäß § 14 Abs. 2 Z 1 oder

4. Verarbeiten von Daten einer elektronischen oder sonst eindeutig identifizierbaren Verordnung oder Zuweisung (§ 14 Abs. 2 Z 1 lit. b), sofern die Erhebung der Identitätsdaten nicht gemäß Z 1 bis 3 erfolgt, oder

5. das Auslesen von Daten der e-card oder eines amtlichen Lichtbildausweises im Format ID-1 mittels geeigneter Technologie für die Identifizierung im Rahmen des elektronischen Impfpasses, wobei als amtlicher Lichtbildausweis in diesem Sinne von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geschlecht, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten, gelten,

erfolgen.

§ 24d GTelG 2012 – Grundsätze der Impfdatenverarbeitung – lautet:

(1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von Daten im zentralen Impfregister gemäß § 24c Abs. 2 bis 7 sowie zu den in Abs. 2 genannten Zwecken ist nur zulässig, wenn

1. die Gesundheitsdiensteanbieter gemäß § 4 Abs. 4 oder § 4a eindeutig identifiziert wurden,

2. die Vertraulichkeit (§ 6) der zu verarbeitenden Daten gewährleistet ist,

3. die Integrität (§ 7) der zu verarbeitenden Daten gewährleistet ist,

4. eine spezifische Zugriffsberechtigung gemäß § 24f Abs. 4 besteht sowie

5. die Bürger/innen, soweit es sich um Zwecke gemäß Abs. 2 Z 1, Z 2, Z 5, Z 6 oder Z 7 handelt, gemäß § 18 Abs. 4 oder durch Abgleich von Daten mit dem oder Abfrage des Stammzahlenregisters gemäß § 2 Z 9 E-GovG eindeutig identifiziert wurden. Für den Abgleich von Daten mit dem Stammzahlenregister gilt § 18 Abs. 4 Z 5 sinngemäß.

(2) Die im Impfregister gespeicherten Daten dürfen personenbezogen ausschließlich für folgende Zwecke verarbeitet werden:

1. Zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten,

2. Darstellung persönlicher Impfkalender auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich,

3. Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich,

4. statistische Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24g,

5. Krisenmanagement, sowohl im Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß § 1 Epidemiegesetz 1950, BGBl. Nr. 186/1950, als auch im Rahmen der Pharmakovigilanz,

6. Abrechnung im Rahmen von Impfprogrammen sowie

7. Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1.

§ 24f GTelG 2012– Nutzung von ELGA-Komponenten – lautet:

(1) Die ELGA-Komponenten gemäß § 24 Abs. 3 sind nach Maßgabe der folgenden Absätze zu nutzen.

(2) Soweit der Patientenindex (§ 18) zur Überprüfung der eindeutigen Identität der Bürger/innen (§ 24d Abs. 1 Z 5, 1. Fall) genutzt wird, darf die Überprüfung der eindeutigen Identität in den Fällen gemäß Abs. 4 Z 1 lit. a bis c, Z 2 und Z 4 nicht länger als 28 Tage zurückliegen.

(3) Der Gesundheitsdiensteanbieterindex (§ 19) dient der Überprüfung der eindeutigen Identität von Gesundheitsdiensteanbietern gemäß § 24d Abs. 1 Z 1.

(4) Das Berechtigungssystem (§ 21) dient der Verwaltung der spezifischen Zugriffsberechtigungen und Steuerung der Zugriffe. Eine spezifische Zugriffsberechtigung auf die im zentralen Impfregister gespeicherten Daten haben

1. Gesundheitsdiensteanbieter gemäß § 24c Abs. 2 Z 1

a) zur Speicherung, Aktualisierung, Stornierung, Nachtragung und Vidierung der in § 24c Abs. 2 Z 2 genannten Daten im zentralen Impfregister,

b) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1,

c) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2,

d) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 und

e) sofern es sich um den Öffentlichen Gesundheitsdienst im Sinne der Z 6 handelt, für das Krisenmanagement im Rahmen des Ausbruchsmanagements gemäß § 24d Abs. 2 Z 5,

2. Apotheken gemäß § 1 des Apothekengesetzes, RGBl. Nr. 5/1907

a) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 und

b) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2 und

c) zur Nachtragung der in § 24c Abs. 2 Z 2 genannten Daten im zentralen Impfregister,

3. gesetzliche oder bevollmächtigte Vertreter/innen zur Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1,

4. Mitarbeiter/innen der ELGA-Ombudsstelle zur Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1 Z 1,

5. der für das Gesundheitswesen zuständige Bundesminister für das bundesweite Krisenmanagement gemäß § 24d Abs. 2 Z 5,

6. der Landeshauptmann und die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich

a) für das Krisenmanagement gemäß § 24d Abs. 2 Z 5 und

b) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 sowie

7. die Bezirksverwaltungsbehörden zur Aktualisierung oder Stornierung von im zentralen Impfregister gespeicherten Daten gemäß § 24c Abs. 3.

[…]

§ 43 Abs. 4 und 5 Epidemiegesetz lautet:

(4) Die Einleitung, Durchführung und Sicherstellung sämtlicher in diesem Gesetze vorgeschriebener Erhebungen und Vorkehrungen zur Verhütung und Bekämpfung anzeigepflichtiger Krankheiten beziehungsweise die Überwachung und Förderung der in erster Linie von den zuständigen Sanitätsorganen getroffenen Vorkehrungen sind Aufgabe der Bezirksverwaltungsbehörde.

(5) Dem Landeshauptmann obliegt im Rahmen seines örtlichen Wirkungsbereichs die Koordinierung und Kontrolle der Maßnahmen der Bezirksverwaltungsbehörden gemäß Abs. 4. Besteht der Verdacht oder die Kenntnis über einen bundesländerübergreifenden Ausbruch einer Erkrankung gemäß § 1 Abs. 1 und 2, so haben die Landeshauptmänner der betroffenen Bundesländer zusammenzuarbeiten und ihre Tätigkeiten zu koordinieren.

§. 2. Reichssanitätsgesetz lautet:

Der Staatsverwaltung obliegt insbesondere:

a) die Evidenzhaltung des gesammten Sanitätspersonales und die Beaufsichtigung desselben in ärztlicher Beziehung, sowie die Handhabung der Gesetze über die Ausübung der diesem Personale zukommenden Praxis;

b) die Oberaufsicht über alle Kranken-, Irren-, Gebär-, Findel- und Ammenanstalten, über die Impfinstitute, Siechenhäuser und andere derlei Anstalten, dann über die Heilbäder und Gesundbrunnen, ferner die Bewilligung zur Errichtung von solchen Privatanstalten;

c) die Handhabung der Gesetze über ansteckende Krankheiten, über Endemien, Epidemien und Thierseuchen, sowie über Quarantainen und Viehcontumazanstalten, dann in Betreff des Verkehres mit Giften und Medicamenten;

d) die Leitung des Impfwesens;

e) die Regelung und Ueberwachung des gesammten Apothekerwesens;

f) die Anordnung und Vornahme der sanitätspolizeilichen Obductionen;

g) die Ueberwachung der Todtenbeschau und der Handhabung der Gesetze über das Begräbnißwesen, in Betreff der Begräbnißplätze, der Ausgrabung und Ueberführung von Leichen, dann die Ueberwachung der Aasplätze und Wasenmeistereien;

§. 4. Reichssanitätsgesetz lautet:

Im übertragenen Wirkungskreise obliegt der Gemeinde:

a) Die Durchführung der örtlichen Vorkehrungen zur Verhütung ansteckender Krankheiten und ihrer Weiterverbreitung;

b) die Handhabung der sanitätspolizeilichen Verordnungen und Vorschriften über Begräbnisse;

c) die Todtenbeschau;

d) die Mitwirkung bei allen von der politischen Behörde im Gemeindegebiete vorzunehmenden sanitätspolizeilichen Augenscheinen und Commissionen, insbesondere bei der öffentlichen Impfung, bei Leichenausgrabungen und Obductionen, und bei den Vorkehrungen zur Verhütung der Einschleppung und zur Tilgung von Viehseuchen;

e) die unmittelbare sanitätspolizeiliche Ueberwachung der in der Gemeinde befindlichen privaten Heil- und Gebäranstalten;

f) die unmittelbare Ueberwachung der Aasplätze und Wasenmeistereien;

g) die periodische Erstattung von Sanitätsberichten an die politische Behörde.

Der Gesetzgebung bleibt vorbehalten, noch andere Gegenstände des Sanitätswesens zu bestimmen, welche die Gemeinden im übertragenen Wirkungskreise zu besorgen haben.

§. 5. Reichssanitätsgesetz lautet:

Der Landesgesetzgebung bleibt vorbehalten, zu bestimmen, auf welche Weise jede Gemeinde für sich oder in Gemeinschaft mit anderen Gemeinden jene Einrichtungen zu treffen hat, welche nach der Lage und Ausdehnung des Gebietes, sowie nach der Zahl und Beschäftigung der Einwohner zur Handhabung der Gesundheitspolizei nothwendig sind.

II.3.2.3.2. Für die gegenständliche Beschwerdesache wird auf folgende einschlägige höchstgerichtliche Rechtsprechung verwiesen:

Entsprechend der Rechtsprechung des Europäischen Gerichtshofes muss grundsätzlich jede Verarbeitung personenbezogener Daten den in Art. 5 DSGVO aufgestellten Grundsätzen in Bezug für die Verarbeitung personenbezogener Daten und einem der in Art. 6 DSGVO angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen (zur Vorgängerbestimmung Art. 6 DS-RL: EuGH 20.05.2003, verb Rs C-465/00, C-138/01 und C-139/01 (Österreichischer Rundfunk ua), Rn 65; 16.12.2008, C-524/06 (Huber), Rn 48). Werden besondere Kategorien von Daten iSd Art. 9 Abs. 1 DSGVO verarbeitet, wozu ua Gesundheitsdaten gehören, muss ein Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO vorliegen. Ein Verstoß gegen Art. 5, 6 oder 9 DSGVO führt zu einer Verletzung des § 1 Abs. 1 DSG.

Eine Eingriffsnorm im Sinne des § 1 Abs. 2 DSG hat ausreichend präzise, also für jedermann vorhersehbar zu sein. Überdies muss sie regeln, unter welchen Voraussetzungen die Ermittlung bzw. die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist (VfGH 11.12.2019, G72/2019 ua; 12.12.2019, G164/2019 ua). Im vorliegenden Fall läge eine Verletzung von § 1 DSG nicht vor, soweit der Beschwerdeführer sich auf eine geeignete Rechtsvorschrift berufen kann, welche ihm einen zulässigen Zugriff auf den Patientenindex und das zentrale Impfregister ermöglicht.

II.3.2.3.3. Zum Zugriff auf den Patientenindex gemäß § 18 GTelG 2012:

Wie festgestellt wurden im Auftrag des Beschwerdeführers zunächst sämtliche Personen aus dem Patientenindex ausgewählt, die über 18 Jahre waren und eine Adresse in XXXX angegeben hatten. Vor diesem Hintergrund wurde die mitbeteiligte Partei aufgrund ihres Alters und ihres Wohnsitzes aus dem Patientenindex ermittelt. In diesem Zusammenhang ist aber zu beachten, dass der Patientenindex gemäß § 18 Abs. 1 Z 1 GTelG 2012 nicht zur Ermittlung von Adressdaten von Personen dient, die zumindest 18 Jahre alt sind, sondern zur Überprüfung der eindeutigen Identität (§ 2 Z 2 E-GovG) natürlicher Personen im Rahmen von ELGA oder anderen eHealth-Anwendungen. Keinesfalls kann unter einer Überprüfung der eindeutigen Identität eine Suche von Personen unter einschränkenden Bedingungen – zumindest 18 Jahre und angegebene Adresse in einem Bundesland – verstanden werden. Der Beschwerdeführer hat nicht ansatzweise mit Hilfe des Patientenindex eine Identitätsprüfung vorgenommen. Dies erkennt man schon daran, dass er nicht mit einem Namen (Identität) im Patientenindex gesucht hat, sondern der Name erst das Ergebnis des Zugriffs (Suche mit einschränkenden Bedingungen) im Patientenindex war. Auch war das Ergebnis der Suche nicht allein der Name und die Adresse der mitbeteiligten Partei, sondern ihre Daten waren Bestandteil von einigen hunderttausenden Datensätzen (Namen und Adressen aller über 18-jährigen Personen, die eine Adresse in XXXX angegeben hatten). Daher war die vorgenommene Ermittlung des Namens und der Adresse (sowie der Sozialversicherungsnummer als Primary Key zwecks Ermittlung des Impfstatus im zentralen Impfregister, siehe Verhandlungsniederschrift vom 10.01.2023, Seite 16) der mitbeteiligten Partei schon dem Grunde nach nicht von § 18 Abs. 1 Z 1 GTelG 2012 erfasst.

Darüber hinaus ist zu beachten, dass gemäß § 18 Abs. 4 GTelG 2012 die Überprüfung der Identität unter Mitwirkung des ELGA-Teilnehmers in elektronischer Form zu erfolgen hat. Verfahrensgegenständlich hat jedoch die mitbeteiligte Partei in keiner Weise an der Überprüfung der Identität mitgewirkt. In diesem Zusammenhang hat die mitbeteiligte Partei hat in keiner Phase der Verarbeitung ihrer personenbezogenen Daten mitgewirkt bzw. hierfür eine Zustimmung erteilt.

Insgesamt konnte der Beschwerdeführer mit § 18 GTelG 2012 einen rechtmäßigen Zugriff auf den Patientenindex gemäß Art. 5 Abs. 1 lit. a DSGVO nicht begründen.

II.3.2.3.4. Zum Zugriff auf das zentrale Impfregister gemäß §§ 24d iVm 24f GTelG 2012:

Nach den Darstellungen des Beschwerdeführers war der Zugriff auf das zentrale Impfregister deshalb erforderlich, um den Impfstatus der mitbeteiligten Person zu ermitteln. Daher ist zunächst zu prüfen, ob mit einem Impfstatus eine besondere Kategorie von Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet wird. Sofern zutreffend, erfordert die Verarbeitung eines Impfstatus einen Erlaubnistatbestand gemäß Art. 9 Abs. 2 DSGVO.

Als Gesundheitsdaten gelten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person [...] beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen“ (Art. 4 Z 15 DSGVO). Dahingehend legt der EuGH den (in der DS-RL genannten und auf die DSGVO übertragbaren) Begriff „Daten über Gesundheit“ weit aus und bezieht sich auf alle Informationen, die die Gesundheit einer Person unter allen Aspekten – körperlichen wie psychischen – betreffen (EuGH 06.11.2003, C-101/01 (Bodil Lindqvist), Rn 50).

Schon aus den Erwägungsgründen ist zu entnehmen, dass die DSGVO unter Gesundheitsdaten auch Krankheitsrisiken erfasst (vgl. DSGVO ErwGr 35, so auch Plucinska/Zankel, Rechtliche Rahmenbedingungen für Testungen und Impfungen im Zusammenhang mit SARS-CoV-2 im Arbeitsverhältnis. Zusammenspiel von Arbeits- und Datenschutzrecht, ASoK 2021, 82). Der aufrechte Impfstatus gegen SARS-CoV-2 der betroffenen Person kann nun Informationen darüber geben, ob die betroffene Person eine körperliche Immunität gegen SARS-CoV-2 hat oder hatte und ob die betroffene Person ein verringertes Risiko für eine SARS-CoV-2-Erkrankung trifft oder traf. Folglich ist davon auszugehen, dass aus dem Impfstatus Informationen über den Gesundheitszustand (gegebenenfalls sowohl über den vergangenen, gegenwärtigen als auch künftigen) der betroffenen Person hervorgehen, womit das Datum „Impfstatus“ als Gesundheitsdatum iSd Art. 9 Abs. 1 DSGVO zu klassifizieren ist (Plucinska/Zankel, Rechtliche Rahmenbedingungen für Testungen und Impfungen im Zusammenhang mit SARS-CoV-2 im Arbeitsverhältnis. Zusammenspiel von Arbeits- und Datenschutzrecht, ASoK 2021, 82). Hinzu kommt, dass, obwohl ein wissenschaftlicher Konsens über die Sinnhaftigkeit der COVID-19 Schutzimpfung besteht, das Thema der Sinnhaftigkeit und Wirksamkeit der COVID-19 Schutzimpfung in der Gesellschaft kontrovers diskutiert wird und emotional belastet ist und daher für ungeimpfte Personen ein besonderes Geheimhaltungsinteresse an ihrem Impfstatus bestehen kann.

Eine Verarbeitung des Impfstatus wäre daher nur dann möglich, wenn eine Ausnahme des Art. 9 Abs. 2 DSGVO vom Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO vorliegt. Die Verarbeitung besonderer Kategorien von Daten iSd Art. 9 Abs. 1 DSGVO ist ua zulässig, wenn sie auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist (Art. 9 Abs. 1 lit. g DSGVO) oder die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich ist (Art. 9 Abs. 1 lit. i DSGVO).

Entsprechend § 24d Abs. 1 GTelG 2012 ist eine Verarbeitung von Daten im zentralen Impfregister nur zulässig, wenn sie zu den Zwecken gemäß § 24 Abs. 2 GTelG 2012 erfolgt. Neben dieser Zweckbindung setzt eine zulässige Verarbeitung von Daten im zentralen Impfregister gemäß § 24 Abs. 1 Z 4 GTelG 2012 voraus, dass eine spezifische Zugriffsberechtigung gemäß § 24f Abs. 4 GTelG 2012 besteht. Schließlich legt § 24d Abs. 1 Z 5 GTelG 2012 fest, dass die Verarbeitung nur zulässig ist, wenn für die Zwecke gemäß Abs. 2 Z 1, Z 2, Z 5, Z 6 oder Z 7 die Bürger/innen gemäß § 18 Abs. 4 GTelG 2012 eindeutig identifiziert wurden. In diesen Fällen ist daher die Mitwirkung der betroffenen Bürger bei der Identifizierung erforderlich.

Im verwaltungsbehördlichen Verfahren stützt der Beschwerdeführer die Verarbeitung von Daten im zentralen Impfregister auf § 24 Abs. 2 Z 3 GTelG 2012 („Impferinnerung“). Im verwaltungsgerichtlichen Verfahren begründet der Beschwerdeführer die Zulässigkeit der Verarbeitung im zentralen Impfregister zusätzlich mit § 24 Abs. 2 Z 5 GTelG 2012 („Krisenmanagement“). Eine Verarbeitung nach § 24c Abs. 2 bis 7 GTelG 2012 liegt nicht vor und wurde vom Beschwerdeführer im Verfahren auch nicht begründet (Art. 5 Abs. 2 DSGVO).

II.3.2.3.4.1. Zur Verarbeitung der Daten im zentralen Impfregister zum Zwecke der Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich („Impferinnerung“) gemäß § 24d Abs. 2 Z 3 GTelG 2012:

In diesem Zusammenhang führte bereits die belangte Behörde im angefochtenen Bescheid – richtigerweise – aus, dass für den Zweck des § 24d Abs. 2 Z 3 GTelG 2012 („Impferinnerung“) keine spezifische Zugriffsberechtigung auf das zentrale Impfregister gemäß § 24f Abs. 4 GTelG 2012 besteht. Vor diesem Hintergrund ist der Beschwerdeführer gemäß § 24d Abs. 1 Z 4 GTelG 2012 nicht berechtigt, auf die Daten im zentralen Impfregister zuzugreifen und diese zu verarbeiten.

Nach dem Gesetzeswortlaut wäre § 24d Abs. 2 Z 3 GTelG 2012 daher keine taugliche Rechtsgrundlage für den Beschwerdeführer (und im Übrigen auch nicht für den Landeshauptmann für XXXX ), Daten des zentralen Impfregisters zum Zwecke der Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich zu verarbeiten.

Der Beschwerdeführer bringt nun vor, die Einschränkung gemäß § 24d Abs. 1 Z 4 GTelG 2012, wonach Daten des zentralen Impfregisters nur verarbeitet werden dürfen, wenn „eine spezifische Zugriffsberechtigung gemäß § 24f Abs 4 besteht“, sei nicht als absolutes Verbot anzusehen, weil in § 24f Abs. 4 GTelG 2012 für den Zweck der „Erinnerung an empfohlene Impfungen“ überhaupt keine spezifischen Zugriffsberechtigungen bestehen würden und dem Gesetzgeber nicht unterstellt werden dürfe, Sinnloses zu regeln. Dem kann nicht gefolgt werden:

Erstens sind dem Beschwerdeführer – neben dem eindeutigen Gesetzeswortlaut des § 24d Abs. 1 GTelG 2012, „nur zulässig, wenn“ – die Gesetzesmaterialien entgegenzuhalten, wonach „zur inhaltlichen Beschränkung der Datenverarbeitung aufgrund spezifischer Zugriffsberechtigungen (Z 4) die Erläuterungen zu Abs. 2, zu den Z 42, Z 43, Z 44 und Z 45 (§ 21) sowie zu Z 54 (§ 24f Abs. 4) heranzuziehen sind“ (ErlRV 232 GP XXVII S 32)). Nach den demnach heranzuziehenden Materialien zu § 21 GTelG 2012 soll „durch […] § 21 […] klargestellt werden, dass für jede eHealth-Anwendung [wie das zentrale Impfregister] eine spezifische Zugriffsberechtigung genau für diese eHealth-Anwendung verlangt wird […] [wobei die] „spezifischen“ Zugriffberechtigungen […] – je nach eHealth-Anwendungen – im 5. Abschnitt geregelt [werden]“ (ErlRV 232 GP XXVII S 5). Diese spezifischen Zugriffsberechtigungen werden in Übereinstimmung mit den Materialien im 5. Abschnitt mit § 24f GTelG 2012 geregelt.

Zweitens geht der Gesetzgeber selbst davon aus, dass es auch für die Impferinnerungsschreiben einer spezifischen Zugriffsberechtigung iSd § 24f Abs. 4 GTelG 2012 bedarf. So hat er zwischenzeitlich mit § 4g Epidemiegesetz 1950 eine ausdrückliche gesetzliche Grundlage für den Versand von Erinnerungen an Auffrischungsimpfungen gegen COVID-19 geschaffen, in der der für das Gesundheitswesen zuständige Bundesminister ermächtigt wird, zum Zweck der Versendung von Erinnerungsschreiben an Auffrischungsimpfungen gegen COVID-19 auf die im zentralen Impfregister gespeicherten COVID-19-bezogenen Angaben zuzugreifen und mit der ihm in § 4g Abs. 2 letzter Halbsatz Epidemiegesetz 1950 hierfür eine spezifische Zugriffsberechtigung gemäß § 24f Abs. 4 GTelG 2012 auf die im zentralen Impfregister gespeicherten Angaben eingeräumt wird. Ähnliches gilt für § 750 ASVG, der am 04.12.2021 in Kraft getreten ist, wonach der Dachverband der Sozialversicherungsträger verpflichtet wird, bestimmte Personen über die Möglichkeit zur Inanspruchnahme der kostenlosen Impfung gegen SARS-CoV-2 zu informieren, und hierzu berechtigt wird, die im zentralen Impfregister gespeicherten Daten zu verwenden. Würde man der Interpretation des Beschwerdeführers, wonach das Erfordernis einer spezifischen Zugriffsberechtigung gemäß § 24f Abs. 4 GTelG 2012 nicht „absolut“ sei, folgen, wäre diese Regelung nicht erforderlich.

Drittens ist dem Beschwerdeführer, wenn er meint, nicht einmal Art. 5 DSGVO, der beispielsweise die Verarbeitung von Daten („Plausibilitätsprüfungen“) zur Einhaltung der Datenrichtigkeit verlange, dürfe bei extensiver Interpretation des § 24d Abs. 1 Z 4 GTelG 2012 Anwendung finden, was dem Anwendungsvorrang des Unionsrechts widerspräche, entgegenzuhalten, dass Art. 5 DSGVO aufgrund des Anwendungsvorrang des Unionsrechts durch das nationale GTelG 2012 gerade nicht verdrängt werden kann. Im Gegenteil müsste bei etwaigen Kollisionen, die nationale Bestimmung europarechtskonform interpretiert werden oder sie hätte unangewendet zu bleiben. Sollte daher eine begleitende Datenverarbeitung auf Grund des Art. 5 DSGVO tatsächlich erforderlich sein, wäre sie unabhängig von etwaigen Verboten nach nationalem Recht, wie dem GTelG 2012, zulässig. Zudem ist die Argumentation des Beschwerdeführers nicht nachvollziehbar: § 24d Abs. 1 Z 4 GTelG 2012 beinhaltet eine Zugriffsvoraussetzung auf das zentrale Impfregister. Ein Zusammenhang zu einer erforderlichen Datenverarbeitung zur Sicherung der Datenrichtigkeit (Art. 5 Abs. 1 lit. d DSGVO) ist nicht erkennbar und wurde vom Beschwerdeführer im Verfahren nicht schlüssig dargelegt (Art. 5 Abs. 2 DSGVO).

Letztens würde die Interpretation des Beschwerdeführers, wonach eine Zugriffsberechtigung gemäß § 24d Abs. 1 Z 4 GTelG 2012 für die verarbeiteten Daten nicht in jedem Fall erforderlich sei, offen lassen, in welchen Fällen keine Zugriffsberechtigung iSd § 24d Abs. 1 Z 4 GTelG 2012 erforderlich ist und wer auf die Daten zugreifen darf, wenn § 24d Abs. 1 Z 4 GTelG 2012 für einen bestimmten Verwendungszweck keine Zugriffsberechtigung enthält. Bei dieser Interpretation würde die Bestimmung einerseits gegen das verfassungsrechtliche Bestimmtheitsgebot verstoßen (vgl. VfGH 20.06.1994, B473/92). Andererseits würde sie auch gegen die DSGVO verstoßen, weil eine Rechtsgrundlage auf welche die DSGVO – hier Art. 9 Abs. 2 lit. g bzw. i DSGVO – Bezug nimmt, klar und präzise und ihre Anwendung für den Rechtsunterworfenen vorhersehbar sein muss (vgl. DSGVO ErwGr 41). In diesem Zusammenhang wird auf die bereits im angefochtenen Bescheid dargestellte Rechtsprechung des Europäischen Gerichtshofes verwiesen: Demnach müssen Regelungen, die in die Rechte nach Art. 7 oder Art 8 EU-GRC eingreifen, klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, sodass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht (EuGH 06.10.2015, C-362/14 (Schrems I), Rn 91, mwH). Diese Garantien sind umso wichtiger, wenn Daten automatisationsunterstützt verarbeitet werden und wenn es sich – wie gegenständlich – um sensible Daten handelt (EuGH 06.10.2020, in den verbundenen Rechtssachen C‑511/18, C‑512/18 und C‑520/18, Rn 132, mwH). Auch der Rechtsprechung des Verfassungsgerichtshofes zur Qualität einer Eingriffsnorm im Sinne des § 1 Abs. 2 DSG ist zu entnehmen, dass diese ausreichend präzise, also für jedermann vorhersehbar zu sein hat und überdies regeln muss, unter welchen Voraussetzungen die Ermittlung bzw. die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist (VfGH 11.12.2019, G72/2019 ua; 12.12.2019, G164/2019 ua). Der jeweilige Gesetzgeber muss somit nach den Vorgaben des § 1 Abs. 2 DSG eine materienspezifische Regelung in dem Sinn vorsehen, dass die Fälle zulässiger Eingriffe in das Grundrecht auf Datenschutz konkretisiert und begrenzt werden (VfGH 09.12.2008, B1944/07 ua). Die Ansicht des Beschwerdeführers, dass eine Zugriffsberechtigung gemäß § 24d Abs. 1 Z 4 GTelG 2012 für die verarbeiten Daten nicht in jedem Fall erforderlich sei, ist auch mit der zitierten Rechtsprechung des Europäischen Gerichtshofes und des Verfassungsgerichtshofes nicht vereinbar.

Schließlich wird in den Materialien ausdrücklich auf die elektronische Führung von Informationensystemen hinsichtlich Impfungen abgestellt. Das Impferinnerungssystem gemäß § 24d Abs. 2 Z 3 GTelG 2012 soll ausdrücklich in Form einer „Inbox“ samt Versendung einer bloßen Benachrichtigungs-E-Mail oder eines Benachrichtigungs-SMS über den Eingang einer Impf-Erinnerung umgesetzt werden (ErlRV 232 GP XXVII S 33). Eine über das in § 24d Abs. 2 Z 3 GTelG 2012 vorgesehene elektronische Impferinnerungssystem hinausgehende Befugnis zur Datenverarbeitung zum Zweck der Erinnerung an Impfungen kann dem Gesetz nicht entnommen werden. Eine Interpretation dahingehend, dass auch über die ausdrücklich geregelten Fälle zulässig sind, würde Art. 9 DSGVO verstoßen. Der Ausnahmekatalog des Art. 9 Abs. 2 DSGVO ist restriktiv auszulegen. Bei Gesundheitsdaten besteht daher keine Möglichkeit, Verarbeitungsvorgänge durch Lückenschließung oder Interpretation zu rechtfertigen, wenn diese im Gesetz nicht ausdrücklich angeführt sind. Vor diesem Hintergrund kommen den Ausführungen des Beschwerdeführers in der Bescheidbeschwerde kein Begründungswert zu, dass gemäß § 24d Abs. 2 Z 3 GTelG 2012 auch eine postalische Zusendung möglich sei. Unter Berücksichtigung der Materialien liegt keine Rechtslücke vor, wo das Gesetz, gemessen an seiner eigenen Absicht und immanenten Teleologie unvollständig, also ergänzungsbedürftig ist (VwGH 14.12.2021, Ro 2020/04/0032). Zudem hat der Gesetzgeber in § 4g Abs. 2 letzter Halbsatz Epidemiegesetz 1950 und § 750 ASVG spezifische Regelungen für Impferinnerungsschreiben vorgesehen. Würde man der Ansicht des Beschwerdeführers folgen, wären diese Regelungen nicht erforderlich gewesen.

Da eine statistische Auswertung der Daten nicht gegenständlich ist, ist der Verweis des Beschwerdeführers auf fehlende spezifische Zugriffsberechtigungen gemäß § 24g GTelG 2012 nicht weiter beachtlich.

Im Ergebnis kann sich der Beschwerdeführer hinsichtlich der Verarbeitung von Daten aus dem zentralen Impfregister zum Zwecke der Erstellung und des Versands von COVID-19-Impferinnerungsschreiben nicht auf § 24d Abs. 2 Z 3 GTelG 2012 iVm Art. 9 Abs. 2 lit. g bzw. i DSGVO stützen.

II.3.2.3.4.2. Zur Verarbeitung der Daten im zentralen Impfregister zum Zwecke des Krisenmanagements gemäß § 24d Abs. 2 Z 5 GTelG 2012:

Der Beschwerdeführer macht im Zuge der Bescheidbeschwerde geltend, er könne den Zugriff auf das zentrale Impfregister (als Hilfsapparat des Landeshauptmannes) auch auf § 24d Abs. 2 Z 5 („Krisenmanagement“) iVm mit der Zugriffsberechtigung des § 24f Abs. 4 Z 6 lit. a GTelG 2012 (betreffend den Landeshauptmann für das Krisenmanagement iSd § 24d Abs. 2 Z 5 GTelG 2012) stützen. Dem kann nicht gefolgt werden:

Gemäß § 24d Abs. 2 Z 5 GTelG 2012 dürfen die im Impfregister gespeicherten Daten personenbezogen für den Zweck des Krisenmanagements, sowohl im Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß § 1 Epidemiegesetz 1950, BGBl. Nr. 186/1950, als auch im Rahmen der Pharmakovigilanz, verarbeitet werden:

Aus den Gesetzesmaterialien ist zu entnehmen, dass das Krisenmanagement sowohl das Ausbruchsmanagement als auch die Pharmakovigilanz umfasst, wobei im Rahmen des Ausbruchsmanagements der Zugriff auf die im Impfregister gespeicherten Daten (nur) insoweit zulässig ist, als dieser zur Unterstützung der hoheitlichen Aufgaben im Zusammenhang mit dem Epidemiegesetz (insbesondere Umgebungsanalysen) erforderlich ist (ErlRV 232 BlgNR XXVII. GP, 33). Jedoch gab es im Zeitpunkt der Abfrage des Impfregisters am 25.11.2021 im Epidemiegesetz 1950 keine hoheitliche Aufgabe, die eine „Erinnerungen an Impfungen“ rechtfertigen könnte, weil die in § 4g Epidemiegesetz 1950 vorgesehene Regelung „Erinnerungen an Auffrischungsimpfungen gegen COVID-19“ erst mit 01.07.2022 (BGBl. I Nr. 89/2022) in Kraft getreten ist. Entgegen der Meinung des Beschwerdeführers stellt das gegenständliche Impferinnerungsschreiben somit keine Maßnahme des Krisenmanagements gemäß § 24d Abs. 2 Z 5 GTelG 2012 dar, weshalb er die verfahrensgegenständliche Datenverarbeitung nicht darauf stützen kann.

Auch die nunmehr in der Stellungnahme vom 05.01.2023 dargelegte Sichtweise des Beschwerdeführers, dass mit Hilfe der Wortinterpretation und historischen Interpretation unter dem Begriff „Koordinierung“ gemäß § 43 Abs. 5 Epidemiegesetz eine hoheitliche Aufgabe des Landeshauptmannes zur Versendung von Impferinnerungsschreiben abgeleitet werden kann, kann nicht gefolgt werden. Gemäß § 43 Abs. 5 Epidemiegesetz obliegt dem Landeshauptmann im Rahmen seines örtlichen Wirkungsbereichs die Koordinierung und Kontrolle der Maßnahmen der Bezirksverwaltungsbehörden gemäß Abs. 4 leg. cit. Gemäß § 43 Abs. 4 Epidemiegesetz sind die Einleitung, Durchführung und Sicherstellung sämtlicher in diesem Gesetz vorgeschriebener Erhebungen und Vorkehrungen zur Verhütung und Bekämpfung anzeigepflichtiger Krankheiten beziehungsweise die Überwachung und Förderung der in erster Linie von den zuständigen Sanitätsorganen getroffenen Vorkehrungen Aufgabe der Bezirksverwaltungsbehörde. Die Koordinationsbefugnis des Landeshauptmannes gemäß § 43 Abs. 5 Epidemiegesetz betrifft daher nur Maßnahmen der Bezirksverwaltungsbehörde, soweit diese nach dem Epidemiegesetz der Bezirksverwaltungsbehörde zugewiesen wurden. Jedoch kann aus dem Epidemiegesetz eine konkrete Zuständigkeit der Bezirksverwaltungsbehörde bzw. des Landeshauptmannes zur Versendung eines Impferinnerungsschreibens nicht entnommen werden und diese kann auch nicht mit den Umständen, die zum Impferinnerungsschreiben geführt haben (siehe Punkt II.1.7), begründet werden. Auch ist im Epidemiegesetz eine Berechtigung des Landeshauptmannes oder der Bezirksverwaltungsbehörde zum Zugriff auf den Patientenindex bzw. das zentrale Impfregister zwecks Versendung eines Impferinnerungsschreibens nicht enthalten (vgl. dazu die Kompetenz des Bundesministers gemäß § 4g Epidemiegesetz, Punkt II.3.2.3.4.1). Mit Hilfe der systematischen Interpretation kann die Koordinationsbefugnis gemäß § 43 Abs. 5 Epidemiegesetz des Landeshauptmannes konkret ermittelt werden (bei der Auslegung von Verwaltungsgesetzen gilt ein Vorrang der Wortinterpretation in Verbindung mit der grammatikalischen und systematischen Auslegung, vgl. VwGH 29.01.2021, Fe 2020/05/0001, mwH); eine Verpflichtung (Befugnis) für ein Impferinnerungsschreiben kann für den Landeshauptmann bzw. der Bezirksverwaltungsbehörde aus dem Epidemiegesetz systematisch nicht gewonnen werden. Auch der in der Stellungnahme vom 05.01.2023 dargelegten historischen Interpretation, wonach es dem Gesetzgeber bekannt gewesen sei, dass eine Informationserteilung zur Bekämpfung von Pandemien durch Landeshauptleute allgemeine Verwaltungspraxis sei, kommt kein Begründungswert zu. Absichten von Personen, welche am Gesetzgebungsprozess beteiligt waren, können nämlich nur dann für die historische Auslegung bedeutsam sein, wenn sie in den Gesetzesmaterialien ihren Niederschlag gefunden haben. Es ist für einen Normunterworfenen unzumutbar, an solche, typischerweise mit ihnen zugänglichen Mitteln gar nicht eruierbare Absichten gebunden zu werden (VwGH 27.06.2017, Ro 2016/12/0016). Auch sind Informationsangebote für Impfungen der Länder im Internet oder in Zeitschriften (siehe dazu Stellungnahme des Beschwerdeführers vom 05.01.2023) nicht für eine historische Interpretation eines Gesetzes des Bundesgesetzgebers geeignet.

Die Lesart des Beschwerdeführers, dass unter „Koordinierung“ gemäß § 43 Abs. 5 Epidemiegesetz auch eine hoheitliche Aufgabe des Landeshauptmannes zur Versendung von Impferinnerungsschreiben fallen würde, ist auch nicht mit den Anforderungen der Rechtsprechung des Europäischen Gerichtshofes und des Verfassungsgerichtshofes (siehe Punkt II.3.2.3.4.1) vereinbar. Aus einer Koordination des Landeshauptmannes gemäß § 43 Abs. 5 Epidemiegesetz kann nicht entnommen werden, unter welchen konkreten Voraussetzungen die verfahrensgegenständliche Verarbeitung personenbezogener Daten erlaubt ist.

Schließlich setzt die zulässige Verarbeitung von Daten im zentralen Impfregister voraus, dass für die Zwecke des Krisenmanagements gemäß § 24d Abs. 1 Z 5 GTelG 2012 Bürger/innen gemäß § 18 Abs. 4 GTelG 2012 eindeutig identifiziert wurden. Wie bereits unter Punkt II.3.2.3.3 beschrieben, wurde die mitbeteiligte Partei gemäß § 18 Abs. 4 GTelG 2012 nicht eindeutig identifiziert. Auch vor diesem Hintergrund ist die Verarbeitung von personenbezogenen Daten im zentralen Impfregister durch den Beschwerdeführer zum Zwecke des Krisenmanagements gemäß § 24d Abs. 2 Z 5 GTelG 2012 nicht rechtmäßig.

Im Ergebnis kann sich der Beschwerdeführer hinsichtlich der Verarbeitung von Daten aus dem zentralen Impfregister zum Zwecke der Erstellung und des Versands von COVID-19-Impferinnerungsschreiben nicht auf § 24d Abs. 2 Z 5 GTelG 2012 iVm Art. 9 Abs. 2 lit. g bzw. i DSGVO stützen.

II.3.2.3.5. Zur Zugriffsberechtigung auf das zentrale Impfregister und den Patientenindex auf Grund weiterer Rechtsnormen:

Der Beschwerdeführer bringt hilfsweise vor, er könne die Datenverarbeitung zum Zwecke der Impferinnerung auch auf § 8 DSG und auf gesetzliche Zuständigkeitsregelungen, wie das Reichssanitätsgesetz und das Übergangsgesetz 1920, stützen.

II.3.2.3.5.1. Zur Verarbeitung der personenbezogenen Daten auf Grundlage des § 8 DSG:

Der Beschwerdeführer bringt vor, für die Datenverarbeitungen im Zusammenhang mit der Erstellung der COVID-19-Impferinnerungsschreiben, insbesondere für den Zugriff auf den Patientenindex, sei auch § 8 DSG als Rechtsgrundlage einschlägig. Dem kann nicht gefolgt werden.

Gemäß § 8 Abs. 1 DSG bedarf mangels anderer gesetzlicher Regelung die Übermittlung von Adressdaten eines bestimmten Kreises von betroffenen Personen zum Zweck ihrer Benachrichtigung oder Befragung grundsätzlich der Einwilligung der betroffenen Personen. Im vorliegenden Fall existiert keine einschlägige gesetzliche Regelung, dass aus dem Patientenindex bzw. zentralen Impfregister Adressdaten übermittelt werden können. Ebenso liegt eine Einwilligung der mitbeteiligten Partei nicht vor.

Nach § 8 Abs. 2 DSG bedarf demgegenüber die Übermittlung der Adressdaten dann keiner Einwilligung, wenn der Eingriff im Betroffeneninteresse unwahrscheinlich ist. Dahingehend ist zunächst zu prüfen, ob eine Beeinträchtigung der Geheimhaltungsinteressen der betroffenen Person angesichts der Auswahlkriterien für den Betroffenenkreis und des Gegenstands der Benachrichtigung oder Befragung unwahrscheinlich ist. Sofern diese Grundvoraussetzung erfüllt ist, bedarf es keiner Einwilligung des Betroffenen, wenn (1) die Daten durch denselben Verantwortlichen verarbeitet werden, wenn (2) bei einer beabsichtigten Übermittlung der Adressdaten an Dritte an der Benachrichtigung oder Befragung auch ein öffentliches Interesse besteht oder wenn (3) bei einer beabsichtigten Übermittlung der Adressdaten an Dritte keiner der betroffenen Personen nach entsprechender Information über Anlass und Inhalt der Übermittlung innerhalb angemessener Frist Widerspruch gegen die Übermittlung erhoben hat.

Hinsichtlich der Grundvoraussetzung, ob eine Beeinträchtigung der Geheimhaltungsinteressen der betroffenen Personen angesichts der Auswahlkriterien für den Betroffenenkreis und des Gegenstands der Benachrichtigung oder Befragung unwahrscheinlich ist, ist eine Risikoabschätzung vorzunehmen. Dahingehend sind die Datenarten, der Gegenstand der Benachrichtigung oder Befragung, aber auch die Auswahl des Betroffenenkreises zu berücksichtigen. Ist die Beeinträchtigung der Geheimhaltungsinteressen der Betroffenen nicht nur möglich, sondern wahrscheinlich, scheidet § 8 Abs. 2 DSG als Verarbeitungsgrundlage aus (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG) § 8 Rz 30; vgl auch Jahnel, Update, 84 mwH).

Eine Beeinträchtigung iS einer abstrakten Gefährdung kann etwa beim Einsatz eines Auswahlkriteriums bestehen, welches an sensible Daten anknüpft (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG) § 8 Rz mwN). Die Verarbeitung von personenbezogenen Daten, die im Schutzbereich des Art. 9 Abs. 1 DSGVO liegen, verdienen einen besonderen Schutz, weil im Zusammenhang ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (VwGH 14.12.2021, Ro 2021/04/0007). Im gegenständlichen Fall wurden die Empfänger des Impferinnerungsschreibens nach ihrem Alter, ihrer Meldeadresse und danach bestimmt, ob sie einen Impfeintrag zu einer in der EU zugelassenen Impfung gegen COVID-19 im zentralen Impfregister aufweisen. Hinsichtlich der Auswahlkriterien Alter und Wohnsitz ist von keiner Beeinträchtigung auszugehen. Die für die Versendung der Impferinnerungsschreiben verwendeten Adressdaten stellen in Bezug auf den Regelungszweck des § 8 DSG, nämlich Personen (auch) im öffentlichen Interesse zu benachrichtigen, an sich keine besondere Beeinträchtigung der Geheimhaltungsinteressen der betroffenen Personen dar. Jedoch handelt es sich bei der Frage bzw. beim Auswahlkriterium, ob eine Person gegen COVID-19 geimpft ist oder nicht, um ein Gesundheitsdatum (siehe Punkt II.3.2.3.4), welches als besondere Kategorie von Daten iSd Art. 9 Abs. 1 DSGVO sensibel ist.

Unter Berücksichtigung der Rechtsprechung des Verwaltungsgerichtshofes (VwGH 14.12.2021, Ro 2021/04/0007) ist daher die Beeinträchtigung der Geheimhaltungsinteressen der betroffenen Personen angesichts der Auswahlkriterien für den Betroffenenkreis nicht unwahrscheinlich, weshalb § 8 Abs. 2 DSG die Übermittlug von Daten aus dem zentralen Impfregister an den Beschwerdeführer und damit die Verwendung der Daten durch den Beschwerdeführer nicht rechtfertigen kann.

Auch die Argumente des Beschwerdeführers können daran nichts ändern.

Zur angeführten Rechtsprechung der Datenschutzkommission, ist ihm entgegenzuhalten, dass einerseits Entscheidungen der Datenschutzkommission das erkennende Gericht nicht zu binden vermögen und andererseits in der zitierten Entscheidung die Auswahl der Betroffenen nicht – wie hier – über ein sensibles Datum erfolgte. Auch die Datenschutzkommission hat bei der Verwendung von sensiblen Daten als Auswahlkriterium die Beeinträchtigung der Geheimhaltungsinteressen der Betroffenen zu § 47 DSG 2000, der Vorgängerbestimmung des § 8 DSG, bejaht (DSK 7.9.2006, K202.047/0009-DSK/2006, Umkehrschluss aus DSK 12.4.2007, K202.051/0004-DSK/2007). Auch kommt der zitierten Entscheidung (DSK 18.09.2009, K202.076/0004-DSK/2009) des Beschwerdeführers kein Begründungswert zu, wonach eine Benachrichtigung an 70-Jährige zu einem Unterstützungs- und Serviceprojekt als zulässig angesehen wurde, weil hier allein aus dem Alter einer Person keine Rückschlüsse auf den Gesundheitszustand gezogen werden konnten.

Wenn der Beschwerdeführer vorbringt, dass durch § 24d Abs. 2 Z 3 GTelG 2012 – wonach die „Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich“ ein gesetzlich zulässiger Zweck zur Verarbeitung der Daten des zentralen Impfregisters sei – die Interessenabwägung zwischen dem öffentlichen Interesse an einer möglichst hohen Durchimpfungsrate und den Geheimhaltungsinteressen der betroffenen Person konkretisiert werde, übersieht er, dass die Anwendung des § 8 Abs. 2 DSG daran scheitert, dass eine Beeinträchtigung der Geheimhaltungsinteressen der betroffenen Personen angesichts der Auswahlkriterien für den Betroffenenkreis nicht unwahrscheinlich ist. Auf die Frage, ob mit dem Impferinnerungsschreiben ein öffentliches Interesse im Sinne des § 8 Abs. 2 Z 2 lit. a DSG verfolgt wird, oder ob allfällige öffentliche Interessen die Geheimhaltungsinteressen der Betroffenen überwiegen, kommt es damit nicht an.

Schließlich ist zu beachten, dass der Beschwerdeführer die Voraussetzungen gemäß § 8 Abs. 2 Z 1 und 2 DSG nicht erfüllt. § 8 Abs. 2 Z 1 DSG erfasst einen Fall, wenn die ausgewählten Daten keinem Dritten offengelegt werden, sondern nur von dem Verantwortlichen verarbeitet werden, dem das Verfügungsrecht hinsichtlich der Daten zukommt (Kunnert in Bresich/Dopllinger/Dörnhöfer/Kunnert/Riedl, DSG § 8 (Stand 12.06.2018, rdb.at), Rz 9). Wie unter Punkt II.3.2.3.3 und II.3.2.3.4 dargelegt, verfügt der Beschwerdeführer über keine Zugriffsberechtigung auf den Patientenindex und auf das zentrale Impfregister. Daher kann sich der Beschwerdeführer nicht auf diese Variante stützen. § 8 Abs. 2 Z 1 lit. b DSG bedingt eine Mitwirkung der mitbeteiligten Partei, die fallgegenständlich ebenso nicht vorliegt. Schon vor diesem Hintergrund ist auf diese Variante nicht näher einzugehen.

Es verbleibt der Fall, wenn bei einer beabsichtigten Übermittlung der Adressdaten an Dritte an der Benachrichtigung oder Befragung auch ein öffentliches Interesse besteht (§ 8 Abs. 2 Z 2 lit. a DSG). Vor dem Hintergrund, dass die XXXX ausschließlich im Auftrag des Beschwerdeführers agiert hat (siehe Punkt II.1.6 ), scheidet eine Übermittlung von Daten aus, da eine Verarbeitung durch XXXX ihm zuzurechnen ist (siehe Punkt II.3.2.2). Der Beschwerdeführer als Verantwortlicher und die XXXX als Auftragsverarbeiter sind überdies keine Dritten iSd Art. 4 Z 10 DSGVO.

Ferner kann eine Rechtfertigung gemäß § 8 Abs. 2 DSG dem Grunde nach nur den für das jeweilige Register Verantwortlichen betreffen. Der Beschwerdeführer verfügte über keine Verantwortlichenstellung betreffend den Patientenindex und das zentrale Impfregister. Gemäß § 18 GTelG 2012 ist der Dachverband Verantwortlicher für den Patientenindex und gemäß § 28 Abs. 17 GTelG 2012 die XXXX für den Probebetrieb des zentralen Impfregisters. Da der Beschwerdeführer über keine Verantwortlichenstellung bzw. keine Verfügungsberechtigung über den Patientenindex bzw. das zentrale Impfregister hatte und auch keine Übertragung von Daten an einen Dritten erfolgte, scheidet eine Rechtfertigung gemäß § 8 Abs. 2 DSG auch aus diesen Gründen aus.

Im Ergebnis kann sich der Beschwerdeführer hinsichtlich der Verarbeitung von Daten aus dem zentralen Impfregister zum Zwecke der Erstellung und des Versands von COVID-19-Impferinnerungsschreiben nicht auf § 8 DSG stützen.

II.3.2.3.5.2. Zur Verarbeitung der personenbezogenen Daten auf Grundlage des Reichssanitätsgesetzes und Übergangsgesetzes 1920:

Soweit der Beschwerdeführer das „Reichssanitätsgesetz“ und das Übergangsgesetz 1920 als geeignete Rechtsgrundlagen für die gegenständliche Verarbeitung erachtet, ist Folgendes festzuhalten:

Der Staatsverwaltung obliegt gemäß § 2 lit. d Reichssanitätsgesetz insbesondere die Leitung des Impfwesens. Nach § 4 lit. d leg. cit. obliegt der Gemeinde im übertragenem Wirkungsbereich die Mitwirkung bei allen von der politischen Behörde im Gemeindegebiete vorzunehmenden sanitätspolizeilichen Augenscheinen und „Commissionen“, insbesondere (ua) bei der öffentlichen Impfung. Gemäß § 5 leg. cit. bleibt der Landesgesetzgebung vorbehalten, zu bestimmen, auf welche Weise jede Gemeinde für sich oder in Gemeinschaft mit anderen Gemeinden „jene Einrichtungen zu treffen“ hat, welche nach der Lage und Ausdehnung des Gebietes, sowie nach der Zahl und Beschäftigung der Einwohner zur Handhabung der Gesundheitspolizei notwendig sind.

Gemäß (dem vom Beschwerdeführer zitierten) § 8 Abs. 5 lit. b Übergangsgesetz 1920 gelten bis zu dem Zeitpunkt, in dem die Organisation der allgemeinen staatlichen Verwaltung in den Ländern durch das gemäß Artikel 120 des Bundes-Verfassungsgesetzes zu erlassende Bundesverfassungsgesetz und die Ausführungsgesetze hiezu geregelt ist, für die Verwaltung in den Ländern folgende Bestimmungen:

„Dem Landeshauptmann als Vorstand des Amtes der Landesregierung sind auch die Bezirkshauptmannschaften im Land unterstellt. Diese haben, ebenso wie auch die Städte mit eigenem Statut und die übrigen Ortsgemeinden, nach den näheren Bestimmungen der Bundes- und Landesgesetze sowohl die Geschäfte der mittelbaren Bundesverwaltung als auch die der Landesverwaltung zu führen. Die Bürgermeister und Bürgermeister-Stellvertreter der Städte mit eigenem Statut leisten dem Landeshauptmann, die Bürgermeister und Bürgermeister-Stellvertreter der übrigen Ortsgemeinden dem Bezirkshauptmann vor Antritt des Amtes das Gelöbnis auf die Bundesverfassung und die Landesverfassung.“

Das heute noch in Geltung stehende Reichssanitätsgesetz stand bereits 1925 in Kraft und ist somit maßgeblich für den dem B-VG zugrundeliegenden Begriff „Gesundheitswesen“. Aufgabe des Sanitätsdienstes der Staatsverwaltung und der Gemeinde ist nach dem Reichssanitätsgesetz die Sorge für den „allgemeinen Gesundheitszustand“. Dieser Begriff deckt sich mit „Angelegenheiten der Volksgesundheit“ und umfasst die Obsorge für den allgemeinen Gesundheitszustand der Bevölkerung (VfSlg 3650/1959). Unter „Gesundheitswesen“ sind daher nach der ständigen Rechtsprechung des Verfassungsgerichtshofes nur jene staatlichen Maßnahmen der Sanitätspolizei zu verstehen, der Abwehr von Gefahren für den allgemeinen Gesundheitszustand der Bevölkerung (für die Volksgesundheit) dienen, es sei denn, dass eine für eine bestimmte Kompetenzmaterie allein typische Abart dieser Gefahr bekämpft wird (zB VfSlg VfSlg 3650/1959, 7582/1975, 8195/1977; vgl. auch bspw. Martin Attlmayr, Zur kompetenzrechtlichen Einordnung der „Pflegeberufe“, RdM 1998, 99; siehe auch Lukan in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B-VG und Grundrechte Art. 10 (1) Z 12 B-VG [Stand 1.1.2021, rdb.at], Rz 1).

Die Datenschutzkommission hielt in einer Entscheidung vom 25.06.2004, Zl. K120.877/0017-DSK/2004, fest, dass für den Bereich des öffentlichen Gesundheitswesens (Amtsärzte, Gesundheitspolizei, Impfwesen) das Reichssanitätsgesetz (lediglich) die „allgemeine Rechtsgrundlage“ darstellt.

Wie schon der Langtitel des Gesetzes aussagt (Gesetz vom 30. April 1870, betreffend die Organisation des öffentlichen Sanitätsdienstes, RGBl Nr. 68/1870), regelt das Reichssanitätsgesetz die Organisation des öffentlichen Sanitätsdienstes, sohin liegt dem betreffenden Gesetz in erster Linie eine generelle Aufgabenverteilung an die Staatsverwaltung und den Gemeinden zugrunde, unter anderem was die „Leitung des Impfwesens“ anbelangt, ohne konkrete Regelungen zu einer etwaigen Datenverarbeitung in diesem Zusammenhang zu normieren. Aus dem oben Gesagten ergibt sich dementsprechend, dass das Reichssanitätsgesetz bloß eine allgemeine Rechtsgrundlage darstellt.

Das Gesetz weist somit auch nicht die Qualität auf, die der Verfassungsgerichtshof in seiner Judikatur an eine Eingriffsnorm iSd § 1 Abs. 2 DSG stellt, weil nach den Vorgaben des § 1 Abs. 2 DSG der jeweilige Gesetzgeber eine materienspezifische Regelung in dem Sinn vorsehen muss, dass die Fälle zulässiger Eingriffe in das Grundrecht Datenschutz konkretisiert und begrenzt werden (siehe dazu schon im angefochtenen Bescheid, ua VfGH 09.11.2008, B1944/07, siehe dazu auch die zitierte Rechtsprechung unter Punkt II.3.2.3.4.1). Angesichts dieser Erwägungen stellen fallbezogen weder das Reichssanitätsgesetz noch das Übergangsgesetz 1920 taugliche Rechtsgrundlage für die gegenständliche Datenverarbeitung dar. Anknüpfend daran kann auch nicht erkannt werden, dass es sich bei den Bestimmungen des Reichssanitätsgesetzes um Gesetze iSd Art. 9 Abs. 2 lit. g bzw. i DSGVO handelt.

Im Ergebnis kann sich der Beschwerdeführer hinsichtlich der Verarbeitung von Daten aus dem zentralen Impfregister zum Zwecke der Erstellung und des Versands von COVID-19-Impferinnerungsschreiben nicht auf Reichssanitätsgesetz und Übergangsgesetz 1920 stützen.

II.3.2.4. Zur Verwendung der Adressdaten für den Versand des Impferinnerungsschreibens:

Da sich die Ermittlung der Adressdaten durch Zugriff auf den Patientenindex und das zentrale Impfverzeichnis als rechtswidrig erweist, ist auch ihre weitere Verwendung für die Adressierung und den Versand der Impferinnerungsschreiben rechtswidrig (vgl. etwa VwGH 23.02.2021, Ra 2019/04/0054 Rn 47).

II.3.3. Zusammenfassung:

Im verwaltungsbehördlichen Verfahren stütze der Beschwerdeführer die Verarbeitung der verfahrensgegenständlichen personenbezogenen Daten der mitbeteiligten Partei auf § 24d Abs. 2 Z 3 GTelG 2012 zum Zwecke der Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich („Impferinnerung“), § 8 DSG sowie der gesetzlichen Zuständigkeitsregelungen des Reichssanitätsgesetzes und des Übergangsgesetzes 1920 (siehe Stellungnahme des Beschwerdeführers vom 31.01.2022). In der Bescheidbeschwerde ergänzte der Beschwerdeführer, dass der Zugriff auf das zentrale Impfregister zum Zweck des COVID-19-Krisenmanagement gemäß § 24d Abs. 2 Z 5 GTelG 2012 zulässig war.

In der Beschwerdeverhandlung erklärten der Beschwerdeführer und sein Rechtsvertreter übereinstimmend, dass die verfahrensgegenständliche Datenverarbeitung auf keine weitere Rechtsgrundlage gestützt wird (Verhandlungsniederschrift vom 10.01.2023, Seite 12 f). Schon vor diesem Hintergrund erübrigt sich eine weitere Erörterung von Rechtsgrundlagen für die Verarbeitung der verfahrensgegenständlichen personenbezogenen Daten der mitbeteiligten Partei. Gemäß Art. 5 Abs. 2 DSGVO obliegt es dem Beschwerdeführer als Verantwortlichen, die Rechtmäßigkeit seiner Verarbeitung nachzuweisen. Der Vollständigkeit halber wird darauf verwiesen, dass selbst eine Rechtfertigung der Verarbeitung zum Schutz lebenswichtiger Interessen gemäß Art. 9 Abs. 2 lit. c DSGVO nicht möglich ist. Im Rahmen der verfahrensgegenständlichen Datenverarbeitung wird der Impfstatus der mitbeteiligten Partei verarbeitet. Da das Datum „Impfstatus“ als Gesundheitsdatum iSd Art. 9 Abs. 1 DSGVO zu klassifizieren ist (siehe Punkt II.3.2.3.4), setzt der Ausnahmetatbestand gemäß Art. 9 Abs. 2 lit. c DSGVO voraus, dass die betroffene Person außer Stande sein muss, in eine Verarbeitung ihrer Daten einzuwilligen. Die Regelung soll also nur dann gelten, wenn anzunehmen ist, dass die betroffene Person in die Verarbeitung einwilligen würde, wenn sie zu einer Entscheidung in der Lage wäre (mutmaßliche Einwilligung). Es ergaben sich aber keinerlei Hinweise darauf, dass die mitbeteiligte Partei aus körperlichen oder rechtlichen Gründen außerstande gewesen wäre, ihre Einwilligung zu geben.

Insgesamt hat die belangte Behörde im bekämpften Bescheid daher zu Recht festgestellt, dass der Beschwerdeführer die mitbeteiligte Partei dadurch in ihrem Recht auf Geheimhaltung verletzt hat, indem er unrechtmäßig auf die Daten der mitbeteiligten Partei im zentralen Impfregister und im Patientenindex zugegriffen und diese Daten zum Zweck des Versands eines Schreibens mit Informationen betreffend einen Termin für eine Corona-Schutzimpfung verarbeitet hat. Die dagegen gerichtete Beschwerde war daher abzuweisen.

II.3.4. Zu Spruchpunkt B) – Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzlichen Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen (siehe dazu insbesondere die unter A) zitierte Judikatur). Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor. Konkrete Rechtsfragen grundsätzlicher Bedeutung sind weder in der gegenständlichen Beschwerde vorgebracht worden, noch im Verfahren vor dem BVwG hervorgekommen, zumal im vorliegenden Fall vornehmlich die Klärung von Sachverhaltsfragen Grundlage für die zu treffende Entscheidung war.

Die oben in der rechtlichen Beurteilung angeführte Judikatur des VwGH ist zwar zum Teil zu früheren Rechtslagen ergangen, sie ist jedoch nach Ansicht des erkennenden Gerichts auf die inhaltlich weitestgehend gleichlautenden Bestimmungen der nunmehr geltenden Rechtslage unverändert übertragbar.

Es war daher spruchgemäß zu entscheiden.