Spruch
W298 2261669-1/13E
IM Namen der REpublik
Das Bundesverwaltungsgericht hat durch den Richter Mag. Mathias VEIGL als Vorsitzenden sowie Mag. Laura Sanjath und Dr. Wolfgang Goricnik als fachkundige Laienrichter über die Beschwerde des XXXX , vertreten durch Knyrim Trieb RA OG, Mariahilfer Straße 89a, 1060 Wien und Fellner Wratzfeld Partner RA GmbH, Schhottenring 12, 1010 Wien, gegen den Bescheid der Datenschutzbehörde vom 11.08.2022, GZ D213.1498 2022-0.391.396, im Umlaufwege in einer datenschutzrechtlichen Angelegenheit beschlossen:
A)
Der Beschwerde wird stattgegeben und der Bescheid ersatzlos behoben.
B)
Die Revision ist gemäß Art. 133 Abs 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
1. Aufgrund der medialen Berichterstattung sowie aufgrund anonymer Anzeigen im Zusammenhang mit dem durch die XXXX (in weiterer Folge: XXXX , im Verfahren vor der Datenschutzbehörde „Erstverantwortliche“ ) gemeinsam mit dem XXXX (Beschwerdeführerin, im Verfahren vor der Datenschutzbehörde „Zweitverantwortliche“) versandten Informationsschreiben (COVID-Schutzimpfung-Briefen), hat die belangte Behörde am 26.11.2021 ein amtswegiges Prüfverfahren gegen die Beschwerdeführerin und die XXXX eingeleitet und sie aufgefordert, binnen zwei Wochen diverse Fragen zu den vorgenannten Schreiben der XXXX zu beantworten und bezughabende Unterlagen vorzulegen.
2. Mit Schreiben vom 13.12.2021 erstattete die Beschwerdeführerin eine Stellungnahme und führte darin aus, dass die Schreiben durch die XXXX versendet worden seien und die Beschwerdeführerin in diesem Projekt lediglich Unterstützung, durch Bereitstellung finanzieller Mittel sowie durch Zurverfügungstellung der erforderlichen Infrastruktur im Hinblick auf einen möglichst niederschwelligen Zugang zu COVID-19-Impfungen für Wiener Bürger:innen in den Wiener Impfstraßen, geleistet habe. Impf- oder Meldedaten von betroffenen Personen seien von der Beschwerdeführerin weder erhoben noch in anderer Weise verarbeitet worden und allein aus der finanziellen Unterstützung eines Projekts könne noch keine datenschutzrechtliche Verantwortlichkeit abgeleitet werden. Die Beschwerdeführerin sei aus ihrer Sicht somit nicht für die Datenverarbeitung in Zusammenhang mit den Briefen an Ungeimpfte datenschutzrechtlich verantwortlich und könne daher die von der belangten Behörde gestellten Fragen auch nicht beantworten.
3. Nach mehreren Urgenzen und Aufforderungen zur Stellungnahme, beantwortete die XXXX mit Schreiben vom 10.01.2022 die von der belangten Behörde gestellten Fragen zu den verfahrensgegenständlichen Schreiben. Zusammengefasst führte sie aus, dass die datenschutzrechtliche Verantwortlichkeit ausschließlich bei der Beschwerdeführerin liege und die XXXX nur unterstützend als Auftragsverarbeiterin tätig gewesen sei. Bei der Ermittlung der Impfdaten sei die XXXX nicht involviert gewesen und könne daher keine Auskunft geben.
4. Der Beschwerdeführerin wurde die Stellungnahme übermittelt, sie erstattete nach Aufforderung der belangten Behörde und genehmigter Fristerstreckung am 09.02.2022 eine weitere Stellungnahme und brachte ergänzend vor, dass sie weder nach dem GTelG noch nach sonstigen Rechtsvorschriften die rechtliche Möglichkeit gehabt hätte, Daten über den Impfstatus der Bürger:innen zu verarbeiten, sodass eine wesentliche Voraussetzung des Art 9 Abs 2 lit i DSGVO nicht vorgelegen sei und sie demnach nicht datenschutzrechtlich verantwortlich sein könne. Es wurde ein Rechtsgutachten der Knyrim Trieb RA OG vom 07.02.2022 in Vorlage gebracht.
5. Am 24.02.2023 wurden zur Klärung des maßgeblichen Sachverhaltes informierte Vertreter der XXXX und der XXXX als Zeugen einvernommen, das Protokoll wurde der Beschwerdeführerin und der XXXX sodann zur Äußerung übermittelt.
6. Mit Schreiben vom 24.05.2022 wiederholte die Beschwerdeführerin ihr bisheriges Vorbringen. Auch die Ausführungen der XXXX im Rahmen der Einvernahme sowie die vorgelegten Unterlagen würden eine datenschutzrechtliche Verantwortlichkeit nicht erkennen lassen. Es wurde ein weiteres Rechtsgutachten der Knyrim Trieb RA OG vom 24.05.2022 vorgelegt.
7. Mit Schreiben vom 23.05.2022 wiederholte auch die XXXX , dass die datenschutzrechtliche Verantwortlichkeit für die gegenständliche Datenverarbeitung alleine bei der Beschwerdeführerin gelegen habe.
8. Mit Bescheid vom 11.08.2022 schloss die belangte Behörde das amtswegig eingeleitete Prüfverfahren ab und sprach aus,
„der Zugriff des Zweitverantwortlichen auf das zentrale Impfregister und den zentralen Patientenindex sowie die anschließende Verarbeitung dieser Daten zum Zweck des Versands eines Schreibens mit Informationen betreffend einen Termin für eine Corona- Schutzimpfung war unrechtmäßig“.
Begründend führte die belangte Behörde zusammengefasst aus, dass die Beschwerdeführerin proaktiv auf noch nicht geimpfte Personen im Bundesland Wien mit einem persönlichen Schreiben zugehen habe wollen. Dazu habe sie die XXXX beauftragt, die Adressaten des Schreibens durch Abgleich des zentralen Impfregisters mit dem zentralen Patientenindex zu ermitteln und das von der Beschwerdeführerin konzipierte Schreiben an Druckdienstleiter zu übermitteln. Die Beschwerdeführerin habe somit jedenfalls über den Zweck der niederschwelligen Information über die Vorteile einer COVID-Schutzimpfung sowie über die Mittel insbesondere den Versand des Schreibens, festgehalten im Auftragsverarbeitungsvertrag mit der XXXX , entschieden, weshalb sie hinsichtlich der gegenständlichen Datenverarbeitung als Verantwortliche gemäß Art 4 Z 7 DSGVO zu qualifizieren sei. Die XXXX habe hingegen ausschließlich als Versand- und Druckdienstleister für die Beschwerdeführerin agiert und sei deshalb als Auftragsverarbeiter gemäß Art 4 Z 8 DSGVO zu qualifizieren. Für die Beschwerdeführerin habe weder nach § 750 ASVG noch gemäß § 24d GTelG 2012 oder einer anderen gesetzlichen Bestimmung ein tragender Eingriffstatbestand vorgelegen, zum Zweck des Versands des Schreibens betreffend die Corona-Schutzimpfung auf die Daten der betroffenen Personen im zentralen Impfregister bzw. im zentralen Patientenindex zuzugreifen. Die gegenständliche Datenverarbeitung sei somit unrechtmäßig erfolgt und die Beschwerdeführerin sei gemäß Art 58 Abs 1 lit d DSGVO auf den Verstoß hinzuweisen gewesen.
9. Gegen diesen Bescheid richtet sich die gegenständliche Beschwerde vom 07.09.2022. Die Beschwerdeführerin brachte anwaltlich vertreten zusammengefasst vor, dass sie im Sinne des § 8 Abs 2 DSGV weder für das zentrale Impfregister noch für den Patientenindex die zuständige Behörde darstelle, weshalb ihr auch keine Verantwortlichenstellung hinsichtlich der in diesen Registern gespeicherten Daten zukomme. Sie könne deshalb schon nicht datenschutzrechtliche Verantwortliche sein, weil sie nicht über den Zweck sowie die Mittel der Verarbeitung entscheiden dürfe und könne. Die Beschwerdeführerin habe der XXXX keine Anweisungen gegeben, wie die Datenverarbeitung erfolgen hätte sollen. Es stehe auch explizit auf dem Deckblatt der Vereinbarung zwischen der XXXX und der XXXX vom 29.12.2021, dass die XXXX als Verantwortliche im Sinne des Art 4 Z 7 DSGVO gehandelt habe. Die belangte Behörde habe es unter anderem unterlassen, hinreichend zu ermitteln und entsprechend festzustellen, wer ursprünglich über den Zweck der Datenverarbeitung entschieden habe.
Weiters habe die belangte Behörde die Beschwerdeführerin in ihrem Recht auf Akteneinsicht verletzt, indem ihr lange Zeit nicht Einsicht in den vollständigen Akt, sondern nur in bestimmte Teile, gewährt worden sei. Über den vollständigen Akt habe sie erst zwei Wochen nach Bescheiderlassung Kenntnis erlangt.
10. Die belangte Behörde legte mit Schreiben vom 12.10.2022 die Beschwerde unter Anschluss des Verwaltungsaktes dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme dahingehend ab, dass sie das Beschwerdevorbringen bestreite und auf den angefochtenen Bescheid verweise. Darüber hinaus brachte sie vor, dass die Beschwerdeführerin bei ihrem Vorbringen, sie hätte keine rechtliche Möglichkeit gehabt, den Impfstatus der betroffenen Personen zu erheben, weshalb sie auch nicht datenschutzrechtliche Verantwortliche für den Versand des Impfschreibens sein könne, übersehe, dass eine fehlende rechtliche Möglichkeit keine Auswirkung auf die datenschutzrechtliche Verantwortlichkeit haben könne. Würde man der Argumentation der Beschwerdeführerin folgen, würde dies dazu führen, dass die Strafbestimmungen der DSGVO ungewandt zu bleiben hätten, da für eine unrechtmäßige Datenverarbeitung schlicht niemand datenschutzrechtlicher Verantwortlicher sein könne.
Zu den Ausführungen der Beschwerdeführerin im Zusammenhang mit der von ihr mit der XXXX als Auftraggeber abgeschlossenen Vereinbarung, lasse der klare Wortlaut der Vereinbarung keine andere Interpretation zu, als dass die Beschwerdeführerin die datenschutzrechtliche Verantwortliche für den Versand des verfahrensgegenständlichen Schreibens sei und die XXXX für sie als Auftragsverarbeiter tätig geworden sei.
Zur behaupteten Verletzung im Recht auf Akteneinsicht führte die belangte Behörde aus, dass § 17 AVG keine Frist normiere, binnen derer eine Behörde Akteneinsicht zu gewähren habe und habe die von der Beschwerdeführerin beantragte Akteneinsicht bereits zwei Tage später gewährt.
11. Aufgrund der Verfügung des Geschäftsverteilungsausschusses vom 31.05.2023 wurde die Rechtssache der ursprünglich zuständigen Gerichtsabteilung abgenommen und der Gerichtsabteilung W298 am 12.06.2023 neu zugewiesen.
12. Mit Schreiben vom 24.07.2023 übermittelte das Bundesverwaltungsgericht die Stellungnahme der belangten Behörde vom 12.10.2022 der Beschwerdeführerin und forderte sie auf, binnen vier Wochen eine Stellungnahme abzugeben.
13. Am 18.08.2023 erstattete die Beschwerdeführerin eine weitere Stellungnahme und führte darin, für das Verfahren wesentlich, aus, dass die belangte Behörde mit dem angefochtenen Bescheid den Hinweis erteilt habe, dass der Zugriff auf das zentrale Impfregister und den Patientenindex sowie die anschließende Datenverarbeitung nicht rechtmäßig gewesen sei. Sie stütze den Hinweis auf Art 58 ABs 1 lit d DSGVO. Da jedenfalls eine vergangene und abgeschlossene Rechtsverletzung vorliege, sei dieser Hinweis rechtswidrig. Dazu wurde vorgebracht, dass Art 58 Abs 1 lit d DSGVO Untersuchungsbefugnisse der Aufsichtsbehörde vorsehe und damit die Möglichkeit der belangten Behörde geregelt werde, einen Verantwortlichen auf einen Verstoß gegen die DSGVO hinzuweisen. Diese Bestimmung beziehe sich jedoch ausdrücklich nur auf einen „vermeintlichen Verstoß“ gegen die DSGVO. Gegenständlich sei der Verstoß von der Aufsichtsbehörde bereits festgestellt worden, weshalb keine Befugnis zur Hinweiserteilung gegeben sei. Art 58 Abs 1 lit d DSGVO sei demnach auf von der Behörde bereits festgestellte Verstöße nicht anwendbar und hätte von der belangten Behörde nicht als Grundalge für ihren Bescheid herangezogen werden dürfen, da die belangte Behörde einen Verstoß gegen die DSGVO nicht nur im Spruch, sondern auch in der Begründung des Bescheides festgestellt habe. Die Befugnisse der Aufsichtsbehörde seien in Art 58 DSGVO abschließend geregelt. Im amtswegigen Prüfverfahren komme nach Rechtsprechung des VwGH nur eine Verwarnung oder eine Geldbuße in Betracht. Ferner handle es sich bei den in Art 58 Abs 1 DSGVO angeführten Handlungsmöglichkeiten um „Untersuchungsbefugnisse“ der Behörde und nicht um „Abhilfebefugnisse“, welche in Art 58 Abs 2 DSGVO geregelt sind. Der Hinweis nach Art 58 Abs 1 lit d DSGVO sei daher nicht dafür vorgesehen, ein amtswegig durchgeführtes Prüfverfahren zu beenden, sondern kann allenfalls vor oder im Zuge der Einleitung eines solchen erfolgen und solle dazu dienen, einen allfälligen Verstoß abzustellen. Die belangte Behörde habe ihre Befugnisse überschritten, weshalb der Bescheid ersatzlos zu beheben sei. Weiters wurde noch einmal ausführlich darauf repliziert, dass die belangte Behörde die datenschutzrechtliche Verantwortlichenstellung falsch beurteilt habe und das Ermittlungsverfahren mangelhaft sei.
14. Die belangte Behörde nahm dazu ebenso Stellung und führte aus, dass sie dazu berechtigt gewesen sei, darauf hinzuweisen, dass die Beschwerdeführerin gegen datenschutzrechtliche Vorschriften verstoßen habe.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Der folgende Sachverhalt steht fest:
Mit Bescheid vom 11.08.2022 sprach die belangte Behörde in ihrem amtswegig eingeleiteten Prüfverfahren GZ D213.1498 2022-0.391.396 über die Zulässigkeit der Datenverarbeitung im Zuge der Versendung von Impferinnerungs-Schreiben durch die Beschwerdeführerin ab, indem sie im Spruch des Bescheides wie folgt formulierte:
„Der Zugriff des Zweitverantwortlichen auf das zentrale Impfregister und den zentralen Patientenindex sowie die anschließende Verarbeitung dieser Daten zum Zweck des Versands eines Schreibens mit Informationen betreffend einen Termin für eine Corona- Schutzimpfung war unrechtmäßig“.
In der rechtlichen Beurteilung sowie in den verwendeten Rechtsgrundlagen gründete die belangte Behörde ihren Ausspruch auf Art. 58 Abs. 1 lit. b) DSGVO. Insbesondere führte die belangte Behörde aus, dass sie durch die DSGVO direktlegitimiert sei, auf Datenschutzverstöße hinzuweisen.
2. Die Feststellungen ergeben sich aus der folgenden Beweiswürdigung:
Die Feststellungen gründen auf dem unbedenklichen Verwaltungsakt.
3. Rechtlich folgt daraus:
3.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist Ra 2021/03/0084. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Die zulässige Beschwerde ist berechtigt.
3.2. Zu den maßgeblichen rechtlichen Bestimmungen:
Der mit „Befugnisse“ betitelte Art 58 DSGVO lautet:
„(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen. […]
(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.“
Der mit „Beschwerde an die Datenschutzbehörde“ betitelte § 24 DSG lautet:
„§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
(2) Die Beschwerde hat zu enthalten:
[…]
5. das Begehren, die behauptete Rechtsverletzung festzustellen […]
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“
3.3. Angewendet auf den Sachverhalt bedeutet das:
Die belangte Behörde hat mit dem bekämpften Bescheid in einem von Amts wegen eingeleiteten Prüfverfahren abgesprochen, dass der Zugriff der Beschwerdeführerin auf das zentrale Impfregister und den zentralen Patientenindex sowie die anschließende Verarbeitung dieser Daten zum Zweck des Versands eines Schreibens mit Informationen betreffend einen Termin für eine Corona- Schutzimpfung unrechtmäßig war.
Es besteht für die belangte Behörde im amtswegig eingeleiteten Prüfverfahren nach dem AVG im Einklang mit der ständigen Judikatur des Verwaltungsgerichtshofes keine rechtliche Grundlage für einen selbständigen Abspruch über die allfällige Rechtswidrigkeit eines anlassgebenden Verarbeitungsvorgangs:
Der Verwaltungsgerichtshof (VwGH) hat u.a. in seiner Entscheidung Ro 2020/04/0032 vom 14.12.2021 ausdrücklich eine Befugnis der belangten Behörde zu Feststellungen von Rechtsverletzungen im amtswegigen Verfahren verneint.
Begründet wurde dies in Rz 30 bis 40 zusammengefasst damit, dass Art 58 DSGVO keine ausdrückliche rechtliche Grundlage für eine selbständige Feststellung über die allfällige Rechtswidrigkeit eines datenschutzrechtlich relevanten Verarbeitungsvorgangs in einem amtswegig eingeleiteten Verfahren durch die belangte Behörde enthält. § 24 DSG regelt den Rechtsschutzantrag von betroffenen Personen im Wege der Individualbeschwerde und ist damit auf Verfahren wie das vorliegende amtswegig eingeleitete nicht direkt oder indirekt anwendbar.
Auch kommt eine analoge Anwendung des § 24 DSG nicht infrage, weil hierfür das Bestehen einer echten (sprich planwidrigen) Rechtslücke erforderlich wäre, was aber nicht der Fall ist. Den Erläuterungen zu § 24 DSG ist nämlich zu entnehmen, dass die in Kapitel VIII der DSGVO (Rechtsbehelfe, Haftung und Sanktionen) enthaltenen Regelungen zum besseren Verständnis - zumindest zum Teil - eine Durchführung ins nationale Recht erfordern, hier in erster Linie Art.77 bis 79 DSGVO, die Beschwerde an die Aufsichtsbehörde und Rechtsbehelfe regeln. Keiner Durchführung ins nationale Recht bedürfen hingegen etwa Art 81 und zum Teil auch Art 83 DSGVO. In § 24 sollen im Rahmen der Durchführung des Art 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie die Grundsätze des Verfahrens vor der Aufsichtsbehörde geregelt werden. Diesbezüglich wurden die bislang bereits in § 31 Abs. 3, 4, 7 und 8 DSG 2000 vorgesehenen Regelungen zum Teil beibehalten (vgl. AB 1761 BlgNR 25. GP, 15). Damit ist klargestellt, dass mit § 24 DSG die in Art.77 DSGVO vorgesehene Individualbeschwerde ins nationale Recht übernommen wurde und dabei eine nähere Ausgestaltung erfuhr.
Aus den Erläuterungen zu § 22 DSG (vgl. AB 1761 BlgNR 25. GP, 14) ergibt sich zudem, dass: „Art 58 Abs 6 DSGVO, welcher die Möglichkeit bietet, dass jeder Mitgliedstaat durch Rechtsvorschriften vorsehen kann, dass seine Aufsichtsbehörde neben den in den Art 58 Abs 1, 2 und 3 DSGVO aufgeführten Befugnissen über zusätzliche Befugnisse verfügt, wird nicht in das DSG übernommen, da diese Rechtsvorschriften gegebenenfalls jeweils mit der zugehörigen Materie geregelt werden müssen. Die Ausübung dieser Befugnisse darf jedoch dabei nicht die effektive Durchführung des Kapitels VII der DSGVO beeinträchtigen.“
Somit geht aus den Erläuterungen zweifelsfrei hervor, dass die unterschiedliche Regelung der Individualbeschwerde und der amtswegig eingeleiteten Verfahren der Absicht des Gesetzgebers entsprochen hat. Eine solche ist auch nicht verfassungsrechtlich geboten, da § 24 und Art 58 Abs 2 DSGVO jeweils grundsätzlich unterschiedliche Rechtsschutzinstitute regeln.
Dass die belangte Behörde den Ausspruch der unrechtmäßigen Datenverarbeitung im angefochtenen Bescheid als Hinweis bezeichnet, ändert nichts daran, dass sie über die Rechtswidrigkeit der Datenverarbeitung abgesprochen und diese festgestellt hat.
Wenn nämlich die belangte Behörde – wie im angefochtenen Bescheid – davon ausgeht, dass sie durch die DSGVO direktlegitimiert sei amtswegige Verfahren durchzuführen, ist ihr entgegenzuhalten, dass der Verwaltungsgerichtshof bereits mehrmals ausgesprochen hat, dass der DSGVO ein Feststellungsbegehren oder eine Feststellung im Sinne des Ausspruchs, dass eine Rechtsverletzung in der Vergangenheit erfolgte (insbesondere im Hinblick auf Art. 58 DSGVO) fremd ist. (vgl. dazu Ro 2022/04/0001, vom 19.10.2022 sowie Ra 2019/04/0055 vom 12.11.2021 maN). Die Feststellung, dass die Beschwerdeführerin Daten unrechtmäßig verarbeitet habe, bildet als solche keine notwendige Grundlage für die Ausübung der Befugnisse gemäß Art. 58 DSGVO (Ro 2020/04/0043 vom 14.12.2021)
Die belangte Behörde führt aus, dass sie die Beschwerdeführerin auf die Unrechtmäßigkeit der Datenverarbeitung gemäß Art. 58 Abs. 1 lit. d) DSGVO hinzuweisen gehabt habe.
Von einem bloßen Hinweis des Verantwortlichen oder Auftragsverarbeiters auf einen vermeintlichen Verstoß gemäß Art 58 Abs 1 lit d DSGVO kann aber nach der Literatur nur bei einem noch nicht abschließend festgestellten Verstoß gegen die DSGVO die Rede sein. Dem Hinweis liegt demnach nur eine Vermutung eines Verstoßes zugrunde. (Art 58. Rn 12, 17 und 18 Körffer in Paal/Pauly). Wie bereits eindeutig aus der Formulierung des Spruchs des angefochtenen Bescheides hervorgeht („Der Zugriff des Zweitverantwortlichen (…) war unrechtmäßig“), liegt dem angefochtenen Bescheid jedoch eine Feststellung zu Grunde. Die belangte Behörde stellte die unrechtmäßige Datenverarbeitung abschließend fest, weshalb hier entgegen der Behauptungen der belangten Behörde kein Hinweis im Sinne des Art 58 Abs 1 lit d DSGVO, basierend auf einer bloßen Vermutung einer Datenschutzverletzung, vorliegt.
Hinzu kommt, dass sich schon aus EwGr. 129 DSGVO ergibt, dass die Legitimation zur Durchführung von Untersuchungen im Sinne des Art. 58 Abs. 1 DSGVO „zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten nicht ausschließen“ sollte. Wie bereits aus der zitierten Judikatur des VwGH hervorgeht ist die Feststellung einer Rechtsverletzung nicht die Voraussetzung für das Ausüben einer Abhilfebefugnis gemäß Art. 58 Abs. 2 DSGVO.
Was nun die „Untersuchungsbefugnis“ insbesondere dem ins Treffen geführten Art. 58 Abs. 1 lit. d) DSGVO betrifft, gehen die einschlägigen nationalen und internationalen Literaturkommentare davon aus, dass diese behördlichen Befugnisse der DSGVO als Untersuchungsbefugnis sämtliche Verfahrensschritte zur Ermittlung von Datenschutzverstößen erlauben (Zavadil in Knyrim, DatKomm Art 58 DSGVO (Stand 1.3.2021, rdb.at). Untersuchungsbefugnisse dienen der Ermittlung des Sachverhalts. Datenschutzüberprüfungen zielen somit auf die Beschaffung von Informationen. (Zierbarth in Sydow zu Art. 58 Rn 11ff.)
Eine direkte Legitimation zu einem Ausspruch, der ein Verfahren abschließt und sich aus Feststellung ergibt ergibt sich daraus gerade nicht. Aufgrund der zitierten Rechtsprechung des VwGH war auch im gegenständlichen Verfahren der angefochtene Bescheid ersatzlos aufzuheben, da es sich auch im gegenständlichen Fall um ein amtswegiges Prüfverfahren der belangten Behörde handelte.
3.4. Es war daher spruchgemäß zu entscheiden.
3.5. Von der Durchführung einer mündlichen Verhandlung konnte gemäß § 24 Abs 2 Z 1 2. Fall VwGVG abgesehen werden.
Zu Spruchpunkt B) Unzulässigkeit der Revision:
Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.
Die Revision ist nicht zulässig, weil keine Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Art 133 Abs 4 B-VG zukommt. Zur Beantwortung der Frage, ob der Datenschutzbehörde in einem amtswegig eingeleiteten Prüfverfahren die Kompetenz zukommt, in rechtlich verbindlicher Weise Rechtsverletzungen festzustellen, oder über die Berechtigung des amtswegigen Prüfverfahrens abzusprechen, konnte sich das Verwaltungsgericht auf die zitierte Rechtsprechung des Verwaltungsgerichtshofes stützen. Zwar bezog sich das zitierte Erkenntnis nicht ausdrücklich auf Verstöße gegen § 1 DSG, seine tragenden Überlegungen konnten aber zweifelsfrei auf Verstöße gegen § 1 DSG übertragen werden.