Spruch
W292 2284228-1/49E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Herwig ZACZEK als Vorsitzenden und die fachkundigen Laienrichter, Mag. René BOGENDORFER und Mag. Thomas GSCHAAR als Beisitzer, über die Beschwerde der X GmbH (nunmehr Y GmbH ), XXXX , vertreten durch die Schönherr Rechtsanwälte GmbH, Schottenring 19, 1010 Wien, gegen den Bescheid der Datenschutzbehörde vom 27.11.2023, Zl. D124.0960/23 / 2023-0.703.446 (mitbeteiligte Partei: XXXX , vertreten durch: RA Mag. Robert HAUPT und RA Mag. Dr. Florian SCHEIBER), nach Durchführung einer mündlichen Verhandlung am 28.02.2024 zu Recht erkannt:
A)
Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG, § 1 und 24 DSG in Verbindung mit Art. 5, 6, 32 und 77 DSGVO, als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit dem verfahrenseinleitenden Antrag vom 19.04.2023, einer auf Art. 77 DSGVO und § 24 DSG gestützten Beschwerde an die Datenschutzbehörde, behauptete die mitbeteiligte Partei, durch die (nunmehrige) Beschwerdeführerin (Beschwerdegegnerin im Verfahren vor der belangten Behörde) in Rechten nach der DSGVO, konkret durch Verstöße gegen Datenverarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO und Benachrichtigungspflichten nach Art. 34 DSGVO, sowie im Recht auf Geheimhaltung nach § 1 DSG verletzt worden zu sein.
Zusammengefasst brachte die mitbeteiligte Partei vor, ein „Hacker“ habe die Meldedaten fast aller Österreicher aus einer Datenbank der Verantwortlichen entwendet, diese habe nämlich mit einem IT-Dienstleister zusammengearbeitet, bei dem es zu Nachlässigkeiten gekommen sei, wodurch die Datenbank der Verantwortlichen im Mai 2020 ohne Zugangssicherung im Internet zugänglich gewesen wäre. Dies entspreche nicht den datenschutzrechtlichen Vorgaben hinsichtlich der Sicherheit der Verarbeitung personenbezogener Daten und sei das Fehlverhalten des IT-Dienstleisters der Verantwortlichen zuzurechnen. Zudem habe hinsichtlich der gegenständlichen Vorfälle keine individuelle Benachrichtigung im Sinne von Art. 34 DSGVO stattgefunden.
2. Aufgrund einer Vielzahl gleichgelagerter Datenschutzbeschwerden, denen derselbe Sachverhalt zugrunde lag, führte die Datenschutzbehörde (belangte Behörde), protokolliert zur Zl. D124.0227/23, ein einheitliches Ermittlungsverfahren („Hauptverfahren“) durch, in Rahmen dessen setzte die belangte Behörde umfassende Ermittlungsschritte und legte die gewonnenen Ermittlungsergebnisse im Sinne der Verfahrensökonomie allen gegen die Verantwortliche gerichteten Verfahren zu Grunde.
3. Mit dem angefochtenen Bescheid hat die Datenschutzbehörde (belangte Behörde) der Datenschutzbeschwerde der mitbeteiligten Partei teilweise Folge gegeben und – soweit für das hg. Beschwerdeverfahren von Relevanz – festgestellt, die [Beschwerdeführerin] habe die [mitbeteiligte Partei] im Recht auf Geheimhaltung verletzt, indem die [Beschwerdeführerin] es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung") ermöglicht habe, dass personenbezogene Daten der [mitbeteiligten Partei] (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden.
4. Gegen den oben bezeichneten Bescheid der Datenschutzbehörde richtet sich die verfahrensgegenständliche Bescheidbeschwerde.
Darin bringt die Beschwerdeführerin zusammengefasst zunächst vor, das Beschwerderecht der mitbeteiligten Partei sei im Sinne von § 24 Abs. 4 DSG präkludiert, da die mitbeteiligte Partei bereits seit dem Jahr 2020 Kenntnis von einer sie potenziell betreffenden Datenschutzverletzung gehabt habe, die verfahrenseinleitende Datenschutzbeschwerde jedoch erst im Jahre 2023 erhoben worden sei. Weiterhin rügt die Beschwerdeführerin ein in mehrfacher Hinsicht mangelhaft geführtes Ermittlungsverfahren sowie eine daraus resultierende unrichtige rechtliche Beurteilung. Zudem sei es mit 01.01.2024 zu einer Änderung der Rechtslage gekommen, wodurch die nunmehrige Y GmbH GmbH nicht (mehr) als für den verfahrensgegenständlichen Sicherheitsvorfall aus dem Jahr 2020 datenschutzrechtlich Verantwortliche angesehen werden könne.
5. Die belangte Behörde hat die gegenständliche Beschwerde samt den Bezug habenden Verwaltungsakten dem Bundesverwaltungsgericht vorgelegt, ohne von der Möglichkeit einer Beschwerdevorentscheidung Gebrauch zu machen.
6. Am 28.02.2024 fand vor dem Bundesverwaltungsgericht eine mündliche Beschwerdeverhandlung in der gegenständlichen Rechtssache statt. Im Rahmen der mündlichen Verhandlung wurde unter anderem der Geschäftsführer des IT-Dienstleisters der X als Zeuge einvernommen, im Beisein der Parteien und deren Rechtsvertretern Beweise im Wege der Einsichtnahme in die in Rede stehenden Datensätze aufgenommen sowie die Sach- und Rechtslage umfassend erörtert.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Die X GmbH (FN XXXX , im Folgenden auch: X GmbH ) wurde laut Firmenbuch am 09.09.1998 errichtet und war unter diesem Firmenwortlaut bis zum 31.12.2023 mit der Einbringung und Abrechnung der Rundfunkgebühr in Österreich beauftragt und vollzog das Rundfunkgebührengesetz. Zur Wahrnehmung dieser Aufgabe erhielt sie Meldedaten aus lokalen Melderegistern von den jeweiligen lokalen Meldebehörden. Hierzu gehörten in der Regel zumindest der Vor- und Nachname, das Geburtsdatum und die postalische Anschrift von in Österreich gemeldeten Personen.
1.2. Die Firma der X GmbH wurde mit Wirkung zum 01.01.2024 in Y GmbH (im Folgenden auch: Y GmbH) geändert. An den Eigentumsverhältnissen hat sich seit der Errichtung der Gesellschaft keine Änderung ergeben, als Alleingesellschafterin scheint im Firmenbuch zum Entscheidungszeitpunkt nach wie vor der XXXX (FN XXXX ) auf.
1.3. Die X verfügte zur Erfüllung ihres gesetzlichen Auftrages über umfassende Datenbanken, die Meldedaten aller in Österreich gemeldeten Personen sowie Gebäudedaten umfasste (vgl. § 4 RGG).
1.4. Im Vorfeld des Sicherheitsvorfalles vom Mai 2020 wurde von der X ein sogenanntes CRM-System (Customer-Relationship-Management System) entwickelt und eingeführt. Für die Umsetzung dieses IT-Projektes wurde ein IT-Dienstleistungsunternehmen, die Z Service GmbH (im Folgenden: „IT-Dienstleister“), herangezogen. Konkret wurde das IT-Unternehmen mit der Systemgestaltungsentwicklung und Implementierung einer Adressdatenbank zur Verwaltung von Meldedaten potenziell beitragspflichtiger Personen, diese Datenbank wird von X als „Adress-Master“ bezeichnet, beauftragt. Die X verfolgte mit diesem IT-Projekt das Ziel, eine Restrukturierung der Datenbestände (Meldedaten) zu erreichen, da die an die X von unterschiedlichen Meldebehörden (Städten und Gemeinden) gelieferten Meldedaten eine nicht einheitliche Datenstruktur aufwiesen. Zwischen der X und dem IT-Dienstleister wurde hierzu eine (mit 13.09.2019 datierte) Vereinbarung unter Bezugnahme auf Art. 28 DSGVO geschlossen.
1.4.1. In dieser Vereinbarung heißt es auszugsweise wörtlich:
„… Die Firma Z Service GmbH , XXXX, XXXX, (im Folgenden: „Auftragnehmer“) erbringt für die X GmbH, XXXX (im Folgenden: „Auftraggeber“) dem in dem zwischen den beiden Parteien geschlossenen Leistungsvertrag (der „Vertrag“) vertraglich festgeschriebenen Leistungen, welche die Verwendung personenbezogener, vom Auftraggeber an den Auftragnehmer überlassener Daten beinhalten.
…
1. Verpflichtung zu nationalen und europäischen Datenschutzgesetzen und –normen
Der Auftragnehmer verpflichtet sich, die geltenden Datenschutzbestimmungen nach der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, kurz DSGVO) und den geltenden nationalen Gesetzen und Verordnung einzuhalten. Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich über gesetzliche Anforderungen und Änderungen zu informieren, die ihn von der Erfüllung dieses Vertrages behindern oder beschränken würden. In diesem Fall sind der Auftraggeber und der Auftragnehmer berechtigt, die weitere Ausführung des Vertrages auszusetzen und / oder vom Vertrag zurückzutreten.
Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind in der jeweiligen Vereinbarung beschrieben. Details und Spezifikationen der Verarbeitung personenbezogener Daten sind über den jeweiligen Vertrag oder ein Beiblatt zu dieser Vereinbarung geregelt.
…
Die Datenverarbeitung erfolgt ausschließlich in einem Mitgliedstaat der Europäischen Union. Jede Übertragung (einschließlich der Gewährung von Zugangsrechten oder der Nutzung von Unterstützungsdiensten) von einem Mitgliedstaat der Europäischen Union in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und darf nur dann durchgeführt werden, wenn zumindest die Anforderungen der Artikel 44 bis 50 DSGVO erfüllt sind.
…
4. Technische und organisatorische Maßnahmen
Der Auftragnehmer verpflichtet sich, alle notwendigen technischen und organisatorischen Maßnahmen nach den geltenden Datenschutzbestimmungen des Mitgliedstaats, der DSGVO und anderen anwendbaren nationalen Sonderregelungen zu treffen. …
Die Datensicherheitsmaßnahmen müssen ein angemessenes Datenschutzniveau gewährleisten, insbesondere nach Art, Umfang, Umständen und Zweck der Datenverarbeitung sowie der Wahrscheinlichkeit des Auftretens und der Schwere der Risiken. Der Auftragnehmer verpflichtet sich sicherzustellen, dass die Datensicherheitsmaßnahmen dem Stand der Technik entsprechen. Dies betrifft sowohl technische als auch organisatorische Maßnahmen (Vorgaben z.B. lt. ISO / IEC 27001 27002, sowie branchenüblichen Normane und Standards in der jeweils gültigen Version).“
6. Kontrollen und sonstige Verpflichtungen des Auftragnehmers
Der Auftragnehmer muss:
a) Aufzeichnungen über die Verarbeitung in Form und Stoff gemäß Art. 30 Abs. DSGVO führen;
b) wenn gesetzlich vorgeschrieben, einen Datenschutzbeauftragten ernennen, der seine Aufgaben nach Art. 37 bis 39 DSGVO erfüllen kann und dem Auftraggeber die Kontaktdaten für die direkte Kommunikation zur Verfügung stellt;
c) die personenbezogenen Daten und Daten der juristischen Personen vertraulich zu behandeln und nur Arbeitnehmer einzubeziehen, die sich verpflichtet haben, das Datengeheimnis zu beachten oder an die Berufsgeheimnisse gebunden sind, in jedem Fall bleiben die Geheimhaltungsplichten über das Ende des Vertrages hinaus gültig, diese Datenverarbeitungsvereinbarung oder den Arbeitsvertrag auf unbestimmte Zeit, unabhängig von der Bestimmung über andere Geheimhaltungspflichten
d) jede Person, die Zugang zu personenbezogenen Daten hat, über spezifische Datenschutzpflichten in Bezug auf diese Datenverarbeitungsvereinbarung sowie ihre Verpflichtungen zu Erfüllung von Weisungen und zur Nutzung personenbezogener Daten im Einklang mit dieser Datenverarbeitungsvereinbarung nachweislich informieren;
e) die für diese Datenverarbeitungsvereinbarung erforderlichen technischen und organisatorischen Maßnahmen umsetzen und einhalten sowie einem vom Auftraggeber bestimmten Auditor in diesem Zusammenhang verlangte Nachweise vorlegen;
f) eine Datenverletzung unverzüglich (innerhalb von 24 Stunden) melden, wenn dem Auftragnehmer eine Verletzung der personenbezogenen Daten, die der Datenverarbeitung unterliegen, gemäß dieser Datenverarbeitungsvereinbarung bewusst wird, um dem Auftraggeber die Erfüllung seiner „Datenverletzungsmittelung“ gemäß Art. 33 DSGVO zu ermöglichen;
g) den Auftraggeber von Kontrollmaßnahmen und Maßnahmen, die von einer Datenschutzaufsichtsbehörde oder anderen Untersuchungen durch eine Behörde über mögliche Verletzungen von Datenschutzgesetzen oder Fehlverhalten in dieser Hinsicht eingeleitet wurden, unverzüglich informieren.
7. Subauftragnehmer
Nach Art. 28 Abs. 2 DSGVO unterliegt die Beteiligung eines Subauftragnehmers einer gesonderten vorherigen schriftlichen Genehmigung des Auftraggebers. Folgende Mindest-Voraussetzungen müssen dabei erfüllt sein:
a) Der Subauftragnehmer hat mindestens die gleichen technischen und organisatorischen Maßnahmen wie der Auftragnehmer zu erfüllen.
b) Der Auftragnehmer und der Subauftragnehmer haben eine vertragliche Vereinbarung abzuschließen, in der die gleichen Bedingungen für die Verarbeitung personenbezogener Daten festgelegt sind, wie zwischen Auftraggeber und Auftragnehmer.
c) Der Subauftragnehmer verpflichtet sich ebenfalls einer vom Auftraggeber beauftragten Person (Auditor) auf Verlangen sämtliche Nachweise zu technischen und organisatorischen Maßnahmen in Bezug auf die DSGVO und den Anforderungen der Informationssicherheit vorzulegen.
d) Bei der Datenverarbeitung eines Subauftragnehmers sind alle gemäß Art. 32 DSGVO erforderlichen Sicherheitsmaßnahmen zu treffen. Insbesondere dürfen für die Tätigkeit nur solche Mitarbeiterinnen / Mitarbeiter herangezogen werden, die sich dem AV gegenüber zur Einhaltung des Datengeheimnisses gemäß § 15 DSG 2000 (Geheimhaltung von personenbezogenen Daten) bzw. der Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO) und über die einschlägigen strafrechtlichen Bestimmungen nachweislich informiert wurden.
Ungeachtet der Ermächtigung des Auftraggebers bleibt der Auftragnehmer für die Einhaltung der Datenschutzpflichten des Subauftragnehmers verantwortlich. Wenn der Subauftragnehmer seinen Datenschutzanforderungen nicht nachkommt, haftet der Auftragnehmer für Subauftragnehmer.
…“
1.4.2. Der Projektauftrag der X umfasste die Entwicklung einer durchsuchbaren Software für einheitliche Meldedaten. Den Projektauftrag erteilte die X Anfang 2019 und war die Softwareentwicklung mit Testdaten bereits im Dezember 2019 abgeschlossen. Die tatsächliche Softwareentwicklung erfolgte über weite Teile durch eine serbische Tochtergesellschaft des IT-Dienstleisters, da der IT-Dienstleister zum damaligen Zeitpunkt in Österreich lediglich über zwei Mitarbeiter verfügte, wobei es sich bei einem der Mitarbeiter um den Gesellschaftergeschäftsführer selbst handelte. Zum fraglichen Zeitpunkt verfügte der IT-Dienstleister im Rahmen der serbischen Tochtergesellschaft über acht bis zehn Mitarbeiter. Im Rahmen der Neustrukturierung der Datenbanken war die X vollumfänglich in den Entwicklungs- und Umsetzungsprozess durch den IT-Dienstleister eingebunden. X war seit Projektbeginn bekannt, dass Softwareprogrammierer des serbischen Tochterunternehmens des IT-Dienstleisters in Serbien federführend an der Softwareentwicklung im Rahmen des in Rede stehenden Projektes arbeiteten.
1.5. Von der X GmbH wurde dem IT-Dienstleister keine Testumgebung in Form von Server-Infrastruktur zur Verfügung gestellt. Der IT-Dienstleister richtete auf Aufforderung von X auf einem bereits Anfang 2019 angemieteten Cloud-Server eine Testumgebung ein. Anbieter des Cloud-Servers war eine Gesellschaft mit Sitz in Deutschland, die S GmbH , XXXX , Deutschland (IP: XXXX , Domäne: XXXX ). Zugangsdaten zum Testserver wurden vom IT-Dienstleister auch der X zur Verfügung gestellt.
1.6. Die X GmbH hat zwischen dem 01.05.2020 und 05.05.2020 personenbezogene Daten über eine Datenaustauschplattform in Gestalt von Meldedaten aus der Meldedatenbank der X GmbH im Ausmaß von zumindest fünf bis sechs Millionen Datensätzen dem IT-Dienstleister bereitgestellt. Diese Daten wurden vom IT-Dienstleister am 06.05.2020 auf den angemieteten Test-Server in Deutschland geladen. Auf diese Testumgebung griffen sowohl Mitarbeiter des IT-Dienstleisters als auch der X per Fernzugriff (Remote-Access) zu. Der IT-Dienstleister hat die seitens der X GmbH zur Verfügung gestellten Daten — im Wesentlichen Meldedaten — auf eine Testumgebung geladen. Grundlage für die Testumgebung war der sog. Elastic Stack (ELK Stack). „ELK" ist die Abkürzung für drei Open-Source-Projekte: Elasticsearch, Logstash und Kibana. Im Rahmen der Einführung eines zentralen Adressverwaltungs-Systems wurde zumindest „Elasticsearch" zur Abfrage der normalisierten Meldedaten verwendet.
1.7. Ein Mitarbeiter des IT-Dienstleisters, der an dem in Rede stehenden IT-Projekt im Mai 2020 arbeitete, erfuhr am 27.05.2020 aus den Medien von einem externen widerrechtlichen Zugriff und befürchtete, dass es sich um die von X zur Verfügung gestellten Meldedaten handelte. Im Rahmen der Überprüfung durch den Mitarbeiter stellte sich heraus, dass eine technische Sicherheitslücke an dem zu Testzwecken genutzten Server bestand, dies in Gestalt einer offenen – aus dem öffentlichen Internet erreichbaren – Netzwerkschnittstelle, dem TCP Port 9200, unbekannte Täter diese Sicherheitslücke ausgenutzt und die dort gespeicherten Meldedaten bereits am 08.05.2020 abgegriffen haben. Der unrechtmäßige externe Zugriff auf den Meldedatenbestand konnte durch Auswertung von Protokolldaten (Log-Files) am Server festgestellt werden. Ermöglicht wurde der unrechtmäßige externe Zugriff dadurch, dass ein kurzzeitig für das Unternehmen tätiger Mitarbeiter des IT-Dienstleisters im Rahmen von Entwicklungs- bzw. Testtätigkeiten den TCP-Port 9200 zum Testserver in Deutschland offengelassen hat und die dort betriebene Meldedatenbank nicht durch ein Benutzerauthentifizierungssystem (bspw. Benutzername und Kennwort) vor unrechtmäßigen Zugriffen geschützt war. Der betreffende TCP-Port 9200 wurde im Vorfeld des widerrechtlichen externen Zugriffs vom 08.05.2020 seit Dezember 2019 immer wieder geöffnet und geschlossen. Der betreffende Mitarbeiter des IT-Dienstleisters verfügte auf dem Test-Server in Deutschland über die erforderlichen Zugriffsrechte, um dort entsprechende Konfigurationen vorzunehmen, hat das Unternehmen jedoch bereits vor Mai 2020 verlassen. Welche genauen Anweisungen dieser Mitarbeiter von ihm vorgesetzten Personen des IT-Dienstleisters erhalten hat und weshalb es erforderlich war, dass dieser Mitarbeiter derart umfangreiche Konfigurationsrechte in Bezug auf den Test-Server hatte, konnte nicht festgestellt werden. Ob und wann die auf dem betroffenen Server befindlichen personenbezogenen Daten der Adressdatenbank endgültig gelöscht wurden, kann nicht festgestellt werden.
1.8. Einem Dritten (in der Folge auch: „Hacker“) gelang es im Mai 2020 durch gezielte Suchen die Ziel-IP-Adresse und den Ziel-Port des Servers der Testumgebung, auf dem die Meldedaten von X vorhanden waren, konkret: der verfahrensgegenständlichen Elastic Search Umgebung, herauszufinden. Danach gelang es dem Hacker, über den offenen TCP-Port 9200 auf die dort gespeicherte Meldedatenbank zuzugreifen und den Datenbestand zu exfiltrieren. Durch den offenen TCP-Port 9200 war es für den Zugriff auf die (Melde-)Datenbank nicht erforderlich, sich mittels Fernzugriffsverbindung (Remote-Access) mit dem Server der Testumgebung zu verbinden. Vorkehrungen bzw. Sicherheitsmechanismen, um einen unautorisierten Zugriff auf die (Melde-)Datenbank zu verhindern, wie etwa eine zusätzliche Zugangsbeschränkung durch Authentifizierung mittels Benutzername und Kennwort, waren im Rahmen der Konfiguration und Inbetriebnahme des Testservers seitens des IT-Dienstleisters (in Bezug auf die dort gespeicherten Meldedaten) nicht getroffen worden.
1.9. Zumindest ein Dritter (um wen es sich dabei konkret handelte, kann nicht festgestellt werden), hat den exfiltrierten Meldedatenbestand, also jene Meldedaten, die von X dem IT-Dienstleister im Mai 2020 zur Verfügung gestellt wurden, in Folge öffentlich im Internet, im sogenannten „RaidForums", zumindest im Mai 2020 zum Verkauf angeboten.
Der zum Kauf angebotene Meldedatenbestand wurde von einer öffentlichen Stelle in Österreich zwischen 24.05.2020 und 25.05.2020 angekauft.
1.10. Personenbezogene Daten der mitbeteiligten Partei, die X im Rahmen deren Meldedatenbank im Jahr 2019 verarbeitete, waren in dem Datenbestand, der von einem Dritten (Hacker) von dem Test-Server des IT-Dienstleisters in Deutschland am 08.05.2020 abgegriffen und in Folge zum Verkauf angeboten wurde, enthalten.
Konkret stellt sich der Datensatz hinsichtlich der mitbeteiligten Partei wie folgt dar:
Search " XXXX " (1 hit in 1 file of 5 searched)
aus data_5.csv (1 hit)
Line 1322173:
MSc,6772324„ 2019/12/02,2018/10/03, H,2, XXXX , M,,, XXXX „ XXXX „Top XXXX , XXXX ,2,1„6800,17187,0003, XXXX ,044425, XXXX , XXXX
1.11. Der Geschäftsführer der Z Service GmbH hat die Geschäftsführung der X GmbH zwischen 27.05.2020 und 28.05.2020 per E-Mail schriftlich von den unter 1.7. beschriebenen Vorgängen in Kenntnis gesetzt.
1.12. Personenbezogene Daten aus dem Meldedatenbestand der X verarbeitete der IT-Dienstleister bereits seit November 2019. Die am 08.05.2020 widerrechtlich abgegriffenen Daten waren jedoch erst seit wenigen Tagen vor dem 08.05.2020 im Besitz des IT-Dienstleisters.
1.13. Am 27.05.2020 unterrichtete die X die Austria Presse Agentur (APA) über den verfahrensgegenständlichen Sicherheitsvorfall. Das hierzu an die APA versandte E-Mail der X konnte von der Beschwerdeführerin als Beweismittel im Verfahren vor dem BVwG nicht in Vorlage gebracht werden. Die Formulierung des Wortlauts der an die APA zu diesem Zweck übermittelten Nachricht erfolgte unter Einbindung der Kommunikationsabteilung des XXXX , die Textierung der diesbezüglich veröffentlichten APA-Meldung lautet wörtlich wie folgt [Formatierung nicht wie im Original]:
„APA0488 5 II 0348 MI/CI Mi, 27.Mai 2020
Medien/Datenschutz/Ermittlung/Österreich
Verdacht auf Datendiebstahl bei X
Utl.: Bundeskriminalamt und Verfassungsschutz ermitteln
Wien (APA) - Die XXXX -Tochter X ( X ) könnte von einem Datendiebstahl betroffen sein. Wie die für die Abwicklung der Rundfunkgebühren zuständige Firma der APA sagte, laufen derzeit Ermittlungen der Behörden dazu. Anlass sind dem Vernehmen nach auf einem Darknet-Marktplatz angebotene österreichische Daten, deren Zusammensetzung auf die von der X gespeicherten Informationen hinweist.
"Wie heute bekannt wurde, dürfte es zu einem Diebstahl von größeren Mengen an Daten gekommen sein, wobei nicht ausgeschlossen werden kann, dass diese Daten aus dem Einflussbereich der X stammen", hieß es in einer schriftlichen Stellungnahme der X gegenüber der APA. Geschäftsführer XXXX betont, mit den Behörden zusammenzuarbeiten und die Systeme der X für Überprüfungen zur Verfügung gestellt zu haben. "Wie uns unsere Datenschutzexperten versichern, ist es seitens der X zu keinerlei Versäumnissen gekommen. Dies wird auch durch die im Februar erneuerte ISO-Zertifizierung der X -IT-Systeme untermauert", betonte XXXX .
"Das Bundeskriminalamt geht seit kurzem dem Verdacht eines Datendiebstahls nach", bestätigte Sprecher XXXX auf APA-Anfrage. Geführt werden die Ermittlungen demnach vom Cyber Crime Competence Center (C4) des Bundeskriminalamts mit Unterstützung des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung (BVT). Man arbeite eng mit der X zusammen.
Wie viele Personen von dem möglichen Datendiebstahl betroffen sind und um welche Daten es sich genau handelt, war vorerst nicht zu erfahren. Anlass für die Ermittlungen war dem Vernehmen nach, dass auf einem Darknet-Marktplatz Daten angeboten wurden, deren Zusammensetzung auf die (teils aus dem Zentralen Melderegister abgefragten, Anm.) Kundendaten der X hinweist. Offiziell bestätigt wurde das allerdings nicht. Der NEOS-Abgeordnete XXXX hatte zuvor von einem einschlägigen Darkent-Angebot berichtet, auf dem behauptet wird, Adressen, Telefonnummern und Kontodaten von österreichischen Beamten, Richtern, Staatsanwälten und Journalisten zu verkaufen. Ob es sich dabei um jene Plattform handelt, die auch die aktuellen Ermittlungen ausgelöst hat, war vorerst unklar. XXXX hielt auf Anfrage der APA auch einen Zusammenhang mit dem "Ergänzungsregister" auf der Seite des Wirtschaftsministeriums für möglich und forderte Aufklärung darüber, ob hier Daten abgeflossen sein könnten.“
Diese APA-Meldung war auch auf der Homepage der X im Zeitraum von 27.05.2020, 17:16 Uhr, bis (inklusive) 14.12.2023, 14:20 Uhr, abrufbar.
Zudem wurde der Wortlaut der APA-Meldung auch den Mitarbeitern des Kundendienstes der X zum Zweck der Beantwortung telefonischer Anfragen zur Verfügung gestellt. Der Inhalt der APA-Mitteilung wurde von zahlreichen Medienunternehmen im Mai 2020 aufgegriffen und in Kurzberichten thematisiert.
1.14. Eine individuelle Benachrichtigung einzelner potenziell von dem Sicherheitsvorfall betroffener Personen seitens der X hat zu keinem Zeitpunkt stattgefunden.
Die X GmbH hat selbst noch im Jahr 2023 auf Anträge auf Auskunft nach Art. 15 DSGVO, die sich auf den gegenständlichen Sicherheitsvorfall vom Mai 2020 bezogen haben mitgeteilt, dass sie keine Kenntnis über die jeweilige individuelle Betroffenheit der Antragsteller habe, und daher keine Auskunft darüber erteilen könne.
1.15. Im Rahmen einer Meldung im Sinne von Art. 33 DSGVO an die Datenschutzbehörde vom 29.05.2020 führte die X in Bezug auf den Sicherheitsvorfall vom 08.05.2020 auszugsweise aus wie folgt [Formatierung nicht wie im Original, Unterstreichungen durch das Bundesverwaltungsgericht]:
„[ … ]
Meldung gern Art 33 DSGVO
In umseits bezeichneter Angelegenheit erstatten wir in rechtsfreundlicher Vertretung der X GmbH gern Art 33 DSVO die nachstehende
Meldung
[ … ]
II. Inhalt der Meldung:
Hiermit meldet die X GmbH (im Folgenden: "wir", "uns") die im Folgenden geschilderte, mutmaßliche Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO. Bei dieser Meldung handelt es sich um eine fristwahrende Vor-sichtsmeldung. Die Ermittlungen zum Vorfallshergang sind im Laufen, und wir behalten uns eine dem weiteren Ermittlungsverlauf entsprechende Ergänzung dieser Meldung vor.
1. Beschreibung der Verletzung des Schutzes personenbezogener Daten:
Am 27.05.2020 um 09.00 Uhr erhielten wir einen Hinweis von Ermittlungsbeamten des Bundeskriminalamts (BK), wonach eine größere Menge personenbezogener Daten im Darknet von einer unbekannten Person zum illegalen Verkauf angeboten wird. Hierbei handelt es sich um Daten von Personen mit Unterkunft in Österreich. Die bisherigen Erhebungen des BK haben ergeben, dass sich die zum Verkauf angebotenen Daten vornehmlich aus dem österreichischen zentralen Melderegister (ZMR), aber auch aus den lokalen Melderegistern (LMR) rekrutieren. Deshalb konzentriert das BK seine Ermittlungen auf bestimmte öffentliche Stellen und Unternehmen, die LMR und ZMR Daten beziehen. Da wir in Entsprechung des uns unter dem RGG zukommenden gesetzlichen Auftrags zur Einhebung der Rundfunkgebühren zu den Beziehern von LMR und ZMR Daten gehören, erstrecken sich die Ermittlungen auch auf uns.
Die ersten uns vom BK mitgeteilten Indizien sprachen dafür, dass der zum Verkauf stehende Datenbestand zumindest zum Teil aus unseren Datenbeständen stammen könnte, sodass wir uns aus Transparenzüberlegungen zu einer unmittelbaren Unterrichtung der Öffentlichkeit entschieden haben, siehe beispielsweise: XXXX . Dies natürlich in Absprache mit den Ermittlungsbehörden.
Im Laufe der andauernden Ermittlungen erweiterte sich das bisherige Ermittlungsbild, eine Kompromittierung außerhalb der Sphäre der X erscheint nach aktuellem Stand nicht unwahrscheinlich. Zur raschen Aufklärung des Sachverhalts haben wir uns zur umfangreichen Kooperation mit dem BK bereit erklärt. Ebenso haben wir aus eigener Initiative die Firma Grant Thornton beauftragt, um hierdurch einen bestmöglichen Beitrag zu den behördlichen Ermittlungen leisten zu können.
Vor diesem Hintergrund ist die vorliegende Meldung als eine Zusammenfassung unseres Kenntnisstandes zu den aktuellen Ermittlungen zu verstehen, nicht aber als ein abschließendes Bild des aufzuklärenden Sachverhalts, und behalten wir uns eine dem fortlaufenden Ermittlungsstand angepasste Nachmeldung vor.
2. Es handelt sich um folgende Art der Verletzung des Schutzes personenbezogener Daten:
Verletzung der Vertraulichkeit.
3. Kategorien der betroffenen Personen (Kunden, Mitarbeiter, Patienten, Kinder etc.):
Dieser Sicherheitsvorfall betrifft Personen mit Unterkunft in Österreich.
4. Angabe der ungefähren Zahl der betroffenen Personen:
Nach unserem Vernehmen dürften die Ermittlungsbehörden davon ausgehen, dass der Täter über Datensätze von zumindest 5 Millionen Personen verfügt.
5. Angabe der betroffenen Kategorien (erworbene Produkte, Gesundheitsdaten, Bankdaten, politische Meinungen etc.) und der ungefähren Zahl der betroffenen personenbezogenen Datensätze:
Bei den betroffenen Datenkategorien handelt es sich um folgende Kategorien:
· Vor- und Nachname
· Adressanschrift (Straße, Hausnummer und sonstige Adressbezeichnung, Postleitzahl, Stadt- oder Gemeindename, teils Geodaten der Wohnobjekte)
· Geburtsdatum
Hinzuweisen ist, dass uns der zum Verkauf stehende Datenbestand bislang nur punktuell zur Kenntnis gebracht, nicht aber zur Verfügung gestellt worden ist.
6. Zeitpunkt der Verletzung:
Uns wurde die mutmaßliche Verletzung durch das BK am 27.05.2020 um 09.00 Uhr telefonisch mitgeteilt. Der genaue Zeitpunkt der Verletzung bildet derzeit noch den Gegenstand der Ermittlungen.
[ … ]
8. Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (Bloßstellung, Diskriminierung, finanzieller Verlust, Haftung gegenüber Kunden, Identitätsdiebstahl):
Durch die unerlaubte Nutzung der kompromittierten Daten kann es neben dem Weiterverkauf dieser Daten möglicherweise auch zur vermehrten Zusendung unerwünschter Post kommen. Gemäß dem aktuellen Ermittlungsstand sind keine Zahlungsdaten zur Rundfunkgebühreneinhebung oder sonstige Daten aus unserem operativen Geschäftsfeld von diesem Vorfall betroffen. Anders als in manchen Medien kolportiert, kann gemäß den bisherigen Erhebungen auch keine Kompromittierung von Bankdaten bestätigt werden. Der ermittlungsbekannte Datenbestand birgt kaum finanzielle Risiken, das Risiko des Identitätsdiebstahls oder ein Risiko der Diskriminierung von Personen in sich.
[ … ]
12.3 Die Daten werden von einem Auftragsverarbeiter verarbeitet (Art. 28 DSGVO):
Wie unter Punkt II.1. beschrieben, bildet das mögliche Involvement anderer Unternehmen den Gegenstand noch andauernder Ermittlungen. Es ist nicht auszuschließen, dass sich die Ermittlungen auf einen unserer Auftragsverarbeiter erstrecken.
[ … ]“
1.16. In Folge eines an die zuständige Ermittlungsbehörde per E-Mail übermittelten Ersuchens des Rechtsvertreters der X vom 23.09.2021 um Ausfolgung der seinerzeit von der dritten Person mit dem Benutzernamen „DataBox“ im Internet auf „Raidforums“ angebotenen und von verdeckten Ermittlern erworbenen Daten wurden die in Rede stehenden Datensätze als Kopie am 12.10.2021 vom Bundeskriminalamt an einen Vertreter der X auf einem Datenträger ausgefolgt.
1.17. In den von X an den IT-Dienstleister übermittelten Meldedaten, die in Folge vom Server des IT-Dienstleisters entwendet und im Internet auf Raidorums.com zum Kauf angeboten und vom Bundeskriminalamt erworben und untersucht wurden, waren auch die Meldedaten von Personen mit Wohnsitz in Österreich enthalten, hinsichtlich derer eine Auskunftssperre bestanden hat.
2. Beweiswürdigung:
Zur Feststellung des entscheidungsrelevanten Sachverhaltes wurden insbesondere die folgenden Aktenbestandteile herangezogen:
- Verhandlungsniederschrift zur mündlichen Verhandlung vor dem BVwG vom 28.02.2024
- Niederschrift der Einvernahme der X vom 25.05.2023 vor der Datenschutzbehörde, Zl. 2023-0.438.100
- Niederschrift der Einvernahme der Z GmbH vom 25.08.2023 vor der Datenschutzbehörde, Zl. 2023-0.604.490
- Verwaltungsakt zum Prüfverfahren vor der Datenschutzbehörde zur Zl. D213.1087
- Verwaltungsakt zum Verfahren nach Art. 33 DSGVO vor der Datenschutzbehörde, Zl. D084.1815
- Zwischenbericht des Bundeskriminalamtes an die Staatsanwaltschaft Wien vom 02.06.2020, Zl. 3703947/1-11/BK/5-Soko Hera, Aktenvermerk des BVwG über eine telefonische Rücksprache mit dem zuständigen Ermittlungsbeamten des Bundeskriminalamtes vom 13.05.2024, Zl. 2284228-1/42Z, Übernahmebestätigung vom 12.10.2021, Zl. G3703947/1-II/BK 5.2 (OZ 41).
- Vereinbarung nach Art 28 DSGVO vom 13.09.2019
2.1. Zu 1.1. – 1.4.: Die diesbezüglichen Feststellungen ergeben sich anhand des unbedenklichen Akteninhaltes, des damit übereinstimmenden Parteivorbringens und der Zeugenaussagen im Rahmen der mündlichen Verhandlung sowie aus dem offenen Firmenbuch.
2.2. Zu 1.5.: Die zu den Umständen hinsichtlich der Bereitstellung, der Konfiguration und dem Betrieb eines Test-Servers in Deutschland getroffenen Feststellungen ergeben sich aufgrund des schriftlichen Vorbringens des IT-Dienstleisters im verwaltungsbehördlichen Prüfverfahren zur Zl. D213.1087 [vgl. Stellungnahme vom 08.09.2020] sowie den damit korrespondierenden Aussagen des als Zeugen vor dem Bundesverwaltungsgericht einvernommenen Geschäftsführers des IT-Dienstleisters.
2.3. Zu 1.6.: Die Feststellungen hinsichtlich der Übermittlung von personenbezogenen Meldedaten von X an den IT-Dienstleister Anfang Mai 2020 gründen auf den Angaben des IT-Dienstleisters im Rahmen des verwaltungsbehördlichen Prüfverfahrens zur Zl. D213.1087 [vgl. Stellungnahme vom 08.09.2020] und den hiermit korrespondierenden Aussagen des als Zeugen vor dem Bundesverwaltungsgericht einvernommenen Geschäftsführers des IT-Dienstleisters: „Wann (vor dem Vorfall im Mai 2020 – illegaler Zugriff über den offenen Port 9200) haben Sie von der X über die Datenaustauschplattform (DAP) der A1 Telekom Austria AG die Basismeldedaten aus dem Bestand der X – also die Echtdaten – erhalten?
Z2: Dies müsste sich Anfang Mai bewegt haben, also, wenn ich das richtig in Erinnerung habe, ist es der 05.05.2020 gewesen, der letzte Datenbestand, der uns übergeben wurde über die DAP, zur Befüllung dieses sogenannten „Adressmasters“ oder des Systems, welches als Adressmaster bezeichnet wird.“
An der Glaubhaftigkeit der diesbezüglichen Angaben des unter Wahrheitspflicht befragten Zeugen kamen für den erkennenden Senat keine Zweifel hervor, auch der als Zeuge befragte IT-Mitarbeiter der X bestätigte die in Rede stehende Datenübergabe von Anfang Mai 2020 letztlich, auch wenn die Aussagen dieses Zeugen ausweichend und relativierend wirkten, was auf ein aktuell bestehendes Dienstverhältnis zur X GmbH (nunmehr Y GmbH) zurückzuführen sein dürfte: „Können Sie uns sagen, wann Ihrem Wissen nach Daten aus dem Adressmaster, das heißt, die Meldedaten, die der X ja grundsätzlich im Rahmen ihrer damaligen Befugnisse nach § 4 Abs. 3 des RGG zur Verfügung standen, an den IT Dienstleister, die Z GmbH übermittelt wurde, dies im Wege einer Daten-Austausch-Plattform (DAP) der A1 Telekom AG?
Z1: Grundsätzlich hat es in diesem Projekt mehrere Datenübergaben gegeben von Meldedaten. Die letzte Übergabe müsste sich Anfang Mai, spätestens Mitte Mai des Jahres 2020 ereignet haben …“.
2.4. Zu 1.7. und 1.8.: Die Feststellungen zum widerrechtlichen Zugriff vom 08.05.2020 ergeben sich insbesondere aufgrund der schriftlichen Stellungnahme des IT-Dienstleisters im Prüfverfahren vor der Datenschutzbehörde zur Zl. D213.1087 vom 08.09.2020: [„… XXXX arbeitete an dem genannten Projekt und erfuhr am 27.05.2020 aus den Medien von einem externen widerrechtlichen Zugriff (Datenleak) und befürchtete, dass es sich um die von X zur Verfügung gestellten Daten handeln könnte. Im Rahmen seiner Überprüfung stellte sich heraus, dass eine technische Sicherheitslücke (offen gelassener Port) bestanden hat. Unbekannte Täter haben diese Sicherheitslücke ausgenutzt und die Daten bereits am 08.05.2020 (!) abgegriffen …], damit in Einklang stehen auch die unter Wahrheitspflicht getätigten Aussagen des als Zeugen vom Bundesverwaltungsgericht einvernommenen Geschäftsführers des IT-Dienstleisters: [„Das bedeutet, Sie konnten über Log-Files nachvollziehen, dass am 08.05.2020 ein (widerrechtlicher) Zugriff über den offenen Port 9200 stattgefunden hat, bei dem die in Rede stehenden Meldedaten abgegriffen wurden? Z2: Ja, also der widerrechtliche Zugriff wurde durch die Log-Files festgestellt … Z2: Am 27. Mai [2020] wurden wir darüber informiert, dass es potentiell ein Datenleak gibt, dass es sich also potentiell um Daten von diesem System handeln kann. Zu dem Zeitpunkt haben wir dann auch festgestellt, dass der Port 9200 zu dem gegebenen Zeitpunkt auf und zu gemacht wurde und zum Zeitpunkt des 27.05.2020 auch offen war, entsprechend haben wir dann auch die X darüber informiert …]; die diesbezüglichen Angaben wurden von den Verfahrensparteien zu keinem Zeitpunkt in Abrede gestellt.
Ein technischer Nachweis dafür, ob und wann die auf dem Test-Server des IT-Dienstleisters vorhandenen personenbezogenen Daten der Adressdatenbank tatsächlich gelöscht wurden, konnte vom IT-Dienstleister nicht erbracht werden. Aus Sicht des erkennenden Senates mutet es in diesem Zusammenhang eigentümlich an, wenn der Geschäftsführer des IT-Dienstleisters danach gefragt sinngemäß angibt, sämtliche Protokolldaten des betreffenden Servers seien „aus Sicherheitsgründen“ vernichtet worden, wodurch im Nachhinein auch keine Datenflussanalysen mehr möglich gewesen seien. Das Vernichten von Log-Files im Nachgang zu einem Sicherheitsvorfall stellt nach dem Kenntnisstand des erkennenden Gerichts keinen üblichen Vorgang dar, vielmehr dienen Log-Files (Protokolldaten) der Dokumentation von Zugriffen auf ein System und sind regelmäßig zur Ermittlung von Sachverhalten wie dem vorliegenden jedenfalls erforderlich.
2.5. Zu 1.8. – 1.10.: Die Feststellungen, wonach es sich bei dem vom widerrechtlichen Zugriff betroffenen Datenbestand um jenen Datenbestand handelt, den die X Anfang Mai 2020 zu Testzwecken an den IT-Dienstleister übergeben und von diesem ab dem 06.05.2020 auf dem in Deutschland befindlichen Test-Server geladen wurde, auf den wiederum die dritte Person (Hacker) im Wege einer – über das Internet offen erreichbare Netzwerkschnittstelle (den TCP Port 9200) – am 08.05.2020 Zugriff nehmen und die Meldedaten exfiltrieren konnte, wobei hiervon auch die personenbezogenen Daten der mitbeteiligten Partei betroffen sind, ergibt sich anhand einer Gesamtwürdigung sämtlicher Ermittlungsergebnisse sowohl des behördlichen, als auch des verwaltungsgerichtlichen, Verfahrens im Rahmen dessen auch der strafrechtliche Ermittlungsakt beigeschafft und zum Akt genommen wurde, wobei insbesondere die engen zeitlichen Abläufe der relevanten Geschehnisse und die klaren und eindeutigen Ermittlungsergebnisse des Bundeskriminalamtes aus Sicht des erkennenden Senates bei lebensnaher Betrachtung keine anderen Schlussfolgerungen zulassen.
Hierzu im Einzelnen:
Die X GmbH hat zwischen 01.05.2020 und 05.05.2020 personenbezogene Daten aus deren Meldedatenbestand im Ausmaß von zumindest fünf bis sechs Millionen Datensätzen elektronisch über eine Datenaustauschplattform an den IT-Dienstleister übermittelt. Dieser hat die Daten sodann am 06.05.2020 auf den zu Testzwecken betriebenen und von einem deutschen Anbieter gemieteten Server geladen, um die von X beauftragte Datenbank zu finalisieren und mit Echtdaten zu testen. Während des fraglichen Zeitraumes bestand auf dem Test-Server eine offene Netzwerkschnittstelle (TCP Port 9200), wodurch auf den Server vom öffentlichen Internet aus ohne weitere Authentifizierungsmechanismen Zugriff genommen werden konnte, wobei das Aufspüren von Datenbanken, die im Internet über offene Netzwerkschnittstellen frei erreichbar sind, für interessierte und technikaffine Personen ohne tiefgehende technische Fähigkeiten mit einer Suchmaschine wie z.B. „Shodan“ [www.shodan.io] möglich ohne weiteres möglich ist. Der IT-Dienstleister konnte durch Auswertung von Protokolldaten (Log-Files) um den 27.05.2020 eindeutig feststellen, dass am 08.05.2020 von einer dritten Person (Hacker) über den offenen Port 9200 Zugriff auf die Meldedatenbank auf dem Server genommen wurde und die dort vorhandenen Daten abgegriffen wurden.
Dass die vom Sicherheitsvorfall betroffenen Daten aus dem Meldedatenbestand der X stammten, die von der X zu Testzwecken an den IT-Dienstleister übermittelt wurden, stützt sich auch auf den [hg. zum Akt genommenen] Zwischenbericht des Bundeskriminalamtes an die Staatsanwaltschaft Wien vom 02.06.2020 zur Zl. XXXX , in dem es zum seinerzeitigen Ermittlungsstand auszugsweise heißt [Hervorhebungen durch das Bundesverwaltungsgericht]:
„… Zusammenfassend kann dazu festgestellt werden, dass die geleakten Daten dem Umfeld der X zuzuordnen sind, jedoch dem derzeitigen Ermittlungsstand folgend zu einem Businessprovider der X hinweisen dürften. Diesbezügliche Erhebungen werden durchgeführt. …
Die Zusammensetzung der Daten stammt mit an Sicherheit grenzender Wahrscheinlichkeit aus der Anlieferung von Meldebehörden, die geleakten Daten liegen teilweise im Format dieser Anlieferung vor, fallweise in aufbereiteter vereinheitlichter Form und wiederum fallweise in verfälschter Form. …
Die Summe der Daten wird in dieser Art und Weise im Zusammenhang mit dem Rundfunkgebührengesetz durch die Meldebehörden an die X übermittelt und bei der X in der beschriebenen Form vereinheitlicht. Diese Tätigkeiten werden ausschließlich durch zwei Mitarbeiter der X unter Zuhilfenahme jeweils zweier Laptops durchgeführt.
…
Aufgrund der Erhebungen bei der X GmbH verdichteten sich die Hinweise auf einen dieser weiteren Dienstleister, der Z GmbH . In diesem Zusammenhang übermittelte die bevollmächtigte Firma ein Schreiben mit darin enthaltenen Hinweisen, siehe Beilage 5.
Hinsichtlich der geführten Erhebungen zu diesem Dienstleister wurden am 29.05.2020 zwei Zeugenvernehmungen mit dem Geschäftsführer dieses Unternehmens sowie eines weiteren Unternehmens durchgeführt. Im Zuge der Vernehmung kann geklärt werden, dass die Z GmbH diese Daten von der X im Zuge der geschäftlichen Tätigkeiten mit der X auf einem Server bei S gespeichert hatte und auf dem Server ein Port (TCP 9200) irrtümlich offen war. Diese Sicherheitslücke war auch schon auf https://www.shodan.io/ einsehbar. Es kann somit nach derzeitigem Ermittlungsstand davon ausgegangen werden, dass der Täter in den Besitz der Daten durch Ausnützung der Sicherheitslücke gekommen ist. Auf Grund der Zeugeneinvernahme der Z* Consulting kann mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgegangen werden, dass die Daten von der gemieteten IT Infrastruktur (bei S ) widerrechtlich entwendet wurden.
…
Da nach derzeitigem Ermittlungsstand alle Hinweise darauf hindeuten, wonach der Datenabfluss im Bereich der Z GmbH zu suchen ist, und dies derzeit weder bei Al noch bei anderen mit der X GmbH als Dienstleister in Verbindung stehenden Firmen der Fall ist, werden die Erhebungen bis auf weiteres in diesem Bereich somit gänzlich bei der Z GmbH weitergeführt.
…“
Aus dem vorgenannten Zwischenbericht des Bundeskriminalamtes vom 02.06.2020 erhellt aus Sicht des erkennenden Senates auch, dass die X GmbH bereits im Mai 2020 über weitgehende Ermittlungsergebnisse seitens des Bundeskriminalamtes verfügte, sodass innerhalb der X kaum Zweifel daran bestanden haben konnten, dass die im Internet zum Kauf angebotenen Meldedaten ursprünglich aus dem Datenbestand der X stammten und bei dem IT-Dienstleister über den offenen TCP-Port 9200 abgegriffen wurden. Die weitwendigen Ausführungen der X im Rahmen des hg. Ermittlungsverfahrens, wonach der Wissensstand auf Seiten der X hinsichtlich des in Rede stehenden Sicherheitsvorfalles in Bezug auf die betroffenen Datenkategorien und des genauen Tatherganges derart unsicher und vage gewesen sei, bzw. sogar bis zum gegenwärtigen Zeitpunkt kein nennenswerter Erkenntnisgewinn hierüber erzielt werden konnte, sodass keine weitergehenden öffentlichen oder gar individuellen Benachrichtigungen hierüber möglich waren, kann vom erkennenden Senat, auf dem Boden der vorliegenden Ermittlungsergebnisse, nicht nachvollzogen werden, worauf im Rahmen der rechtlichen Beurteilung näher einzugehen sein wird.
Zu 1.12.: Die Feststellungen zum Zeitpunkt [27.05.2020 oder 28.05.2020] und Inhalt der Mitteilung des IT-Dienstleisters an die Geschäftsführung der X hinsichtlich des Sicherheitsvorfalles vom Mai 2020 gründen auf den klaren und eindeutigen Aussagen des als Zeugen unter Wahrheitspflicht vor dem Bundesverwaltungsgericht einvernommenen Geschäftsführers XXXX ., wobei an der Glaubhaftigkeit der diesbezüglichen Angaben des Zeugen aus Sicht des erkennenden Senates keinerlei Zweifel hervorgekommen sind. Auch das Bundeskriminalamt bezieht sich in seinem oben zitierten Zwischenbericht an die Staatsanwaltschaft Wien auf die Einvernahme des Geschäftsführers der Z GmbH vom 27.05.2020, weshalb davon auszugehen sein wird, dass der Geschäftsführer des IT-Dienstleisters zur selben Zeit auch die X als Auftraggeberin informierte.
Zu 1.13. und 1.14.: Die Feststellungen zur öffentlichen Kommunikation der X hinsichtlich des verfahrensgegenständlichen Sicherheitsvorfalles vom Mai 2020 ergeben sich insbesondere anhand des Vorbringens der Beschwerdeführerin im Rahmen des Beschwerdeschriftsatzes [vgl. zum Inhalt der APA-Meldung Beilage ./1 zum Beschwerdeschriftsatz], aus dem ergänzenden Schriftsatz der Beschwerdeführerin vom 05.02.2024 [Fremdzahl: X /94055] samt Beilagen [vgl. zur Textierung insbesondere die E-Mailkonversation vom 27.05.2020] sowie dem damit in Einklang stehenden Ausführungen der informierten Vertreterin der X im Rahmen der mündlichen Beschwerdeverhandlung vor dem Bundesverwaltungsgericht vom 28.02.2024 [vgl. S. 53 der Verhandlungsschrift].
Die Feststellung, wonach die X GmbH selbst im Jahr 2023 im Rahmen von Auskunftsbegehren nach Art. 15 DSGVO von potenziell betroffenen Personen die Antwort erteilte, dass hinsichtlich einer allfälligen individuellen Betroffenheit keine Angabe gemacht werden könne, folgt aus dem diesbezüglichen Vorbringen der belangten Behörde im Rahmen der mündlichen Verhandlung vor dem Bundesverwaltungsgericht und der im Nachgang hierzu erfolgten Beweismittelvorlage vom 05.03.2023 (Zl. 2024-0.174.895). Aus einer von der X GmbH erteilten – und seitens der Datenschutzbehörde beispielhaft ausgewählten –Beantwortung eines Auskunftsbegehrens vom 23.05.2023 geht wörtlich hervor wie folgt [Hervorhebungen durch das BVwG]:
„[ … ] wir dürfen Bezug nehmen auf ihr hier eingegangenes Auskunftsersuchen, mit welchem Sie unter Art 15 DSGVO um eine datenschutzrechtliche Auskunft sowie insbesondere auch um Auskunft ersucht haben, ob Sie von dem Datensicherheitsvorfall des Jahres 2020 betroffen waren, in welchen auch die X Involviert gewesen ist. Innerhalb offener Frist teilten wir Ihnen mit, dass wir mit der Staatsanwaltschaft hinsichtlich des zur gewünschten Beauskunftung erforderlichen Datenabgleichs in Kontakt stehen und wir haben ihnen gem. Art 12 Abs 3 DSGVO die Verlängerung der eingeräumten Auskunftsfrist um weitere zwei Monate bekannt gegeben. Infolge des zwischenzeitigen Ablaufs dieser verlängerten Auskunftsfrist und weil Art 12 DSGVO keine weitere Fristverlängerung vorsieht teilen wir Ihnen nunmehr mit, dass wir die beim Täter sicher gestellten Daten bislang nicht erhalten haben, sodass uns ein Abgleich mit diesen Daten bisher nicht möglich war. Insofern können wir Ihr Auskunftsbegehren in diesem Punkt nicht weiter bearbeiten. In Entsprechung unserer diesbezüglichen gesetzlichen Informationspflicht weisen wir Sie darauf hin, dass Ihnen die Möglichkeit zur Beschwerdeerhebung bei der Datenschutzbehörde offen steht, Zugleich weisen wir Sie aber auch darauf hin, dass wir mit der Datenschutzbehörde zur Abklärung des weiteren Vorgehens bereits In Kontakt stehen. [ … ]“
Zu 1.15.: Die Feststellungen zu Zeitpunkt und Inhalt der Meldung nach Art. 33 DSGVO an die Datenschutzbehörde ergeben sich aus dem diesbezüglich klaren und unbedenklichen Inhalt des Verwaltungsaktes [vgl. Meldung nach Art. 33 DSGVO vom 29.05.2020, protokolliert zur Zl. D084.1815].
Zu 1.16.: Der Umstand, dass die X seit Oktober 2021 über den gesamten Datensatz an Meldedaten, der im Internet zum Verkauf angeboten wurde und von verdeckten Ermittlern des Bundeskriminalamtes erworben wurde, verfügte und in diesen Einsicht nehmen konnte, ergibt sich zunächst aus dem zum hg. Ermittlungsakt genommenen Zwischenbericht des Bundeskriminalamtes an die Staatsanwaltschaft Wien vom 01.10.2021, woraus auszugsweise hervorgeht:
„Geplante Ausfolgung der gestohlenen Daten an das X
Am 23.09.2021 ist der Rechtsvertreter der X , G*** L***, per E-Mail an das BK, C4, herangetreten und ersuchte um Ausfolgung der seinerzeit von DataBox auf Raidforums angebotenen und von VE erworbenen Daten. An die X träten laut deren Vertretung vermehrt Personen heran, um Auskunft zu begehren, ob sie vom Datenleak betroffen sind. Die gegenständliche E-Mail ist als Beilage 4 angeschlossen.
Mit dem zuständigen StA, Mag. I*** wurde am heutigen Tage fernmündlich Kontakt aufgenommen, welcher der Ausfolgung der Daten an die X zustimmte.
Von ha. wird mit dem Rechtsvertreter Kontakt aufgenommen und die Ausfolgung der Daten an eine befugte Person der X eingeleitet. Bezüglich der Auskünfte zum Ermittlungsstand wird er an die StA verwiesen. Aus ha. Sicht bestehen keine kriminaltaktischen Einwände bezüglich dieses Auskunftsbegehrens.“
Eine im Rahmen eines Amtshilfeersuchens an das Bundeskriminalamt am 13.05.2024 gerichtete Anfrage seitens des Bundesverwaltungsgerichtes hat schließlich ergeben, dass der verfahrensgegenständliche Datensatz tatsächlich bereits am 12.10.2021 an einen Vertreter der X GmbH , es handelte sich demnach um den vom Bundesverwaltungsgericht am 28.02.2024 als Zeugen einvernommenen XXXX ausgefolgt wurde [vgl. Übernahmebestätigung vom 12.10.2021, Zl. G3703947/1-II/BK 5.2]. Aus der unterfertigten Übernahmebestätigung geht zudem wörtlich hervor: „… Mir wurde mitgeteilt, dass dieser Datenbestand exakt jenen Daten entspricht, die DataBox auf Raidforums.com angeboten hat“.
Wenn die vom Bundesverwaltungsgericht als Vertreterin der Beschwerdeführerin befragte –derzeitige und im Jahr 2020 bereits in dieser Funktion tätigen – Leiterin der XXXX abteilung vom erkennenden Senat danach befragt, ob die X seitens der Ermittlungsbehörden eine Kopie der im Internet zum Kauf angebotenen und sichergestellten Meldedaten erhalten habe, wörtlich angibt:
„Also zu Ihrer Frage: Der diesbezügliche Wissensstand hat sich nicht wesentlich geändert, weil wir hatten ja zwischendurch keinen Kontakt zum Täter und Folge dessen wussten wir ja nicht, die Ermittlungen haben ja nur ergeben, sie haben einen Täter gefunden, sie haben einen Täter festgenommen. Es gibt ein Strafverfahren in den Niederlanden und unsere Urgenzen bei der Staatsanwaltschaft, ob sie vielleicht an Daten herankommen, die in den Niederlanden festgestellt wurden, damit wir irgendwie schauen können, haben wir glaube ich nur einmal erfahren, dass die Staatsanwaltschaft das Verfahren abgetreten hat an die Niederlande. Weitere Daten haben wir nicht bekommen. Weitere Informationen wurden uns nicht zugetragen. D.h. wir sind nach wie vor, wenn Sie so direkt fragen, eigentlich auf dem gleichen Wissensstand wie damals, weil wir nichts Weiteres bekommen haben und was in diesen 130.000 Datenbanken drinnen ist, ich weiß nicht. …Ich muss sagen, dass entzieht sich jetzt meiner Kenntnis. Das weiß ich nicht …“, stehen die diesbezüglichen Angaben in offenem Widerspruch zu objektiven Ermittlungsergebnissen [vgl. das vom Bundeskriminalamt angefertigte und von einem X -Vertreter unterfertigte Übernahmeprotokoll vom 12.10.2021]; die diesbezüglichen Angaben der Leiterin der XXXX abteilung, diese ist laut Firmenbuch und eigenen Angaben zudem Mitglied des XXXX der Gesellschaft, zielen offenkundig darauf ab, den internen Kenntnisstand der Gesellschaft der Beschwerdeführerin im Jahr 2020 und 2021 hinsichtlich des gegenständlichen Sicherheitsvorfalles zu verschleiern um die Geltendmachung von rechtlichen Ansprüchen Betroffener zu erschweren. Aus Sicht des erkennenden Senates erscheint es völlig lebensfremd, dass die Leiterin der XXXX abteilung und andere Funktionsträger der X von der Ausfolgung der vom Bundeskriminalamt sichergestellten und analysierten Daten am 12.10.2021 keine Kenntnis hatten, weshalb die diesbezüglichen Angaben der Beschwerdeführerin (und ihrer Vertreter) jedenfalls als nicht glaubhaft anzusehen waren.
Zu 1.17.: Die Feststellung, wonach vom gegenständlichen Sicherheitsvorfall auch Meldedaten betroffen sind, hinsichtlich derer eine Auskunftssperre vermerkt war, ergibt sich zunächst anhand des Umstandes, dass die X in deren Meldedatenbank zur Erfüllung des (damaligen) gesetzlichen Auftrages naturgemäß auch über die Meldedaten zu Personen, die eine Auskunftssperre veranlasst haben, verfügte und diese Daten folglich auch von den Meldebehörden an die X geliefert wurden. Zudem konnte im Rahmen von Datenanalysen durch das Bundeskriminalamt festgestellt werden, dass sich auch Meldedaten von der Auskunftssperre unterliegenden Personen im sichergestellten Datensatz befunden haben [vgl. Aktenvermerk vom 23.05.2024 zur telefonischen Rücksprache mit dem zuständigen Ermittler des Bundeskriminalamtes vom 13.05.2024].
3. Rechtliche Beurteilung:
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Da es sich beim Beschwerdegegenstand um einen Bescheid der Datenschutzbehörde handelt, liegt gemäß § 27 DSG Senatszuständigkeit vor.
Zu Spruchpunkt A) – Abweisung der Beschwerde:
3.1. Anzuwendendes Recht:
Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) idgF lauten auszugsweise samt Überschrift wie folgt:
„Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
[…]“
„Anwendungsbereich und Durchführungsbestimmung
§ 4. (1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.
(2) Kann die Berichtigung oder Löschung von automationsunterstützt verarbeiteten personenbezogenen Daten nicht unverzüglich erfolgen, weil diese aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann, so ist die Verarbeitung der betreffenden personenbezogenen Daten mit der Wirkung nach Art. 18 Abs. 2 DSGVO bis zu diesem Zeitpunkt einzuschränken.
(3) Die Verarbeitung von personenbezogenen Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen ist unter Einhaltung der Vorgaben der DSGVO zulässig, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verarbeitung solcher Daten besteht oder
2. sich sonst die Zulässigkeit der Verarbeitung dieser Daten aus gesetzlichen Sorgfaltspflichten ergibt oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich ist, und die Art und Weise, in der die Datenverarbeitung vorgenommen wird, die Wahrung der Interessen der betroffenen Person nach der DSGVO und diesem Bundesgesetz gewährleistet.
(4) Bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, ist die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO zur Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das vierzehnte Lebensjahr vollendet hat.
(5) Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem hoheitlich tätigen Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen dann nicht, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird.
(6) Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.“
„Beschwerde an die Datenschutzbehörde
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
(2) Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.
(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.
[…]“
Die hier maßgebenden Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ABl. L 119 vom 04.05.2016, im Folgenden: DSGVO, lauten auszugsweise samt Überschrift:
„Artikel 2
Sachlicher Anwendungsbereich
(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
(3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
(4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.“
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
16. „Hauptniederlassung“
a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;
17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;
20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;
23. „grenzüberschreitende Verarbeitung“ entweder
a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;
24. „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;
25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (19);
26. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 6
Rechtmäßigkeit der Verarbeitung
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
„Artikel 32
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“
„Artikel 33
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.“
„Artikel 34
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
(2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.“
„Artikel 58
Befugnisse
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
(3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,
a) gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten,
b) zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,
c) die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird,
d) eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen,
e) Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,
f) im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,
g) Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen,
h) Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen,
i) Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen
j) verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen.
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.
(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.“
„Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“
3.2. Zur datenschutzrechtlichen Rolle der Beschwerdeführerin als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO
3.2.1. Zur Änderung der Rechtsgrundlage in Bezug auf die Beschwerdeführerin als beliehene Gesellschaft und dem diesbezüglichen Beschwerdevorbringen:
3.2.1.1. Mit ergänzendem Schriftsatz vom 11.04.2024 erstattete die Beschwerdeführerin unter Hinweis auf die mit 01.01.2024 eingetretene Änderung der Rechtslage, näherhin des Außerkrafttretens des Rundfunkgebührengesetzes (RGG) und Inkrafttretens des ORF-Beitrags-Gesetzes 2024, ein ergänzendes Vorbringen zu den – aus Sicht der Beschwerdeführerin hieraus erwachsenden – Rechtsfolgen für das verwaltungsgerichtliche Beschwerdeverfahren und der vom Bundesverwaltungsgericht zu berücksichtigenden Sach- und Rechtslage: Demnach sei Infolge des VfGH Erkenntnisses vom 30.06.2022, G 226/2021, das Rundfunkgebührengesetz (RGG) – und damit auch die Rundfunkfinanzierung des XXXX – „ersatzlos behoben“ und die Finanzierung des XXXX auf Basis der Haushaltsabgabe neu geschaffen worden. Dabei handle es sich um eine fundamentale Neugestaltung der Finanzierung des XXXX , das Konzept der Identifizierung von Rundfunkgeräten und der darauf basierenden Einhebung von Rundfunkgebühren sei dabei der Entrichtung einer allgemeinen Haushaltsabgabe gewichen.
3.2.1.2. Die X GmbH – so die Beschwerdeführerin weiter – sei durch das RGG eingerichtet und mit dem öffentlichen Auftrag betraut gewesen, das RGG zu vollziehen, dh die Rundfunkgebühren einzuheben, da die X zur Erfüllung öffentlicher Aufgaben berufen gewesen sei, sei sie als Behörde zu qualifizieren gewesen. Nun sei mit dem RGG nicht bloß dieser behördliche Auftrag der X behoben worden, sondern auch die X selbst. Anstelle dessen sei zum 01.01.2024 mit dem OBG im Sinne des dargestellten neuen Finanzierungssystems eine neue Behörde geschaffen worden: die Y GmbH . Diese habe den – ebenfalls neu geschaffenen – gesetzlichen Auftrag der Haushaltsabgabenfinanzierung umzusetzen. Zwar sehe § 21 Abs. 1 OBG die Umfirmierung der X in die Y vor, wobei die Materialien hierzu ausführten, dass der derzeit mit der Einhebung der Rundfunkgebühren betraute Rechtsträger, die X GmbH , bestehen bleibe und seine Tätigkeit auf neuer Rechtsgrundlage fortsetze, dies ändere allerdings nichts daran, dass die X als Behörde und ihr öffentlicher Auftrag mit dem Wegfall des RGG zu existieren aufgehört hätten. So werde auch in den Materialen [zum ORF-Beitrags-Gesetz 2024] darauf hingewiesen, dass die Tätigkeit der Y "auf neuer Rechtsgrundlage" fortgesetzt werde.
3.2.1.3. Dies sei relevant, weil das Geheimhaltungsrecht einer Person nur dann verletzt sein könne, wenn eine Behörde im funktionellen Sinn im Rahmen ihrer hoheitlichen Befugnisse durch schlichthoheitliches Verwaltungshandeln in deren Grundrecht auf Datenschutz eingreife. Wem hoheitliche Befugnisse eingeräumt werden und wer damit zur Behörde im funktionellen Sinn werde, obliege allein dem Materiegesetzgeber. Ob ein Organ zur Setzung von Hoheitsakten berufen ist, ergebe sich daher nicht aus seinem Wesen, sondern allein aus den konkreten Ermächtigungen der materiell-rechtlichen Verwaltungsvorschriften, bezogen auf den vorliegen Sachverhalt seien dies jene des RGG gewesen, die konkreten Ermächtigungen der X als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO zur Verarbeitung personenbezogener Daten hätten sich demnach aus dem RGG bestimmt und begrenzt.
3.2.1.4. Konkret habe die X gemäß § 4 Abs. 1 RGG jene Gebühren einzubringen gehabt, die durch § 3 RGG bestimmt worden sind, gemäß § 4 Abs. 3 RGG habe die X alle Rundfunkteilnehmer zu erfassen gehabt, wer dabei als Rundfunkteilnehmer galt und zu erfassen war, sei durch § 2 Abs. 1 RGG bestimmt worden. Hierzu habe die X gemäß § 4 Abs. 3 RGG bei sämtlichen Meldebehörden die Übermittlung der in § 4 Abs. 3 RGG beschriebenen Daten anfordern dürfen.
3.2.1.5. Demgegenüber sei bei der Einhebung der Haushaltsabgabe einzig auf den Hauptwohnsitz von Personen abzustellen, wie er im Zentralen Melderegister vorhanden sei. Die Identifikation und das Erfassen der Rundfunkteilnehmer anhand der von den Personen verwendeten Rundfunkempfangsgeräte, so wie es das RGG vorgesehen habe, sei der adressbezogenen Beitragspflicht gewichen. Ebenso sei der dezentrale Datenbezug von allen bestehenden Meldebehörden dem zentralen Datenbezug aus dem Zentralen Melderegister gewichen, nach dem nunmehr geltenden § 13 OBG sei allein der Bundesminister für Inneres damit betraut, der Y die Daten gemäß dem Auftrag des OBG zur Verfügung zu stellen. Auch die vom gesetzlichen Auftrag umfassten Datenkategorien hätten sich geändert. Während § 4 Abs. 3 RGG die Meldebehörden zur Übermittlung des Namens (Vor- und Familiennamen), Geschlecht, Geburtsdatum und Unterkunft an die X verpflichtet habe, sehe § 13 OBG lediglich die Bekanntgabe von Adressdaten an die Y vor. Aus all dem ergibt sich, dass der gesetzliche Auftrag des OBG von jenem des RGG grundverschieden sei.
3.2.1.6. Dies bedeute mit Blick auf Art. 4 Z 7 DSGVO, dass die Y die sachverhaltsgegenständliche Zweck-Mittel-Entscheidung zu den Datenverarbeitungen der X nicht getroffen habe und aufgrund der Verschiedenheit ihres gesetzlichen Auftrags auch nicht treffen habe können, weshalb der nunmehrigen Y GmbH auch keine datenschutzrechtliche Verantwortlichkeit für die verfahrensgegenständlichen Datenverarbeitungsvorgänge angelastet werden könnten. Art 4 Z 7 DSGVO kenne keinen Übergang der Rechtspflichten einer Behörde an eine andere Behörde, weshalb die gegen die X geltend gemachten datenschutzrechtlichen Ansprüche angesichts der zwischenzeitig eingetretenen Änderung in der Rechtslage, losgelöst von der Frage ihrer inhaltlichen Berechtigung, schon dem Grunde nach nicht mehr gegen die Y bestünden.
3.2.1.7. Werde das [verwaltungsgerichtliche] Verfahren nicht schon aufgrund dieser Überlegung eingestellt, so werde beantragt, den Europäischen Gerichtshof zur Klärung der Frage anzurufen, ob „Art 4 Z 7 DSGVO, indem dieser darauf abstellt, dass Zweck und Mittel einer Datenverarbeitung durch das Recht eines Mitgliedstaats vorgegeben werden können, die datenschutzrechtlichen Pflichten einer Behörde als Verantwortlicher iS des Art 4 Z 7 DSGVO unberührt lässt, gleichwohl diese Behörde als datenverarbeitende Stelle untergegangen ist, weil ihr gesetzlicher Auftrag infolge einer festgestellten Verfassungswidrigkeit behoben und durch einen neuen gesetzlichen Auftrag ersetzt wurde, oder ob damit auch ihre Verantwortlichenstellung und ihre datenschutzrechtlichen Pflichten untergegangen sind“.
3.2.1.8. Dem diesbezüglichen Rechtsstandpunkt der Beschwerdeführerin, wonach zusammengefasst durch die Neuregelung des Beitragsmodelles zur Finanzierung des XXXX im Wege des ORF-Beitrags-Gesetzes 2024 die datenschutzrechtliche Verantwortlichkeit der X GmbH in Bezug auf Datenverarbeitungsvorgänge vor dem 01.01.2024 untergegangen sei, ist nach Ansicht des erkennenden Senates aufgrund der nachstehenden Erwägungen nicht zu folgen:
3.2.1.9. In Bezug auf (datenschutzrechtlich) Verantwortliche des öffentlichen Bereiches ist zunächst auf das Urteil des Europäischen Gerichtshofes (EuGH) vom 11.01.2024 in der Rechtssache C-231/22 zu verweisen, darin hält der EuGH – unter Verweis auf seine ständige Rechtsprechung zum Begriff des Verantwortlichen nach Art. 4 Z 7 DSGVO – klarstellend wie folgt fest [Hervorhebungen durch das Bundesverwaltungsgericht]:
„27 … [D]er Ausdruck „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO [umfasst] natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheiden. Sind, wie es in dieser Bestimmung weiter heißt, die Zwecke und Mittel dieser Verarbeitung u. a. durch das Recht der Mitgliedstaaten vorgegeben, kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach diesem Recht vorgesehen werden.
28 Insoweit ist darauf hinzuweisen, dass nach der Rechtsprechung des Gerichtshofs durch die weite Definition des Ausdrucks „Verantwortlicher“ ein wirksamer und umfassender Schutz der betroffenen Personen gewährleistet werden soll (vgl. in diesem Sinne Urteile vom 5. Dezember 2023, Nacionalinis visuo menės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 29, und Deutsche Wohnen, C‑807/21, EU:C:2023:950, Rn. 40 sowie die dort angeführte Rechtsprechung).
29 Nach dem im Hinblick auf dieses Ziel ausgelegten Wortlaut von Art. 4 Nr. 7 DSGVO bedarf die Feststellung, ob eine Person oder Einrichtung als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, der Prüfung, ob diese Person oder Einrichtung allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet oder ob diese durch das nationale Recht vorgegeben werden. Erfolgt durch das nationale Recht eine solche Vorgabe, ist zu prüfen, ob dieses Recht den Verantwortlichen bzw. die bestimmten Kriterien seiner Benennung vorsieht.
30 Insoweit ist klarzustellen, dass angesichts der weiten Definition des Ausdrucks „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht nicht nur explizit, sondern auch implizit erfolgen kann. Im letzteren Fall ist es jedoch erforderlich, dass sich diese Vorgabe mit hinreichender Bestimmtheit aus der Rolle, dem Auftrag und den Aufgaben der betroffenen Person oder Einrichtung ergibt. Der Schutz dieser Personen würde sich nämlich verringern, wenn Art. 4 Nr. 7 DSGVO eng ausgelegt wird, um lediglich die Fälle zu erfassen, in denen die Zwecke und Mittel einer Datenverarbeitung durch eine Person, Behörde, Einrichtung oder Stelle ausdrücklich durch das nationale Recht vorgegeben werden, selbst wenn sich diese Zwecke und Mittel im Wesentlichen aus den Rechtsvorschriften ergeben, die die Tätigkeit der betreffenden Einrichtung regeln.“
Fallbezogen folgt hieraus:
3.2.1.10. Bei der X GmbH ( X GmbH ) handelt es sich um eine (ausgegliederte) beliehene Gesellschaft, deren Einrichtung regelte § 5 des Bundesgesetzes betreffend die Einhebung von Rundfunkgebühren (Rundfunkgebührengesetz - RGG), in der bis zum 31.12.2023 geltenden (und mit BGBl. I Nr. 112/2023 aufgehobenen) Fassung. Als solche waren der X GmbH behördliche Aufgaben (§ 6 Abs. 1 RGG) übertragen, konkret kam ihr gemäß § 4 Abs. 1 RGG die Einbringung der Gebühren im Sinne von § 3 RGG zu, gemäß § 4 Abs. 2 RGG oblag ihr ferner die umfassende Information der Öffentlichkeit über die Gebühren- und Meldepflicht, die Form der Zahlung sowie die laufende Durchführung geeigneter Maßnahmen zur Erfassung aller Rundfunkteilnehmer.
3.2.1.11. In datenschutzrechtlicher Hinsicht ist zur Einordnung der X GmbH als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO zunächst festzustellen, dass sich die Festlegung der Zwecke und Mittel der Datenverarbeitung durch die X GmbH (zweifellos) mit hinreichender Bestimmtheit aus der Rolle, dem Auftrag und den Aufgaben ergeben hat, die der X GmbH bis zum 31.01.2024 im Rahmen des Rundfunkgebührengesetzes (RGG) übertragen waren.
3.2.1.12. So war die X GmbH gemäß § 4 Abs. 1 RGG mit der Einbringung der Gebühren und sonstiger damit verbundener Abgaben und Entgelte einschließlich der Entscheidung über Befreiungsanträge (§ 3 Abs. 5 RGG) betraut. Gebühren hatte zu entrichten, wer als Rundfunkteilnehmer eine Rundfunkempfangseinrichtung im Sinne des § 1 Abs. 1 RGG in Gebäuden betrieben hat.
3.2.1.13. Hierzu hatte die X GmbH gemäß § 4 Abs. 3 RGG alle Rundfunkteilnehmer zu erfassen. Zu diesem Zweck hatten die Meldebehörden [bis 31.12.2023] auf Verlangen der X GmbH Namen (Vor- und Familiennamen), Geschlecht, Geburtsdatum und Unterkünfte der in ihrem Wirkungsbereich gemeldeten Personen in der dem jeweiligen Stand der Technik entsprechenden Form zu übermitteln.
3.2.1.14. Die X GmbH war vom Gesetzgebar somit zu dem übergeordneten Zweck eingerichtet, die Rundfunkgebühren zur Finanzierung des XXXX einzuheben, zur Erreichung dieses Zweckes räumte ihr der Gesetzgeber in datenschutzrechtlicher Hinsicht ein, mit Hilfe von Meldedaten, diese waren der X GmbH von den Meldebehörden zur Verfügung zu stellen, potenzielle Beitragsschuldner zu erfassen und gegebenenfalls mit hoheitlichen Mitteln die Entrichtung der Beiträge durchzusetzen. Die Vorgaben über die Mittel und Zwecke der Datenverarbeitung der X GmbH ergaben sich damit aus den vorgenannten Bestimmungen des Rundfunkgebührengesetzes, wobei den Kern der Datenverarbeitungsvorgänge jedenfalls die Verarbeitung von Meldedaten zur Erfassung von Gebührenpflichtigen bildete.
3.2.1.15. In Folge des Erkenntnisses des Verfassungsgerichtshofes (VfGH) vom 30.06.2022, G 226/2021-12 wurde die Finanzierung des XXXX neu geregelt.
3.2.1.16. Der Verfassungsgerichtshof hat mit Erkenntnis vom 30.06.2022, G 226/2021-12, die Wortfolge „jedenfalls aber dann, wenn der Rundfunkteilnehmer (§ 2 Abs. 1 RGG) an seinem Standort mit den Programmen des Österreichischen Rundfunks gemäß § 3 Abs. 1 terrestrisch (analog oder DVB-T) versorgt wird. Der Beginn und das Ende der Pflicht zur Entrichtung des Programmentgeltes sowie die Befreiung von dieser Pflicht richten sich nach den für die Rundfunkgebühren geltenden bundesgesetzlichen Vorschriften“ in § 31 Abs. 10 des Bundesgesetzes über den Österreichischen Rundfunk ( XXXX -G), BGBl. Nr. 379/1984, idF BGBl. I Nr. 126/2011 sowie § 31 Abs. 17 und § 31 Abs. 18 XXXX -G idF BGBl. I Nr. 50/2010 mit Ablauf des 31. Dezember 2023 als verfassungswidrig aufgehoben.
3.2.1.17. In seinem Erkenntnis stellte der Verfassungsgerichtshof klar, dass den Bundesgesetzgeber nach dem Bundesverfassungsgesetz vom 10.07.1974 über die Sicherung der Unabhängigkeit des Rundfunks (BVG Rundfunk), BGBl. Nr. 396/1974, die Pflicht trifft, die Finanzierung des öffentlich-rechtlichen Rundfunks „zur Wahrnehmung seiner besonderen demokratischen und kulturellen Aufgabe (in der Terminologie des XXXX -Gesetzes: seines ‚öffentlich-rechtlichen Auftrags‘)“ zu gewährleisten.
3.2.1.18. Der VfGH hob in seinem Erkenntnis jedoch hervor, dass die Verpflichtung aller potentiellen Nutzerinnen und Nutzer der Programme des öffentlich-rechtlichen Rundfunks, zu seiner Finanzierung beizutragen, „auch einen die Unabhängigkeit des öffentlich-rechtlichen Rundfunks mit sichernden Aspekt“ hat. Entsprechende Unabhängigkeitsgarantien des öffentlich-rechtlichen Rundfunks sind verfassungsrechtlich im BVG Rundfunk verankert.
3.2.1.19. Nach Ansicht des VfGH ist es wesentlich, dass „grundsätzlich alle, die Rundfunk iSd BVG Rundfunk potentiell empfangen und damit über Rundfunk am öffentlichen Diskurs […] teilhaben können, in die gesetzliche Finanzierung des XXXX einbezogen werden, und nicht eine wesentliche Gruppe aus Gründen der Nutzung eines bestimmten, nach dem Stand der Technik gängigen Verbreitungsweges ausgenommen wird.“ Der VfGH betonte affirmativ, dass der Gesetzgeber in Wahrnehmung seiner Finanzierungsverantwortung für den XXXX im Hinblick auf die Vorgaben des BVG Rundfunk nicht ein für die Rundfunkordnung insgesamt wesentliches Nutzungsverhalten (nämlich den Konsum der Programme des XXXX über das Internet) von dieser Finanzierungsverpflichtung ausnehmen darf, „weil er damit die Finanzierungslast bei grundsätzlich vergleichbarer Teilhabemöglichkeit im Lichte der Funktion des öffentlich-rechtlichen Rundfunks […] maßgeblich ungleich verteilt.“
Daher war – unter Beachtung der Vorgaben des VfGH – eine Neuregelung der Finanzierung des Österreichischen Rundfunks erforderlich (vgl. die Erläuterungen zur Regierungsvorlage, 2082 der Beilagen XXVII. GP).
3.2.1.20. Bereits an dieser Stelle ist festzuhalten, dass – entgegen der seitens der Beschwerdeführerin geäußerten rechtlichen Einschätzung – der Verfassungsgerichtshof mit Erkenntnis vom 30.06.2022 weder die Einrichtung der X GmbH als solche, noch die an diese übertragenen hoheitlichen und nicht hoheitlichen Aufgaben im Allgemeinen, oder gar deren Ermächtigung zur Verarbeitung von personenbezogenen Daten im Besonderen, als verfassungswidrig erkannte und die zugrundeliegenden gesetzlichen Bestimmungen aufgehoben hat. Vielmehr stellt der Verfassungsgerichtshof klar, dass den Bundesgesetzgeber nach dem Bundesverfassungsgesetz vom 10. Juli 1974 über die Sicherung der Unabhängigkeit des Rundfunks (BVG Rundfunk), BGBl. Nr. 396/1974, die Pflicht trifft, die Finanzierung des öffentlich-rechtlichen Rundfunks „zur Wahrnehmung seiner besonderen demokratischen und kulturellen Aufgabe zu gewährleisten und es hierfür erforderlich ist, dass „grundsätzlich alle, die Rundfunk iSd BVG Rundfunk potentiell empfangen und damit über Rundfunk am öffentlichen Diskurs […] teilhaben können, in die gesetzliche Finanzierung des XXXX einbezogen werden, und nicht eine wesentliche Gruppe aus Gründen der Nutzung eines bestimmten, nach dem Stand der Technik gängigen Verbreitungsweges (gemeint: Streaming über das Internet) ausgenommen wird, weshalb in § 31 Abs. 10 des Bundesgesetzes über den Österreichischen Rundfunk ( XXXX -G) die Wortfolge „jedenfalls aber dann, wenn der Rundfunkteilnehmer (§ 2 Abs. 1 RGG) an seinem Standort mit den Programmen des Österreichischen Rundfunks gemäß § 3 Abs. 1 terrestrisch (analog oder DVB-T) versorgt wird. Der Beginn und das Ende der Pflicht zur Entrichtung des Programmentgeltes sowie die Befreiung von dieser Pflicht richten sich nach den für die Rundfunkgebühren geltenden bundesgesetzlichen Vorschriften“, aufgehoben hat.
3.2.1.21. Zur Rechtslage nach dem Bundesgesetz über die Erhebung eines ORF-Beitrags 2024 (ORF-Beitrags-Gesetz 2024) ist hinsichtlich der Rolle der Beschwerdeführerin als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO hinsichtlich der hier zu beurteilenden Verarbeitungsvorgänge, die zur Offenlegung der Meldedaten ab Mai 2020 geführt haben, wie folgt festzuhalten:
3.2.1.22. Das ORF-Beitrags-Gesetz 2024 wurde mit BGBl. I Nr. 112/2023 am 08.09.2023 kundgemacht, gemäß § 22 Abs. 1 und 2 traten dessen §§ 1, 2, 4a, 9, 13, 14a, 18, 19, 20 sowie 21 Abs. 1 bis 5 und 9 in der Fassung BGBl. I Nr. 112/2023 mit Ablauf des Tages der Kundmachung, die übrigen Bestimmungen mit 01.01.2024, in Kraft.
Nach § 21 Abs. 1 leg. cit. [war] die Firma der X GmbH mit Wirkung zum 1. Jänner 2024 in Y GmbH zu ändern und [war] die Änderung der Firma in einer unverzüglich nach Kundmachung dieses Bundesgesetzes abzuhaltenden Generalversammlung zu beschließen.
In den Erläuterungen zu § 21 Abs. 1 ORF-Beitrags-Gesetz 2024 heißt es hierzu, dass der derzeit mit der Einhebung der Rundfunkgebühren betraute Rechtsträger, die X GmbH , bestehen bleibt und seine Tätigkeit auf neuer Rechtsgrundlage fortsetzt. Lediglich die Firma der X GmbH soll angesichts des Wegfalls der Rundfunkgebühren auf „ Y GmbH “ geändert werden.
Hieraus folgt bereits, dass die X GmbH lediglich in Y GmbH umfirmiert wurde, es sich jedoch um ein und dieselbe Gesellschaft mit ein und demselben behördlichen Auftrag handelt. Ausweislich der Erläuterungen zu § 10 des ORF-Beitrags-Gesetzes 2024 „[soll] die Gesellschaft als beliehenes Unternehmen weiterhin die Erhebung des XXXX -Beitrages besorgen“, weiterhin „umfasst [dies] demnach insbesondere die Erfassung der Beitragsschuldner aufgrund deren Meldung (§ 9) und die Entscheidung über Befreiungsanträge […]“.
§ 21 Abs. 1a ORF-Beitrags-Gesetz 2024 soll ausweislich der Erläuterungen zur Regierungsvorlage sicherstellen, dass ein möglichst effizienter und kostengünstiger Übergang vom RGG auf das neue ORF-Beitrags-Gesetz 2024 gewährleistet ist. In diesem Sinne sollen alle Personen, die nach dem derzeit geltenden RGG als Rundfunkteilnehmer mit ihrem Hauptwohnsitz bei der Gesellschaft erfasst sind, übergeleitet werden. Diese Personen sollen ex lege als Beitragsschuldner im privaten Bereich nach dem ORF-Beitrags-Gesetz 2024 gelten und haben ab Inkrafttreten den XXXX -Beitrag zu entrichten, eine Anmeldung soll nicht erforderlich sein.
In § 21 Abs. 6 ORF-Beitrags-Gesetz 2024 finden sich klare Regelungen in Bezug auf die bisher von der X GmbH verarbeiteten Meldedaten, demnach dürfen die bei Inkrafttreten dieses Bundesgesetzes bei der Gesellschaft gespeicherten Daten, die sich auf Rundfunkteilnehmer im Sinne des Rundfunkgebührengesetzes beziehen, von der Gesellschaft als Verantwortlicher (Art. 4 Z 7 DSGVO), zum Zweck der Erhebung des XXXX Beitrags, der Entscheidung über Befreiungsanträge und der Erfassung aller Beitragsschuldner nach den Bestimmungen dieses Bundesgesetzes verarbeitet werden. Darüber hinaus besteht hinsichtlich der Anteilsinhaber bei der X GmbH und der Y GmbH Personenidentität (vgl. § 10 Abs. 5 ORF-Beitrags-Gesetz 2024 und § 5 Abs. 2 RGG).
3.2.1.23. Die Festlegung der Zwecke und Mittel der Datenverarbeitung durch die Y GmbH ergeben sich seit dem 01.01.2024 somit aus der Rolle, dem Auftrag und den Aufgaben, die ihr im Rahmen des ORF-Beitrags-Gesetzes 2024 übertragen sind (vgl. erneut EuGH vom 11.01.2024, C-231/22, Rn. 27, 29 und 30). Dessen § 10 regelt in Abs. 1, dass die Erhebung des XXXX Beitrags sowie sonstiger damit verbundener Abgaben, die Ermittlung aller Beitragsschuldner sowie die Entscheidung über die Befreiung von der Beitragspflicht der „ Y GmbH“ (Gesellschaft) als mit behördlichen Aufgaben beliehenes Unternehmen obliegt; nach Abs. 2 Z 1 ist Unternehmensgegenstand der Gesellschaft die Erfüllung von in diesem Bundesgesetz vorgesehenen und ähnlichen ihr durch Bundes- oder Landesgesetz oder Verordnung übertragenen Aufgaben. Mit § 13 Abs. 5 ORF-Beitrags-Gesetz 2024 wird vom Gesetz explizit normiert, dass die Y GmbH Verantwortlicher (Art. 4 Z 7 DSGVO) für die nach Abs. 1 bis 4 verarbeiteten personenbezogenen Daten ist.
3.2.1.24. Damit gleicht der nunmehrige gesetzliche Auftrag der (mit 01.01.2024) umfirmierten Beschwerdeführerin, der sich nunmehr aus dem ORF-Beitrags-Gesetz 2024 ergibt demjenigen Auftrag, der zuvor vom Rundfunkgebührengesetz (RGG) vorgegeben wurde (vgl. §§ 4 und 5 RGG). Zudem weist der Gesetzgeber mit § 21 Abs. 6 ORF-Beitrags-Gesetz 2024 die Rolle als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO für die Meldedaten, die bis dahin unter der alten Firmenbezeichnung verarbeitet wurden, explizit der Y GmbH zu, wobei diese explizite Rollenzuweisung vor dem Hintergrund des Umstandes, dass es sich ohnedies um ein und dieselbe Gesellschaft mit ein und denselben gesetzlichen Aufgaben handelt, für das Weiterbestehen der datenschutzrechtlichen Verantwortung bei der Beschwerdeführerin gar nicht erforderlich wäre, jedoch auch nicht schadet.
3.2.1.25. Damals wie heute liegt der gesetzliche Auftrag der Beschwerdeführerin in der Erhebung des XXXX Beitrags sowie sonstiger damit verbundener Abgaben, die Ermittlung aller Beitragsschuldner sowie die Entscheidung über die Befreiung von der Beitragspflicht, wodurch in datenschutzrechtlicher Hinsicht der Zweck der von der Beschwerdeführerin vorzunehmenden Datenverarbeitungsvorgänge vorgegeben ist.
3.2.1.26. Was die hiermit in Zusammenhang stehenden gesetzlichen Ermächtigungen zur Verarbeitung personenbezogener Daten betrifft, ist festzustellen, dass auch nach der Rechtslage des ORF-Beitrags-Gesetzes 2024 die Beschwerdeführerin als beliehene Gesellschaft die ihr übertragenen gesetzlichen Aufgaben, namentlich die Erhebung des XXXX Beitrags sowie sonstiger damit verbundener Abgaben und die Ermittlung aller Beitragsschuldner, mit Hilfe von Meldedaten zu erfüllen hat.
3.2.1.27. So regelt § 3 Abs. 1 ORF-Beitrags-Gesetz 2024, dass für jede im Inland gelegene Adresse, an der zumindest eine volljährige Person mit Hauptwohnsitz im Zentralen Melderegister eingetragen ist, der XXXX Beitrag für jeden Kalendermonat zu entrichten ist, Beitragsschuldner ist nach Abs. 2 die im Zentralen Melderegister mit Hauptwohnsitz eingetragene Person, sind an einer Adresse mehrere Personen mit Hauptwohnsitz eingetragen, so sind diese Personen Gesamtschuldner im Sinne des § 6 der Bundesabgabenordnung (BAO), BGBl. Nr. 194/1961, und ist der XXXX Beitrag von den Gesamtschuldnern nur einmal zu entrichten. Gemäß § 8 Abs. 1 ORF-Beitrags-Gesetz 2024 beginnt die Beitragspflicht im privaten Bereich am Ersten des Folgemonats, in dem der Hauptwohnsitz im Zentralen Melderegister angemeldet wurde und endet mit Ablauf des Monats, in dem der Hauptwohnsitz abgemeldet wurde.
Wie die Y GmbH zu den hierfür erforderlichen Meldedaten gelangt, regelt nunmehr der mit „Datenübermittlung“ überschriebene § 13 ORF-Beitrags-Gesetz 2024, nach dessen Abs. 1 übermittelt der Bundesminister für Inneres als Auftragsverarbeiter (Art. 4 Z 8 DSGVO) für die Meldebehörden als gemeinsame Verantwortliche (Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO) für das ZMR auf Verlangen der Gesellschaft gegen angemessenes Entgelt monatlich aus dem ZMR gemäß § 16 MeldeG zum Zwecke der Erhebung des XXXX Beitrags und der Ermittlung der Beitragsschuldner sämtliche Adressen im Bundesgebiet, an denen zumindest eine volljährige Person mit Hauptwohnsitz angemeldet ist, sowie für die dort Gemeldeten volljährigen Personen Namen, das Geburtsdatum, wenn vorhanden den akademischen Grad, die Information, dass die dort Gemeldeten mit Hauptwohnsitz erfasst sind, sowie den vom Adressregister gemäß § 1 Abs. 1 Z 10 Adressregisterverordnung 2016 (AdrRegV 2016), BGBl. II Nr. 51/2016, vergebenen Adresscode an die Gesellschaft als Verantwortliche (Art. 4 Z 7 DSGVO) im Wege der BRZ GmbH als Auftragsverarbeiter (Art. 4 Z 8 DSGVO).
Zum Zweck der Erhebung des XXXX Beitrags, der Prüfung, ob eine Befreiung vorliegt und der Erfassung aller Beitragsschuldner ist die Gesellschaft nach § 13 Abs. 2 Z 1 ORF-Beitrags-Gesetz 2024 auch berechtigt, einzelfallbezogen auf automationsunterstütztem Weg in das Zentrale Melderegister im Umfang des Gesamtdatensatzes im Sinne des § 16a Abs. 2 und 4 MeldeG Einsicht zu nehmen.
3.2.1.28. Vor dem Hintergrund der vorstehenden Ausführungen in Bezug auf das Fortbestehen der Beschwerdeführerin als beliehene Gesellschaft mit identem gesetzlichen Auftrag, der damit verbundenen im Wesentlichen identen Ermächtigungen zur Verarbeitung personenbezogener Daten, ist die Rechtsansicht der Beschwerdeführerin, wonach die der nunmehrigen Y GmbH zukommenden gesetzlichen Aufgaben und die damit verbundenen Ermächtigungen zur Verarbeitung personenbezogener Daten sich grundlegend von der Rechtslage nach dem Rundfunkgebührengesetz (RGG) unterscheiden, weshalb nunmehr eine gänzlich neu geschaffene Behörde mit gänzlich anderen behördlichen Aufgaben entstanden sei, weshalb die datenschutzrechtliche Verantwortung für von der X GmbH vorgenommene Verarbeitungsvorgänge nicht länger bei der (umfirmierten) Gesellschaft gesehen werden könne, als verfehlt anzusehen.
3.2.1.29. Der Ausspruch des Verfassungsgerichtshofes in dessen Erkenntnis G226/2021 vom 30.06.2022 betrifft die Gleichheitswidrigkeit von Bestimmungen des XXXX -G betreffend die Ausnahme von der Verpflichtung zur Entrichtung des Programmentgelts für Personen, die XXXX Programme ausschließlich über internetfähige Empfangsgeräte – aber ohne Empfang über Kabel, Satellit oder auf terrestrischem Weg – in Anspruch nehmen sowie eine sachlich nicht gerechtfertigte Ungleichbehandlung bei der Finanzierung des XXXX durch Außerachtlassung der wesentlichen Personengruppe, die einen nach dem Stand der Technik gängigen Verbreitungsweg (Streamen) nutzt, dies angesichts der institutionellen Vorgaben des BVG-Rundfunk und der Bedeutung des öffentlich-rechtlichen Rundfunks für den demokratischen und kulturellen öffentlichen Kommunikationsprozess.
3.2.1.30. Die durch das ORF-Beitrags-Gesetz 2024 eingetretene Änderung der Rechtslage steht jedoch in keinem Zusammenhang mit den datenschutzrechtlichen Ermächtigungen der Beschwerdeführerin und ändert nichts an deren Rolle als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO für die im Jahr 2020 unter der Firmenbezeichnung der X GmbH durchgeführten Datenverarbeitungsvorgänge, die im Zusammenhang mit der hier zu beurteilenden Offenlegung von Meldedaten geführt haben. Da es sich um ein und dieselbe Gesellschaft handelt, mit identem gesetzlichen Auftrag, sich lediglich die Bezeichnung der Firma der X (nunmehr Y GmbH ) geändert hat, daher Personenidentität vorliegt, sind die Verarbeitungsvorgänge aus dem Jahr 2020, der nunmehr unter der neuen Firmenbezeichnung tätigen Gesellschaft weiterhin als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO zuzurechnen.
3.2.1.31. Da die Frage der Zuweisung der datenschutzrechtlichen Rolle als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO ausschließlich anhand der unmittelbar anwendbaren Bestimmungen der DSGVO bzw. der hierzu bestehenden Rechtsprechung des EuGH vorzunehmen ist, die einschlägigen unionsrechtlichen Bestimmungen (hier: Art. 4 Z 7 DSGVO) sowie die hierzu bestehende Rechtsprechung aus Sicht des erkennenden Senates derart offenkundig sind, dass keinerlei Raum für einen vernünftigen Zweifel an der Entscheidung des EuGH bleibt („acte-clair“), sieht sich das Bundesverwaltungsgericht nicht veranlasst, der Anregung auf Einleitung eines Verfahrens zur Vorabentscheidung im Sinne von Art. 267 AEUV zu folgen.
3.2.2. Zum Einwand der Verjährung im Sinne von § 24 Abs. 4 DSG:
Die Beschwerdeführerin bringt im Rahmen ihres Beschwerdevorbringens sowie der mündlichen Verhandlung zusammengefasst vor, das Beschwerderecht der mitbeteiligten Partei(en) sei zum Zeitpunkt, als sie ihre Datenschutzbeschwerde(n) bei der belangten Behörde einbrachten, gemäß § 24 Abs. 4 DSG erloschen gewesen, da die X GmbH die Betroffenen vom gegenständlichen Sicherheitsvorfall am 27.05.2020 durch öffentliche Bekanntmachung gemäß Art 34 Abs. 3 lit. c DSGVO informiert habe. Dadurch haben die Betroffenen am 27.05.2020 vom Datensicherheitsvorfall iSd § 24 Abs. 4 DSG Kenntnis erlangt, weshalb die hier verfahrensgegenständlichen – im Jahr 2023 bei der belangten Behörde eingebrachten – Datenschutzbeschwerden lange nach Ablauf der einjährigen subjektiven Präklusivfrist erhoben worden seien.
Zur Bestimmung des § 24 Abs. 4 DSG vertritt die Beschwerdeführerin sodann die Rechtsansicht, dass der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, einbringt, erloschen sei. Dabei komme es auf die Kenntnis des beschwerenden Ereignisses, nicht aber auf die Kenntnis über die persönliche Betroffenheit an, das beschwerende Ereignis sei sohin der Datensicherheitsvorfall [vom Mai 2020] und die subjektive Präklusivfrist werde durch die Kenntnisnahme vom Datensicherheitsvorfall ausgelöst.
Die Rechtsfiktion einer öffentlichen Bekanntmachung sei nach Ansicht der Beschwerdeführerin anerkannt. So sehe bspw. § 44a AVG vor, dass in Verwaltungsverfahren, an denen mehr als 100 Personen beteiligt sind, der verfahrenseinleitende Antrag per Edikt kundgemacht wird (§ 44a Abs 1 AVG), dieses Edikt sei in Tageszeitungen zu verlautbaren (§ 44a Abs 3 AVG) und die Rechtsfolge dieser Bekanntmachung liege darin, dass eine Person deren Parteistellung verliert, wenn sie nicht rechtzeitig schriftliche Einwendungen erhebt (§ 44b Abs 1 AVG).
Zur Bestimmung des Art. 34 Abs. 3 lit. c DSGVO weist die Beschwerdeführerin schließlich darauf hin, dass Betroffene (ihrer Ansicht nach) durch eine öffentliche Bekanntmachung "vergleichbar wirksam informiert" wie durch eine persönliche Benachrichtigung werden und selbstredend in keiner öffentlichen Bekanntmachung von einem Datensicherheitsvorfall Betroffene namentlich benannt werden, der Unionsgesetzgeber dennoch davon ausgehe, dass durch die öffentliche Bekanntmachung einer Datenschutzverletzung sämtliche (potenziell) Betroffene vergleichbar wirksam, wie durch eine persönliche Benachrichtigung, informiert werden würden.
Zudem verweist die Beschwerdeführerin auf den Umstand, dass die belangte Behörde ein Prüfverfahren in Folge der Meldung nach Art. 33 DSGVO der X GmbH durchführte, welches sich eigens der Frage der Rechtskonformität der damaligen Bekanntmachung unter der DSGVO gewidmet habe, die belangte Behörde die X GmbH damals jedoch nicht angewiesen habe, die öffentliche Bekanntmachung in irgendeiner Form zu ergänzen, gleichwohl sie dies hätte tun müssen, hätte sie die Bekanntmachung für ungenügend befunden.
In Replik hierauf bringt die mitbeteiligte Partei zusammengefasst vor, erst anlässlich der Medienberichterstattung Anfang des Jahres 2023 vom Datensicherheitsvorfall [aus 2020] erfahren und rechtliche Vertretung in Anspruch genommen zu haben. Die Beschwerdeführerin selbst weise darauf hin, dass sie (Anm.: erst) aufgrund der intensiven Medienberichterstattung seit Anfang des Jahres 2023 eine Vielzahl von datenschutzrechtlichen Begehren erhielt. Ausschließlich die Medienberichterstattung Anfang 2023 betreffend die Verhaftung des „Hackers" in den Niederlanden sei allgemein und im Konkreten von der mitbeteiligten Partei wahrgenommen worden. Zudem sehe Art 34 Abs. 2 DSGVO vor, dass den Anforderungen des Art 33 Abs. 3 lit. b, c und d DSGVO genügt werden müsse, wovon fallbezogen keine Rede sein könne, da die seitens der Beschwerdeführerin erfolgte Benachrichtigung weder die Kontaktdaten des Datenschutzbeauftragten, noch eine Beschreibung der wahrscheinlichen Folgen der Verletzung, noch eine Beschreibung der ergriffenen oder vorgesehenen Maßnahmen zur Behebung der Verletzung bzw. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen enthalte.
Nach Ansicht des erkennenden Senates war der Rechtsansicht der Beschwerdeführerin aufgrund der nachstehenden Erwägungen nicht zu folgen.
3.2.2.1. Zum Verhältnis zwischen dem Beschwerderecht nach Art. 77 DSGVO und der Verjährungsregeln in § 24 Abs. 4 DSG:
3.2.2.1.1. Der angefochtene Bescheid der belangten Behörde erging in Erledigung einer Datenschutzbeschwerde [dem verfahrenseinleitenden Antrag vom 19.04.2023], mit der – soweit für das verwaltungsgerichtliche Verfahren noch von Relevanz – eine Verletzung in den Rechten nach Art. 5 Abs. 1 lit. f in Verbindung mit Art. 32 DSGVO sowie des § 1 DSG moniert wurden.
3.2.2.1.2. Im Zusammenhang mit Art. 77 DSGVO ergibt sich eine Entscheidungspflicht der Datenschutzbehörde immer dann, wenn die betroffene Person „der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“. Der EuGH hat bereits festgehalten, dass Art. 77 DSGVO hinreichend klar, genau und unbedingt und damit unmittelbar anwendbar ist (vgl. EuGH 16.1.2024, C-33/22, Österreichische Datenschutzbehörde, Rn. 62). Art. 77 Abs. 1 DSGVO stellt seinem Wortlaut nach damit nicht auf eine Verletzung in Rechten, sondern auf einen Verstoß der Datenverarbeitung gegen die DSGVO ab. Damit spricht auch nichts gegen die Annahme, dass Verstöße gegen die Grundsätze des Art. 5 Abs. 1 DSGVO (wie fallbezogen nach dessen lit. f) für sich allein in einer Beschwerde nach Art. 77 DSGVO geltend gemacht werden können, sofern dieser Verstoß die Verarbeitung von den Beschwerdeführern (hier somit den Mitbeteiligten) betreffenden personenbezogenen Daten betrifft. Aus unionsrechtlicher Sicht ist es daher vor dem Hintergrund der oben angeführten Rechtsprechung des EuGH zulässig, eine Datenschutzbeschwerde nach Art. 77 DSGVO (allein) auf Art. 5 DSGVO zu stützen. Eine Datenschutzbeschwerde, mit der ein Verstoß gegen die DSGVO geltend gemacht wird, kann (parallel dazu bzw. unter einem) auch auf § 1 Abs. 1 DSG gestützt werden, es ist auch möglich, über eine auf die DSGVO und auf § 1 Abs. 1 DSG gestützte Datenschutzbeschwerde unter einem und somit einheitlich abzusprechen, wenn ein im Wege einer Beschwerde nach Art. 77 DSGVO geltend gemachter Verstoß gegen (etwa) Art. 5 DSGVO – wie in der vorliegenden Fallkonstellation – gleichzeitig auch eine Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG darstellt (vgl. VwGH vom 06.03.2024, Ro 2021/04/0030, Rz 49, 51 und 52). Das diesbezügliche Beschwerdevorbringen zur Feststellungskompetenz der Datenschutzbehörde ist daher verfehlt.
3.2.2.1.3. Nach ständiger Rechtsprechung des EuGH erlegt die DSGVO den zuständigen Behörden der Mitgliedstaaten die Verpflichtung auf, für die in Art. 16 AEUV und Art. 8 der Charta garantierten Rechte ein hohes Schutzniveau zu gewährleisten (vgl. in diesem Sinne Urteil vom 15.06.2021, C‑645/19, Rz 45).
3.2.2.1.4. Mangels einer einschlägigen Unionsregelung [hier: zur Verjährung] ist es nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten Sache der einzelnen Mitgliedstaaten, die Modalitäten [gemeint: Verfahrensvorschriften] für das Verwaltungsverfahren und das Gerichtsverfahren zu regeln, die ein hohes Schutzniveau der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen. Das Bundesverwaltungsgericht hat daher auf der Grundlage der nationalen Verfahrensvorschriften zu bestimmen, wie die von der DSGVO vorgesehenen Rechtsbehelfe, fallbezogen die der Art. 77 und 78 DSGVO, durchzuführen sind. Nationale Bestimmungen zur Durchführung des Beschwerderechts gemäß Art. 77 DSGVO, im vorliegenden Zusammenhang sind die Verjährungsregelungen des § 24 Abs. 4 DSG zu prüfen, dürfen die praktische Wirksamkeit und den wirksamen Schutz der durch die DSGVO garantierten Rechte dabei nicht in Frage stellen. Derartige nationale Bestimmungen dürfen einerseits im Sinne des Äquivalenzgrundsatzes nicht weniger günstig ausgestaltet sein als die für entsprechende innerstaatliche Rechtsbehelfe und andererseits – dem Grundsatz der Effektivität entsprechend – die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (vgl. in diesem Sinne die Urteile des EuGH vom 14.07.2022, C‑274/21 und C‑275/21, Rz 73 und die dort angeführte Rechtsprechung).
3.2.2.1.5. Fallbezogen folgt hieraus, dass die in § 24 Abs. 4 DSG geregelten Bestimmungen, wenn diese Verjährungsbestimmungen in Bezug auf das in Art. 77 DSGVO verankerte Beschwerderecht treffen, im Lichte der unionsrechtlichen Grundsätze und Zielsetzungen nur insoweit anzuwenden sind, als dadurch die Ausübung des Beschwerderechts bei einer Aufsichtsbehörde nicht übermäßig erschwert oder gar praktisch unmöglich gemacht und das Ziel einer unionsweit einheitlichen Anwendung der DSGVO nicht unterlaufen wird.
3.2.2.1.6. Zunächst ist daher der Normgehalt des § 24 Abs. 4 DSG zu ermitteln. Nach dessen Wortlaut erlischt der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, „nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt“. Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen (siehe OGH 31.07.2015, 6 Ob 45/15h und Jahnel, Datenschutzrecht, Update, S 191 zur Vorgängerbestimmung des § 34 Abs. 1 DSG 2000 sowie Bresich/Dopplinger/Dörnhöfer/ Kunnert/Riedl, DSG, S 190 zu § 24 DSG), auf die von Amts wegen, also bei feststehendem Sachverhalt ohne Einwendung Bedacht genommen werden muss (vgl. Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht, § 34, Anm. 2 zur Vorgängerbestimmung des § 34 Abs. 1 DSG 2000). Aus Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl geht hervor, dass die Verjährungsregel des § 24 Abs. 4 DSG hinsichtlich der Zeitvorgaben für das Erlöschen des Anspruchs auf Behandlung einer Beschwerde weitgehend § 34 Abs. 1 DSG 2000 (subjektive Frist von einem Jahr ab Kenntnis des Sachverhalts und objektive Frist von drei Jahren ab Stattfinden des Ereignisses) entsprechen soll.
3.2.2.1.7. Zu klären ist weiterhin, wie die Wendung des § 24 Abs. 4 DSG „… nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat“, im Lichte der vorangehenden unionsrechtlichen Erwägungen auszulegen ist oder anders gewendet, welcher Detailgrad an „Kenntnis von dem beschwerenden Ereignis“ bei einer betroffenen Person vorhanden sein muss, um den Lauf der (subjektiven) Frist ab Kenntnisnahme auszulösen. In untrennbaren systematischem Zusammenhang mit § 24 Abs. 4 DSG findet sich dabei die Bestimmung des § 24 Abs. 2 DSG, diese normiert inhaltliche Anforderungen an eine Beschwerde wegen eines behaupteten Verstoßes gegen die DSGVO oder § 1 DSG. So hat gemäß § 24 Abs. 2 DSG eine Beschwerde zu enthalten: 1. die Bezeichnung des als verletzt erachteten Rechts, 2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner), 3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird, 4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt, 5. das Begehren, die behauptete Rechtsverletzung festzustellen und 6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
3.2.2.1.8. Bereits anhand des Wortlautes der die inhaltlichen Anforderungen an eine Beschwerde nach Art. 77 DSGVO und § 1 DSG an die Datenschutzbehörde regelnden § 24 Abs. 2 DSG wird klar, dass auf der Seite des Betroffenen ein relativ hoher Detailgrad zu dem „beschwerenden Ereignis“ verlangt wird, um überhaupt eine formell vollständige Beschwerde an die Datenschutzbehörde erheben zu können. So verlangt § 24 Abs. 2 Z 3 von der betroffenen Person Angaben über „ den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,“ zu machen, dessen Z 4 „ die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt“, darzustellen. Insbesondere hinsichtlich der Vorgaben des § 24 Abs. 2 Z 4 DSG ist mit Blick auf die zu Art. 77 DSGVO dargestellte Rechtsprechung hinsichtlich dessen unmittelbarer Geltung in Zusammenschau mit dem unionsrechtlichen Effektivitätsgrundsatz zu bemerken, dass die inhaltlichen Anforderungen zu den Gründen, auf die sich die behauptete Rechtswidrigkeit stützt, keinesfalls überspannt werden dürfen, um nicht die Ausübung des Beschwerderechts nach Art. 77 DSGVO übermäßig zu erschweren oder gar praktisch unmöglich zu machen.
3.2.2.1.9. Als Zwischenergebnis ist sohin festzustellen, dass § 24 Abs. 2 Z 3 und Z 4 DSG – selbst bei gebotener unionsrechtskonformer Auslegung – relativ hohe inhaltliche Anforderungen an eine Beschwerdeschrift aufstellen, die auf der Seite der betroffenen Person jedenfalls einen konkreten Wissenstand hinsichtlich eines beschwerenden Ereignisses, der über bloße Vermutungen hinausgeht, voraussetzt. Wenn aber § 24 Abs. 1, 2 und 4 DSG formelle Regelungen zur Inanspruchnahme des Beschwerderechts nach Art. 77 DSGVO treffen, kann die Tragweite der diesbezüglichen Bestimmungen in § 24 DSG nur anhand des Wortlautes, der Systematik und des Regelungszweckes des Art. 77 DSGVO ermittelt werden.
3.2.2.1.10. Gemäß Art. 77 Abs. 1 DSGVO hat jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
3.2.2.1.11. Daraus folgt für den vorliegenden Zusammenhang, dass sich die Wendung „Kenntnis von dem beschwerenden Ereignis“ in § 24 Abs. 4 DSG, im Falle einer auf Art. 77 DSGVO gestützten Beschwerde, konkret auf eine bestimmte Verarbeitung der [den Beschwerdeführer] betreffenden personenbezogenen Daten bezieht, die nach Ansicht des Beschwerdeführers gegen die DSGVO verstößt.
3.2.2.1.12. Dass es – wie die Beschwerdeführerin vermeint – für den Beginn des Laufs der einjährigen Präklusivfrist des § 24 Abs. 4 DSG lediglich auf die „Kenntnis des beschwerenden Ereignisses“, nicht aber auf die „Kenntnis über die persönliche Betroffenheit“ ankomme, trifft im Lichte der vorstehenden Erwägungen jedenfalls nicht zu. Eine derartige Auslegung unterstellte der Bestimmung des § 24 Abs. 4 DSG einen unionsrechtswidrigen Inhalt, da jede beiläufige Kenntnisnahme eines Ereignisses, das potenziell im Zusammenhang mit der (unrechtmäßigen) Verarbeitung personenbezogener Daten Betroffener steht, aber völlig unklar ist, ob eine individuelle Betroffenheit des Einzelnen gegeben ist, zur Verjährung des Rechts auf Erhebung einer Beschwerde nach Art. 77 DSGVO innerhalb eines Jahres führte. Ein derartiges Ergebnis stünde dabei in diametralem Widerspruch zur mit der unmittelbar anwendbaren DSGVO verfolgten Zielsetzung, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. EuGH, Urteile vom 29.07.2019, Fashion ID, C‑40/17, Rn. 66, und vom 28.04.2022, Meta Platforms Ireland, C‑319/20, Rn. 73 sowie die dort angeführte Rechtsprechung).
3.2.2.1.13. Im Folgenden wird daher anhand sämtlicher fallbezogener Umstände zu prüfen sein, ob (und bejahendenfalls wann) die mitbeteiligte Partei Kenntnis von dem beschwerenden Ereignis, also der sie betreffenden Offenlegung von Meldedaten, hatte oder haben musste.
Hierzu ist anhand sämtlicher relevanter Umstände zu beurteilen,
a) ob und inwieweit die Beschwerdeführerin ihren aus Art. 33 und 34 DSGVO zukommenden Melde- und Informationspflichten entsprochen hat, sowie
b) welche Informationen allenfalls im Rahmen von Anträgen auf Auskunft gemäß Art. 15 DSGVO betroffenen Personen gegenüber erteilt wurden, sowie
c) sämtliche fallbezogenen Umstände in Bezug auf die Informationspolitik der Verantwortlichen.
3.2.2.2. Zu den Pflichten der Verantwortlichen nach Art. 33 und 34 DSGVO
3.2.2.2.1. In Art. 4 Z 12 DSGVO wird der Begriff „Verletzung des Schutzes personenbezogener Daten“ definiert als eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Im gegenständlichen Fall ist es bei einem Auftragsverarbeiter der X GmbH im Mai 2020 zu einem unrechtmäßigen Zugriff eines Dritten (Hacker) im Wege eines offenen TCP-Port am betreffenden Server auf denjenigen Meldedatenbestand gekommen, der zuvor von der X GmbH an den Auftragsverarbeiter übermittelt wurde. In unmittelbarer zeitlicher Nähe hierzu wurden die entwendeten Meldedaten im Internet zum Kauf angeboten und so einer nicht eingrenzbaren Zahl an Personen gegenüber offengelegt, was zu einer Verletzung der Vertraulichkeit der betreffenden Meldedaten geführt hat. Die gesamte Vorgangsreihe stellt daher ohne jeden Zweifel eine „Verletzung des Schutzes personenbezogener Daten“ im Sinne der Legaldefinition des Art. 4 Z 12 DSGVO dar.
Datenschutzverletzungen können zahlreiche nachteilige Auswirkungen für die betroffenen Personen haben und einen physischen, materiellen oder immateriellen Schaden nach sich ziehen. Wie in der DSGVO erläutert, können hierzu der Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung und Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten gehören. Den betroffenen Personen können auch andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile entstehen.
3.2.2.2.2. Liegt eine Verletzung des Schutzes personenbezogener Daten iSd Art. 4 Z 12 DSGVO vor, so ist im ersten Schritt vom Verantwortlichen zu prüfen, ob diese ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art 33 Abs. 1 DSGVO). Ist dies zu bejahen, so ist eine Meldung an die Aufsichtsbehörde zu erstatten. Fallbezogen hat die Verantwortliche, wie festgestellt, bezogen auf den Zugriff auf Meldedaten vom Mai 2020, am 29.05.2020 eine Meldung nach Art. 33 DSGVO an die Datenschutzbehörde erstattet.
3.2.2.2.3. Gemäß Art 34 Abs. 1 DSGVO hat der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten die betroffenen Personen unverzüglich von der Verletzung zu benachrichtigen, sofern die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat (vgl. zu alldem Jahnel, Kommentar zur Datenschutz-Grundverordnung, Art. 34 DSGVO). Der Verantwortliche ist im Hinblick auf die Pflicht zur Benachrichtigung der betroffenen Personen stets der Verpflichtete, auch wenn die Verletzung – wie im gegenständlichen Fall – im Bereich des an einen Auftragsverarbeiter ausgelagerten Teils einer Datenverarbeitung stattgefunden hat (vgl. König/Schaupp in Knyrim, DatKomm, Art 34 DSGVO).
3.2.2.2.4. Voraussetzung, dass der Verantwortliche die von einem Sicherheitsvorfall betroffenen Personen zu benachrichtigen hat, ist demnach, dass der Sicherheitsvorfall voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Schwellenwert für die Benachrichtigung ist zwar damit höher als jener für die Meldung eines Sicherheitsvorfalles an die Aufsichtsbehörde, nicht alle Verstöße müssen den betroffenen Personen mitgeteilt werden, um sie auch vor unnötiger „Benachrichtigungsmüdigkeit“ zu schützen bzw. nicht bei jedem denkbaren Risiko bei Betroffenen für Verunsicherung zu sorgen. Schließlich könnte eine überbordende Meldeverpflichtung betroffene Personen auch desensibilisieren, wenn sie mit einer Vielzahl unwesentlicher Benachrichtigungen konfrontiert werden. Andererseits darf daraus nicht der Schluss gezogen werden, die Benachrichtigungspflicht sei im Gegensatz zur Meldepflicht nach Art 33 DSGVO nur ausnahmsweise anzunehmen. Die Anforderungen an die hohe Risikoschwelle dürfen dabei nicht überspannt werden. Für die Art der Risiken kann wie bei Art. 33 DSGVO auf Erwägungsgrund 85 verwiesen werden. Wann ein hohes Risiko vorliegt, obliegt der Bewertung im Einzelfall, die (vormalige) Artikel-29-Datenschutzgruppe führt in ihren Leitlinien zu Art. 33 DSGVO eine Reihe von Beispielen an: Demnach soll ein Cyberangriff auf ein Onlineservice, der zum Verlust personenbezogener Daten führt, oder eine Verschlüsselung solcher Daten mittels Ransomware, ohne dass Backups existieren, benachrichtigungspflichtig sein, nicht aber ein Softwarefehler in der Autorisierung eines Website Hosting Services, das den Zugriff auf Daten anderer User ermöglicht, solange diese Gefahr sich nicht tatsächlich verwirklicht. Die Beweislast dafür, dass die Verletzung kein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen bedeutet, trifft den Verantwortlichen – was sich aus dessen Rechenschaftspflicht (Art 5 Abs. 2 und Art 24 Abs. 1 DSGVO) ergibt (vgl. König/Schaupp, DatKomm, Art 34 DSGVO).
3.2.2.2.5. Fallbezogen war zunächst festzustellen, dass der Sicherheitsvorfall vom Mai 2020 zur Folge hatte, dass unverschlüsselte und nicht pseudonymisierte Meldedaten im Ausmaß von mehreren Millionen natürlichen Personen mit Wohnsitz in Österreich in Besitz unbefugter Dritter gelangt sind und im Internet zum Kauf angeboten wurden. Die so offengelegten Meldedaten gelangten daher in den Verfügungsbereich einer nicht eingrenzbaren Zahl an unbefugten Dritten, die betroffenen Personen haben dadurch dauerhaft die Kontrolle über ihre Meldedaten verloren. Erschwerend kommt hinzu, dass in der betroffenen Meldedatenbank auch die Meldedaten von Personen enthalten waren, hinsichtlich derer eine Auskunftssperre im Sinne von § 18 Abs. 2 MeldeG besteht. Nach dieser Bestimmung kann „jeder gemeldete Mensch bei der Meldebehörde beantragen, dass Meldeauskünfte über ihn nicht erteilt werden (Auskunftssperre), soweit ein schutzwürdiges Interesse [zum Schutz des Privatlebens] glaubhaft gemacht wird. Ist ein solches Interesse offenkundig, so kann die Auskunftssperre auch von Amts wegen verfügt oder verlängert werden. In Betracht kommt eine derartige Auskunftssperre regelmäßig für Personen, die öffentliche Ämter ausüben, im Bereich der Sicherheitsverwaltung und Strafrechtspflege tätig sind, Personen die sonst einer breiteren Öffentlichkeit bekannt sind wie Journalisten, Wirtschaftsvertretern, Vertretern von Nichtregierungsorganisationen, aber auch für Personen, die aus anderen Gründen ein schutzwürdiges Interesse zur Wahrung ihres Privatlebens an der Geheimhaltung ihres Wohnortes haben, wie etwa Opfern organisierter Kriminalität oder häuslicher Gewalt und Ähnliches mehr.
3.2.2.2.6. Auch wenn die Art der hier betroffenen Daten (Meldedaten) auf den ersten Blick relativ harmlos erscheint, kann eine Datenbank, die Millionen an Adressdaten in Österreich gemeldeter Personen enthält, die zum Teil aufgrund schutzwürdiger Geheimhaltungsinteressen eine Auskunftssperre veranlasst haben, für Straftäter von großem Interesse und die Betroffenen damit mit einem schweren Risiko verbunden sein.
Daraus folgt aus Sicht des erkennenden Senates, dass die von Art. 34 Abs. 1 DSGVO normierte Voraussetzung zur Benachrichtigung betroffener Personen im vorliegenden Fall jedenfalls als erfüllt anzusehen ist.
3.2.2.2.7. Eine solche Benachrichtigung soll grundsätzlich den betroffenen Personen direkt zugehen, außer damit wäre ein unverhältnismäßiger Aufwand verbunden, dann soll eine öffentliche Bekanntmachung ausreichen. Die Benachrichtigungspflicht betrifft dabei nur jene Personen, deren Daten von der Verletzung des Schutzes personenbezogener Daten umfasst sind. Besteht – wie von der Beschwerdeführerin durchgängig vorgebracht – eine Unsicherheit, ob eine Person von einem Sicherheitsvorfall betroffen ist, so ist sie jedenfalls zu benachrichtigen, da die Verpflichtung zu Benachrichtigung nur dann entfällt, wenn zweifelsfrei feststeht, dass sie nicht betroffen ist.
3.2.2.2.8. Bereits an dieser Stelle ist hervorzuheben, dass die Beschwerdeführerin – auf dem Boden der vorliegenden Gesamtumstände (vgl. insbesondere die beweiswürdigenden Erwägungen hierzu unter Pkt. 2.5.), keinesfalls davon ausgehen durfte, dass in der Meldedatenbank enthaltene personenbezogene Daten „zweifelsfrei“ nicht von dem widerrechtlichen Zugriff und der Offenlegung im Internet betroffen waren. Vielmehr erhellt bereits aus dem Zwischenbericht des Bundeskriminalamtes vom 02.06.2020, dass die X GmbH bereits im Mai 2020 über weitgehende Ermittlungsergebnisse seitens des Bundeskriminalamtes verfügte, sodass innerhalb der X kaum Zweifel daran bestanden haben konnten, dass die im Internet zum Kauf angebotenen Meldedaten ursprünglich aus dem Datenbestand der X stammten und bei dem IT-Dienstleister über den offenen TCP-Port 9200 abgegriffen wurden. Die weitwendigen Ausführungen der X im Rahmen des verwaltungsgerichtlichen Ermittlungsverfahrens, wonach der Wissensstand auf Seiten der X hinsichtlich des in Rede stehenden Sicherheitsvorfalles in Bezug auf die betroffenen Datenkategorien und des genauen Tatherganges derart unsicher und vage gewesen sei, bzw. sogar bis zum gegenwärtigen Zeitpunkt kein nennenswerter Erkenntnisgewinn hierüber erzielt werden konnte, sodass keine weitergehenden öffentlichen oder gar individuellen Benachrichtigungen hierüber möglich waren, ist mit den vorliegenden Beweisergebnissen nicht in Einklang zu bringen.
3.2.2.2.9. Wenn die Beschwerdeführerin den Standpunkt vertritt, die von ihr am 29.05.2020 vorgenommene öffentliche Mitteilung zum verfahrensgegenständlichen Sicherheitsvorfall habe die mitbeteiligte Partei (bzw. sonst potenziell betroffene Personen) im Sinne von § 24 Abs. 4 DSG in Kenntnis des Vorfalles versetzt, wodurch bereits im Mai 2020 der Lauf der einjährigen (subjektiven) First zur Geltendmachung einer Datenschutzbeschwerde des § 24 Abs. 4 DSG ausgelöst worden sei, ist die Beschwerdeführerin nicht im Recht:
3.2.2.2.10. So war in der APA-Mitteilung vom 27.05.2020 zunächst die Rede von einem „Verdacht auf Datendiebstahl bei X “, nicht aber von einem tatsächlichen Abfluss von Daten, beschwichtigend sodann der Hinweis, „Wie uns unsere Datenschutzexperten versichern, ist es seitens der X zu keinerlei Versäumnissen gekommen“, sowie, „Dies wird auch durch die im Februar erneuerte ISO-Zertifizierung der X -IT-Systeme untermauert, betonte XXXX “, wenn hinsichtlich der Art der betroffenen Daten und der Anzahl der betroffenen Personen sodann mitgeteilt wird, „Wie viele Personen von dem möglichen Datendiebstahl betroffen sind und um welche Daten es sich genau handelt, war vorerst nicht zu erfahren“, bzw., „Anlass für die Ermittlungen war dem Vernehmen nach, dass auf einem Darknet-Marktplatz Daten angeboten wurden, deren Zusammensetzung auf die (teils aus dem Zentralen Melderegister abgefragten […] Kundendaten der X hinweist“, bzw. „Offiziell bestätigt wurde das allerdings nicht“, ist festzustellen, dass diese Information dem Empfänger keinesfalls darüber in Kenntnis setzt, dass ihn betreffende Meldedaten mit an Sicherheit grenzender Wahrscheinlichkeit offengelegt wurden; vielmehr ergibt sich aus den zitierten Textpassagen, dass die X GmbH – selbst auf Nachfrage der APA – nicht darauf hingewiesen hat, dass es definitiv und laut vorliegender Erkenntnisse des IT-Dienstleisters, bei dem die Meldedaten der X -Kunden zu Testzwecken verarbeitet wurden, am 08.05.2020 zu einem widerrechtlichen Zugriff und Datenabfluss gekommen ist. Dies obwohl die Geschäftsführung des IT-Dienstleisters der Geschäftsführung der X GmbH klar und unmissverständlich mitgeteilt hat, dass ein Dritter eben genau auf besagte Meldedatenbank Zugriff genommen und Daten abgegriffen hat.
Der übrige Text der APA-Mitteilung, „Der NEOS-Abgeordnete XXXX hatte zuvor von einem einschlägigen Darknet-Angebot berichtet, auf dem behauptet wird, Adressen, Telefonnummern und Kontodaten von österreichischen Beamten, Richtern, Staatsanwälten und Journalisten zu verkaufen“, vermittelt einerseits den Eindruck, die Mitteilung stammte aus der Sphäre einer Oppositionspartei, andererseits suggeriert die Bezugnahme auf Daten bestimmter Berufsgruppen, dass es sich lediglich um einen eingegrenzten Kreis an potenziell betroffenen Personen handelt und enthält zudem einen irreführenden Hinweis auf Kontodaten, wobei Kontoinformationen vom gegenständlichen Sicherheitsvorfall nicht betroffen waren, was die X GmbH im Rahmen ihrer Meldung nach Art. 33 DSGVO vom 29.05.2020 gegenüber der Datenschutzbehörde bereits klar zum Ausdruck brachte (vgl. Pkt. 1.15).
3.2.2.2.11. An dieser Stelle ist darauf hinzuweisen, dass Art. 34 Abs. 2 DSGVO verlangt, dass eine Benachrichtigung der betroffenen Person in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben hat und zumindest die in Art. 33 Abs. 3 lit. b, c und d genannten Informationen und Maßnahmen zu enthalten hat.
3.2.2.2.12. Weder erfüllt die APA-Mitteilung das Erfordernis einer klaren und einfachen Sprache, sondern war diese vielmehr irreführend und vage formuliert, noch finden sich darin der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten oder eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und allfällige Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
3.2.2.2.13. Demgegenüber halten bereits die Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten (WP250rev.01 vom 06.02.2018) der (ehemaligen) Art-29-Datenschutzgruppe (nunmehr EDSA) fest, dass
- die betroffenen Personen durch eine eigens für den Zweck erstellte Mitteilung von der Datenschutzverletzung benachrichtigt werden und
- die Mitteilung nicht zusammen mit anderen Informationen, etwa mit regelmäßigen Updates, Newslettern oder Standardmitteilungen, verschickt werden sollte.
Als transparente Benachrichtigungsmethoden erachten die vorgenannten Leitlinien zum Beispiel die direkte Kommunikation per E-Mail, SMS oder Instant-Messaging-Dienste, an herausragender Stelle platzierte Banner oder Meldungen auf der Website, postalische Mitteilungen und aufmerksamkeitsstarke Anzeigen in den Printmedien. Die ausschließliche Benachrichtigung durch eine Pressemitteilung oder in einem Unternehmensblog werden von den EDSA-Leitlinien ausdrücklich nicht als wirksames Mittel, um die betroffenen Personen von einer Datenschutzverletzung in Kenntnis zu setzen, angesehen. Empfohlen wird zudem, Kommunikationsmittel zu wählen, die eine optimale Vermittlung der Informationen an alle betroffenen Personen gewährleisten. Dazu müssten Verantwortliche den Umständen entsprechend möglicherweise mehrere Kommunikationswege statt nur eines Kontaktkanals nutzen (vgl. erneut die Leitlinien WP250rev.01 vom 06.02.2018).
3.2.2.2.14. Tatsächlich hat die X GmbH ausschließlich die APA-Mitteilung vom 27.06.2020 zur Information potenziell betroffener Personen genutzt. Zwar will die Beschwerdeführerin den an die APA übermittelten Text wortgleich auch auf ihrer Homepage veröffentlicht und ihren Kundendienstmitarbeitern zur Verfügung gestellt haben, jedoch schaffte dieser Kommunikationsweg keinen zusätzlichen Informationsgehalt, da dadurch keine weitergehenden Informationen als in der (allgemein gehaltenen) APA-Mitteilung selbst bereitgestellt wurden.
3.2.2.2.15. Als Zwischenergebnis ist daher festzuhalten, dass die APA-Mitteilung die Anforderungen an eine wirksame Information der Betroffenen im Sinne von Art. 34 Abs. 3 lit. c DSGVO keinesfalls erfüllt hat.
Daran ändert auch der Umstand nichts, dass die Datenschutzbehörde das in der Sache geführte Verfahren nach Art. 33 DSGVO formlos eingestellt hat, ohne von ihren Befugnissen nach Art. 34 Abs. 4 DSGVO Gebrauch zu machen.
3.2.2.2.16. In diesem Zusammenhang ist Art. 34 Abs. 3 DSGVO in den Blick zu nehmen, dieser nennt die folgenden drei Bedingungen, unter denen die betroffenen Personen nicht von einer Datenschutzverletzung benachrichtigt werden müssen:
- Der Verantwortliche hat vor der Datenschutzverletzung geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt, insbesondere solche Maßnahmen, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden. Dazu könnte zum Beispiel der Schutz personenbezogener Daten durch eine dem Stand der Technik entsprechende Verschlüsselung oder durch Tokenisierung gehören.
- Der Verantwortliche hat unmittelbar nach einer Datenschutzverletzung durch Maßnahmen dafür gesorgt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht. Je nach Sachlage wäre dies beispielsweise der Fall, wenn der Verantwortliche die Person, die Zugang zu den personenbezogenen Daten hatte, sofort ermittelt und Maßnahmen gegen sie getroffen hat, bevor sie die Daten in irgendeiner Weise verwenden konnte. Trotzdem müssen – auch hier abhängig von der Art der betroffenen Daten – die möglichen Folgen einer etwaigen Beeinträchtigung der Datenvertraulichkeit gebührend berücksichtigt werden
- Die Kontaktaufnahme mit den betroffenen Personen würde einen unverhältnismäßigen Aufwand verursachen, etwa wenn deren Kontaktdaten aufgrund der Datenschutzverletzung verloren gegangen sind oder wenn diese schon vorher nicht bekannt waren. Ein solcher Fall würde beispielsweise eintreten, wenn das Lager eines statistischen Amtes überflutet wurde und die Dokumente mit den personenbezogenen Daten nur in Papierform gelagert wurden. Der Verantwortliche muss stattdessen eine öffentliche Mitteilung machen oder mit ähnlichen Maßnahmen dafür sorgen, dass die betroffenen Personen vergleichbar wirksam informiert werden. Im Falle eines unverhältnismäßigen Aufwands könnten die Informationen über die Datenschutzverletzung unter Umständen auch mithilfe technischer Lösungen auf Anfrage abrufbar gemacht werden. Das wäre auch für betroffene Personen hilfreich, die der Verantwortliche anderweitig nicht kontaktieren kann (vgl. dazu erneut die Leitlinien WP250rev.01 vom 06.02.2018).
3.2.2.2.17. Fallgegenständlich kommen aber die Ausnahmen von der Benachrichtigungspflicht in Art. 34 Abs. 3 lit. a und b DSGVO nicht in Betracht, da es tatsächlich keine Möglichkeit gibt, die im Internet offengelegten Meldedaten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich zu machen oder durch nachfolgende Maßnahmen sicherzustellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht. Dies da die betreffenden Daten einem unbegrenzten Kreis an Dritten im Internet zugänglich gemacht wurden und keine technischen Verfahren verfügbar sind, diesen Vorgang rückgängig zu machen. Eine allfällige Zusage eines Dritten, nach Zahlung eines bestimmten Betrages die widerrechtlich erlangten und veröffentlichten Daten zu löschen und nicht mehr weiter zu verbreiten, hat in rechtlicher und tatsächlicher Hinsicht dabei keinerlei Relevanz.
3.2.2.2.18. Mit Blick auf Art. 34 Abs. 3 lit. c DSGVO wäre die Verbreitung vollständiger Informationen zu dem gegenständlichen Sicherheitsvorfall über verschiedene öffentliche Benachrichtigungskanäle – darunter auch APA/OTS-Aussendungen – in Betracht gekommen, als geeignete Formen der öffentlichen Benachrichtigung nennen König/Schaupp als Beispiele hierfür etwa großformatige Zeitungsanzeigen in Tageszeitungen, sonstigen landesweiten oder regionalen Medien oder über soziale Netzwerke, Rundfunk bzw. Fernsehen (etwa in Form einer Pressekonferenz) oder Information auf einer von den betroffenen Personen regelmäßig besuchten Webseite des Verantwortlichen. Letzteres wird davon abhängen, ob der Webauftritt vom betroffenen Personenkreis auch tatsächlich regelmäßig besucht wird. Entscheidend ist demnach die tatsächliche Wahrnehmung durch die betroffenen Personen und kann nicht in jedem Fall unterstellt werden, die betroffenen Personen hätten Zugang zum Internet. Es empfiehlt sich deshalb eine gleichzeitige Bekanntmachung über verschiedene, auch analoge Kanäle wie Printmedien (vgl. König/Schaupp in Knyrim, DatKomm, Art 34 DSGVO). Dabei wären ab Ende Mai 2020 jedenfalls diejenigen Informationen bereitzustellen gewesen, die von der X GmbH im Rahmen der Meldung nach Art. 33 DSGVO der Datenschutzbehörde gegenüber mitgeteilt wurden. Im weiteren Verlauf (spätestens aber ab Oktober 2021, also jenem Zeitpunkt, ab dem laut Staatsanwaltschaft keinerlei ermittlungstaktische Erwägungen mehr dagegen sprachen), wären die Informationen sodann auf Basis weitergehender interner und externer Ermittlungen stufenweise ergänzen zu gewesen. Das hat die Beschwerdeführerin jedoch unterlassen.
Bei der (vormaligen) X GmbH handelt es sich um eine Tochtergesellschaft des XXXX , es wäre sohin jedenfalls in Betracht zu ziehen gewesen, vom Sicherheitsvorfall potenziell betroffene Personen im Wege von Rundfunkeinschaltungen und/oder durch Hinweise auf dem bekanntermaßen stark frequentierten Internetauftritt des XXXX (den sog. „blauen Seiten“) im Sinne von Art. 34 Abs. 3 lit. c DSGVO wirksam zu informieren.
3.2.2.2.19. Auf dem Boden der getroffenen Feststellungen hinsichtlich des internen Kenntnisstandes der Beschwerdeführerin im Nachgang zum Sicherheitsvorfall vom Mai 2020 war insgesamt festzuhalten, dass die Beschwerdeführerin über weitaus detailliertere Informationen zum widerrechtlichen Zugriff auf Meldedaten bei ihrem IT-Dienstleister verfügte, als sie dies im Rahmen ihrer öffentlichen Kommunikation und bis zuletzt auch im Rahmen von Auskunftserteilungen nach Art. 15 DSGVO, aber auch im Verfahren vor dem Bundesverwaltungsgericht, zu vermitteln suchte. Wie aus dem oben zitierten Zwischenbericht des BKA vom 01.10.2021 ersichtlich wird, standen – entgegen des diesbezüglichen Vorbringens der Vertreter der X – spätestens seit Oktober 2021 kriminaltaktische Erwägungen einer weitergehenden Information der potenziell Betroffenen nicht entgegen.
Hierzu im Einzelnen:
3.2.2.2.20. Wie festgestellt, hat ein Mitarbeiter des IT-Dienstleisters, der an dem in Rede stehenden IT-Projekt im Mai 2020 arbeitete, am 27.05.2020 aus den Medien von einem externen widerrechtlichen Zugriff erfahren und bestand bei ihm die Befürchtung, dass es sich um die von der X zur Verfügung gestellten Meldedaten handelte. Im Rahmen der Überprüfung durch den Mitarbeiter stellte sich heraus, dass eine technische Sicherheitslücke an dem zu Testzwecken genutzten Server des IT-Dienstleisters der X bestand, dies in Gestalt einer offenen – aus dem öffentlichen Internet erreichbaren – Netzwerkschnittstelle, dem TCP Port 9200, unbekannte Täter diese Sicherheitslücke ausgenutzt und die dort gespeicherten Meldedaten bereits am 08.05.2020 abgegriffen haben. Der unrechtmäßige externe Zugriff auf den Meldedatenbestand konnte durch Auswertung von Protokolldaten (Log-Files) am Server festgestellt werden. Ebenso stellte der IT-Dienstleister durch interne Untersuchungen fest, dass der unrechtmäßige externe Zugriff dadurch ermöglicht wurde, dass ein Mitarbeiter des IT-Dienstleisters im Rahmen von Entwicklungs- bzw. Testtätigkeiten den TCP-Port 9200 zum Testserver in Deutschland offengelassen hat und die dort betriebene Meldedatenbank nicht durch ein Benutzerauthentifizierungssystem (bspw. Benutzername und Kennwort) vor unrechtmäßigen Zugriffen geschützt war.
3.2.2.2.21. Die dritte Person (Hacker) hat den exfiltrierten Meldedatenbestand, also jene Meldedaten, die von X dem IT-Dienstleister im Mai 2020 zur Verfügung gestellt wurden, in Folge öffentlich im Internet, im sogenannten „RaidForums", zumindest im Mai 2020 zum Verkauf angeboten.
3.2.2.2.22. Die Geschäftsführung der Z GmbH hat, in Erfüllung ihrer Verpflichtung als Auftragsverarbeiter gemäß Art. 33 Abs. 2 DSGVO, die Geschäftsführung der X GmbH am 27.05.2020 oder 28.05.2020 per E-Mail schriftlich von den oben beschriebenen Vorgängen in Kenntnis gesetzt. Da der Verantwortliche den Auftragsverarbeiter nutzt, um seine Ziele zu erreichen, gilt grundsätzlich, dass dem Verantwortlichen die Datenschutzverletzung „bekannt“ wurde, sobald ihn der Auftragsverarbeiter davon in Kenntnis gesetzt hat. Die Pflicht des Auftragsverarbeiters zur Meldung an den Verantwortlichen versetzt den Verantwortlichen in die Lage, die Verletzung zu beheben und festzustellen, ob eine Meldung an die Aufsichtsbehörde gemäß Art. 33 Absatz 1 und eine Benachrichtigung der betroffenen Personen gemäß Art. 34 Abs. 1 erfolgen muss.
3.2.2.2.23. Der zum Kauf angebotene Meldedatenbestand wurde von einer öffentlichen Stelle in Österreich zwischen 24.05.2020 und 25.05.2020 erworben und in Folge unter Einbeziehung von IT-Mitarbeitern der X GmbH und Z GmbH analysiert.
3.2.2.2.24. Im Rahmen ihrer Meldung im Sinne von Art. 33 DSGVO an die Datenschutzbehörde vom 29.05.2020 führte die X in Bezug auf den Sicherheitsvorfall vom 08.05.2020 aus, man habe am 27.05.2020 um 09.00 Uhr von Ermittlungsbeamten des Bundeskriminalamts (BK) einen Hinweis erhalten, wonach eine größere Menge personenbezogener Daten im Darknet von einer unbekannten Person zum illegalen Verkauf angeboten werde, wobei es sich um Daten von Personen mit Unterkunft in Österreich handle und die bisherigen Erhebungen des BK ergeben hätten, dass sich die zum Verkauf angebotenen Daten vornehmlich aus dem österreichischen zentralen Melderegister (ZMR), aber auch aus den lokalen Melderegistern (LMR) rekrutierten, die ersten vom BK mitgeteilten Indizien sprachen dabei dafür, dass der zum Verkauf stehende Datenbestand zumindest zum Teil aus Datenbeständen der X GmbH stammen könnten. Weiterhin gab die X GmbH an, dass dem Vernehmen nach die Ermittlungsbehörden davon ausgehen dürften, dass der Täter über Datensätze von zumindest fünf Millionen Personen verfügte. Zu den betroffenen Datenkategorien gab die X GmbH an, dass es sich um Vor- und Nachname, Adressanschrift (Straße, Hausnummer und sonstige Adressbezeichnung, Postleitzahl, Stadt- oder Gemeindename, teils Geo-Daten der Wohnobjekte) und Geburtsdatum handelte. Weshalb die X GmbH diese ihr offensichtlich vorliegenden Informationen nicht zumindest im Rahmen einer öffentlichen Bekanntmachung im Sinne von Art. 34 Abs. 3 lit. c DSGVO bereitgestellt hat, kann aus Sicht des erkennenden Senates nicht nachvollzogen werden.
3.2.2.2.25. Aus einem Zwischenbericht der zuständigen Ermittler des Bundeskriminalamtes an die zuständige Staatsanwaltschaft vom 02.06.2020 geht hervor, dass, „... nach derzeitigem Ermittlungsstand davon ausgegangen werden [könne], dass der Täter in den Besitz der Daten durch Ausnützung der Sicherheitslücke gekommen ist“, sowie dass „[a]uf Grund der Zeugeneinvernahme der Z* Consulting mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgegangen werden [könne], dass die Daten von der gemieteten IT Infrastruktur (bei S ) widerrechtlich entwendet“ worden seien.
3.2.2.3. Zu den Auskunftspflichten der Verantwortlichen nach Art. 15 DSGVO:
3.2.2.3.1. Schwerwiegend zu Lasten der Beschwerdeführerin fällt zudem die Praxis der Auskunftserteilung im Rahmen von Anträgen gemäß Art. 15 DSGVO ins Gewicht:
3.2.2.3.2. Die Beschwerdeführerin hat selbst noch im Rahmen der Beantwortung eines Auskunftsbegehrens gemäß Art. 15 DSGVO einer betroffenen Person am 23.05.2023, bezugnehmend auf den hier in Rede stehenden Sicherheitsvorfall vom Mai 2020 und einer allfälligen individuellen Betroffenheit hiervon mitgeteilt, die beim Täter sichergestellten Daten bislang nicht erhalten zu haben, weshalb ein Abgleich mit diesen Daten bisher nicht möglich gewesen sei und man das Auskunftsbegehren in diesem Punkt nicht weiter bearbeiten könne.
3.2.2.3.3. Auch in diesem Zusammenhang vertritt der erkennende Senat die Auffassung, dass auf Basis der hinreichend klaren Ermittlungsergebnisse des Bundeskriminalamtes in Zusammenschau mit den von der Z GmbH bereitgestellten Erkenntnissen, die Beschwerdeführerin in den Wochen und Monaten nach dem widerrechtlichen Zugriff vom 08.05.2020 tatsächlich in der Lage gewesen wäre, eine Auskunft im Sinne von Art. 15 DSGVO zu erteilen. Darin hätte die Beschwerdeführerin mitteilen können und müssen, dass es bei einem Auftragsverarbeiter im Mai 2020 zu einem widerrechtlichen Zugriff auf die von ihr im Rahmen des § 4 RGG verarbeiteten Daten gekommen ist, diese Daten in der Folge laut den Erkenntnissen der Ermittlungsbehörden im Internet zum Kauf angeboten wurden, weshalb mit hoher Wahrscheinlichkeit eine individuelle Betroffenheit des Anfragers gegeben sein wird.
3.2.2.3.4. Wenn aber – was aufgrund der vorstehenden Erwägungen nach Ansicht des erkennenden Senates auszuschließen ist – die Beschwerdeführerin als datenschutzrechtlich Verantwortliche selbst bis heute keine Kenntnis über die konkrete Betroffenheit von Personen haben will, kann sie nicht unterstellen, dass betroffene Personen seit 29.05.2020 „Kenntnis vom beschwerenden Ereignis“ im Sinne des Normgehaltes des § 24 Abs. 4 DSG haben mussten.
3.2.2.4. Ergebnis:
3.2.2.4.1. Nach Würdigung sämtlicher Umstände kann nach Ansicht des erkennenden Senates kein Zweifel daran bestehen, dass innerhalb der Gesellschaft der Beschwerdeführerin bereits in den Tagen und Wochen nach dem widerrechtlichen Zugriff auf die Meldedatenbank im Mai 2020 hinreichende Anhaltspunkte dafür vorlagen, dass personenbezogene Daten, die von der X GmbH an die Z GmbH Anfang Mai 2020 übermittelt worden sind, vom Testserver des Auftragsverarbeiters entwendet, im Internet zum Kauf angeboten und hierdurch einer unbeschränkten Zahl an Dritten gegenüber offengelegt wurden. Aus den Berichten des Bundeskriminalamtes geht klar und zweifellos hervor, dass die zuständigen Mitarbeiter der X von Beginn an eng in die behördlichen Ermittlungen eingebunden waren, was sich – wie aufgezeigt – auch im Inhalt der an die Datenschutzbehörde gelegten Meldung vom 29.05.2020 wiederspiegelt.
3.2.2.4.2. All das lässt aus Sicht des erkennenden Senates keinen anderen Schluss zu als, dass die Beschwerdeführerin gezielt wesentliche – ihr vorliegende – Informationen zum widerrechtlichen Zugriff auf von ihr an einen IT-Dienstleister übergebene und dort verarbeitete Meldedaten im Mai 2020, und die damit Einhergehenden Folgen für die Rechte von Millionen betroffener Personen mit Wohnsitz in Österreich, zurückgehalten hat und weiterhin zurückhält.
3.2.2.4.3. Diese Schlussfolgerung verstärkt sich durch die weitere Feststellung, wonach in Folge eines an die zuständige Ermittlungsbehörde übermittelten Ersuchens um Ausfolgung der X GmbH vom 23.09.2021, die in Rede stehenden Datensätze am 12.10.2021 vom Bundeskriminalamt an einen Vertreter der X auf einem Datenträger in Kopie ausgefolgt wurden. Hervorzuheben ist dabei, dass das Bundeskriminalamt im Rahmen der Datenübergabe an die X GmbH explizit darauf hingewiesen hat, dass dieser Datenbestand exakt jenen Daten entspricht, die der Dritte unter dem Nutzernamen „DataBox“ auf Raidforums.com angeboten hat.
3.2.2.4.4. Der Beschwerdeführerin wäre es aus Sicht des erkennenden Senates zweifellos möglich gewesen, auf Basis der hinreichend klaren Ermittlungsergebnisse des Bundeskriminalamtes in Zusammenschau mit den von der Z GmbH bereitgestellten Erkenntnissen, in den Wochen und Monaten nach dem widerrechtlichen Zugriff vom 08.05.2020 die betroffenen Personen auf wirksame Weise zum Hergang und den Folgen des Vorfalles im Sinne von Art. 34 Abs. 1 und Abs. 2 DSGVO zu informieren.
3.2.2.4.5. Dass die belangte Behörde seit Mai 2020 keine Veranlassung gesehen hat, von ihren Befugnissen nach Art. 58 Abs. 2 lit. e DSGVO Gebrauch zu machen und der Verantwortlichen aufzutragen, die von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen entsprechend zu benachrichtigen, kann vom erkennenden Senat in Anbetracht der über Jahre geführten Ermittlungen in der Sache nicht nachvollzogen werden. So hätte die belangte Behörde erkennen müssen, dass die öffentliche Mitteilung der Verantwortlichen im Wege der APA-Meldung vom 29.05.2020 den internen Kenntnisstand der Verantwortlichen in keiner Weise abbildet und die potenziell betroffenen Personen nicht vergleichbar wirksam im Sinne der Ausnahmeregelung des Art. 34 Abs. 3 lit. c DSGVO informiert hat. Gänzlich im Dunkeln muss vor dem Hintergrund der Tragweite des bei der belangten Behörde aktenmäßig dokumentierten Sachverhaltes daher bleiben, weshalb diese das anlässlich der Meldung nach Art. 33 DSGVO geführte Verfahren formlos am 11.07.2023 eingestellt hat. Eine betroffene Person hätte, die etwa nach Art. 34 Abs. 3 lit c DSGVO durch öffentliche Bekanntmachung von der Schutzverletzung erfahren und im Gegensatz zur Aufsichtsbehörde der Auffassung gewesen wäre, dass der Verantwortliche zur individuellen Benachrichtigung verpflichtet gewesen wäre, gegen einen Bescheid nach Art. 34 Abs. 4 DSGVO vorgehen und die gerichtliche Feststellung beantragen können, dass keine Ausnahme von der Benachrichtigungspflicht vorlag (vgl. König/Schaupp in Knyrim, DatKomm, Art 34 DSGVO). Im Falle der formlosen Einstellung stand diese Rechtsschutzmöglichkeit betroffenen Personen naturgemäß nicht offen.
3.2.2.4.6. Jedoch auch wenn die belangte Behörde zu Unrecht keinen Gebrauch von den ihr nach Art. 58 Abs. 2 lit. e und Art. 34 Abs. 4 DSGVO eingeräumten Befugnissen gemacht und es unterlassen hat, die Verantwortliche bescheidförmig anzuweisen, betroffene Personen im Sinne von Art. 34 Abs. 1 DSGVO oder im Wege einer öffentlichen Bekanntmachung durch Bereitstellung der ihr vorliegenden Informationen (vgl. hierzu Pkt. 3.2.3.2.26) im Sinne von Art. 34 Abs. 3 lit. c DSGVO zu informieren, kann dies nicht zu einem Nachteil bei der Ausübung des Beschwerderechts betroffener Personen nach Art. 77 DSGVO führen. Dies bereits deshalb nicht, da der Schutzzweck der Bestimmungen des Art. 33 und 34 DSGVO nicht darauf abzielt, nationale Verjährungsbestimmungen Wirksamkeit zu verleihen. Vielmehr sollen insbesondere die Informationspflichten des Art. 34 DSGVO es Personen erleichtern, Gegenmaßnahmen gegen die mit solchen Vorfällen möglicherweise verbundenen physischen, materiellen oder immateriellen Schäden zu treffen und damit das Risiko eines unmittelbaren Schadens zu mindern (vgl. erneut König/Schaupp, DatKomm, Art 34 DSGVO).
3.2.2.4.7. Im gegebenen Zusammenhang ist darauf hinzuweisen, dass der Grundsatz der Waffengleichheit, der einen integralen Bestandteil des in Art. 47 GRC verankerten Rechts auf einen wirksamen Rechtsbehelf bildet, da er, wie u. a. der Grundsatz des kontradiktorischen Verfahrens eine logische Folge des Begriffs des fairen Verfahrens als solchem ist, es gebietet, dass es jeder Partei angemessen ermöglicht wird, ihren Standpunkt sowie ihre Beweise unter Bedingungen vorzutragen, die sie nicht in eine gegenüber ihrem Gegner deutlich nachteilige Position versetzen (vgl. EuGH, Urteil vom 16.10.2019, C‑189/18, Rz 61, Urteil vom 10.02.2022, C-219/20, Rz 46). Wie bereits ausführlich dargestellt, verfügte die Beschwerdeführerin in deren Rolle als Verantwortliche bereits in den Wochen und Monaten nach dem Sicherheitsvorfall vom Mai 2020 über weitaus mehr Informationen als sie dies potenziell betroffenen Personen gegenüber vermittelte. Darüber hinaus hat es die belangte Behörde verabsäumt, von ihren Abhilfebefugnissen nach Art. 58 Abs. 2 lit. e und Art. 34 Abs. 4 DSGVO Gebrauch zu machen und der Verantwortlichen entsprechende Anweisungen zu erteilen. So verblieben den betroffenen Personen lediglich die vagen und teils irreführenden Formulierungen der APA-Mitteilung vom 29.05.2020, die – wie dargestellt – keine hinreichenden Informationen zur individuellen Betroffenheit enthielt, sodass von einer Kenntniserlangung im Sinne von § 24 Abs. 4 DSG nicht auszugehen war.
3.2.2.4.8. All diese Umstände führten zu einem Informationsdefizit der betroffenen Personen, das im Lichte der vorstehenden Erwägungen nicht zur Präklusion des Beschwerderechts gemäß § 24 Abs. 4 DSG führen kann. Dies muss umso mehr gelten, wenn man den Ausführungen der Beschwerdeführerin folgt und mit ihr annimmt, dass sie selbst in ihrer Rolle als Verantwortlicher gemäß Art. 4 Z 7 DSGVO bis heute über keine (hinreichend gesicherten) Kenntnisse zur individuellen Betroffenheit einzelner Personen aus Folge des Sicherheitsvorfalles vom Mai 2020 verfügt. Dies gerade auch vor dem Hintergrund der Zielsetzung des Beschwerderechts nach Art. 77 DSGVO und dem bei dessen Anwendung zu beachtenden unionsrechtlichen Grundsatz der Effektivität und Äquivalenz (vgl. erneut EuGH, Urteil vom 15.06.2021, C‑645/19, Rz 45).
3.2.3. Zur Feststellung der Verletzung subjektiver Rechte der mitbeteiligten Partei:
3.2.3.1. Zur Zurechnung des Verhaltens des Auftragsverarbeiters zur Beschwerdeführerin als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO:
3.2.3.1.1. Zur Frage der Zurechnung allfälliger Verstöße gegen Art. 32 DSGVO im Bereich des Auftragsverarbeiters (der Z* GmbH) vertritt die Beschwerdeführerin zusammengefasst die Rechtsansicht, dass Auftragsverarbeitung gerade nicht unter der unmittelbaren Kontrolle der Verantwortlichen erfolge, sondern von Art 28 DSGVO eine bloße „Auswahlverantwortlichkeit“ bei der Heranziehung eines Auftragsverarbeiters statuiert werde. So seien die Pflichten des Verantwortlichen zwar umfassend, aber nicht so weit, dass der Verantwortliche automatisch für jede Handlung des Auftragsverarbeiters haftbar gemacht werden könne.
3.2.3.1.2. Hierzu genügt zunächst der Hinweis auf die ständige Rechtsprechung des EuGH zum Begriff „Verantwortlicher“ im Sinne von Art. 4 Z 7 DSGVO, demnach ist jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für diese Verarbeitung Verantwortlicher anzusehen. Hierbei spielt der Umstand keine Rolle, dass eine solche Stelle selbst keine personenbezogenen Daten verarbeitet hat. Aus dieser Bestimmung in Verbindung mit dem 74. Erwägungsgrund der DSGVO ergibt sich nämlich, dass eine Einrichtung, wenn sie die in Art. 4 Nr. 7 der DSGVO aufgestellte Voraussetzung erfüllt, nicht nur für jedwede Verarbeitung personenbezogener Daten verantwortlich ist, die durch sie selbst erfolgt, sondern auch für jedwede Verarbeitung, die in ihrem Namen erfolgt. Dabei ist nicht erforderlich, dass über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des Verantwortlichen entschieden wird. (vgl. in diesem Sinne das Urteil des EuGH vom 05.12.2023, C-683/21, Rz 30, 35 und 36).
3.2.3.1.3. Fallbezogen ist unstrittig, dass die X GmbH die Z GmbH im Rahmen eines IT-Projektes beauftragt hat, Meldedaten zu strukturieren und im Wege einer Datenbanklösung so aufzubereiten, dass auf diese (den sogenannten „Adress-Master““ als zentrales Element der IT-Softwareinfrastruktur der X GmbH , zur Erfüllung ihrer Aufgaben (insbes. Durchsetzung der Gebührenpflicht und damit zusammenhängender Maßnahmen)) einheitlich zugegriffen werden kann. Die X hat zwischen dem 01.05.2020 und 05.05.2020 im Rahmen dieses IT-Projektes personenbezogene Daten über eine Datenaustauschplattform in Gestalt von Meldedaten aus der Meldedatenbank der X im Ausmaß von zumindest fünf bis sechs Millionen Datensätzen dem IT-Dienstleister übermittelt und bereitgestellt. Diese Datensätze wurden vom IT-Dienstleister am 06.05.2020 auf den angemieteten Test-Server in Deutschland geladen. Auf diese Testumgebung griffen sowohl Mitarbeiter des IT-Dienstleisters als auch der X per Fernzugriff zu. Hieraus folgt bereits zweifellos, dass die – vormalige X GmbH bzw. nunmehrige Y GmbH – für die in Rede stehenden Verarbeitungsvorgänge als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO anzusehen ist, da sie sowohl den Zweck als auch die Mittel für die Datenverarbeitung eigenverantwortlich festgelegt hat. Der IT-Dienstleister fungierte dabei als Auftragsverarbeiter im Sinne von Art. 4 Z 8 DSGVO, da die Z GmbH eine von der Gesellschaft der Verantwortlichen getrennte juristische Person ist und personenbezogene Daten (hier: Meldedaten) im Auftrag der X GmbH zur Umsetzung des beauftragten IT-Projektes verarbeitete (vgl. hierzu die EDSA-Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2, 07.07.2021 Rz 76).
3.2.3.1.4. Der Auftragsverarbeiter ist – wie von der belangten Behörde zutreffend festgestellt – der verlängerte Arm des Verantwortlichen, weshalb im gegenständlichen Fall sämtliche Verarbeitungsvorgänge, die die Z GmbH im Auftrag der X GmbH im Rahmen des gegenständlichen IT-Projektes vorgenommen hat, so zu behandeln sind, als ob diese von der X GmbH als Verantwortlicher selbst (etwa im Rahmen der hauseigenen IT-Abteilung) vorgenommen worden wären (vgl. Hödl in Knyrim, DatKomm, Art 4 DSGVO, Rz 84). Hat somit die Z GmbH – wie von der belangten Behörde angenommen – im Zuge der Umsetzung des Projektauftrages der X GmbH die Sicherheitsvorgaben des Art. 32 DSGVO verletzt, fällt dies zweifellos in den datenschutzrechtlichen Verantwortungsbereich der Beschwerdeführerin.
3.2.3.1.5. Wie festgestellt, hat die X GmbH dem IT-Dienstleister klare Vorgaben zur Umsetzung des beauftragten IT-Projektes gemacht, so beispielsweise im Hinblick auf die Nutzung der Datenbanklösung „Elastic Search“ bzw. deren kostenloser Version, darüber hinaus waren die Mitarbeiter der X GmbH in den gesamten Projektablauf eingebunden, wussten etwa, dass, der IT-Dienstleister in Österreich lediglich über zwei Mitarbeiter verfügte, weite Teile der Umsetzungsarbeiten von Mitarbeitern einer in Serbien sitzenden Tochtergesellschaft erbracht werden sollen, ein Testserver in Deutschland angemietet bzw. von der X GmbH nicht selbst eine sichere Testumgebung zur Verfügung gestellt wurde, auf den die umfassenden Meldedaten in nicht anonymisierter Form transferiert wurden (vgl. insbesondere Pkt. 1.4. – 1.6.). Zusammengefasst sind daher keinerlei Hinweise dafür hervorgekommen, dass die Z GmbH selbst faktischen Einfluss auf die Mittel und Zwecke der Datenverarbeitung genommen hat, wodurch sie selbst als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO zu qualifizieren wäre (vgl. Hödl, DatKomm, Art 4 DSGVO, Rz 95). Im vorliegenden Zusammenhang ist die Z GmbH zweifellos als Auftragsverarbeiter, der zu einem integrierten Teil der X GmbH wurde, anzusehen. Sämtliche Verarbeitungsvorgänge der hier in Rede stehenden Meldedaten erfolgten damit lediglich zu Zwecken und auf Weisung der X GmbH (vgl. Jahnel, Kommentar zur Datenschutz-Grundverordnung, Art. 28 DSGVO).
3.2.3.1.6. Nach Ansicht der Beschwerdeführerin sei der gegenständliche Vorfall nicht das Ergebnis eines Auswahlverschuldens der X GmbH oder des Fehlens geeigneter technischer und organisatorischer Maßnahmen gewesen, sondern Ergebnis eines einzelfallbezogenen Verhaltens eines Mitarbeiters beim Auftragsverarbeiter, welcher keinen Raum für Zurechenbarkeit an die X lasse. Zudem sei das Verhalten des Mitarbeiters nicht kausal für die behördlich vermutete Verletzung im Recht auf Geheimhaltung gewesen, sondern sei dies der Verwirklichung einer Tathandlung durch den Täter zuzurechnen. Die belangte Behörde habe sich nicht einmal ansatzweise mit der Auswahlsorgfalt der Beschwerdeführerin oder mit den technisch-organisatorischen Sicherheitsvorkehrungen des Auftragsverarbeiters auseinandergesetzt.
3.2.3.1.7. Zum diesbezüglichen Vorbringen sei zunächst auf das Urteil des EuGH vom 14.12.2023 in der Rechtssache C-340/21 verwiesen, in dem sich der EuGH mit Fragen zur Auslegung der für den vorliegenden Fall maßgeblichen Bestimmungen der Art. 5 Abs. 2, 24 und 32 DSGVO befasste:
„… 29 Die Bezugnahme in Art. 32 Abs. 1 und 2 DSGVO auf „ein dem Risiko angemessenes Schutzniveau“ und ein „angemessenes Schutzniveau“ zeigt, dass mit der DSGVO ein Risikomanagementsystem eingeführt und in ihr in keiner Weise behauptet wird, dass sie das Risiko von Verletzungen des Schutzes personenbezogener Daten beseitigt.
30 Somit ergibt sich aus dem Wortlaut der Art. 24 und 32 DSGVO, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind.
31 Folglich können die Art. 24 und 32 DSGVO nicht dahin verstanden werden, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten für die Schlussfolgerung ausreicht, dass die von dem für die betreffende Verarbeitung Verantwortlichen ergriffenen Maßnahmen nicht im Sinne dieser Bestimmungen geeignet waren, ohne dass ihm die Möglichkeit eingeräumt wird, den Gegenbeweis zu erbringen.
32 Eine solche Auslegung ist umso mehr geboten, als Art. 24 DSGVO ausdrücklich vorsieht, dass der Verantwortliche den Nachweis dafür erbringen können muss, dass die von ihm umgesetzten Maßnahmen im Einklang mit der DSGVO stehen; diese Möglichkeit bliebe ihm verwehrt, wenn eine unwiderlegbare Vermutung angenommen würde.
…
34 Was zum einen den Zusammenhang betrifft, in den sich diese beiden Artikel einfügen, ist darauf hinzuweisen, dass sich aus Art. 5 Abs. 2 DSGVO ergibt, dass der Verantwortliche nachweisen können muss, dass er die in Abs. 1 dieses Artikels genannten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat. Diese Verpflichtung wird in Art. 24 Abs. 1 und 3 sowie in Art. 32 Abs. 3 DSGVO hinsichtlich der Verpflichtung, technische und organisatorische Maßnahmen zum Schutz solcher Daten bei der Verarbeitung durch den Verantwortlichen zu treffen, aufgegriffen und präzisiert. Eine solche Verpflichtung, die Geeignetheit der Maßnahmen nachzuweisen, hätte indes keinen Sinn, wenn der Verantwortliche verpflichtet wäre, jede Beeinträchtigung dieser Daten zu verhindern.
35 Zudem sollte der Verantwortliche nach dem 74. Erwägungsgrund der DSGVO geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen auch wirksam sind, wobei er die Kriterien berücksichtigen sollte, die mit den ebenfalls in den Art. 24 und 32 DSGVO genannten Merkmalen der betreffenden Verarbeitung und dem von ihr ausgehenden Risiko zusammenhängen.
36 Nach dem 76. Erwägungsgrund der DSGVO hängen außerdem Eintrittswahrscheinlichkeit und Schwere des Risikos von den Besonderheiten der betreffenden Verarbeitung ab und sollte dieses Risiko anhand einer objektiven Bewertung beurteilt werden.
37 Darüber hinaus ergibt sich aus Art. 82 Abs. 2 und 3 DSGVO, dass ein Verantwortlicher zwar für den Schaden haftet, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde, er jedoch von seiner Haftung befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
…
39 Nach alledem ist auf die erste Frage zu antworten, dass die Art. 24 und 32 DSGVO dahin auszulegen sind, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren.
…
40 Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 32 DSGVO dahin auszulegen ist, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret, insbesondere unter Berücksichtigung der mit der betreffenden Verarbeitung verbundenen Risiken, zu beurteilen ist.
…
42 Aus Art. 32 Abs. 1 und 2 DSGVO ergibt sich, dass die Geeignetheit solcher technischen und organisatorischen Maßnahmen in zwei Schritten zu beurteilen ist. Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind.
43 Zwar verfügt der Verantwortliche über einen gewissen Entscheidungsspielraum bei der Festlegung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie es Art. 32 Abs. 1 DSGVO verlangt. Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten.
…
45 Daher darf sich ein nationales Gericht bei der Kontrolle der Geeignetheit der nach Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen nicht auf die Feststellung beschränken, in welcher Weise der für die betreffende Verarbeitung Verantwortliche seinen Verpflichtungen aus diesem Artikel nachkommen wollte, sondern muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen.
46 Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte.
47 Daher ist auf die zweite Frage zu antworten, dass Art. 32 DSGVO dahin auszulegen ist, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.
…
48 Mit dem ersten Teil seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob der in Art. 5 Abs. 2 DSGVO formulierte und in Art. 24 DSGVO konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin auszulegen ist, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren.
49 In diesem Zusammenhang ist erstens darauf hinzuweisen, dass Art. 5 Abs. 2 DSGVO einen Grundsatz der Rechenschaftspflicht aufstellt, nach dem der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich ist, und der vorsieht, dass dieser Verantwortliche nachweisen können muss, dass diese Grundsätze eingehalten werden.
50 Insbesondere muss der Verantwortliche gemäß dem Grundsatz der Integrität und Vertraulichkeit personenbezogener Daten, der in Art. 5 Abs. 1 Buchst. f DSGVO festgelegt ist, sicherstellen, dass solche Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, und er muss nachweisen können, dass dieser Grundsatz beachtet wird.
51 Ferner ist darauf hinzuweisen, dass sowohl Art. 24 Abs. 1 in Verbindung mit dem 74. Erwägungsgrund der DSGVO als auch Art. 32 Abs. 1 DSGVO den Verantwortlichen verpflichten, in Bezug auf jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.
52 Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO geht eindeutig hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 DSGVO gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt (vgl. entsprechend Urteile vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 52 und 53, und vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 95).
53 Diese drei Artikel formulieren somit eine allgemein anwendbare Regel, die mangels gegenteiliger Anhaltspunkte in der DSGVO auch im Rahmen einer auf Art. 82 DSGVO gestützten Schadenersatzklage anzuwenden ist.
…
55 Da zum einen das von der DSGVO angestrebte Schutzniveau von den Sicherheitsmaßnahmen abhängt, die von den für die Verarbeitung dieser Daten Verantwortlichen getroffen werden, müssen diese – mittels der ihnen obliegenden Beweislast für die Geeignetheit dieser Maßnahmen – dazu angehalten werden, alles zu unternehmen, um Verarbeitungsvorgänge zu verhindern, die nicht im Einklang mit der DSGVO stehen.
…
62 Insbesondere könnte eine nationale Verfahrensvorschrift, nach der es generell „notwendig“ wäre, dass die nationalen Gerichte ein gerichtliches Sachverständigengutachten anordnen, gegen den Effektivitätsgrundsatz verstoßen. Ein genereller Rückgriff auf ein solches Gutachten kann sich nämlich in Anbetracht anderer Beweise, die dem angerufenen Gericht vorliegen, als überflüssig erweisen; wie die bulgarische Regierung in ihren schriftlichen Erklärungen ausgeführt hat, gilt dies insbesondere im Hinblick auf Ergebnisse einer Kontrolle der Einhaltung der Maßnahmen zum Schutz personenbezogener Daten, die von einer unabhängigen und gesetzlich eingerichteten Behörde durchgeführt wurde, sofern diese Kontrolle erst kürzlich stattgefunden hat, da diese Maßnahmen gemäß Art. 24 Abs. 1 DSGVO erforderlichenfalls zu überprüfen und zu aktualisieren sind.
63 Zudem könnte, wie die Europäische Kommission in ihren schriftlichen Erklärungen ausgeführt hat, der Effektivitätsgrundsatz verletzt sein, wenn der Begriff „ausreichend“ dahin zu verstehen wäre, dass ein nationales Gericht ausschließlich oder automatisch aus einem gerichtlichen Sachverständigengutachten abzuleiten hätte, dass die von dem für die betreffende Verarbeitung Verantwortlichen getroffenen Sicherheitsmaßnahmen „geeignet“ im Sinne von Art. 32 DSGVO sind. Die Wahrung der durch diese Verordnung eingeräumten Rechte, die mit dem Effektivitätsgrundsatz bezweckt wird, und insbesondere das durch Art. 79 Abs. 1 DSGVO garantierte Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen erfordern indes, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der betreffenden Maßnahmen vornimmt, anstatt sich auf eine solche Ableitung zu beschränken (vgl. in diesem Sinne Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, Rn. 50).
64 Nach alledem ist auf den zweiten Teil der dritten Frage zu antworten, dass Art. 32 DSGVO und der unionsrechtliche Effektivitätsgrundsatz dahin auszulegen sind, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann. …“
Umgelegt auf den vorliegenden Sachverhalt folgt hieraus:
3.2.3.1.8. Bei der Einschätzung der Beschwerdeführerin, der vorliegende Sicherheitsvorfall sei Ergebnis eines einzelfallbezogenen Verhaltens eines Mitarbeiters beim Auftragsverarbeiter, der keinen Raum für Zurechenbarkeit an die X lasse, wäre ausschließlich in jenen Fällen zutreffend, bei denen ein einzelner Mitarbeiter aus eigenem Interesse handeln und über Zwecke und Mittel der Datenverarbeitung entscheidet, somit selbst zum Verantwortlichen für die konkrete Datenverarbeitung wird, wofür gegenständlich keinerlei Anhaltspunkte hervorgetreten sind (vgl. in diesem Sinne auch die EDSA-Leitlinien 07/2022, wo es heißt: „Grundsätzlich kann davon ausgegangen werden, dass jede Verarbeitung personenbezogener Daten durch Mitarbeiter im Tätigkeitsbereich einer Organisation unter der Kontrolle dieser Organisation erfolgt. In Ausnahmesituationen kann es jedoch vorkommen, dass ein Beschäftigter beschließt, personenbezogene Daten für seine eigenen Zwecke zu verwenden, wodurch die ihm erteilte Befugnis unrechtmäßig überschritten wird. z. B. Gründung eines eigenen Unternehmens o. ä.). Daher hat die Organisation als Verantwortlicher dafür zu sorgen, dass angemessene technische und organisatorische Maßnahmen, wie z. B. Schulungen und Informationen für Mitarbeiter, ergriffen werden, um die Einhaltung der DSGVO sicherzustellen.“).
Das diesbezügliche Vorbringen der Beschwerdeführerin verfängt jedoch, im Lichte der ständigen Rechtsprechung zu Art. 32 DSGVO bezogen auf den festgestellten Sachverhalt, nicht.
3.2.3.1.9. So hat der Geschäftsführer des Auftragsverarbeiters selbst eingeräumt, dass durch ein „Versehen“ eines Mitarbeiters der TCP-Port, über den der Zugriff ermöglicht wurde, offengelassen wurde. Weshalb der betreffende Mitarbeiter überhaupt über die erforderlichen Rechte zur Konfiguration auf dem Server verfügte, konnte vom Auftragsverarbeiter jedoch nicht schlüssig dargelegt werden. Vielmehr räumte der Auftragsverarbeiter ein, dass der betreffende TCP-Port in den Wochen und Monaten vor dem Vorfall im Mai 2020 häufiger offengelassen wurde, was eindeutig auf grobe Versäumnisse bei der internen Kontrolle und Überwachung der Bediensteten hinweist. Anders ist nicht zu erklären, weshalb der Auftragsverarbeiter nicht bemerkt hat, dass am Server ein TCP-Port offengelassen wurde, nachdem der betreffende Mitarbeiter bereits gar nicht mehr im Unternehmen tätig gewesen ist. Es mangelte offenbar an einem wirksamen und dem Risiko angemessenen System der Rechteverwaltung innerhalb des Auftragsverarbeiters. Bereits ohne tiefergehende Sachkenntnis erhellt bei verständiger Betrachtung, dass in einem Firmennetzwerk ausschließlich diejenigen Personen über Administratorenrechte zu verfügen haben, die diese auch zwingend benötigen. Zudem sind keine Hinweise hervorgekommen, dass der betreffende Mitarbeiter der Z GmbH aus eigenem Interesse an den Daten gehandelt hat, sondern ist die von ihm vorgenommene Konfiguration des Test-Servers auf unzureichende interne technische und organisatorische Maßnahmen zurückzuführen. Der betreffende Mitarbeiter war zudem nur kurz im Unternehmen tätig und durfte die Z GmbH auf dessen Zuverlässigkeit daher nicht vertrauen.
3.2.3.1.10. Zudem wäre es vor dem Hintergrund des Art. 32 DSGVO die Pflicht der X GmbH als Verantwortlicher gewesen, auf wirksame Weise dafür zu sorgen, dass die von ihr bereitgestellten Meldedaten auf einer – durch ein dem Stand der Technik entsprechendes Authentifizierungssystem vor unberechtigten Zugriffen gesicherten – Plattform verarbeitet werden. Dies hätte sie vor Bereitstellung der Daten im Mai 2020 durch die Einrichtung eines eigenen Test-Servers sicherstellen können oder hätte sie zumindest dem Auftragsverarbeiter konkrete Vorgaben zur sicheren Verwahrung der Meldedaten machen müssen. So hätte sie jedenfalls sicherzustellen gehabt, dass der Auftragsverarbeiter eine Datenbanklösung zum Einsatz bringt, die eine Authentifizierungsfunktion bietet.
Die von Art. 5 Abs. 1 DSGVO normierten Grundsätze für die Datenverarbeitung sind (kumulativ) von Verantwortlichen und Auftragsverarbeitern in jeder Phase der Verarbeitung personenbezogener Daten, also auch bei der Entwicklung, dem Betrieb und der Wartung von IT-Anwendungen, einzuhalten. Die Grundsätze stellen im Ergebnis Grundpflichten dar, deren Einhaltung auf Grund der in Art. 5 Abs. 2 DSGVO verankerten Rechenschaftspflicht der Aufsichtsbehörde gegenüber nachzuweisen ist. Die in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze werden in Einzelvorschriften der DSGVO konkretisiert, der Grundsatz der Integrität und Vertraulichkeit insbesondere in den Anforderungen an die Datensicherheit gemäß Art. 32 DSGVO. Die zu treffenden technischen und organisatorischen Maßnahmen sollen dabei insbesondere dem Schutz vor unbefugter und unrechtmäßiger Verarbeitung personenbezogener Daten durch Zugriff Unbefugter dienen. Das in diesem Zusammenhang von Art. 5 Abs. 1 lit. f i.V.m. Art. 32 geforderte Datenschutzmanagement muss im Ergebnis gewährleisten, dass die Maßnahmen nicht nur auf dem Papier bestehen, sondern in der Praxis angewandt werden und funktionieren. Die Gesamtverantwortung und Nachweispflicht des Verantwortlichen umfasst auch die Verarbeitung durch den Auftragsverarbeiter, der die Verarbeitung in seinem Auftrag durchführt (vgl. zu alldem Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung², Art. 5, Rz 28ff).
3.2.3.1.11. Art. 32 Abs. 1 DSGVO fordert in Bezug auf die Sicherheit der Verarbeitung, dass unter Berücksichtigung des Stands der Technik sowie der Implementierungskosten je nach der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie der Wahrscheinlichkeit und der Höhe des Risikos für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen vom Verantwortlichen und vom Auftragsverarbeiter zu treffen sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 32 Abs. 2 DSGVO zählt die bei der Festlegung des Schutzniveaus zu berücksichtigenden Risiken (Vernichtung, Verlust, zufällige oder unrechtmäßige Veränderung, unbefugte Weitergabe bzw unberechtigter Zugang zu personenbezogenen Daten) auf. Art 32 Abs. 4 DSGVO enthält die Vorgabe, dass die Verarbeitung personenbezogener Daten durch Personal des Verantwortlichen bzw. Auftragsverarbeiters nur auf Anweisung des für die Verarbeitung Verantwortlichen erfolgen darf, sofern diese Personen nicht durch Unionsrecht oder einzelstaatliche Gesetze dazu verpflichtet sind (vgl. die Erwägungsgründe 74 und 78 und Pollirer in Knyrim, DatKomm, Art 32 DSGVO, Rz 19ff). Diesen Anforderungen hat die X GmbH nicht entsprochen.
3.2.3.1.12. Der Umstand, dass die der X GmbH im Rahmen ihres gesetzlichen Auftrages überantworteten Meldedaten von Millionen Personen mit Wohnsitz in Österreich von ihr an einen Auftragsverarbeiter transferiert wurden, wobei die Daten dort auf einem Server verarbeitet wurden, der über das Internet öffentlich über einen TCP-Port erreichbar war, und auf dem die Daten in einer Datenbank zugänglich waren, ohne dass hierfür eine Benutzerauthentifizierung erforderlich gewesen wäre, stellt einen grob sorglosen Umgang mit den ihr im Rahmen ihres öffentlichen Auftrages überlassenen personenbezogenen Daten dar, von dem keinesfalls ein dem Risiko angemessenes Schutzniveau zu erwarten war, das – wie von Art. 32 DSGVO gefordert – dem Stand der Technik entspricht. Auch entspricht es nicht dem Stand der Technik, Entwicklungsarbeiten mit Hilfe von Echtdaten durchzuführen, vielmehr ist es ständige Praxis zu Testzwecken mit simulierten Daten ohne Personenbezug zu arbeiten. Weder von der Verantwortlichen, noch vom Auftragsverarbeiter, konnte schlüssig dargelegt werden, weshalb im vorliegenden Fall mit Echtdaten gearbeitet wurde.
3.2.3.1.13. Wenn die Beschwerdeführerin unter Verweis auf eine – zwischen ihr und dem Auftragsverarbeiter geschlossene – Vereinbarung nach Art. 28 DSGVO darauf verweist, sie habe jedenfalls auf die Einhaltung der Vorgaben des Art. 32 DSGVO durch den Auftragsverarbeiter vertrauen dürfen, ist darauf hinzuweisen, dass – nach der Rechtsprechung des EuGH – sich bei der Kontrolle der Geeignetheit der nach Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen Gerichte nicht auf die Feststellung beschränken dürfen, in welcher Weise der für die betreffende Verarbeitung Verantwortliche seinen Verpflichtungen aus diesem Artikel nachkommen wollte, sondern hat eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel Platz zu greifen. Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte. Insbesondere muss der Verantwortliche gemäß dem Grundsatz der Integrität und Vertraulichkeit personenbezogener Daten, der in Art. 5 Abs. 1 lit. f DSGVO festgelegt ist, sicherstellen, dass solche Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, und er muss nachweisen können, dass dieser Grundsatz beachtet wird (vgl. erneut EuGH, Urteil vom 14.12.2023, C-340/21, Rz 46, 47, 50). So hat die Beschwerdeführerin keinen Nachweis darüber erbracht, auf welche Weise sie die Einhaltung der Auftragsvereinbarung vom 13.09.2019 durch den Auftragsverarbeiter überwachte, so bleibt insbesondere offen, weshalb es vom betroffenen Server keine Protokolldaten zur Datenstromanalyse gibt (sondern diese nach Angabe des Auftragsverarbeiters gelöscht wurden), weshalb Projektarbeiten in einem Drittstaat (Serbien) erfolgten und ob die hierfür erforderlichen rechtlichen Voraussetzungen tatsächlich vorlagen und inwieweit die Verantwortliche die Einhaltung der Vorgaben des Art. 32 DSGVO durch den Auftragsverarbeiter tatsächlich geprüft hat.
3.2.3.1.14. Vor diesem Hintergrund geht das Vorbringen der Beschwerdeführerin ins Leere, wonach sich die belangte Behörde nicht einmal ansatzweise mit der Auswahlsorgfalt der Beschwerdeführerin oder mit den technisch-organisatorischen Sicherheitsvorkehrungen des Auftragsverarbeiters auseinandergesetzt habe. Vielmehr erscheint fragwürdig, weshalb sich die X GmbH als Tochterunternehmen des XXXX eines Auftragsverarbeiters bediente, und diesem bereits im Laufe der Entwicklungsphase fünf Millionen Echtdatensätze übermittelte, anstelle hierfür simulierte Daten zu verwenden, was bereits nach allgemeinem Kenntnisstand einer üblichen Vorgangsweise entspräche und im Einklang mit Art. 32 DSGVO gestanden wäre. Der bloße Umstand, wonach die X GmbH mit dem Auftragsverarbeiter eine Vereinbarung nach Art. 28 DSGVO geschlossen hat, war dabei nicht dafür geeignet, nachzuweisen, dass die X GmbH dafür auf wirksame Weise Sorge getragen hatte, dass im Zuge der Umsetzung des IT-Projektes ein angemessenes Sicherheitsniveau im Sinne der obigen Ausführungen gewährleistet war. Vielmehr war festzustellen, dass von der Verantwortlichen keine konkreten und wirksamen Kontrollmaßnahmen gesetzt wurden, somit allfällige Vorkehrungen zum Schutz der dem Auftragsverarbeiter übergebenen Meldedaten bestenfalls in der Theorie (und auf dem Papier) bestanden.
3.2.3.1.15. Entgegen der Rechtsansicht der Beschwerdeführerin war für die Feststellung, wonach die Testumgebung des Auftragsverarbeiters keinen angemessenen – und dem Stand der Technik entsprechenden – Schutz vor unrechtmäßigen Fremdzugriffen geboten hat und es der unbeabsichtigt offen gelassene TCP-Port ermöglichte, dass im Mai 2020 ein widerrechtlicher Zugriff durch eine dritte Person erfolgen konnte, kein Sachverständigenbeweis erforderlich (vgl. EuGH, C-340/21, Rz 62). Vielmehr kommt der erkennende Senat – in Übereinstimmung mit den diesbezüglichen Feststellungen der belangten Behörde – unter Berücksichtigung sämtlicher Umstände des Einzelfalles zum Ergebnis, dass ein über das Internet öffentlich erreichbarer Server, auf dem Millionen an Datensätzen verarbeitet werden, wobei die entsprechende Datenbank nicht durch ein Authentifizierungssystem vor unberechtigten Zugriffen gesichert war, keinesfalls den Vorgaben des Art. 32 DSGVO entspricht. Umgelegt auf einen in der analogen Welt vorkommenden Sachverhalt käme dies einer Vorgangsweise gleich, in der ein Tresorraum einer Bank vom öffentlichen Raum aus über eine nicht verschlossene Tür frei zu betreten ist, und in dem dort befindlichen Tresor Kundengelder verwahrt würden, ohne dass der Tresor über ein Schließsystem verfügte.
3.2.3.1.16. Zusammengefasst hat die Beschwerdeführerin als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO dadurch gegen ihre Pflichten nach Art. 5 Abs. 1 lit. f und Art 32 DSGVO verstoßen, indem sie
- im Zuge der Entwicklungstätigkeiten nicht sichergestellt hat, dass die an den Auftragsverarbeiter übermittelten Meldedaten im Rahmen einer Testumgebung verarbeitet werden, die ein dem Risiko angemessenes Schutzniveau vor unberechtigten Zugriffen bietet, dies etwa durch die Zurverfügungstellung eines in Österreich befindlichen Testservers, der ausschließlich vom Firmennetzwerk der X -GmbH aus über eine sichere VPN-Verbindung, jedenfalls aber nicht vom öffentlichen Internet aus erreichbar ist,
- nicht dafür Sorge getragen hat, dass die Entwicklungstätigkeiten anhand von simulierten Daten vorgenommen wurden, sowie
- insgesamt keine wirksamen technischen und organisatorischen Maßnahmen in Gestalt eines Projektmanagements etabliert hat, welches eine regelmäßige Kontrolle und Überwachung der Einhaltung eines angemessenen Schutzniveaus durch den Auftragsverarbeiter umfasst hätte, anstelle lediglich durch den Abschluss einer Vereinbarung hierauf zu vertrauen; insbesondere konnte die Verantwortliche nicht im Sinne ihrer Rechenschaftspflicht nachweisen, ob und wie sie die Einhaltung der Vereinbarung vom 13.09.2019 durch den Auftragsverarbeiter kontrolliert hat.
Durch diese Vorgangsweise hat die Beschwerdeführerin ein erhebliches Risiko geschaffen, das sich im Zuge des unberechtigten Zugriffes vom Mai 2020 – und der damit einhergehenden Verletzung des Schutzes personenbezogener Daten – auch verwirklicht hat.
3.2.3.2. Zur Beweisführung der belangten Behörde:
3.2.3.2.1. Die Beschwerdeführerin wendet sich zentral auch gegen die Beweisführung der belangten Behörde und macht im Ergebnis in mehrfacher Hinsicht Rechtswidrigkeit des angefochtenen Bescheides in Folge der Verletzung von Verfahrensvorschriften geltend.
Demnach sei aus der Sicht der Beschwerdeführerin
(i) nicht gesichert, ob derjenige, der die Daten der Polizei im "Darknet" zum Verkauf angeboten hat mit der Person des in den Niederlanden gefassten Hackers ident ist;
(ii) bejahendenfalls, nicht gesichert, ob diese Daten aus dem Datenbestand des von der Beschwerdeführerin herangezogenen Dienstleisters stammen;
(iii) bejahendenfalls, nicht gesichert, ob diese Daten tatsächlich von der Beschwerdeführerin, oder ob sie von einem anderen Kunden des Dienstleisters stammten; sowie
(iv) bejahendenfalls, nicht gesichert, ob alle oder nur Teilmengen dieser Daten vom Dienstleister (unter vorangegangener Datenweitergabe an diesen ausschließlich durch die Beschwerdeführerin) entwendet worden sind oder ob es zu einer Datenvermengung aus anderen Hackattacken gekommen ist (zumal die Polizei selbst davon spreche, dass der Hacker 130.000 Datenbanken im Portfolio gehabt habe); und
(v) nicht gesichert, ob diese Menge der polizeilichen Daten tatsächlich alle vom Hacker entwendeten Daten darstellt, was mit dem Risiko behaftet ist, dass Betroffene die Mitteilung erhalten könnten, dass sie von dem Sicherheitsvorfall nicht betroffen gewesen sind, dies aber tatsächlich der Fall gewesen ist.
Weiters bedürften alle Tatsachen eines Beweises (§ 45 Abs. 1 AVG). Zu erbringen wäre nach Ansicht der Beschwerdeführerin der volle Beweis und habe sich die Behörde Gewissheit vom Vorliegen der für die Entscheidung maßgeblichen Sachverhaltselemente zu verschaffen, sie habe die Überzeugung herbeizuführen, dass ihre Feststellungen dem wahren Sachverhalt auch wirklich entsprechen (§ 45 Abs 2 AVG).
Die im vorliegenden Fall zu beweisende Haupttatsache sei dabei, ob die Meldedaten der mitbeteiligten Partei vom Hacker kompromittiert worden sind. Dies sei von der belangten Behörde zu beweisen gewesen.
Die relevanten Feststellungen der belangten Behörde beruhten demgegenüber auf einer Indizienkette.
Weiterhin beziehe sich die Feststellung, dass das IT-Unternehmen aufgrund eines Konfigurationsfehlers einen Zugangs-Port offenließ, auf eine Hilfstatsache, woraus für sich genommen weder geschlossen werden könne, dass der Hacker auf den X -Datenbestand zugegriffen hat, noch könne daraus abgeleitet werden, dass der Hacker den X -Datenbestand zum Verkauf angeboten habe. Ebenso wenig könne aus dem Offenlassen des Zugangs-Ports geschlossen werden, dass die Daten der mitbeteiligten Partei betroffen gewesen seien.
Die Feststellung, dass der Hacker den X -Datenbestand über den offengelassenen Zugangs-Port exfiltrierte (kopierte), beziehe sich ebenso auf eine Hilfstatsache. Aus dieser Feststellung könne nicht geschlossen werden, dass die [personenbezogenen] Daten der mitbeteiligten Partei betroffen seien.
Eine Dokumentation des Datenzugriffs durch den Hacker gäbe es nicht. Das Exfiltrieren des Datenbestandes sei nur ein Kopieren der darin enthaltenen Daten. Dh, dass sämtliche Daten, auch nachdem sie gegebenenfalls exfiltriert wurden, in der Datenbank enthalten bleiben. Ebenso wenig könne – ohne entsprechende Dokumentation – nachvollzogen werden, ob und welche Meldedaten vom Hacker exfiltriert (kopiert) worden sind. Es sei nicht erwiesen, dass der Hacker beim IT-Unternehmen aus dem Datenbestand der Beschwerdeführerin Daten exfiltrierte.
Im Ergebnis stütze die belangte Behörde ihre Feststellungen auf Vermutungen. Gemäß der Judikatur kann sie dies nur dann tun, sofern sie eine andere Möglichkeit nicht mit hinreichender Wahrscheinlichkeit ausschließt.
Insofern erachtet die Beschwerdeführerin den Sachverhalt mangelhaft ermittelt. Tatsächlich wären im Amtshilfeweg die beim Täter sichergestellten Daten zu ermitteln gewesen.
3.2.3.2.2. Hierzu ist zunächst darauf hinzuweisen, dass den äußeren Rahmen für die Prüfungsbefugnis des Verwaltungsgerichtes die Sache des bekämpften Bescheids bildet bzw. die Angelegenheit, die den Inhalt des Spruchs des angefochtenen Bescheides gebildet hat (VwGH vom 22.01.2015, Ra 2014/06/0055; 28.4.2016, Ra 2015/07/0057; 30.6.2016, Ra 2016/11/0044; 31.5.2017, Ra 2016/22/0107).
Daher war auf den – für das verwaltungsgerichtliche Beschwerdeverfahren – noch relevanten Spruchpunkt 1) des angefochtenen Bescheides Bezug zu nehmen. Dieser lautet wörtlich [Hervorhebungen durch das Bundesverwaltungsgericht]:
„1) Der Beschwerde wird hinsichtlich Beschwerdepunkt A) Folge gegeben und es wird festgestellt, dass die Beschwerdegegnerin die beschwerdeführende Partei im Recht auf Geheimhaltung verletzt hat, indem die Beschwerdegegnerin es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung") ermöglicht hat, dass personenbezogene Daten der beschwerdeführenden Partei (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden.“
Hieraus ergibt sich aber die mit dem Spruch des angefochtenen Bescheides erledigte Verwaltungssache, zu dessen rechtlicher Beurteilung die belangte Behörde im Rahmen des durchgeführten Ermittlungsverfahrens den entscheidungserheblichen Sachverhalt festzustellen hatte, worauf gleichzeitig der äußere Rahmen für die Prüfungsbefugnis des Bundesverwaltungsgerichtes begrenzt ist.
Die belangte Behörde hat mit dem Spruch des angefochtenen Bescheides festgestellt, dass die X GmbH die (hier) mitbeteiligte Partei dadurch in deren Recht auf Geheimhaltung gemäß § 1 DSG verletzt hat, indem [sie] es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO […) ermöglicht hat, dass personenbezogene Daten der [mitbeteiligten] Partei (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden.
Damit hat die Behörde mit dem Spruch des in Beschwerde gezogenen Bescheides nicht ausgesprochen, dass die personenbezogenen Daten der mitbeteiligten Partei einer namentlich bestimmten Person (oder Gruppe an Personen) zugänglich wurden, sondern eben nur, dass genannte Daten „zumindest“ einem Dritten auf unrechtmäßige Weise zugänglich wurden. Ebenso wenig hat die belangte Behörde ausgesprochen, dass die festgestellte Grundrechtsverletzung dadurch eingetreten wäre, dass ein bestimmter Täter die Daten in einer namentlich genau bestimmten Datensammlung zum Kauf angeboten hat. Die belangte Behörde hat im Rahmen der Bescheidbegründung auf schlüssige und nachvollziehbare Weise dargestellt, wie sie zu den getroffenen Feststellungen gekommen ist. Bereits vor diesem Hintergrund war aus dem Vorbringen der Beschwerdeführerin für deren Rechtsstandpunkt nichts zu gewinnen.
3.2.3.2.3. Insgesamt scheint die Beschwerdeführerin zu verkennen, dass sie selbst als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO eine umfassende Rechenschaftspflicht dahingehend trifft, ob sämtliche Verarbeitungsvorgänge im Einklang mit den Vorgaben der Art. 5 Abs. 1 und 32 DSGVO stehen. Im Falle eines Sicherheitsvorfalles, wie dem vorliegenden, wäre die Beschwerdeführerin daher verpflichtet gewesen, sämtliche Protokolldaten in Bezug auf den Testserver vorzulegen, sodass anhand einer Datenstromanalyse nachvollziehbar ersichtlich gemacht werden hätte können, von welcher IP-Adresse aus zu welchem Zeitpunkt Zugriff auf den Server genommen wurde. Demgegenüber begnügte sich der Auftragsverarbeiter (und damit die Verantwortliche selbst) im Verfahren vor dem erkennenden Gericht mit dem Hinweis, dass sämtliche Protokolldaten „aus Sicherheitsgründen“ Ende Mai 2020 gelöscht worden seien, was für sich allein betrachtet bereits einen Verstoß gegen die Art. 5 Abs. 2, 24 und 32 DSGVO darstellt, der die Klärung des Sachverhaltes von außen erheblich erschwert.
3.2.3.2.4. Zudem verkennt die Beschwerdeführerin ein weiteres Mal die Rechtslage, wenn sie in Bezug auf das im verwaltungsgerichtlichen Verfahren zu erbringende Beweismaß die Auffassung vertritt, das Vorliegen einer entscheidungserheblichen Tatsache sei mit „Gewissheit“ nachzuweisen. Vielmehr herrscht im Verwaltungsverfahren der Grundsatz der freien Beweiswürdigung sowie der Gleichwertigkeit aller Beweismittel. Gemäß § 45 Abs. 2 AVG ist die Behörde bzw. iVm § 17 VwGVG das Verwaltungsgericht bei der Beweiswürdigung nicht an feste Beweisregeln gebunden, sondern hat den Wert der aufgenommenen Beweise nach bestem Wissen und Gewissen nach deren innerem Wahrheitsgehalt zu beurteilen (vgl. VwGH 5.11.2019, Ra 2018/01/0110, mwN). Dabei gilt das Beweismaß der "größeren inneren Wahrscheinlichkeit" (vgl. VwGH 15.1.2018, Ra 2017/12/0126, mwN).
3.2.3.2.5. Bei alldem ist zu bemerken, dass es die Beschwerdeführerin stets als erforderlich erachtet, immer weitergehende Beweise (auch im Ausland) zu erheben, demgegenüber aber die in ihrer eigenen Sphäre gelegenen Informationen – wie etwa die internen Berichte ihres Auftragsverarbeiters zum Hergang des Sicherheitsvorfalles vom Mai 2020 und den eigenen Kenntnisstand hierzu – aktiv zurückhält bzw. als Geschäftsgeheimnis im Sinne von § 4 Abs. 6 DSG qualifiziert wissen will, was zwar aus Sicht der Beschwerdeführerin eine legitime Verteidigungsstrategie darstellen mag, jedoch keinen Beitrag zur Ergründung der materiellen Wahrheit leistet (§ 39 Abs. 2a AVG) bzw. ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht entspricht.
3.2.3.2.6. Im Ergebnis schließt sich der erkennende Senat der Beweiswürdigung der belangten Behörde vollinhaltlich an. Wie beweiswürdigend (vgl. insbesondere Pkt. 2.5.) dargestellt, ergibt sich anhand einer Gesamtwürdigung sämtlicher Ergebnisse des Beweisverfahrens, wobei insbesondere die engen zeitlichen Abläufe der relevanten Geschehnisse sowie die klaren und eindeutigen Ermittlungsergebnisse des Bundeskriminalamtes, aber auch die internen Untersuchungen des Auftragsverarbeiters, bei lebensnaher Betrachtung keine anderen Schlussfolgerungen zulassen, dass personenbezogene Daten, die von der X GmbH an die Z GmbH Anfang Mai 2020 übermittelt worden sind, vom Testserver des Auftragsverarbeiters entwendet, im Internet zum Kauf angeboten und hierdurch einer unbeschränkten Zahl an Dritten gegenüber offengelegt wurden. Aus den Berichten des Bundeskriminalamtes geht klar und zweifellos hervor, dass es sich bei den entwendeten und im Internet angebotenen Daten um Daten der X handelte und die zuständigen Mitarbeiter der X von Beginn an eng in die behördlichen Ermittlungen eingebunden waren, was sich – wie aufgezeigt – auch im Inhalt der an die Datenschutzbehörde gelegten Meldung vom 29.05.2020 wiederspiegelt. Der vom Bundeskriminalamt erworbene – und in Kopie der Beschwerdeführerin seit Oktober 2021 zur Gänze vorliegende – Datensatz enthält dabei – wie festgestellt – auch die personenbezogenen Daten betreffend die mitbeteiligte Partei, was von der Beschwerdeführerin weder im Verfahren vor der Datenschutzbehörde noch vor dem Bundesverwaltungsgericht in Abrede gestellt wurde. Das – auch diesbezüglich – weitwendige Vorbringen der Beschwerdeführerin, wonach all das die individuelle Betroffenheit der mitbeteiligten Partei nicht beweise, sondern ein solcher Beweis ausschließlich im Wege der Befragung des in den Niederlanden verurteilten Hackers sowie der Einsicht in die bei ihm sichergestellten Datenbanken zu führen sei, war auf dem Boden der umfassend dargestellten Beweislage als lebensfremde Schutzbehauptung zu qualifizieren.
3.2.3.3. Ergebnis:
3.2.3.3.1. Die Datenschutzbehörde hat zu Recht festgestellt, dass die X GmbH , in deren Eigenschaft als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO, die mitbeteiligte Partei dadurch im Recht auf Geheimhaltung verletzt hat, indem sie es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung") ermöglicht hat, dass personenbezogene Daten der mitbeteiligten Partei (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden.
3.2.3.3.2. Verstöße gegen die Grundsätze des Art. 5 Abs. 1 DSGVO (wie fallbezogen nach dessen lit. f) können für sich allein in einer Beschwerde nach Art. 77 DSGVO geltend gemacht werden, sofern dieser Verstoß die Verarbeitung von den Beschwerdeführern (hier somit den Mitbeteiligten) betreffenden personenbezogenen Daten betrifft. Aus unionsrechtlicher Sicht ist es daher vor dem Hintergrund der oben angeführten Rechtsprechung des EuGH zulässig, eine Datenschutzbeschwerde nach Art. 77 DSGVO (allein) auf Art. 5 DSGVO zu stützen. Eine Datenschutzbeschwerde, mit der ein Verstoß gegen die DSGVO geltend gemacht wird, kann (parallel dazu bzw. unter einem) auch auf § 1 Abs. 1 DSG gestützt werden, es ist auch möglich, über eine auf die DSGVO und auf § 1 Abs. 1 DSG gestützte Datenschutzbeschwerde unter einem und somit einheitlich abzusprechen, wenn ein im Wege einer Beschwerde nach Art. 77 DSGVO geltend gemachter Verstoß gegen (etwa) Art. 5 DSGVO – wie in der vorliegenden Fallkonstellation – gleichzeitig auch eine Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG darstellt (vgl. VwGH vom 06.03.2024, Ro 2021/04/0030, Rz 49, 51 und 52).
3.2.3.3.3. Wie aus dem Wortlaut von § 4 Abs. 1 DSG erhellt, sind die Bestimmungen der DSGVO zur Auslegung des DSG (und damit zur Auslegung des Grundrechts auf Geheimhaltung) heranzuziehen, soweit nicht der Anwendungsbereich des 3. Hauptstücks erfüllt ist. In einem rezenten Erkenntnis im Zusammenhang mit der Datenverarbeitung durch ein Immobilienunternehmen hat der VwGH in diesem Sinne ausgesprochen, dass im Hinblick auf den Anwendungsvorrang des Unionsrechts die in § 1 Abs. 1 zweiter Satz DSG normierte Beschränkung, wonach eine Datenverarbeitung vom Schutzbereich ausgenommen ist, wenn es sich um allgemein verfügbare Daten handelt, unangewendet zu bleiben hat (vgl. das Erkenntnis vom 01.02.2024, Ro 2021/04/0016-4, Rz 25).
3.2.3.3.4. Zudem sieht die DSGVO für Aufsichtsbehörden keine bloße Feststellungskompetenz für in der Vergangenheit liegende, abgeschlossene Rechtsverletzungen vor. Eine solche Feststellungskompetenz kann jedoch aufgrund der Öffnungsklausel gemäß Art. 58 Abs. 6 DSGVO vorgesehen werden. Auf nationaler Ebene ergibt sich diese Feststellungskompetenz für Beschwerdeverfahren nach Art. 77 DSGVO aus § 24 Abs. 2 Z 5 und Abs. 5 DSG (vgl. VwGH vom 19.10.2022, Ro 2022/04/0001 Rz 22). Vor diesem Hintergrund erweist sich auch das diesbezügliche Beschwerdevorbringen als verfehlt.
Es war daher spruchgemäß zu entscheiden.
Zu Spruchpunkt B) – Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs. 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt.
Das Bundesverwaltungsgericht konnte sich bei der Lösung der zentralen Rechtsfragen, in Bezug auf die §§ 1, 4 und 24 DSG auf die zitierte gefestigte Rechtsprechung des Verwaltungsgerichtshofes, hinsichtlich der maßgebenden unionsrechtlichen Bestimmungen aber auf die ausführlich dargestellte Rechtsprechung des EuGH, stützen. Was das Verhältnis von § 24 Abs. 4 DSG und Art. 77 DSGVO betrifft, kommt – wie dargestellt – eine Auslegung von § 24 Abs. 4 DSG (ausschließlich) am Maßstab nationaler Verfahrensbestimmungen, wie § 44a AVG, vor dem Hintergrund der Zielsetzungen der unmittelbar anwendbaren Bestimmung des Art. 77 DSGVO (vgl. EuGH 16.1.2024, C-33/22) nicht in Betracht. Zudem ist auch bei isolierter Betrachtung des § 24 Abs. 4 DSG die Frage des Eintrittes der dort geregelten Präklusionswirkungen anhand der Gesamtumstände des Einzelfalles zu beurteilen.