Spruch
W274 2290131-1/17E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundigen Laienrichter KommR Prof. POLLIRER und Dr. GOGOLA als Beisitzer über die Beschwerde des XXXX , p.A. JA XXXX , gegen den Bescheid der Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, vom 11.03.2024, GZ D124.0718/24, 2024-0.189.520, betreffend die verbundenen Datenschutzbeschwerden vom 24.02.2023 (Beschwerdegegner: 1. JA XXXX , 2. Anstaltsleiter XXXX , 3. XXXX , alle XXXX ) und vom 01.04.2023, eingelangt bei der belangten Behörde am 07.03.2024, (Beschwerdegegner: 1: JA XXXX , 2. Anstaltsleiter XXXX , 3. XXXX und 4. Leiterin des Sozialen Dienstes XXXX , alle XXXX ), wegen Verletzung im Recht auf Geheimhaltung, in nichtöffentlicher Sitzung zu Recht:
Der Beschwerde wird nicht Folge gegeben.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
ENTSCHEIDUNGSGRÜNDE:
1.1. In seinen an die Datenschutzbehörde (belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Datenschutzbeschwerden vom 24.02.2023 und vom 01.04.2023, eingelangt bei der belangten Behörde am 07.03.2024, behauptete XXXX (im Folgenden: Beschwerdeführer, BF) jeweils Verletzungen im Recht auf Geheimhaltung gemäß § 1 DSG durch die im Spruch genannten Beschwerdegegner (im Folgenden: BG) wegen „unrechtmäßiger Verarbeitung und Manipulation von Gesundheitsdaten bzw. unrechtmäßiger Weitergabe von persönlichen Daten des BF.
1.2. In seiner Beschwerde vom 24.02.2023 brachte er – soweit fasslich – sinngemäß vor, die Erstbeschwerdegegnerin (1.BG) habe als Hauptverantwortliche der Integrierten Vollzugsverwaltungsdatenbank (IVV) sensible Daten des BF im Zeitraum 08.10.2019 bis 29.10.2022 verarbeitet, der Zweitbeschwerdegegner (2.BG) als Anstaltsleiter und datenschutzrechtlicher Verantwortlicher habe Daten über vollzugsrelevante Vorgänge und die Drittbeschwerdegegnerin (3.BG) als leitende Anstaltsärztin sensible Daten „zur Fälschung und Manipulation von dessen Krankengeschichte bzw. Kranken- und Personenvermerkakte in der IVV Datenbank“ verwendet und dabei datenschutz- und strafrechtliche Gesetzesverletzungen begangen. Weiters habe die 3.BG durch Fälschungen und Manipulationen Daten des BF dazu missbraucht und verarbeitet, „für die Aufhebung eines behördlichen Absonderungsbescheides zu einer näher genannten Geschäftszahl mittels vorgetäuschter Gesund- und Symptomfreimeldung trotz aufliegenden positiven COVID 19 PCR Tests sowie über gezielte nachträgliche Nachbearbeitungen und falscher Vermerke … vorsätzlich bzw. wissentlich die Krankengeschichte/Krankenakt … zu verarbeiten und zu nutzen“. Weiters hätten sie der BG sensible Informationen aus der manipulierten Krankengeschichte (des BF) entgegen näher genannter Bestimmungen des Strafvollzugsgesetzes sowie dienstrechtlicher Bestimmungen im Zeitraum vom 09.11.2021 bis 06.05.2022 an in der JA XXXX angehaltene Strafgefangene und in der Anstalt tätige Personen weitergegeben und verarbeitet. Der BF habe erstmals durch Ausfolgung des Krankenaktes am 13. Februar 2023 hiervon erfahren.
Verwiesen wurde auf einen Auszug der Krankengeschichte für den Zeitraum 08.10.2019 bis 29.06.2022 vom 13.02.2023, der nachgereicht werde.
Eine Vorlage dieses Beweismittels ist im Akt nicht ersichtlich.
1.3. Eine weitere Beschwerde des BF, datiert mit 01.04.2023, langte bei der belangten Behörde offenbar erst gemeinsam mit einer Säumnisbeschwerde des BF (vom 02.10.2023) ein, die direkt beim Bundesverwaltungsgericht eingebracht wurde, von diesem am 21.02.2024 an die Datenschutzbehörde weitergeleitet wurde und bei dieser am 07.03.2024 einlangte. Die diesbezügliche Säumnisbeschwerde wurde mit Beschluss des BVwG vom 03.04.2024 zu W221 2288634 zurückgewiesen.
In dieser Beschwerde (vom 01.04.2023) brachte der BF vor, die dortige Erstbeschwerdegegnerin (1.BG) habe als Hauptverantwortliche der Integrierten Vollzugsverwaltungsdatenbank (IVV) unrechtmäßig telefonischen Kontakt, Auskunft und Informationen zur Person und dem Aufenthalt des BF nicht ausgewiesenen Kontaktpersonen durch die im Auftrag des Zweitbeschwerdegegners (2.BG) tätige Viertbeschwerdegegnerin (4.BG) entgegengenommen, erteilt, geführt und übertragen. Die Genannten seien weder zuständig noch befugt, außerhalb der JA der 1.BG aber auch innerhalb des Anstaltsareals mit justizfremden Personen sowie in anderen Justizanstalten tätigen Justizwachbeamte Kontakte, Auskünfte und Informationen in Bezug auf persönliche Daten des BF weiterzugeben. Weiters sei an den BF gerichtete Notar- und Finanzamtspost via E-Mail an den sozialen Dienst der JA XXXX unrechtmäßig weitergeleitet worden, obwohl der BF dem sozialen Dienst der JA XXXX nie eine Zustimmungserklärung erteilt habe. Die genannten Verstöße hätten sich am 09.02.2023 zugetragen. Am 09.02.2023 habe der BF über diesen Sachverhalt nach Ausfolgung eines per Hauspost vom sozialen Dienst der JA XXXX übermittelten Auszuges des E-Mails erfahren.
Ein „Auszug E-Mail der JA XXXX vom 09.02.2023“ werde nachgereicht.
Eine derartige Nachreichung ist im Akt nicht ersichtlich.
1.4. Mit dem bekämpften Bescheid verband die belangte Behörde beide Datenschutzbeschwerden zur gemeinsamen Entscheidung und lehnte deren Behandlung gemäß Art. 57 Abs. 1 Z 4 DSGVO ab.
Sie traf dabei folgende Feststellungen, die zusammengefasst wiedergegeben werden:
Der BF sei am 17.09.2019 wegen versuchten Mordes zu einer langjährigen Freiheitsstrafe als Zusatzstrafe zu einem Vorurteil schuldig gesprochen worden. Der BF sei seit seiner Verurteilung in mehreren Justizanstalten inhaftiert gewesen, so zunächst in der JA XXXX und bis zu einer Strafvollzugsänderung am 29.06.2022 in der JA XXXX . Derzeit befinde sich der BF in der JA XXXX . Der BF habe in Zusammenhang mit seiner Verurteilung und Inhaftierung unterschiedlichste Verfahren bei Kammern, Gerichten, Behörden, Staatsanwaltschaften, der Volksanwaltschaft, Justizanstalten, Ministerien, gegen seine ehemalige Rechtsvertretung, Mitgefangene, Gerichte, Staatsanwaltschaften und Justizanstalten sowie deren Organe und Mitarbeiter angestrengt.
Der BF habe, beginnend mit dem Jahr 2022, auch eine Vielzahl von Beschwerden aufgrund behaupteter Verletzungen im Recht auf Geheimhaltung bei der Datenschutzbehörde eingebracht. Im Zeitraum von 2022 bis 11.03.2024 habe der BF bei dieser 43 individuelle Beschwerdeverfahren anhängig gemacht, wovon bereits 41 Verfahren mit Bescheid beendet worden seien.
In weiterer Folge stellte die belangte Behörde die Geschäftszahlen von 41 bei ihr geführten Verfahren des BF chronologisch dar, dies unter Nennung der Beschwerdegegner und geltend gemachten Rechtsverletzung (unter den Beschwerdegegnern finden sich auch nunmehrige Beschwerdegegner, Strafrichter, die Justizministerin etc.). Weiters habe der BF bislang 13 Bescheidbeschwerden gegen Entscheidungen der Datenschutzbehörde erhoben. Gegenständlich seien stets behauptete unrechtmäßige Datenverarbeitung des Strafrechtsaktes, Verfälschung von verarbeiteten Daten und Akten, Einsichtnahmen in justizinterne Datenbanken, Zugänglichmachung und Offenlegung von Daten an andere Strafgefangene und sonstige Dritte sowie Kenntnisnahme von Briefinhalten. Zu den Beschwerdegegnern zählen unter anderem die ehemalige Rechtsvertretung, die österreichische Post AG, ein Bezirksgericht, der Anstaltsleiter, mehrere Justizanstalten, das Bezirks- und Landesgericht sowie die Staatsanwaltschaft XXXX , Bürgermeister der Stadt XXXX , die Staatsanwaltschaft Wien, das Sozialministeriumservice, die PVA, das Landesgericht für Strafsachen Wien sowie diverse Organe bzw. Mitarbeiter der genannten Institutionen.
In weiterer Folge stellte die belangte Behörde „beispielhaft“ Auszüge von Ersteingaben des BF dar, wobei jeweils als „hauptverantwortlich“ „Erstbeschwerdegegner“ in einer komplexen Verknüpfung mit anderen Beschwerdegegnern bzw. Akteuren dargestellt würden. Es folgt eine Darstellung handschriftlicher Eingaben des BF von vier mit GZ genannten Beschwerden sowie eine computergeschriebene Sachverhaltsdarstellung eines weiteren Beschwerdeverfahrens.
Die handschriftlichen Eingabebeispiele stellen sich im Wesentlichen als kaum lesbare Texte dar, die zwar an sich in lesbarer Druckschrift verfasst sind, aber so eng und abstandslos geschrieben sind, dass zumindest die dargestellten Beispiele kaum lesbar sind.
Es werde in den Eingaben regelmäßig auf zahlreiche nicht beigelegte Beweismittel verwiesen. In jenen Verfahren, in denen bereits Ermittlungsschritte gesetzt worden seien bzw. die bereits bescheidmäßig beendet worden seien, hätten die BG einheitlich vorgebracht, dass die vom BF behaupteten Verstöße nicht nachvollzogen werden könnten. In zahlreichen weiteren Fällen seien aufgrund jeweils „umfassenden Vorbringens des BF“ größtenteils unbeantwortet gebliebene bzw. unvollständig verbesserte Mängelbehebungsaufträge ergangen.
Eine Verletzung des BF in seinem Recht auf Geheimhaltung sei bislang weder durch die Datenschutzbehörde noch das Bundesverwaltungsgericht festgestellt worden.
Rechtlich führte die belangte Behörde aus, bereits iZm der Untersuchungsobliegenheit des Art. 57 Abs. 1 lit. f DSGVO finde sich insofern eine Relativierung bzw. eine Prüfungsumfangsbeschränkung, als dass diese Obligation nur soweit bestehen solle, soweit sich deren Umfang als „angemessen“ erweise. Gemäß Art. 57 Abs. 4 DSGVO könne die Aufsichtsbehörde bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trage die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage. Die Einbringung einer Beschwerde sei jedenfalls als „Anfrage“ im Sinne des Art. 57 Abs. 4 DSGVO zu qualifizieren. Das Wort „oder“ in Art. 57 Abs. 4 DSGVO indiziere, dass es im Ermessen einer Aufsichtsbehörde liege, ob sie Kosten vorschreibt oder sich weigert, tätig zu werden.
Insgesamt seien vom BF 43 Beschwerden zur Thematik seiner Verurteilung und der damit in Zusammenhang stehenden Inhaftierung innerhalb eines Zeitraumes von 20 Monaten eingebracht worden. Wenngleich die Anzahl von 43 Beschwerden über einen Zeitraum von 20 Monaten zunächst mengenmäßig nicht beträchtlich erscheinen möge, so sei dennoch aufgrund der regelmäßig mangelhaften und sich wiederholenden Eingaben des BF - die einen erheblichen Aufwand für die belangte Behörde mit sich brächten - insgesamt davon auszugehen, dass der Terminus der „häufigen Wiederholung“ im Hinblick auf die gegenständlichen Beschwerden erfüllt sei. Dies sei insbesondere der Fall, da die gegenständlichen Beschwerden mit einem weit überdurchschnittlichen Einsatz von zeitlichen und personellen Ressourcen auf Seiten der Datenschutzbehörde verbunden seien. Nicht zuletzt, da die nicht nachvollziehbare „Verteilung“ der Beschwerden auf zahlreiche, sich jeweils auf mehrere Verfahren beziehende, Eingaben einen erheblichen Aufwand bei der Zuordnung der Beschwerden zu den betreffenden Verfahren bedeute. Auch liege für die Datenschutzbehörde ein offensichtlich schikanöser bzw. rechtsmissbräuchlicher Charakter vor. Es handle sich bei den Sachverhaltsdarstellungen des BF um vage Mutmaßungen und es werde stets unsubstantiiert vorgebracht, dass entweder dessen sensible personenbezogene Daten und „brisante Informationen“ offengelegt worden seien bzw. in diese Einsicht genommen worden sei, wobei dies meist unter Darlegung einer komplexen Verknüpfung der mitbeteiligen Parteien erfolge. Eine Darlegung jener Daten, in welche behauptetermaßen Einsicht genommen worden sei, erfolge auch teils nach konkreter Aufforderung im Zusammenhang mit Mängelbehebungsaufträgen nicht. Überdies habe das Ermittlungsverfahren in jenen Fällen, in welchen die mitbeteiligen Parteien bereits (zur Stellungnahme) aufgefordert worden seien, ergeben, dass die haltlosen Behauptungen des BF nicht nachvollzogen bzw. bestätigt hätten werden können. Zudem werde darauf hingewiesen, dass der BF auch bei zahlreichen anderen Gerichten, Verwaltungsbehörden und Einrichtungen Verfahren – soweit aus den bei der Datenschutzbehörde vorliegenden Beilagen ermittelbar – erfolglos angestrebt habe. Nach höchstgerichtlicher Rechtsprechung laufe ein Vorbringen, welches aus (unbestimmten) Mutmaßungen bestehe, auf einen unzulässigen Erkundungsbeweis hinaus, zu dessen Aufnahme das Gericht (gegenständlich: die Datenschutzbehörde) nicht verpflichtet sei. Zudem könne auch von keinem redlichen Rechtsschutzinteresse des BF ausgegangen werden. Vielmehr ließen die zahllosen haltlosen Behauptungen sowie die Anführung wahlloser Personen erkennen, dass der BF mit seinen Eingaben dem datenschutzrechtlichen Verfahren fremde Zwecke verfolge. Es scheine, als würde der BF über den Weg des Datenschutzes versuchen, gegen Mithäftlinge, in Ungnade gefallene Mitarbeiter der Justizanstalten, Gerichte und Staatsanwaltschaften sowie sonstige im Zusammenhang mit der Unterbringung Beteiligte − wie Postunternehmen sowie Sozialversicherungsträger und rechtliche Vertretungen − vorzugehen. Auch könne aufgrund der jeweils gleichlautenden Formulierungen der Ersteingänge davon ausgegangen werden, dass die Intention des BF vielmehr in der systematischen Einbringung zahlreicher Beschwerden liege, als in einem tatsächlichen Rechtsschutzinteresse aufgrund eines behaupteten Verstoßes. Im Ergebnis seien die gegenständlichen Beschwerden daher als rechtsmissbräuchliche Inanspruchnahme der Tätigkeit der Datenschutzbehörde zu qualifizieren.
1.6. Gegen diesen Bescheid richtet sich die als „Bescheidbeschwerde wegen gesetz- und rechtswidriger Be- und Abhandlungen von Datenschutzbeschwerden sowie willkürlicher Fälschung von Eingangsgeschäftszahlen bzw. rechtwidriger Bescheidspruchentscheidungen gemäß § 24 DSG und § 13 AVG“ bezeichnete Beschwerde mit dem Antrag, den Bescheid ersatzlos zu beheben.
1.7. Die belangte Behörde legte die Beschwerde samt den bezughabenden Akten des Verwaltungsverfahrens dem BVwG am 11.04.2024 unter Verweis auf den Bescheid zur Entscheidung vor. Der Akt kam der Gerichtsabteilung W274 am 04.06.2024 zu.
1.8. Mit Beschluss vom 30.09.2024 wurde das Beschwerdeverfahren bis zur Vorabentscheidung des Gerichtshofes der Europäischen Union über das Ersuchen des Verwaltungsgerichtshofs vom 27.06.2023, EU 2023/0004 (Ra 2023/04/0002, beim EuGH anhängig unter C-416/23), ausgesetzt.
1.9. Mit Urteil des Europäischen Gerichtshofs vom 09.01.2025 zu C-416/23 entschied dieser über vom Verwaltungsgerichtshof vorgelegte drei Fragen, deren Beantwortung teilweise präjudiziell für die Entscheidung im gegenständlichen Verfahren waren
1.10. Mit Schreiben vom 09.01.2025 beantragte der BF Akteneinsicht und Aktenabschrift „(des fallgegenständlichen Urteils durch den EuGH C-416/23)“ sowie eine Refundierung bzw. Rückzahlung von zu Unrecht vorgeschriebenen Beschwerdegebühren.
Die Beschwerde ist nicht berechtigt:
2.1. Die belangte Behörde lehnte die Behandlung der beiden gegenständlichen Beschwerden gemäß Art. 57 Abs. 4 DSGVO ab.
2.2.1. Gemäß Art. 57 Abs. 4 DSGVO kann die Aufsichtsbehörde bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
2.2.2. Der Europäische Gerichtshof hat mit Urteil vom 09.01.2025 zu C-416/23 u.a. über die hier fallgegenständlich relevante Rechtsfrage der Auslegung zur Bestimmung hinsichtlich folgender Fragestellung entschieden:
„Ist Art. 57 Abs. 4 DSGVO so auszulegen, dass es für das Vorliegen von exzessiven Anfragen bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DSGVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person.“
Diese Frage beantwortete der EuGH dahingehend, dass Art. 57 Abs. 4 DSGVO dahingehend auszulegen sei, dass Anfragen nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung eingestuft werden können, da die Ausübung der in dieser Bestimmung vorgesehenen Befugnis voraussetzt, dass die Aufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweist.
Der EuGH beantwortete eine weitere Frage dahingehend, dass eine Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen kann, ob sie eine angemessene Gebühr auf Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.
Zusammengefasst führte der EuGH dazu aus, das Adjektiv „exzessiv“ bezeichne etwas, dass über das gewöhnliche oder vernünftige Maß hinausgehe oder das erwünschte oder zulässige Maß überschreite. Die Ausübung der in Art. 57 Abs. 4 DSGVO vorgesehenen Befugnis müsse als Ausnahme von dem in Art. 57 Abs. 3 DSGVO vorgesehenen Grundsatz der Unentgeltlichkeit der von den Aufsichtsbehörden erfüllten Aufgaben bleiben. Sie könne nur im Fall von Rechtsmissbrauch erfolgen, ohne dass die Zahl der eingereichten Beschwerden für sich genommen ein ausreichendes Kriterium für die Feststellung eines solchen Missbrauchs darstellen könne. Art. 57 Abs. 4 DSGVO spiegle nämlich die ständige Rechtsprechung des Gerichtshofes wieder, nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen. Vor diesem Hintergrund müsse eine Aufsichtsbehörde, wenn sie von Art. 57 Abs. 4 DSGVO Gebrauch mache, anhand aller relevanten Umstände jedes Einzelfalls feststellen, dass eine Missbrauchsabsicht der betroffenen Person vorliege, wofür die Zahl der von dieser Person eigereichten Beschwerden allein nicht ausreiche. Das Vorliegen einer Missbrauchsabsicht könne aber festgestellt werden, wenn eine Person Beschwerden einreiche, ohne dass dies objektiv erforderlich sei, um ihre Rechte aus der Verordnung zu schützen. Eine isolierte Betrachtung der Zahl der Beschwerden könne zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen. Es obliege der Aufsichtsbehörde auf Grundlage der Umstände des jeweiligen Einzelfalls, bei Einreichung einer großen Zahl von Beschwerden nachzuweisen, dass diese Zahl nicht durch den Wunsch der betroffenen Person zu erklären sei, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz stehe. Dies gelte insbesondere dann, wenn sich aus den Umständen ergäbe, dass die Zahl der Beschwerden darauf abziele, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen missbräuchlich in Anspruch genommen werden. Insoweit könne die Häufung von Beschwerden einer Person ein Indiz für exzessive Anfragen sein, wenn sich herausstelle, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt seien, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleihe. Dies könne z.B. dann der Fall sein, wenn eine Person eine so große Zahl von Beschwerden bei der Aufsichtsbehörde einreiche, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug habe, dass diese übermäßige Inanspruchnahme ihres Rechts, Beschwerden einzureichen, in Verbindung mit anderen Gesichtspunkten, wie dem Inhalt der Beschwerden, ihre Absicht erkennen lasse, die Behörde zu lähmen, indem sie sie mit Anfragen überflute.
Daraus folgt für den hier zu beurteilenden Fall:
2.3. Die zugrundeliegenden Inhalte der oben dargestellten Beschwerden des BF an die DSB sind wie folgt zu charakterisieren:
2.3.1. Beschwerde vom 24.02.2023 gegenüber der JA XXXX u.a.:
Der BF nimmt hier allgemein auf „seine Daten über strafgerichtliche Verarbeitungen und Straftaten“ Bezug, diese seien nicht hinreichend und unter behördlicher Aufsicht gemäß Art. 10 DSGVO verarbeitet worden. Der BF grenzt die zum Anlaß der Beschwerde genommene Datenverarbeitung auf einen Zeitraum vom 08.10.2019 bis 29.06.2022 ein. Weiters nimmt der BF auf Bestimmungen des § 11 StVG (Stellung des Anstaltsleiters als Vollzugsbehörde erster Instanz) und § 15a Abs. 3 StVG Bezug, das das Bundesministerium für Justiz sowie die Vollzugsbehörden erster Instanz als gemeinsame Verantwortliche bestimmt und das Verzeichnis der Verarbeitungstätigkeiten gemäß § 49 DSG durch das BMJ regelt. Weiters behauptet der BF in diesem Zeitraum die Fälschung und Manipulation seiner Krankengeschichte in der IVV-Datenbank durch Strafvollzugsbedienstete sowie die Anstaltsärztin.
Der einzige im Ansatz konkrete Hinweis auf eine Sachverhaltsgrundlage bietet diesbezüglich die Behauptung einer Aufhebung eines behördlichen Absonderungsbescheides zu bestimmter Geschäftszahl mittels „vorgetäuschter Gesund- und Symptomfreimeldung trotz aufliegendem positiven COVID-19 PR-Test“. Weiters behauptet der BF die Weitergabe sensibler Informationen aus der Krankengeschichte entgegen § 90 Abs. 2 StVG betreffend in der JA XXXX angehaltene Strafgefangene bzw. dort tätige Personen (Gemäß § 90 Abs. 2 StVG ist dafür zu sorgen, dass der Inhalt von von Strafgefangenen verfassten Schreiben anderen Personen nicht bekannt gegeben wird, wenn ein Schreiben eines Strafgefangenen gelesen wird. Bestimmte Ausnahmen sind hier auch angeordnet).
Mit dem dargestellten Vorbringen wird kein Sachverhaltselement auch nur soweit konkretisiert, dass es ohne weitere Schritte einer Überprüfung zugänglich ist. Der BF unterlässt jede nähere Darstellung, worin er konkret „Fälschungen“ oder „Manipulationen“ seiner Krankengeschichte sieht oder welche Informationen wann an welche Personen der JA XXXX unrechtmäßig weitergegeben worden sein sollen. Es ist auch nicht ersichtlich, was der BF mit „vorgetäuschte Gesund- und Symptomfreimeldung“ im Zusammenhang mit einem Absonderungsbescheid meint. Der Ankündigung, einen Auszug der Krankengeschichte in diesem Zusammenhang vorzulegen, kam der BF offenbar nicht nach.
2.3.2. Beschwerde vom 01.04.2023 gegenüber der JA XXXX u.a.:
Hier behauptet der BF eine Geheimhaltungspflichtverletzung offenbar im Bezug auf seine gesundheitsbezogenen Daten (Art. 9 DSGVO). Hier bezieht sich der BF zwar auf ein bestimmtes Datum, den 09.02.2023, belässt es aber zunächst bei einer kaum verständlichen und ganz pauschalen bzw allgemein gehaltenen Behauptung solcher Geheimhaltungspflichtverletzungen durch die BG. Der BF drückt aus, dass unbefugt Kontakte „außerhalb der JA XXXX geführt oder Daten außerhalb dieser JA weitergegeben worden sein sollen, obwohl der BF längst in dieser JA aufhältig gewesen sei“. Es bleibt dabei bei völlig unspezifischen allgemeinen Angaben, die nicht auf einen konkreten Sachverhalt rückführbar sind. In weiterer Folge führt der BF aus, Anfang Februar 2023 sei „beispielsweise“ an den BF gerichtete Notar- und Finanzamtspost via E-Mail an den sozialen Dienst der JA XXXX weitergeleitet worden. Der BF unterlässt es auch hier darzustellen, welche „Notar- und Finanzamtspost“ von wem und allenfalls aus welchem Grund an den sozialen Dienst der JA XXXX weitergeleitet worden sein soll, sodass auch hier ohne nähere Spezifizierung die Behauptungen des BF nicht weiter überprüfbar sind. Der BF führt zwar in weiterer Folge aus, er habe am 09.02.2023 durch Ausfolgung eines E-Mails von diesem Sachverhalt erfahren, legte dieses aber trotz Ankündigung bislang offenbar nicht vor.
2.4. Die belangte Behörde verband die beiden Beschwerden zur gemeinsamen Entscheidung und entschied darüber mit dem hier bekämpften Bescheid im Sinne einer Ablehnung der Behandlung dieser Beschwerden.
Die belangte Behörde traf die oben zusammengefasst dargestellten Feststellungen zum Hintergrund des BF, zu dessen weiteren geführten Verfahren und insbesondere zu den bereits 41 mit Bescheid der DSB beendeten Verfahren, betreffend der jeweils die Geschäftszahlen, das Datum der Beschwerde sowie die Beschwerdegegner angeführt wurden, teilweise auch die geltend gemachten Datenschutzverletzungen. Weiters führte die belangte Behörde Beschwerdegegner vormaliger Beschwerden an und fügte Auszüge aus mehreren Beschwerden des BF an. Sodann stellte die belangte Behörde fest, dass in zahlreichen Fällen größtenteils unbeantwortet gebliebene bzw. unverständlich verbesserte Mangelbehebungsaufträge ergingen und bislang in keinem der Verfahren vor der Datenschutzbehörde noch des Bundesverwaltungsgerichts eine Verletzung des BF in seinem Recht auf Geheimhaltung festgestellt wurde.
Die belangte Behörde befasste sich in weiterer Folge ausführlich auf sieben Seiten mit Art. 57 Abs. 4 DSGVO. Sie wies einerseits auf den Grundsatz des Art. 57 Abs. 1 lit. f DSGVO hin, wonach sich die Behörde mit Datenschutzbeschwerden insoweit befassen müsse, soweit sich deren Umfang als angemessen erweise. Sie befasste sich in weiterer Folge mit der Bedeutung des Wortes „exzessiv“ und verwies diesbezüglich auch auf die Rechtsprechung des BVwG (W253 2246873). Die belangte Behörde erachtete insbesondere solche Anträge als exzessiv, die rechtsmissbräuchlich erfolgen bzw. offensichtlich schikanösen bzw. rechtsmissbräuchlichen Charakter hätten. Dies bedeute, dass deren Bearbeitung einen weit überdurchschnittlichen Aufwand erfordere, obwohl seine Erfolglosigkeit von vorn herein unzweifelhaft feststehe. Im Rahmen der konkreten Subsumtion typisierte die belangte Behörde die Art der vom BF in seinen zahlreichen Eingaben behaupteten Datenschutzverletzungen und verwies auf die Anzahl von 43 Beschwerden, die aufgrund ihrer regelmäßig mangelhaften und sich wiederholenden Inhalte als häufige Wiederholung darstellten. Der offensichtlich schikanöse bzw. rechtsmissbräuchliche Charakter gehe daraus hervor, dass es sich bei den Sachverhaltsdarstellungen um vage Mutmaßungen handle und stets unsubstantiiert vorgebracht werde, dass entweder sensible personenbezogene Daten und brisante Informationen offengelegt worden seien bzw. in diese Einsicht genommen worden sei. Dies erfolge meist unter Darlegung einer komplexen Verknüpfung der Beschwerdegegner. Eine Darlegung jener Daten, in welche behauptetermaßen Einsicht genommen worden sei, erfolge auch teils nach konkreter Aufforderung mit Mängelbehebungsaufträgen nicht. Diese Vorbringen seien daher unbestimmte Mutmaßungen, die auf einen unzulässigen Erkundungsbeweis hinausliefen und von keinem redlichen Rechtschutzinteresse getragen seien. Es bestehe der Eindruck, dass der BF über den Weg des Datenschutzes rechtlich gegen Mithäftlinge, Mitarbeiter von Justizanstalten sowie Gerichte und Staatsanwaltschaften vorgehen wolle.
2.5.1. Die gegen diesen Bescheid gerichtete Beschwerde des BF ist von zahlreichen kaum fasslichen Vorhalten des BF u.a. gegen die belangte Behörde getragen. Bereits im Betreff wird von „willkürlicher Fälschung von Eingangsgeschäftszahlen“ gesprochen. Der belangten Behörde wird „Betrug mit skurrilen Zügen“, „maßlose Überforderung“ und „strafrechtlich relevanter Amts- und Rechtsmissbrauch“ vorgeworfen. Die „pauschale Ablehnung der Behandlung von zwei Beschwerden“ erfolge auf Basis vorsätzlicher Urkundenfälschungen und Betrug. Eine gemeinsame Entscheidung sei rechtswidrig, weil keinerlei kausaler Zusammenhang zwischen den Beschwerden bestehe. Die behauptete Anzahl von 41 behandelten Datenschutzbeschwerden sei falsch. Die von der DSB geführten Mängelbehebungs- und Verbesserungsaufträge seien „allesamt rechtswidrig“. Der BF habe detailliert und substantiiert Rechtsverletzungs- und Sachverhaltsdarstellungen vorgebracht. Die Ausführungen hinsichtlich „vager und unsubstantiierter Mutmaßungen“ und das Hinauslaufen auf „unzulässige Erkundungsbeweise“ seien unerträgliche Unterstellungen.
2.5.2. Der BF verweist dabei insbesondere auf das Erkenntnis des BVwG W258 2276822 vom 28.09.2023, mit dem der belangten Behörde die Fortführung des Verfahrens aufgetragen worden sei.
2.5.3. Tatsächlich wurde in diesem auf den Bescheid GZ D124.0579/23 vom 03.07.2023 bezogenen Verfahren jener Bescheid, mit dem die Datenschutzbeschwerde nach nichterfülltem Mangelbehebungsauftrag zurückgewiesen wurde, ersatzlos behoben und der Behörde die Fortführung des Verfahrens aufgetragen. Festgehalten wurde dort, ein Mangel könne in der Nichtvorlage von Beweismitteln nur dann gesehen werden, wenn das Gesetz den Anschluss von Unterlagen ausdrücklich vorschreibe, was aus § 24 DSG nicht hervorgehe. Auch im näher dargestellten Inhalt der dortigen Datenschutzbeschwerde sah das BVwG keine Mangelhaftigkeit. Tatsächlich ging der BF dort auf Krankenuntersuchungen in Form eines Lungenröntgens an zwei bestimmten Tagen näher ein und leitete daraus die Behauptung ab, es seien Datenschutzverletzungen des BF in Bezug auf dessen Krankengeschichte erfolgt.
Das diesem Erkenntnis zugrunde liegende Verfahren wurde auch in der von der belangten Behörde im Bescheid aufgenommenen Aufzählung von 41 Verfahren angeführt, und zwar an neunter Stelle.
2.5.4. Weiters ist der Beschwerde zu entnehmen, dass der BF unter Bezugnahme auf mehrere GZ der belangten Behörde meint, mit diesen Beschwerden sei unrechtmäßig seitens der belangten Behörde verfahren worden, Mangelbehebungsaufträge seien zu Unrecht erteilt oder deren Verbesserungen durch die Behörde nicht zur Kenntnis genommen wurde.
2.6.1. Wie dargestellt, liegt nunmehr erstmals eine ausführliche Auseinandersetzung des EuGH mit Art. 57 Abs. 4 DSGVO vor. Die zur maßgeblichen Interpretation von Anträgen offenkundig unbegründeten oder exzessiven Charakters wesentlichen Aussagen des EuGH wurden oben zusammengefasst.
2.6.2. Dabei legt der EuGH eine strenge Interpretation zugrunde, nach der nur der Nachweis einer Missbrauchsabsicht des Antragstellers durch eine Aufsichtsbehörde eine Nichtbehandlung von Anträgen (Beschwerden) rechtfertigt. Eine übermäßige Inanspruchnahme der Behörde durch ein und denselben Antragsteller kann dabei im Zusammenhang mit sonstigen Umständen lediglich ein Indiz für einen exzessiven Charakter von Anfragen bilden.
2.6.3. Ein direkter Nachweis der vom EuGH geforderten Missbrauchsabsicht (eine solche ist eine innere Tatsache) wird im Rahmen von Verfahren, in denen sich eine Behörde weigert, tätig zu werden, regelmäßig kaum in Fragen kommen, weil ein solcher - sofern überhaupt möglich - nur im Rahmen einer persönlichen Befragung des Antragstellers/Beschwerdeführers erfolgen könnte. Es muss daher aufgrund des Inhalts der Anträge und sonstiger vom Beschwerdeführer an die Behörde herangetragener Umstände (beispielsweise weiterer Verfahren) geprüft werden, ob die konkrete Anfrage rechtsmissbräuchlich ist.
2.6.4. Dabei wurde vom EuGH klargestellt, dass mit Blick auf vorangegangene Anträge/Beschwerden allein – seien diese noch so zahlreich - nicht quasi als Automatik ab einem bestimmten Zeitpunkt von Exzessivität in Bezug auf alle zukünftigen Eingaben geschlossen werden kann, sondern es ist jede neue Eingabe in einem solchen Maß zu prüfen, dass beurteilt werden kann, ob diese bereits allein oder zumindest im Kontext mit vorangegangenen Eingaben von Missbrauchsabsicht getragen ist. Es ist daher einerseits die konkrete Eingabe selbst auf das Vorliegen einer Missbrauchsabsicht zu prüfen und darüber hinaus haben auch die vorangegangenen Eingaben desselben Beschwerdeführers in die Beurteilung einzufließen.
2.7.1. Im konkreten Fall ist der belangten Behörde nicht zu widersprechen, dass mit 41 Verfahren in einem Zeitraum von gut zwei Jahren eine durchaus große Anzahl von Beschwerden des BF vorliegt, die thematisch und in Bezug auf die Beschwerdegegner in großem Maße ähnlich sind. Es ist zwar richtig, dass eine Zurückweisung einer Beschwerde auf Grund eines nach Auffassung der belangten Behörde nichterfüllten Mangelbehebungsauftrages vom BVwG behoben wurde. Aus der Beschwerde des BF selbst geht aber nicht hervor, dass auch nur eine seiner Beschwerden bislang inhaltlich erfolgreich gewesen wäre.
2.7.2. Wie oben dargestellt, beinhaltet keine der beiden hier zugrundeliegenden Beschwerden einen soweit konkretisierten durch den BF ausgeführten Tatvorwurf gegen Beschwerdegegner, dass dieser bei Wahrunterstellung eine Datenschutzverletzung begründen würde. Keines der Vorbringen ist so weit eingegrenzt, dass daraus abgeleitet werden könnte, wer in welchem Zeitraum welche konkrete Datenschutzverletzung gegenüber dem BF zu verantworten hätte. Beiden Beschwerden sind Ankündigungen zu entnehmen, zumindest betreffend Teile des Vorbringens Beweismittel vorzulegen. Solche Vorlagen sind bisher offenbar nicht erfolgt und erfolgten auch nicht mit der nunmehrigen Beschwerde.
Auch im Rahmen der Beschwerde erfolgte keinerlei inhaltliche Konkretisierung in Bezug auf die beiden zugrundeliegenden Datenschutzbeschwerden.
2.7.3. All diese Umstände im Zusammenhalt mit der großen Zahl der bisher durch den BF erhobenen Beschwerden, deren mangelndem Erfolg und insbesondere auch der durch den BF nicht widerlegten Notwendigkeit zahlreicher Mangelbehebungsaufträge bzw deren großteils nicht erfolgter Erfüllung, begründen nach Ansicht dieses Gerichts eine hinreichende Missbrauchsabsicht des BF, die die Behörde berechtigt hat, die Behandlung dieser Beschwerden abzulehnen. Im Hinblick auf die Anzahl der bisher durch den BF erhobenen Datenschutzbeschwerden samt den zahlreich ergangenen Mangelbehebungsaufträgen hätten den BF bei redlicher Rechtsschutzabsicht dazu veranlassen müssen, hinreichend konkret darzustellen, welchem Rechtsträger bzw. welchem Organ er welche konkrete Datenschutzverletzung zu welchem Zeitpunkt vorwirft. Dies hat der BF in beiden Beschwerden verabsäumt, weshalb im Ergebnis die von der belangten Behörde angenommene Exzessivität im Sinne des Art. 57 Abs. 4 DSGVO durch das Verwaltungsgericht geteilt wird.
3. Eine mündliche Verhandlung wurde durch den BF nicht beantragt und ist im Hinblick auf die allein vorzunehmende Beurteilung der schriftlichen Eingaben des BF auch nicht erforderlich.
4. Die Nichtzulassung der Revision beruht auf der rezenten Klärung der Auslegung des Art. 57 Abs. 4 DSGVO durch den EuGH und dem darüber hinaus vorliegenden Einzelfallcharakter der Entscheidung.