IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag.a Elisabeth SCHMUT LL.M. als Vorsitzende und die fachkundigen Laienrichterinnen Dr.in Claudia ROSENMAYR-KLEMENZ und Mag.a Adriana MANDL als Beisitzerinnen über die Beschwerde von XXXX , vertreten durch Summereder Pichler Wächter Rechtsanwälte GmbH, 4060 Leonding, Dr. Herbert-Sperl-Ring 3 (mitbeteiligte Partei vor dem Verwaltungsgericht: XXXX ), gegen den Bescheid der Datenschutzbehörde vom 31.05.2024, GZ XXXX in nichtöffentlicher Sitzung in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:
A) Der Beschwerde wird Folge gegeben und der angefochtene Bescheid wie folgt abgeändert: „Die Datenschutzbeschwerde wird als unbegründet abgewiesen.“
B) Die Revision ist nicht zulässig.
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit Eingabe vom 24.07.2023 erhob die mitbeteiligte Partei (in Folge „MP“) eine Datenschutzbeschwerde an die belangte Behörde und brachte zusammengefasst vor, die Beschwerdeführerin (in Folge „BF“) habe ein Paket mit Hochzeitseinladungen ohne Abstellgenehmigung vor der Wohnungstüre abgestellt. Als er nach Hause gekommen sei, sei das Paket aufgerissen und der Inhalt verschwunden gewesen. Die Einladungen haben ua den Namen der MP, Telefonnummern, den Ort der Hochzeit bzw der Feier enthalten. Die BF habe ihn dadurch in seinem Recht auf Geheimhaltung verletzt.
2. Mit Bescheid vom 31.05.2024 gab die belangte Behörde der Datenschutzbeschwerde statt, und stellte fest, dass die BF die MP dadurch im Recht auf Geheimhaltung verletzt habe, indem sie ein Paket ohne Abstellgenehmigung vor die Wohnungstüre der MP gestellt habe und dadurch personenbezogene Daten der MP Dritten offengelegt worden seien. Begründend führte sie im Wesentlichen aus, dass die BF durch die unzureichende Zustellung (ohne Abstellgenehmigung) nicht für eine geeignete Sicherheit der Verarbeitung gesorgt habe und damit auch den Grundsatz der Integrität und Vertraulichkeit verletzt habe. Ob die BF ein Verschulden treffe sei unerheblich.
3. Gegen diesen Bescheid richtet sich die gegenständliche Beschwerde der BF vom 28.06.2024. In dieser führte die BF zusammengefasst aus, dass sie nicht Verantwortliche für die Verletzung des Schutzes personenbezogener Daten sei, da sie die Daten im Inhalt des Pakets nicht verarbeitet habe und nicht einmal deren Inhalt kenne. Darüber hinaus habe sie einen Frächter mit der Auslieferung beauftragt, wodurch allenfalls dieser für das unzulässige Abstellen verantwortlich sei. Die belangte Behörde habe außerdem nicht berücksichtigt, dass die tatsächliche Datenschutzverletzung (Aufreißen des Pakets/Entwenden des Inhalts) allenfalls von einer dritten Person vorgenommen worden sei. Im Übrigen sei mangels (teil-)automatisierter Verarbeitung nicht einmal der Anwendungsbereich der DSGVO eröffnet.
4. Die belangte Behörde legte die Beschwerde unter Anschluss des Verwaltungsakts mit Schriftsatz vom 07.08.2024, hg eingelangt am 08.08.2024, vor und beantragte – unter Verweis auf die Begründung des angefochtenen Bescheids – die Beschwerde abzuweisen.
Beweis wurde erhoben durch Einsichtnahme in den Verwaltungs- und Gerichtsakt.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. XXXX bestellte Hochzeitseinladungen bei der „ XXXX GmbH“, auf denen ua der Name der MP, die Telefonnummer der MP, der Ort der Hochzeit, Ort der Feier etc abgedruckt waren. Die Einladungen wurden in einem Paket verpackt.
1.2. Für den Versand des Pakets samt den darin befindlichen Hochzeitseinladungen an XXXX wurde die BF beauftragt. Für die Endzustellung des Pakets beauftragte die BF den Frächter XXXX (GISA-Zahl: XXXX ).
1.3. Das Paket wurde am 21.07.2023 von einem Mitarbeiter des Frächters XXXX vor der Wohnungstüre von XXXX und der MP abgestellt. Eine Abstellgenehmigung wurde nicht erteilt.
1.4. XXXX und die MP fanden das Paket am 24.07.2023 kurz nach Mitternacht vor ihrer Wohnungstüre. Das Paket war aufgerissen und der Inhalt fehlte.
1.5. In der Datenschutzbeschwerde bezeichnete die MP die BF als Beschwerdegegner. Am 12.01.2024 bestätigte die MP abermals, dass sie es für angemessen halte, das Verfahren gegen die BF weiterzuführen.
2. Beweiswürdigung:
2.1. Die Feststellungen zum Bestellprozess der Hochzeitseinladungen, sowie dass diese in einem Paket verpackt wurden, ergeben sich aus dem nachvollziehbaren und übereinstimmenden Vorbringen der Verfahrensparteien (vgl OZ 1, S 5, 31). Dass auf den Einladungen ua Daten der MP (Telefonnummer) sowie Daten zur Hochzeit enthalten waren, ergibt sich aus dem glaubhaften vorbringen der MP in ihrer Bescheidbeschwerde. Da es sich bei der Bestellung um Hochzeitseinladungen gehandelt hat, war es nur nachvollziehbar, dass darin auch der Ort der Hochzeit/Feier bzw Kontaktdaten der MP (dem Bräutigam) enthalten waren. Zwar brachte die BF in ihrer Bescheidbeschwerde vor, dass unklar sei, ob und bejahendenfalls welche personenbezogene Daten der MP betroffen waren, allerdings zählen sowohl der Ort einer Hochzeit als auch zugehörige Kontaktdaten zu den wohl essenziellsten Angaben in einer Hochzeitseinladung. Das grundsätzliche Vorhandensein der Kontaktdaten der MP auf den Einladungen kann daher nicht ernsthaft in Zweifel gezogen werden, weshalb von einer Nachforderung der gegenständlichen Einladung abgesehen wurde. Im Übrigen waren die diesbezüglich von der BF angebotenen Zeugen (ein Vertreter der BF, bzw ihr Frächter/Fahrer) bereits grundsätzlich nicht dazu geeignet Auskünfte über den Inhalt der Hochzeitseinladungen zu geben, da es keine Anhaltspunkte gab, dass diese die Hochzeitseinladungen kennen (die BF behauptete schließlich selbst, dass sie diese nicht kenne) (vgl OZ 1, S 16).
2.2. Dass grundsätzlich die BF mit dem Versand beauftragt wurde, brachten beide Verfahrensparteien übereinstimmend vor und wurde von der MP ua in ihrer Stellungnahme vom 03.08.2023 durch Vorlage eines automatisch im Versandprozess erstellten Fotos bzw des Zustellscheins auch glaubhaft belegt (vgl OZ 1, S 8, 32, 34). Die Feststellung, dass die BF für die Endzustellung ein weiteres Unternehmen (den Frächter XXXX ) beauftragte, war aufgrund der ausführlichen diesbezüglichen Erläuterungen der BF in ihrer Stellungnahme vom 03.08.2023, sowie der Bescheidbeschwerde nachvollziehbar (OZ 1, S 15 ff, 31). Wenn die MP nun in ihrer Stellungnahme vom 12.01.2024 vorbrachte, dass der Zustellbeleg keinen Hinweis auf ein anderes Unternehmen enthalte, so ist ihr dabei grundsätzlich Recht zu geben. Allerdings ist aus dem Vorbringen der MP erkennbar, dass sie damit lediglich zum Ausdruck bringen wollte, dass es für sie keinen Unterschied mache, ob der Fehler in der Zustellung nun der BF oder einem ihrer Subunternehmen unterlaufen sei (siehe OZ 1, S 79). Im Ergebnis war daher die Endzustellung durch ein Subunternehmen (den Frächter) glaubhaft.
2.3. Die Abstellung vor der Wohnungstüre durch den Frächter ergibt sich aus dem von der BF vorgelegten Zustellbeleg (siehe OZ 1, S 34). Zwar ist darauf eine (nicht weiter zuordenbare) Unterschrift zu sehen, sowie der Vermerk „Empfänger XXXX “, allerdings gab die MP glaubhaft an, dass sie bzw XXXX am Zustelldatum außer Landes gewesen sei, weshalb die entsprechende Feststellung zu treffen war (siehe dazu OZ 1, S 79; wonach die MP sowie XXXX gewesen seien). Dies stimmt auch mit den Angaben der MP in der Datenschutzbeschwerde überein, wonach sie vom Verstoß am 24.07.2023 um XXXX erfahren habe (vlg OZ 1, S 5). Die Feststellung, dass keine Abstellgenehmigung erteilt wurde, ergibt sich aus dem übereinstimmenden und glaubhaften Vorbringen der Verfahrensparteien. Die BF räumte diesbezüglich auch ein, dass nicht auszuschließen sei, dass bei der betreffenden Zustellung vom vorgegebenen Prozess abgewichen und seitens des Frächters nicht prozesskonform zugestellt worden sei (vgl OZ 1, S 31).
2.4. Die Feststellungen zum Auffinden des Pakets ergeben sich aus dem glaubhaften Vorbringen der MP in ihrer Datenschutzbeschwerde, wonach sie beim Nachhause kommen das aufgerissene Paket ohne Inhalt vor der Wohnungstüre gefunden habe (OZ 1, S 5).
2.5. Die Feststellungen zur Bezeichnung des Beschwerdegegners durch die MP ergeben sich aus dem Verwaltungsakt (OZ 1, S 5, 79).
3. Rechtliche Beurteilung:
Zu A)
Die zulässige Beschwerde ist berechtigt.
3.1. Zur Anwendbarkeit der DSGVO:
Die BF führte in ihrer Bescheidbeschwerde aus, dass hinsichtlich des Paketinhalts keine ganz oder teilweise automatisierte Verarbeitung vorliege und der Paketinhalt (die ausgedruckten Hochzeitseinladungen) auch nicht in einem Dateisystem gespeichert waren, weshalb die DSGVO nicht anwendbar sei (OZ 1, S 19). Dem kann nicht gefolgt werden.
Die DSGVO gilt gemäß Art 2 Abs 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Unter personenbezogenen Daten versteht Art 4 Z 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Es ist evident, dass es sich beim Name der MP, der Telefonnummer der MP, sowie der Information über den Ort der Hochzeit, um personenbezogene Daten des BF handelt und vor diesem Hintergrund die Informationen auf den Hochzeitseinladungen, die sich im Paket befanden, als personenbezogene Daten der MP zu qualifizieren sind.
Gemäß Art. 4 Z 2 DSGVO bezeichnet der Begriff „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Hödl in Knyrim, DatKomm Art 4 DSGVO (Stand 1.12.2018, rdb.at) Rz 34). Generell ist der Begriff der Verarbeitung äußerst weit gefasst und umfasst nicht nur einzelne Vorgänge, sondern auch sogenannte „Vorgangsreihen“, somit mehrere aneinandergereihte Verarbeitungsvorgänge (Hödl in Knyrim, DatKomm Art 4 DSGVO (Stand 1.12.2018, rdb.at) Rz 27). Die DSGVO unterscheidet weder hinsichtlich der Intensität oder Dauer einer jeweiligen Verarbeitung, noch wird im Zusammenhang mit der für die Verarbeitung eingesetzten Technik eine Differenzierung vorgenommen (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 4 Z 2 DSGVO (Stand 1.12.2020, rdb.at) Rz 5, 18). Im konkreten Fall umfasst die Datenverarbeitung den gesamten Vorgang, dh vom Zeitpunkt der online Bestellung von Hochzeitseinladungen durch XXXX , Eingabe der persönlichen Daten der MP, der Produktion der Hochzeitseinladungen, bis zum Versand.
Der erkennende Senat gelangt daher zur Ansicht, dass im konkreten Fall eine Verarbeitung von personenbezogenen Daten stattgefunden hat und die DSGVO auf den vorliegenden Fall anwendbar ist.
3.2. Zur datenschutzrechtlichen Rollenverteilung:
Die belangte Behörde führte im Bescheid aus, dass der Frächter/Fahrer der BF zuzurechnen sei, weshalb diese Verantwortliche sei (siehe OZ 1, S 62). Die BF führte in ihrer Bescheidbeschwerde hingegen aus, dass sie als fremder Frachtdienstleister zwar grundsätzlich selbst Verantwortlicher sein könne, allerdings nur für die Zustelldaten eines Paketempfängers und nicht für den ihr unbekannten Paketinhalt (OZ 1, S 18 f).
Gemäß Art 4 Z 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Der Begriff „Verantwortlicher“ ist in Art 4 Z 7 DSGVO weit definiert. Der EuGH hat bereits entschieden, dass jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung solcher Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für diese Verarbeitung Verantwortlicher angesehen werden kann. Dabei ist nicht erforderlich, dass über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des Verantwortlichen entschieden wird. Aus Art 4 Z 7 DSGVO in Verbindung mit dem 74. Erwägungsgrund der DSGVO ergibt sich, dass eine Einrichtung, wenn sie die in Art 4 Z 7 der DSGVO aufgestellte Voraussetzung erfüllt, nicht nur für jedwede Verarbeitung personenbezogener Daten verantwortlich ist, die durch sie selbst erfolgt, sondern auch für jedwede Verarbeitung, die in ihrem Namen erfolgt. Ein tatsächlicher Zugang zu den Daten ist demnach für die Verantwortlicheneigenschaft nicht zwingend erforderlich (vgl EuGH 05.12.2023, C-683/21, Nacionalinis visuomenės sveikatos centras, Rz 28, 30, 36, 40 ff).
Zu den Zustelldaten:
Im vorliegenden Fall ist – wie festgestellt – nicht die MP Empfängerin des Pakets, sondern XXXX . Da die Daten der MP somit ausschließlich im Inneren des Pakets auf den Hochzeitseinladungen enthalten waren, war die Verantwortlicheneigenschaft auch nur in Bezug auf den Paketinhalt zu beurteilen. Ob die BF allenfalls – wie in ihrer Bescheidbeschwerde vorgebracht – Verantwortlicher für die Verarbeitung der Zustelldaten der Paketempfängerin war, war daher im Hinblick auf den Verfahrensgegenstand nicht weiter zu klären.
Zum Paketinhalt:
Im vorliegenden Fall hatte die BF weder auf den Zweck, noch auf die Mittel der Verarbeitung Einfluss. Erstellung und Druck der Hochzeitseinladungen erfolge gänzlich außerhalb der Sphäre der BF, weshalb diesbezüglich eine Verantwortlicheneigenschaft jedenfalls ausscheidet. Es wird hierbei nicht verkannt, dass die BF in den Versand der Einladungen involviert war bzw diesen durchführte, allerdings hatte sie hierbei auf den Inhalt des verschlossenen Pakets ebenfalls keinen Einfluss. Ein allfälliges Eigeninteresse der BF bzw eine Verarbeitung in ihrem Namen bezieht sich ausschließlich auf die Versanddaten des Pakets aber nicht auf dessen Inhalt, weshalb dadurch ebenfalls keine Verantwortlichkeit begründet wird. Hinzu kommt, dass die BF die Daten im inneren des Pakets nicht verarbeitet hat und keine Kenntnis von deren Inhalt hatte.
Der allgemein gehaltenen Argumentation der belangten Behörde zu Zweck und Mittel ist zwar grundsätzlich zuzustimmen, jedoch fehlt der entscheidende Schritt, inwiefern die BF die Entscheidung getroffen haben soll, dass Daten (auf den Hochzeitseinladungen) zu verarbeiten sind. Die belangte Behörde hat auch nicht näher ausgeführt, inwiefern die BF (bzw ihr Frächter/Fahrer) die Daten im inneren des Pakets für „eigenen Zwecke“ verarbeitet haben soll. Sie übersieht somit, dass die von ihr getroffenen Ausführungen allenfalls auf die Zustelldaten zutreffen, nicht jedoch auf den Paketinhalt.
Diese Ausführungen treffen auch auf den von der BF beauftragten Frächter/Fahrer zu, der ebenso keinerlei Einfluss auf die Daten im inneren des Pakets hatte.
Zwischenergebnis: Die BF ist für die hier vorliegende Verarbeitung der Daten der MP nicht Verantwortlicher.
Eine Datenschutzbeschwerde, die sich (unzweifelhaft) gegen eine bestimmte Person (oder Stelle) richtet, die nicht Verantwortlicher für die betreffende Datenverarbeitung ist, ist abzuweisen. Ein Austausch der Person des Verantwortlichen im verwaltungsgerichtlichen Verfahren (und somit eine Führung des Beschwerdeverfahrens gegen eine andere Person als diejenige, gegen die das verwaltungsbehördliche Verfahren geführt worden ist) kommt im Hinblick auf die „Sache“ des Beschwerdeverfahrens jedenfalls bei einer geltend gemachten Verletzung im Recht auf Geheimhaltung (somit der behaupteten Rechtswidrigkeit eines in der Vergangenheit liegenden abgeschlossenen Vorgangs) nicht in Betracht (vgl VwGH 03.09.2024, Ra 2023/04/0094, Rz 20 f).
Im vorliegenden Fall hat die MP unzweifelhaft und eindeutig die BF als Beschwerdegegnerin bezeichnet. Im Hinblick auf die Stellungnahme der BF vom 03.08.2023 (OZ 1, S 31 ff), wonach sie keine Kenntnis des Inhalts des Pakets habe und auch keine Verarbeitung von allenfalls im Paket enthaltenen (personenbezogenen) Daten durchgeführt habe, stellte die MP erneut klar, dass sie ihre Datenschutzbeschwerde (nur) gegen die BF gerichtet wissen wollte und „beharrte“ damit auf einer Verfahrensweiterführung gegen die BF (vgl OZ 1, S 79, wonach „es sich bei der Darstellung von XXXX nur um Ausflüchte und Verallgemeinerungen“ handle; „Ob der Fehler bei XXXX oder bei einem seiner beauftragten Subunternehmen passiert ist macht für mich keinen Unterschied da für mich auch nicht erkennbar, auch der Zustellbeleg enthält keinen Hinweis auf ein anderes Unternehmen“; „Was den Warenwert des Paketes betrifft wurden wir vom Versender entschädigt, hier geht es um das Recht auf Geheimhaltung das verletzt wurde; Dies hat XXXX erst durch die nicht konforme Zustellung erst ermöglicht“; Aus diesen Gründen finde ich es angemessen das Verfahren gegen XXXX weiterzuführen.“).
Vor diesem Hintergrund kann es damit dahingestellt bleiben, ob die Benennung des „richtigen“ Verantwortlichen für die MP zumutbar war oder nicht, denn in jenen Fällen, in denen eine betroffene Person auf einem (wenn auch „falschen“) Beschwerdegegner beharrt, wäre eine Auslegung der Parteienerklärung bzw die Ermittlung des „richtigen“ Verantwortlichen nicht geboten.
Die Datenschutzbeschwerde war daher in der Sache (wenn auch negativ) zu erledigen (siehe idS auch VwGH 18.03.2022, Ro 2020/04/0027, Rz 42).
Der Bescheidbeschwerde der BF war daher stattzugeben und der Spruch des angefochtenen Bescheides spruchgemäß abzuändern.
3.3. Von der beantragten mündlichen Verhandlung konnte abgesehen werden, da der für die rechtliche Beurteilung entscheidungswesentliche Sachverhalt bereits von der Verwaltungsbehörde vollständig und in einem ordnungsgemäßen Ermittlungsverfahren erhoben wurde und im Zeitpunkt der Entscheidung des erkennenden Gerichts immer noch die gesetzlich gebotene Aktualität und Vollständigkeit aufweist. Die von der BF aufgeworfenen Argumente in ihrer Bescheidbeschwerde betreffen insbesondere die Fragen, ob sie Daten verarbeitet hat und ob sie Verantwortlicher für die Verarbeitung ist. Da diese Fragen reine Rechtsfragen sind und keine besondere Komplexität aufweisen, war eine Verhandlung ebenfalls nicht erforderlich. Insbesondere war nicht erkennbar, inwiefern eine mündliche Erörterung zu einer weiteren Klärung der Rechtssache geführt hätte (vgl dazu VwGH 19.10.2022, Ro 2022/04/0001, RS 5). Dem Entfall der Verhandlung stand auch Art 6 Abs 1 EMRK bzw Art 47 GRC nicht entgegen. Von der mündlichen Verhandlung konnte daher gemäß § 24 Abs 4 VwGVG abgesehen werden.
Zu B) (Un)Zulässigkeit der Revision:
Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.
Die Revision ist nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Das erkennende Gericht konnte sich auf die jeweils zitierte Rechtsprechung des VwGH bzw EuGH bezüglich der Anwendbarkeit der DSGVO, der Datenschutzrechtlichen Rollenverteilung sowie der Benennung des Beschwerdegegners stützen.
Rückverweise
