Spruch
W176 2259543-1/15E
W176 2259545-1/11E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. NEWALD als Vorsitzenden und die fachkundigen Laienrichter Mag. BOGENDORFER und RAUB als Beisitzer über die Beschwerden von (1.) XXXX , vertreten durch noyb – Europäisches Zentrum für digitale Rechte, gegen Spruchpunkt 2) und (2.) der XXXX , vertreten durch RA Mag. Gernot SCHAAR, gegen Spruchpunkt 1. des Bescheides der Datenschutzbehörde vom 22.07.2022, Zl. D124.3817, 2021-0.584.299,
A1) beschlossen:
Die Verfahren werden gemäß §§ 17 VwGVG iVm § 39 Abs. 2 AVG zur gemeinsamen Entscheidung verbunden.
A2) zu Recht erkannt:
I. Die Beschwerde des Erstbeschwerdeführers wird als unbegründet abgewiesen.
II. Die Beschwerde der Zweitbeschwerdeführerin wird als unbegründet abgewiesen.
B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
I.1. Mit Schriftsatz vom 15.03.2021 brachte XXXX (im Folgenden: Erstbeschwerdeführer) eine Datenschutzbeschwerde gegen die XXXX (im Folgenden: Zweitbeschwerdeführerin) ein. Demnach habe der Erstbeschwerdeführer ein Auskunftsbegehren gemäß Art. 15 DSGVO an die XXXX und andere in Österreich tätige Kreditauskunfteien gestellt. Die XXXX verarbeite mehrere personenbezogene Daten des Erstbeschwerdeführers. Als Quelle der Daten sei ausschließlich die Zweitbeschwerdeführerin genannt worden. Der Erstbeschwerdeführer habe keinem dieser Unternehmen jemals selbst Daten zur Verfügung gestellt und sei nach Erhebung seiner Daten auch nicht über allfällige Zweckänderungen informiert worden. Es sei insbesondere zu beachten, dass die Zweitbeschwerdeführerin über keine Gewerbeberechtigung gemäß § 152 GewO verfüge. Obwohl die Zweitbeschwerdeführerin (soweit ersichtlich) lediglich über den Namen, das Geburtsdatum und (teils historische) Adressen des Erstbeschwerdeführers verfüge und diese Daten an die XXXX übermittelt habe, seien durch die XXXX – in einer dem Erstbeschwerdeführer nicht nachvollziehbaren Art und Weise – nummerisch verschiedene Bonitätsscores berechnet worden und an bestimmte (in einer Beilage) ersichtlichen Empfänger übermittelt worden. Die Übermittlung der personenbezogenen Daten des Erstbeschwerdeführers durch die Zweitbeschwerdeführerin, welche diese zum Zweck der „Ausübung des Gewerbes des Adressverlags gemäß § 151 GewO“ erhoben habe, an die XXXX , welche die Daten zum Zweck der Beurteilung der Bonität des Erstbeschwerdeführers verwende, verstoße gegen den Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b iVm Art. 6 Abs. 4 DSGVO. Dieser Zweck der Datenverarbeitung durch die Zweitbeschwerdeführerin sei mit dem ursprünglichen Zweck der Zweitbeschwerdeführerin als Datenlieferanten nicht vereinbar. Auch liege kein Rechtfertigungstatbestand vor, und zwar weder für die Datenverarbeitung durch die Zweitbeschwerdeführerin noch für jene durch die XXXX . Überdies stellte der Erstbeschwerdeführer den Antrag, gegen die Zweitbeschwerdeführerin ein Datenverarbeitungsverbot gemäß Art. 58 Abs. 2 DSGVO dahingehend zu verhängen, dass der Zweitbeschwerdeführerin verboten werde, personenbezogene Daten bei Adressverlagen iSd § 151 GewO zu erheben und diese zu Bonitätsbeurteilungszwecken iSd § 152 GewO zu verarbeiten.
I.2. Die Zweitbeschwerdeführerin nahm mit Schriftsatz vom 10.07.2021 dahingehend Stellung, dass sich die Rechtfertigungsgründe für die Datenverarbeitung aus der aufrechten Gewerbeberechtigung nach § 151 GewO für Adressverlage und Direktmarketingunternehmen ergäben. Damit sei sie zur Verarbeitung, Erhebung, Erfassung, Organisation, Speicherung, Abfragung, Verwendung der personenbezogenen Daten sowie deren Offenlegung an Dritte durch Übermittlung und Weitergabe berechtigt. Aufgrund der aufrechten Gewerbeberechtigung könne die Zweitbeschwerdeführerin personenbezogene Daten an die XXXX übermitteln. Es seien lediglich der Name, das Geburtsdatum sowie die Anschrift des Erstbeschwerdeführers übermittelt worden. Es liege keine Verletzung des Grundsatzes der Zweckbindung bzw. der Rechtmäßigkeit der Datenverarbeitung vor. Es sei nicht verfahrensgegenständlich, ob die XXXX die Daten des Erstbeschwerdeführers zur Beurteilung der Bonität verwende. Die Datenübermittlung an die XXXX sei aufgrund von deren Gewerbeberechtigung als Adressverlag und Direktmarketingunternehmen erfolgt, dazu sei die Zweitbeschwerdeführerin aufgrund ihrer eigenen Gewerbeberechtigung „Adressverlag und Direktmarketingunternehmen“ berechtigt gewesen. Es sei unerheblich, dass die XXXX auch über andere Gewerbeberechtigungen verfüge; die Datenübermittlung sei immer nur im Umfang der Tätigkeit der XXXX als Adressverlag und Direktmarketingunternehmen erfolgt.
I.3. Mit Schriftsatz vom 10.08.2021 führte der Erstbeschwerdeführer aus, dass ein Verantwortlicher dazu verpflichtet sei sicherzustellen, dass Daten nach den Verarbeitungszwecken gesondert verarbeitet und nicht zweckwidrig weiterverarbeitet werden würden. Einem Adressverlag wie der Zweitbeschwerdeführerin sei es nicht gestattet, Daten zu Bonitätsbeurteilungszwecken weiterzugeben bzw. dürfe eine Kreditauskunftei wie die XXXX bei einem Adressverlag keine Daten zu Bonitätsbeurteilungszwecken erheben bzw. von einem Adressverlag erhaltene Daten nicht zu Bonitätsbeurteilungszwecken (weiter)verarbeiten. Aus der zwischen der Zweitbeschwerdeführerin und der XXXX abgeschlossenen Adressliefervereinbarung lasse sich entnehmen, dass die Zweitbeschwerdeführerin personenbezogene Daten (wie jene des Erstbeschwerdeführers) gerade nicht zu Marketingzwecken (Dritter) an die XXXX übermittelt habe. Die Zweitbeschwerdeführerin und die XXXX würden in der Vereinbarung sogar ausschließen, dass XXXX die Daten zu diesen Zwecken verarbeite.
I.4. Mit dem im Spruch genannten Bescheid vom 22.07.2022 gab die belangte Behörde der Beschwerde des Erstbeschwerdeführers statt und stellte in Spruchpunkt 1. fest, dass die Zweitbeschwerdeführerin gegen den Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO verstoßen habe und deshalb die Daten des Erstbeschwerdeführers unrechtmäßig entgegen Art. 6 Abs. 1 iVm Abs. 4 DSGVO verarbeitet habe, indem sie zumindest dessen Name, Adresse und Geburtsdatum, was sie ursprünglich für Zwecke des Adressverlags und Direktmarketings erhoben habe, an die XXXX übermittelt habe, die diese Daten in Folge zu Bonitätsbeurteilungszwecken nach § 152 GewO 1994 verarbeitet habe. In Spruchpunkt 2. des Bescheides wies die Behörde den Antrag des Erstbeschwerdeführers auf Verhängung eines Datenverarbeitungsverbots gegen die Zweitbeschwerdeführerin zurück.
Zu Spruchpunkt 1. des Bescheides führte die belangte Behörde im Wesentlichen aus, der Grundsatz der Zweckbindung sei gemäß Art. 5 Abs. 1 lit. b DSGVO von der Zweitbeschwerdeführerin verletzt worden, da die Voraussetzungen von Art. 6 Abs. 4 DSGVO nicht erfüllt seien. Die Verletzung liege darin, dass die Zweitbeschwerdeführerin Daten, die sie zu Marketingzwecken erhoben habe, an die XXXX übermittelt habe und dabei ausdrücklich vereinbart worden sei, dass die XXXX diese Daten (auch) zu Bonitätszwecken verarbeiten werde. Eine strikte Zweckbindung, wonach auch die XXXX die übermittelten Daten nur für Zwecke des Adressverlags und Direktmarketings verarbeiten dürfe, sei der Vereinbarung zwischen der Zweitbeschwerdeführerin und der XXXX nicht zu entnehmen. Diese Unterlassung müsse sich die Zweitbeschwerdeführerin gemäß Art. 5 Abs. 2 DSGVO zurechnen lassen. Gegenständlich sei gegen Art. 5 Abs. 1 lit. b DSGVO verstoßen worden; dies habe unmittelbare Auswirkungen auf Art. 6 Abs. 1 lit. f DSGVO.
Zu Spruchpunkt 2. des Bescheides hielt die Behörde unter Hinweis auf den Wortlaut von Art. 58 Abs. 2 lit. f DSGVO fest, dass einer betroffenen Person kein subjektives Recht zukomme, dass die Aufsichtsbehörde ein Verarbeitungsverbot verhänge.
I.5. Gegen Spruchpunkt 2. des Bescheides erhob der Erstbeschwerdeführer fristgerecht Bescheidbeschwerde und brachte darin im Wesentlichen vor, die bloße Feststellung der Rechtswidrigkeit der historischen Datenübermittlung durch die Zweitbeschwerdeführerin an die XXXX biete ihm keinen Rechtsschutz gegen mögliche zukünftige Datenübermittlungen. Selbst wenn die Zweitbeschwerdeführerin und die XXXX sämtliche ihn betreffenden personenbezogenen Daten aus ihren Datenbanken löschen sollten, sei zu befürchten, dass die Zweitbeschwerdeführerin künftig abermals Daten von ihm erhebe, ohne ihn zu informieren und diese an die XXXX übermittle, die damit Bonitätsbeurteilungen vornehme – abermals ohne ihn zu informieren. Im aufsichtsbehördlichen Verfahren sei gemäß Art. 77 DSGVO grundsätzlich ein subjektiver Anspruch auf Verhängung eines Verarbeitungsverbots gemäß Art. 58 Abs. 2 lit. f DSGVO zu bejahen. Dem Erstbeschwerdeführer komme ein subjektiver Anspruch auf Verhängung eines Verarbeitungsverbots zu, da das Ermessen der belangten Behörde gegenständlich auf null reduziert sei. Ein Verarbeitungsverbot sei das einzige Mittel der effektiven Unterbindung rechtswidriger Datenverarbeitungen durch die Zweitbeschwerdeführerin. Es bestehe gegenwärtig die imminente Gefahr einer Wiederholung der begangenen Datenschutzverletzungen.
I.6. Gegen Spruchpunkt 1. des Bescheides brachte wiederum die Zweitbeschwerdeführerin fristgerecht Bescheidbeschwerde ein, wobei sie im Wesentlichen Folgendes ausführte: Die Daten des Erstbeschwerdeführers, welche sie an die XXXX übermittelt habe, seien mutmaßlich auch für einen anderen Zweck verwendet worden. Eine Verwendung zu einem anderen Zweck sei jedoch vertraglich nicht gestattet gewesen. Ursprünglich hätten die übermittelten Daten bei konkreten Bonitäts- und Identitätsfragen im Rahmen einer Einzelabfrage verwendet werden dürfen. Dies sei jedoch mit den Nachträgen dahingehend abgeändert bzw. klargestellt worden, dass eine Nutzung außerhalb der Marketingzwecke der XXXX nicht gestattet sei. Sohin sei der ursprüngliche Vertrag mit 25.05.2018 abgeändert worden. Die belangte Behörde habe nur die ursprüngliche Vereinbarung herangezogen und ignoriert, dass durch den Nachtrag jedenfalls klargestellt sei, dass die Nutzung der von der Zweitbeschwerdeführerin an die XXXX übermittelten Daten auf die Nutzung zu Marketingwecken und Zwecken der besseren Erreichbarkeit und Zustellbarkeit beschränkt sei. Eine allfällige Weiterverarbeitung der Daten durch die XXXX wäre wohl als „Nebentätigkeit“ des § 32 GewO gerechtfertigt. Diese Daten seien niemals geeignet, um eine Bonität zu ermitteln. Darüber hinaus sei eine Verbindung zwischen dem ursprünglichen Zweck mit dem neuen Zweck vorgelegen sowie keine besonderen Kategorien von Daten betroffen, womit eine Änderung des Zwecks auch ohne Einwilligung des Erstbeschwerdeführers und ohne gesonderte gesetzliche Regelungen durch die Zweitbeschwerdeführerin nach Art. 6 Abs. 4 DSGVO zulässig gewesen sei.
Auch habe die Zweitbeschwerdeführerin die Stellungnahme des Erstbeschwerdeführers vom 10.08.2021 nie erhalten, weshalb sie in ihren Parteienrechten verletzt sei.
Die Zweckbindung des Art. 5 Abs. 2 DSGVO sei kein subjektives Recht, weshalb darüber im gegenständlichen Fall nicht abzusprechen gewesen sei.
I.7. Mit Schreiben vom 29.08.2022 legte die belangte Behörde dem Bundesverwaltungsgericht die Bescheidbeschwerden samt den bezughabenden Verwaltungsakten vor, wobei sie zu beiden Beschwerden Stellung nahm.
I.8. Mit Schriftsatz vom 09.03.2023 legte die Zweitbeschwerdeführerin zwei anonymisierte Stellungnahmen des Bundesministeriums für Arbeit und Wirtschaft vom 29.11.2022 sowie vom 17.01.2023 vor. Daraus ergebe sich, dass Adressverlage neben ihrer Haupttätigkeit auch zu Nebentätigkeiten berechtigt seien, insbesondere zur Übermittlung von Adressdaten an Kreditauskunfteien zu Zwecken der Bonitätsbewertung. Die Datenübermittlung der Zweitbeschwerdeführerin an die XXXX , welche selbst ein Adressverlag sei, sei jedenfalls zulässig.
I.9. Mit Verfügung des Geschäftsverteilungsausschusses vom 29.11.2023 wurde die Rechtssache der davor zuständig gewesenen Gerichtsabteilung abgenommen und der Gerichtsabteilung W176 zugewiesen.
I.10. Mit Schreiben vom 04.06.2024 gab das Bundesverwaltungsgericht den beschwerdeführenden Parteien Gelegenheit, sich zu den Bescheidbeschwerden der jeweils anderen beschwerdeführenden Partei sowie den diesbezüglichen Stellungnahmen der belangten Behörde zu äußern.
I.11. Während von der Zweitbeschwerdeführerin keine Stellungnahme einlangte, äußerte sich der Erstbeschwerdeführer mit Schriftsätzen vom 14. und vom 17.06.2025 im Wesentlichen wie folgt: Was seine Beschwerdebeschwerde betreffend das Verarbeitungsverbot angeht, verwies er zusammengefasst auf die Ausführungen des Generalanwalts in der Rechtssache des EuGH Zl. C-768/21 vom 11.04.2024, wonach betroffenen Personen ein subjektives Recht auf eine bestimmte Abhilfemaßnahme dann zustehe, wenn sich der Handlungsspielraum der Aufsichtsbehörde auf null reduziere. Zur Bescheidbeschwerde der Zweitbeschwerdeführerin hielt er fest, dass diese mittlerweile selbst eingestehe, dass die XXXX seine Daten zur Bonitätsbewertung und somit gerade nicht zu Werbezwecken verwendet hat und dass sie die Daten gerade auch für die Bonitätsbewertung an die XXXX übermittelt hat, sodass es jedenfalls zu einer Zweckänderung gekommen sei. Die Verarbeitung zu Bonitätsbewertungszwecken sei ohne jeden Zweifel inkompatibel iSd Art. 6 Abs. 4 DSGVO mit den Direktmarketingzwecken Dritter, zu denen die Zweitbeschwerdeführerin seine Daten ursprünglich erhoben habe. Auch könnten Verletzungen der Art. 5 und 6 DSGVO nach höchstgerichtlicher Rechtsprechung selbstverständlich in einem Beschwerdeverfahren als subjektive Rechte geltend gemacht werden. Schließlich wurde angeregt, die gegenständlichen Verfahren sowie die beim Bundesverwaltungsgericht zu den Zlen. W605 2270910-1 und W605 2271598-1 anhängigen Verfahren über die vom Erstbeschwerdeführer und der XXXX erhobenen Bescheidbeschwerden gegen den Bescheid der belangten Behörde vom 24.03.2023, Zl. D124.3816 2023-0.193.268 (betreffend die Verarbeitung der Daten des Erstbeschwerdeführers durch die XXXX ), zur Entscheidung durch denselben Senat zu verbinden.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter I. dargestellte Verfahrensgang wird den Feststellungen zugrunde gelegt, insbesondere wird überdies festgestellt:
1.1. Die Zweitbeschwerdeführerin ist seit 02.02.2018 zur Ausübung des Gewerbes des Adressverlages und Direktmarketingunternehmen gemäß § 151 GewO berechtigt.
Die XXXX betreibt seit 16.01.2013 (ebenfalls) das Gewerbe „Adressverlag und Direktmarketingunternehmen“ gemäß § 151 GewO. Ferner verfügt sie seitdem auch über eine Gewerbeberechtigung als Kreditauskunftei gemäß § 152 GewO und ist berechtigt, Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik iSd § 153 GewO auszuüben.
1.2. Die XXXX ist als Auskunftei über kredit- und bonitätsrelevante Verhältnisse betroffener Personen einschließlich Betrugsvermeidung tätig und betreibt damit zusammenhängend eine Identitäts- und Bonitätsdatenbank, sog. „ XXXX -Datenbank“.
1.3. Die XXXX und die Zweitbeschwerdeführerin (damals: XXXX ) schlossen im Dezember 2012 eine Vereinbarung über die Lieferung und die Nutzung von Adressdaten ab. Die Vereinbarung wurde mit 01.01.2013 wirksam und hat auszugsweise Folgendes zum Inhalt (Hervorhebungen durch das Bundesverwaltungsgericht): „Präambel 1. Die [Zweitbeschwerdeführerin] ist aufgrund der Gewerbeberechtigung für Adressenverlage und Direktmarketingunternehmen … zur Ermittlung, Verarbeitung, Verwendung, Überlassung und Übermittlung von personenbezogenen Daten im Rahmen des Gesetzes berechtigt. .. 3. [Die XXXX ] ist gleichfalls aufgrund einer eigenen Gewerbeberechtigung für Adressenverlage und Direktmarketingunternehmen sowie einer Datenanmeldung in Österreich zur Ermittlung, Verarbeitung, Verwendung, Überlassung und Übermittlung von personenbezogenen Daten im Rahmen des Gesetzes berechtigt. …. 1 Gegenstand der Vereinbarung
1. [Die Zweitbeschwerdeführerin] liefert [der XXXX ] für die Dauer der Vereinbarung nachstehende Datenarten:
Name und Vorname
Adresse
Telefonnummer…
….
2. [Die XXXX ] hat hinsichtlich dieser von [der Zweitbeschwerdeführerin] übermittelten Adressdaten ein beschränktes Nutzungsrecht für eigene Zwecke zum Datenabgleich, Adressidentifikation, Adresssuche, Adresskorrektur und Adressergänzung auf ihren eigenen Systemen und ihren eigenen Internetapplikationen, sei es in-house oder out-house. Die Verwendung dieser Daten zu anderen Tätigkeiten, sowie die entgeltliche oder unentgeltliche Übermittlung oder Überlassung dieser Adressdaten an Dritte ist unzulässig. [Die XXXX ] ist berechtigt, Adressen als Ergebnis von Einzelabfragen im Rahmen einer konkreten Bonitäts- oder Identitätsabfrage zu übermitteln. Falls es zu solch einer Übermittlung kommt, stellt [die Zweitbeschwerdeführerin] sicher, dass der Übermittlungsempfänger diese Adressen weder an Dritte weitergeben noch selbst zu Marketingzwecken verwenden darf.
...“
1.4. Infolge des Inkrafttretens der DSGVO am 25.05.2018 schlossen die XXXX und die Zweitbeschwerdeführerin zu diesem Vertrag den Nachtrag mit nachfolgendem Inhalt (Hervorhebungen durch das Bundesverwaltungsgericht):
„ 1 Einleitung
Die Vertragsparteien arbeiten derzeit auf Basis der „Vereinbarung über die Lieferung und Nutzung von Adressdaten“ vom Dezember 2012 zusammen. Diese Vereinbarung wird in Folge als „Hauptvertrag“ bezeichnet, [..].
Im Lichte der Gültigkeit der DSGVO seit 25.05.2018 vereinbaren die Vertragsparteien wie folgt:
Es herrscht das gemeinsame Verständnis, dass zwischen XXXX und [der Zweitbeschwerdeführerin] kein Auftragsverarbeitungsverhältnis vorliegt, sondern beide Vertragsparteien als eigenständige datenschutzrechtliche Verantwortliche zu qualifizieren sind.
2 Vertragsgegenstand 2.1. Gegenstand der Verarbeitung im Rahmen des Hauptvertrages Zurverfügungstellung einer eingeschränkten Nutzung von bestimmten Datenmerkmalen bestimmter Personen für eine bestimmte Dauer von ihrer Datenbank „A-Plus Consumer“ durch [die Zweitbeschwerdeführerin] zu folgenden Zwecken:
1. Marketingzwecken von XXXX für eigene Marketingmaßnahmen und Marketingmaßnahmen, die [die Zweitbeschwerdeführerin] für Dritte durchführt oder vorbereitet.
2. Referenzierungs- und Validierungszweck, das sind solche der Feststellung der besseren Erreichbarkeit und Zustellbarkeit, zum Zwecke der Korrektur und/oder Ergänzung der Datenbestände von XXXX oder deren Kunden samt Verwertung zur Verbesserung von analysierten Datensätzen von [der Zweitbeschwerdeführerin].
3. Sonstige Zwecke, zu welchen [die Zweitbeschwerdeführerin] und/oder XXXX aufgrund gesetzlicher Bestimmungen berechtigt ist, die Daten zu verarbeiten.
[Die Zweitbeschwerdeführerin] führt keine eigenen Tätigkeiten für XXXX durch und ist nur zur Wartung und Datenpflege ihrer Datenbank Aplus samt Einspielung und Übermittlung von Updates verpflichtet.“
1.5. Mit E-Mail vom 11.01.2021 richtete der Erstbeschwerdeführer ein Auskunftsbegehren gemäß Artikel 15 DSGVO an die XXXX .
1.6. Mit E-Mail vom 12.02.2021 beantwortete die XXXX dieses Auskunftsbegehren und fügte ihrer Antwort ein Schreiben datiert mit 11.02.2021 bei. Demnach hat die XXXX folgende Daten des Erstbeschwerdeführers gespeichert:
Aus der Auskunft der XXXX geht hervor, dass diese den Namen des Erstbeschwerdeführers (vor Änderung in Zusammenhang mit dessen Eheschließung), sein Geburtsdatum sowie seine (teils historische) Adresse(n) gespeichert hat. Als Quelle dieser Daten gab die XXXX die Zweitbeschwerdeführerin an.
Die Zweitbeschwerdeführerin ermittelte und speicherte somit den Namen, das Geburtsdatum und die Anschrift(en) des Erstbeschwerdeführers und übermittelte diese Daten der XXXX .
Bezüglich der allgemeinen Informationen und Verarbeitungszwecke führte die XXXX Folgendes aus:
Die so erhaltenen Daten des Erstbeschwerdeführers wurden durch die XXXX in ihrer Identitäts- und Bonitätsdatenbank („ XXXX -Datenbank“) erfasst, zur Weitergabe gespeichert und auch an Dritte zusammen mit einem seitens der XXXX errechneten Bewertungsscores („Bonitäts-Score“) an Dritte (Kunden) übermittelt.
1.7. Der Erstbeschwerdeführer wurde nicht individuell darüber informiert, dass die Zweitbeschwerdeführerin personenbezogene Daten von ihm verarbeitet und auch nicht, dass diese an die XXXX übermittelt wurden.
1.8. Der Erstbeschwerdeführer steht und stand weder mit der Zweitbeschwerdeführerin noch mit der XXXX in einer Vertragsbeziehung. Der Erstbeschwerdeführer hat weder der Zweitbeschwerdeführerin noch der XXXX seine Daten selbst zur Verfügung gestellt.
2. Beweiswürdigung:
2.1. Die Feststellungen zu Punkt 1.1. zu den Gewerbeberechtigungen der Zweitbeschwerdeführerin und der XXXX ergeben sich aus aktuellen amtswegig eingeholten Auszügen aus dem Gewerbeinformationssystem Austria (Stand 09.02.2025 und 13.02.2025).
2.2. Die Feststellung zu 1.2. betreffend die Tätigkeit der XXXX , inklusive der Betreibung einer Identitäts- und Bonitätsdatenbank ergeben sich aus den von dieser in den Parallelverfahren Zlen. W605 2270910-1 und W605 2271598-1 selbst vorgelegten Dokumenten, hinsichtlich deren Echtheit und Richtigkeit (insbesondere auch betreffend das Verarbeitungsverzeichnis der XXXX ) sich im Verfahren zu keinem Zeitpunkt im Zweifel ergeben haben.
2.3. Die Feststellung zu Punkt 1.3. und 1.4. betreffend die zwischen der Zweitbeschwerdeführerin und der XXXX geschlossenen Vereinbarungen ergeben sich aus den von der Zweitbeschwerdeführerin selbst vorgelegten Dokumenten, hinsichtlich deren Echtheit und Richtigkeit zu keinem Zeitpunkt im Verfahren sich Zweifel ergeben haben.
2.4. Die Feststellungen zu Punkt 1.6. hinsichtlich der Verarbeitung der genannten Daten des Erstbeschwerdeführers durch die Zweitbeschwerdeführerin und die XXXX gründet auf der unstrittigen Auskunft der Zweitbeschwerdeführerin vom 11.02.2021, vorgelegt durch den Erstbeschwerdeführer im Rahmen der Datenschutzbeschwerde vom 15.03.2021.
2.5. Dass zwischen den Verfahrensparteien und auch zwischen dem Erstbeschwerdeführer und den beiden Beschwerdegegnerinnen seiner gegenständlichen Datenschutzbeschwerde – der Zweitbeschwerdeführerin und der XXXX – keine Vertragsverhältnisse bestanden und/oder bestehen und er auch seine gegenständlichen personenbezogenen Daten nicht selbst zur Verfügung gestellt hatte, ergibt sich unstrittig aus dem diesbezüglich gleichbleibenden Vorbringen beider Verfahrensparteien stringent während des gesamten Verfahrens. Dies wird von der Zweitbeschwerdeführerin auch nicht in Abrede gestellt.
3. Rechtliche Beurteilung:
3.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Gemäß § 27 DSG liegt gegenständlich daher Senatszuständigkeit vor.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Zu Spruchpunkt A1)
§ 39 Abs. 1 AVG lautet wie folgt:
„§ 39. (1) Für die Durchführung des Ermittlungsverfahrens sind die Verwaltungsvorschriften maßgebend.
(2) Soweit die Verwaltungsvorschriften hierüber keine Anordnungen enthalten, hat die Behörde von Amts wegen vorzugehen und unter Beobachtung der in diesem Teil enthaltenen Vorschriften den Gang des Ermittlungsverfahrens zu bestimmen. Sie kann insbesondere von Amts wegen oder auf Antrag eine mündliche Verhandlung durchführen und mehrere Verwaltungssachen zur gemeinsamen Verhandlung und Entscheidung verbinden oder sie wieder trennen. Die Behörde hat sich bei allen diesen Verfahrensanordnungen von Rücksichten auf möglichste Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis leiten zu lassen.“
Das Verwaltungsgericht kann gemäß § 17 VwGVG iVm § 39 Abs. 2 AVG unter Bedachtnahme auf möglichste Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis mehrere in seine Zuständigkeit fallende Rechtssachen zur gemeinsamen Entscheidung verbinden, soweit dies im Rahmen der Geschäftsverteilung möglich ist (vgl. VwGH 03.02.2022, Ra 2019/17/0115; 17.11.2015, Ra 2015/03/0058; Kolonovits/Muzak/Stöger, Verwaltungsverfahrensrecht10 Rz 276/1 und 798).
Die Entscheidung des Verwaltungsgerichts mehrere Verwaltungssachen zur gemeinsamen Verhandlung und Entscheidung zu verbinden oder sie wieder zu trennen, stellt einen nicht gesondert anfechtbaren und nicht zu begründenden verfahrensleitenden Beschluss iSd § 31 Abs. 2 VwGVG dar (vgl. VwGH 17.07.2017, Ra 2017/11/0156 unter Bezugnahme auf die Ausführungen unter Pkt. 5 des E vom 30.06.2015, Ra 2015/03/0022).
Bei den Verfahrensparteien handelt es sich um Beschwerdeführer und Beschwerdegegner im behördlichen Verfahren vor der belangten Behörde und haben diese gegen den gleichen Bescheid Bescheidbeschwerde erhoben. Da sich auch beide Verfahrensparteien im Rahmen ihrer jeweiligen Eingaben vor dem Bundesverwaltungsgericht explizit ausgesprochen haben, mit einer Verfahrensverbindung einverstanden zu sein, war die Verbindung der gegenständlichen Verfahren, die wegen Annexität auch derselben Gerichtsabteilung des Bundesverwaltungsgerichts zugewiesen wurden, im Hinblick auf die Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis der Verfahren durch verfahrensleitenden Beschluss geboten.
Eine Verbindung der vorliegenden Verfahren auch mit jenen, welche zu den Zlen. W605 2270910-1 und W605 2271598-1 am Bundesverwaltungsgericht anhängig sind, zur Entscheidung durch denselben Senat, wie vom Erstbeschwerdeführer angeregt, ist vor dem Hintergrund des Grundsatzes der festen Geschäftsverteilung (Art. 135 Abs. 2, 87 Abs. 3 B-VG) rechtlich nicht möglich (vgl. VfGH 28.11.2024, E 1806/2024, 1841/2024).
3.3. Zu Spruchpunkt A2)
3.3.1. Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrund-Verordnung – DSGVO), lauten auszugsweise samt Überschrift wie folgt:
Art. 4 DSGVO lautet auszugsweise:
„Begriffsbestimmungen
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
…
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
...“
Art. 5 DSGVO lautet auszugsweise:
„Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
[…].“
Art. 6 DSGVO lautet auszugsweise:
„Rechtmäßigkeit der Verarbeitung
…
(3) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“
Art. 51 DSGVO lautet:
„Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.
…“
Art. 57 DSGVO lautet auszugsweise:
„Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
…
h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
…“
Art. 58 DSGVO lautet:
„Befugnisse
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
[…]
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
Art. 77 DSGVO lautet:
„Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) idF BGBl. I Nr. 24/2018, lauten auszugsweise samt Überschrift wie folgt:
§ 24 DSG lautet auszugsweise:
„Beschwerde an die Datenschutzbehörde
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.“
Die hier einschlägigen § 151 und § 152 der Gewerbeordnung 1994 (GewO 1994), BGBl. I Nr. 111/2002, lauten samt Überschrift:
„Adressverlage und Direktmarketingunternehmen
§ 151 (1) Auf die Verwendung von personenbezogenen Daten für Marketingzwecke Dritter durch die zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigten Gewerbetreibenden sind die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 199 vom 4.5.2016 S 1, (im Folgenden: DSGVO), sowie des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I. Nr. 165/1999, in der Fassung des Bundesgesetzes BGBl. I. Nr. 120/2017, anzuwenden, soweit im Folgenden nicht Besonderes angeordnet ist.
(2) Die Tätigkeit als Mittler zwischen Inhabern und Nutzern von Kunden- und Interessentendateisystemen (Listbroking) ist den in Abs. 1 genannten Gewerbetreibenden vorbehalten.
(3) Die in Abs. 1 genannten Gewerbetreibenden sind berechtigt, für ihre Tätigkeiten gemäß Abs. 1 und 2 personenbezogene Daten aus öffentlich zugänglichen Informationen, durch Befragung der betroffenen Personen, aus Kunden- und Interessentendateisystemen Dritter oder aus Marketingdateisystemen anderer Adressverlage und Direktmarketingunternehmen zu ermitteln, soweit dies unter Beachtung des Grundsatzes der Verhältnismäßigkeit für
1. die Vorbereitung und Durchführung von Marketingaktionen Dritter einschließlich der Gestaltung und des Versands für Werbemitteln oder
2. das Listbroking
erforderlich und gemäß Abs. 4 und 5 zulässig ist.
(4) Soweit besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO betroffen sind, dürfen diese von den in Abs. 1 genannten Gewerbetreibenden verarbeitet werden, sofern ein ausdrückliches Einverständnis der betroffenen Person zur Verarbeitung dieser Daten für Marketingzwecke Dritter vorliegt. Die Ermittlung und Weiterverarbeitung besonderer Kategorien personenbezogener Daten aus Kunden- und Interessentendateisystemen Dritter auf Grund eines solchen Einverständnisses ist nur im Umfang des Abs. 5 und nur soweit zulässig, als der Inhaber des Dateisystems gegenüber dem Gewerbetreibenden nach Abs. 1 schriftlich unbedenklich erklärt hat, dass die betroffenen Personen mit der Verarbeitung ihrer Daten für Marketingzwecke Dritter ausdrücklich einverstanden waren. Strafrechtlich relevante Daten im Sinne des Art. 10 DSGVO dürfen von Gewerbetreibenden nach Abs. 1 für Marketingzwecke nur gemäß § 4 Abs. 3 DSG oder bei Vorliegen einer ausdrücklichen Einwilligung verarbeitet werden.
(5) Soweit keine Einwilligung der betroffenen Personen gemäß Art. 4 Z 11 DSGVO zur Übermittlung ihrer Daten für Marketingzwecke Dritter vorliegt, dürfen die in Abs. 1 genannten Gewerbetreibenden aus einem Kunden- und Interessentendateisystem eines Dritten nur die Daten
1. Namen,
2. Geschlecht,
3. Titel,
4. akademischer Grad,
5. Anschrift,
6. Geburtsdatum,
7. Berufs-, Branchen- oder Geschäftsbezeichnung und
8. Zugehörigkeit der betroffenen Person zu diesem Kunden- und Interessentendateisystem
ermitteln. Voraussetzung hiefür ist – soweit nicht die strengeren Bestimmungen des Abs. 4 Anwendung finden –, dass der Inhaber des Dateisystems dem Gewerbetreibenden nach Abs. 1 gegenüber schriftlich unbedenklich erklärt hat, dass die betroffenen Personen in geeigneter Weise über die Möglichkeit informiert wurden, die Übermittlung ihrer Daten für Marketingzwecke Dritter zu untersagen, und dass keine Untersagung erfolgt ist.
(6) Gewerbetreibende nach Abs. 1 dürfen für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden, nur für Marketingzwecke verwenden und sie insbesondere an Dritte nur dann übermitteln, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden werden.
(7) Gewerbetreibende nach Abs. 1 haben Aussendungen im Zuge von Marketingaktionen, die sie mit von ihnen zur Verfügung gestellten oder von ihnen vermittelten personenbezogenen Daten durchführen, so zu gestalten, dass durch entsprechende Kennzeichnung des ausgesendeten Werbematerials die Identität der Verantwortlichen jener Dateisysteme, mit deren Daten die Werbeaussendung adressiert wurde (Ursprungsdateisysteme), nachvollziehbar ist; soweit Gewerbetreibende nach Abs. 1 an Werbeaussendungen nur durch Zurverfügungstellung oder Vermittlung von Daten mitwirken, haben sie durch entsprechenden Hinweis an die für die Werbeaussendung Verantwortlichen darauf hinzuwirken, dass die Identität der Verantwortlichen der benutzten Ursprungsdateisysteme nachvollziehbar ist. Für Gewerbetreibende nach Abs. 1 gilt, wenn sie die Aussendung mit von ihnen zur Verfügung gestellten oder von ihnen vermittelten Daten selbst durchgeführt haben, – unbeschadet ihrer allfälligen Auskunftsverpflichtungen als Verantwortliche –, Art. 15 DSGVO mit der Maßgabe, dass sie auf Grund eines innerhalb von drei Monaten nach der Werbeaussendung gestellten Auskunftsbegehrens anhand der von der betroffenen Person zur Verfügung gestellten Informationen über die Werbeaussendung zur Auskunftserteilung nur über die Verantwortlichen der Ursprungsdateisysteme verpflichtet sind; haben sie an der Aussendung nur durch Zurverfügungstellung oder Vermittlung von Daten mitgewirkt, so haben sie nach Möglichkeit zur Auffindung der Verantwortlichen der Ursprungsdateisysteme beizutragen. Bei nicht ordnungsgemäßer Erfüllung der Kennzeichnungspflicht durch Gewerbetreibende nach Abs. 1 genügt die Stellung eines fristgerechten Auskunftsbegehrens an den Werbenden zur Wahrung des Auskunftsrechts gegenüber dem Gewerbetreibenden nach Abs. 1.
(8) Stellt die betroffene Person an einen Gewerbetreibenden nach Abs. 1 ein Begehren auf Löschung von Daten, die dieser für Zwecke von Marketingaktionen über sie gespeichert hat, so hat dieser dem Begehren der betroffenen Person unverzüglich, in jedem Fall innerhalb von einem Monat kostenlos zu entsprechen (Art. 12 Abs. 3 DSGVO). Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Soweit die betroffene Person – nach entsprechender Information über die möglichen Folgen einer physischen Löschung ihrer Daten – auf der physischen Löschung ihrer Daten nicht besteht, hat die Löschung in Form einer Sperrung der Verwendung dieser Daten für Marketingaussendungen zu erfolgen.
(9) Der Fachverband Werbung und Marktkommunikation der Wirtschaftskammer Österreich hat eine Liste zu führen, in welcher Personen kostenlos einzutragen sind, die die Zustellung von Werbematerial für sich ausschließen wollen. Die Liste ist mindestens monatlich zu aktualisieren und den Gewerbetreibenden nach Abs. 1 zur Verfügung zu stellen. Gewerbetreibende nach Abs. 1 dürfen an die in dieser Liste eingetragenen Personen keine adressierten Werbemittel versenden oder verteilen und deren Daten auch nicht vermitteln. Die in der Liste enthaltenen Daten dürfen ausschließlich zum Zweck des Unterbindens der Zusendung von Werbemitteln verwendet werden.
(10) Inhaber von Kunden- und Interessentendateisystemen dürfen personenbezogene Daten aus diesen Dateisystemen an Gewerbetreibende nach Abs. 1 für Marketingzwecke Dritter nur übermitteln und insbesondere auch für Listbroking nur zur Verfügung stellen, wenn sie die die betroffenen Personen in geeigneter Weise darüber informiert haben, dass sie die Verarbeitung dieser Daten für Marketingzwecke Dritter untersagen können, und wenn keine Untersagung erfolgt ist; besondere Kategorien personenbezogener Daten und strafrechtlich relevante Daten dürfen unter den in Abs. 4 genannten Voraussetzungen an Gewerbetreibende nach Abs. 1 übermittelt und für Listbroking zur Verfügung gestellt werden. Auf die Möglichkeit der Untersagung ist ausdrücklich und schriftlich hinzuweisen, wenn Daten schriftlich von der betroffenen Person ermittelt werden. Die Untersagung der Übermittlung hat auf ein Vertragsverhältnis zwischen der betroffenen Person und dem Inhaber des Kunden- und Interessentendateisystems keinen Einfluss.
(11) Das Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO kann gegenüber den in Abs. 1 genannten Gewerbetreibenden auch durch Eintragung in die im Abs. 9 bezeichnete Liste erfolgen.
Auskunfteien über Kreditverhältnisse
§ 152 (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.
(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist.“
3.3.2. Zur Abweisung der Bescheidbeschwerde der Zweitbeschwerdeführerin hinsichtlich Spruchpunkt 1. a) des angefochtenen Bescheids (Stattgabe der Datenschutzbeschwerde betreffend die behauptete der Verletzung des Grundsatzes der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO durch die Zweitbeschwerdeführerin):
Entsprechend der Rechtsprechung des Europäischen Gerichtshofs muss grundsätzlich jede Verarbeitung personenbezogener Daten den in Art. 5 DSGVO aufgestellten Grundsätzen in Bezug für die Verarbeitung personenbezogener Daten und einem der in Art. 6 DSGVO angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen (EuGH 04.05.2023, C-60/22, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], ECLI:EU:C:2023:373, Rz 50, 52, 57, mwN, bereits zur Vorgängerbestimmung Art. 6 DS-RL: EuGH 20.05.2003, verb Rs C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk ua, Rn 65; 16.12.2008, C-524/06, Huber, Rn 48; vgl. auch VwGH 09.05.2023, Ro 2020/04/0037). Der EuGH hat überdies in der Rechtssache Meta Platforms Inc. festgehalten, dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (EuGH 04.07.2023, C-252/21 (Meta Platforms Inc.), Rn. 95).
Art. 5 Abs. 1 legt die Grundsätze für die Verarbeitung personenbezogener Daten fest, die für den Verantwortlichen gelten und deren Einhaltung dieser nach dem in Art. 5 Abs. 2 dieser Verordnung niedergelegten Grundsatz der Rechenschaftspflicht nachweisen können muss. Insbesondere müssen personenbezogene Daten gemäß Art. 5 Abs. 1 lit. b, der den Grundsatz der „Zweckbindung“ vorsieht, zum einen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen zum anderen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Aus dem Wortlaut dieser Vorschrift ergibt sich somit, dass sie zwei Anforderungen enthält, eine in Bezug auf die Zwecke der ursprünglichen Erhebung der personenbezogenen Daten und eine in Bezug auf die Weiterverarbeitung dieser Daten. Was erstens die Anforderung betrifft, dass die personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen, bedeutet dies nach der Rechtsprechung des Gerichtshofs, dass die Zwecke der Verarbeitung spätestens zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen müssen, dass die Zwecke dieser Verarbeitung klar angegeben sein müssen und dass die Zwecke der genannten Verarbeitung insbesondere die Rechtmäßigkeit der Verarbeitung der betreffenden Daten im Sinne von Art. 6 Abs. 1 gewährleisten müssen (vgl. EuGH vom 20.10.2022, C-77/21, EU: C:2022:805; Rn 24 bis 27).
Nach Art. 5 Abs. 1 lit. b dürfen Daten nur für „legitime“ Zwecke erhoben werden. Demnach muss die Verarbeitung der Daten für die betreffenden Zwecke rechtlich zulässig sein; dh es muss für sie eine einschlägige Rechtsgrundlage existieren, und die Verarbeitung zu diesen Zwecken darf nicht gegen geltende Rechtsnormen (nicht nur des Datenschutzrechts) verstoßen (Herbst in Kühling/Buchner, DS-GVO/BDSG4, Kommentar, Art. 5 DSGVO, Rn 36). Art. 5 Abs. 1 lit. b DSGVO enthält keine Angaben, unter welchen Voraussetzungen eine Weiterverarbeitung personenbezogener Daten als mit den Zwecken der ursprünglichen Erhebung der Daten vereinbar angesehen werden kann. Aus den Art. 5 Abs. 1 lit. b, Art. 6 Abs. 1 lit. a und Art. 6 Abs. 4 ergibt sich, dass sich die Frage der Vereinbarkeit der Weiterverarbeitung personenbezogener Daten mit den Zwecken, für die sie ursprünglich erhoben wurden, nur stellt, wenn die Zwecke dieser Weiterverarbeitung nicht mit denen der ursprünglichen Erhebung übereinstimmen.
Wie bereits von der belangten Behörde im angefochtenen Bescheid richtigerweise festgestellt, hatte die Zweitbeschwerdeführerin Daten des Erstbeschwerdeführers erhoben und im Rahmen einer vertraglichen Vereinbarung der XXXX übermittelt.
Dabei handelt es sich, wie den Feststellungen zu entnehmen ist, um den Namen des Erstbeschwerdeführers (vor Änderung in Zusammenhang mit dessen Eheschließung), sein Geburtsdatum sowie seine (teils historische) Adresse(n). Diese stellen jeweils personenbezogene Daten dar, denn als solche definiert Art. 4 Z. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen“, was bei den genannten Daten unstrittig der Fall ist (vgl. Hödl in Knyrim, DatKomm Art 4 DSGVO, Rz 9 | Stand 01.12.2018, rdb.at)
Die belangte Behörde hat im Bescheid zur Datenerhebung durch die Zweitbeschwerdeführerin ausgeführt, diese habe im Rahmen ihrer Gewerbeberechtigung gemäß § 151 GewO 1994 als Adressverlag- und Direktmarketingunternehmen Daten des Erstbeschwerdeführers erhoben und an die XXXX übermittelt. Der Zweck der Datenverarbeitung sei, auch hinsichtlich einer Weiterverwendung und Übermittlung an Dritte, dadurch gemäß § 151 Abs. 6 GewO 1994 auf Marketingzwecke begrenzt. Dabei handle es sich aber bloß um eine gewerberechtliche Norm, die (Weiter-)Verarbeitung der Daten des Erstbeschwerdeführers durch Übermittlung an die XXXX sei nach Art. 6 Abs. 1 iVm Abs.4 DSGVO zu beurteilen, der gegenständlich keine Öffnungsklausel für nationale Gesetzgeber vorsehe.
Dem hält die Zweitbeschwerdeführerin in ihrer Beschwerde im Wesentlichen zum einen entgegen, dass der Erstbeschwerdeführer sich gar nicht auf Art. 5 Abs. 2 DSGVO berufen könne, weil dieser kein subjektives Betroffenenrecht enthalte und zum anderen, dass die Vereinbarung zwischen ihr und der XXXX in der Fassung des Nachtrags vom 25.05.2018 die Nutzung der Daten durch letztere zu Bonitätszwecken sowie generell außerhalb von Marketingzwecken untersage und seitdem eine eindeutige Zweckbindung der übermittelten Daten zu Marketingzwecken für die XXXX als Adressverlag vorliege.
Dazu replizierte der Erstbeschwerdeführer jedoch in seiner Stellungnahme vom 14.06.2024 indem er ausführt, dass in jenem Nachtrag zwar in Punkt 2.1. in Ziffer 1. in der Tat von „Marketingzwecken von XXXX “ die Rede sei, in Ziffer 2 und Ziffer 3 würden jedoch „Zwecke der Korrektur und/oder Ergänzung der Datenbestände von XXXX “ und „Sonstige Zwecke zu welchen XXXX aufgrund gesetzlicher Bestimmungen berechtigt ist, die Daten zu verarbeiten“ genannt. Da die XXXX und die Zweitbeschwerdeführerin die gegenständlichen Datenverarbeitungen fälschlicherweise als rechtskonform betrachteten, könnten genau diese Datenverarbeitungen damit gemeint sein und sei insofern sehr zweifelhaft, ob es durch den am 25.05.2018 in Kraft getretenen Nachtrag tatsächlich zu einer relevanten Änderung gekommen sei. Überdies habe die XXXX in ihrer Bescheidbeschwerde zum hg. Verfahren zur Zl. W605 2271598-1 selbst betont, die Daten nicht zu Werbezwecken verarbeitet, sondern stets bereits zum Zweck der Bonitätsbewertung erhoben zu haben, während die Erstbeschwerdeführerin in einem zivilgerichtlichen Verfahren über die hier gegenständlichen Datenverarbeitungen erklärt habe, die Daten nun doch stets auch schon zu Zwecken der Bonitätsbewertung durch eine Kreditauskunftei bereitgestellt haben. Zum Einwand, wonach Art. 5 Abs. 2 DSGVO kein subjektives Betroffenenrecht enthalte, wurde auf die Rechtsprechung des Verwaltungsgerichtshofs (Erkenntnis vom 06.03.2024, Ro 2021/04/0030) verwiesen, die dem widerspräche.
Dazu ist auszuführen wie folgt:
Vorweg macht der Erstbeschwerdeführer zu Recht geltend, dass der Verwaltungsgerichtshof unter Verweis auf die Rechtsprechung des Europäische Gerichtshofs (Urteil vom 22.06.2023, C-579/21, J.M.) sowie die herrschende Lehrmeinung jüngst ausgesprochen hat, dass Art. 77 Abs. 1 DSGVO seinem Wortlaut nach somit gerade nicht auf eine Verletzung in Rechten abstellt, sondern auf einen Verstoß der Datenverarbeitung gegen die DSGVO, womit aber nichts gegen die Annahme spräche, dass Verstöße gegen die Grundsätze des Art. 5 Abs. 1 DSGVO für sich allein in einer Beschwerde nach Art. 77 DSGVO geltend gemacht werden können, sofern dieser Verstoß die Verarbeitung von den Beschwerdeführer betreffenden personenbezogenen Daten betrifft (VwGH 06.03.2024, Ro 2021/04/0030, mwN). Der EuGH hat dies auch in seiner jüngsten Rechtsprechung aufrechterhalten und ausgeführt, dass Art. 77 DSGVO hinreichend klar, genau und unbedingt und damit unmittelbar anwendbar ist (vgl. EuGH 16.01.2024, C-33/22, Österreichische Datenschutzbehörde, Rn. 62).
Die belangte Behörde hat das diesbezügliche Vorbringen der Datenschutzbeschwerde des Erstbeschwerdeführers daher zu Recht dem Verfahren zugrunde gelegt und im angefochtenen Bescheid darüber abgesprochen.
In der Sache: Wie bereits oben ausgeführt, hat die Zweitbeschwerdeführerin die personenbezogenen Daten des Erstbeschwerdeführers zu Marketingzwecken erhoben und an die XXXX übermittelt. Zwischen dem ursprünglichen Zweck (Marketingzwecke), für den die personenbezogenen Daten des Erstbeschwerdeführers erhoben, und dem Zweck der Weiterverarbeitung (Bonitätsbeurteilungszweck) besteht kein Zusammenhang. Die Weiterverarbeitung zu Bonitätsbeurteilungszwecken durch die XXXX weicht offenkundig von den legitimen Erwartungen der betroffenen Person hinsichtlich der weiteren Verwendung ihrer Daten ab. Denn während ein Adressverlag und Direktmarketingunternehmen die personenbezogenen Daten zu rein Marketingzwecken erhebt, erfolgt die Verwendung derselben Daten im Rahmen einer Kreditauskunftei dazu, ihren Vertragspartnern Informationen über die Kreditwürdigkeit ihrer potenziellen Kunden zu ermöglichen.
Wenn die Zweitbeschwerdeführerin dazu auf den Wortlaut des Nachtrags vom 25.05.2018 zu ihrer Vereinbarung mit der XXXX verweist, der die Weiterverarbeitung der übermittelten Daten zu Bonitätsbeurteilungszwecken nicht mehr ausdrücklich vorsieht, so hält der Erstbeschwerdeführer dem zu Recht entgegen, dass die Weiterverarbeitung nunmehr auch zu „sonstigen Zwecken zu welchen [die Zweitbeschwerdeführerin] und/oder XXXX aufgrund gesetzlicher Bestimmungen berechtigt ist, die Daten zu verarbeiten“, vereinbart wurde. Denn aufgrund der Verwendung des Ausdrucks „und/oder“ ist anzunehmen, dass die Datenübermittlung auch zu Zwecken der Bonitätsbeurteilung erfolgen können soll, welche von der Gewerbeberechtigung der Kreditauskunftei gemäß § 152 GewO, über die die XXXX verfügt, umfasst ist. Aus der genannten Bestimmung ist daher nicht ersichtlich, dass die Zweitbeschwerdeführerin davon ausgehen konnte, dass die personenbezogenen Daten, die sie der XXXX als einem Unternehmen übermittelt, das neben dem Gewerbe des Adressverlags und Direktmarketingunternehmens auch jenes der Kreditauskunftei betreibt, nicht auch zu Bonitätsbeurteilungszwecken verwendet würden.
An diesem Ergebnis ändert auch das von der Zweitbeschwerdeführerin als Beilage ihres Schriftsatzes vom 09.03.2023 vorgelegte Schreiben des Bundesministeriums für Arbeit und Wirtschaft vom 29.11.2022 nichts, da darin einerseits lediglich Aussagen zum Umfang des Gewerbes – also eine gewerberechtliche Betrachtung – der Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO getroffen werden, und andererseits ein „Customer Relationship Management (CRM)“, wie die Bezeichnung bereits beinhaltet, lediglich zur Verwaltung von Daten eigener Kunden („customers“) – einschließlich potentieller Kunden, mit denen noch keine vertragliche Beziehung besteht – infrage kommt, während der Erstbeschwerdeführer jedoch – wie festgestellt – nie in einer Geschäftsbeziehung zur Zweitbeschwerdeführerin und/oder zur XXXX stand bzw. steht und sich auch kein Hinweis darauf ergeben hat, dass diese mit ihm in eine Geschäftsbeziehung treten wollten.
Wie dabei festzuhalten ist, ist auch nicht ersichtlich, inwiefern es sich bei den gegenständlichen Daten des Erstbeschwerdeführers um Marketinginformationen und -klassifikationen gemäß § 151 Abs. 6 GewO handeln soll, werden diese doch infolge statistischer Auswertungen ermittelt und namentlich bestimmten Personen aufgrund von Marketinganalyseverfahren zugeschrieben (Riesz in Ennöckl/Raschauer/WesselCRIF, GewO § 151 Rz 28 | Stand 1.1.2015, rdb.at). Darüber hinaus führt das Bundesministeriums für Arbeit und Wirtschaft im Schreiben (auf dessen S. 3) selbst aus, dass die genannten Tätigkeiten (lediglich) „unter Beachtung der Bestimmungen der Datenschutz-Grundverordnung“ ausgeübt werden könnten, was nochmals die notwendige Unterscheidung zwischen dem Umfang einer Gewerbeberechtigung nach der GewO und datenschutzrechtlichen Bestimmungen, die auch für Gewerbetreibende bei Ausübung ihres Gewerbes zu beachten sind, verdeutlicht.
Dadurch, dass die Zweitbeschwerdeführerin somit die als Adressverlag und Direktmarketingunternehmen ermittelten Daten, die aufgrund der gesetzlichen Vorgaben nur für Marketingzwecke erhoben und übermittelt werden dürfen, der XXXX übermittelte, ohne davon ausgehen zu können, dass diese die Daten ausschließlich für Marketingzwecke verwenden würde, hat sie gegen den Zweckbindungsgrundsatz verstoßen.
Was den – vor dem Hintergrund des Grundsatzes der Datenrichtigkeit durchaus nicht abwegig erscheinenden – Rückgriff von Verantwortlichen auch auf von Adressverlagen zugekauften Daten zur Korrektur unrichtiger bzw. unrichtig gewordener Daten angeht, ist festzuhalten, dass die Zweitbeschwerdeführerin nicht vorgebracht hat, dass die Übermittlung der personenbezogenen Daten des Erstbeschwerdeführers bloß zur Richtigstellung von Datensätzen erfolgte, welche die XXXX bereits zuvor von ihm hatte, und haben sich diesbezüglich auch sonst keine Hinweise ergeben.
Die Feststellung der belangten Behörde zu Spruchpunkt 1. a) des angefochtenen Bescheids erfolgte daher zu Recht.
3.3.3. Zur Abweisung der Bescheidbeschwerde der Zweitbeschwerdeführerin hinsichtlich Spruchpunkt 1. b) des angefochtenen Bescheids (Stattgabe der Datenschutzbeschwerde betreffend die behauptete Verletzung des Grundsatzes der Rechtmäßigkeit der Datenverarbeitung gemäß Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 DSGVO durch die Zweitbeschwerdeführerin):
Im Wesentlichen stützt die belangte Behörde ihre Entscheidung darauf, dass sich vorliegend eine Rechtsverletzung daraus ergebe, dass die Rechtswidrigkeit der ursprünglichen Ermittlung und Übermittlung der betreffenden personenbezogenen Daten durch die Zweitbeschwerdeführerin gemäß Art. 5 Abs. 1 lit. b und Art. 6 Abs. 1 iVm 4 DSGVO festgestellt worden sei, weshalb – unter Verweis auf Art. 17 Abs. 1 lit. d DSGVO – auch die nachfolgende Unzulässigkeit der Datenverarbeitung durch die Zweitbeschwerdeführerin als Empfängerin eben dieser personenbezogenen Daten festzustellen gewesen sei.
Damit entspricht die Auffassung der belangten Behörde der oben bereits wiedergegebenen Rechtsprechung des EuGH und der herrschenden Literaturmeinung, wonach jede Verarbeitung personenbezogener Daten den in Art. 5 DSGVO aufgestellten Grundsätzen in Bezug für die Verarbeitung personenbezogener Daten und einem der in Art. 6 DSGVO angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen muss, diese also kumulativ vorliegen müssen. Da bereits eine Verletzung des Art. 5 DSGVO durch die Nichtentsprechung des Zweckbindungsgrundsatzes zu bejahen war, kann eine Prüfung auch der Rechtmäßigkeit gemäß Art. 6 Abs. 1 DSGVO dahingestellt bleiben, da die Datenverarbeitung (Übermittlung) daher jedenfalls im Ergebnis nicht rechtmäßig war.
Somit erfolgte auch die Feststellung der Behörde zu Spruchpunkt 1. b) des angefochtenen Bescheides zu Recht.
3.3.4. Zur Abweisung der Bescheidbeschwerde des Erstbeschwerdeführers gegen Spruchpunkt 2. des angefochtenen Bescheids (Zurückweisung seines Antrags auf Verhängung eines Verarbeitungsverbotes gemäß Art. 58 Abs. 2 lit. f DSGVO):
Mit Spruchpunkt 2. des angefochtenen Bescheids hat die belangte Behörde den Antrag des Erstbeschwerdeführers, gegen die Zweitbeschwerdeführerin ein Datenverarbeitungsverbot auszusprechen, wonach „personenbezogene Daten nicht an Dritte übermittelt werden dürfen, sofern diese weiß oder wissen muss, dass diese Dritten die Daten zu Bonitätsbeurteilungszwecken nach § 152 GewO 1994 weiterverarbeiten“, zurückgewiesen.
Nach der ständigen Rechtsprechung des Verwaltungsgerichtshofs ist, wenn die belangte Behörde in erster Instanz einen Antrag zurückgewiesen hat, Sache des Beschwerdeverfahrens lediglich die Frage der Rechtmäßigkeit der Zurückweisung. Das Verwaltungsgericht ist in einem solchen Fall ausschließlich befugt, darüber zu entscheiden, ob die von der belangten Behörde ausgesprochene Zurückweisung als rechtmäßig anzusehen ist. Dies allein bildet den Gegenstand des Beschwerdeverfahrens (vgl. etwa VwGH 23.6.2015, Ra 2015/22/0040, mwN).
3.3.4.1. Entspricht die Verarbeitung personenbezogener Daten nicht den u.a. in Art. 5 DSGVO festgelegten Grundsätzen, so dürfen die Aufsichtsbehörden der Mitgliedstaaten im Einklang mit ihren Aufgaben und Befugnissen nach den Art. 57 und 58 DSGVO tätig werden. Der Europäische Gerichtshof hat insoweit bereits klargestellt, dass eine nationale Aufsichtsbehörde, wenn sie am Ende ihrer Untersuchung der Ansicht ist, dass die betroffene Person kein angemessenes Schutzniveau genießt, nach dem Unionsrecht verpflichtet ist, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, und zwar unabhängig davon, welchen Ursprungs und welcher Art sie ist. Zu diesem Zweck werden die in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Es ist Sache der Aufsichtsbehörde, das geeignete Mittel zu wählen, um mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Art. 58 Abs. 2 DSGVO unterscheidet seinem Wortlaut nach zwischen Abhilfemaßnahmen, die von Amts wegen angeordnet werden können, und solchen, die nur auf Antrag der betroffenen Person auf Ausübung ihrer Rechte aus dieser Verordnung hin ergriffen werden können, etwa die in Art. 58 Abs. 2 lit. c DSGVO genannten (EuGH vom 14.03.2024, C-46/23, EU:C:2024:239, Rn 32-35).
Die Aufsichtsbehörde ist gegebenenfalls verpflichtet, einige der in Art. 58 Abs. 2 DSGVO aufgeführten Maßnahmen zu ergreifen, und zwar insbesondere dann, wenn sie der Auffassung ist, dass der nach dem Unionsrecht erforderliche Schutz nicht durch andere Mittel gewährleistet werden kann (EuGH vom 16.07.2020, C-311/18, EU:C:2020:559, Rn 113).
3.3.4.2. Art. 58 Abs. 2 lit. f DSGVO sieht die Möglichkeit des Verbots vor. Durch das Verbot wird eine Verarbeitung vollständig untersagt. Art. 58 Abs. 2 lit. f DSGVO enthält mit dem Verbot eine der belastenden Maßnahmen für die Datenverarbeiter. Dementsprechend muss die Aufsichtsbehörde vor Erlass einer solchen Verfügung weniger eingriffsintensive Maßnahmen nach anderen Alternativen von Art. 58 prüfen, um ein verhältnismäßiges Vorgehen zu gewährleisten. Kommen keine weniger eingriffsintensiven Abhilfemaßnahmen in Betracht, ist im Rahmen von Art. 58 Abs. 2 lit. f DSGVO weiter zu untersuchen, ob eine Beschränkung der Maßnahme auf einzelne Verarbeitungsformen geboten ist, wie etwa das Speichern. Beschränkungen können nach Art. 58 Abs. 2 lit. f DSGVO vorübergehend oder endgültig erfolgen. Dabei ist zu prüfen, ob eine zeitliche Befristung in Form einer vorübergehenden Beschränkung der Verarbeitung ausreichend ist, bevor eine endgültige Beschränkung verfügt wird. Erst als ultima ratio ist ein Verbot der gesamten Verarbeitung in Erwägung zu ziehen. (Polenz in Simitis/Hornung/Spiecker, Datenschutzrecht/DSGVO mit BDSG, Art. 58 Rn 39f). Die Datenschutzbehörde kann nach pflichtgemäßen auch direkt zu dieser Abhilfemaßnahme greifen, zB um eine besonders riskante Datenverarbeitung sofort abzustellen (Selmayr in Ehmann/Selmayr, Datenschutz-Grundverordnung2, Art. 58, Rn 24)
3.3.4.3. Im Vorabentscheidungsverfahren in der Rechtssache C-768/21, in der unter anderem zu klären war, welches die Pflichten der Aufsichtsbehörde sind, wenn eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde, entschied der EuGH mit Urteil vom 24.09.2024, dass Art. 57 Abs. 1 lit. a und f., Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO so auszulegen sind, dass die Aufsichtsbehörde nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten. Überdies sprach er in diesem Zusammenhang aus, dass der betroffenen Person, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe, kein subjektives Recht zustehe, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt (Rz 41). Somit ist davon auszugehen, dass ein Betroffener kein subjektives Recht darauf hat, dass die Aufsichtsbehörde gegen den Verantwortlichen eine konkrete Abhilfemaßnahme ergreift. Dies entspricht der von der belangten Behörde im Bescheid vertretenen Rechtsansicht.
Da Art. 58 Abs. 2 DSGVO dem Beschwerdeführer, dessen Datenschutzrechte verletzt wurden, kein subjektives Recht auf eine (bestimmte) Abhilfemaßnahme, etwa auf Anordnung eines Verarbeitungsverbotes gemäß Art. 58 Abs. 2 lit. f DSGVO, durch die belangte Behörde einräumt, kommt ihm auch kein solches zu.
Der diesbezügliche Antrag des Erstbeschwerdeführers wurde von der Behörde daher in Spruchpunkt 2. des angefochtenen Bescheids zu Recht mangels Antragslegitimation zurückgewiesen (vgl. auch VwGH 24.02.2022, Ra 2020/05/0231).
3.3.5. Beide Bescheidbeschwerden waren daher spruchgemäß als unbegründet abzuweisen.
3.4. Zum Entfall der Verhandlung:
Auf die Durchführung einer Verhandlung kann gemäß § 24 Abs. 4 VwGVG verzichtet werden, soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist, und ungeachtet eines Parteiantrags, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 der Konvention zum Schutze der Menschenrechte und Grundfreiheiten noch Art. 47 der Charta der Grundrechte der Europäischen Union entgegenstehen.
Der maßgebliche Sachverhalt konnte als durch die Aktenlage hinreichend geklärt erachtet werden. In der Beschwerde wurden keine noch zu klärenden Tatsachenfragen in konkreter und substantiierter Weise aufgeworfen und war gegenständlich auch keine komplexe Rechtsfrage zu lösen (VwGH vom 31.07.2007, Zl. 2005/05/0080). Somit konnte von der Durchführung einer mündlichen Verhandlung abgesehen werden. Dem Absehen von der Verhandlung stehen hier auch Art 6 Abs. 1 EMRK und Art 47 der Charta der Grundrechte der Europäischen Union nicht entgegen.
Zu B) Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
Das Bundesverwaltungsgericht kann sich bei allen erheblichen Rechtsfragen auf eine ständige Rechtsprechung des Verwaltungsgerichtshofes bzw. auf eine ohnehin klare Rechtslage stützen. Eine Rechtsfrage von grundsätzlicher Bedeutung liegt aber auch dann nicht vor, wenn sie durch ein Urteil des EuGH gelöst ist (vgl. VwGH 27.05.2024, Ra 2021/13/0056; 23.01.2019, Ro 2016/13/0012). Es ist auch nicht ersichtlich, dass sich im konkreten Fall eine Rechtsfrage stellt, die über den (hier vorliegenden konkreten) Einzelfall hinaus Bedeutung entfaltet. Ausgehend davon kann eine Rechtsfrage von grundsätzlicher Bedeutung auch insofern nicht bejaht werden.
Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG nicht zulässig ist.