W274 2257892-1/12E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundigen Laienrichter Komm.-Rat POLLIRER und Dr. GOGOLA als Beisitzer über die Beschwerde der XXXX , vertreten durch Ing. XXXX , gegen den Bescheid der Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, vom 11.07.2022, GZ: D124.0040/22, Mitbeteiligter XXXX , Deutschland, wegen Verletzung im Recht auf Geheimhaltung, in nichtöffentlicher Sitzung zu Recht:
Der Beschwerde wird Folge gegeben und der angefochtene Bescheid dahingehend abgeändert, dass sein Spruch lautet:
„Die Beschwerde wird als unbegründet abgewiesen.“
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Entscheidungsgründe:
Mit E-Mail vom 05.01.2022 wandte sich XXXX , Deutschland, (im Folgenden: Mitbeteiligter, MB) per E-Mail an die Österreichische Datenschutzbehörde (im Folgenden: belangte Behörde) und führte aus, er übersende gem. Art. 1 Abs. 1 DSG iVm mit Art. 5, 6 und 9 DSGVO folgende Beschwerde gegen Ing. XXXX , Geschäftsführer der XXXX GmbH (im Folgenden: Beschwerdeführerin, BF), wegen einer Verletzung der Geheimhaltungspflicht sowie weiterer in Betracht kommender Versäumnisse. Seine Daten seien ohne Einwilligung verarbeitet worden. Bei der Verarbeitung der Daten sei gegen die Grundsätze gem. Art. 5 DSGVO verstoßen worden.
Es habe sich folgender Sachverhalt ereignet:
Der „Beschuldigte“ habe auf eine Beschwerde des MB zur Behandlung durch einen Mitarbeiter mit einer E-Mail am 05.01. (wohl gemeint 2022) mit einer Kopie an einen Dritten im Ausland geantwortet. Zu diesem Dritten habe der MB keine Geschäftsbeziehung bzw. habe keine Einwilligung bestanden. In dieser E-Mail sei der MB beleidigt worden und ihm seien unredliche Dinge vorgeworfen worden. In der E-Mail seien die personenbezogenen Daten des MB inkl. Anschrift, E-Mail-Adresse und Handynummer enthalten gewesen. Die Übermittlung sei unverschlüsselt erfolgt.
Im Anhang befinde sich das E-Mail. Bei Bedarf könne der MB den gesamten Text zur Verfügung stellen. Er beantrage die Feststellung der Verletzung seiner Rechte und ein „Ordnungswidrigkeitsverfahren“ gegen den „Beschuldigten“.
Im Anhang befand sich der Ausdruck eines E-Mails des Ing. XXXX an den MB und „ XXXX “ „in cc“ vom 05.01.2022, wobei dort folgender Text aufscheint:
„Verzeihung, Herr XXXX , aber so wie Sie argumentieren würde ich Sie im österreichischen Sprachgebrauch als „Advokatenhansl“ einschätzen und mit einer derartigen Mentalität möchte ich auf keinem Fall etwas zu tun haben.
Mit sonnigen Grüßen
Ing. XXXX
Geschäftsführung“
Mit Mangelbehebungsauftrag führte die belangte Behörde auszugsweise aus:
„Die DSB macht Sie darauf aufmerksam, dass sie das österreichische Datenschutzrecht (Datenschutzgesetz – DSG) und die DSGVO auf Ihren Fall anwendet, wenn Sie Ihre Beschwerde direkt bei der österreichischen DSB einbringen. Sollte Ihre Beschwerde abgewiesen werden und Sie damit nicht zufrieden sein, müssten Sie den Bescheid vor einem österreichischen Gericht, dem Bundesverwaltungsgericht, anfechten.
Wenn Sie Ihre Beschwerde hingegen bei der Datenschutzbehörde Ihres gewöhnlichen Aufenthaltes – das dürfte hier „Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit“ sein – einbringen, können Sie eine (für Sie) negative Entscheidung dieser Behörde vor den deutschen Behörden bzw. Gerichten anfechten.
1) Die DSB fordert Sie daher zunächst auf, bekannt zu geben, ob Sie Ihre Beschwerde zusätzlich auch an den „ XXXX Beauftragten für Datenschutz und Informationsfreiheit“ geschickt haben?
2) Wenn ja, legen Sie bitte das diesbezügliche Schreiben vor.
3) Möchten Sie nach dem Gesagten Ihre Beschwerde bei der DSB zurückziehen und diese beim „Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit“ einbringen?
Wenn ja, teilen Sie der DSB bitte mit, dass Sie Ihre Beschwerde zurückziehen möchten.
Wenn nein, verbessern Sie Ihre Beschwerde im nachfolgenden Sinne:
4) die Bezeichnung des als verletzt erachteten Rechts;
Ist es richtig, dass Sie sich in Ihren Datenschutzrechten gem. § 1 DSG iVm Art 8 EU-GRC als verletzt erachten?
5) das Begehren, die behauptete Rechtsverletzung festzustellen;
Möchten Sie, dass die DSB mittels Bescheid feststellt, ob Ihre Datenschutzrechte verletzt wurden?“
In weiterer Folge erging ein zurückweisender Bescheid der belangten Behörde vom 07.03.2022 mit der wesentlichen Begründung, der MB habe trotz gebotener Möglichkeit in Form eines Mangelbehebungsauftrags die festgestellten Mängel nicht beseitigt.
Mit E-Mail vom 12.03.2022 wandte sich der MB neuerlich an die belangte Behörde und führte zusammengefasst aus, er erhebe Dienstaufsichtsbeschwerde gegen den dort näher angeführten Mitarbeiter. Die Beschwerde des MB sei ausführlich begründet und zulässig gewesen. Er habe sodann eine Zurückweisung ohne Datum erhalten. Die aufgezeigten Mängel hätten nicht bestanden. Eine Angabe, warum er die Beschwerde nicht an eine deutsche Behörde geschickt habe, sei entbehrlich. Weiters sei ausgeführt worden, dass sein Vortrag ausführlich auf rechtliche Verordnungen und Gesetze abgefasst sein müsse. Dies sehe die gesetzliche Grundlage nicht vor.
Das Schreiben vom 09.02.2022 habe den MB nicht erreicht.
Er habe sich formell bei der Europäischen Kommission über eine Rechtsverletzung der Republik Österreich beschwert und beabsichtige, gegen Herrn XXXX strafrechtlich vorzugehen.
Mit weiterem Bescheid der belangten Behörde vom 16.03.2022 wurde der Bescheid vom 07.03.2022 aufgehoben und das Verfahren fortgesetzt.
Begründend bezog sich die belangte Behörde auf § 68 Abs. 2 AVG. Die Zurückweisung des Bescheides aufgrund von Mängeln sei im Ergebnis unzutreffend gewesen. Es sei niemandem ein Recht aus diesem Bescheid erwachsen.
Mit Erledigung vom 16.03.2022 wurde Ing. XXXX als Beschwerdegegner zur Stellungnahme zur Datenschutzbeschwerde vom 05.01.2022 aufgefordert. Es sei vorgebracht worden, dass er auf die Beschwerde des MB vom 05.01.2022 geantwortet und dabei eine dritte Person, zu der der MB keinerlei Geschäftsbeziehung führe, in Cc gesetzt habe. Dadurch fühle sich der MB in seinem Recht auf Geheimhaltung verletzt. Insbesondere wolle ausgeführt werden, welche Rolle diese dritte Person in dieser Angelegenheit gehabt habe und warum Ing. XXXX diese Person in cc gesetzt habe.
Hierzu nahm Ing. XXXX mit E-Mail vom 17.03.2022 zusammengefasst wie folgt Stellung:
Der Aufforderung zur vollständigen Darstellung des Sachverhalts sei schwer und nur lückenhaft nachzukommen, weil damals der MB die umgehende Löschung seiner personenbezogenen Daten verlangt habe und die BF diesem Begehren unverzüglich und vollständig nachgekommen sei. Man halte dies für eine rücksichtslose und hinterhältige Vorgehensweise. Die Sachverhaltsdarstellung könne daher nur aus dem Gedächtnis und anhand einer beauftragten Gerätereparatur erfolgen.
Die BF fertige frei programmierbare Regelungen für die Heizung und Solartechnik. Das bedeute, dass erst der Anlagenbauer ein individuelles Regelungsprogramm schreibe und vor der Montage in den Regler einspiele. Erst damit werde das Produkt funktionstüchtig. Zum Schutz des regeltechnischen Knowhows könne der Fachmann seine erstellte Software (Funktionsdaten) mit einem Passwort als Kopierschutz versehen.
Der MB habe XXXX angerufen und wegen eines Reglerdefekts um die Übergabe des Passworts gebeten. Dieser habe erklärt, dass das Passwort nicht von der BF vergeben werde, sondern von jener Firma, die die Anlage samt Software geliefert habe, in seinem Fall die Firma XXXX – Hr. XXXX .
Laut MB habe Herr XXXX die Herausgabe des Passworts verweigert. Die BF hätte sicher Möglichkeiten, das Passwort zu umgehen, damit er die originale Regelsoftware in ein Neugerät einspielen könne.
Herr XXXX habe den MB erneut um Kontaktaufnahme zu XXXX gebeten und ihm mitgeteilt, er würde für ihn auch noch kurz intervenieren. Die BF würde für den MB sicher keinen Gesetzesbruch begehen. Er habe weiters vorgeschlagen, den Regler an die BF mit einem Reparaturauftrag zu senden, was einige Wochen später auch geschehen sei.
XXXX habe neben einem kurzen Telefonat den darauffolgenden Mailverkehr teilweise auch an XXXX weitergeleitet, weil laut dem MB direkter reger Kontakt zu XXXX gegeben gewesen sei und in der Hoffnung, dass XXXX daraufhin vielleicht doch sein Passwort weitergebe oder sich um eine andere Lösung bemühen werde. Eine Weitergabe von personenbezogenen Daten an unbeteiligte Dritte bzw. eine Verletzung der Geheimhaltung könne alleine deswegen nicht passiert sein, weil der MB eindeutig und mehrfach die eigene, mehrfache Kontaktaufnahme zu XXXX erwähnt habe und die BF im Sinne der Kundenzufriedenheit hilfsbereit sein habe wollen.
Die BF habe mit dem MB bis zur beauftragten Reparatur keinerlei weiteren Kontakt oder überhaupt niemals zuvor eine Geschäftsverbindung gehabt. Nach der am gleichen Tag begehrten Aufforderung, alle personenbezogenen Daten zu löschen, sei sämtlicher bis dahin angefallener Mailverkehr gelöscht worden.
Wochen später habe der MB seinen Regler XXXX zur Reparatur gesandt, dies nochmals mit der Aufforderung, das Passwort zu „knacken“. Dafür habe er über das Ticketsystem der BF ein RMA-Formular ausfüllen müssen, das noch vorliege und dieser Sachverhaltsdarstellung als einziges vorhandenes Dokument in Kopie beigelegt worden sei.
Die BF habe das Gerät ordnungsgemäß repariert. Dabei sei die regeltechnische Software (Funktionsdaten) nicht verloren gegangen. Abgespeichert oder gar um das Passwort manipuliert worden sei es von der BF nicht.
Angeschlossen war der genannte „RMA-Antrag“.
In weiterer Folge übermittelte die belangte Behörde diese Stellungnahme dem MB zum Parteiengehör mit dem Ersuchen, folgende Fragen zu beantworten:
„1. Hatten Sie im Zusammenhang mit dem in der Stellungnahme geschilderten Sachverhalt bereits Kontakt zu XXXX ?
2. Inwiefern gehen Sie davon aus, dass bei der Datenverarbeitung gegen die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO verstoßen wurde?
Darüber hinaus werden Sie ersucht, den gesamten E-Mail-Verlauf der Datenschutzbehörde in Vorlage zu bringen. Aus der von Ihnen übermittelten Beilage ist lediglich die Weiterleitung Ihres Namens und wahrscheinlich Ihrer E-Mail-Adresse ersichtlich. Jedenfalls kann dieser E-Mail nicht Ihre Anschrift und Handynummer entnommen werden.
Ferner wird darauf hingewiesen, dass die DSB davon ausgeht, dass die gegenständliche Weiterleitung durch den Beschwerdegegner als Geschäftsführer der XXXX GmbH erfolgt sei.
Sollte sich im weiteren Verfahrensverlauf herausstellen, dass nicht Herr XXXX , sondern die XXXX GmbH als Verantwortliche für die in Rede stehende Datenverarbeitung zu qualifizieren ist, so vertritt die Datenschutzbehörde die vorläufige Rechtsansicht, dass eine amtswegige Umdeutung des Beschwerdegegners dennoch möglich ist, da sich Ihre Beschwerde erkennbar gegen den Geschäftsführer der XXXX GmbH richtet. Eine solche Umdeutung wäre jedoch ausgeschlossen, wenn Sie Ihre Beschwerde ausdrücklich nur gegen Ing. XXXX richten möchten. Aus Ihrer Beschwerde ist nicht ersichtlich, wen Sie nun als Beschwerdegegner bezeichnen möchten.“
Mit E-Mail vom 04.04.2022 führte der MB gegenüber der DSB aus:
„1. Zu XXXX habe ich keinerlei Kontakt und auch keine geschäftlichen Beziehungen gehabt. Die Ausführungen des Ing. XXXX sind falsch. Er möge doch bitte darlegen, warum er davon ausgehe, ich würde in geschäftlicher Weise mit Herrn XXXX zusammenarbeiten.
2. Ihre Annahme, dass die gegenständliche Weiterleitung des E-Mails durch den Geschäftsführer erfolgt sei, ist korrekt.
3. Den E-Mail-Verkehr habe ich Ihnen bereits separat weitergeleitet.“
Mit Erledigung vom 23.05.2022 richtete die belangte Behörde ein Schreiben an den MB mit folgendem Inhalt:
Der MB habe mit Schreiben vom 04.04.2022 der DSB mitgeteilt, dass er den E-Mail-Verlauf bereits separat weitergeleitet habe. Bei der DSB sei kein entsprechender E-Mail-Verkehr eingelangt. Der MB werde ersucht, den gesamten E-Mail-Verkehr und Schriftverkehr mit dem Beschwerdegegner der DSB binnen Wochenfrist zu übermitteln.
Mit dem bekämpften Bescheid gab die belangte Behörde der Datenschutzbeschwerde - nunmehr gegen die XXXX GmbH als Beschwerdegegnerin - wegen Verletzung im Recht auf Geheimhaltung teilweise statt und stellte fest, dass ein Mitarbeiter der BF den MB dadurch im Recht auf Geheimhaltung verletzt habe, indem dieser die E-Mail-Adresse des MB einer dritten Person übermittelt habe. Im Übrigen werde die Beschwerde abgewiesen.
Die belangte Behörde stellte folgenden Sachverhalt fest:
„1. Ing. XXXX agiert als Geschäftsführer der BF, welche als Gesellschaft mit beschränkter Haftung im Firmenbuch unter FN XXXX eingetragen ist. Die BF fertigt frei programmierbare Regelungen für Heizungen und Solartechnik an.
2. Der MB hat sich telefonisch wegen eines Reglerdefektes an die BF gewendet. Er hat in diesem Zusammenhang von der BF die Herausgabe eines Passworts verlangt. Die BF hat dem MB mitgeteilt, dass das Passwort nicht von ihr vergeben werde, sondern von der Firma XXXX , konkret Hr. XXXX .
3. Die BF nahm mit Hrn. XXXX Kontakt auf, um für den MB zu intervenieren, dass der MB das Passwort bekommt. Im Zuge dessen hat die BF nachstehendes E-Mail an Hrn. XXXX weitergeleitet. Es wurde nicht die Anschrift und die Handynummer des MB an Hrn. XXXX übermittelt. Der MB hatte selber nie persönlichen oder geschäftlichen Kontakt zu Hrn. XXXX .“
In weiterer Folge wurde der Inhalt des bereits oben dargestellten E-Mails vom 05.01.2022 wiedergegeben.
Daraus folgerte die belangte Behörde rechtlich:
Hinsichtlich des zunächst vom MB genannten Beschwerdegegners (Ing. XXXX ) werde festgehalten, dass die Beschwerde zwar anfangs gegen diesen gerichtet gewesen sei, die DSB jedoch unter Heranziehung des Schreibens vom 21.03.2022 und der Stellungnahme des MB vom 04.04.2022 zur Auffassung gelangt sei, dass sich die vorliegende Beschwerde erkennbar gegen die XXXX GmbH richte.
In der Sache führte die belangte Behörde aus, die BF rechtfertige die Weiterleitung der E-Mail-Adresse damit, dass sie dies im Sinne der Kundenzufriedenheit, um eine Herausgabe des Passworts für den MB zu erreichen, getan habe, somit, um für den MB eine schnelle Lösung seines Problems zu erreichen.
Da die BF die Möglichkeit gehabt hätte, das Anliegen des MB auch auf anderem Weg durch ein gelinderes Mittel herzustellen, sei die Weitergabe der E-Mail-Adresse mit dem Grundsatz der Datenminimierung nicht in Einklang zu bringen. Die Weiterleitung der Daten des MB zur Abwicklung der Anfrage sei nicht erforderlich gewesen. Im Ergebnis liege eine unrechtmäßige Verarbeitung personenbezogener Daten vor. Es überwiege das Grundrecht des MB auf Datenschutz.
Mit E-Mail vom 27.07.2022 erhob Ing. XXXX „Einspruch“ gegen den I. Punkt des Bescheides vom 11.07.2022.
Nach diesbezüglichem Ersuchen der belangten Behörde vom 27.07.2022 um Klarstellung, ob Bescheidbeschwerde erhoben werden soll, erhob Ing. XXXX mit E-Mail vom 29.07.2022 Beschwerde gegen den gegenständlichen Bescheid (Spruchpunkt I.) mit dem Begehren, „die Behauptung des MB bezüglich der Verletzung des Rechts auf Geheimhaltung“ abzuweisen.
Die belangte Behörde legte die Beschwerde samt dem Verwaltungsakt dem BVwG einlangend per 04.08.2022 vor. Der Akt kam der Geschäftsabteilung W274 am 03.06.2024 zu.
Mit Beschluss vom 22.07.2024 brachte das Gericht dem MB die Beschwerde vom 29.07.2022 (samt dem vorangehenden „Einspruch“ und dem Verbesserungsauftrag vom 27.07.2022) zur allfälligen Äußerung binnen 14 Tagen zur Kenntnis und trug ihm gleichzeitig auf, den gesamten mit der BF geführten Schriftverkehr (E-Mail-Verkehr) binnen selber Frist zu übermitteln.
Am 13.09.2024 langte der mit internationalem Rückschein an den MB versandte Brief als „nicht abgeholt“ (laut Aufkleber der Deutschen Post samt Benachrichtigungslabel der Postfiliale XXXX XXXX ) beim Gericht ein. Laut Auskunft von hybrid.rueckschein@post.at wurde bei gegenständlicher Sendung „am 26.07.2024 ein erfolgloser Zustellversuch durchgeführt und in Folge am 26.07.2024 benachrichtigt. Da die Sendung nicht behoben wurde, wurde diese am 13.08.2024 retour gesandt.“
In der Folge beraumte das Gericht für den 21.10.2024 eine mündliche Verhandlung an, zu der alle Verfahrensparteien geladen wurden.
Am 09.10.2024 gab der MB telefonisch bekannt, dass er „so kurzfristig“ nicht von Deutschland nach Österreich reisen könne, sodass er an der Verhandlung nicht teilnehmen könne.
Mit Mail vom 11.10.2024 an das Gericht gab der MB bekannt, dass er die Ladung erhalten habe und aufgrund der Distanz eine Anreise nur mit dem Flugzeug möglich sei. Er ersuche um Bestätigung, ob die Flugkosten nach § 10 GebAG übernommen würden. Nach Rücksprache mit der Verrechnungsstelle informierte das Gericht den MB am 17.10.2024, dass es bei einer Anreise mit dem Flugzeug keine Garantie gebe, dass die Kosten zur Gänze gedeckt werden; es käme zu einem Vergleich mit den Kosten, die durch Anreise mittels öffentlichen Verkehrsmitteln entstehen würden.
Mit Mail vom 17.10.2024 gab der MB bekannt, dass er nicht zur Verhandlung erscheinen werde, zumal er nicht sicher sein könne, dass die Kosten erstattet werden.
Am 21.10.2024 führte das Gericht eine öffentliche mündliche Verhandlung durch, in der Ing. XXXX als Geschäftsführer der BF zeugenschaftlich befragt wurde.
Mit Beschluss vom 20.02.2025 trug das Gericht dem MB neuerlich auf, binnen 14 Tagen den gesamten mit dem GF Ing. XXXX oder sonstigen Mitarbeitern der BF oder Jörg XXXX oder dessen Unternehmen im Jänner und Februar 2022 im Zusammenhang mit einer Problematik eines Reglers der Fa. XXXX bzw. einem Passwort hiefür geführten Schriftverkehr (E-Mail-Verkehr) sowie in diesem Zusammenhang stehende Löschbegehren des MB gegenüber der BF, Ing. XXXX und XXXX bzw. dessen Unternehmen zu übermitteln. Im Falle der fortgesetzten nicht fristgemäßen Vorlage werde dieser Umstand durch das Gericht frei zu würdigen sein. Gleichzeitig wurde dem MB die Niederschrift über die mündliche Verhandlung am 21.10.2024 übermittelt und die bereits übermittelte aber offenbar nicht übernommene Beschwerde vom 29.07.2022 (samt dem vorangehenden „Einspruch“ und dem Verbesserungsauftrag vom 27.07.2022) sowie der Beschluss vom 22.07.2024 neuerlich zur Kenntnis angeschlossen.
Dieser Beschluss wurde dem MB wiederum mit internationalem Rückschein postalisch übermittelt.
Am 04.04.2025 langte der Brief mit dem Aufkleber „nicht abgeholt“ sowie einem Aufkleber der Postfiliale XXXX beim Gericht ein. Eine Nachforschung bei der Post über die Sendungsnummer ergab einen erfolglosen Zustellversuch am 03.03.2025 sowie einen weiteren erfolglosen Zustellversuch samt Benachrichtigung des Empfängers am 04.03.2025.
Aufgrund des Akteninhalts im Zusammenhalt mit den Ergebnissen der mündlichen Verhandlung steht folgender Sachverhalt fest:
Ing. XXXX fungiert als Geschäftsführer der BF, welche als Gesellschaft mit beschränkter Haftung im Firmenbuch unter FN XXXX eingetragen ist. Die BF fertigt frei programmierbare Regelungen für Heizung und Solartechnik an. Für diese muss in der Folge für den individuellen Kunden ein Regelalgorithmus erstellt werden, damit die Regelungen auf dessen Bedürfnisse angewendet werden können. Vor der Montage wird dieses individuelle Regelungsprogramm in den Heizregler eingespielt, erst damit wird die Anlage funktionstüchtig.
Der MB wandte sich zu einem nicht näher feststellbaren Zeitpunkt kurz vor dem 05.01.2022 telefonisch oder per Mail erstmals (ohne deren Kunde zu sein) an die BF im Zusammenhang mit einem Reglerdefekt an seinem Heizsystem. Der MB sprach zunächst mit Mitarbeitern in der Support-Abteilung der BF und danach auch mit dem GF Ing. XXXX . Darüber hinaus erteilte er am 04.01.2022 elektronisch einen Reparaturauftrag, beinhaltend auch folgende Passage: „Ich bitte weiterhin um Übersendung der Funktionsdaten der UVR. Falls Sie sich weiterhin diesbezüglich querstellen, bitte ich um eine Kontaktaufnahme durch Ihre Geschäftsführung.“
Das Heizsystem des MB stammt von der von XXXX betriebenen Firma ECO-Modul (ehemals XXXX , in der Folge „ XXXX “). Errichtet wurde die Anlage durch den Installateur STÖBER. Zum Schutz des Knowhows versah XXXX die für die konkrete Anlage erstellte Software mit einem Passwort als Kopierschutz. Die BF hätte dieses Passwort nicht auf legalem technischem Weg erlangen können. Der MB wandte sich auch deshalb an die BF, um die Übergabe des Passworts zu erwirken bzw. die Passwortsicherung zu umgehen, damit der MB die originale Regelsoftware in ein Neugerät einspielen bzw. die derzeitige Anlage optimieren könne. Der MB verfügt über eine entsprechende technische Ausbildung, um mit dem Passwort weiterarbeiten zu können.
Die E-Mail-Korrespondenz zwischen dem MB und Ing. XXXX führte - zur Enttäuschung des MB - nicht zur Herausgabe des Passwortes.
Im Zuge der Korrespondenz schrieb Ing. XXXX am 05.01.2022 folgendes E-Mail an den MB und leitete dieses in „cc“ an XXXX weiter:
„Verzeihung, Herr XXXX , aber so wie Sie argumentieren würde ich Sie im österreichischen Sprachgebrauch als „Advokatenhansl“ einschätzen und mit einer derartigen Mentalität möchte ich auf keinem Fall etwas zu tun haben.
Mit sonnigen Grüßen
Ing. XXXX
Geschäftsführung“
[in der Folge war der – inhaltlich nicht mehr feststellbare - Verlauf der bisherigen Mailkorrespondenz angehängt]
Mit der Weiterleitung dieses Mails an XXXX beabsichtigte Ing. XXXX , XXXX angesichts der fruchtlosen Kontakte mit dem MB dringlich zur Herausgabe des Passworts an den MB zu bewegen. Bereits zuvor hatte Ing. XXXX mit XXXX in dieser Angelegenheit telefoniert und ihn um Herausgabe des Passworts gegenüber dem MB gebeten.
Den weiteren Mailverlauf bzw. das gesamte (auch die bisherigen Mails enthaltende) oben nur auszugsweise dargestellte Mail konnte die BF nicht vorlegen, weil der MB noch am selben Tag (dem 05.01.2022) die BF um Datenlöschung nach Art 17 DSGVO ersucht und die BF diese Löschung noch am selben Tag vorgenommen hatte. Der MB legte trotz mehrmaliger Aufforderung seitens der belangten Behörde und des Gerichts den Mailverkehr nicht vor und begründete auch das Unterbleiben der Vorlage nicht.
Nicht festgestellt werden kann, ob der MB mit XXXX bereits vor dem gegenständlichen Mail vom 05.01.2022 (Mail-)Kontakt gehabt hatte und ob XXXX die Mailadresse des MB bekannt war.
Beweiswürdigung:
Die Feststellungen beruhen im Wesentlichen auf dem schlüssigen und Vorbringen der BF vom 17.03.2022 sowie den glaubwürdigen Aussagen von Ing. XXXX vor Gericht.
Dies gilt zunächst für den grundsätzlichen Tätigkeitsbereich der BF und das Zusammenspiel zwischen dieser, XXXX und dem Endkunden einer Heizanlage. Nachvollziehbar angesichts der Aussagen von Ing. XXXX ist auch, dass sich der MB an die BF wandte, um von ihr die Übergabe des von XXXX eingespielten Passworts seiner Heizanlage zu erwirken. Die Tatsache des Reparaturauftrags und der dortigen Ausführungen ergibt sich aus dem von der BF vorgelegten „RMA Antrag“. Die Ausführungen des MB „Ich bitte weiterhin um Übersendung der Funktionsdaten der UVR. Falls Sie sich weiterhin diesbezüglich querstellen, bitte ich um eine Kontaktaufnahme durch Ihre Geschäftsführung“ belegen die Absicht des MB, die Übergabe des entsprechenden Passworts zu erwirken. Auch dass der MB über eine entsprechende technische Ausbildung verfügt, aufgrund derer er mit dem Passwort etwas anfangen hätte können, ergibt sich aus der glaubwürdigen Aussage des Ing. („sobald er das Passwort hat, kann er auch die Verschaltungen wieder graphisch darstellen und Einstellungen wieder umändern“).
Dass dem gegenständlichen Mail vom 05.01.2022 bereits eine Mail-Korrespondenz vorausging, im Zuge derer es zwischen dem MB und Ing. XXXX zu keinem Konsens kam, ergibt sich nicht nur aus den Aussagen von Ing. XXXX in der Verhandlung betreffend das Mail vom 05.01.2022 („es war die Reaktion auf die vorherigen E-Mails des Hrn. XXXX , die auf sehr grobe Weise sich gegen Hrn. XXXX und Hrn. XXXX gewandt haben“), sondern auch aus dem vom MB mit seiner Datenschutzbeschwerde vorgelegten Mail selbst, aus dem schon aus dem abgeschnittenen Kästchen ganz unten erhellt, dass es sich eben nur um einen Ausschnitt eines Mailverlaufs handelt. Dies belegt auch die Einleitung durch Ing. XXXX („Verzeihung, Herr XXXX , aber so wie Sie argumentieren…“), wobei angesichts der Bezeichnung des MB als „Advokatenhansl“ naheliegt, dass es in der Kommunikation zu Unstimmigkeiten kam.
Die Tatsache der Weiterleitung des betreffenden Mails an XXXX wurde von der BF bzw. Ing. XXXX zugestanden. Dessen Absicht, XXXX doch noch dazu zu bringen, das Passwort herauszugeben, ergibt sich aus seiner nachvollziehbaren Aussage, wonach die Kommunikation schon so aufgeheizt war, dass er XXXX zur Abhilfe mahnen wollte: „Über Frage, weshalb ich das Hrn. XXXX in cc geschickt habe: Weil ich auf gut „Waldviertlerisch“ dem Hrn. XXXX zu verstehen geben wollte, mit dem XXXX ist nicht gut Kirschen essen und gib jetzt endlich dieses Passwort heraus!“ Aus den unwidersprochen gebliebenen glaubhaften Aussagen von Ing. XXXX ergibt sich auch, dass dieser bereits vor der Weiterleitung des Mails telefonischen Kontakt mit XXXX in der Angelegenheit gehabt und ihn um Herausgabe des Passworts gebeten hatte.
Auch die Tatsache seines Löschungsbegehrens blieb durch den MB unwidersprochen, sodass nachvollziehbar ist, weshalb die BF im Verfahren den gesamten Mailverkehr nicht vorlegen konnte. Der MB unterließ trotz Ankündigung in der Datenschutzbeschwerde und trotz mehrmaliger Aufforderung durch die belangte Behörde und das Gericht eine Vorlage ohne Begründung. Die entsprechenden Beschlüsse wurden dem MB, wie oben ausgeführt, jeweils mit internationalem Rückschein nachweislich zugestellt, wobei die unterbliebene Behebung trotz erfolgter Hinterlegung nichts an der erfolgreichen Zustellung ändert.
Die Negativfeststellung betreffend einen bereits bestehenden Mailkontakt des MB mit XXXX zum Zeitpunkt der Absendung des gegenständlichen Mails folgt der Aussage von Ing. XXXX , wonach er keinen E-Mail-Verkehr zwischen dem MB und XXXX gesehen bzw. dass XXXX „es“ nicht direkt gewusst habe (gemeint offenbar: die Mailadresse des MB).
Rechtlich folgt:
Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung des Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Gemäß Art 5 Abs 1 lit c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
Gemäß Art 6 Abs 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
In der Beschwerde bringt die BF, vertreten durch ihren GF Ing. XXXX vor, der MB habe nur einen für ihn vorteilhaften Auszug des Mails vorgelegt. Tatsächlich sei dieses viel länger gewesen, weil es zuvor bereits einen tagelangen Schriftverkehr gegeben habe und das Mailprogramm beim Antworten den gesamten Dialogverlauf anhänge. Darin seien wesentlich weniger personenbezogene Daten enthalten (vermutlich nur die Mailadresse) als der MB in seiner Anzeige behauptet habe. Die BF habe sich in der Durchführung einer vorvertraglichen Tätigkeit bemüht, die Wogen zwischen dem MB und dem Passwortinhaber zu glätten. Der Dialog sei im persönlichen Interesse des MB weitergegeben worden, in der Hoffnung, dass beim Empfänger die Erkenntnis reife, das Passwort doch zu übergeben.
Dazu ist auszuführen:
Der BF ist zunächst, wie bereits die belangte Behörde erkannte, beizupflichten, dass - entgegen der unsubstantiierten Behauptung des MB in seiner Datenschutzbeschwerde - in dem vom MB vorgelegten Mailauszug weder seine Handynummer noch seine (Post-)Anschrift enthalten war. Entsprechend hat bereits die belangte Behörde die darauf bezogene Beschwerde abgewiesen.
Glaubwürdig und nachvollziehbar führte die BF auch aus, sie habe den Mailverlauf mit dem MB in dessen persönlichem Interesse an XXXX weitergeleitet, damit dieser das vom MB begehrte Passwort doch noch an den MB herausgebe:
Wie festgestellt, trat der MB an die BF heran, um ein von XXXX in seine Heizanlage eingespieltes Passwort zu erlangen, mit dem er in der Folge die derzeitige Anlage optimieren bzw. die originale Regelsoftware in ein Neugerät überspielen hätte können. Das besondere Interesse des MB an diesem Passwort ergibt sich - wie festgestellt – auch aus seinen Ausführungen im Reparaturauftrag vom 04.01.2022, in dem er die Angelegenheit „zur Chefsache“ erklärte („Ich bitte weiterhin um Übersendung der Funktionsdaten der UVR. Falls Sie sich weiterhin diesbezüglich querstellen, bitte ich um eine Kontaktaufnahme durch Ihre Geschäftsführung“).
Aus den Feststellungen ergibt sich weiters, dass die BF nicht im Besitz des Passworts war und dieses legal nicht erlangen hätte können, sodass sie bei XXXX intervenierte, damit dieser dem MB das Passwort herausgebe. Die Übermittlung desselben an den MB wäre wohl am zweckmäßigsten an dessen Mailadresse möglich gewesen, sodass die Weiterleitung der Mailadresse zur Erreichung des im Interesse des MB liegenden Ziels, das Passwort zu erlangen, geeignet und insofern auch notwendig war. Entgegen der Ansicht der belangten Behörde, die nicht weiter darlegt, welche gelinderen Mittel die BF anwenden hätte können, liegt in der Bekanntgabe dieser Mailadresse an Herrn XXXX daher kein Verstoß gegen den Grundsatz der Datenminimierung.
Der MB, der sich im Übrigen kaum an dem von ihm eingeleiteten Verfahren beteiligte und mehreren behördlichen bzw. gerichtlichen Aufforderungen zur Vorlage von Beweismitteln bzw. zur Darlegung seines Standpunkts nicht nachkam, erläuterte in seiner Datenschutzbeschwerde auch nicht, welche Nachteile ihm aus der Weiterleitung seiner Mailadresse an XXXX entstanden wären. Wenn er dort anführt, dass er mit dem gegenständlichen Mail beleidigt worden sei (offenbar gemeint der Ausdruck „Advokatenhansl“), so ist die Sanktionierung allfälliger Beleidigungen nicht Gegenstand des Datenschutzes.
Dem MB ist zwar zuzugestehen, dass sich die von der BF bzw. Ing. XXXX als Geschäftsführer intendierte Aussage des gegenständlichen Mails (dringendes Ersuchen an XXXX um Herausgabe des Passworts) nur konkludent aus dem Mail ergibt. Angesichts der Vorgeschichte, die sich wohl aus dem angehängten Mailverlauf mit - mangels Mitwirkung des MB - nicht feststellbarem Inhalt ergibt, sowie des bereits vor der Weiterleitung erfolgten Telefonats zwischen Ing. XXXX und XXXX musste aber aus Sicht des Gerichts für diesen klar sein, dass die (kommentarlose) Weiterleitung des Mailverlaufs wie auch der Mailadresse des MB seitens der BF bzw. XXXX als dringendes Ersuchen aufzufassen war, das vom MB begehrte Passwort diesem herauszugeben (durch Übermittlung an dessen Mailadresse), um die eskalierende Kommunikation zu beruhigen.
Eine Abwägung der wechselseitigen Interessen der BF und des MB, wie sie § 1 Abs 2 DSG sowie Art 6 Abs 1 lit f DSGVO als Rechtfertigungsgrund für eine Datenverarbeitung (hier durch Weitergabe der Mailadresse) vorsehen, trägt nach Einschätzung des Senats unter Berücksichtigung der besonderen Umstände des Einzelfalls dieses Ergebnis:
Zum einen bestand ein berechtigtes Interesse der BF darin, die an die BF herangetragene Angelegenheit mit dem MB, der ursprünglich gar nicht deren Kunde war, rasch zu bereinigen, wozu die Herausgabe des Passworts durch XXXX , von dem der MB seine Heizanlage bezogen hatte, ein geeignetes und notwendiges Mittel gewesen wäre. Vor allem diente die Weiterleitung der Mailadresse des MB an XXXX durch die BF aber dem Interesse des MB selbst, das Passwort zu erhalten. Vor diesem Hintergrund ist das Geheimhaltungsinteresse des MB an seiner Mailadresse, welche er bei XXXX ohnehin bekannt geben hätte müssen, wenn dieser ihm (mit oder ohne Intervention der BF) das Passwort herauszugeben bereit gewesen wäre, als gering einzustufen, und überwiegt im Sinne der auch von der belangten Behörde im Bescheid zitierten Rechtsprechung des EuGH zu Art 6 Abs 1 lit f DSGVO das geschilderte Interesse der BF nicht.
Im Ergebnis war die Datenschutzbeschwerde des MB daher in ihrer Gesamtheit abzuweisen, sodass der Bescheidbeschwerde der BF Berechtigung zukommt und der angefochtene Bescheid entsprechend abzuändern war.
Der Ausspruch der Unzulässigkeit der Revision folgt dem Umstand, dass es sich um eine Einzelfallentscheidung handelt und unter Berücksichtigung der einschlägigen höchstgerichtlichen Rechtsprechung entschieden wurde.
Rückverweise
RIS