Spruch
W605 2270910-1/11E
W605 2271598-1/11E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag.a Julia LUDWIG als Vorsitzende und der fachkundigen Laienrichterin Sandra POGLITSCH, LL.M. und den fachkundigen Laienrichter Florian SCHULTES über die Beschwerde von 1. XXXX , vertreten durch noyb – Europäisches Zentrum für digitale Rechte, 1140 Wien, vom 18.04.2023 gegen Spruchpunkt 2) und 3) sowie über die Beschwerde von 2. XXXX , vertreten durch Baker McKenzie – Rechtsanwälte LLP Co KG, 1010 Wien, 21.04.2023 gegen Spruchpunkt 1) des Bescheides der Datenschutzbehörde vom 24.03.2023, GZ. D124. XXXX , in nicht öffentlicher Sitzung:
A)
I. beschlossen:
Die Verfahren werden zur gemäß §§ 17 VwGVG iVm § 39 Abs. 2 AVG zur gemeinsamen Entscheidung verbunden.
II. zu Recht erkannt:
1. Die Beschwerde der Zweitbeschwerdeführerin gegen Spruchpunkt 1) des angefochtenen Bescheides wird als unbegründet abgewiesen.
2. Der Beschwerde des Erstbeschwerdeführers gegen Spruchpunkt 2) des angefochtenen Bescheides wird stattgegeben und der angefochtene Bescheid wie folgt abgeändert:
Festgestellt wird, dass die Beschwerdegegnerin gegen den Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO iVm Art.6 Abs. 4 DSGVO verstoßen hat.
3. Der Beschwerde des Erstbeschwerdeführers gegen Spruchpunkt 3) des angefochtenen Bescheides wird abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
I.1. Beiden hier gegenständlichen Beschwerden liegt das Verfahren der Datenschutzbehörde (im Folgenden: belangte Behörde) zur Zl. D124. XXXX betreffend die Datenschutzbeschwerde des Erstbeschwerdeführers vom 18.03.2021 zugrunde. Hierin behauptete der Erstbeschwerdeführer – soweit verfahrensrechtlich relevant – die XXXX (im Folgenden: Zweitbeschwerdeführerin) und die XXXX GmbH (in der Folge: Y GmbH) hätten den Zweckbindungsgrundsatzes gemäß Art. 5 Abs. 1 lit. b iVm Art. 6 Abs. 4 DSGVO verletzt, indem die Y GmbH zunächst Daten des Erstbeschwerdeführers zum Zweck der „Ausübung des Gewerbes des Adressverlags gemäß § 151 GewO“ erhoben und diese Daten anschließend der Zweitbeschwerdeführerin übermittelt hätte, welche ihrerseits diese Daten zum Zweck der „Ausübung des Gewerbes der Auskunftei über Kreditverhältnisse gemäß § 152 GewO“ (weiter-) verarbeitet habe. Dieser Zweck der Datenverarbeitung durch die Zweitbeschwerdeführerin sei mit dem ursprünglichen Zweck der Y GmbH als Datenlieferanten nicht vereinbar. Auch liege kein Rechtfertigungstatbestand weder für die Datenverarbeitung durch die Y GmbH noch für jene durch die Zweitbeschwerdeführerin vor. Ergänzend stellte der Erstbeschwerdeführer den Antrag, gegen die Zweitbeschwerdeführerin ein Verarbeitungsverbot gemäß Art. 58 Abs. 2 DSGVO dahingehend zu verhängen, dass der Zweitbeschwerdeführerin verboten werde, personenbezogene Daten bei Adressverlagen iSd § 151 GewO zu erheben und diese zu Bonitätsbeurteilungszwecken iSd § 152 GewO zu verarbeiten.
I.2. Hierzu durch die belangte Behörde aufgefordert brachte die Zweitbeschwerdeführerin mit Stellungnahme vom 06.05.2021 – soweit verfahrensrechtlich relevant – Folgendes vor:
Sie verfüge u.a. über eine Gewerbeberechtigung als Adressverlag gemäß § 151 GewO und verarbeite drei Adressen des Erstbeschwerdeführers XXXX , die sie von der Y GmbH erhalten habe. Sie habe die Adressdaten zu den in ihrer Datenschutzerklärung genannten Zwecken erhoben und verarbeite diese in weiterer Folge zu diesen und keinen anderen Zwecken. Dies sei auch im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO dokumentiert. Die Zweitbeschwerdeführerin und die Y GmbH träfen keine gemeinsame Entscheidung über die Mittel und Zwecke der Datenverarbeitung. Daher seien beide Unternehmen als selbständige Verantwortliche anzusehen. Sie hätten weder eine Vereinbarung nach Art. 28 DSGVO noch eine nach Art. 26 DSGVO abgeschlossen. Der Grundsatz der Zweckbindung sei erfüllt, da der Zweck der Übermittlung von Adressdaten von der Y GmbH an die Zweitbeschwerdeführerin gemäß § 151 Abs. 6 GewO e contrario nicht auf Marketingzwecke beschränkt sei, sondern liege ex lege in der Ausübung des Gewerbes der Y GmbH gemäß § 151 GewO. Ferner sei jeder Verantwortliche ausschließlich an die von ihm selbst festgelegten Zwecke gebunden, es bestehe eine Zweckkompatibilität ex lege, weil die Datenverarbeitung von der Y GmbH als Adressverlag und jene der Zweitbeschwerdeführerin als Kreditauskunftei auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruhten, und auch nach den Faktoren des Art. 6 Abs. 4 DSGVO sei eine Kompatibilität der in Rede stehenden Zwecke gegeben, insbesondere aufgrund der niederschwelligen Natur der gegenständlichen Adressdaten. Die Y GmbH verfüge über eine Gewerbeberechtigung als Adressverlag nach § 151 GewO, weshalb der Zweck der Datenverarbeitung im Sinne dieser Norm zu prüfen sei. Der gesetzlichen Tätigkeit als Adressverlag sei es immanent, dass der Adressverlag Daten an seine Kunden zum Zweck der Ausübung seines Gewerbes übermittle. Dieser Zweck sei vielfältig und nicht auf Marketingzwecke beschränkt. Da die Übermittlung der Adressdaten von der Y GmbH an die Zweitbeschwerdeführerin ohne Beschränkung auf Marketingzwecke und allgemein zum Zweck der Ausübung des Gewerbes des Adressverlags durch die Y GmbH erfolgt sei, stehe die nachfolgende Verarbeitung der Adressdaten durch die Zweitbeschwerdeführerin zu den in ihrer Datenschutzerklärung genannten Zwecken hiermit in vollem Einklang. Die Zweckbindung ieS beziehe sich wesensnotwendig auf die Zweckfestlegung durch den Verantwortlichen selbst. Ein Rückgriff auf die Zweckfestlegung durch einen Dritten (z.B. jenen Dritten, bei welchem die Daten erstmals erhoben worden seien), scheide aus, weil dies bedeuten würde, dass der Verantwortliche seine Zwecke nicht mehr selbst festlegen könnte bzw. der Grundsatz der Zweckfestlegung für ihn gar nicht gelten würde. Der Grundsatz der Zweckbindung hafte am jeweiligen Verantwortlichen, nicht hingegen an Dritten. Da die Zweitbeschwerdeführerin die Adressdaten zu den in ihrer Datenschutzerklärung genannten Zwecken erhoben habe und auch nur für diese Zwecke verarbeite, sei der Grundsatz der Zweckbindung bereits aus diesem Grund gewahrt. Da die Adressdaten von der Y GmbH an die Zweitbeschwerdeführerin auf Grundlage und im Rahmen des § 151 GewO übermittelt worden sei, beruhe die in der Übermittlung liegende Weiterverarbeitung auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten und daher sei der Zweckbindungsgrundsatz ex lege als erfüllt anzusehen. Jedenfalls sei eine Kompatibilität zwischen den Zwecken der Y GmbH und der Zweitbeschwerdeführerin gemäß Art. 6 Abs. 4 DSGVO gegeben, selbst dann, wenn man die Verarbeitungszwecke der Y GmbH lediglich auf „Marketingzwecke“ beschränke.
I.3. Mit ergänzender Stellungnahme vom 01.12.2022 brachte die Zweitbeschwerdeführerin im Wesentlichen vor, dass sich der Zweck der Übermittlung von Adressdaten nicht auf Marketingzwecke beschränke, sondern ex lege in der Ausübung des Gewerbes der Y GmbH gemäß § 151 GewO liege. Die Tätigkeit eines Adressverlags umfasse den Bereich des „Customer-Relationship-Management (CRM)“, wozu auch Bonitätsprüfungen gehörten. Daher habe die Y GmbH die verfahrensgegenständlichen Adressdaten bereits zum Zweck der Ermöglichung von Bonitätsprüfungen erhoben und sie zu demselben Zweck an die Zweitbeschwerdeführerin übermittelt. Es liege somit keine Zweckänderung vor.
I.4. Mit Bescheid vom 22.07.2022, GZ. D124. XXXX , gab die belangten Behörde (im Parallelverfahren) der Datenschutzbeschwerde des Erstbeschwerdeführers gegen die Y GmbH statt und stellte fest, dass die Y GmbH gegen den Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO verstoßen und deshalb die Daten des Erstbeschwerdeführers unrechtmäßig entgegen Art. 6 Abs. 1 iVm Abs. 4 DSGVO verarbeitet habe, indem die Y GmbH zumindest Name, Adresse und Geburtsdatum des Erstbeschwerdeführers, die sie ursprünglich für Zwecke des Adressverlags und Direktmarketings erhoben gehabt habe, an die Zweitbeschwerdeführerin übermittelt habe, welche diese Daten wiederrum in Folge zu Bonitätsbeurteilungszwecken nach § 152 GewO verarbeitet habe (Spruchpunkt 1).
Die Entscheidung im Parallelverfahren brachte die belangte Behörde den hier gegenständlichen Verfahrensparteien mit Schreiben vom 22.12.2022 nochmals gesondert zur Kenntnis.
1.5. Hierauf bezugnehmend führte die Zweitbeschwerdeführerin mit Schreiben vom 01.02.2023 im Wesentlichen aus, die Zwecke der Erhebung der Daten durch die Y GmbH und der Übermittlung an bzw. Verarbeitung durch die Zweitbeschwerdeführerin seien ident. Der Zweck der Datenerhebung und -verarbeitung durch die Y GmbH habe u.a. darin bestanden, Adressdaten an Kreditauskunfteien zu Zwecken der Bonitätsbewertung zu übermitteln. Dieses Ergebnis stehe auch mit § 151 Abs. 6 GewO im Einklang.
I.6. Mit Stellungnahme vom 09.03.2023 führte der Erstbeschwerdeführer unter Verweis auf den gegen die Y GmbH ergangenen Bescheid vom 22.07.2022 im Wesentlichen aus, es liege keine Zweckkompatibilität, schon gar keine Zweckidentität vor. Entgegen den Ausführungen der Zweitbeschwerdeführerin liege zwischen Marketingzwecken und Bonitätshochrechnung eine Zweckänderung vor. Selbst wenn „Customer-Relationship-Management (CRM)“ unter das Gewerbe des § 151 GewO fallen würde, dürfte die Y GmbH in diesem Bereich daher nur jene Daten übermitteln, die die Zweitbeschwerdeführerin zur Pflege ihrer Kundenbeziehungen benötige, also größtenteils nicht personenbezogene Daten von Unternehmern, die die Dienstleistungen der Zweitbeschwerdeführerin in Anspruch nähmen, also dort Bonitätsberichte kauften. Bei den Personen, deren Daten die Zweitbeschwerdeführerin bei der Y GmbH erhoben habe, handle es sich nicht um Kunden, sie habe zu ihnen keinerlei Geschäftsbeziehung, weshalb sie nicht unter den Begriff des „CRM“ fielen.
I.7. Mit dem hier verfahrensgegenständlichen Bescheid vom 24.03.2023, GZ. D124. XXXX , gab die belangte Behörde der Datenschutzbeschwerde hinsichtlich des Verstoßes gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung statt und stellte fest, dass die Zweitbeschwerdeführerin die Daten des Erstbeschwerdeführers (zumindest: Name, Adresse und Geburtsdatum) entgegen den Vorgaben des Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 DSGVO unrechtmäßig von [der Y GmbH] erhoben und in Folge zu Bonitätsbeurteilungszwecken verarbeitet habe (Spruchpunkt 1). Die Beschwerde wegen der behaupteten Verletzung des Grundsatzes der Zweckbindung wies die belangte Behörde ab (Spruchpunkt 2) und den Antrag auf Verhängung eines Datenverarbeitungsverbots zurück (Spruchpunkt 3).
I.8. Am 18.04.2023 erhob der Erstbeschwerdeführer fristgerecht Beschwerde gegen Spruchpunkt 2. und Spruchpunkt 3. des Bescheides der belangten Behörde.
1.8.1. Seine Beschwerde gegen Spruchpunkt 2. des angefochtenen Bescheides führte der Erstbeschwerdeführer im Wesentlichen wie folgt aus: Entscheidend sei einzig und allein, dass die Entscheidung der Zweitbeschwerdeführerin, die personenbezogenen Daten des Beschwerdeführers zu Bonitätsbeurteilungszwecken zu verarbeiten, ausgehend vom ursprünglichen Verarbeitungszweck eine Zweckänderung iSd Art. 5 Abs. 1 lit. b DSGVO zur Folge gehabt habe, die nicht gemäß Art. 6 Abs. 4 DSGVO legitimiert worden sei. Denn auch die Erhebung der Daten durch die Zweitbeschwerdeführerin zu Bonitätsbeurteilungszwecken „von Beginn an“ hätte infolge der Zweckänderung nur bei einem positiven Zweckkompatibilitätstest nach Art. 6 Abs. 4 DSGVO oder einer Einwilligung des Erstbeschwerdeführers erfolgen dürfen. Die Zweitbeschwerdeführerin habe gegen Art. 5 Abs. 1 lit. b DSGVO verstoßen und die Daten des Erstbeschwerdeführers unrechtmäßig, weil entgegen Art. 6 Abs. 1 iVm Abs. 4 DSGVO, verarbeitet, in dem sie diese Daten zu Bonitätsbeurteilungszwecken nach § 152 GewO bei der Y GmbH erhoben und zu diesem Zweck verarbeitet habe, ohne einen Zweckkompatibilitätstest durchgeführt zu haben. Dieser Verstoß liege unabhängig und zusätzlich zu dem in Spruchpunkt 1. des angefochtenen Bescheids festgestellten Verstoß gegen Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 DSGVO durch die Zweitbeschwerdeführerin sowie den Datenschutzverstößen durch die Y GmbH vor und habe der Erstbeschwerdeführer auch diesbezüglich die Feststellung eine Rechtsverletzung begehrt.
1.8.2. Im Hinblick auf Spruchpunkt 3. des angefochtenen Bescheides führte der Beschwerdeführer zusammengefasst aus, dass die bloße Feststellung der Rechtswidrigkeit der historischen Datenverarbeitung durch die Zweitbeschwerdeführerin keinen Rechtsschutz des Erstbeschwerdeführers gegen mögliche zukünftige Datenübermittlungen biete. Auch wenn die Y GmbH und die Zweitbeschwerdeführerin sämtliche personenbezogene Daten zum Erstbeschwerdeführer aus ihren Datenbanken löschen sollten, sei zu befürchten, dass die Y GmbH künftig abermals Daten des Erstbeschwerdeführers, ohne ihn darüber zu informieren erhebt und diese an die Zweitbeschwerdeführerin übermittelt, welche damit Bonitätsbeurteilungen vornehme, abermals ohne diesbezügliche Information des Erstbeschwerdeführers.
Im aufsichtsbehördlichen Verfahren gemäß Art. 77 DSGVO sei grundsätzlich ein subjektiver Anspruch auf Verhängung eines Verarbeitungsverbots gemäß Art. 58 Abs. 2 lit. f DSGVO zu bejahen. Verneine man die Möglichkeit der Rechtsdurchsetzung von festgestellten DSGVO-Verletzungen im aufsichtsbehördlichen Verfahren durch die betroffene Partei selbst, würde dies dem unionsrechtlichen Effektivitätsgrundsatz nicht genügen. Ein Verarbeitungsverbot sei gegenständlich die einzige Möglichkeit, einen DSGVO-konformen Zustand herzustellen und auch für die Zukunft sicherzustellen. Ein subjektiver Anspruch auf Verbotsverhängung bestehe auch aufgrund der immanenten Gefahr einer Wiederholung der begangenen Datenschutzverletzungen, da die Zweitbeschwerdeführerin betont habe, dass eine Datenlöschung nicht verhindere, dass die Daten des Beschwerdeführers abermals in der Datenbank der Zweitbeschwerdeführerin verarbeitet werden würden. Auch entspreche es der VwGH-Judikatur, dass Normen, die ein behördliches Vorgehen auch und gerade im Interesse eines Betroffenen vorschreiben, diesem im Zweifel ein subjektives, also im Beschwerdegang durchsetzbares Recht einräumen. Selbst wenn man keinen subjektiven Anspruch annehme, sei das Ermessen zu Handeln der belangten Behörde im vorliegenden insofern gebunden, als ein Verarbeitungsverbot bei einer so eklatanten Rechtsverletzung das einzig effektive Mittel sei.
I.9. Auch die Zweitbeschwerdeführerin erhob mit Schriftsatz vom 21.04.2023 Bescheidbeschwerde gegen Spruchpunkt 1 des Bescheides der belangten Behörde. Diese brachte – soweit verfahrensgegenständlich – im Wesentlichen vor, dass ein allfälliger Verstoß in der Sphäre eines Übermittlers (Anm. der Y GmbH) nicht die Rechtmäßigkeit der Verarbeitung durch den Übermittlungsempfänger beeinträchtige. Die Übermittlung von Adressdaten des Erstbeschwerdeführers durch die Y GmbH an die Zweitbeschwerdeführerin sei vom Umfang des Gewerbes eines Adresshändlers iSd § 151 GewO umfasst. Seitens des Bundesministers für Wirtschaft und Arbeit wurde auf Nachfrage bestätigt, dass die Tätigkeit von Adressverlagen nicht auf die Lieferung von Marketinginformationen und -klassifikationen beschränkt sei, sondern auch die Adressverifikation für E-Commerce-Versandhändler oder Lieferung von Adressdaten zur Versendung von Zahlungserinnerungen und ganz allgemein das Customer-Relationsmanagement umfasse. Hierzu zähle auch die Übermittlung von Adressdaten an eine Kreditauskunftei zum Zweck der Bonitätsbeurteilung. Die Zweitbeschwerdeführerin habe somit von der Rechtmäßigkeit der Übermittlung ausgehen dürfen, weshalb ein allfälliger Verstoß durch die Y GmbH nicht auf die Rechtmäßigkeit der Verarbeitung der von der Y GmbH gelieferten Daten durchschlagen könne. Hierauf sei die belangte Behörde nicht eingegangen.
Schließlich könne ein Verstoß gegen Art. 5 DSGVO nicht im Rahmen eines Beschwerdeverfahrens nach Art. 77 DSGVO bzw. § 24 DSG geltend gemacht werden und sei § 1 DSG nicht anwendbar.
I.10. Die Beschwerde des Erstbeschwerdeführers wurde dem Bundesverwaltungsgericht samt bezughabenden Verwaltungsakt am 27.04.2023 vorgelegt, jene der Zweitbeschwerdeführerin samt bezughabenden Verwaltungsaktes am 10.05.2023.
I.11. Mit Verfügung des Geschäftsverteilungsausschusses wurden die gegenständlichen Rechtssachen der Gerichtsabteilung W245 abgenommen und der Gerichtsabteilung W605 am 06.11.2023 neu zugewiesen.
I.12. Die gegen og. Bescheid vom 22.07.2022, GZ. D124. XXXX betreffend die Datenverarbeitung durch die Y GmbH erhobenen Beschwerden des Erstbeschwerdeführers in diesem Verfahren wie auch der Y GmbH wurden beide mit Erkenntnis vom 03.04.2025 als unbegründet abgewiesen (GZ.en W176 2259543-1/15E und W176 2259545-1/11E).
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter I. dargestellte Verfahrensgang wird den Feststellungen zugrunde gelegt und insbesondere überdies festgestellt:
1.1. Die Y GmbH ist seit 02.02.2018 zur Ausübung des Gewerbes des Adressverlages und Direktmarketingunternehmen gemäß § 151 GewO berechtigt.
Die Zweitbeschwerdeführerin betreibt seit 16.01.2013 (ebenfalls) das Gewerbe „Adressverlag und Direktmarketingunternehmen“ gemäß § 151 GewO. Ferner verfügt sie seitdem auch über eine Gewerbeberechtigung als Kreditauskunftei gemäß § 152 GewO und ist berechtigt Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik iSd § 153 GewO auszuüben.
1.2. Die Zweitbeschwerdeführerin ist als Auskunftei über kredit- und bonitätsrelevante Verhältnisse betroffener Personen einschließlich Betrugsvermeidung tätig und betreibt damit zusammenhängend eine Identitäts- und Bonitätsdatenbank, sog. „ XXXX -Datenbank“.
1.3. Die Zweitbeschwerdeführerin schloss mit der Y GmbH (damals: XXXX GmbH) im Dezember 2012 eine Vereinbarung über die Lieferung und die Nutzung von Adressdaten ab. Dieser Vertrag hat auszugsweise Folgendes zum Inhalt (Hervorhebungen durch das erkennende Gericht): „Präämbel 1. Die [Y GmbH] ist aufgrund der Gewerbeberechtigung für Adressenverlage und Direktmarketingunternehmen … zur Ermittlung, Verarbeitung, Verwendung, Überlassung und Übermittlung von personenbezogenen Daten im Rahmen des Gesetzes berechtigt. .. 3. [Die Zweitbeschwerdeführerin] ist gleichfalls aufgrund einer eigenen Gewerbeberechtigung für Adressenverlage und Direktmarketingunternehmen sowie einer Datenanmeldung in Österreich zur Ermittlung, Verarbeitung, Verwendung, Überlassung und Übermittlung von personenbezogenen Daten im Rahmen des Gesetzes berechtigt. …. 1 Gegenstand der Vereinbarung
1. [Die Y GmbH] liefert [Zweitbeschwerdeführerin] für die Dauer der Vereinbarung nachstehende Datenarten:
Name und Vorname
Adresse
Telefonnummer…
….
2. [Die Zweitbeschwerdeführerin] hat hinsichtlich dieser von [der Y GmbH] übermittelten Adressdaten ein beschränktes Nutzungsrecht für eigene Zwecke zum Datenabgleich, Adressidentifikation, Adresssuche, Adresskorrektur und Adressergänzung auf ihren eigenen Systemen und ihren eigenen Internetapplikationen, sei es in-house oder out-house. Die Verwendung dieser Daten zu anderen Tätigkeiten, sowie die entgeltliche oder unentgeltliche Übermittlung oder Überlassung dieser Adressdaten an Dritte ist unzulässig. [Die Zweitbeschwerdeführerin] ist berechtigt, Adressen als Ergebnis von Einzelabfragen im Rahmen einer konkreten Bonitäts- oder Identitätsabfrage zu übermitteln. Falls es zu solch einer Übermittlung kommt, stellt [die Zweitbeschwerdeführerin] sicher, dass der Übermittlungsempfänger diese Adressen weder an Dritte weitergeben noch selbst zu Marketingzwecken verwenden darf.
...“
1.4. Infolge des Inkrafttretens der DSGVO am 25.05.2018 schlossen die Zweitbeschwerdeführerin und die Y GmbH zu diesem Vertrag den Nachtrag mit nachfolgendem Inhalt: „1 Einleitung
Die Vertragsparteien arbeiten derzeit auf Basis der „Vereinbarung über die Lieferung und Nutzung von Adressdaten“ vom Dezember 2012 zusammen. Diese Vereinbarung wird in Folge als „Hauptvertrag“ bezeichnet, [..].
Im Lichte der Gültigkeit der DSGVO seit 25.05.2018 vereinbaren die Vertragsparteien wie folgt:
Es herrscht das gemeinsame Verständnis, dass zwischen [der Zweitbeschwerdeführerin] und [der Y GmbH] kein Auftragsverarbeitungsverhältnis vorliegt, sondern beide Vertragsparteien als eigenständige datenschutzrechtliche Verantwortliche zu qualifizieren sind.
2 Vertragsgegenstand 2.1. Gegenstand der Verarbeitung im Rahmen des Hauptvertrages Zurverfügungstellung einer eingeschränkten Nutzung von bestimmten Datenmerkmalen bestimmter Personen für eine bestimmte Dauer von ihrer Datenbank „A-Plus Consumer“ durch [Y GmbH] zu folgenden Zwecken:
1. Marketingzwecken der [Zweitbeschwerdeführerin] für eigenen Marketingmaßnahmen und Marketingmaßnahmen, die [die Zweitbeschwerdeführerin] für Dritte durchführt oder vorbereitet.
2. Referenzierungs- und Validierungszweck, das sind solche der Feststellung der besseren Erreichbarkeit und Zustellbarkeit, zum Zwecke der Korrektur und/oder Ergänzung der Datenbestände von [der Zweitbeschwerdeführerin] oder deren Kunden samt Verwertung zur Verbesserung von analysierten Datensätzen von [der Zweitbeschwerdeführerin].
3. Sonstige Zwecke, zu welchen [die Y GmbH] und oder [die Zweitbeschwerdeführerin] aufgrund gesetzlicher Bestimmungen berechtigt ist, die Daten zu verarbeiten.
[Y GmbH] führt keine eigenen Tätigkeiten für [die Zweitbeschwerdeführerin] durch und ist nur zur Wartung und Datenpflege ihrer Datenbank Aplus samt Einspielung und Übermittlung von Updates verpflichtet.“
1.5. Die Zweitbeschwerdeführerin hat personenbezogene Daten des Erstbeschwerdeführers, konkret dessen Name und Geburtsdatum, sowie (teils historische) Adressen von der Y GmbH erworben bzw. wurden die genannten Daten des Erstbeschwerdeführers der Zweitbeschwerdeführerin durch die Y GmbH übermittelt.
Die Y GmbH selbst ermittelte und speicherte gegenständliche personenbezogene Daten aufgrund deren Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen iSd § 151 GewO.
1.6. Die so erhaltenen personenbezogenen Daten des Erstbeschwerdeführers wurden durch die Zweitbeschwerdeführerin zu den Zwecken der Ausübung des Gewerbes nach § 152 GewO in ihrer Identitäts- und Bonitätsdatenbank („ XXXX -Datenbank“) erfasst, zur Weitergabe gespeichert und auch an Dritte zusammen mit einem seitens der Zweitbeschwerdeführerin errechneten Bewertungsscore („Bonitäts-Score“) an Dritte (Kunden) übermittelt.
1.7. Der Erstbeschwerdeführer steht bzw. stand weder mit der Zweitbeschwerdeführerin noch mit der Y GmbH in einem Vertragsverhältnis zueinander. Der Erstbeschwerdeführer hat weder der Zweitbeschwerdeführerin noch der Y GmbH seine Daten selbst zur Verfügung gestellt.
Der Erstbeschwerdeführer wurde nicht individuell darüber informiert, dass die Y GmbH personenbezogene Daten von ihm erfasste und auch nicht, dass diese an die Zweitbeschwerdeführerin übermittelt und nachfolgend von dieser in ihrer Identitäts- und Bonitätsdatenbank („ XXXX -Datenbank“) erfasst wurden.
2. Beweiswürdigung:
2.1. Die Feststellungen zu Punkt 1.1. zu den Gewerbeberechtigungen der Y GmbH sowie der Erstbeschwerdeführer ergibt sich aus aktuellen amtswegig eingeholten Auszüge aus dem Gewerbeinformationssystem Austria.
2.2. Die Feststellung zu 1.2. betreffend die Tätigkeit der Zweitbeschwerdeführerin, inklusive der Betreibung einer Identitäts- und Bonitätsdatenbank ergeben sich aus den von dieser selbst vorgelegten Dokumenten, hinsichtlich deren Echtheit und Richtigkeit sich zu keinem Zeitpunkt im Verfahren Zweifel ergeben haben, insbesondere dem Verarbeitungsverzeichnis der Zweitbeschwerdeführerin, vorgebracht iRd Stellungnahme vom 06.05.2021, Beilage ./C.
2.3. Die Feststellung zu Punkt 1.3. und 1.4. betreffend die seitens der Zweitbeschwerdeführerin mit der Y GmbH geschlossenen Vereinbarungen ergeben sich aus den von der Zweitbeschwerdeführerin selbst vorgelegten Dokumenten, hinsichtlich deren Echtheit und Richtigkeit zu keinem Zeitpunkt im Verfahren sich Zweifel ergeben haben, konkret den Vertragsdokumenten, vorgebracht iRd Stellungnahme vom 06.05.2021, Beilage ./D.
2.4. Die Feststellungen zu Punkt 1.5. hinsichtlich der Verarbeitung personenbezogener Daten des Erstbeschwerdeführers gründen auf der unstrittigen Auskunft der Zweitbeschwerdeführerin vom 11.05.2021, vorgelegt durch den Erstbeschwerdeführer iRd Datenschutzbeschwerde vom 18.03.2021, Beilage ./5.
Dass die Y GmbH die eigene Datenverarbeitung auf ihre Gewerbeberechtigung gemäß § 151 GewO stützt, ergibt sich aus dem zu 1.3. und 1.4. festgestellten Vertragsinhalt.
2.5. Feststellungen zu Pkt. 1.6. hinsichtlich der Frage, ob die festgestellte Verarbeitung im Rahmen der angemeldeten Gewerbe bzw. im Rahmen welcher Gewerbe erfolgte, gründen auf der genannten Auskunft vom 11.02.2021, durch den Erstbeschwerdeführer vorgelegt iRd Datenschutzbeschwerde, Beilage 5, und wurden konkretisiert durch das Vorbringen der Zweitbeschwerdeführerin selbst, wonach sie die Daten des Erstbeschwerdeführers zu den in der Datenschutzerklärung genannten Zwecken verarbeite, wie dies auch im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sei. Dieses seitens der Zweitbeschwerdeführerin als Beilage./C zur Stellungnahme vom 06.05.2021 vorgelegte und als Beweismittel ins Verfahren eingeführte Verarbeitungsverzeichnis betrifft die Verarbeitungstätigkeit der Auskunftei über kredit- und bonitätsrelevante Verhältnisse betroffener Personen unter Verwendung der Identitäts- und Bonitätsdatenbank des Verantwortlichen („ XXXX -Datenbank“). Als Verarbeitungszwecke werden ebensolche Tätigkeiten aufgezählt, aus welchen ausschließlich eine Verarbeitung zu Bonitätszwecken unzweifelhaft hervorgeht („Identitätsfeststellung, Risikomanagement (= insb Berechnung einer zukünftigen Zahlungsausfallswahrscheinlichkeit), Erfüllung von Compliance-Vorschriften iwS, denen die Kunden der XXXX unterliegen (insbesondere Bestimmungen zur Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung, Anti-Korruption, sowie die Bestimmungen der § 7 VKrG, § 9 HIKrG und § 25 GSpG) und Due Diligence Prüfungen. Kreditwürdigkeitsprüfung, Altersverifikation, Tarifierung, Konditionierung, Kundenbetreuung, Betrugsprävention, Seriositätsprüfung, Anschriftenermittlung.“).
2.6. Dass zwischen den Verfahrensparteien und auch zwischen dem Erstbeschwerdeführer und der Y GmbH keine Vertragsverhältnisse bestanden und dieser auch seine gegenständlichen personenbezogenen Daten nicht selbst zur Verfügung gestellt hatte und über das Erfassen und Übermitteln seiner personenbezogenen Daten auch nicht informiert wurde, ergibt sich unstrittig aus dem diesbezüglich gleichbleibenden Vorbringen beider Verfahrensparteien stringent während des gesamten Verfahrens.
3. Rechtliche Beurteilung:
3.1. Gemäß Art. 130 Abs. 1 Z 1 Bundes-Verfassungsgesetz (B-VG), BGBl. Nr. 1/1930 (WV) idF BGBl. I Nr. 194/1999 (DFB), erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.
Gemäß § 6 Bundesverwaltungsgerichtsgesetz (BVwGG), BGBl. I Nr. 10/2013, entscheidet das Verwaltungsgericht durch Einzelrichter, soweit die Bundes- oder Landesgesetze nicht die Entscheidung durch Senate vorgesehen ist.
Gemäß § 27 Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der belangten Behörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Gemäß § 17 Verwaltungsgerichtsverfahrensgesetz (VwGVG), BGBl. I Nr. 33/2013, sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung, BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – ArgVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörden in dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
3.2. Zu Spruchpunkt A I)
§ 39 Abs. 1 AVG lautet wie folgt:
„§ 39. (1) Für die Durchführung des Ermittlungsverfahrens sind die Verwaltungsvorschriften maßgebend.
(2) Soweit die Verwaltungsvorschriften hierüber keine Anordnungen enthalten, hat die Behörde von Amts wegen vorzugehen und unter Beobachtung der in diesem Teil enthaltenen Vorschriften den Gang des Ermittlungsverfahrens zu bestimmen. Sie kann insbesondere von Amts wegen oder auf Antrag eine mündliche Verhandlung durchführen und mehrere Verwaltungssachen zur gemeinsamen Verhandlung und Entscheidung verbinden oder sie wieder trennen. Die Behörde hat sich bei allen diesen Verfahrensanordnungen von Rücksichten auf möglichste Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis leiten zu lassen.“
Das Verwaltungsgericht kann gemäß § 17 VwGVG iVm § 39 Abs. 2 AVG unter Bedachtnahme auf möglichste Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis mehrere in seine Zuständigkeit fallende Rechtssachen zur gemeinsamen Entscheidung verbinden, soweit dies im Rahmen der Geschäftsverteilung möglich ist (vgl. VwGH 03.02.2022, Ra 2019/17/0115; 17.11.2015, Ra 2015/03/0058; Kolonovits/Muzak/Stöger, Verwaltungsverfahrensrecht10 Rz 276/1 und 798).
Die Entscheidung des Verwaltungsgerichts mehrere Verwaltungssachen zur gemeinsamen Verhandlung und Entscheidung zu verbinden oder sie wieder zu trennen, stellt einen nicht gesondert anfechtbaren und nicht zu begründenden verfahrensleitenden Beschluss iSd § 31 Abs. 2 VwGVG dar (vgl. VwGH 17.07.2017, Ra 2017/11/0156 unter Bezugnahme auf die Ausführungen unter Pkt. 5 des E vom 30.06.2015, Ra 2015/03/0022).
Da es sich bei den Verfahrensparteien, um Beschwerdeführer und Beschwerdegegner im behördlichen Verfahren vor der belangten Behörde handelt und diese gegen den gleichen Bescheid Bescheidbeschwerde erhoben haben, liegt eine gemeinsame Entscheidung dieser Beschwerdeverfahren im Sinne der Zweckmäßigkeit und Einfachheit der Verfahren nahe. Da sich auch beide Verfahrensparteien im Rahmen ihrer jeweiligen Eingaben vor dem Bundesverwaltungsgericht explizit ausgesprochen haben, mit einer Verfahrensverbindung einverstanden zu sein, war die Verbindung der gegenständlichen Verfahren sowohl im Hinblick auf die Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis der Verfahren durch verfahrensleitenden Beschluss geboten.
Eine Verbindung der vorliegenden Verfahren auch mit jenen, welche zu den Zlen. W176 2259543-1 und W176 2259545-1 iZp des Einlangens am Bundesverwaltungsgericht anhängig waren, zur Entscheidung durch denselben Senat, wie vom Erstbeschwerdeführer angeregt, war vor dem Hintergrund des Grundsatzes der festen Geschäftsverteilung (Art. 135 Abs. 2, 87 Abs. 3 B-VG) rechtlich nicht möglich (vgl. VfGH 28.11.2024, E 1806/2024, 1841/2024).
3.3. Zu Spruchpunkt A) II
3.3.1. Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrund-Verordnung – DSGVO), lauten auszugsweise samt Überschrift wie folgt:
Art. 4 DSGVO lautet auszugsweise:
„Begriffsbestimmungen
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
…
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
...“
Art. 5 DSGVO lautet auszugsweise:
„Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
[…].“
Art. 6 DSGVO lautet auszugsweise:
„Rechtmäßigkeit der Verarbeitung
…
(3) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“
Art. 51 DSGVO lautet:
„Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.
…“
Art. 57 DSGVO lautet auszugsweise:
„Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
…
h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
…“
Art. 58 DSGVO lautet:
„Befugnisse
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
[…]
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
Art. 77 DSGVO lautet:
„Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) idF BGBl. I Nr. 24/2018, lauten auszugsweise samt Überschrift wie folgt:
§ 24 DSG lautet auszugsweise:
„Beschwerde an die Datenschutzbehörde
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.“
Die hier einschlägigen § 151 und § 152 der Gewerbeordnung 1994 (GewO 1994), BGBl. I Nr. 111/2002, lauten samt Überschrift:
„Adressverlage und Direktmarketingunternehmen
§ 151 (1) Auf die Verwendung von personenbezogenen Daten für Marketingzwecke Dritter durch die zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigten Gewerbetreibenden sind die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 199 vom 4.5.2016 S 1, (im Folgenden: DSGVO), sowie des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I. Nr. 165/1999, in der Fassung des Bundesgesetzes BGBl. I. Nr. 120/2017, anzuwenden, soweit im Folgenden nicht Besonderes angeordnet ist.
(2) Die Tätigkeit als Mittler zwischen Inhabern und Nutzern von Kunden- und Interessentendateisystemen (Listbroking) ist den in Abs. 1 genannten Gewerbetreibenden vorbehalten.
(3) Die in Abs. 1 genannten Gewerbetreibenden sind berechtigt, für ihre Tätigkeiten gemäß Abs. 1 und 2 personenbezogene Daten aus öffentlich zugänglichen Informationen, durch Befragung der betroffenen Personen, aus Kunden- und Interessentendateisystemen Dritter oder aus Marketingdateisystemen anderer Adressverlage und Direktmarketingunternehmen zu ermitteln, soweit dies unter Beachtung des Grundsatzes der Verhältnismäßigkeit für
1. die Vorbereitung und Durchführung von Marketingaktionen Dritter einschließlich der Gestaltung und des Versands für Werbemitteln oder
2. das Listbroking
erforderlich und gemäß Abs. 4 und 5 zulässig ist.
(4) Soweit besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO betroffen sind, dürfen diese von den in Abs. 1 genannten Gewerbetreibenden verarbeitet werden, sofern ein ausdrückliches Einverständnis der betroffenen Person zur Verarbeitung dieser Daten für Marketingzwecke Dritter vorliegt. Die Ermittlung und Weiterverarbeitung besonderer Kategorien personenbezogener Daten aus Kunden- und Interessentendateisystemen Dritter auf Grund eines solchen Einverständnisses ist nur im Umfang des Abs. 5 und nur soweit zulässig, als der Inhaber des Dateisystems gegenüber dem Gewerbetreibenden nach Abs. 1 schriftlich unbedenklich erklärt hat, dass die betroffenen Personen mit der Verarbeitung ihrer Daten für Marketingzwecke Dritter ausdrücklich einverstanden waren. Strafrechtlich relevante Daten im Sinne des Art. 10 DSGVO dürfen von Gewerbetreibenden nach Abs. 1 für Marketingzwecke nur gemäß § 4 Abs. 3 DSG oder bei Vorliegen einer ausdrücklichen Einwilligung verarbeitet werden.
(5) Soweit keine Einwilligung der betroffenen Personen gemäß Art. 4 Z 11 DSGVO zur Übermittlung ihrer Daten für Marketingzwecke Dritter vorliegt, dürfen die in Abs. 1 genannten Gewerbetreibenden aus einem Kunden- und Interessentendateisystem eines Dritten nur die Daten
1. Namen,
2. Geschlecht,
3. Titel,
4. akademischer Grad,
5. Anschrift,
6. Geburtsdatum,
7. Berufs-, Branchen- oder Geschäftsbezeichnung und
8. Zugehörigkeit der betroffenen Person zu diesem Kunden- und Interessentendateisystem
ermitteln. Voraussetzung hiefür ist – soweit nicht die strengeren Bestimmungen des Abs. 4 Anwendung finden –, dass der Inhaber des Dateisystems dem Gewerbetreibenden nach Abs. 1 gegenüber schriftlich unbedenklich erklärt hat, dass die betroffenen Personen in geeigneter Weise über die Möglichkeit informiert wurden, die Übermittlung ihrer Daten für Marketingzwecke Dritter zu untersagen, und dass keine Untersagung erfolgt ist.
(6) Gewerbetreibende nach Abs. 1 dürfen für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden, nur für Marketingzwecke verwenden und sie insbesondere an Dritte nur dann übermitteln, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden werden.
(7) Gewerbetreibende nach Abs. 1 haben Aussendungen im Zuge von Marketingaktionen, die sie mit von ihnen zur Verfügung gestellten oder von ihnen vermittelten personenbezogenen Daten durchführen, so zu gestalten, dass durch entsprechende Kennzeichnung des ausgesendeten Werbematerials die Identität der Verantwortlichen jener Dateisysteme, mit deren Daten die Werbeaussendung adressiert wurde (Ursprungsdateisysteme), nachvollziehbar ist; soweit Gewerbetreibende nach Abs. 1 an Werbeaussendungen nur durch Zurverfügungstellung oder Vermittlung von Daten mitwirken, haben sie durch entsprechenden Hinweis an die für die Werbeaussendung Verantwortlichen darauf hinzuwirken, dass die Identität der Verantwortlichen der benutzten Ursprungsdateisysteme nachvollziehbar ist. Für Gewerbetreibende nach Abs. 1 gilt, wenn sie die Aussendung mit von ihnen zur Verfügung gestellten oder von ihnen vermittelten Daten selbst durchgeführt haben, – unbeschadet ihrer allfälligen Auskunftsverpflichtungen als Verantwortliche –, Art. 15 DSGVO mit der Maßgabe, dass sie auf Grund eines innerhalb von drei Monaten nach der Werbeaussendung gestellten Auskunftsbegehrens anhand der von der betroffenen Person zur Verfügung gestellten Informationen über die Werbeaussendung zur Auskunftserteilung nur über die Verantwortlichen der Ursprungsdateisysteme verpflichtet sind; haben sie an der Aussendung nur durch Zurverfügungstellung oder Vermittlung von Daten mitgewirkt, so haben sie nach Möglichkeit zur Auffindung der Verantwortlichen der Ursprungsdateisysteme beizutragen. Bei nicht ordnungsgemäßer Erfüllung der Kennzeichnungspflicht durch Gewerbetreibende nach Abs. 1 genügt die Stellung eines fristgerechten Auskunftsbegehrens an den Werbenden zur Wahrung des Auskunftsrechts gegenüber dem Gewerbetreibenden nach Abs. 1.
(8) Stellt die betroffene Person an einen Gewerbetreibenden nach Abs. 1 ein Begehren auf Löschung von Daten, die dieser für Zwecke von Marketingaktionen über sie gespeichert hat, so hat dieser dem Begehren der betroffenen Person unverzüglich, in jedem Fall innerhalb von einem Monat kostenlos zu entsprechen (Art. 12 Abs. 3 DSGVO). Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Soweit die betroffene Person – nach entsprechender Information über die möglichen Folgen einer physischen Löschung ihrer Daten – auf der physischen Löschung ihrer Daten nicht besteht, hat die Löschung in Form einer Sperrung der Verwendung dieser Daten für Marketingaussendungen zu erfolgen.
(9) Der Fachverband Werbung und Marktkommunikation der Wirtschaftskammer Österreich hat eine Liste zu führen, in welcher Personen kostenlos einzutragen sind, die die Zustellung von Werbematerial für sich ausschließen wollen. Die Liste ist mindestens monatlich zu aktualisieren und den Gewerbetreibenden nach Abs. 1 zur Verfügung zu stellen. Gewerbetreibende nach Abs. 1 dürfen an die in dieser Liste eingetragenen Personen keine adressierten Werbemittel versenden oder verteilen und deren Daten auch nicht vermitteln. Die in der Liste enthaltenen Daten dürfen ausschließlich zum Zweck des Unterbindens der Zusendung von Werbemitteln verwendet werden.
(10) Inhaber von Kunden- und Interessentendateisystemen dürfen personenbezogene Daten aus diesen Dateisystemen an Gewerbetreibende nach Abs. 1 für Marketingzwecke Dritter nur übermitteln und insbesondere auch für Listbroking nur zur Verfügung stellen, wenn sie die die betroffenen Personen in geeigneter Weise darüber informiert haben, dass sie die Verarbeitung dieser Daten für Marketingzwecke Dritter untersagen können, und wenn keine Untersagung erfolgt ist; besondere Kategorien personenbezogener Daten und strafrechtlich relevante Daten dürfen unter den in Abs. 4 genannten Voraussetzungen an Gewerbetreibende nach Abs. 1 übermittelt und für Listbroking zur Verfügung gestellt werden. Auf die Möglichkeit der Untersagung ist ausdrücklich und schriftlich hinzuweisen, wenn Daten schriftlich von der betroffenen Person ermittelt werden. Die Untersagung der Übermittlung hat auf ein Vertragsverhältnis zwischen der betroffenen Person und dem Inhaber des Kunden- und Interessentendateisystems keinen Einfluss.
(11) Das Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO kann gegenüber den in Abs. 1 genannten Gewerbetreibenden auch durch Eintragung in die im Abs. 9 bezeichnete Liste erfolgen.
Auskunfteien über Kreditverhältnisse
§ 152 (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.
(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist.“
3.3.2. Zur Abweisung der Beschwerde hinsichtlich Spruchpunkt 1 (Stattgabe betreffend die behauptete Verletzung des Grundsatzes der Rechtmäßigkeit der Datenverarbeitung gemäß Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 DSGVO durch die Zweitbeschwerdeführerin):
3.3.2.1. Die Zweitbeschwerdeführerin moniert in ihrem Beschwerdeschriftsatz im Wesentlichen insofern die unrichtige rechtliche Beurteilung durch die belangte Behörde, als diese verkenne, dass das Gewerbe der Y GmbH als Adresshändlerin nach § 151 GewO auch die Übermittlung von Adressdaten an Kreditauskunfteien zu Zwecken der Bonitätsbewertung umfasse. Selbst wenn diese Rechtsansicht unrichtig wäre, wäre die rechtliche Beurteilung der belangten Behörde insofern (ebenfalls) unrichtig, als einerseits eine allfälliger DSGVO-Verstoß der Y GmbH auf die Rechtmäßigkeit der Datenverarbeitung durch die Zweitbeschwerdeführerin keine Auswirkungen habe und andererseits die Zweitbeschwerdeführerin – wie auch im Spruchpunkt 2 festgestellt worden sei – selbst den Grundsatz der Zweckbindung nicht verletzt habe. Außerdem mache der Erstbeschwerdeführer in seiner ursprünglichen Datenschutzbeschwerde tatsächlich keinen Verstoß gegen ein ihm eingeräumtes subjektives Recht geltend, sondern nur einen solchen gegen Art. 5 DSGVO, was nicht in einem Beschwerdeverfahren nach Art. 77 bzw. § 24 DSG geltend gemacht hätte werden können.
3.3.2.2. Hierzu ist vorab festzuhalten:
Dass die belangte Behörde eine Verletzung in subjektiven Rechten nur in jenen Fällen feststellen könne, in welchen sich der Betroffene explizit auf ein Recht nach den Bestimmungen des Kapitels III „Rechte der betroffenen Person“, also der Art. 12ff DSGVO stützt, kann weder aus § 24 DSG – noch aus Art. 77 DSGVO – abgeleitet werden. Im Zusammenhang mit Art. 77 DSGVO ergibt sich eine Entscheidungspflicht der Datenschutzbehörde immer dann, wenn die betroffene Person „der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“. Entgegen der Rechtsansicht des Erstbeschwerdeführers ist jedoch Art. 77 DSGVO eine Einschränkung auf Betroffenenrechte gemäß Art. 12ff DSGVO nicht zu entnehmen, sondern kann eine betroffene Person eine Rechtsverletzung dem Grunde nach auf jede Bestimmung der DSGVO stützen, sofern die DSGVO-widrige Verarbeitung personenbezogener Daten auch zu einer Verletzung der Rechtsposition der betroffenen Person führt (vgl dazu Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 77 DSGVO, Rz 11f).
Der EuGH hat zudem bereits festgehalten, dass Art. 77 DSGVO hinreichend klar, genau und unbedingt und damit unmittelbar anwendbar ist (vgl. EuGH 16.01.2024, C-33/22, Österreichische Datenschutzbehörde, Rn. 62). Art. 77 Abs. 1 DSGVO stellt seinem Wortlaut nach somit gerade nicht auf eine Verletzung in Rechten, sondern auf einen Verstoß der Datenverarbeitung gegen die DSGVO ab. Damit spricht aber nichts gegen die Annahme, dass Verstöße gegen die Grundsätze des Art. 5 Abs. 1 DSGVO (wie fallbezogen nach dessen lit. a und d) für sich allein in einer Beschwerde nach Art. 77 DSGVO geltend gemacht werden können, sofern dieser Verstoß die Verarbeitung von den Erstbeschwerdeführer betreffenden personenbezogenen Daten betrifft (vgl. VwGH vom 06.03.2024, Ro 2021/04/0030, Rz 49).
Vor dem Hintergrund dieser Rechtsprechung können auch objektive Verstöße gegen die Grundsätze des Art. 5 DSGVO im Rahmen einer Beschwerde gemäß Art. 77 DSGVO oder gemäß § 24 Abs. 1 DSG geltend gemacht werden.
3.3.2.3. Im Wesentlichen stützt die belangte Behörde ihre Entscheidung darauf, eine Rechtsverletzung ergebe sich vorliegend daraus, dass im Parallelverfahren mit Bescheid der belangten Behörde vom 22.07.2022, GZ. D124. XXXX , die Rechtswidrigkeit der ursprünglichen Ermittlung und Übermittlung der betreffenden personenbezogenen Daten durch die Y GmbH gemäß Art. 5 Abs. 1 lit. b und Art. 6 Abs. 1 iVm 4 DSGVO festgestellt worden sei, weshalb – unter Verweis auf Art. 17 Abs. 1 lit. d DSGVO – auch die nachfolgende Unzulässigkeit der Datenverarbeitung durch die Zweitbeschwerdeführerin als Empfängerin eben dieser personenbezogenen Daten festzustellen gewesen wäre.
Seitens des Bundesverwaltungsgerichtes wurde der og. Bescheid mit Erkenntnis vom 03.04.2025, GZen. W176 2259543-1/15E und W176 2259545-1/11E, nunmehr bestätigt und festgestellt, dass die Y GmbH bereits insofern gegen den Zweckbindungsgrundsatz verstoßen hat, als sie die von ihr als Adressverlag und Direktmarketingunternehmen ermittelten Daten, welche als solche aufgrund der gesetzlichen Vorgaben auch nur für Marketingzwecke erhoben und übermittelt hätten werden dürfen, der Zweitbeschwerdeführerin übermittelte, ohne davon ausgehen zu können, dass diese die Daten ausschließlich für Marketingzwecke verwenden würde.
3.3.2.4. Entsprechend der Rechtsprechung des Europäischen Gerichtshofs muss grundsätzlich jede Verarbeitung personenbezogener Daten den in Art. 5 DSGVO aufgestellten Grundsätzen in Bezug für die Verarbeitung personenbezogener Daten und einem der in Art. 6 DSGVO angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen (EuGH 04.05.2023, C-60/22, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], ECLI:EU:C:2023:373, Rz 50, 52, 57, mwN, bereits zur Vorgängerbestimmung Art. 6 DS-RL: EuGH 20.05.2003, verb. Rs C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk ua, Rn 65; 16.12.2008, C-524/06, Huber, Rn 48; vgl. auch VwGH 09.05.2023, Ro 2020/04/0037). Der EuGH hat überdies in der Rechtssache Meta Platforms Inc. festgehalten, dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (EuGH 04.07.2023, C-252/21 (Meta Platforms Inc.), Rn. 95).
Art. 5 Abs. 1 legt die Grundsätze für die Verarbeitung personenbezogener Daten fest, die für den Verantwortlichen gelten und deren Einhaltung dieser nach dem in Art. 5 Abs. 2 dieser Verordnung niedergelegten Grundsatz der Rechenschaftspflicht nachweisen können muss. Insbesondere müssen personenbezogene Daten gemäß Art. 5 Abs. 1 lit. b, der den Grundsatz der „Zweckbindung“ vorsieht, zum einen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen zum anderen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Aus dem Wortlaut dieser Vorschrift ergibt sich somit, dass sie zwei Anforderungen enthält, eine in Bezug auf die Zwecke der ursprünglichen Erhebung der personenbezogenen Daten und eine in Bezug auf die Weiterverarbeitung dieser Daten. Was erstens die Anforderung betrifft, dass die personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen, bedeutet dies nach der Rechtsprechung des Gerichtshofs, dass die Zwecke der Verarbeitung spätestens zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen müssen, dass die Zwecke dieser Verarbeitung klar angegeben sein müssen und dass die Zwecke der genannten Verarbeitung insbesondere die Rechtmäßigkeit der Verarbeitung der betreffenden Daten im Sinne von Art. 6 Abs. 1 gewährleisten müssen (vgl. EuGH vom 20.10.2022, C-77/21, EU: C:2022:805; Rn 24 bis 27).
Nach Art. 5 Abs. 1 lit. b dürfen Daten nur für „legitime“ Zwecke erhoben werden. Demnach muss die Verarbeitung der Daten für die betreffenden Zwecke rechtlich zulässig sein; dh. es muss für sie eine einschlägige Rechtsgrundlage existieren, und die Verarbeitung zu diesen Zwecken darf nicht gegen geltende Rechtsnormen (nicht nur des Datenschutzrechts) verstoßen (Herbst in Kühling/Buchner, DS-GVO/BDSG4, Kommentar, Art. 5 DSGVO, Rn 36). Art. 5 Abs. 1 lit. b DSGVO enthält keine Angaben, unter welchen Voraussetzungen eine Weiterverarbeitung personenbezogener Daten als mit den Zwecken der ursprünglichen Erhebung der Daten vereinbar angesehen werden kann. Aus den Art. 5 Abs. 1 lit. b, Art. 6 Abs. 1 lit. a und Art. 6 Abs. 4 ergibt sich, dass sich die Frage der Vereinbarkeit der Weiterverarbeitung personenbezogener Daten mit den Zwecken, für die sie ursprünglich erhoben wurden, nur stellt, wenn die Zwecke dieser Weiterverarbeitung nicht mit denen der ursprünglichen Erhebung übereinstimmen.
3.3.2.5. Wie festgestellt sind sowohl die Y GmbH wie auch die Zweitbeschwerdeführerin befugt, das Gewerbe der Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO auszuüben. Die Zweitbeschwerdeführerin ist zusätzlich zur Ausübung der Auskunfteien über Kreditverhältnisse gemäß § 152 GewO berechtigt.
Die Y GmbH selbst ermittelte und speicherte gegenständliche personenbezogene Daten aufgrund deren Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen iSd § 151 GewO. Wie festgestellt übermittelte die Y GmbH aufgrund der getroffenen Vereinbarung die gegenständlichen Daten an die Zweitbeschwerdeführerin.
Diese vertragliche Vereinbarung bezieht sich zwar zunächst ausdrücklich auf die Gewerbeberechtigung der Zweitbeschwerdeführerin als Adressverlag und Direktmarketingunternehmen, räumt aber der Zweitbeschwerdeführerin ausdrücklich eine Weiterverarbeitung zugunsten ihres Gewerbes der Auskunftei über Kreditverhältnisse ein (siehe die Beilage ./D zur Stellungnahme der Zweitbeschwerdeführerin vom 06.05.2021, „Vereinbarung über Lieferungen und Nutzung von Adressdaten …“ vom Dezember 2012, Pkt. 3. der Präambel sowie die Feststellung zu Pkt. 1.3.). Dass der Nachtrag zur genannten Vereinbarung eine Übermittlung zu Bonitätsbeurteilungszwecken nicht mehr ausdrücklich vorsieht, ist vor dem Hintergrund unbeachtlich, dass eine Weiterverarbeitung sehr wohl auch zu „sonstigen Zwecken, zu welchen [die Y GmbH] und oder [die Zweitbeschwerdeführerin] aufgrund gesetzlicher Bestimmungen berechtigt wären“, vereinbart wurde (siehe Feststellungen zu Pkt. 1.4.).
Auch wenn die Zweitbeschwerdeführerin die personenbezogenen Daten des Erstbeschwerdeführers von der Y GmbH aufgrund ihrer Gewerbeberechtigung als Adressverlag und Direktmarketingunternehmen und im Rahmen der getroffenen Vereinbarung erworben hat bzw. dieser übermittelt wurde, erfolgte dessen (Weiter-) Verarbeitung der erhobenen personenbezogenen Daten durch die Zweitbeschwerdeführerin unzweifelhaft zu Bonitätszwecken und im Rahmen ihrer auch vorliegenden Gewerbeberechtigung als Kreditauskunftei gemäß § 152 GewO (siehe hierzu Feststellung zu Pkt. 1.5.). Dem Wortlaut der getroffenen Vereinbarung nach war der Zweitbeschwerdeführerin auch bereits im Zeitpunkt der Übermittlung überlassen, übermittelte Daten zu Bonitätszwecken zu verarbeiten (nämlich zu „sonstigen Zwecken, zu welchen [die Y GmbH] und oder [die Zweitbeschwerdeführerin] aufgrund gesetzlicher Bestimmungen berechtigt wären“, Feststellungen zu Pkt. 1.4.).
3.3.2.6. Soweit die Zweitbeschwerdeführerin – gestützt auf eine diesbezügliche Anfragebeantwortung des Bundesministers für Arbeit und Wirtschaft vom 29.11.2022, ergänzt mit Schreiben vom 17.01.2023 – die Rechtsansicht vertritt, dass die Ausübung des Adresshandels nach § 151 GewO, für welchen sie – wie festgestellt – ebenfalls eine Gewerbeberechtigung verfügt – auch die Übermittlung von Adressdaten zu Bonitätszwecken umfasse, konnte dies aus nachfolgenden Erwägung nicht verfangen:
Das Recht der Adressverlage und Direktmarketingunternehmen, Daten Dritter zu verwenden bzw. zu übermitteln, ist auf Marketingdaten beschränkt; jede Datenverwendung über diesen Zweck hinaus ist nicht umfasst (Riesz in Ennöckl/Raschauer/Wessely, GewO § 151 [Stand 01.01.2015, rdb.at] Rn 4). Daher dürfen Daten von Adressverlagen und Direktmarketingunternehmen nicht etwa zur Prüfung eines Vertragsschlusses oder der Bonität (vgl. § 152) benutzt werden (Riesz in Ennöckl/Raschauer/Wessely, GewO § 151 [Stand 01.01.2015, rdb.at] Rn 4).
Mit dieser Restriktion soll – eben genau der vorliegend verwirklichte Sachverhalt – verhindert werden, dass derartige, nicht auf gesicherten Tatsachen beruhende Informationen etwa zum Zwecke der Beurteilung der Bonität bestimmter Personen herangezogen und folglich Geheimhaltungsinteressen solcher Personen verletzen werden (Riesz in Ennöckl/Raschauer/Wessely, GewO § 151 [Stand 01.01.2015, rdb.at] Rn 28).
Hierbei ist anzumerken, dass vorliegend nicht ersichtlich ist, inwiefern es sich bei den gegenständlichen Daten des Erstbeschwerdeführers um Marketinginformationen und -klassifikationen gemäß § 151 Abs. 6 GewO handeln soll, deren Übermittlung an Dritte unter den Voraussetzungen der leg. cit zulässig wäre, würden diese doch infolge statistischer Auswertungen ermittelt und namentlich bestimmten Personen aufgrund von Marketinganalyseverfahren zugeschrieben (Riesz in Ennöckl/Raschauer/Wessely, GewO § 151 Rz 28 | Stand 01.01.2015, rdb.at). Die Verarbeitung zu anderen als den Erhebungszwecken wird vom Gesetzgeber von vornherein ausgeschlossen.
3.3.2.7. Angesichts dessen und vor dem Hintergrund, dass eine (Weiter-)Verarbeitung – wie sie im vorliegenden Fall festgestellt wurde – nunmehr zu Bonitätszwecken erfolgte, stellte diese nunmehr im Vergleich zur ursprünglichen Ermittlung im Rahmen des Gewerbes als Adressverlag iSd § 151 eine Zweckänderung dar.
Eine solche Änderung des Verarbeitungszwecks ist nur unter den in Art. 5 Abs. 1 und lit. b iVm Art. 6 Abs. 4 DSGVO genannten Voraussetzungen zulässig.
Grundsätzlich besagt der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit b), dass personenbezogene Daten (nur) für festgelegte, eindeutige und legitime Zwecke erhoben (Zweckbindung bei der erstmaligen Datenverarbeitung) und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.
Nach Art. 6 Abs. 4 in Verbindung mit dem 50. Erwägungsgrund ist – wenn die Verarbeitung für einen anderen Zweck als demjenigen, für den die Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht – für die Feststellung, ob die Verarbeitung für einen anderen Zweck mit dem Zweck vereinbar ist, für den die personenbezogenen Daten ursprünglich erhoben wurden, u. a. zu berücksichtigen, erstens ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht (lit. a), zweitens in welchem Kontext die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen (lit. b), drittens um welche Art von personenbezogenen Daten es sich handelt (lit. c), viertens welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat (lit. d) und fünftens ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen (lit. e).
Diese Kriterien spiegeln die Notwendigkeit einer konkreten, kohärenten und ausreichend engen Verbindung zwischen dem Zweck der Datenerhebung und der Weiterverarbeitung der Daten wider und ermöglichen es, sich zu vergewissern, dass diese Weiterverarbeitung nicht von den legitimen Erwartungen der betroffenen Person hinsichtlich der weiteren Verwendung ihrer Daten abweicht. Diese Kriterien ermöglichen es auch, die Wiederverwendung früher erhobener personenbezogener Daten einzugrenzen und dabei ein Gleichgewicht zwischen dem Erfordernis der Vorsehbarkeit und der Rechtssicherheit in Bezug auf die Zwecke der Verarbeitung der zuvor erhobenen personenbezogenen Daten einerseits und der Anerkennung einer gewissen Flexibilität zugunsten des Verantwortlichen bei der Verwaltung dieser Daten andererseits sicherzustellen, und tragen damit zur Erreichung des im zehnten Erwägungsgrund genannten Ziels bei, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten. (vgl. EuGH vom 20.10.2022, C-77/21, EU: C:2022:805; Rn 32, 34 bis 37).
Damit entspricht die Auffassung der belangten Behörde der oben bereits wiedergegebenen Rechtsprechung des EuGH und der herrschenden Literaturmeinung, wonach jede Verarbeitung personenbezogener Daten den in Art. 5 DSGVO aufgestellten Grundsätzen in Bezug für die Verarbeitung personenbezogener Daten und einem der in Art. 6 DSGVO angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen muss, diese also kumulativ vorliegen müssen. Da bereits eine Verletzung des Art. 5 DSGVO durch die Nichtentsprechung des Zweckbindungsgrundsatzes zu bejahen war, kann eine Prüfung auch der Rechtmäßigkeit gemäß Art. 6 Abs. 1 DSGVO dahingestellt bleiben, da die Datenverarbeitung (Übermittlung) daher jedenfalls im Ergebnis nicht rechtmäßig war.
Im Ergebnis war daher Beschwerde gegen Spruchpunkt 1 abzuweisen.
3.3.3. Zur Stattgabe der Beschwerde hinsichtlich Spruchpunkt 2 (Abweisung betreffend die behauptete Verletzung des Grundsatzes der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO durch die Zweitbeschwerdeführerin):
Wie bereits oben ausgeführt legt Art. 5 Abs. 1 die Grundsätze für die Verarbeitung personenbezogener Daten fest, die für den Verantwortlichen gelten und deren Einhaltung dieser nach dem in Art. 5 Abs. 2 dieser Verordnung niedergelegten Grundsatz der Rechenschaftspflicht nachweisen können muss. Insbesondere müssen personenbezogene Daten gemäß Art. 5 Abs. 1 lit. b, der den Grundsatz der „Zweckbindung“ vorsieht, zum einen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen zum anderen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Wie sich aus den Feststellungen erhellt hatte die Y GmbH personenbezogene Daten des Erstbeschwerdeführers im Rahmen ihrer Tätigkeit als Adressverlag iSd § 151 GewO erhoben und im Rahmen einer vertraglichen Vereinbarung der Zweitbeschwerdeführerin übermittelt.
Der Zweck der Datenermittlung und -übermittlung durch Adressverlage und Direktmarketingunternehmen ist durch den Gesetzgeber gesetzlich festgelegt.
Da der Gesetzgeber eine Übermittlung von Daten, die als Adressverlag und Direktmarketingunternehmen erhoben wurden, nur zu Marketingzwecken erlaubt, ist eine Weiterverarbeitung zu anderen Zwecken vom Gesetzgeber nicht erlaubt.
Weiters liegen vorliegend keine Einwilligung des Erstbeschwerdeführers vor und konnte vorliegend auch keine Zweckkompatibilität angenommen werden (siehe hierzu die Erwägungen unter Pkt. 3.3.2.7.).
Dadurch, dass die Zweitbeschwerdeführerin die von der Y GmbH als Adressverlag und Direktmarketingunternehmen ermittelten Daten, die gesetzlich bestimmt nur für Marketingzwecke erhoben und übermittelt werden, auch im Rahmen ihres Gewerbes als Kreditauskunftei verwendete, hat sie – entgegen der Ansicht der belangten Behörde – ebenfalls gegen den Zweckbindungsgrundsatz verstoßen.
Der Zweckbindungsgrundsatz bindet bei einer Weiterverarbeitung der Daten durch einen anderen Verantwortlichen auch diesen an die ursprüngliche Zweckfestsetzung – andernfalls konnte ein Verantwortlicher durch die eigenständige Festlegung des Zeitpunktes einer Zweckänderung auf die eigene Gebundenheit an den Zweckbindungsgrundsatz iSd Art. 5 Abs. 1 Einfluss nehmen; in diesem Fall sind beide Verantwortliche für die Einhaltung des Zweckbindungsgrundsatzes verantwortlich, was sich etwa darin niederschlagen kann, dass der ursprüngliche Verantwortliche den anderen Verantwortlichen über die festgelegten Zwecke informiert und dieser bei der Weiterverarbeitung der Daten an die Anforderungen des Zweckbindungsgrundsatzes in Bezug auf die ursprünglich festgelegten Zwecke beachtet (Herbst in Kühling/Buchner, DS-GVO/BDSG4, Art. 5, Rn 23).
Sofern die belangte Behörde ausführt, der Anknüpfungspunkt der Festlegung des Zwecks sei der zwischen der Zweitbeschwerdeführerin und der Y GmbH geschlossene Vertrag und es lägen keine Anhaltspunkte vor, dass die Zweitbeschwerdeführerin Einfluss auf Zwecke und Mittel der gegenständlichen Datenerhebung durch die Y GmbH im Rahmen deren Tätigkeit als Adressverlag und Direktmarketingunternehmen – genommen hätte (angefochtener Bescheid, Seite 13), ist zu bemerken, dass es gegenständlich gar nicht darauf ankommt, ob und zu welchem Zeitpunkt die Zweitbeschwerdeführerin Einfluss auf den Zweck der Datenerhebung durch die Y GmbH hatte, zumal auch für die Y GmbH der Zweck der Datenerhebung gesetzlich vorgegeben war bzw. ist. Entscheidend ist, dass die Zweitbeschwerdeführerin die Daten von einem Adressverlag und Direktmarketingunternehmen bezogen hat, für diese der Gesetzgeber einen Zweck eindeutig definiert hat. Im Wesentlichen kommt es darauf an, dass die Zweitbeschwerdeführerin aufgrund ihrer Gewerbeberechtigung als Adressverlag und Direktmarketingunternehmen von die Y GmbH als Adressverlag und Direktmarketingunternehmen Daten kaufte und sie folglich auch für ihr Gewerbe als Kreditauskunftei iSd § 152 GewO weiterverarbeitete, dessen Zweck nicht Marketing ist.
Zwischen dem ursprünglichen Zweck (Marketingzwecke), für den die personenbezogenen Daten des Erstbeschwerdeführers erhoben, und dem Zweck der Weiterverarbeitung (Bonitätsbeurteilungszweck) besteht kein Zusammenhang. Die personenbezogenen Daten des Erstbeschwerdeführers wurden von der Y GmbH im Rahmen ihres Gewerbes als Adressverlag und Direktmarketingunternehmen erhoben und der Erstbeschwerdeführer steht mit der Zweitbeschwerdeführerin in keinem Verhältnis. Die Weiterverarbeitung zu Bonitätsbeurteilungszwecken weicht offenkundig von den legitimen Erwartungen der betroffenen Person hinsichtlich der weiteren Verwendung ihrer Daten ab. Denn während ein Adressverlag und Direktmarketingunternehmen die personenbezogenen Daten zu rein Marketingzwecken erhebt, erfolgt die Verwendung derselben Daten im Rahmen einer Kreditauskunftei dazu, ihren Vertragspartnern Informationen über die Kreditwürdigkeit ihrer potenziellen Kunden zu ermöglichen. Es ist nicht ersichtlich, dass beim ursprünglichen und beim Weiterverarbeitungsvorgang geeignete Garantien bestünden.
Daher war es der Zweitbeschwerdeführerin gar nicht möglich, für die von der Y GmbH erworbenen Daten einen anderen, vom Gesetz abweichenden Zweck zu definieren, sodass die Zweitbeschwerdeführerin diese Daten nicht zu Bonitätsbeurteilungszwecken hätte erheben bzw. weiterverarbeiten dürfen und deren Datenverarbeitung sohin iSd Art. 6 DSGVO unrechtmäßig war.
Daher war spruchgemäß zu entscheiden.
3.3.4. Zur Abweisung der Beschwerde hinsichtlich Spruchpunkt 3. (Zurückweisung des Antrages des Erstbeschwerdeführers auf Verhängung eines Verarbeitungsverbotes gemäß Art. 58 Abs. 2 lit f DSGVO):
3.3.4.1. Nach der ständigen Rechtsprechung des Verwaltungsgerichtshofs ist, wenn die belangte Behörde in erster Instanz einen Antrag zurückgewiesen hat, Sache des Beschwerdeverfahrens lediglich die Frage der Rechtmäßigkeit der Zurückweisung. Das Verwaltungsgericht ist in einem solchen Fall ausschließlich befugt, darüber zu entscheiden, ob die von der belangten Behörde ausgesprochene Zurückweisung als rechtmäßig anzusehen ist. Dies allein bildet den Gegenstand des Beschwerdeverfahrens s (vgl. etwa VwGH 23.6.2015, Ra 2015/22/0040, mwN).
3.3.4.2. Entspricht die Verarbeitung personenbezogener Daten nicht den u.a. in Art. 5 DSGVO festgelegten Grundsätzen, so dürfen die Aufsichtsbehörden der Mitgliedstaaten im Einklang mit ihren Aufgaben und Befugnissen nach den Art. 57 und 58 DSGVO tätig werden. Der Europäische Gerichtshof hat insoweit bereits klargestellt, dass eine nationale Aufsichtsbehörde, wenn sie am Ende ihrer Untersuchung der Ansicht ist, dass die betroffene Person kein angemessenes Schutzniveau genießt, nach dem Unionsrecht verpflichtet ist, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, und zwar unabhängig davon, welchen Ursprungs und welcher Art sie ist. Zu diesem Zweck werden die in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Es ist Sache der Aufsichtsbehörde, das geeignete Mittel zu wählen, um mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Art. 58 Abs. 2 DSGVO unterscheidet seinem Wortlaut nach zwischen Abhilfemaßnahmen, die von Amts wegen angeordnet werden können, und solchen, die nur auf Antrag der betroffenen Person auf Ausübung ihrer Rechte aus dieser Verordnung hin ergriffen werden können, etwa die in Art. 58 Abs. 2 lit. c DSGVO genannten (EuGH vom 14.03.2024, C-46/23, EU:C:2024:239, Rn 32-35).
Die Aufsichtsbehörde ist gegebenenfalls verpflichtet, einige der in Art. 58 Abs. 2 DSGVO aufgeführten Maßnahmen zu ergreifen, und zwar insbesondere dann, wenn sie der Auffassung ist, dass der nach dem Unionsrecht erforderliche Schutz nicht durch andere Mittel gewährleistet werden kann (EuGH vom 16.07.2020, C-311/18, EU:C:2020:559, Rn 113).
3.3.4.3. Art. 58 Abs. 2 lit. f DSGVO sieht die Möglichkeit des Verbots vor. Durch das Verbot wird eine Verarbeitung vollständig untersagt. Abs. 2 lit. f enthält mit dem Verbot eine der belastenden Maßnahmen für die Datenverarbeiter. Dementsprechend muss die Aufsichtsbehörde vor Erlass einer solchen Verfügung weniger eingriffsintensive Maßnahmen nach anderen Alternativen von Art. 58 prüfen, um ein verhältnismäßiges Vorgehen zu gewährleisten. Kommen keine weniger eingriffsintensiven Abhilfemaßnahmen in Betracht, ist im Rahmen von Abs. 2 lit. f weiter zu untersuchen, ob eine Beschränkung der Maßnahme auf einzelne Verarbeitungsformen geboten ist, wie etwa das Speichern. Beschränkungen können nach Abs. 2 lit. f vorübergehend oder endgültig erfolgen. Dabei ist zu prüfen, ob eine zeitliche Befristung in Form einer vorübergehenden Beschränkung der Verarbeitung ausreichend ist, bevor eine endgültige Beschränkung verfügt wird. Erst als ultima ratio ist ein Verbot der gesamten Verarbeitung in Erwägung zu ziehen. (Polenz in Simitis/Hornung/Spiecker, Datenschutzrecht/DSGVO mit BDSG, Art. 58 Rn 39f). Die Datenschutzbehörde kann nach pflichtgemäßen Ermessen auch direkt zu dieser Abhilfemaßnahme greifen, zB um eine besonders riskante Datenverarbeitung sofort abzustellen (Selmayr in Ehmann/Selmayr, Datenschutz-Grundverordnung2, Art. 58, Rn 24).
3.3.4.4. Im Vorabentscheidungsverfahren in der Rechtssache C-768/21, in der unter anderem zu klären war, welche die Pflichten der Aufsichtsbehörde sind, wenn eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde, entschied der EuGH kürzlich, dass Art. 57 Abs. 1 lit. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO so auszulegen sind, dass die Aufsichtsbehörde nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten (Urteil vom 24.09.2024).
Vor dem Hintergrund war die Beschwerde spruchgemäß abzuweisen.
3.4. Zum Entfall der Verhandlung:
Auf die Durchführung einer Verhandlung kann gemäß § 24 Abs. 4 VwGVG verzichtet werden, soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist, und ungeachtet eines Parteiantrags, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 der Konvention zum Schutze der Menschenrechte und Grundfreiheiten noch Art. 47 der Charta der Grundrechte der Europäischen Union entgegenstehen.
Der maßgebliche Sachverhalt konnte als durch die Aktenlage hinreichend geklärt erachtet werden. In der Beschwerde wurden keine noch zu klärenden Tatsachenfragen in konkreter und substantiierter Weise aufgeworfen und war gegenständlich auch keine komplexe Rechtsfrage zu lösen (VwGH vom 31.07.2007, Zl. 2005/05/0080). Somit konnte von der Durchführung einer mündlichen Verhandlung abgesehen werden. Dem Absehen von der Verhandlung stehen hier auch Art 6 Abs. 1 EMRK und Art 47 der Charta der Grundrechte der Europäischen Union nicht entgegen.
Zu B) Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
Das Bundesverwaltungsgericht kann sich bei allen erheblichen Rechtsfragen auf eine ständige Rechtsprechung des Verwaltungsgerichtshofes bzw. auf eine ohnehin klare Rechtslage stützen.