Spruch
W274 2307868-1/7E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundigen Laienrichter Komm.-Rat POLLIRER und Dr. GOGOLA als Beisitzer über die Beschwerde des XXXX , XXXX , gegen den Bescheid der Datenschutzbehörde, Barichgasse 40 – 42, 1030 Wien, vom 28. Jänner 2025, GZ.: D124.0070/25 (2025-0.026.631), Mitbeteiligte XXXX , vertreten durch Schönherr Rechtsanwälte GmbH, Schottenring 19, 1010 Wien, wegen Verletzung im Recht auf Auskunft nach Art 15 DSGVO, in nichtöffentlicher Sitzung zu Recht:
Die Beschwerde wird nicht Folge gegeben.
Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
Mit Datenschutzbeschwerde vom 13. Jänner 2025 wandte sich XXXX (im Folgenden: Beschwerdeführer, BF) an die Datenschutzbehörde (im Folgenden: belangte Behörde) und behauptete eine Verletzung im Recht auf Auskunft. Am 13. November 2024 sei per E-Mail an datenschutz@ XXXX gegenüber der XXXX (im Folgenden Mitbeteiligte, MB) die Anfrage gestellt worden, ob der BF vom sogenannten ,, XXXX -Datenleak‘‘ betroffen gewesen sei. Einige Wochen vor Einbringung des Auskunftsersuchens sei dem BF das ,, XXXX -Datenleak‘‘ bekannt geworden. Der BF sei zur Zeit des Datenleaks XXXX -Beitragszahler gewesen. Laut Medienberichten seien alle Datensätze sämtlicher Beitragszahler von Dritten gestohlen und im Internet zum Verkauf angeboten worden. Die MB habe seinem Antrag auf Auskunft nicht innerhalb eines Monats entsprochen.
Eine Kopie des E-Mails war der Beschwerde angeschlossen.
Mit dem angefochtenen Bescheid wies die belangte Behörde die Beschwerde ab, wobei sie offensichtlich irrtümlich „ XXXX “ statt der erkennbar gemeinten „ XXXX “ in Kopf und Spruch anführte („ XXXX “ ist offenbar die von der MB verwendete Kurzbezeichnung).
Begründend führte die belangte Behörde zusammengefasst aus, für die Beurteilung, ob ein Antrag auf Auskunft nach Art 15 DSGVO vorliege, seien der Wortlaut und das Verständnis der Erklärung aus objektiver Sicht maßgeblich. Dies müsse umso mehr für Rechtsanwälte als berufsmäßige Parteienvertreter gelten. Der Auskunftswerber müsse zwar nicht auf die konkrete Norm Bezug nehmen, der Inhalt des Antrags müsse aber darauf schließen lassen, dass es sich um die Ausübung von datenschutzrechtlichen Betroffenenrechten handle. Es müsse für den Verantwortlichen erkennbar sein, dass es sich nicht um eine bloße Anfrage handle. Aus der Formulierung des konkreten Schreibens sei nur eine reine Bitte ableitbar. Weder aus dem Text noch der Betreffzeile ergäbe sich, dass es um einen Antrag auf Auskunft nach Art 15 DSGVO gehe.
Gegen diesen Bescheid richtet sich die Beschwerde wegen mangelhafter Beweiswürdigung und unrichtiger rechtlicher Beurteilung mit dem erkennbaren Antrag, den Bescheid dahingehend abzuändern, dass der MB aufgetragen werde, die begehrte Auskunft zu erteilen. Der BF führt im Wesentlichen aus, eine Antwort der MB auf das Auskunftsbegehren vom 13. November 2024 sei ausgeblieben. Der Bestimmung des Art 15 DSGVO oder den Erwägungsgründen der DSGVO sei kein Formalismus zu entnehmen, in welcher Form eine solche Anfrage einzubringen und welche konkrete Wortwahl zu verwenden sei. Ein solcher Formalismus widerspreche auch der Judikatur des EuGH, der Begriffe grundsätzlich weit auslege. Auch die Notwendigkeit einer Bezeichnung als „Antrag“ oder die Nennung einer Rechtsgrundlage gehe aus der DSGVO nicht hervor. Mit der „Bitte“ sei im gegenständlichen Antrag eine gewisse Höflichkeit zu verstehen gewesen. Wenn die belangte Behörde der Ansicht sei, aus der Formulierung der Anfrage sei keine datenschutzrechtliche Ausübung eines Betroffenenrechts iSd Art 15 DSGVO zu verstehen, sei nicht ansatzweise nachvollziehbar, dass die MB als Beschwerdegegnerin darunter selbst eine solche verstanden habe, wie sich aus dem Schreiben ihrer rechtlichen Vertretung vom 28. Jänner 2025 ergäbe.
Beigelegt war ein E-Mail vom 28.01.2025 eines Mitarbeiters der Kanzlei XXXX an datenschutz@ XXXX .com, aus dem sich zusammengefasst ergibt, der BF habe an die MB über 100 Auskunftsersuchen betreffend den Datensicherheitsvorfall gerichtet, das erste sei am 17.01.2025 eingelangt. Die MB wolle diesem lösungsorientiert entsprechen und bitte um Übersendung ergänzender Daten.
Die belangte Behörde legte die Beschwerde samt Verwaltungsakt dem Bundesverwaltungsgericht einlangend am 19.02.2025 unter Verweis auf den Bescheid vor.
Mit Stellungnahme vom 6. März 2025 führte die MB aus, sie habe die entsprechende (beigelegte) Auskunft (vom 04.03.2025) erteilt, sodass der BF klaglos gestellt und das Verfahren einzustellen sei. Die MB habe erstmals durch die Zuschrift des BVwG vom 27.02.2025 von der Beschwerde erfahren.
Ein darauf folgendes Parteiengehör zur Behauptung der (mittlerweile) erteilten Auskunft beantwortete der BF nicht.
Die Beschwerde ist im Ergebnis nicht berechtigt:
Folgender Sachverhalt steht fest:
Der BF wandte sich mit E-Mail vom 13. November 2024 wie folgt an die MB:
XXXX Gesendet am: 13.11.2024 21:08:15
Betreff: Datenleak XXXX XXXX
Sehr geehrte Damen und Herren,
Ich zeige an, dass obiggenannte Person rechtsfreundlich vertrete, ich berufe mich auf meine Vollmacht.
Hiermit bitte ich Sie, mir bekanntzugeben, ob die Daten meiner Mandantschaft vom " XXXX -Datenleck" betroffen waren, und wenn ja, welche Daten dies waren.
Als Identitätsnachweis lasse ich Ihnen im Anhang meine Reisepasskopie zukommen.
Vielen Dank für Ihre Mühe!
Mit freundlichen Grüßen
XXXX Rechtsanwalt / Attorney-at-Law
XXXX
Die MB erlangte spätestens im Rahmen des Parteiengehörs vom 27.02.2025 von diesem Auskunftsbegehren Kenntnis.
Die MB übermittelte dem BF folgendes, auszugsweise wiedergegebenes Schreiben vom 4. März 2025, welches bei diesem zeitnah einging:
„(…) Laut Ihrer Anfrage möchten Sie wissen, ob Ihre Daten von einem Datensicherheitsvorfall im Jahr 2020 betroffen waren. Dieser Datensicherheitsvorfall hat sich mutmaßlich bei einem IT-Dienstleister der damaligen XXXX ereignet. Infolge eines Erkenntnisses des Verfassungsgerichtshofs ist per 01.01.2024 anstelle der XXXX die XXXX eingerichtet worden. In lösungsorientierter Entsprechung Ihrer Anfrage dürfen wir, die XXXX , Ihre Anfrage folgend beantworten:
Eine gerichtliche Überprüfung durch das Bundesverwaltungsgericht hat ergeben, dass sich der Datensicherheitsvorfall im Jahr 2020 mit der vom Gericht als geboten angenommenen Wahrscheinlichkeit bei einem IT-Dienstleister der XXXX ereignet haben dürfte. Gleichwohl wir das Erkenntnis des Bundesverwaltungsgerichts vom Verwaltungsgerichtshof überprüfen lassen, kommen wir Ihrem Auskunftsersuchen im Sinne dieses Erkenntnisses nach.
Das Bundeskriminalamt hat nach unserem Wissensstand vom mutmaßlichen Hacker einen Datenbestand erworben und stellte uns diesen zur Verfügung ("Datenbestand"). Wir haben diesen Datenbestand vom Bundeskriminalamt erhalten und bewahren ihn derzeit zur Beweismittelbewahrung und zur Verteidigung von Rechtsansprüchen auf. Sobald der Datenbestand für diese Zwecke nicht mehr benötigt wird, werden wir ihn löschen.
Soweit uns bekannt, bildete dieser Datenbestand auch einen Teil des datenschutzbehördlichen bzw des bundesverwaltungsgerichtlichen Ermittlungsverfahrens. Das Bundesverwaltungsgericht gelangte zur Ansicht, dass jene Daten, die in diesem Datenbestand enthalten sind, mit hoher Wahrscheinlichkeit vom Datensicherheitsvorfall 2020 betroffen waren.
Dies vorausgeschickt, haben wir die von Ihnen übermittelten Daten mit dem uns zur Verfügung gestellten Datenbestand abgeglichen. Der Datenabgleich ergab
einen Treffer.
Anhand der von Ihnen übermittelten Daten (in der Kombination: Vor- und Nachname + Anschrift) konnten im vom Bundeskriminalamt erhaltenen Datenbestand folgende Daten ermittelt werden (siehe Beilage).
Der IT-Dienstleister, bei dem sich der Datensicherheitsvorfall ereignet haben soll, war die XXXX Als Hosting-Provider fungierte damals die XXXX . Der Datenbestand wurde bereits Ende Mai 2020 von den Servern der XXXX gelöscht. Der Hacker ist gemäß unseren Informationen XXXX . Er wurde in den Niederlanden strafgerichtlich verurteilt.
Die Datenverarbeitung erfolgte zur Normierung der Datenbestände der XXXX . Die XXXX erhielt Meldedaten aus unterschiedlichen Quellen, weshalb die Meldedaten zu normieren (d.h. zu vereinheitlichen) waren. Die XXXX wurde als Auftragsverarbeiterin iSd Art. 28 DSGVO mit dieser Datennormierung beauftragt.
Das von Ihnen ausgeübte Recht auf Auskunftserteilung erachten wir mit dieser Antwort als erfüllt. Sofern Sie Ihren Auskunftsanspruch nicht als befriedigt ansehen oder sich in Ihren sonstigen Datenschutzrechten verletzt erachten, haben Sie das Recht eine Beschwerde bei der österreichischen Datenschutzbehörde einzubringen. (…)“
Auf der letzten Seite des Schreibens befindet sich folgende Tabelle:
Beweiswürdigung:
Der Inhalt sowie die Kenntnisnahme des Auskunftsbegehrens vom 13.11.2024 durch die MB ergibt sich aus der Vorlage des E-Mails durch den BF im Zusammenhalt mit dem von der MB vorgelegten Schreiben vom 04.03.2025 (Beilage ./1), in dem die MB auf das Auskunftsschreiben Bezug nimmt („Laut Ihrer Anfrage…“).
Auf die Übermittlung der Stellungnahme der MB samt Beilage (Auskunftsschreiben vom 04.03.2025) an den BF zur Äußerung mit dem Hinweis, daraus gehe hervor, dass die MB mittlerweile auf das Auskunftsbegehren reagiert habe, hat der BF nicht reagiert, weshalb davon auszugehen ist, dass dem BF das (in Kopie vorgelegte) Schreiben vom 04.03.2025 zeitnah zugegangen ist.
Rechtlich folgt:
Die hier maßgeblichen Rechtsvorschriften der seit 25. Mai 2018 unmittelbar anwendbaren Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge kurz "DSGVO") lauten:
„Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln: dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
(2) [..]
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
(4) [..]
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Daraus folgt:
Die belangte Behörde ging im angefochtenen Bescheid im Bezug auf den Beschwerdegegenstand von der Frage aus, ob die MB den BF in seinem Recht auf Auskunft verletzt habe, indem sie auf das Schreiben vom 13. November 2024 nicht reagiert habe.
Gegenstand des vorliegenden Verfahrens ist daher ausschließlich die von der belangten Behörde angenommene fehlende Reaktion der MB auf das E-Mail vom 13. November 2024, der die MB unter Hinweis auf die Auskunft vom 04.03.2025 entgegentrat.
Wie festgestellt, erfolgte jedenfalls mit Schreiben vom 04.03.2025 eine Reaktion der MB auf das Auskunftsbegehren im Sinne einer Auskunftserteilung. Allein die Frage, ob überhaupt eine Reaktion auf das behauptete Auskunftsbegehren erfolgt ist, ist Gegenstand des Beschwerdeverfahrens, während die Vollständigkeit der erteilten Auskunft hier nicht zu prüfen ist (vgl. dazu BVwG, 12.10.2020, W256 2228667-1).
Angesichts der mit Schreiben vom 4. März 2025 erfolgten Auskunftserteilung ist das Rechtsschutzbegehren des BF zum Entscheidungszeitpunkt als erfüllt anzusehen.
Was eine allenfalls vorliegende Verspätung der Auskunftserteilung betrifft, ist auf das Erkenntnis des VwGH vom 6. März 2024 zu Ro 2021/04/0027 zu verweisen: Dort setzte sich der VwGH ausführlich mit der Frage eines allfälligen Interesses an der Feststellung der ursprünglichen Rechtsverletzung auseinander (Rz 26 bis 37) und gelangte zur Ansicht, beim Recht auf Auskunft handle es sich um einen Anspruch auf eine Leistung. Die Feststellung einer Verletzung in Rechten auf eine bestimmte Leistung komme nicht mehr in Frage, wenn der Beschwerdegegner dem Leistungsbegehren nachgekommen sei. Es sei nicht ersichtlich, inwiefern es erforderlich wäre, einem Betroffenen für den Fall, dass seinem Auskunftsbegehren während des laufenden Verfahrens vor der Behörde zur Gänze nachgekommen werde, eine Feststellung betreffend die zwischenzeitig beseitigte Rechtsverletzung zuzugestehen. Wenn das Rechtsschutzbegehren auf die Erlangung einer bestimmten Leistung gerichtet sei, die zum Entscheidungszeitpunkt als vom Verpflichteten erfüllt anzusehen sei, sei davon auszugehen, dass der Betroffene sein Rechtsschutzziel erreicht habe.
Nichts anderes kann im vorliegenden Fall gelten, wobei die Auskunftserteilung erst im Verfahren vor dem Verwaltungsgericht erfolgte: Das Verwaltungsgericht erkennt nach der Sach- und Rechtslage zum Zeitpunkt seiner Entscheidung (s. zuletzt Ro 2023/04/0026).
Ob das Auskunftsersuchen des BF vom 13. November 2024 bereits für sich alleine (ohne seine Eingaben im Datenschutzbeschwerdeverfahren, von dem letztlich auch die MB im Wege der Beschwerdemitteilung vom 27. Februar 2025 Kenntnis erlangte) als Antrag auf Auskunft an die MB im Sinne des Art 12 Abs 3 DSGVO ausreichend war, kann insofern dahingestellt bleiben, als der BF die gewünschte Auskunft letztlich erhielt. Ein Anspruch auf Feststellung, dass eine Auskunft verspätet erteilt worden sei, besteht nach den obigen Ausführungen gerade nicht. Daher kann auch die Frage, ob bereits das Auskunftsersuchen vom 13. November 2024 ausreichend war, dahingestellt bleiben.
Die Beschwerde gegen den angefochtenen Bescheid kommt daher im Ergebnis keine Berechtigung zu.
Im gegenständlichen Fall ist der Sachverhalt aus der Aktenlage unter Berücksichtigung der Parteiengehöre geklärt. Ein Bedarf zur Durchführung einer vom BF beantragten mündlichen Verhandlung ist nicht erkennbar.
Der Ausspruch der Unzulässigkeit der Revision folgt dem Umstand, dass die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder mangelt es an einer Rechtsprechung des Verwaltungsgerichtshofes (vgl die oben angeführten Erkenntnisse des Verwaltungsgerichtshofes), noch weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab; diese ist auch nicht uneinheitlich.