Spruch
BESCHLUSS
Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende, die fachkundige Laienrichterin Dr. Claudia ROSENMAYR-KLEMENZ und die fachkundige Laienrichterin Mag. Adriana MANDL als Beisitzerinnen über die Beschwerde der XXXX GmbH (vormals: XXXX GmbH), vertreten durch Schönherr Rechtsanwälte GmbH, gegen Spruchpunkt 1. des Bescheides der Datenschutzbehörde vom 29.11.2023, Zl. D124.0113/23 2023-0.859.064, betreffend eine datenschutzrechtliche Angelegenheit (mitbeteiligte Partei: XXXX ) beschlossen:
A)
Das Beschwerdeverfahren wird gemäß § 34 Abs. 3 VwGVG bis zur Entscheidung durch den Verwaltungsgerichtshof über die außerordentliche Revision vom 16.08.2024 gegen das Erkenntnis des Bundesverwaltungsgerichts vom 05.07.2024, GZ W292 2284228-1/49E, ausgesetzt.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Begründung:
I. Verfahrensgang und Sachverhalt:
In ihrer an die belangte Behörde gerichteten Datenschutzbeschwerde vom 28. Jänner 2023 behauptete die mitbeteiligte Partei unter anderem eine Verletzung im Recht auf Geheimhaltung durch die Beschwerdeführerin, weil diese ihre Daten an eine externe IT-Firma weitergegeben habe, was zum Datendiebstahl von neun Millionen privaten Daten zur kriminellen Nutzung geführt habe.
Mit Spruchpunkt 1. des angefochtenen Bescheides entschied die belangte Behörde über die Datenschutzbeschwerde der mitbeteiligten Partei wegen Verletzung im Recht auf Geheimhaltung wie folgt (Formatierung nicht 1:1 wiedergegeben):
„Der Beschwerde wird Folge gegeben und es wird festgestellt, dass die [Beschwerdeführerin] die [mitbeteiligte] Partei im Recht auf Geheimhaltung verletzt hat, indem die [Beschwerdeführerin] es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass personenbezogene Daten der [mitbeteiligten] Partei (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden.“
Dagegen richtet sich die vorliegende Beschwerde der Beschwerdeführerin.
Die belangte Behörde legte die Beschwerde samt den Akten des Verwaltungsverfahrens dem Bundesverwaltungsgericht zur Entscheidung vor.
Mit Erkenntnis des Bundesverwaltungsgerichtes vom 5. Juli 2024, Zl. W292 2284228-1/49E, wurde in einem Parallelverfahren die Bescheidbeschwerde der Beschwerdeführerin gemäß § 28 Abs. 2 VwGVG, § 1 und 24 DSG in Verbindung mit Art. 5, 6, 32 und 77 DSGVO, als unbegründet abgewiesen. Rechtlich hielt das Bundesverwaltungsgericht fest, dass die Beschwerdeführerin die datenschutzrechtliche Verantwortung für von der XXXX GmbH vorgenommene Verarbeitungsvorgänge treffe und aufgrund eines vorhandenen Informationsdefizits der betroffenen Personen keine Präklusion des Beschwerderechts gemäß § 24 Abs. 4 DSG eingetreten sei, wiewohl es der Beschwerdeführerin möglich gewesen wäre, in den Wochen und Monaten nach dem widerrechtlichen Zugriff vom 8. Mai 2020 die betroffenen Personen auf wirksame Weise zum Hergang und den Folgen des Vorfalles im Sinne von Art. 34 Abs. 1 und Abs. 2 DSGVO zu informieren. Zur Zurechnung des Verhaltens des Auftragsverarbeiters zur Beschwerdeführerin als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO wurde ausgeführt, dass der Auftragsverarbeiter der verlängerte Arm des Verantwortlichen sei, weshalb im gegenständlichen Fall sämtliche Verarbeitungsvorgänge, die im Auftrag der XXXX GmbH im Rahmen des gegenständlichen IT-Projektes vorgenommen worden seien, so zu behandeln seien, als ob diese von der XXXX GmbH als Verantwortlicher selbst (etwa im Rahmen der hauseigenen IT-Abteilung) vorgenommen worden wären. Die Beschwerdeführerin habe als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO dadurch gegen ihre Pflichten nach Art. 5 Abs. 1 lit. f und Art. 32 DSGVO verstoßen, indem sie insgesamt keine wirksamen technischen und organisatorischen Maßnahmen in Gestalt eines Projektmanagements etabliert habe, welche eine regelmäßige Kontrolle und Überwachung der Einhaltung eines angemessenen Schutzniveaus durch den Auftragsverarbeiter umfasst hätten. Durch diese Vorgangsweise habe die Beschwerdeführerin ein erhebliches Risiko geschaffen, das sich im Zuge des unberechtigten Zugriffes vom Mai 2020 – und der damit einhergehenden Verletzung des Schutzes personenbezogener Daten – auch verwirklicht habe.
Dagegen erhob die Beschwerdeführerin eine außerordentliche Revision an den Verwaltungsgerichtshof.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt I. dargestellte Verfahrensgang wird als Sachverhalt zu Grunde gelegt.
Dem verfahrensgegenständlichen Fall liegt im Wesentlichen derselbe Sachverhalt im Zusammenhang mit der Zugänglichmachung personenbezogener (Melde-)Daten an einen Hacker wie im hg. Verfahren W292 2284228-1 zugrunde.
Am Bundesverwaltungsgericht sind diesbezüglich rund 100 Verfahren anhängig.
2. Beweiswürdigung:
Die Feststellungen ergeben sich aus den vorgelegten Verwaltungsakten und dem gegenständlichen Gerichtsakt sowie – hinsichtlich des Verfahrens W292 2284228-1 und der Anzahl der beim Bundesverwaltungsgericht anhängigen gleichartigen Verfahren – aus der Einsichtnahme in die elektronische Verfahrensadministration des Bundesverwaltungsgerichts eVA+.
3. Rechtliche Beurteilung:
Zu A)
Gemäß § 34 Abs. 3 VwGVG kann das Verwaltungsgericht ein Verfahren über eine Beschwerde gemäß Art. 130 Abs. 1 Z 1 B-VG mit Beschluss aussetzen, wenn
1. vom Verwaltungsgericht in einer erheblichen Anzahl von anhängigen oder in naher Zukunft zu erwartenden Verfahren eine Rechtsfrage zu lösen ist und gleichzeitig beim Verwaltungsgerichtshof ein Verfahren über eine Revision gegen ein Erkenntnis oder einen Beschluss eines Verwaltungsgerichtes anhängig ist, in welchem dieselbe Rechtsfrage zu lösen ist, und
2. eine Rechtsprechung des Verwaltungsgerichtshofes zur Lösung dieser Rechtsfrage fehlt oder die zu lösende Rechtsfrage in der bisherigen Rechtsprechung des Verwaltungsgerichtshofes nicht einheitlich beantwortet wird.
Gleichzeitig hat das Verwaltungsgericht dem Verwaltungsgerichtshof das Aussetzen des Verfahrens unter Bezeichnung des beim Verwaltungsgerichtshof anhängigen Verfahrens mitzuteilen. Eine solche Mitteilung hat zu entfallen, wenn das Verwaltungsgericht in der Mitteilung ein Verfahren vor dem Verwaltungsgerichtshof zu bezeichnen hätte, das es in einer früheren Mitteilung schon einmal bezeichnet hat. Mit der Zustellung des Erkenntnisses oder Beschlusses des Verwaltungsgerichtshofes an das Verwaltungsgericht gemäß § 44 Abs. 2 des Verwaltungsgerichtshofgesetzes 1985 – VwGG, BGBl. Nr. 10/1985, ist das Verfahren fortzusetzen. Das Verwaltungsgericht hat den Parteien die Fortsetzung des Verfahrens mitzuteilen.
Aus den Erläuterungen (vgl. RV 2009 BlgNR 24. GP, 8) zu § 34 VwGVG geht hervor, dass ein Verfahren ausgesetzt werden kann, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die in einem – gleichzeitig anhängigen – Verfahren vor dem Verwaltungsgerichtshof zu lösen ist. Zweck dieser Bestimmung ist daher, aus Gründen der Prozessökonomie zu vermeiden, dass die gleiche Rechtsfrage nebeneinander in mehreren Verfahren erörtert werden muss (vgl. zu den entsprechenden Bestimmungen der BAO: VwGH 18.04.1990, 89/16/0200; 21.12.2011, 2009/13/0159 sowie Ritz, BAO5 § 271).
Wenn daher ein Verwaltungsgericht, während vor dem Verwaltungsgerichtshof ein Verfahren zur Klärung einer bestimmten Rechtsfrage anhängig ist, Verfahren, bei denen die gleiche Rechtsfrage strittig ist, aussetzt (und nicht durch Erlassung weiterer Entscheidungen mehrfache Revisionen an den Verwaltungsgerichtshof „verursacht“), dient die Aussetzung auch Parteiinteressen (Wegfall des Kostenrisikos in Bezug auf allfällig zu ergreifende Rechtsmittel an den Verwaltungsgerichtshof).
Zudem soll durch die Aussetzung eines Verfahrens die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden gewährleistet sein, indem auf einen beim Verwaltungsgerichtshof anhängigen „leading case“ gewartet und so dessen Rechtsansicht eingeholt werden kann. Darüber hinaus wird der Verwaltungsgerichtshof selbst vor einer potentiell massenhaften Revisionseinbringung geschützt (Fister/Fuchs/Sachs, Anm 14 zu § 34 VwGVG, s. auch Ra 2017/17/0722).
Für den vorliegenden Fall ergibt sich daraus Folgendes:
Beim Bundesverwaltungsgericht sind zum Themenkomplex des sog. XXXX etwa 100 Bescheidbeschwerden der Beschwerdeführerin in unterschiedlichen Gerichtsabteilungen anhängig. Damit liegt jedenfalls eine erhebliche Anzahl an Verfahren im Sinne des § 34 Abs. 3 VwGVG vor (vgl. Bumberger/Lampert/Larcher/Weber [Hrsg] VwGVG § 34 Rz 42 mit Verweis auf Reisner in Götzl/Gruber/Reisner/Winkler, Verfahrensrecht2 § 34 Rz 28; Fister/Fuchs/Sachs, Verwaltungsgerichtsverfahren2 § 34 Anm 15 mwN). Das gegenständliche Verfahren ist eines dieser Verfahren.
Beschwerdegegenständlich ist jeweils grundsätzlich die Frage, ob die Beschwerdeführerin die jeweils betroffene Person im Recht auf Geheimhaltung verletzt hat, indem die Beschwerdeführerin es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass personenbezogene Daten der betroffenen Person (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden. Diese Frage ist (unter anderem) auch Gegenstand der Revision der Beschwerdeführerin. Zudem macht die Beschwerdeführerin in ihrer Revision u.a. ihre mangelnde datenschutzrechtliche Verantwortlichkeit, eine Präklusion des Beschwerderechts aufgrund der vorgenommenen öffentliche Bekanntmachung iSd Art. 34 Abs. 3 lit. c DSGVO sowie die Unzulässigkeit der Zurechnung des rechtswidrigen Verhaltens des Auftragsverarbeiters an den Verantwortlichen mangels Überwachungsverschuldens geltend.
Zu diesen Rechtsfragen fehlt eine Rechtsprechung des Verwaltungsgerichtshofs und diese sind wesentliche Gegenstände der beim Verwaltungsgerichtshof anhängigen außerordentlichen Revision gegen das Erkenntnis vom 05.07.2024, Zl. W292 2284228-1/49E.
Das Beschwerdeverfahren war daher bis zur Entscheidung durch den Verwaltungsgerichtshof über die außerordentliche Revision vom 16.08.2024 gegen das Erkenntnis des Bundesverwaltungsgerichts vom 05.07.2024, GZ W292 2284228-1/49E, auszusetzen.
Zu B)
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Es ist auch nicht ersichtlich, dass sich in den konkreten Fällen eine Rechtsfrage stellt, die über den (hier vorliegenden konkreten) Einzelfall hinaus Bedeutung entfaltet. Ausgehend davon kann eine Rechtsfrage von grundsätzlicher Bedeutung auch insofern nicht bejaht werden. Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG nicht zulässig ist.