W605 2301248-1/13E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag.a Julia LUDWIG als Vorsitzende und die fachkundige Laienrichterin Dr.in Barbara FELLNER-RESCH und den fachkundigen Laienrichter Mag. Florian SCHULTES, LL.M. über die Beschwerde von XXXX , vertreten durch RA MMag. Dr. Stephan Vesco, LL.M., gegen den Bescheid der Datenschutzbehörde vom 27.09.2023, GZ. XXXX , (Mitbeteiligte: 1. XXXX , 2. XXXX , nunmehr: XXXX , 3. XXXX , 4. XXXX , 5. XXXX erkannt:
A)
Die Beschwerde wird als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Entscheidungsgründe:
I. Verfahrensgang:
1. Der Beschwerdeführer brachte bereits am 18.01.2022 eine der hier verfahrensgegenständlichen Datenschutzbeschwerde vorangegangene Beschwerde bei der belangten Behörde wegen Verletzung im Recht auf Berichtigung ein und führte im Wesentlichen Folgendes aus:
Er habe am 12.11.2021 eine dritte Impfung erhalten, doch sei ihm hierfür ein Impfzertifikat mit 1/2 ausgestellt. Er habe versucht, eine zuständige Stelle für die Datenkorrektur zu finden. Er habe sich am 12.11. an die die XXXX (im Folgenden: XXXX (Viertmitbeteiligte im gegenständlichen Verfahren), gewandt und diese habe ihm mitgeteilt, dass sie nur für technisch falsche, aber nicht inhaltlich falsche Zertifikate zuständig sei. Am 16.11. habe sich der Beschwerdeführer an das XXXX gewandt und dieses habe ihn am 22.11. an die XXXX verwiesen. Er habe am 22.11. die XXXX am 22.11. kontaktiert und diese habe ihn wiederum an das XXXX (Anm. XXXX ) verwiesen. Weil eine Kontaktmöglichkeit mit dem XXXX nicht möglich gewesen sei, habe er sich an dessen Träger, den XXXX (im Folgenden: XXXX (Drittmitbeteilitge im gegenständlichen Verfahren), gewandt, diese habe ihm aber bisher nicht geantwortet. Das XXXX habe ihm mitgeteilt, dass er seine beiden ausländischen Impfungen nacherfassen lassen müsse, damit die dritte Impfung korrekt eingetragen werde. Der Beschwerdeführer sei aber der Ansicht, dass dies rechtlich unzulässig sei. Dass es sich um die dritte Impfung handle, sei durch einen Arzt im XXXX überprüft und auf dem Anamnesebogen erfasst worden. Seine Nachweispflicht sei damit erledigt. Eine Nacherfassung der ausländischen Impfungen sei daher gar nicht notwendig, um zu beweisen, dass es die dritte Impfung gewesen sei. Es gäbe eine rechtliche Grundlage, wonach ausländische Impfungen nacherfasst werden müssten. Der Beschwerdeführer habe kein Interesse daran, dass seine Impfdaten über den rechtlich erzwungenen Rahmen der e-Health Verordnung hinaus im e-Impfpass gespeichert oder verarbeitet werden. Dann wiederum führte der Beschwerdeführer aus, es gäbe keine rechtliche Grundlage, wonach ausländische Impfungen nacherfasst werden müssten, doch würde es eine rechtliche Grundlage dafür geben, dass die gespeicherten Daten korrekt sein müssen. Dem Beschwerdeführer müsse daher auch ohne Nacherfassung der ausländischen Impfungen ein korrektes Impfzertifikat 3/3 ausgestellt werden. Dies sei ihm verweigert worden.
2. Mit Bescheid vom 12.05.2023, GZ. XXXX , wurde unter Zugrundelegung der Bestimmungen des Gesundheitstelekommunikationsgesetz 2012, BGBl. I Nr. 111/2012 idF BGBl. I Nr. 115/2020, die Beschwerde des Beschwerdeführers gegen XXXX (im Folgenden: XXXX (Zweitmitbeteiligter im gegenständlichen Verfahren) wegen der behaupteten Verletzung im Recht auf Berichtigung als unbegründet abgewiesen, da der XXXX (Zweitmitbeteiligter) nicht Verantwortlicher im Sinne des Art. 16 DSGVO sei. Gemäß § 27 Abs. 17 GTelG 2012 liege die Verantwortlichkeit der Datenverarbeitungen während des Pilotbetriebes der eHealth-Anwendung elektronischer Impfpass (eImpfpass) bei der XXXX (im Folgenden XXXX (Erstmitbeteiligte im gegenständlichen Verfahren) und habe eine gemeinsame Verantwortlichkeit noch nicht vorgelegen.
3. Mit E-Mail vom 26.06.2023 brachte der Beschwerdeführer nun die gegenständliche mit 14.02.2023 datierte neue Datenschutzbeschwerde bei der belangten Behörde gegen 1. XXXX (Erstmitbeteiligte)], 2. XXXX , nunmehr: XXXX (Zweitmitbeteiligter)], 3. XXXX (Drittmitbeteiligte)], 4. die XXXX (Viertmitbeteiligte)], 5. XXXX (Fünftmitbeteiligte)] ein und führte hierzu Folgendes aus:
Laut Mitteilung der XXXX (Drittbeteiligte) vom 15.06.2023 befinde sich die die Anwendung „e-Impfpass“ im Vollbetrieb, doch könne keine Aussage darüber getroffen werden, seit wann dies der Fall sei. Für eine fristgerechte Beschwerde gegen den Bescheid der belangten Behörde vom 31.05.2023 sei die Antwort der XXXX (Drittmitbeteiligte) zu spät erfolgt. Eine Anfrage vom 12.05.2023 an die die XXXX (Erstmitbeteiligte) mit der Bitte um Korrektur sei mit dem Hinweis auf die XXXX (Viertmitbeteiligte) abgelehnt worden. Eine Korrektur der Daten habe nicht stattgefunden. Auf Nachfrage, ob die Anwendung „e-Impfpass“ im Vollbetrieb sei oder nicht und ob die XXXX (Erstmitbeteiligte) zuständig sei oder nicht. Keiner der Mitbeteiligten habe binnen eines Monats auf den Antrag reagiert, daher ergehe der Antrag, die Datenschutzbehörde möge eine Verletzung seiner Rechte feststellen.
In der Anlage war eine Korrespondenz des Beschwerdeführers mit der XXXX (Erstmitbeteiligte) vom 12.05.2023 sowie vom 15.06.2023 beigefügt.
Im Verfahren nahm der Beschwerdeführer Bezug auf das (oben genannte) vorangegangene Beschwerdeverfahren und mit dem Bescheid vom 12.05.2023, GZ. XXXX , abgeschlossene Verfahren.
4. Mit Schreiben vom 03.10.2023 informierte die Datenschutzbehörde den Beschwerdeführer darüber, dass seine Eingabe vom 26.06.2023 als neue Beschwerde zu Zl. XXXX protokolliert worden sei. Zur Verbesserung seiner Eingabe und Klarstellung seines Vorbringens aufgefordert brachte der Beschwerdeführer mit seinen Eingaben vom 12.10.2023 und vom 18.06.2024 ergänzend vor:
Er mache eine Verletzung im Recht auf Berichtigung geltend und richte sich seine Beschwerde gegen alle genannten Mitbeteiligten richte, insbesondere vor dem Hintergrund, dass die Verantwortlicheneigenschaft ungeklärt sei. Er habe bisher erfolglos versucht, seine medizinischen Daten korrigieren (berichtigen iSd Art. 6 DSGVO) zu lassen. Die zu seiner Person gespeicherten Daten im e-Impfpass seien falsch. Aus den ihm ausgestellten Impfzertifikaten (Grüner Pass) gehe hervor, dass es sich um die erste bzw. zweite Corona-Impfung handle. Dass die Daten falsch erfasst und verarbeitet worden seien, ergebe sich auch aus der Impfeinladung zur dritten Impfung. Im eImpfpass sei ein Kommentar zur 3. Impfung erfasst, welche jedoch von der automatisierten Verarbeitung nicht erfasst werde. Tatsächlich handle es sich bei den als erster und zweiter erfassten Impfungen um die dritte und vierte verabreichte Dosis.
5. Mit Bescheid vom 27.08.2024, GZ. XXXX , wies die Datenschutzbehörde die Beschwerde des Beschwerdeführers gegen die mitbeteiligten Parteien als unbegründet ab (Spruchpunkt 1.) und wies den Antrag des Beschwerdeführers, die Datenschutzbehörde möge die Verantwortlichkeit im Zusammenhang mit dem eImpfpass feststellen, zurück (Spruchpunkt 2.).
In rechtlicher Hinsicht führte die Datenschutzbehörde im Wesentlichen aus, dass in § 24b GTelG 2012 ausdrücklich geregelt sei, wer als Verantwortlicher gemäß Art. 4 Z 7 DSGVO für die Datenverarbeitung im eImpfpass zuständig sei und gewesen sei und. Daraus ergebe sich, dass die Erstmitbeteiligte und der Zweitmitbeteiligte als Verantwortliche für die verfahrensgegenständliche Datenverarbeitung zu qualifizieren gewesen seien. Die Beschwerde gegen die übrigen Mitbeteiligten drei bis fünf sei daher mangels Verantwortlichkeit abzuweisen gewesen. Darüber hinaus führte die belangte Behörde aus, dass – soweit der Beschwerdeführer in der gegenständlichen Sache beanstande, in den COVID-Zertifikaten der EU sei fälschlicherweise angegeben, dass es sich um seine erste und zweite Corona-Schutzimpfung handle – im eImpfpass des Beschwerdeführers auch zwei Corona-Schutzimpfungen eingetragen seien. Diese seien dem Beschwerdeführer auch unstreitig verabreicht und im eImpfpass mit dem jeweiligen korrekten Verabreichungsdatum eingetragen worden. Die ausgestellten Impfzertifikate hätten gemäß Art. 5 Abs. 2 lit. b der Verordnung (EU) 2021/953 über das digitale COVID-Zertifikat der EU die richtige Anzahl von Dosen enthalten, sodass diese Information weder falsch noch unwahr, unzutreffend oder verfälschend sei. Es ergebe sich keine objektive Unrichtigkeit, da die Anzahl der Dosen korrekt angegeben worden sei. Ein diesbezüglicher Anspruch auf Berichtigung komme daher dem Beschwerdeführer nicht zu.
6. Mit Eingabe vom 18.09.2024 erhob der Beschwerdeführer gegen den Bescheid der belangten Behörde vom 27.08.2024 Beschwerde an das Bundesverwaltungsgericht und brachte im Wesentlichen Folgendes vor:
Am 12.11.2021 sei ihm im XXXX die dritte Dosis der COVID-19-Schutzimpfung verabreicht und diese auch als die dritte Dosis in seinem (physischen) Impfpass vermerkt worden. Nach der Impfung sei ihm vor Ort ein Impfzertifikat mit der Angabe „Anzahl der Impfung 1/2“ ausgestellt worden. Am 29.09.2022 sei dem Beschwerdeführer im XXXX die vierte Dosis der COVID-19-Schutzimpfung verabreicht worden. Diese Impfung sei auch als vierte Dosis in seinem (physischen) Impfpass vermerkt worden. Nach der Impfung habe der Beschwerdeführer online ein Impfzertifikat mit der Angabe „Anzahl der Impfung 2/2“ erzeugt. Er habe sich an mehrere Stellen gewandt, um die falschen Daten im Impfzertifikat korrigieren (berichtigen) zu lassen.
Die Schlussfolgerung der belangten Behörde, dass im eImpfpass zwei Impfungen eingetragen seien und daher die Angaben „1/2“ und „2/2“ richtig wären, sei falsch. Die EU-Verordnung spreche klar von der dem Inhaber verabreichten Anzahl der Dosen und nicht von der im eImpfpass erfassten Anzahl. Der Hinweis auf den eImpfpass und die darin verpflichtend einzutragenden Impfungen gegen COVID-19 seien in diesem Zusammenhang irrelevant. Die Pflicht zur Eintragung treffe die in § 24 Abs. 2 lit. 1 GTelG 2012 genannte Gruppe an Gesundheitsdienstleistern. Dies treffe aber jedenfalls nur auf in Österreich ansässige Gesundheitsdienstleister zu, da sich österreichisches Recht nicht auf ausländische Anbieter erstrecken könne. Es gebe keine Rechtsgrundlage, die den Beschwerdeführer oder einen ausländischen Gesundheitsanbieter zwingen könnte, ausländische Impfungen nachzutragen. Es gebe aber eine datenschutzrechtliche Verpflichtung der Betreiber dieser Anwendung die vorhandenen Daten korrekt zu speichern und zu verarbeiten. Die Daten müssten auch unabhängig von einer möglichen Nachtragung richtig sein. Die Mitbeteiligten hätten mit ihren Stellungnahmen bestätigt, dass die Anzahl der der Inhaber:in verabreichten Impfdosen aus der Anzahl der im eImpfpass erfassten Impfdosen durch abzählen errechnet werde. Dieses Vorgehen sei falsch. Der eImpfpass als Datenquelle für die Anzahl der verabreichten Dosen sei daher ungeeignet. Die Datenverarbeitung sei falsch. Die Anzahl der verabreichten Dosen im e-Impfpass könne nicht durch abzählen berechnet werden. Stattdessen müsse zu jeder Impfung explizit erfasst, um die wievielte Dosis es sich handle. Die dritte und vierte ihm verabreichte Dosis sei jedenfalls objektiv die dritte und vierte Dosis und müssten auch als solche verarbeitet werden, unabhängig davon, ob die erste und zweite Dosis im eImpfpass (nach-) erfasst seien.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Der „eImpfpass“ wird als eHealth-Anwendung des elektronischen Informationssystems in einer Basisfunktion seit Oktober 2020 eingesetzt und befindet sich im Entscheidungszeitpunkt in der Pilotphase. Der Vollbetrieb soll am 01.01.2029 aufgenommen werden.
Der eImpfpass enthält Daten zu verabreichten Impfungen, dem jeweiligen Impfstoff sowie zur betroffenen Person und zur:zum impfenden oder speichernden Gesundheitsdienstleistungsanbieter:in. Eine Eintragung in den eImpfpass erfolgt (unter anderem) anhand eines Eintrages in das zentrale elektronische Impfregister, wo die Daten selbst auch gespeichert werden.
Während der Pilotphase erfolgt die Dokumentation von Influenza-, COVID-19-, Affenpocken- und HPV-Impfungen zwingend.
Sowohl zurückliegende wie auch andere als die genannten Impfungen können durch eine:n Gesundheitsdiensteanbieter:in nachgetragen werden.
Die Verabreichung von COVID-19-Impfungen waren ab Herbst 2021 insofern zu dokumentieren, dass nach einer „Dosis 2“ der Impfstoffe „Comirnaty“, „Moderna“ oder „AstraZeneca“ eine weitere (dritte) Impfung als „Dosis 3“ / „D3“ im Impfregister eingetragen wurde. Nach einer „Dosis 1“ des Impfstoffes „Janssen“ wurde eine weitere (zweite) Impfung als „Dosis 2“ / „D2“ eingetragen. Jede weitere Impfung wurde (unabhängig vom Impfstoff) mit der Kennung „Dosis 3“ / „D3“ eingetragen. Beginnend mit August 2022 wurde die Eintragung insofern abgeändert, dass nach erfolgter Grundimmunisierung nach drei erhaltenen Impfdosen, jede weitere COVID-19-Impfung inklusive der vierten Dosis als „Auffrischung“ (ohne Angabe der wievielten) dokumentiert wurde.
Aufgrund der Verordnung (EU) 2021/953 über das digitale COVID-Zertifikat der EU, welche am 01.07.2021 in Kraft trat und am 30.06.2023 auslief, wurden basierend auf den im elektronischen Impfregister eingepflegten Daten digitale COVID-Zertifikate ausgestellt.
Der Verwendung und Gültigkeit des physischen Impfpasses ist nach wie vor gegebene.
1.2. Für Personen, die in Österreich eine Corona-Schutzimpfung erhielten, welche auch in das Impfregister eingetragen wurden, wurden automatisch Impfzertifikate erstellt und der geimpften Person über das Gesundheitspersonal gesundheit.gv.at zur Verfügung gestellt. Dies erfolgte mittels des „Grünen Passes“. Der „Grüne Pass“ war eine digitale Lösung in ganz Österreich, mit welchem Personen unter anderem ein Impfzertifikat digital am Smartphone mit einem QR-Code nachweisen konnten. Der „Grüne Pass“ war eine Umsetzung des EU Digital COVID Certificates in Österreich. Als Grundlage zur Umsetzung des EU-kompatiblen „Grünen Passes“ diente seit Anfang 2021 im Auftrag des XXXX (Zweitmitbeteiligter) das sogenannte BRZ EPI (Abkürzung für: Epidemiologisches Informationssystem). Im BRZ EPI liefen unter anderem Daten aus dem elektronischen Impfpass zusammen. Personen, die eine Impfung erhalten hatten, konnten über gruenerpass.gesundheit.gv.at ein Impfzertifikat aus dem eImpfpass herunterladen.
1.3. Der Beschwerdeführer hat zwei COVID-19-Impfungen nicht in Österreich erhalten.
Am 12.11.2021 und am 29.09.2022 wurde der Beschwerdeführer im XXXX zum dritten und vierten mal gegen COVID-19 geimpft.
1.4. Im eImpfpass des Beschwerdeführers sind die am 12.11.2021 und 29.09.2022 erhaltenen Impfungen gegen COVID-19 mit diesbezüglichen Anmerkungen eingetragen, konkret betreffend jene am 12.11.2021 erhaltene Impfung (Impfstoff „Moderna“) mit der Anmerkung „Dosis 3, unbekanntes Impfschema“, sowie die nachfolgende Impfung vom 29.09.2022 (Impfstoff „Comornaty“) mit der Anmerkung „Auffrischung, unbekanntes Impfschema“.
Auch in seinem physischen Impfpass wurden die Impfungen insofern vermerkt, als hierin das Verabreichungsdatum sowie der Handelsname des Impfstoffes und die sogenannte Chargen-Bezeichnung (anhand des Anbringen des diesbezüglichen Aufklebers des Spritzenzylinders) eingetragen und die Verabreichungen durch den:die jeweilige:n Gesundheitsdienstleister:in mittelts Unterschrift bestätigt wurden.
1.5. Dem Beschwerdeführer wurden zu der Impfung am 12.11.2021 und der Impfung am 29.09.2022 zwei Impfzertifikate („EU Digital COVID Certificate“, COVID-Zertifikate der EU) ausgestellt.
Das Impfzertifikat betreffend die Impfung vom 12.11.2021 weist die Anmerkung „Nummer der Impfung / Anzahl der Dosen“ „1/2“, und jenes betreffend die Impfung vom 29.09.2022 „Nummer der Impfung / Anzahl der Dosen“ „2/2“.
1.6. Der Beschwerdeführer hat zwischen 12.11.2021 und 22.11.2023 an die XXXX (Erstmitbeteiligte) (zuletzt am 12.05.2023), an den XXXX (Zweitmitbeteiligten) (zuletzt am 04.10.2023), an die XXXX (Drittmitbeteiligte) (zuletzt am 04.10.2023) und an die XXXX (Viertmitbeteiligte) (zuletzt am 12.11.2021) diverse Anträge auf Berichtigung iSd Art. 16 DSGVO gestellt.
Konkret waren diese Begehren darauf gerichtet richtigzustellen, dass seine personenbezogenen Daten in den –basierend auf der Anwendung des eImpfasses – ausgestellten Impfzertifikaten („EU Digital COVID Certificate“, COVID-Zertifikate der EU) insoweit nicht richtig waren, als hierin nicht die richtige Anzahl an erhaltenen Impfdosen angegeben wurde. So war die mit 12.11.2021 erhaltene Impfdosis fälschlicherweise als erste von zwei (statt richtigerweise die insgesamt dritte) und jene am 29.09.2022 verabreichte fälschlicherweise als zweite von zwei (anstatt richtigerweise als vierte) erhaltene Impfdosen ausgewiesen.
1.7. Die gesetzliche Grundlage für die Erstellung der Impfzertifikate („EU Digital COVID Certificate“, COVID-Zertifikate der EU) – anhand derer eine geringe epidemiologischer Gefahr nachgewiesen werden konnte (durch Hinterlegung im „Grünen Pass“) lief mit 30.06.2023 aus (siehe Feststellung unter 1.1.) und werden ab 01.07.2023 nicht mehr erstellt. Sie stehen ab diesem Zeitpunkt nicht mehr auf gesundheit.gv.at zum Download zur Verfügung und können auch nicht mehr bei den bisher bekannten Stellen ausgedruckt werden.
2. Beweiswürdigung:
Die Feststellungen gründen auf dem Akteninhalt des vorgelegten erstinstanzlichen Verfahrensaktes und dem Gerichtsakt des Bundesverwaltungsgerichtes, hier insbesondere
dem Bescheid vom 27.08.2024, GZ. XXXX
der Bescheidbeschwerde vom 27.08.2024 samt Anhänge
der Stellungnahme vom 21.11.2024 namens der XXXX (Drittmitbeteiligte) und des XXXX (Fünftmitbeteiligter) sowie der Stellungnahme vom 29.11.2024 namens des XXXX (Zweitmitbeteiligter)
und der nachfolgenden Beweiswürdigung:
2.1. Die Feststellungen unter Pkt. 1.1 und 1.2. zu Einsatz und Verwendung der eHealth-Anwendung „eImpfpass“ sowie der Ausstellung von Impfzertifikaten („EU Digital COVID Certificate“, COVID-Zertifikate der EU) gründen und der Handhabe des „Grünen Passes“ gründen auf amtswegiger Erhebungen des erkennenden Gerichtes insbesondere unter https://www.oesterreich.gv.at/de/themen/gesundheit/elektronisches-gesundheitssystem/elektronischer_impfpass, https://www. XXXX .gv.at/e-impfpass/e-impfpass/, https://www.gesundheit.gv.at/gesundheitsleistungen/ XXXX /elektronischer-impfpass.html, https://commission.europa.eu/strategy-and-policy/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_de, https://www.aekwien.at/documents/263869/411179/Factsheet_Gruener_Pass.pdf/b4ac443e-649f-6931-41bd-a75643d7635b, https://www.brz.gv.at/presse/GruenerPass-BRZ
Die Feststellungen im Zusammenhang mit den Eintragungsmodalitäten im eImpfpass ergeben sich aus dem Schreiben der XXXX GmbH „Update: COVID-19-Schutzimpfung“ vom 27.08.2021 sowie aus dem Newsletter vom 25.08.2022 „Aktuelle Informationen zu e-Impfpass und Corona-Zertifikaten („Grüner Pass“)“, ins Verfahren eingebracht durch den XXXX (Zweitmitbeteiligter) im Rahmen der Stellungnahme vom 29.11.2024.
2.2. Die Feststellungen zu Pkt. 1.3. bis 1.5. im Zusammenhang mit den dem Beschwerdeführer verabreichten Impfungen sowie den ausgestellten Impfzertifikaten und den darin enthaltenen Dosisangaben stützen sich auf die unbestrittenen Angaben des Beschwerdeführers sowie den durch den Beschwerdeführer vorgelegten Dokumenten (diesbezügliche Einträge im eImpfpass sowie des physischen Impfpasses und die genannten Zertifikate im Rahmen seiner Eingabe vor der belangten Behörde vom 14.02.2023, 12.10.2023, 18.06.2024 sowie 12.07.2024, samt Beilagen, und der Bescheidbeschwerde vom 18.09.2024).
Dass der Beschwerdeführer die ersten zwei COVID-19-Impfungen nicht in Österreich erhielt, gab der Beschwerdeführer selbst an und ergibt sich unzweifelhaft aus dem zusammen mit der ursprünglichen Datenschutzbeschwerde vom 14.02.2023 sowie der Bescheidbeschwerde vom 18.09.2024 vorgelegten COVID-Zertifikat des Robert Koch-Instituts (Deutschland).
2.3. Die Feststellungen zu den seitens des Beschwerdeführers an die do. genannten mitbeteiligten Partei gerichteten Anträge auf Berichtigung (siehe Pkt. 1.6.) gründen auf der unstrittigen Aktenlage, insbesondere der im Rahmen der Eingaben des Beschwerdeführers vor der belangten Behörde vom 14.02.2023, 12.10.2023 sowie 18.06.2024 und der Bescheidbeschwerde vom 18.09.2024 ins Verfahren eingebrachten Korrespondenz (in Kopie). Seitens der mitbeteiligten Parteien wurde dies auch zu keinem Zeitpunkt bestritten.
2.4. Dass die Impfzertifikate mit 01.07.2023 in Österreich nicht mehr ausgestellt werden, ergibt sich aus einer amtswegigen Nachschau des Bundesverwaltungsgerichtes in https://www. XXXX .gv.at/Services/Aktuelles/Archiv-2023/Juni-2023/ende-gruenerpass.html#:~:text=Verabreichte%20Impfungen%20werden%20weiterhin%20verpflichtend,dem%20eImpfpass%20ist%20weiterhin%20m%C3%B6glich in Verbindung mit der Verordnung (EU) 2012/953, die seit 30.06.2023 nicht mehr gültig ist.
3. Rechtliche Beurteilung:
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Gemäß § 27 DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen der Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde.
Gemäß § 9 BVwGG leitet der Vorsitzende die Geschäfte des Senates und führt das Verfahren bis zur Verhandlung. Die dabei erforderlichen Beschlüsse bedürfen keines Senatsbeschlusses. Er entscheidet, ob eine mündliche Verhandlung anberaumt wird, eröffnet, leitet und schließt diese. Er verkündet die Beschlüsse des Senates, unterfertigt die schriftlichen Ausfertigungen, arbeitet den Erledigungsentwurf aus und stellt im Senat den Beschlussantrag.
Zu A)
3.1. Rechtsbestimmungen
3.1.1. Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrund-Verordnung – DSGVO), lauten auszugsweise samt Überschrift wie folgt:
Art. 4 DSGVO
„Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
[…]
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
[…].“
Art. 5 DSGVO
„Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
[…]
(d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
[…].“
Art. 16 DSGVO
„Rechtmäßigkeit auf Berichtigung
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.“
3.2. Den äußersten Rahmen für die Prüfbefugnis des Verwaltungsgerichts bildet die „Sache“ des bekämpften Bescheides. „Sache“ des Beschwerdeverfahrens vor dem Verwaltungsgericht ist somit nur jene Angelegenheit, die den Inhalt des Spruchs der vor dem Verwaltungsgericht belangten Verwaltungsbehörde gebildet hat. Das Verwaltungsgericht hat also die Angelegenheit zu entscheiden, die von der Verwaltungsbehörde entschieden wurde (vgl. VwGH 25.06.2024, Ra 2022/04/0167). Dabei bestimmt der Antrag grundsätzlich den Umfang der Sache (vgl. VwGH 5.10.2021, Ra 2020/10/0134).
In einem antragsbedürftigen Verwaltungsverfahren bestimmt in erster Linie der Antragsteller, was Gegenstand des Verfahrens ist; dessen Antrag legt fest, was Sache des Verfahrens ist (vgl. VwGH 12.09.2016, Ro 2016/04/0014, mwN). Der Verfahrensgegenstand im antragsgebundenen Verfahren vor der Datenschutzbehörde konnte nur diejenigen Betroffenenrechte umfassen, die der Betroffene bei seiner Antragstellung überhaupt als verletzt angesprochen hat (VwGH 02.04.2024, Ro 2021/04/0008Verfahrensgegenstand vor der belangten Behörde war sohin die Frage, ob der Beschwerdeführer insoweit in seinem Recht auf Berichtigung gemäß Art. 16 DSGVO verletzt wurde, als basierend auf in die eHealth-Anwendung eImpfpass eingetragenen Daten unrichtige Impfzertifikate ausgestellt wurden. Konkret waren im eImpfpass zwei COVID 19-Schutzimpfungen mit der inhaltlich richtigen Anmerkung, dass es sich hierbei um die dritte Impfung (Grundimmunisierung) sowie eine Auffrischungsimpfung handelte, eingetragen, darauffolgend ausgestellte Impfzertiifikate wiesen jedoch die verabreichten Impfdosen lediglich als die erste und zweite von insgesamt zwei aus.
3.3. Gemäß § 24 Abs. 1 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt. Gemäß § 24 Abs. 2 Z 5 DSG hat die Beschwerde das Begehren zu enthalten, die behauptete Rechtsverletzung festzustellen. Soweit sich eine Beschwerde als berechtigt erweist, ist ihr nach § 24 Abs. 5 erster Satz DSG Folge zu geben. Das Gesetz sieht demnach als Rechtsbehelf im Fall einer datenschutzrechtlichen Rechtsverletzung explizit einen Feststellungsantrag im Rahmen der Beschwerde vor, der gemäß § 24 Abs. 5 DSG Folge zu geben ist, sofern sie sich als berechtigt erweist. Die Rechte auf Auskunft, Berichtigung oder Löschung schaffen – anders als das Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG – jeweils einen Anspruch auf eine bestimmte Leistung (vgl. hierzu bereits VfGH 26.06.1991, B 811/89). Bildet eine dieser Leistungen den Gegenstand des Antrags des Beschwerdeführers, so kann dem Begehren entsprochen und die betreffende Leistung durchgeführt oder veranlasst werden. § 24 Abs. 6 DSG sieht dementsprechend vor, dass ein Beschwerdegegner die behauptete Rechtsverletzung bis zum Abschluss des Verfahrens vor der Datenschutzbehörde nachträglich beseitigen kann, indem er den Anträgen des Beschwerdeführers entspricht (VwGH 19.10.2022, Ro 2022/04/0001, Rz 1 und 3).
Wie festgestellt werden infolge des Außerkrafttretens der Verordnung (EU) 2021/953 über das digitale COVID-Zertifikat der EU am 30.06.2023 keine (digitalen) COVID-Zertifikate mehr ausgestellt.
Sohin erfolgt auch keine Verarbeitung personenbezogener Daten der mitbeteiligten Partei mehr, welche dem zugrundeliegenden Berichtigungsbegehren zugänglich wären.
Auch wenn strenggenommen, dem verfahrensgegenständlichen Begehren nicht iSd § 24 Abs. 6 DSG (durch nachträgliche Entsprechung) Folge geleistet worden ist, werden aktuell jedenfalls auch keine dem tatsächlichen Impfstatus des Beschwerdeführers widersprechenden und somit im Sinn des allgemeinen Sprachgebrauchs „unrichtige“ Informationen zum Beschwerdeführer verarbeitet, welche einer Berichtigung auch zugänglich wären.
Unabhängig von der Frage, ob dem Beschwerdeführer tatsächlich ein Anspruch auf Berichtigung seines Impfzertifikates zustehe, kann ihm ein solches (berichtigtes) nicht mehr ausgestellt werden. Darüber hinaus war Sinn und Zweck der Ausstellung der digitalen EU-COVID-Zertifikate, dass die Ausübung des Rechts auf Freizügigkeit innerhalb der Union während der COVID-19-Pandemie erleichtert wird. Für den Beschwerdeführer ist daher die Erreichung seines Verfahrensziels, Berichtigung des Impfzertifikates, ohne objektiven Nutzen, die in der Beschwerde aufgeworfene Rechtsfrage besitzt nur mehr theoretische Bedeutung.
In diesem Fall kommt keine Feststellung der allfälligen Rechtsverletzung gemäß Art. 16 DSGVO in Betracht, zumal weder das DSG noch die DSGVO in Bezug auf das Recht auf Berichtigung die Feststellung vergangener Rechtsverletzungen vorsehen (vgl. auch VwGH 28.03.2006, 2004/06/0125, wo die Zulässigkeit der Erlassung von Feststellungsbescheiden über in der Vergangenheit erfolgte, aber [infolge der - wenn auch verspätet ergangenen – Mitteilung] nicht mehr aktuellen Verletzungen des dort relevanten Rechts auf Mitteilung über die beantragte Löschung verneint wurde; vgl. auch VwGH 19.10.2022, Ro 2022/04/0001, und VwGH 06.03.2024, Ro 2021/04/0030-4 bis 0031-5). Schließlich hat der Verfassungsgerichtshof bereits zur Rechtslage vor dem DSG 2000, nämlich zum Recht auf Auskunft gemäß Datenschutzgesetz idF BGBl Nr. 565/1978, ein Recht auf Feststellung vergangener und inzwischen behobener Rechtsverletzungen verneint (VfGH 26.06.1991, VfSgl. Nr. 12.768).
3.6. Soweit die belangte Behörde den Antrag des Beschwerdeführers, die Verantwortlicheneigenschaft hinsichtlich der gegenständlichen Berichtigungsbegehren gemäß Art. 16 DSGVO festzustellen, zurückgewiesen hat, ist darauf hinzuweisen, dass weder eine unionsrechtliche noch innerstaatliche gesetzliche Grundlage für die gesonderte Feststellung der Verantwortlicheneigenschaft mittels Feststellungsbescheids besteht, und handelt es sich bei einem Feststellungsbescheid um einen lediglich subsidiären Rechtsbehelft. (vgl. VwGH 29.01.2025, Ra 2023/07/0147, mwN).
3.5. Somit war spruchgemäß zu entscheiden.
3.6. Zum Unterbleiben einer mündlichen Verhandlung:
Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.
Gemäß § 24 Abs. 4 VwGVG kann – soweit durch Bundes- oder Landesgesetz nichts anderes bestimmt ist – das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 EMRK noch Art. 47 GRC entgegenstehen.
Im gegenständlichen Fall konnte das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage geklärt war und die Heranziehung weiterer Beweismittel zur Klärung des Sachverhaltes nicht notwendig waren. Das Verwaltungsgericht stützt seine Entscheidung nicht auf Umstände, die nicht Gegenstand des Verwaltungsverfahrens waren (VwGH 16.03.2016, Ra 2014/05/0038), und sind ergänzende Ermittlungen und Feststellungen nicht notwendig (VwGH 01.03.2018, Ra 2017/19/0410).
Die Durchführung einer mündlichen Verhandlung war daher nicht erforderlich.
Zu B) Unzulässigkeit der Revision:
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
Das Bundesverwaltungsgericht kann sich bei allen erheblichen Rechtsfragen auf eine ständige Rechtsprechung des Verwaltungsgerichtshofes bzw. auf eine ohnehin klare Rechtslage stützen.
Rückverweise
