W274 2331886-1 – BVwG Entscheidung

 Spruch

W274 2331886-1/8E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht erkennt durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundige Laienrichterin Mag. (FH) LACHNIT-GRIUC und den fachkundigen Laienrichter Dr. GOGOLA als Beisitzer über die Beschwerde des XXXX , XXXX , vertreten durch Dr. Jantschgi Rechtsanwälte OG, Pestalozzistraße 6, 2. Stock, Top 8, 8010 Graz, gegen den Bescheid der Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, vom 17.11.2025, Zl. D124.2593/25 2025-0.938.408, Mitbeteiligte XXXX , Rechtsanwältin, XXXX , wegen Verletzung im Recht auf Auskunft und auf Geheimhaltung, in nicht öffentlicher Sitzung zu Recht:

Der Beschwerde wird Folge gegeben und der (nur hinsichtlich der Abweisung einer Verletzung im Recht auf Geheimhaltung bekämpfte) Bescheid dahingehend abgeändert, dass dessen Spruch zur Gänze lautet:

1. Die Beschwerde wird, soweit sie sich auf eine Verletzung im Recht auf Auskunft richtet, abgewiesen.

2. Betreffend die behauptete Verletzung im Recht auf Geheimhaltung wird festgestellt, dass die MB XXXX den Beschwerdeführer XXXX dadurch im Recht auf Geheimhaltung verletzt hat, dass sie im Zuge der Mandatsausübung gegenüber XXXX personenbezogene Daten des Beschwerdeführers (u.a. eine aktuelle Immobilienbewertung, Aufstellung von Geldbeträgen des Vaters des Beschwerdeführers sowie einen Lohnzettel des BF über das erste Quartal 2025) an einen im Scheidungsverfahren 1 Fam XXXX des BG XXXX unbeteiligten Dritten, nämlich XXXX , per E-Mail übermittelt hat.

Die Revision ist gemäß Art. 133 Abs. 3-VG zulässig.

 Text

Entscheidungsgründe:

Mit (unvertreten erhobener) Datenschutzbeschwerde über die elektronische Eingabemaske der Datenschutzbehörde (in Folge: belangte Behörde) beantragte XXXX (im folgenden Beschwerdeführer, BF) Feststellung der Verletzung in Recht auf Auskunft durch XXXX , „Rechtsanwaltskanzlei“ (im Folgenden: Mitbeteiligte, MB) und brachte vor, er habe die MB am 03.07.2025 um Auskunft „gemäß Art 15 Abs. 1a, b, c, d und g“ ersucht. Am 14.07.2025 habe er von der MB eine Antwort erhalten, wonach die MB den BF als Gegner angelegt habe und dementsprechend dieser mit Namen, Geburtsdatum und Adresse in ihrem Rechtsanwaltsprogramm aufscheine. Am 15.07.2025 habe sie die MB um fehlende Informationen hinsichtlich der Empfänger, denen gegenüber seine personenbezogenen Daten offengelegt worden seien (§ 15 Abs. 1c DSGVO), die geplante Speicherdauer (leg cit lit. b) und die Herkunft seiner Daten (lit. g) ersucht, wobei bis zur Erhebung der Datenschutzbeschwerde keine Informationen erhalten habe.

Über Aufforderung teilte die MB gegenüber der belangten Behörde als auch dem BF nachstehende Informationen über die Verarbeitung ihrer personenbezogenen Daten mit:

„1. Empfänger oder Kategorien von Empfängern:

 Bezirksgericht XXXX im Rahmen des dort anhängig gewesenen gerichtlichen Ehescheidungsverfahrens zu GZ 1 Fam XXXX ,

 einen externen Dienstleister für die elektronische Datenverarbeitung ( XXXX ) und

 meine MitarbeiterInnen, soweit dies für die Bearbeitung und Verwaltung der Akten erforderlich war.

2. Speicherdauer: Die Verpflichtung zur Aufbewahrung von Unterlagen und Informationen endet gemäß RAO nach fünf Jahren, gerechnet von dem Zeitpunkt, an dem das Auftragsverhältnis mit der Partei beendet wurde. Sämtliche in diesem Zusammenhang verarbeiteten personenbezogenen Daten werden längstens nach Ablauf von zehn Jahren gelöscht.

3. Herkunft der Daten: Daten wurden von meiner Mandantin, dem Bezirksgericht XXXX und ihrer eigenen Rechtsvertretung, der Dr. XXXX und Mag. XXXX GesbR, zur Verfügung gestellt.“

Gegenüber der belangten Behörde führte die MB mit Schreiben vom selben Tag aus, beigeschlossen übermittle sie ihr (oben dargestelltes) Schreiben vom heutigen Tag samt Informationserteilung und ersuche um formlose Verfahrenseinstellung.

Nach Mitteilung der belangten Behörde, durch die Reaktion der MB die Beschwerde als erledigt anzusehen, sollte nicht binnen Frist begründet werden, weshalb die Auskunft nach wie vor nicht beseitigt sei, führte der BF mit Schreiben vom 02.10.2025 zusammengefasst aus, „die Auskunft“ der MB, wem gegenüber sie seine Daten offengelegt habe, sei „nicht richtig und vollständig beantwortet worden“. Er habe ein Foto eines E-Mails, aus dem hervorgehe, dass folgende Unterlagen mit seinen personenbezogenen Daten an die E-Mail-Adresse XXXX , eine unbeteiligte Person im Scheidungsverfahren, übermittelt worden sei, nämlich

 das E-Mail seiner Rechtsvertretung RA XXXX vom 01.04.2025,

 die aktuelle Immobilienbewertung,

 die Aufstellung der Geldbeträge seines Vaters,

 die Berechnung des Brutto-Netto-Rechners des BM für Finanzen

 seine Lohnzettel für 01. bis 03.2025 und

 sein Entwurf der Scheidungsfolgenvereinbarung seiner Rechtsvertretung.

Die Exfrau des BF verfüge über ein eigenes E-Mail-Postfach. Bedenklich sei, dass die genannte dritte Person Kenntnis über die Informationen des BF (Gehalt, Entwurf der Scheidungsfolgenvereinbarung, vom Vater erhaltene Geldbeträge und Verkehrswert der Immobilie) habe. Der BF habe kein Einverständnis erklärt, seine Daten an den Dritten zu übermitteln. Es stelle sich daher die Frage, ob dieser seine Daten an andere weitergeleitet habe. Somit sei der BF in seinem Grundrecht auf Geheimhaltung gemäß § 1 Abs. 1 DSG verletzt.

Mit Mitteilung vom 06.10.2025 führte die belangte Behörde zusammengefasst aus, der BF habe im Rahmen des Parteiengehörs nunmehr vorgebracht, dass er die Auskunft nach wie vor als mangelhaft erachte. Gleichzeitig habe er eine Verletzung im Recht auf Geheimhaltung behauptet, wodurch sich die Sache ihrem Wesen nach geändert habe.

Gemäß § 24 Abs. 6 DSG sei von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen, wenn durch eine Äußerung des BF die Sache ihrem Wesen nach geändert werde. Diesfalls sei das ursprüngliche Beschwerdeverfahren formlos einzustellen.

Die Eingabe des BF vom 02.10.2025 wegen behaupteter Verletzung im Recht auf Geheimhaltung werde es als neue Beschwerde unter Beibehaltung der gleichen Geschäftszahl behandelt.

Nach Aufforderung durch die belangte Behörde vom gleichen Tag nahm die MB mit Schreiben vom 20.10.2025 neuerlich Stellung, führte zusammengefasst aus, sie sei von der BF mit deren rechtsanwaltlichen Vertretung in dem vor dem BG XXXX geführten Ehescheidungsverfahren gegen den BF beauftragt worden. Im Zuge dieses Mandats habe ihr ihre Mandantin mitgeteilt, dass sie befürchte, dass ihr damaliger Noch-Ehemann Zugriff auf ihr persönliches E-Mail-Postfach habe und die Korrespondenz lese. Sie habe daher anlässlich der Erstbesprechung am 30.01.2025 die MB ersucht, sämtliche elektronische Korrespondenz über die E-Mail-Adresse ihres Onkels XXXX , XXXX , zu führen, um sicherzustellen, dass die vertrauliche Anwaltskorrespondenz nicht vom BF eingesehen werden könne. Die MB habe diesem ausdrücklichen Wunsch ihrer Mandantin entsprochen und ausschließlich zu diesem Zweck E-Mails an seine Mandantin an die genannte Adresse übermittelt und als Adressatin „Frau XXXX “ angeführt. Aus dem vom BF vorgelegten Lichtbild ergebe sich, dass sich dieser offenbar widerrechtlich Zugang zu ihm nicht zugestellter E-Mail-Korrespondenz verschafft habe und somit die Befürchtung der Mandantin der MB berechtigt gewesen sei. Die Verarbeitung durch die MB sei daher im Rahmen ihrer anwaltlichen Tätigkeit auf Grundlage von Art 6 Abs. 1 lit. b DSG (Erfüllung eines „Vertrags – Mandatsverhältnis“) sowie ergänzend Art 6 Abs. 1 lit f DSGVO (berechtigtes Interesse an einer sicheren, vertraulichen Mandatskommunikation) erfolgt. Die Weitergabe von Daten an unbefugte Dritte habe nicht stattgefunden. Es liege aufgrund des ausdrücklichen Wunsches ihrer Mandantin eine Einwilligung gemäß Art 6 Abs. 1 lit. a DSGVO zusätzlich vor.

Das in § 1 DSG verankerte Recht auf Geheimhaltung schütze personenbezogene Daten nur insoweit, als ein schutzwürdiges Interesse daran bestehe. Ein solches Interesse des BF bestehe hier nicht, da dieser nicht Betroffener der fraglichen Kommunikation sei und kein Recht auf Einsicht in die anwaltliche Korrespondenz zwischen der MB und ihrer ehemaligen Mandantin habe. Die gewählte Kommunikationsform habe gerade dem Schutz der Vertraulichkeit gegenüber dem BF und somit der Wahrung der anwaltlichen Verschwiegenheitspflicht nach § 9 RAO gedient. Die Kommunikation über die genannte E-Mail-Adresse habe der Übermittlung von Schriftsätzen, Entwürfen und Unterlagen an ihre Mandantin gedient. Es sei keine Offenlegung von personenbezogenen Daten an XXXX oder sonstige Dritte über das zur technischen Übermittlung hinausgehende Maß hinaus erfolgt. Es liege keine Verletzung des Rechts auf Geheimhaltung vor.

Der BF führte mit E-Mail vom 07.11.2025 zusammengefasst ergänzend aus, er habe nie Zugriff auf die E-Mail-Adresse seiner Exfrau gehabt. Selbst wenn seine Exfrau eine diesbezügliche Angst gehabt haben sollte, wäre es einfach gewesen für die digitale sichere und vertrauliche Kommunikation mit ihrer Rechtsvertretung das Passwort des bestehenden Postfaches zu ändern oder eine neue E-Mail-Adresse zu erstellen. Auch eine Kommunikation über den Postweg wäre möglich gewesen. Jedenfalls wäre es nicht notwendig gewesen, über die E-Mail-Adresse eines Dritten zu kommunizieren. Der Adressat der E-Mail sei XXXX und die Anrede im Text beziehe sich auf Frau XXXX . Der BF weise das Vorbringen der MB hinsichtlich der Entstehung des Lichtbildes zurück. Die genannten Unterlagen hätten dem BF gefehlt. Er habe sie sodann in einer nicht versperrten Schublade im Elternschlafzimmer gefunden. Dabei sei er auch auf besagte ausgedruckte E-Mail mit den genannten Beilagen gestoßen und habe diese zwecks Beweissicherung fotografisch dokumentiert. Er hat sich keinen widerrechtlichen Zugang zu ihm nicht zugestellter E-Mail-Korrespondenz verschafft.

Seltsam finde der BF die Aussage, dass eine Weitergabe von Daten und Fotos nicht stattgefunden habe. Er denke nicht, dass die Einwilligung seiner Exfrau nach Art 6 Abs. 1 lit. a DSGVO ihre Rechtsvertretung ermächtige, personenbezogene Daten des BF an einen Dritten weiterzugeben. Der BF habe ein schutzwürdiges Interesse, dass bestimmte Daten von ihm geschützt werden. Er sei sehr wohl Betroffener der fraglichen Kommunikation, da in dieser seine personenbezogenen Daten elektronisch übermittelt worden seien und sich die Daten auf seine Person bezogen. „ XXXX “ sei im Scheidungsverfahren eine unbeteiligte Person. Die dem Dritten übermittelten Daten seien keineswegs allgemein verfügbar, somit bestehe ein schutzwürdiges Interesse des BF. Betreffend Gehalt inklusive der detaillierten Aufstellung aller Gehaltsbestandteile, seiner Kontonummer, seiner Sozialversicherungsnummer und seiner Zugehörigkeit zur Gewerkschaft handle es sich um ein sensibles Datum. Auch die Scheidungsfolgenvereinbarung samt Kontaktrecht zur Tochter, vermögungsrelevanten Bestimmungen und von seinem Vater erhaltene Geldbeträge ließen eine Rückführbarkeit auf seine Person zu.

Daher sei einerseits eine Verletzung des Rechts auf Geheimhaltung festzustellen, andererseits die Auskunft durch die MB, wem gegenüber sie seine personenbezogenen Daten offengelegt habe, als nicht vollständig zu beurteilen, weil die genannte E-Mail-Adresse XXXX in der Beantwortung seiner Anfrage nicht erwähnt sei.

Mit dem bekämpften Bescheid wies die belangte Behörde die Beschwerde als unbegründet ab und traf folgende Sachverhaltsfeststellungen:

„1. Die Datenschutzbehörde legt das Vorbringen unter Punkt A ihren Sachverhaltsfeststellungen zugrunde (relevantes Vorbringen, Anmerkung).

2. Zwischen dem Beschwerdeführer und seiner Exgattin ist bzw. war zum verfahrensrelevanten Zeitpunkt ein Ehescheidungsverfahren beim BG XXXX (gemeint: BG XXXX , Anmerkung) zur GZ: 1 „FAM XXXX “ anhängig. Bei der MB handelt es sich um eine in XXXX tätige Rechtsanwältin, welche die Rechtsvertretung für die Exgattin des BF im genannten Verfahren übernommen hat. In dem Zusammenhang hat sie die für das Ehescheidungsverfahren erforderlichen Daten des BF verarbeitet und gespeichert.

3. Mit E-Mail vom 03.07.2025 richtete der BF nachfolgende Nachricht per E-Mail an die MB (auszugsweise soweit verfahrensrelevant):

DSGVO, Auskunftsbegehren nach Art. 15

Sehr geehrte Frau [MB]!

In Entsprechung des Artikels 15 DSGVO ersuche ich sie um Auskunft, welche personenbezogenen Daten sie von mir verarbeiten und mir die Informationen gemäß Artikel 15 Absatz 1 lit. a, b, c, d und g zur Verfügung zu stellen.

Mit freundlichen Grüßen

[BF]

4. Die MB teilte dem BF am 14.07.2025 mit, dass sie ihn als Gegner in ihrem System angelegt habe und dort Name, Geburtsdatum und Adresse speichere.

5. Auf die ergänzende Nachfrage des BF vom 15.07.2025 erfolgte keinerlei Reaktion der MB. Daraufhin erhob der BF am 01.09.2025 die vorliegende Beschwerde.

6. Im Laufe des Beschwerdeverfahrens vor der Datenschutzbehörde erteilte die MB dem BF am 19.09.2025 und im Oktober 2025 ergänzende Auskünfte.

7. Aufgrund der Befürchtung der Ex-Gattin des BF, dass dieser Zugang zu ihrem persönlichen E-Mail-Postfach haben könnte, forderte sie die MB ausdrücklich dazu auf, die das Scheidungsverfahren betreffenden Dokumente sowie den Schriftverkehr zwischen der MB und der Ex-Gattin ausschließlich an das E-Mail-Postfach des Onkels der Ex-Gattin zu senden.

Die MB übermittelte daraufhin Schriftsätze, Unterlagen und Entwürfe an das von der Ex-Gattin genannte E-Mail-Postfach. In diesem Zusammenhang wurde der Lohnzettel des BF, der Entwurf der Scheidungsfolgenvereinbarung, eine E-Mail-Korrespondenz zwischen dem BF und dessen Rechtsvertretung, eine aktuelle Immobilienbewertung sowie eine Aufstellung der Geldbeträge, welche der BF von seinem Vater erhalten hatte, übermittelt.“

Rechtlich folgerte die belangte Behörde zusammengefasst, betreffend das geltend gemachte Recht auf Auskunft konstituiere der Inhalt des Antrags den Prozessgegenstand des Verwaltungsverfahrens und begrenze diesen. Damit bestehe keine Verpflichtung der belangten Behörde, die Auskunft in jede Richtung zu überprüfen, sondern sie habe sich an das Vorbringen des BF zu halten.

Der BF habe die Verletzung im Recht auf Auskunft im Rahmen seiner abschließenden Stellungnahme am 07.11.2025 (lediglich) damit begründet, dass ihm die Übermittlung ihn betreffender Daten an ein ihm fremdes Postfach in der ersten ergänzenden Auskunft vom 19.09.2025 nicht bekannt gegeben worden sei. Dass er diese Information bis zum Abschluss des Verfahrens erhalten habe, habe er zu keinem Zeitpunkt bestritten. Ein Recht auf Feststellung, dass die Auskunft zu spät oder ursprünglich unrichtig erteilt worden sei, könne Artikel 77 DSGVO nicht entnommen werden. Folglich sei die Beschwerde wegen behaupteter Verletzung im Recht auf Auskunft abzuweisen.

Betreffend Geheimhaltungspflichtverletzung sei ausschließlich die Zulässigkeit der Übermittlung von Dokumenten an das E-Mail-Postfach des Onkels der Exgattin des BF näher zu prüfen. Die elektronische Übermittlung von Dokumenten sei eine automatisierte Verarbeitung im Sinne des Art. 4 Z 1 und Z 2 DSGVO. Die Verantwortlichkeit für eine Datenverarbeitung gem. Art. 4 Z 7 DSGVO setze allerdings voraus, dass die natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten tatsächlich entschieden habe. Wesentliches Kriterium sei die Entscheidungskomponente. Nach herrschender Spruchpraxis der Datenschutzbehörde würden RechtsanwältInnen, wenn sie Daten für den Zweck der Vertretung ihrer MandantInnen verarbeiten, regelmäßig als selbstständige Verantwortliche tätig, weil sie im Regelfall selbstständig und ohne Weisung des Mandanten darüber entscheiden, welche Daten dritter Personen für die Erfüllung des Mandats zu verarbeiten seien.

Diese Spruchpraxis finde im vorliegenden Fall keine Anwendung, weil die monierte E-Mail-Übermittlung an das Postfach eines Dritten aufgrund einer ausdrücklichen Anweisung der Exgattin im Rahmen ihres Vertragsverhältnisses mit der MB erfolgt sei. Damit habe die Exfrau des BF und gerade nicht die MB die tatsächliche Entscheidung hinsichtlich der Mittel getroffen, nämlich, dass die in Frage stehenden Daten des BF an ein von ihr bestimmtes Postfach per E-Mail übermittelt werden sollten. Durch diese Anweisung sei auch der Zweck der Datenverarbeitung – die sichere Empfangnahme - von der Exgattin alleine und selbstständig festgelegt worden.

Im Ergebnis sei die MB für den monierten Datenverarbeitungsvorgang nicht als Verantwortliche im Sinne der DSGVO zu qualifizieren.

Lediglich gegen Spruchpunkt I. des Bescheides richtet sich die Beschwerde des BF erkennbar wegen unrichtiger rechtlicher Beurteilung mit dem primären Antrag, den Bescheid betreffend „Nichtverletzung im Recht auf Geheimhaltung“ aufzuheben, in eventu diesen dahingehend abzuändern, dass eine Geheimhaltungspflichtverletzung des BF durch die MB festgestellt werde. Hilfsweise wird ein Antrag auf Zurückverweisung gestellt. Weiters wurde auf die Durchführung einer mündlichen Verhandlung verzichtet.

Die belangte Behörde legte die Beschwerde samt dem elektronischen Verfahrensakt dem Verwaltungsgericht - einlangend am 13.01.2026 - vor.

Die MB nahm mit Schriftsatz vom 09.02.2026 zur Bescheidbeschwerde Stellung und beantragte die Abweisung der Bescheid-Beschwerde.

Die allein gegen die Abweisung der Datenschutzbehörde bezüglich die geltend gemachte Verletzung im Recht auf Geheimhaltung gerichtete Beschwerde ist berechtigt:

Die belangte Behörde stellte zu diesem Punkt der Datenschutzbeschwerde, den sie mit dem Beschwerdepunkt betreffend Verletzung im Recht auf Auskunft in einem Spruchpunkt abwies, im Wesentlichen fest, die MB habe Schriftsätze, Unterlagen und Entwürfe samt Lohnzettel des BF, E-Mail-Korrespondenz zwischen dem BF und dessen Rechtsvertreter, einen Entwurf der Scheidungsvereinbarung, eine aktuelle Immobilienbewertung sowie eine Aufstellung der Geldbeträge, die der BF von seinem Vater erhalten habe, an das E-Mail Postfach des Onkels der Ex-Gattin des BF übermittelt, weil sie von dieser aufgrund deren Befürchtung, dass der BF Zugang zu ihrem persönlichen E-Mail Postfach haben könnte, im Rahmen ihres Mandats dazu aufgefordert worden sei. Die belangte Behöre ging bei ihrer rechtlichen Würdigung zwar davon aus, dass im Sinne der ständigen Rechtsprechung der Datenschutzbehörde Rechtsanwälte bei Datenverarbeitungen zum Zweck der Vertretung ihrer Mandanten als selbständige Verantwortliche tätig seien. Dieser Grundsatz finde auf den konkreten Fall aber keine Anwendung, weil die E-Mail-Übermittlung an das Postfach eines Drittens aufgrund der ausdrücklichen Anweisung der Ex-Gattin im Rahmen ihres Vertragsverhältnisses mit der MB erfolgt sei. Damit habe diese und nicht die MB die tatsächliche Entscheidung hinsichtlich der Mittel getroffen, dass die Daten des BF an ein von ihr bestimmtes Postfach per E-Mail übermittelt werden sollen. Von dieser sei auch der Zweck der Datenverarbeitung – die sichere Empfangnahme – alleine und selbständig festgelegt worden. Die MB sei daher nicht verantwortlich betreffend die konkrete Datenverarbeitung.

Dem hält der BF in der Beschwerde zusammengefasst entgegen, die MB sei über die damalige Ehegattin des BF als Rechtsanwältin in einer gerichtsanhängigen Scheidungsangelegenheit in einem Verfahren nach dem AußStrG eingeschritten. Sie habe in diesem Zusammenhang die festgestellten personenbezogenen Daten des BF an ein privates E-Mail-Postfach eines nicht am Verfahren beteiligten Dritten übermittelt. RechtsanwältInnen hätten die Vertretung nach § 9 RAO dem Gesetz gemäß zu führen und Klientenaufträge nur insoweit zu befolgen, als sie dem Gesetz nicht widerstreiten. Die MB als Rechtsanwältin sei in diesem Zusammenhang Sachverständige nach § 1299 ABGB iVm § 9 RAO. Die Forderung eines juristischen Laien auf anwaltliche Offenlegung von vor Dritten gesetzlich geschützten Akteninhalten, personenbezogene Daten des BF beinhaltend mit dem Potenzial der Verletzung der Privatsphäre an eine dritte Person durch die MB als Rechtsanwältin, sei – trotz Aufforderung der Mandantin – als gesetzwidrig abzulehnen. Die gesetzwidrige Aufforderung der Exgattin im Zuge der Mandatsabwicklung entbinde die MB nicht von ihrer datenschutzrechtlichen Verantwortung. Als Rechtsanwältin hätte die MB für das laufende Verfahren alternative, datenschutzkonforme Kommunikationswege wählen müssen, wie z. B. die Bereitstellung eines sicheren Downloadbereichs oder über einen passwortgeschützten Link.

Durch die diesbezügliche unrichtige Rechtsansicht der belangten Behörde zur Rolle der Verantwortlichen sei es nicht mehr zur Prüfung der Rechtmäßigkeit bzw. einer Interessenabwägung gekommen. Überwiegende Interessen der MB oder des Dritten (des nicht verfahrensbeteiligten Onkels) seien nicht im Ansatz gegeben, hingegen überwägen die Interessen und Grundrechte des BF in Bezug auf seine personenbezogenen Daten. Der Eingriff in das Recht auf Datenschutz sei nicht verhältnismäßig und es wäre jedenfalls ein gelinderes Mittel möglich gewesen.

Die MB hält dem in ihrer Stellungnahme entgegen, die Ex-Gattin des BF habe die MB anlässlich der Erstbesprechung am 30.01.2025 damit beauftragt, sämtliche elektronische Korrespondenz über die E-Mail-Adresse ihres Onkels, XXXX , zu führen, um sicherzustellen, dass die zwischen ihr und der MB geführte vertrauliche Korrespondenz nicht vom BF eingesehen werden könne. Zu keinem Zeitpunkt sei es seitens der MB zu einer „Offenlegung“ an einen Dritten gekommen. Die MB habe dem ausdrücklichen Auftrag Ihrer Mandantin entsprochen.

Der BF habe sich offenbar widerrechtlich Zugang zu ihm nicht zugestellter E-Mail-Korrespondenz verschafft. Es sei davon auszugehen, dass der BF die Ehewohnung nach dieser Korrespondenz durchsucht habe.

Rechtsanwälte würden, wenn sie Daten für den Zweck der Vertretung ihrer Mandanten verarbeiten, regelmäßig als für die Verarbeitung Verantwortliche tätig. Die belangte Behörde habe aber rechts- und folgerichtig erkannt, dass dies nur dann der Fall sei, wenn diese im Regelfall selbständig und ohne Weisung des Mandanten darüber entscheiden. Insofern sei die MB nicht Verantwortliche, soweit die Datenverarbeitung den Kommunikationsweg betreffe. Die Entscheidung, welche E-Mail-Adresse für die Mandatskommunikation verwendete werden solle, sei ausschließlich von der Mandantin der MB getroffen worden. Diese habe der MB nachdrücklich mitgeteilt, dass sie aus nachvollziehbaren Gründen befürchte, dass der BF Zugriff auf ihr persönliches E-Mail-Postfach habe, weshalb sie wünsche, dass die Korrespondenz an jenes des Onkels übermittelt werde. Die MB habe diese Entscheidung nicht initiiert, nicht vorgegeben und nicht eigenständig getroffen, sondern lediglich den klar geäußerten Willen ihrer Mandantin umgesetzt. Damit fehle es an einer eigenständigen Entscheidungsmacht über den Zweck und die Mittel der Datenverarbeitung. Mit dem Onkel der Mandantin habe weder Kommunikation stattgefunden, noch sei diesem die Einsichts- und Abschriftnahme ermöglicht worden. Der BF habe lediglich eine „Übermittlung“, nicht aber eine „Offenlegung“ von personenbezogenen Daten an XXXX nachweisen können.

Folgende Rechtsvorschriften sind fallbezogen relevant:

Gemäß Art. 4 Z 2 DSGVO bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsweise im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung …

Offenlegung durch Übermittlung … ist ein Begriff, der alle Vorgänge beschreibt, durch die der Verantwortliche personenbezogene Daten anderen Stellen in einer Weise zugänglich macht, die es diesen erlauben, vom Informationsgehalt Kenntnis zu haben. Offenlegung (disclosure) meint damit den Vorgang, Dritten Kenntnis oder die Möglichkeit zur Kenntnisnahme zu verschaffen. Hierdurch verdoppelt oder vervielfacht sich die Zahl der Stellen, die Kenntnis im Zusammenhang mit den personenbezogenen Daten haben können, wodurch sich die spezifische Gefahr der Offenlegung zeigt. … Ob Daten mündlich weitergegeben werden, ob ein Brief oder E-Mail verschickt wird, bei der neue Kopien entstehen, oder ob Daten auf einer Website oder in einem Internet-Forum anderen zur Kenntnis gebracht wurden, unterfällt gleichermaßen dem Begriff der Offenlegung (Hödl in Knyrim, Datkomm Art. 4 DSGVO (Stand 01.12.2018) rdb.at, Rz 35).

Übermittlung (transmission) iSd DSGVO ist eine Unterform der Offenlegung und ist die Mitteilung an individuell bestimmte Adressaten, sei es mündlich, schriftlich, elektronisch oder auf andere Weise. … Der EuGH versteht das Übermitteln in diesem Kontext daher als einen Vorgang, durch den Informationen an Personen gesendet werden, die zum Empfang nicht bestimmte Seiten bewusst aufsuchen müssen (wie oben, Rz 36).

Gemäß Art. 4 Z 7 bezeichnet der Ausdruck „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet …

Beim Verantwortlichen handelt es sich um jene Person oder Einrichtung, die dafür zu sorgen hat, dass die Datenschutzbestimmungen der DSGVO eingehalten werden. Damit gilt der Verantwortliche als Adressat der Pflichten aus der DSGVO und der Begriff dient der Zuweisung von Verantwortlichkeiten (wie oben, Rz 77).

Die Rolle des für die Verarbeitung Verantwortlichen definiert sich durch drei Merkmale:

1. jede natürliche und juristische Person, Behörde, Einrichtung oder jede andere Stelle (personenbezogener Aspekt),

2. die allein oder gemeinsam mit anderen (pluralistische Kontrolle)

3 über die Zwecke und Mittel der Verantwortung von personenbezogenen Daten entscheiden (Entscheidungsfunktion) (wie oben, Rz 80).

Die Verantwortung wird dem übertragen, der die Entscheidungsmacht hat. Entscheidend für die Zuweisung der Verantwortlichkeit ist daher, wer über die wesentlichen Aspekte der Mittel der Verarbeitung entscheidet (wie oben, Rz 83).

Als Mittel sind nicht nur die technischen und organisatorischen Methoden gemeint, sondern das „Wie“ der Verarbeitung. Damit sind Entscheidungen gemeint, wie welche Daten verarbeitet werden, an wen sie übermittelt werden oder wann sie gelöscht werden (Rz 84).

Bei der Ausrichtung der Definition als Verantwortlicher als jene Person oder Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet, handelt es sich um eine funktionalistische Sichtweise, wonach die Verantwortlichkeit anhand des tatsächlichen Einflusses auf die Entscheidung zugewiesen wird. Hierfür kann eine explizite Rechtsgrundlage vorliegen, in diesem Fall ist die Zuweisung des Verantwortlichen und des Zwecks samt Datenkategorien und Datenempfänger meist klar identifizierbar. Wenn eine Rechtsnorm allerdings nur implizite rechtliche Verpflichtungen vorsieht, ist als Verantwortlicher jene Person oder Stelle anzusehen, die diese rechtliche Verpflichtung trifft und dafür personenbezogene Daten verarbeitet (Rz 87).

Die Verantwortung kann sich zudem auch aus der faktischen Entscheidungsvorwegnahme ergeben. Trifft ein Akteur tatsächlich und faktisch die Entscheidung für die Aufnahme einer Datenverarbeitung, ist dieser als Verantwortlicher im Sinne der DSGVO anzusehen. Ausschlaggebend ist, wer entscheidet und nicht wer rechtmäßig entscheidet (Rz 88).

Gemäß § 9 RAO Abs. 1 ist der Rechtsanwalt verpflichtet, die übernommenen Vertretungen dem Gesetz gemäß zu führen und die Rechte seiner Partei gegen jedermann mit Eifer, Treue und Gewissenhaftigkeit zu vertreten. Er ist befugt, alles, was er nach dem Gesetz zur Vertretung seiner Partei für dienlich erachtet, unumwunden vorzubringen, ihre Angriffs- und Verteidigungsmittel in jeder Weise zu gebrauchen, welche seinem Auftrag, seinem Gewissen und den Gesetzen nicht widerstreiten.

Gemäß Abs. 2 ist der Rechtsanwalt zur Verschwiegenheit über die ihm anvertrauten Angelegenheiten und ihm sonst in seiner beruflichen Eigenschaft bekannt gewordenen Tatsachen, deren Geheimhaltung im Interesse seiner Partei gelegen ist, verpflichtet. Er hat in gerichtlichen und sonstigen behördlichen Verfahren nach Maßgabe der verfahrensrechtlichen Vorschriften das Recht auf diese Verschwiegenheit.

Gemäß Abs. 4 kann sich, soweit dies das Recht des Rechtsanwalts auf Verschwiegenheit zur Sicherstellung des Schutzes Partei oder der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche erfordert, die betroffene Person nicht auf die Rechte der Art. 12 bis 22 und Art. 34 DSGVO sowie des § 1 DSG berufen.

Die anwaltliche Tätigkeit ist dem Gesetz gemäß zu führen. Sowohl das Interesse des Klienten als auch dessen Auftrag haben diesem Grundsatz zu weichen. Ein Rechtsanwalt genießt im Hinblick auf sein rechtliches Fachwissen, verbunden mit der Verpflichtung, die Gesetze unverbrüchlich zu beobachten und übernommene Vertretungen dem Gesetz gemäß zu führen, eine besondere, nach dazu gefestigte Standesauffassung angestrebte Vertrauensstellung in der Öffentlichkeit (Lehner in Engelhart/Hoffmann/Lehner/Rohregger/Vitek, RAO11 § 9, Stand 01.11.2022, rdb.at, Rz 6).

Der Rechtsanwalt ist verpflichtet, sein Verhalten bei der Vertretung eines Klienten, demnach auch sein Vorbringen, dahin zu überprüfen und zu gestalten, dass es seinem Auftrag, seinem Gewissen und den Gesetzen nicht widerstreitet. Wenn der Klient ein Vorbringen wünscht, welches dieser Überprüfung nicht standhält, hat es der Rechtsanwalt zu unterlassen, selbst wenn es dadurch seitens des Klienten oder seinerseits zu einer Lösung des Vollmachtverhältnisses kommen kann (wie oben, Rz 7).

Aus der Treuepflicht wird der Vorrang des Mandats abgeleitet. Vornehmste Berufspflicht des Rechtsanwalts ist die Treue zu seiner Partei. Interessen des Rechtsanwalts und Rücksichten auf Kollegen haben im Widerstreit zurückzutreten (wie oben, Rz 10).

Der Rechtsanwalt hat keinen Anspruch auf Honorar, wenn der Mandant beweist, dass und aus welchen Gründen die Leistung wertlos ist. Weist der Mandant nach, dass der Rechtsanwalt eine für den Prozessausgang wesentliche Weisung nicht befolgt hat, so ist bereits damit die einer Nichterfüllung des Anwaltsvertrages gleichkommende Schlechterfüllung bewiesen, weil es zu den Hauptpflichten des Rechtsanwalts gehört, (gesetzmäßige) Weisungen seines Mandanten zu befolgen RIS Justiz RS0116278).

Aus alldem folgt fallbezogen:

Die belangte Behörde verneinte den Beschwerdepunkt einer Geheimhaltungspflichtverletzung seitens der MB bereits deshalb, weil sie die MB aufgrund ausdrücklicher Weisung ihrer Mandantin, über welches E-Mail-Postfach die Anwaltskorrespondenz zu führen sei, in diesem Umfang nicht als Verantwortliche ansah.

Aufgrund - soweit überblickbar - einhelliger Rechtsprechung sind Rechtsanwälte, wenn sie Daten für den Zweck der Vertretung ihrer Mandanten verarbeiten, regelmäßig als selbständige Verantwortliche tätig. Dieser Grundsatz steht auch rechtlich in diesem Verfahren nicht in Diskussion.

Der BF verweist allerdings zutreffend auf die Bestimmung des § 9 RAO, dem zufolge Rechtsanwälte Vertretungen dem Gesetz gemäß zu führen haben. Daraus folgt logisch, dass Klientenaufträge nur insoweit zu befolgen sind, als sie dem Gesetz nicht widerstreiten.

Die Datenschutzbehörde beschäftigte sich mit dieser Frage, inwieweit die Bindung des Rechtsanwalts an das Gesetz der Weisungsautonomie des Mandanten Grenzen setzt, nicht.

Es ist zwar nach den Sachverhaltsfeststellungen richtig, dass die MB nicht aus eigenem, sondern über Weisung ihrer Mandantin die Anwaltskorrespondenz über ein von dieser mitgeteiltes E-Mail-Postfach, lautend auf eine dritte Person, abwickelte. Die MB beschränkt sich auch in ihrer Stellungnahme zur Beschwerde darauf, dass sie diese Weisung offenbar ohne weitere Erörterung im Hinblick auf die – wenn auch nachvollziehbare – Befürchtung ihrer Mandantin, dass der BF Zugriff auf ihr E-Mail-Postfach habe, befolgt habe.

Wie dargestellt, unterliegt der Rechtsanwalt bei der Ausübung seines Mandates zwar der anwaltlichen Treuepflicht im Hinblick auf die Interessen seiner Partei. Diese findet aber ihre Grenze bei Weisungen, deren Befolgung Gesetzen widerstreitet. Auch die Datenschutzvorschriften sind Teil der gesetzlichen Bindung des Rechtsanwaltes.

Entgegen den Ausführungen der MB liegt in der Übermittlung von Anwaltskorrespondenz an ein E-Mail-Postfach (eines Dritten) eine „Übermittlung“ gemäß Art. 4 Z 2 DSGVO im Sinne einer Unterform der „Offenlegung“. Es handelt sich dabei um eine Mitteilung an einen individuell bestimmten Adressaten, in diesem Fall auf elektronischem Weg. Hierbei entsteht jedenfalls für den Dritten (den Onkel der Mandantin der MB) die Möglichkeit, sich Kenntnis vom Inhalt zu verschaffen. Für die Frage, ob eine Offenlegung in diesem Sinne stattgefunden hat, ist dabei nicht erforderlich, dass sich der Dritte tatsächlich Kenntnis von den Inhalten verschafft hat. Die Ausführung der MB, dass mit dem Onkel „weder Kommunikation stattgefunden“ habe, noch diesem „die Einsicht und Abschrift ermöglicht“ worden sei, ist in diesem Zusammenhang nicht nachvollziehbar.

Wenn die MB weiters meint, es habe lediglich eine Übermittlung, nicht jedoch eine Offenlegung an XXXX nachgewiesen werden können, so liegt darin datenschutzrechtlich insoferne kein relevanter Unterschied, als beide Tatbestandsmerkmale „Verarbeitungen“ darstellen.

Eine „Verarbeitung“ im Sinne des Art. 4 Z 2 DSGVO bedarf jedenfalls eines Rechtfertigungsgrundes nach Art. 6 DSGVO. Die MB hat sich zwar diesbezüglich pauschal auf Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags - Mandatsverhältnis) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, vertraulichen Mandatskommunikation) berufen, hierfür aber keine näheren Argumente eingebracht, zumal sie davon ausging, dass gar keine „Offenlegung“ stattgefunden habe.

Soweit sich die MB hier auf eine „vertrauliche Mandatskommunikation“ (gemeint mit ihrer Mandantin) beruft, war die gewählte Kommunikationsart gleichzeitig mit der Gefährdung datenschutzrechtlicher Positionen des BF verbunden, weil – wie festgestellt - Unterlagen mit diesen betreffenden personenbezogenen Daten an einen im Scheidungsverfahren nicht beteiligten Dritten übermittelt wurden. Die Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrages) kann in dieser Allgemeinheit die gewählte Kommunikationsart nicht rechtfertigen, weil das Mandantenverhältnis – neuerlich auf das Weisungsverhältnis zurückzukommend – einen Rechtsanwalt nicht dazu verpflichtet oder berechtigt, im Ergebnis gesetzwidrige Weisungen zu befolgen. Insofern bilden datenschutzwidrige Weisungen daher keinen datenschutzrechtlichen Rechtfertigungsgrund zur Erfüllung eines Bevollmächtigungsvertrages mit einem Rechtsanwalt.

Betreffend die Generalklausel des Art. 6 Abs. 1 lit. f DSGVO hat die MB gar keine expliziten Gründe genannt, weshalb ihre Interessen bzw. jene ihrer Mandantin jene des BF überwiegen.

Wie festgestellt, wurden umfangreiche Daten des BF, die dessen höchstpersönliche Sphäre betreffen (insbesondere E-Mail-Korrespondenz, Unterlagen betreffend Einkommens- und Vermögenssituation, Immobilienbewertung) an einen unbeteiligten Dritten offengelegt. Es handelt sich dabei offenbar auch um Daten, die die Mandantin der MB erst im Zuge des Scheidungsverfahrens erlangt hat. Es besteht zwar zweifellos ein berechtigtes Interesse der (Ex-)Ehefrau des BF, auf vertrauenswürdige Art und Weise die aus dem Mandantenverhältnis entspringende Korrespondenz mit der MB übermittelt zu erhalten. Es stehen aber jedenfalls abseits der bisherigen Nutzung ihrer - als gefährdet erachteten - E-Mail-Adresse weitere Möglichkeiten zur Verfügung, wie die Anlegung einer neuen E-Mail-Adresse, eine Passwortänderung, die Möglichkeit über einen Downloadbereich oder letztlich auch eine postalische Übermittlung. Unter diesen Möglichkeiten finden sich nach Ansicht des Gerichts durchaus auch für die Mandantin der MB zumutbare Möglichkeiten.

Eigene Interessen der MB, die Übermittlung wie festgestellt vorzunehmen, sind nicht naheliegend, zumal für die MB nur der Umstand wesentlich sein kann, eine taugliche Kommunikation mit ihrer Mandantin zu führen und die oben dargestellten Varianten zumindest abstrakt zur Verfügung standen.

Es sind daher keine Umstände hervorgekommen, die eine Interessenabwägung diesbezüglich zugunsten der MB oder ihrer Mandantin erscheinen lassen.

Da keine Rechtfertigungsgründe für die MB hervorkamen, dass die Korrespondenz mit ihrer Mandantin in Bezug auf personenbezogene Daten des BF an ein E-Mail-Postfach eines Dritten zulässig wäre, war die diesbezügliche Weisung der Mandantin der MB gegenüber nicht gesetzeskonform.

Die Befolgung einer solchen Weisung kann nach Ansicht des Verwaltungsgerichts die MB aber nicht von ihrer datenschutzrechtlichen Verantwortlichenstellung entbinden, weil sie aus ihren dargestellten anwaltlichen Verpflichtungen heraus verpflichtet gewesen wäre, auf eine gesetzeskonforme Kommunikationsweise der MB gegenüber hinzuwirken und - im hier unwahrscheinlichen Fall der Nichtfindung einer gesetzeskonformen Variante - auch allenfalls das Mandat niederzulegen.

Zwar besteht für einen Rechtsanwalt wohl keine Erkundigungs- oder Erforschungsobliegenheit, ob Kommunikationsadressen datenschutzrechtlich unbedenklich sind. Bei Offenkundigkeit eines solchen Umstandes ist ihm im Sinne seiner Bindung an die Gesetze aber eine Klärung und ein Hinwirken auf eine datenschutzrechtlich taugliche Kommunikation abzuverlangen. Aufgrund des Auseinanderfallens des Namens mit jenem der Mandantin bezüglich der hier angegebenen E-Mailadresse im Zusammenhalt mit dem ausdrücklichen Hinweis, es handle sich um jene des Onkels, ist eine solche Offenkundigkeit wohl gegeben.

Selbst für den Auftragsverarbeiter wird, wenn er der Ansicht ist, eine gesetzwidrige Weisung erhalten zu haben, vertreten, dass er angehalten ist, den Verantwortlichen unverzüglich auf den möglichen Rechtsverstoß aufmerksam zu machen (Hödl in Knyrim, Datkomm Art. 4 DSGVO (Stand 01.12.2018) rdb.at, Rz 100). Ausgehend vom Grundsatz, dass der Rechtsanwalt selbst Verantwortlicher ist, führt aber im konkreten Fall eine Weisung, deren Befolgung offensichtlich einen Verstoß gegen Datenschutzbestimmungen darstellt, zu dessen Verpflichtung, auf eine datenschutzkonforme Vorgangsweise hinzuwirken und gegebenenfalls das Mandat zu beenden. Insoferne entscheidet der Rechtsanwalt auch in solchen Weisungskonstellationen zumindest über die Zwecke (das „ob“) und Mittel (das „wie“) der beabsichtigten Datenverarbeitung mit.

Wie dargestellt, waren die datenschutzrechtliche Verantwortlichkeit einerseits und ein Verstoß gegen die Geheimhaltungspflicht andererseits nicht getrennt voneinander zu prüfen, weil gegenständlich bereits die Beurteilung der (Mit-)Verantwortlichenstellung der MB eine Klärung voraussetzt, ob die Weisung in Konflikt mit Datenschutzbestimmungen steht.

Im Ergebnis war die MB daher auch im Bezug auf Wahl der Mandantenkommunikation mit der (Ex-) Ehefrau des BF als datenschutzrechtliche Verantwortliche zu qualifizieren. Als solche ist es ihr nicht gelungen, sich betreffend die gewählte Kommunikationsart zutreffend auf Rechtfertigungsgründe zu stützen.

Aufgrund dessen kommt der Beschwerde des BF Berechtigung zu.

Eine mündliche Verhandlung konnte entfallen, weil eine solche von keiner Seite beantragt war und der festgestellte Sachverhalt durch keine der Parteien bestritten war.

Der Ausspruch der Zulässigkeit der Revision folgt dem Umstand, dass bislang höchstgerichtliche Rechtsprechung zur Frage der Verantwortlicheneigenschaft eines Rechtsanwalts im Falle einer Mandantenweisung, die im Ergebnis datenschutzwidrige Vorgangsweisen des Rechtsanwalts zur Konsequenz hätte, nicht ersichtlich ist.