BESCHLUSS
Das Bundesverwaltungsgericht hat durch den Richter Mag. Gregor MORAWETZ in der Beschwerdesache der XXXX (nunmehr XXXX ), vertreten durch die Schönherr Rechtsanwälte GmbH, gegen den Bescheid der Datenschutzbehörde vom 30.11.2023, GZ. XXXX , beschlossen:
A)
Das Beschwerdeverfahren wird gemäß § 34 Abs. 3 VwGVG bis zur rechtskräftigen Entscheidung durch den Verwaltungsgerichtshof über die außerordentliche Revision vom 16.08.2024 gegen das Erkenntnis des Bundesverwaltungsgerichts vom 05.07.2024, XXXX , ausgesetzt.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Begründung:
I. Verfahrensgang:
Am 20.04.2023 brachte Herr XXXX (= mitbeteiligte Partei vor dem Bundesverwaltungsgericht und Antragsteller vor der Datenschutzbehörde), vertreten durch Rechtsanwalt Mag. Robert HAUPT, eine Datenschutzbeschwerde gegen die XXXX (nunmehr XXXX = Beschwerdeführerin vor dem Bundesverwaltungsgericht und Beschwerdegegnerin vor der Datenschutzbehörde) ein, weil sie in ihrem Recht auf Geheimhaltung verletzt worden sei. Dieser Datenschutzbeschwerde lag ein Vorfall zugrunde, bei dem ein Dritter (Hacker) die Meldedaten fast aller Österreicher aus einer Datenbank eines für die Beschwerdeführerin tätigen IT-Dienstleisters entwendet hatte.
Aufgrund einer Vielzahl gleichgelagerter Datenschutzbeschwerden, denen derselbe Sachverhalt zugrunde lag, führte die Datenschutzbehörde, protokolliert zur Zl. XXXX , ein einheitliches Ermittlungsverfahren („Hauptverfahren“) durch, in Rahmen dessen setzte die Datenschutzbehörde umfassende Ermittlungsschritte und legte die gewonnenen Ermittlungsergebnisse im Sinne der Verfahrensökonomie allen gegen die Verantwortliche gerichteten Verfahren zu Grunde.
Mit Bescheid vom 30.11.2023, GZ. XXXX , gab die Datenschutzbehörde der Datenschutzbeschwerde vom 20.04.2023 statt und stellte fest, dass die Beschwerdeführerin die mitbeteiligte Partei im Recht auf Geheimhaltung verletzt habe, indem die Beschwerdeführerin es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) ermöglicht habe, dass personenbezogene Daten der mitbeteiligten Partei (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich geworden sei.
In der gegen diesen Bescheid fristgerecht erhobenen Beschwerde brachte die Beschwerdeführerin im Wesentlichen vor:
Das Beschwerderecht der mitbeteiligten Partei sei im Sinne von § 24 Abs. 4 DSG präkludiert, weil sie bereits seit dem Jahr 2020 Kenntnis von einer sie potenziell betreffenden Datenschutzverletzung gehabt habe, die verfahrenseinleitende Datenschutzbeschwerde jedoch erst im Jahre 2023 erhoben worden sei. Weiters sei ein mangelhaftes Ermittlungsverfahren geführt worden, weil die relevanten Feststellungen der belangten Behörde auf einer Indizienkette beruhen würden. Schließlich sei die rechtliche Beurteilung nicht richtig, weil die Bestimmung des Art. 32 DSGVO falsch angewandt worden sei. Vor allem sei der gegenständliche Vorfall nicht der Beschwerdeführerin zuzurechnen, weil ihre Pflichten als Verantwortliche nicht so weit gehen würden, dass sie automatisch für jede Handlung des Auftragsverarbeiters haftbar gemacht werden könne, denn die Hauptverpflichtung des Verantwortlichen in Bezug auf den Auftragsverarbeiter bestehe nur in der sorgfältigen Auswahl, der klaren Instruktion und der laufenden Überwachung des Auftragsverarbeiters.
Mit Schreiben der Datenschutzbehörde vom 08.02.2024, hg. eingelangt am 13.02.2024, war die Beschwerde samt Verwaltungsakt an das Bundesverwaltungsgericht übermittelt worden.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Die mitbeteiligte Partei hat in ihrer Datenschutzbeschwerde vom 20.04.2023 geltend gemacht, sie sei bei der Verarbeitung ihrer personenbezogenen Daten durch die Beschwerdeführerin in ihrem Recht auf Geheimhaltung verletzt worden. Dieser Datenschutzbeschwerde lag ein Vorfall zugrunde, bei dem ein Dritter (Hacker) die Meldedaten fast aller Österreicher aus einer Datenbank eines für die Beschwerdeführerin tätigen IT-Dienstleisters entwendet hat.
Dem gegenständlichen Beschwerdeverfahren liegt derselbe Sachverhalt in Zusammenhang mit den widerrechtlich abgegriffenen Meldedaten durch einen Dritten (Hacker), die von der XXXX dem IT-Dienstleister V* XXXX im Mai 2020 zur Verfügung gestellt wurden, wie im Beschwerdeverfahren zur Zl. XXXX zugrunde. In der außerordentlichen Revision vom 16.08.2024 gegen das Erkenntnis des Bundesverwaltungsgerichts vom 05.07.2024, Zl. XXXX , wurden insbesondere der Übergang der Verantwortlicheneigenschaft von der XXXX auf die XXXX , die vorzunehmende Form der öffentlichen Bekanntmachung iSd Art. 34 Abs. 3 lit. c DSGVO, die Verpflichtung der Benachrichtigung eines potenziell Betroffenen von einem Datensicherheitsvorfall, der Beginn der subjektiven Präklusivfrist des § 24 Abs. 4 DSG sowie die Zurechnung des rechtswidrigen Verhaltens eines Auftragsverarbeiters bekämpft.
Zudem sind derzeit beim Bundesverwaltungsgericht zahlreiche Verfahren zu den gleichen Rechtsfragen hinsichtlich der widerrechtlich abgegriffenen Meldedaten durch einen Dritten (Hacker) anhängig.
2. Beweiswürdigung:
Die Feststellungen zum maßgeblichen Sachverhalt ergeben sich aus dem Verwaltungsakt und dem Gerichtsakt und sind unstrittig.
Insbesondere ergibt sich aus dem EVA-Verfahrensverzeichnis der Gerichtsabteilung XXXX , dass gegen das o.a. Erkenntnis des Bundesverwaltungsgerichts vom 05.07.2024 beim Verwaltungsgerichtshof ein Revisionsverfahren zu denselben Rechtsfragen anhängig ist.
Darüber hinaus ergibt eine Nachschau im EVA des Bundesverwaltungsgerichts, dass mehrere Verfahren der Beschwerdeführerin beim Bundesverwaltungsgericht zu denselben Rechtsfragen anhängig sind.
3. Rechtliche Beurteilung:
3.1. Gemäß § 6 Bundesverwaltungsgerichtsgesetz, BGBl. I Nr. 10/2013 (BVwGG), entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Gemäß § 27 Abs. 1 DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 leg. cit. und der Entscheidungspflicht der Datenschutzbehörde. Gemäß § 27 Abs. 2 erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Gegenständlich liegt somit Senatszuständigkeit vor.
3.2. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 1 VwGVG hat Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.
Bei der Aussetzung des Verfahrens gemäß § 34 Abs. 2 Z 1 VwGVG handelt es sich um einen verfahrensleitenden Beschluss (siehe Götzl/Gruber/Reisner/Winkler, Das neue Verfahrensrecht der Verwaltungsgerichte, Rz 17 zu § 34, S. 360).
3.3. Zu A)
Gemäß § 34 Abs. 3 VwGVG kann das Verwaltungsgericht ein Verfahren über eine Beschwerde gemäß Art. 130 Abs. 1 Z 1 B-VG mit Beschluss aussetzen, wenn
1. vom Verwaltungsgericht in einer erheblichen Anzahl von anhängigen oder in naher Zukunft zu erwartenden Verfahren eine Rechtsfrage zu lösen ist und gleichzeitig beim Verwaltungsgerichtshof ein Verfahren über eine Revision gegen ein Erkenntnis oder einen Beschluss eines Verwaltungsgerichtes anhängig ist, in welchem dieselbe Rechtsfrage zu lösen ist, und
2. eine Rechtsprechung des Verwaltungsgerichtshofes zur Lösung dieser Rechtsfrage fehlt oder die zu lösende Rechtsfrage in der bisherigen Rechtsprechung des Verwaltungsgerichtshofes nicht einheitlich beantwortet wird.
Gleichzeitig hat das Verwaltungsgericht dem Verwaltungsgerichtshof das Aussetzen des Verfahrens unter Bezeichnung des beim Verwaltungsgerichtshof anhängigen Verfahrens mitzuteilen. Eine solche Mitteilung hat zu entfallen, wenn das Verwaltungsgericht in der Mitteilung ein Verfahren vor dem Verwaltungsgerichtshof zu bezeichnen hätte, das es in einer früheren Mitteilung schon einmal bezeichnet hat. Mit der Zustellung des Erkenntnisses oder Beschlusses des Verwaltungsgerichtshofes an das Verwaltungsgericht gemäß § 44 Abs. 2 VwGG ist das Verfahren fortzusetzen. Das Verwaltungsgericht hat den Parteien die Fortsetzung des Verfahrens mitzuteilen.
Aus den Erläuterungen (vgl. RV 2009 BlgNR 24. GP, 8) zu § 34 VwGVG geht hervor, dass ein Verfahren ausgesetzt werden kann, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die in einem – gleichzeitig anhängigen – Verfahren vor dem Verwaltungsgerichtshof zu lösen ist. Zweck dieser Bestimmung ist daher, aus Gründen der Prozessökonomie zu vermeiden, dass die gleiche Rechtsfrage nebeneinander in mehreren Verfahren erörtert werden muss (vgl. zu den entsprechenden Bestimmungen der BAO: VwGH 18.04.1990, 89/16/0200; 21.12.2011, 2009/13/0159 sowie Ritz, BAO5 § 271).
Durch die Aussetzung eines Verfahrens soll die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden gewährleistet sein, indem auf einen beim Verwaltungsgerichtshof anhängigen „leading case“ gewartet und so dessen Rechtsansicht eingeholt werden kann. Darüber hinaus wird der Verwaltungsgerichtshof selbst vor einer potentiell massenhaften Revisionseinbringung geschützt (Fister/Fuchs/Sachs, Verwaltungsgerichtsverfahren² § 34 VwGVG Rz 14).
Für den vorliegenden Fall bedeutet das:
Beschwerdegegenständlich ist die Frage, ob die Beschwerdeführerin als Verantwortliche iSd Art. 4 Z 7 DSGVO gegen ihre Pflichten nach Art. 5 Abs. 1 lit. f und Art. 32 DSGVO verstoßen hat, sodass sie die mitbeteiligte Partei infolge des widerrechtlichen Abgriffes der Meldedaten durch einen Dritten (Hacker) in ihrem Recht auf Geheimhaltung verletzt hat. Zur Beantwortung dieser Frage ist wesentlich, ob die Verantwortlicheneigenschaft von der XXXX auf die XXXX übergegangen ist, ob die vorzunehmende Form der öffentlichen Bekanntmachung iSd Art. 34 Abs. 3 lit. c DSGVO erfüllt worden ist, ob die Verpflichtung der Benachrichtigung eines potenziell Betroffenen von einem Datensicherheitsvorfall besteht, ob die subjektive Präklusivfrist des § 24 Abs. 4 DSG mit der Kenntnis des beschwerenden Ereignisses oder auf die Kenntnis über die persönliche Betroffenheit zu laufen beginnt sowie ob der gegenständliche Verstoß des Auftragsverarbeiters gegen Art. 32 DSGVO der Beschwerdeführerin zuzurechnen ist.
Zu diesen Rechtsfragen fehlt eine Rechtsprechung des Verwaltungsgerichtshofs und sie sind wesentliche Gegenstände der beim Verwaltungsgerichtshof anhängigen außerordentlichen Revision gegen das Erkenntnis vom 05.07.2024, Zl. XXXX
Da beim Bundesverwaltungsgericht zahlreiche Verfahren der Beschwerdeführerin in Zusammenhang mit den widerrechtlich abgegriffenen Meldedaten durch einen Dritten (Hacker) anhängig sind, liegen die Voraussetzungen des § 34 Abs. 3 VwGVG vor.
Es wird daher vom erkennenden Senat die Aussetzung des Beschwerdeverfahrens bis zur Entscheidung des Verwaltungsgerichtshofs über die außerordentliche Revision zu XXXX spruchgemäß beschlossen.
3.4. Zu B) Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Hinsichtlich der Anwendung des § 34 VwGVG konnte sich der erkennende Senat auf die – jeweils zitierte –Rechtsprechung des Verwaltungsgerichtshofs stützen.
Rückverweise
RIS