IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundige Laienrichterin Mag. (FH) LACHNIT-GRIUC und den fachkundigen Laienrichter Dr. GOGOLA als Beisitzer über die Beschwerde der XXXX GmbH, XXXX (vormals: XXXX GmbH), vertreten durch Schönherr Rechtsanwälte GmbH, Schottenring 19, 1010 Wien, gegen den Bescheid der Datenschutzbehörde, Barichgasse 40-42, 1010 Wien, vom 08.01.2024, Zl. D124.0426/23 2023-0.758.205, Mitbeteiligter XXXX , XXXX , wegen Verletzung im Recht auf Auskunft, in nichtöffentlicher Sitzung zu Recht:
Der Beschwerde wird Folge gegeben und der angefochtene Bescheid dahingehend abgeändert, dass er insgesamt (unter Berücksichtigung des unbekämpft gebliebenen Spruchpunkts 3.) zu lauten hat:
„Die Beschwerde wird als unbegründet abgewiesen.“
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Entscheidungsgründe:
Mit Eingabe vom 02.03.2023 wandte sich XXXX (im Folgenden: Mitbeteiligter, MB) an die Datenschutzbehörde (im Folgenden: belangte Behörde) und führte aus, die XXXX GmbH (nunmehr XXXX GmbH; in der Folge: Beschwerdeführerin, BF) habe ihn in seinem Recht auf Auskunft nach Art 15 DSGVO verletzt, weil ein infolge des Datenverlustskandals am 26.01.2023 der BF übermitteltes Auskunftsbegehren unbeantwortet geblieben sei.
Mit Eingabe vom 15.03.2023 verwies die BF auf ein dem MB am Postweg übermitteltes Schreiben.
Mit Stellungnahme vom 24.05.2023 (bekräftigt mit Stellungnahmen vom 11.10.2023 und 19.10.2023) brachte der MB (soweit gegenständlich relevant) vor, dass die BF im Rahmen einer mittlerweile mit Schreiben vom 24.04.2023 erteilten Auskunft nicht bekanntgegeben habe, wer der von der BF beauftragte Datenverarbeiter bzw. Sublieferant sei, an den sie seine Daten zur Verarbeitung weitergegeben habe und der diese in der Folge verloren habe.
Mit dem bekämpften Bescheid gab die belangte Behörde der Datenschutzbeschwerde teilweise statt und stellte fest, dass die BF den MB in seinem Recht auf Auskunft verletzt habe, indem sie keine vollständige Auskunft darüber erteilt habe, an welches IT-Unternehmen die Daten des MB zwecks (Neu-)Konstruktion von Datenbanken übermittelt wurden (Spruchpunkt 1.). Mit Spruchpunkt 2. wurde der BF aufgetragen, dem MB binnen zwei Wochen die betreffende Auskunft zu erteilen. Im Übrigen wurde die Beschwerde abgewiesen (Spruchpunkt 3.).
Die belangte Behörde stellte dabei, soweit gegenständlich relevant, folgenden Sachverhalt fest (die Parteibezeichnungen wurden angepasst):
„Die BF ist mit der Einbringung und Abrechnung der Rundfunkgebühr in Österreich beauftragt und vollzieht das Rundfunkgebührengesetz. Zur Wahrnehmung dieser Aufgabe erhält sie u.a. Meldedaten aus lokalen Melderegistern von den jeweiligen lokalen Meldebehörden. Hierzu gehören in der Regel zumindest der Vor- und Nachname, das Geburtsdatum und die postalische Anschrift von in Österreich gemeldeten Personen.
In der Vergangenheit wurde ein sog. Customer-Relationship-Management-System (CRM-System) eingeführt. Für die Einführung des CRM-Systems wurde ein Unternehmen aus der Informationstechnologie (in der Folge „IT-Unternehmen“) als Dienstleister herangezogen. Konkret wurde das IT-Unternehmen mit der Systemgestaltungsentwicklung und -implementierung beauftragt. Die BF hatte insbesondere das Ziel, eine Normierung der Datenbestände (Meldedaten) zu erreichen, da diese aus unterschiedlichen Quellen stammten und daher eine unterschiedliche Struktur aufwiesen.
Bei einem Teilschritt des genannten Projekts (Einführung eines CRM-Systems) kam es zu folgendem Vorfall:
Das IT-Unternehmen hat die seitens der BF zur Verfügung gestellten Daten – im Wesentlichen Meldedaten – auf eine Testumgebung geladen. Auf diese Testumgebungen haben Mitarbeiter der BF und des IT-Unternehmens zugegriffen (Remote Access). Grundlage für die Testumgebung war der sog. XXXX ( XXXX ). „ XXXX “ ist die Abkürzung für drei Open-Source-Projekte: XXXX , XXXX und XXXX . Im Rahmen der Einführung des CRM-Systems wurde zumindest „ XXXX “ zur Abfrage der normalisierten Meldedaten verwendet.
Das IT-Unternehmen hat in der Folge im Rahmen von Entwicklungs- bzw. Testtätigkeiten eine Re-Konfiguration am Server der Testumgebung vorgenommen und einen Zugangs-Port zum Server geöffnet und offengelassen. Ein Remote Access ermöglicht es einem Nutzer, von der Ferne auf Netzwerkressourcen (im gegenständlichen Fall die Testumgebung) zuzugreifen, als wäre der Nutzer direkt an einem Rechner angemeldet, der mit diesem Netzwerk verbunden ist.
(…)
Der MB hat am 26. Jänner 2023 den folgenden Antrag an die BF gestellt:
(…)
Die BF hat bis zum Abschluss des Verfahrens jedoch keine Auskunft darüber erteilt, an welches IT-Unternehmen die Daten des MB zwecks (Neu-)Konstruktion von Datenbanken übergeben wurde. (…)“
Rechtlich führte die belangte Behörde aus, dass das Recht auf Auskunft auch die Empfänger erfasse, denen gegenüber personenbezogene Daten offengelegt worden seien, die BF aber wie festgestellt keine Auskunft darüber erteilt habe, an welches konkrete IT-Unternehmen die Daten des MB zwecks (Neu-)Konstruktion von Datenbanken übergeben wurden. Dem Auskunftsanspruch entgegenstehende Gründe lägen nicht vor, weshalb die Rechtsverletzung festzustellen und ein Leistungsauftrag zu erteilen gewesen sei.
Gegen die Spruchpunkte 1. und 2. dieses Bescheids richtet sich die Beschwerde, mit der die BF beantragt, das Verfahren einzustellen, in eventu den Bescheid aufzuheben und die ursprüngliche Datenschutzbeschwerde zurück- bzw. abzuweisen.
Begründend verweist die BF auf ihre Bereitschaft zur Mitwirkung und bezeichnet die in den seinerzeitigen Vorfall involvierte IT-Dienstleisterin konkret („ XXXX “, Beschwerde S. 21).
Die belangte Behörde legte die Beschwerde sodann samt dem Verwaltungsakt in elektronischer Form dem Bundesverwaltungsgericht vor, wo sie am 18.03.2024 einlangte, und beantragte die Abweisung der Beschwerde.
Am 08.10.2024 langte eine Stellungnahme der BF ein, wonach sie dem MB mit dem beigelegten Schreiben eine ergänzende Auskunft erteilt habe, mit der dem Auskunftsantrag entsprochen worden sei. Das Verfahren möge daher eingestellt werden.
Über Beschwerdemitteilung samt Verweis auf die genannte Stellungnahme teilte der MB mit Schreiben vom 23.06.2026 zusammengefasst mit, dass er sich weiterhin in seinem Recht auf Auskunft verletzt sehe, weil die zwischenzeitlich erteilte Auskunft verspätet, unvollständig und nur unter erheblichem behördlichen und persönlichen Druck erfolgt sei. Eine erst nach einem erheblichen Zeitraum nach Einschaltung der Datenschutzbehörde erfolgte Offenlegung könne die bereits eingetretene Rechtsverletzung nicht rückwirkend beseitigen. Nicht zu folgen sei der BF auch, wenn sie vorbringe, dass zwischen der früheren XXXX und der nunmehrigen XXXX keine datenschutzrechtliche Verantwortlichkeit bestehe. Es handle sich bei der XXXX um dieselbe organisatorische Struktur, welche weiterhin personenbezogene Daten verarbeite und die Aufgaben der früheren XXXX faktisch fortführe. Aus seiner Sicht liege dem Vorfall kein isolierter menschlicher Fehler zugrunde, sondern ein strukturelles Organisationsversagen in Auswahl, Überwachung und technischer Absicherung des eingesetzten Dienstleisters. Über den gesamten Verlauf hinweg sei der Eindruck eines defensiven, verzögernden und abwehrenden Umgangs entstanden. Er beantrage daher, der Beschwerde nicht Folge zu geben, den angefochtenen Bescheid zu bestätigen und festzustellen, dass die verspätete und erst nach behördlichem Druck erfolgte Offenlegung die bereits eingetretene Verletzung seines Auskunftsrechts nicht beseitigt habe.
Die Beschwerde ist berechtigt:
Das Verwaltungsgericht legt seiner Entscheidung den Verfahrensgang sowie die bereits von der belangten Behörde getroffenen und oben wiedergegebenen Feststellungen zugrunde.
Beweiswürdigung:
Der Verfahrensgang (samt den wiedergegebenen Feststellungen der belangten Behörde) ergibt sich aus dem Verwaltungs- bzw. Gerichtsakt und ist unstrittig.
Rechtlich folgt:
Die hier maßgeblichen Rechtsvorschriften der seit 25. Mai 2018 unmittelbar anwendbaren Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge kurz "DSGVO") lauten wie folgt:
„Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln: dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
(2) [..]
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
(4) [..]
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Daraus folgt:
Eingangs ihrer 22-seitigen Beschwerde bestritt die – nunmehr seitens des Gerichts als Beschwerdeführerin geführte - XXXX GmbH - als Beschwerdeführerin gegen den noch im Dezember 2023 gegen die XXXX GmbH (im Folgenden: XXXX ) mit gleicher Adresse ergangenen Bescheid – mit umfangreicher Argumentation ihre datenschutzrechtliche Passivlegitimation und meint dabei im Wesentlichen, aufgrund des im Verhältnis zum RGG gegenüber der XXXX geänderten gesetzlichen Auftrags der XXXX und der Übergangsbestimmungen des § 21 Abs 6 und 7 OBG sei die XXXX nicht in die Verantwortlichenpflichten der XXXX eingetreten.
Dies überzeugt nicht. Wie von der BF ohnehin erkannt, wurde mit § 21 Abs 1 ORF-Beitrags-Gesetz 2024 klargestellt, dass die Firma der XXXX mit Wirkung 1. Jänner 2024 in XXXX GmbH zu ändern ist, was bereits in einer zuvor abzuhaltenden Generalversammlung zu beschließen war. Schon durch diese Bestimmung ist die Kontinuität des Rechtsträgers (bei gesetzlicher Anpassung der Aufgaben samt Umfirmierung) erkennbar. Daran ändern die (Übergangs-)Bestimmungen des § 21 Abs 6 und 7 ORF-Beitrags-Gesetz 2024 mit ihrem klarstellenden Charakter hinsichtlich Weiterspeicherung von Daten bzw zur weiteren Anwendbarkeit des RGG auf Altverfahren offenbar iZm der Erhebung des ORF-Beitrags, der Entscheidung über Befreiungsanträge und der Erfassung aller Beitragsschuldner, nicht aber auf solche nach der DSGVO oder dem DSG, nichts.
Schon zu W137 2251172 vom 22.08.2023 hat das BVwG hiezu allgemein (Revisionsverfahren anhängig) ausgeführt, aus datenschutzrechtlicher Sicht sei die Art der Unternehmensnachfolge bzw. -übernahme iSe Gesamtrechtsnachfolge unproblematisch, denn es finde keine Weitergabe personenbezogener Daten an Dritte statt. Das Unternehmen bleibe rechtlich unverändert und damit auch die Rechtsgrundlage für die bestehenden Verarbeitungsvorgänge. Es liege kein datenschutzrechtlich relevanter Vorgang vor. Der Rechtsnachfolger trete in die unveränderte Rechtsposition des Rechtsvorgängers ohne inhaltliche Änderungen ein und im Vollzugszeitpunkt gingen alle Rechte uno actu ohne weitere Handlungen auf den Rechtsnachfolger über. In diesem Zusammenhang übernehme der Rechtsnachfolger auch das Recht zur Datenverwendung in jenem Umfang, wie es bereits dem Rechtsvorgänger zugestanden sei, es liege somit keine Datenübermittlung an Dritte vor.
Selbst im konkreten Fall der dargelegten Rechtsnachfolge auf gesetzlicher und gesellschaftsrechtlicher Grundlage, kann für die datenschutzrechtliche Verantwortlichenstellung nichts anderes gelten, weshalb das Verfahren nicht einzustellen war.
Der MB behauptete in seiner verfahrenseinleitenden Eingabe eine Verletzung im Recht auf Auskunft durch die BF, weil in der von dieser erteilten Auskunft das in den Databreach-Vorfall involvierte IT-Unternehmen nicht als Empfänger genannt gewesen sei.
Der MB hat über Aufforderung des Bundesverwaltungsgerichts in seiner Stellungnahme vom 23.06.2026 selbst eingeräumt, dass die BF im Rahmen ihres Beschwerdeschriftsatzes (sowie in der Stellungnahme vom 08.10.2024) Auskunft über diesen, die Spruchpunkte 1. und 2. des angefochtenen Bescheides betreffenden Gegenstand (die in das Datenleck involvierte IT-Dienstleisterin, an welche die Daten des MB von der BF übermittelt wurden) erteilt hat. Inwiefern die erteilte Auskunft (im Hinblick auf die hier allein gegenständliche Frage, an welches IT-Unternehmen die Daten des MB zwecks (Neu-)Konstruktion von Datenbanken übermittelt wurden) „unvollständig“ sein sollte, wie der MB in seiner Stellungnahme vom 23.06.2026 pauschal meint, führt er nicht näher aus und ist auch nicht ersichtlich.
Angesichts der insofern erfolgten Auskunftserteilung ist das Rechtsschutzbegehren des MB zum Entscheidungszeitpunkt als erfüllt anzusehen, weshalb der Beschwerde Folge zu geben und der Bescheid in eine (unter Berücksichtigung des unbekämpft gebliebenen Spruchpunkts 3. gänzliche) Abweisung der Datenschutzbeschwerde abzuändern war.
Was die vom MB ebenfalls vorgebrachte Verspätung der Auskunftserteilung betrifft, ist auf das Erkenntnis des Verwaltungsgerichtshofes vom 6. März 2024 zu Ro 2021/04/0027 zu verweisen: Dort entschied der Gerichtshof, dass das Bundesverwaltungsgericht, nachdem die begehrte Auskunft im Verfahren vor der belangten Behörde – wenngleich verspätet – erteilt und die Datenschutzbeschwerde abgewiesen wurde, die dagegen gerichtete Bescheidbeschwerde zu Recht abgewiesen habe. Wenn das Rechtsschutzbegehren auf die Erlangung einer bestimmten Leistung gerichtet sei, die zum Entscheidungszeitpunkt als vom Verpflichteten erfüllt anzusehen ist, sei vielmehr davon auszugehen, dass der Betroffene sein Rechtsschutzziel erreicht habe. Die Frage der Verspätung werde in dem Verfahren über das Begehren auf Auskunftserteilung selbst nicht geklärt, ein Recht auf Feststellung der Verspätung bestehe daher nicht.
Nichts anderes kann im vorliegenden Fall gelten, in dem die Auskunftserteilung erst im Verfahren vor dem Verwaltungsgericht stattfand, zumal das Bundesverwaltungsgericht nach der Sach- und Rechtslage zum Zeitpunkt seiner Entscheidung erkennt (siehe dazu zuletzt VwGH, 29.01.2025, Ro 2023/04/0026). Die vom MB in seiner letzten Stellungnahme relevierte Verspätung seitens der BF ist daher gegenständlich unerheblich.
Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.
Gemäß § 24 Abs. 4 VwGVG kann – soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist – das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 EMRK noch Art. 47 GRC entgegenstehen.
Im gegenständlichen Fall war der Sachverhalt aus der Aktenlage geklärt. Die Heranziehung weiterer Beweismittel war zur Klärung des Sachverhaltes nicht notwendig. Das Bundesverwaltungsgericht hatte in erster Linie die oben behandelten Rechtsfragen zu klären, sodass sich die Durchführung einer mündlichen Verhandlung nicht als notwendig erwies.
Die Revision an den VwGH war im Sinne des Art 133 Abs 4 B-VG im vorliegenden Fall nicht zuzulassen, weil die vorliegende Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor.
Rückverweise