DSB-D123.959/0019-DSB/2019 – Datenschutzbehörde Entscheidung
Text
GZ: DSB-D123.959/0019-DSB/2019 vom 18. November 2019
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der A*** Consulting AG (Beschwerdeführerin) vom 21. Dezember 2018 gegen Mag. Gerhard N*** (Beschwerdegegner) wegen Verletzung im Recht auf Geheimhaltung wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen .
Rechtsgrundlagen : §§ 1 Abs. 1 und Abs. 2 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 4 Z 1 und Z 7 sowie Art. 5 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 04.05.2016, S. 1.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Eingabe vom 21. Dezember 2018 sowie der präzisierenden Stellungnahme vom 14. Jänner 2019 behauptete die Beschwerdeführerin eine Verletzung im Recht auf Geheimhaltung. Zusammengefasst sei der Beschwerdegegner bei der Beschwerdeführerin bis zu seiner fristlosen Entlassung im Februar 2018 beschäftigt gewesen. Nach seiner Entlassung habe die Beschwerdeführerin am 8. März 2018 eine E-Mail erhalten, dass „jemand“ versucht habe, in den ***filehosting-Account mit der Email-Adresse n***@a***consulting.com einzusteigen. Die Beschwerdeführerin habe befürchten müssen, dass es sich um einen Hackerangriff gehandelt habe und habe daher, um den Zugang zu unterbinden, ein neues Passwort vergeben. Der Beschwerdeführerin sei bis zu diesem Zeitpunkt weder Existenz noch Inhalt des ***filehosting bekannt gewesen. Bei der Durchsicht der Ordnerstruktur habe sich jedoch gezeigt, dass in diesem ***filehosting umfangreiche Daten aus Projekten und Aufträgen von Kunden der Beschwerdeführerin seitens des Beschwerdegegners gespeichert worden seien. Der Beschwerdeführerin sei auch nicht bekannt gewesen, wer diese Anfrage bei ***filehosting ausgelöst habe. Erst nachdem der Beschwerdegegner umgekehrt eine Beschwerde gegen die Beschwerdeführerin zur GZ: DSB-D123.838 eingebracht habe, sei der Beschwerdeführerin bekannt geworden, dass es der Beschwerdegegner gewesen sei, der versucht habe, in den ***filehosting-Account n***@a***consulting.com einzusteigen.
Offensichtlich sei es nicht bei dem Versuch geblieben, da der Beschwerdegegner nach eigenen Angaben sowohl den „Zugriff auf das Konto auf einen privaten Account“ als auch das Passwort geändert habe. Der Beschwerdegegner habe sich daher unzulässigerweise Zugriff auf Datengeheimnisse der Beschwerdeführerin verschafft. Obwohl nach der Benachrichtigung von ***filehosting am 8. März 2018 die Zugangsdaten geändert worden seien, sei unklar, ob und wie viele Daten der Beschwerdegegner in der Zeit bis zum Widerruf unzulässigerweise heruntergeladen oder gegebenenfalls genutzt habe. In Folge habe der Beschwerdegegner mehrfach versucht, bei ***filehosting, unter dem Vorwand, es handle sich um ein „privates“ ***filehosting, die Freigabe des Accounts und somit Zugang zum ***filehosting zu erhalten.
2. Mit Stellungnahme vom 3. Februar 2019 brachte der Beschwerdegegner zusammengefasst vor, dass sich die Beschwerde auf reine Vermutungen stütze. Es seien keine Beweise vorhanden, dass auf den ***filehosting-Ordnern Betriebs- und Geschäftsgeheimnisse seien. Vielmehr habe die Beschwerdeführerin seinen privaten ***filehosting-Account gehackt. Seines Wissens nach seien auf den Ordnern nur belanglose Dokumente wie internationale Vergleichsstudien, harmlose Berichte oder Präsentationen. Die Dokumente würden nur Zusammenfassungen von Informationen enthalten, welche jederzeit im Internet abrufbar seien. Nach Erinnerung des Beschwerdegegners seien Projekte betroffen, die vor etlichen Jahren abgeschlossen worden seien.
Darüber hinaus werde nach den Nutzungsbedingungen und den AGB von ***filehosting ein Nutzungsvertrag zwischen ***filehosting und einer Person abgeschlossen, nicht mit einer Email-Adresse. Der Account sei seitens des Beschwerdegegners als Privatperson eröffnet worden, es handle sich um keinen Business-Account. Die Beschwerdeführerin habe einen Datendiebstahl und einen Diebstahl seiner Identität begangen. Ferner sei zu bemerken, dass beinahe alle ehemaligen Mitarbeiter der Beschwerdeführerin einen privaten Account bei ***filehosting auch für firmenbezogene Kommunikation mit Mandanten benutzt hätten, was der Beschwerdeführerin auch bekannt sei. Der Beschwerdegegner sei neun Jahre als Prokurist der Beschwerdeführerin tätig gewesen. Die private Nutzung seines Laptops bzw. seiner Email-Adresse sei stets genehmigt oder geduldet worden. Darüber hinaus sei der Anspruch auf Geltendmachung (gemeint: des Rechts auf Geheimhaltung) bereits verjährt. Im Rahmen des Arbeitsvertrags zwischen Beschwerdeführerin und Beschwerdegegner sei vereinbart, dass beiderseitige Ansprüche aus dem Arbeitsverhältnis und solche, die damit in Verbindung stehen, verfallen, wenn sie nicht innerhalb von drei Monaten nach Fälligkeit schriftlich gegenüber der anderen Partei erhoben werden. Der Beschwerdegegner legte ein Konvolut an Dokumenten vor, darunter ein Protokoll der mündlichen Verhandlung eines beim ASG Wien anhängigen Rechtsstreits zwischen Beschwerdeführerin und Beschwerdegegner (Aktenzahl *5 Cga *31/18h).
3. Mit Stellungnahme vom 4. April 2019 legte der Beschwerdegegner einen ergänzenden Schriftsatz des beim ASG Wien anhängigen Gerichtsverfahrens (Aktenzeichen *5 Cga *31/18h) vor. Davon ausgehend sei ersichtlich, dass die Beschwerdeführerin von den Übermittlungsproblemen von Unterlagen, die aufgrund der Dateigröße entstanden seien, gewusst habe. Ferner sei ersichtlich, dass die Beschwerdeführerin gewusst habe, dass Mitarbeiter Unternehmensdaten im Wege eines ***filehosting-Accounts den Kunden zur Verfügung stellen würden.
4. Mit Stellungnahme vom 29. April 2019 brachte die Beschwerdeführerin zusammengefasst vor, dass der Beschwerdegegner selbst bestätigt habe, dass er in das ***filehosting, das Firmendaten enthalte, eingestiegen sei. Er habe auch zugegeben, nach seiner Entlassung in das ***filehosting eingestiegen zu sein. Das ***filehosting sei unter einer dienstlichen E-Mail-Adresse ohne Wissen der Beschwerdeführerin angelegt worden und enthalte zu über 80% dienstliche Daten. Die Beschwerdeführerin habe zu keinem Zeitpunkt vor dem 8. März 2019 Kenntnis vom ***filehosting-Account gehabt. Weiters seien die Emails von ***filehosting nicht an die private Email-Adresse des Beschwerdegegners, sondern an seine dienstliche Email-Adresse ergangen, die im Eigentum der Beschwerdeführerin stehe. Ein Daten- oder Identitätsdiebstahl sei nicht erfolgt. Im Hinblick auf den Einwand der Verjährung sei festzuhalten, dass der Beschwerdegegner übersehe, dass sich die Klausel aus dem Arbeitsvertrag auf Ansprüche aus dem Arbeitsverhältnis beziehe. Die Beschwerdeführerin legte ebenso ein Protokoll der mündlichen Verhandlung des beim ASG Wien anhängigen Rechtsstreits zwischen Beschwerdeführerin und Beschwerdegegner (Aktenzahl *5 Cga *31/18h) vor.
5. Die Datenschutzbehörde führte am 7. Juni 2019 eine mündliche Verhandlung in Anwesenheit der Beschwerdeführerin (vertreten durch Dr. Walter P***) und des Beschwerdegegners durch. Die mündliche Verhandlung wurde im Rahmen des Verfahrens zur Zl. DSB-D123.838 durchgeführt. Im genannten Verfahren handelt es sich umgekehrt um eine Beschwerde von Mag. Gerhard N*** gegen die A*** Consulting AG. Da derselbe Sachverhalt betroffen ist, werden die Ergebnisse der mündlichen Verhandlung auch im gegenständlichen Verfahren zur Zl. DSB-D123.959 verwertet. Das Protokoll der mündlichen Verhandlung liegt dem Akt bei und wurde allen Beteiligten übermittelt.
6. Die Beschwerdeführerin legte mit Stellungnahme vom 3. Juli 2019 eine Kopie einer ***filehosting-Email vom 8. März 2018 vor, die im Rahmen der mündlichen Verhandlung vom 7. Juni 2019 thematisiert wurde.
7. Die Datenschutzbehörde führte am 12. September 2019 eine weitere mündliche Verhandlung in Anwesenheit der Beschwerdeführerin (wiederum vertreten durch Dr. Walter P***) und des Beschwerdegegners durch. Im Rahmen der mündlichen Verhandlung wurde Einschau in den ***filehosting-Account n***@a***consulting.com genommen. Das Protokoll der mündlichen Verhandlung liegt dem Akt bei und wurde allen Beteiligten übermittelt.
8. Mit Stellungnahme vom 29. September 2019 brachte der Beschwerdegegner zusammengefasst vor, dass es ihm gemäß dem Arbeitsvertrag aus 2005 zwar verbot gewesen sei, während und nach Beendigung des Arbeitsverhältnisses Dateien zu privaten Zwecken zu nutzen, zu kopieren oder sonst wie mitzunehmen. Ausdrücklich sei jedoch die Nutzung und das Beibehalten von Kopien in schriftlicher und elektronischer Form für Vorgänge eingeräumt gewesen, wenn er diese Daten auswärts für dienstliche Zwecke benötigt habe und zwar auch über die Beendigung des Arbeitsverhältnisses hinaus. Wie bei der Einschau festgestellt worden sei, seien die auf dem ***filehosting enthaltenen Dateien allesamt für auswärtige dienstliche Zwecke benötigt worden. Weiters bestehe der ***filehosting-Account zum Großteil aus privaten Dateien des Beschwerdegegners. Die Beschwerdeführerin habe gesetzeswidrig Einschau in den ***filehosting-Account genommen. Die Beschwerdeführerin hätte nämlich Dateien, die nicht klar als berufliche Dateien erkennbar seien, nicht ansehen dürfen.
9. Mit Stellungnahme vom 17. Oktober 2019 brachte die Beschwerdeführerin zusammengefasst vor, dass im Rahmen der Einschau die Ordner mit vermutetem privaten Inhalt des Beschwerdegegners weniger genau geprüft worden seien, als die Ordner mit Betriebs- und Geschäftsgeheimnissen der Beschwerdeführerin. Es sei klar dokumentiert, dass das ***filehosting ganz überwiegend dienstlichen Zwecken gedient habe und der Beschwerdegegner nur einen einzigen privaten Ordner auf dem ***filehosting habe. Ferner habe im Rahmen der Einschau festgestellt werden können, dass der Beschwerdegegner unter Verstoß gegen die Dienstanweisung vom 29. Jänner 2018 sowohl vor als auch nach seiner Entlassung am 23. Februar 2018 mehrfach eingestiegen sei. Hinzu komme, dass der Beschwerdegegner angegeben habe, dass manche Ordner nicht von ihm angelegt seien. Es stelle sich die Frage, ob der Beschwerdegegner weiteren Personen rechtswidriger Weise Zugang zu Betriebs- und Geschäftsgeheimnissen gewährt habe.
Der Datenbestand in dem ***filehosting habe sich seit dem 8. März 2018 verändert. Damals seien darin 1,25 GB an Daten enthalten gewesen, nunmehr 1,54 GB an Daten. Diese Änderungen seien nicht von der Beschwerdeführerin erfolgt, andernfalls die Beschwerdeführerin von ***filehosting keine Nachricht erhalten hätte, dass der Account zum 22. Oktober 2019 wegen Inaktivität geschlossen werde. Auffällig sei ferner, dass die Ordner, die mehrere Nutzer hätten, „aufgeräumter“ gewesen seien als jene, auf die nur der Beschwerdegegner Zugriff gehabt habe. Es seien auch viele Unterschiede in Bezug auf das tatsächliche Ergebnis der Einschau und den Behauptungen des Beschwerdegegners vorhanden. Es würden sich beträchtliche Widersprüche in den Aussagen des Beschwerdegegners vor der Datenschutzbehörde und vor dem ASG Wien zeigen. So habe er vor der Datenschutzbehörde behauptet, mehrmals in das ***filehosting eingestiegen zu sein, vor dem ASG Wien jedoch, dass er auf die Zugangsdaten des ***filehosting vergessen habe, weil er diese nur anlassbezogen einmal im Jahr nutze. Der Beschwerdegegner habe Betriebs- und Geschäftsgeheimnisse seines ehemaligen Arbeitgebers nach der Entlassung auf einen privaten Account transferieren wollen. Der Stellungnahme sind mehrere Dokumente (u.a. zwei Anlagen mit Unternehmensdaten sowie ein weiteres Protokoll der mündlichen Verhandlung vor dem ASG Wien zum Aktenzeichen *5 Cga *31/18h) beigelegt.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner die Beschwerdeführerin dadurch im Recht auf Geheimhaltung verletzt hat, indem dieser personenbezogene Daten der Beschwerdeführerin auf den ***filehosting-Account n***@a***consulting.com hochgeladen und sowohl vor als auch nach seiner Entlassung am 23. Februar 2018 auf diese Daten zugegriffen hat.
In diesem Zusammenhang ist auch zu klären, ob der Beschwerdegegner die im genannten ***filehosting-Account befindlichen personenbezogenen Daten der Beschwerdeführerin im Laufe des Dienstverhältnisses, aber auch nach der Entlassung am 23. Februar 2018 zweckfremd verwendet hat.
C. Sachverhaltsfeststellungen
1. Der Beschwerdegegner war etwa 13 Jahre lang bei der Beschwerdeführerin beschäftigt. Am 23. Februar 2018 kam es zur Entlassung des Beschwerdegegners durch die Beschwerdeführerin. Aufgrund dieser Entlassung ist derzeit ein Verfahren beim ASG Wien anhängig.
Der Beschwerdegegner hat im Laufe des aufrechten Beschäftigungsverhältnisses bei der Beschwerdeführerin einen kostenlosen ***filehosting-Basis-Account mit der Email-Adresse n***@a***consulting.com angelegt.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf der Eingabe der Beschwerdeführerin vom 21. Dezember 2018, auf der Stellungnahme des Beschwerdegegners vom 3. Februar 2019 sowie auf den Aussagen des Beschwerdegegners im Rahmen der mündlichen Verhandlung vom 7. Juni 2019 und sind insofern unstrittig.
2. Bei ***filehosting handelt es sich um einen Cloud-Webdienst, bei dem Dateien in einen Cloudspeicher hochgeladen werden können. Dieser Cloud-Webdienst wird von ***filehosting, LLC. angeboten. Mit den Zugangsdaten zu einem ***filehosting-Account ist es möglich, sich geräteunabhängig über die Webanwendung www.***filehosting.com anzumelden. Neben dem kostenlosen Basis-Account besteht u.a. auch die Möglichkeit, einen kostenpflichtigen ***filehosting-Business-Account anzulegen.
***filehosting ermöglicht es, mehrere Ordner und Unterordner anzulegen. Ferner wird es ermöglicht, mehreren Benutzern Zugriff auf diesen Ordner samt Inhalt zu erteilen („Ordnerfreigabe“). Im Rahmen eines ***filehosting-Accounts können somit unterschiedliche Ordner mit unterschiedlichen Zugriffsberechtigungen erstellt werden. Der Ersteller eines (freigegebenen) Ordners wird als Eigentümer bezeichnet. Der Eigentümer kann anderen Benutzern die Rolle eines Bearbeiters oder Betrachters geben. Als Bearbeiter besteht die Möglichkeit, Dateien im jeweiligen Ordner hinzuzufügen, zu bearbeiten und zu löschen. Als Betrachter besteht lediglich die Möglichkeit, Dateien im jeweiligen Ordner anzusehen und zu kommentieren.
***filehosting selbst nimmt grundsätzlich keinen Einfluss auf den Inhalt, den ein Benutzer hochlädt. In ganz bestimmten Fällen, etwa bei Verstößen gegen das Urheberrecht, behält sich ***filehosting laut den Nutzungsbedingungen jedoch das Recht vor, Inhalte zu löschen oder den ***filehosting-Account zu deaktivieren.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf einer amtswegigen Recherche unter https://www.***filehosting.com/ sowie auf amtsbekanntem Wissen.
3. Der Beschwerdegegner hat im Laufe des aufrechten Beschäftigungsverhältnisses sowohl seine privaten Dateien, als auch geschäftliche Dateien der Beschwerdeführerin in Ordner hochgeladen, auf die über den ***filehosting-Account n***@a***consulting.com zugegriffen werden kann.
Beweiswürdigung : Die getroffene Feststellung beruht auf den Ergebnissen der Einschau in den ***filehosting-Account n***@a***consulting.com, die seitens der Datenschutzbehörde in Anwesenheit des Vertreters der Beschwerdeführerin, Dr. Walter P*** und des Beschwerdegegners am 12. September 2019 durchgeführt wurde und ist insofern unstrittig.
4. Der ***filehosting-Account wird mit dem Namen „Gerhard N***“ als privater Account gelistet. Der Speicherplatz ist mit 1,54 GB von 2 GB belegt.
Im genannten ***filehosting-Account befinden sich folgende Ordner: Philipp K***, **TR, **TR-NewDevelopment, EigenePräsentationeninVorbereitung, Min***, Photos, Public, UE_**, ***Management-I***, ***PricingPolicy, Test, PL**, Audit und PL** Siedlung Ä***.
Im Ordner „Philipp K***“ sind keine Firmendaten der Beschwerdeführerin enthalten, sondern private Fotos und Videos des Beschwerdegegners. Der Ordner hat eine Größe von 1,31 GB.
Im Ordner „**TR“ befindet sich der Unterordner „***land“. Dieser wurde von Oskar V***, einem ehemaligen Arbeitnehmer der Beschwerdeführerin, erstellt. Es handelt sich um Dokumente zu einem Projekt der Beschwerdeführerin. Der Ordner ist für den Beschwerdegegner in der Rolle des Betrachters freigegeben.
Im Ordner „**TR-NewDevelopment“ ist ein Bericht der Beschwerdeführerin enthalten.
Der Ordner „EigenePräsentationeninVorbereitung“ ist leer.
Im Ordner „Min***“ sind zwei Unterordner enthalten. Der erste Unterordner ist nicht freigegeben und enthält Dokumente zu einem Projekt der Beschwerdeführerin. Der zweite Unterordner enthält Bilanzen und Jahresabschlüsse der Telefongesellschaft „***KOM“. Die Dokumente im zweiten Ordner wurden seitens der Beschwerdeführerin bereitgestellt.
Der Ordner „Photos“ ist leer.
Der Ordner „Public“ ist leer.
Im Ordner „UE_**“ befindet sich ein Unterordner „Technical Proposal“. Der Ordner ist für Alfons Z***, einen Mitarbeiter der Beschwerdeführerin, sowie für Dr. Walter P***, dem Vorstand der Beschwerdeführerin in der Rolle als Bearbeiter freigegeben.
Der Ordner „***Management-I***“ ist leer.
Im Ordner „***PricingPolicy“ sind etwa 20-25 Dokumente zu einem Projekt der Beschwerdeführerin enthalten. Es handelt sich um Reports für Kunden der Beschwerdeführerin, die der Beschwerdegegner als Arbeitnehmer erstellt hat. Das Änderungsdatum der Dateien ist mit dem Jahr 2013 gelistet.
Im Ordner „Test“ ist ein Dokument der Beschwerdeführerin enthalten. Es handelt sich um eine Präsentation zu Glasfasernetzen („***initiative“). Der Ordner ist nicht für andere Personen freigegeben.
Im Ordner „PL** Audit“ sind zwei Unterordner, „Ausschreibung Kanal“ und „Protokolle-Schreiben“ enthalten. Es handelt sich um Dokumente der Beschwerdeführerin. Der Ordner wurde von Oskar V*** als Eigentümer erstellt. Der Ordner wurde für den Beschwerdegegner, Theodor H*** und Udo St***, einem Geschäftspartner der Beschwerdeführerin, freigegeben.
Im Ordner „PL** Siedlung Ä***“ befindet sich der Unterordner „Planer“. Im Hinblick auf diesen Ordner sind mehrere Personen in der Rolle des Betrachters gelistet, u.a. der Beschwerdegegner und Dr. Walter P***.
Davon ausgehend ergibt sich folgende Ordnerstruktur:
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf den Ergebnissen der Einschau in den ***filehosting-Account n***@a***consulting.com, die seitens der Datenschutzbehörde in Anwesenheit des Vertreters der Beschwerdeführerin, Dr. Walter P***, und des Beschwerdegegners am 12. September 2019 durchgeführt wurde.
5. Der Beschwerdegegner hat in seiner Position als Projektbetreuer unter Verwendung von ***filehosting die geschäftlichen Dateien mit Kunden der Beschwerdeführerin geteilt.
Im Laufe des aufrechten Beschäftigungsverhältnisses hat der Beschwerdegegner die geschäftlichen Dateien der Beschwerdeführerin, die auf dem genannten ***filehosting-Account hochgeladen wurden, lediglich dazu verwendet, um diese mit Kunden der Beschwerdeführerin zu teilen.
Der Beschwerdegegner hat auf die geschäftlichen Dateien der Beschwerdeführerin nach seiner Entlassung am 23. Februar 2018 nicht zugegriffen und diese auch nicht aus dem genannten ***filehosting-Account heruntergeladen.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf den Aussagen des Vertreters der Beschwerdeführerin, Dr. Walter P***, sowie des Beschwerdegegners im Rahmen der mündlichen Verhandlung vom 7. Juni 2019 und auf den Ergebnissen der Einschau in den ***filehosting-Account n***@a***consulting.com vom 12. September 2019.
Festzuhalten ist zunächst, dass die Verwendung von ***filehosting im Unternehmen der Beschwerdeführerin (zumindest im beschwerdegegenständlichen Zeitraum) nicht unüblich war:
So führte Dr. Walter P*** im Rahmen seiner Befragung am 7. Juni 2019 aus, dass jedenfalls die Nutzung des ***filehosting-Accounts von Herrn H*** (ein Arbeitnehmer der Beschwerdeführerin) bekannt war. Auch im Rahmen der mündlichen Verhandlung vom 27. Februar 2019 vor dem ASG Wien zum Aktenzeichen *5 Cga *31/18h führte Dr. Walter P*** aus, dass Kunden geschäftliche Dateien im Wege eines Online-Dienstes zur Verfügung gestellt worden seien, sofern deren Email-Postfach keine ausreichende Speicherkapazität aufgewiesen habe. Darüber hinaus hat sich im Laufe der Einschau vom 12. September 2019 ergeben, dass auch weitere (ehemalige) Arbeitnehmer diverse ***filehosting-Ordner mit geschäftlichen Dateien der Beschwerdeführerin angelegt bzw. eine entsprechende Zugriffsberechtigung haben.
Davon ausgehend ist die Aussage des Beschwerdegegners im Rahmen seiner Befragung vom 7. Juni 2019, wonach der ***filehosting-Account genutzt worden sei, um geschäftliche Dateien mit Kunden der Beschwerdeführerin zu teilen, die aufgrund der Dateigröße nicht per Email verschickt werden konnten, glaubwürdig und schlüssig. Im Verlauf des gegenständlichen Verfahrens haben sich auch keine Anhaltspunkte ergeben, die darauf schließen lassen, dass der Beschwerdegegner die geschäftlichen Dateien, die im ***filehosting-Account hochgeladen wurden, bis zu seiner Entlassung zu anderen als zu beruflichen Zwecken verwendete. Auch seitens der Beschwerdeführerin wurden keine entsprechenden Anhaltspunkte (etwa, dass er die geschäftlichen Dateien an ein Konkurrenzunternehmen verkauft hätte, o.Ä.) ins Treffen geführt.
Im Hinblick auf den Zeitraum nach seiner Entlassung am 23. Februar 2018 bis zum 8. März 2018 hat der Beschwerdegegner im Rahmen der mündlichen Verhandlung am 7. Juni 2019 ausgeführt, dass dieser nach dem 23. Februar 2018 mehrmals in den gegenständlichen ***filehosting-Account eingestiegen sei, er jedoch keine geschäftlichen Dateien der Beschwerdeführerin heruntergeladen habe.
Die Datenschutzbehörde hatte im Rahmen der Befragung am 7. Juni 2019 nicht den Eindruck, dass der Beschwerdegegner daran interessiert war, geschäftliche Dateien aus dem ***filehosting-Account herunterzuladen; vielmehr wird sein Interesse den ebenso am ***filehosting-Account gespeicherten privaten Dateien (im Wesentlichen pornografischer Inhalt) gegolten haben, die er sich mit einem Bekannten aus seinem privaten Umfeld geteilt hat. Der Beschwerdegegner wirkte im Hinblick auf die Aussage, dass er nach seiner Entlassung keine geschäftlichen Dateien der Beschwerdeführerin heruntergeladen habe, darüber hinaus auch glaubwürdig.
Diese Feststellungen werden weiters durch die Ergebnisse der Einschau vom 12. September 2019 gestützt. So hat sich im Rahmen der Einschau vom 12. September 2019 etwa im Hinblick auf den Ordner „***PricingPolicy“ – der unstrittig geschäftliche Dateien der Beschwerdeführerin enthält – herausgestellt, dass das Änderungsdatum mit dem Jahr 2013 gelistet ist, auf diesen Ordner also offenbar längere Zeit (weder von Beschwerdegegner, noch sonstigen Zugriffsberechtigten) zugegriffen wurde.
Sofern die Beschwerdeführerin in diesem Zusammenhang mit Stellungnahme vom 17. Oktober 2019 vorbringt, dass sich die im ***filehosting-Account gespeicherte Datenmenge von 1,25 GB auf nunmehr 1,54 GB an Daten erhöht habe – und somit offenbar ins Treffen führen will, dass der Beschwerdegegner weiterhin selbst Zugriff habe oder Dritten Zugriff verschafft habe – ist ihr entgegenzuhalten, dass im Rahmen der Einschau festgestellt wurde, dass neben dem Beschwerdegegner auch weitere Personen (wie ehemalige Arbeitnehmer) Zugriffsberechtigungen auf Ordnern haben, die sich auch im gegenständlichen ***filehosting-Account befinden. Darüber hinaus befindet sich auch der private Ordner „Philipp K***“ im ***filehosting-Account, auf den ebenso weitere Personen Zugriffsberechtigungen haben und auf den die Erhöhung der Datenmenge ebenso rückgeführt werden könnte. Aufgrund des Umstands der erhöhten Datenmenge im gegenständlichen ***filehosting-Account kann daher nicht darauf geschlossen werden, dass der Beschwerdegegner geschäftliche Dateien der Beschwerdeführerin im Zeitraum nach seiner Entlassung heruntergeladen hat.
6. Die Beschwerdeführerin hat die Zulässigkeit der Nutzung von ***filehosting zum beschwerdegegenständlichen Zeitpunkt dienstrechtlich nicht geregelt. Die Nutzung von ***filehosting war der Beschwerdeführerin jedenfalls bei einem Arbeitnehmer, nämlich Herrn H***, bekannt.
Beweiswürdigung : Die getroffene Feststellung beruht auf den Aussagen der Beschwerdeführerin im Rahmen der mündlichen Verhandlung vom 7. Juni 2019.
7. Der Beschwerdegegner erhielt am 29. Jänner 2018 eine Dienstanweisung mit der Maßgabe, dass die Verwendung der Accounts der Beschwerdeführerin, des Laptops, der Diensttelefone sowie aller weiteren Arbeitsmittel für die nicht dienstliche Nutzung untersagt sei.
Beweiswürdigung : Die getroffene Feststellung beruht auf der Stellungnahme der Beschwerdeführerin vom 17. Oktober 2019 und auf der Dienstanweisung vom 29. Jänner 2018, die dem Akt als Kopie beiliegt (siehe dazu die Stellungnahme der Beschwerdeführerin vom 17. Oktober 2019, Beilage ./5).
8. Für die Email-Adresse n***@a***consulting.com war nach der Entlassung am 23. Februar 2018 eine Weiterleitungsfunktion eingerichtet, sodass Emails von Kunden, die der Beschwerdegegner betreut hatte, weiterhin von der Beschwerdeführerin bearbeitet werden konnten. Die Beschwerdeführerin hat am 8. März 2018 um 10:26 folgenden Hinweis von ***filehosting an die Email-Adresse n***@a***consulting.com erhalten (Auszug, Formatierung nicht 1:1 wiedergegeben):
„Hall Gerhard N***,
ein neues Gerät (Webbrowser) wurde soeben bei Ihrem Konto angemeldet. Aus Sicherheitsgründen würden wir gerne wissen, ob Sie das waren“.
Der Beschwerdegegner hat am 8. März 2018 um 22:21 versucht, das Kennwort des gegenständlichen ***filehosting-Accounts zu ändern. Die Beschwerdeführerin hat von diesem Versuch erfahren, da ***filehosting eine zweite Email an n***@a***consulting.com mit folgendem Hinweis verschickt hat (Auszug, Formatierung nicht 1:1 wiedergegeben):
„Jemand hat vor Kurzem die Änderung des Kennworts Ihres ***filehosting-Kontos angefordert. Wenn Sie das waren, können Sie hier ein neues Kennwort festlegen:“
Anlässlich der genannten Emails vom 8. März 2018 hat die Beschwerdeführerin das Kennwort des ***filehosting-Accounts n***@a***consulting.com geändert.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf den Aussagen des Vertreters der Beschwerdeführerin, Dr. Walter P***, und des Beschwerdegegners im Rahmen der mündlichen Verhandlung vom 7. Juni 2019 sowie auf den beiden Emails von ***filehosting vom 8. März 2018, die dem Akt als Kopien beiliegen (siehe dazu die Stellungnahmen der Beschwerdeführerin vom 28. Dezember 2018 und vom 3. Juli 2019).
D. In rechtlicher Hinsicht folgt daraus:
1. Zur Beschwerdelegitimation der Beschwerdeführerin
Wenngleich dies seitens des Beschwerdegegners nicht moniert wurde, ist zur Vollständigkeit zu bemerken, dass das im Verfassungsrang stehende Grundrecht auf Geheimhaltung nach § 1 Abs. 1 DSG unverändert „jedermann“ – und somit auch juristischen Personen – zusteht (vgl. Gamper in Gantschacher/Jelinek/Schmidl/Spanberger , Datenschutzgesetz 1 § 1 Rz 3).
Vor diesem Hintergrund ist eine juristische Person als betroffene Person iSd § 24 Abs. 1 DSG zu qualifizieren und steht es der Beschwerdeführerin (als Aktiengesellschaft) offen, eine Beschwerde wegen eines behaupteten Verstoßes gegen § 1 Abs. 1 DSG bei der Datenschutzbehörde einbringen
2. Zur Rechtzeitigkeit der Beschwerde
Der Beschwerdegegner bringt vor, dass der Anspruch auf Geltendmachung (gemeint: des Rechts auf Geheimhaltung) bereits verjährt sei. Dies deshalb, da im Rahmen des Arbeitsvertrags zwischen Beschwerdeführerin und Beschwerdegegner vereinbart worden sei, dass beiderseitige Ansprüche aus dem Arbeitsverhältnis und solche, die damit in Verbindung stehen, verfallen, wenn sie nicht innerhalb von drei Monaten nach Fälligkeit schriftlich gegenüber der anderen Partei erhoben werden.
Sofern die Beschwerdeführerin in diesem Zusammenhang jedoch ins Treffen führt, dass es sich gegenständlich um einen datenschutzrechtlichen Anspruch und nicht um einen Anspruch aus dem Arbeitsverhältnis handle, ist ihr nicht entgegenzutreten.
Abgesehen davon ist das Grundrecht auf Geheimhaltung keiner vertraglichen Disposition zugänglich und richten sich die Präklusionsfristen für die Geltendmachung eines behaupteten Verstoßes gegen § 1 Abs. 1 DSG ausschließlich nach den in § 24 Abs. 4 DSG normierten Vorgaben.
Im gegenständlichen Fall steht außer Frage, dass die Beschwerdeführerin die Beschwerde vom 28. Dezember 2018 innerhalb eines Jahres ab Kenntnis (Erhalt der „Warn-Email“ von ***filehosting am 8. März 2018) bei der Datenschutzbehörde eingebracht hat, weshalb sich die Beschwerde als rechtzeitig erweist.
3. Zur datenschutzrechtlichen Rollenverteilung
a) Allgemeines zum Begriff des Verantwortlichen
Die Festlegung der datenschutzrechtlichen Rollenverteilung ist für das Beschwerdeverfahren nach § 24 DSG bzw. Art. 77 Abs. 1 DSGVO von entscheidender Bedeutung, da bestimmt wird, wer für die Einhaltung der jeweiligen Datenschutzbestimmungen verantwortlich ist, wie die betroffene Person ihre Rechte ausüben kann und letztlich auch gegen wen (also welchen Verantwortlichen) die Datenschutzbeschwerde gerichtet werden muss (Beschwerdegegner).
Nach Art. 4 Z 7 DSGVO ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle Verantwortlicher für eine Verarbeitung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dabei ist das wesentliche Kriterium die Entscheidungskomponente. Die Rolle des Verantwortlichen ergibt sich somit in erster Linie aus dem Faktum, dass eine bestimmte Stelle entschieden hat, personenbezogene Daten für ihre eigenen Zwecke zu verarbeiten. Der „Zweck“ beschreibt dabei ein erwartetes Ergebnis, während die „Mittel“ die Art und Weise festlegen, wie das erwartete Ergebnis erreicht werden soll (vgl. Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 00264/10/DE, S 15 ff, noch in Bezug auf Art. 2 lit. d der Datenschutzrichtlinie 95/46/EG).
Nach Art 4 Z 8 DSGVO ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle Auftragsverarbeiter, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dabei ist das wesentliche Kriterium die Weisungsgebundenheit. Die Rolle des Auftragsverarbeiters ergibt sich somit in erster Linie aus dem Faktum, dass eine bestimmte Stelle entschieden hat, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten (vgl. Art. 29-Datenschutzgruppe, WP 169, 00264/10/DE, S 30 ff).
b) In der Sache
Einleitend ist darauf hinzuweisen, dass allfällige zivilrechtliche Ansprüche im Hinblick auf den ***filehosting-Account n***@a***consulting.com auf dem Zivilrechtsweg geltend zu machen sind.
Aus datenschutzrechtlicher Sicht – im Anwendungsbereich der DSGVO und des DSG – kann der ***filehosting-Account, also ein Speichermedium, keiner Partei im Sinne eines Besitzes oder Eigentums zugeordnet werden, vielmehr kann lediglich eine gewisse Rolle im Hinblick auf die auf dem Speichermedium enthaltenen personenbezogenen Daten bestehen und leiten sich aus dieser Rolle gewisse Pflichten (eines Verantwortlichen und Auftragsverarbeiters) und Rechte (etwa die Betroffenenrechte, aber auch das Recht des Verantwortlichen, personenbezogene Daten unter gewissen Voraussetzungen verarbeiten zu dürfen) ab.
Im gegenständlichen Fall kommen mit dem ***filehosting-Anbieter ***filehosting, LLC., der Beschwerdeführerin sowie dem Beschwerdegegner mehrere Verantwortliche in Frage.
c) ***filehosting, LLC.
Ausgehend vom Sachverhalt ist zunächst festzuhalten, dass ***filehosting, LLC. lediglich Speicherplatz als Hosting-Anbieter zur Verfügung stellt, der von Privatpersonen oder Unternehmen genutzt werden kann. ***filehosting, LLC nimmt – abgesehen von Fällen, in denen Verpflichtungen aufgrund anderer Rechtsvorschriften bestehen – wie etwa bei Verstößen gegen das Urheberrecht – keinen Einfluss darauf, welche Dateien (mit personenbezogenen Daten) hochgeladen und wie diese in weiterer Folge verwendet werden.
Unter Berücksichtigung der obigen Überlegungen ist ***filehosting, LLC somit als Auftragsverarbeiter für die im ***filehosting-Account gespeicherten personenbezogenen Daten zu qualifizieren.
Diese Qualifikation deckt sich auch mit den Ausführungen der Art. 29-Datenschutzgruppe, wonach ein Hosting-Anbieter, sofern er die personenbezogenen Daten nicht für eigene Zwecke weiterverarbeitet, nicht als Verantwortlicher zu sehen ist (vgl. Art. 29-Datenschutzgruppe, WP 169, 00264/10/DE, S 31).
d) Beschwerdeführerin
Ausgehend vom Sachverhalt hat der Beschwerdegegner den gegenständlichen ***filehosting-Account im Laufe des aufrechten Beschäftigungsverhältnisses angelegt und seine privaten Dateien sowie geschäftliche Dateien der Beschwerdeführerin in die ***filehosting hochgeladen. Weiters hat der Beschwerdegegner in seiner Position als Projektbetreuer unter Verwendung von ***filehosting die geschäftlichen Dateien jedenfalls auch mit Kunden der Beschwerdeführerin geteilt.
Im Hinblick auf die Verwendung von ***filehosting und den geschäftlichen Dateien samt darin enthaltenen personenbezogenen Daten ist auszuführen, dass das Verhalten des Beschwerdegegners als Mitarbeiter der Beschwerdeführerin auch dieser zuzurechnen ist (vgl. Art. 29-Datenschutzgruppe, WP 169, 00264/10/DE, S 21, wonach die Verarbeitung durch eine natürliche Person, die für ein Unternehmen arbeitet und die Daten innerhalb der Tätigkeit des Unternehmens nutzt, dem Unternehmen als verantwortliche Stelle zugerechnet wird).
Unter Berücksichtigung der obigen Überlegungen ist die Beschwerdeführerin daher als Verantwortliche für die im ***filehosting-Account gespeicherten geschäftlichen Dateien , in denen personenbezogene Daten enthalten sind, zu qualifizieren.
Im Hinblick auf die Verwendung von ***filehosting und den personenbezogenen Daten des Beschwerdegegners (den privaten Dateien im Ordner „Philipp K***“) ist festzuhalten, dass sich diese Daten auf einem Speichermedium (Ordner in einem ***filehosting-Account) befinden, zu dem zum gegenständlichen Zeitpunkt nur die Beschwerdeführerin und nicht der Beschwerdegegner Zugriff hat.
Wie die Beschwerdeführerin selbst vorbringt war die geschäftliche Nutzung von ***filehosting als Hosting-Anbieter zum damaligen Zeitpunkt nicht geregelt, jedoch zumindest vereinzelt bekannt und somit jedenfalls geduldet. Davon ausgehend ist die Datenschutzbehörde der Ansicht, dass die Beschwerdeführerin ausreichend Einfluss auf die Mittel der Verarbeitung personenbezogener Daten genommen hat.
In diesem Zusammenhang ist auf die Fürsorgepflicht eines Arbeitgebers hinzuweisen, die nach stRsp des OGH nachwirkt, sodass der Arbeitgeber auch nach Auflösung des Dienstverhältnisses dafür Sorge zu tragen hat, dass dem Arbeitnehmer keine Nachteile entstehen (vgl. RIS-Justiz RS0021412).
Im vorliegenden Fall bewahrt die Beschwerdeführerin die Daten für den Beschwerdegegner auf, der diese nach dem Ausscheiden aus dem Unternehmen der Beschwerdeführerin nicht gesichert bzw. gelöscht hat und verwendet diese nicht anderweitig. Davon ausgehend ist die DSB der Ansicht, dass die Beschwerdeführerin auch ausreichend Einfluss auf die nunmehrigen Zwecke der Verarbeitung personenbezogener Daten genommen hat.
Unter Berücksichtigung der obigen Überlegungen ist die Beschwerdeführerin zum gegenständlichen Zeitpunkt auch als Verantwortliche der personenbezogenen Daten des Beschwerdegegners (der privaten Dateien im Ordner „Philipp K***“) zu qualifizieren.
4. Zum Recht auf Geheimhaltung
Zunächst ist zu bemerken, dass Informationen nur dann als Geschäftsgeheimnis zu qualifizieren sind, wenn die Voraussetzungen von § 26b UWG erfüllt sind, diese Informationen im Wesentlichen also nicht allgemein bekannt oder ohne weiteres zugänglich sein dürfen und seitens des Verfügungsberechtigten entsprechende Geheimhaltungsmaßnahmen getroffen worden sind (vgl. Art. 2 Z 1 der Richtlinie (EU) 2016/943).
Auf die – nach Ansicht der Beteiligten unterschiedlich zu beantwortende – Frage, ob es sich bei den geschäftlichen Dateien der Beschwerdeführerin, die sich im ***filehosting-Ordner befinden, um Geschäftsgeheimnisse handelt, ist gegenständlich nicht näher einzugehen:
Anders als der Schutzbereich nach den §§ 26a ff UWG sind personenbezogene Daten nach § 1 Abs. 1 DSG auch dann geschützt, wenn seitens des Verfügungsberechtigten (hier: der betroffenen Person) keine entsprechenden Geheimhaltungsmaßnahmen im Hinblick auf den Umgang mit Daten getroffen wurden.
Voraussetzung für den Schutzbereich nach § 1 Abs. 1 DSG ist lediglich, dass ein schutzwürdiges Interesse an Geheimhaltung besteht, wobei ein solches dann ausgeschlossen ist, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf die betroffene Person einem Geheimhaltungsanspruch nicht zugänglich sind.
Das diesbezügliche Vorbringen des Beschwerdegegners, wonach es sich bei den geschäftlichen Dateien primär um Geschäftsberichte handle, die ohnedies öffentlich zugänglich sind, kann wiederum dahingestellt bleiben:
Nach der nunmehrigen Rsp ist nämlich davon auszugehen, dass § 1 Abs. 1 DSG im Lichte der unionsrechtlichen Vorgaben (Art. 8 EU-GRC) einschränkend zu interpretieren ist, sodass allgemein verfügbare Daten nicht ipso facto vom Geltungsbereich datenschutzrechtlicher Vorschriften ausgenommen sind (vgl. den Bescheid der DSB vom 4. September 2019, GZ DSB D124.482/0005 DSB/2019).
Im Hinblick auf die Rückführbarkeit der geschäftlichen Dateien zur Beschwerdeführerin ist festzuhalten, dass es sich, wie festgestellt, um Daten handelt, die die Beschwerdeführerin zur Abwicklung von Projekten mit ihren Kunden erstellt hat, weshalb diese unmittelbar mit der Beschwerdeführerin in Verbindung stehen und es sich daher um ihre personenbezogenen Daten handelt (vgl. das Urteil des vom EuGH 20. Dezember 2017, C‑434/16 [ Nowak ] Rn 34, wonach dem Begriff „personenbezogene Daten“ ein weites Verständnis zugrunde liegt, wobei diese Feststellung auf personenbezogene Daten einer juristischen Person umgelegt werden kann).
In Bezug auf den Schutzbereich des Rechts auf Geheimhaltung ist festzuhalten, dass dieses einen Schutz vor Übermittlung und Preisgabe sowie einen Ermittlungsschutz von personenbezogenen Daten umfasst (vgl. Jahnel , Handbuch Datenschutzrecht [2010] Rz 2/15).
5. In der Sache
Ausgehend von der Rollenverteilung ergibt sich, dass die Beschwerdeführerin für die auf dem ***filehosting-Account befindlichen geschäftlichen Dateien zu jedem Zeitpunkt als Verantwortlicher iSd Art. 4 Z 7 DSGVO zu qualifizieren ist und der Upload sowie die weitere Verwendung dieser geschäftlichen Dateien dieser selbst zuzurechnen ist. Die Nutzung eines ***filehosting-Accounts war – jedenfalls im beschwerdegegenständlichen Zeitraum – darüber hinaus zumindest geduldet.
Eine Verletzung im Recht auf Geheimhaltung kann im Zeitraum des aufrechten Beschäftigungsverhältnisses zwischen Beschwerdeführerin und Beschwerdegegner daher bereits aus diesem Grunde nicht vorliegen.
Der Umstand, dass dem Beschwerdegegner mit Dienstanweisung vom 29. Jänner 2018 die Verwendung der Accounts der Beschwerdeführerin für nicht dienstliche Zwecke untersagt wurde, er jedoch weiterhin neben geschäftlichen Dateien auch private Dateien im ***filehosting-Account gespeichert hat, vermag ebenfalls keine Verletzung im Recht auf Geheimhaltung zu begründen, da es durch die fortwährende Speicherung seiner privaten Dateien zu keiner Übermittlung oder Preisgabe der geschäftlichen Dateien der Beschwerdeführerin an unbefugte Dritte gekommen ist.
Auch der Umstand, dass der Beschwerdegegner am 8. März 2019 versucht hat, das Passwort zum gegenständlichen ***filehosting-Account zu ändern, ist für eine Verletzung im Recht auf Geheimhaltung nicht ausreichend, da es beim bloßen Versuch geblieben ist und sich auch diesfalls keine Verletzung in Form einer Übermittlung oder Preisgabe an unbefugte Dritte manifestiert hat (vgl. den Bescheid der Datenschutzbehörde vom 13. September 2018, GZ: DSB-D123.070/0005-DSB/2018, wonach eine Verletzung des Grundrechts auf Geheimhaltung nur ex post betrachtet festgestellt werden kann und möglicherweise eintretende Verletzungen nicht aufgegriffen werden können).
Im Hinblick auf das Vorbringen der Beschwerdeführerin, wonach sich die Frage stelle, ob der Beschwerdegegner weiteren Personen rechtswidrig Zugang zu Betriebs- und Geschäftsgeheimnissen gewährt habe, ist auf die Rsp des Verwaltungsgerichtshofes hinzuweisen, wonach ein allgemeines Vorbringen, das aus bloßen Mutmaßungen besteht, auf einen unzulässigen Erkundungsbeweis hinausläuft, zu dessen Aufnahme eine Behörde nicht verpflichtet ist (vgl. das Erkenntnis des VwGH vom 3. Jänner 2018, Ra 2017/11/0207 Rs. 3).
Abgesehen davon liegen dafür auch keine Anhaltspunkte vor, zumal sich im Rahmen der Einschau, wie festgestellt, auch ergeben hat, dass lediglich (ehemalige) Arbeitnehmer der Beschwerdeführerin auf Ordner Zugriff haben, in denen sich geschäftliche Dateien befinden.
Schließlich hat der Beschwerdegegner die geschäftlichen Dateien der Beschwerdeführerin, wie festgestellt, zu keinem Zeitpunkt zweckwidrig – also „außerhalb des Tätigkeitsbereichs“ der Beschwerdeführerin – verwendet.
An dieser Stelle wird nicht übersehen, dass der Beschwerdegegner nach seiner Entlassung am 23. Februar 2018 nach eigenen Angaben mehrmals auf den gegenständlichen ***filehosting-Account zugegriffen hat.
Allerdings wird nach Ansicht der Datenschutzbehörde auch dadurch keine Verletzung im Recht auf Geheimhaltung begründet, da der Beschwerdegegner, wie festgestellt, nicht auf die geschäftlichen Dateien zugegriffen oder diese heruntergeladen hat, sondern sein Interesse den auf dem ***filehosting-Account ebenso befindlichen privaten Dateien gewidmet war. Somit ist es auch diesfalls zu keiner Übermittlung oder Preisgabe der geschäftlichen Dateien der Beschwerdeführerin an unbefugte Dritte gekommen.
Im Hinblick auf die sich am ***filehosting-Account befindlichen privaten Dateien (Ordner „Philipp K***“) ist festzuhalten, dass die Beschwerdeführerin für diese zwar, wie bereits oben ausgeführt, als datenschutzrechtlicher Verantwortlicher iSd Art. 4 Z 7 DSGVO zu qualifizieren ist. Da es sich diesfalls jedoch ausschließlich um private Dateien des Beschwerdegegners handelt, vermag ein allfälliger Zugriff auf diese privaten Dateien durch den Beschwerdegegner keine Verletzung im Recht auf Geheimhaltung der Beschwerdeführerin zu begründen, weil es sich dabei um keine Daten mit Bezug zur Beschwerdeführerin handelt.
6. Ergebnis
Im Ergebnis ist festzuhalten, dass es zu keinem Zeitpunkt zu einer Übermittlung oder Preisgabe der geschäftlichen Dateien der Beschwerdeführerin an unbefugte Dritte und auch zu keiner unzulässigen Ermittlung dieser Daten durch den Beschwerdegegner gekommen ist.
Eine Verletzung im Recht auf Geheimhaltung liegt somit nicht vor, weshalb spruchgemäß zu entscheiden war.