2023-0.273.912 – Datenschutzbehörde Entscheidung
Text
GZ: 2023-0.273.912 vom 6. Oktober 2023 (Verfahrenszahl: DSB-D124.5337)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von 1) Dr. Erich A*** (Erstbeschwerdeführer) und 2) der B***labor GmbH (Zweitbeschwerdeführerin), beide vertreten durch U*** Rechtsanwalts GmbH, vom 26. November 2021 gegen 1) die M*** Verlagsgesellschaft m.b.H. (Erstbeschwerdegegnerin), vertreten durch P*** Rechtsanwälte KG, und 2) das N*** Rundfunkunternehmen (Zweitbeschwerdegegner), vertreten durch L*** Rechtsanwälte GmbH, wegen Verletzung 1) im Recht auf Löschung, 2) im Recht auf Auskunft und 3) im Recht auf Geheimhaltung wie folgt:
I. Die Beschwerde der Zweitbeschwerdeführerin gegen die Beschwerdegegner wegen einer Verletzung im Recht auf Löschung wird abgewiesen .
II. Der Beschwerde des Erstbeschwerdeführers gegen die Erstbeschwerdegegnerin wegen einer Verletzung im Recht auf Auskunft wird teilweise stattgegeben und es wird festgestellt , dass die Erstbeschwerdegegnerin den Erstbeschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie keine Auskünfte über folgende Information der verarbeiteten personenbezogenen Daten des Erstbeschwerdeführers erteilt hat:
a. konkret verarbeiteten (Stamm-)Daten (Art. 15 Abs. 1 zweiter Satz DSGVO);
b. über die Zwecke der Datenverarbeitung (Art. 15 Abs. 1 lit. a DSGVO);
c. über die Kategorien personenbezogener Daten, die verarbeitet werden (Art. 15 Abs. 1 lit. b DSGVO);
d. Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO);
e. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 15 Abs. 1 lit. d DSGVO).
III. Der Erstbeschwerdegegnerin wird aufgetragen , innerhalb einer Frist von vier Wochen bei sonstiger Exekution dem Erstbeschwerdeführer folgende Informationen zu beauskunften:
a. konkret verarbeiteten (Stamm-)Daten (Art. 15 Abs. 1 zweiter Satz DSGVO);
b. über die Zwecke der Datenverarbeitung (Art. 15 Abs. 1 lit. a DSGVO);
c. über die Kategorien personenbezogener Daten, die verarbeitet werden (Art. 15 Abs. 1 lit. b DSGVO);
d. Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO);
e. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 15 Abs. 1 lit. d DSGVO).
IV. Der Beschwerde der Zweitbeschwerdeführerin gegen die Erstbeschwerdegegnerin wegen einer Verletzung im Recht auf Auskunft wird stattgegeben und es wird festgestellt , dass die Erstbeschwerdegegnerin die Zweitbeschwerdeführerin dadurch in ihrem Recht auf Auskunft verletzt hat, indem sie auf deren diesbezüglichen Antrag nicht reagiert hat.
V. Der Erstbeschwerdegegnerin wird aufgetragen , innerhalb einer Frist von vier Wochen bei sonstiger Exekution ihrer Reaktionsverpflichtung gegenüber der Zweitbeschwerdeführerin gemäß Art. 12 Abs. 3, Art. 15 Abs. 1 DSGVO iVm § 1 Abs. 3 Z 1 DSG nachzukommen.
VI. Der Beschwerde des Erstbeschwerdeführers gegen den Zweitbeschwerdegegner wegen einer Verletzung im Recht auf Auskunft wird teilweise stattgegeben und es wird festgestellt , dass der Zweitbeschwerdegegner den Erstbeschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem er keine Auskünfte über folgende Information der verarbeiteten personenbezogenen Daten des Erstbeschwerdeführers erteilt hat:
a. konkret verarbeiteten (Stamm-)Daten (Art. 15 Abs. 1 zweiter Satz DSGVO);
b. über die Zwecke der Datenverarbeitung (Art. 15 Abs. 1 lit. a DSGVO);
c. über die Kategorien personenbezogener Daten, die verarbeitet werden (Art. 15 Abs. 1 lit. b DSGVO);
d. Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO);
e. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 15 Abs. 1 lit. d DSGVO).
VII. Dem Zweitbeschwerdegegner wird aufgetragen , innerhalb einer Frist von vier Wochen dem Erstbeschwerdeführer folgende Informationen zu beauskunften:
a. konkret verarbeiteten (Stamm-)Daten (Art. 15 Abs. 1 zweiter Satz DSGVO);
b. über die Zwecke der Datenverarbeitung (Art. 15 Abs. 1 lit. a DSGVO);
c. über die Kategorien personenbezogener Daten, die verarbeitet werden (Art. 15 Abs. 1 lit. b DSGVO);
d. Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO);
e. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 15 Abs. 1 lit. d DSGVO).
VIII. Der Beschwerde der Zweitbeschwerdeführerin gegen den Zweitbeschwerdegegner wegen einer Verletzung im Recht auf Auskunft wird teilweise stattgegeben und es wird festgestellt , dass der Zweitbeschwerdegegner die Zweitbeschwerdeführerin dadurch in ihrem Recht auf Auskunft verletzt hat, indem er keine Auskünfte über folgende Information der verarbeiteten personenbezogenen Daten der Zweitbeschwerdeführers erteilt hat:
a. Auskunft über die konkret verarbeiteten (Stamm-)Daten (§ 1 Abs. 3 Z 1 DSG iVm Art. 15 Abs. 1 DSGVO)
b. Auskunft über die Zwecke der Datenverarbeitung (§ 1 Abs. 3 Z 1 DSG iVm Art. 15 Abs. 1 lit. a DSGVO)
c. Empfänger oder Kategorien von Empfängern (§ 1 Abs. 3 Z 1 DSG iVm Art. 15 Abs. 1 lit. c DSGVO).
IX. Dem Zweitbeschwerdegegner wird aufgetragen , innerhalb einer Frist von vier Wochen der Zweitbeschwerdeführerin folgende Informationen zu beauskunften:
d. Auskunft über die konkret verarbeiteten (Stamm-)Daten (§ 1 Abs. 3 Z 1 DSG iVm Art. 15 Abs. 1 DSGVO)
e. Auskunft über die Zwecke der Datenverarbeitung (§ 1 Abs. 3 Z 1 DSG iVm Art. 15 Abs. 1 lit. a DSGVO)
f. Empfänger oder Kategorien von Empfängern (§ 1 Abs. 3 Z 1 DSG iVm Art. 15 Abs. 1 lit. c DSGVO).
X. Die Beschwerde der Zweitbeschwerdeführerin gegen die Erstbeschwerdegegnerin wegen einer behaupteten Verletzung im Recht auf Geheimhaltung wird als unbegründet abgewiesen .
Rechtsgrundlagen : Art. 4, Art. 12, Art. 15, Art. 17, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 4, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 31 Bundesgesetz vom 12. Juni 1981 über die Presse und andere publizistische Medien (Mediengesetz – MedienG), BGBl. Nr. 314/1981 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit verfahrenseinleitender Eingabe vom 26. November 2021 erhoben die Beschwerdeführer , vertreten durch U*** Rechtsanwalts GmbH, aufgrund behaupteter Verletzungen in den Rechten auf Auskunft und Geheimhaltung durch die Beschwerdegegner Beschwerde. Die Zweitbeschwerdeführerin behauptete durch die Beschwerdegegner überdies Verletzungen in ihrem Recht auf Löschung. Der Erstbeschwerdeführer sei Arzt und Alleingeschäftsführer der B*** Pharma GmbH, welche wiederum Alleingesellschafterin der Zweitbeschwerdeführerin sei. Die Zweitbeschwerdeführerin sei ein als Gesellschaft mit beschränkter Haftung eingetragenes Unternehmen mit Sitz in R*** [= Name eines Bundeslands]. Ihre Geschäftstätigkeit beziehe sich auf den Betrieb von Analysestationen und Durchführung von diagnostischen Testverfahren, insbesondere im Zusammenhang mit PCR-Tests.
Die Beschwerdegegnerinnen seien in Österreich jeweils bekannte und einflussreiche Medienhäuser und besorgen die inhaltliche Gestaltung, Herstellung und Verbreitung verschiedener Medien. Es handle sich jeweils um Medienunternehmen nach dem Mediengesetz. Die Beschwerdegegner betreiben seit Juni 2021 eine „Recherchegemeinschaft“ gegen die Beschwerdeführer und versuchen sich als „Aufdecker“.
Um den 1*. August 2021 sei es zu einer Kompromittierung eines der Zweitbeschwerdeführerin zuzurechnenden E-Mail-Postfachs, das in der Verfügungsmacht des Erstbeschwerdeführers stehe, gekommen. Dieses Postfach habe unter anderem ein E-Mail mit Informationen, die einem Back-Up zugeführt werden sollten, enthalten. Als Folge der Kompromittierung des E-Mail-Postfachs sei es zu einer von den Beschwerdeführern nicht zu verantwortenden Offenlegung einer Nachricht an die Beschwerdegegner gekommen. Hierüber haben die Beschwerdegegner am 1. September 2021 in den Online-Ausgaben ihrer Medien berichtet.
Als Reaktion auf die Medienberichterstattung der Beschwerdegegner habe der Erstbeschwerdeführer den Beschwerdegegnern jeweils am 10. September 2021 ein Auskunftsersuchen übermittelt. Während die Erstbeschwerdegegnerin überhaupt nicht auf das Auskunftsersuchen reagiert habe, habe der Zweitbeschwerdegegner am 11. Oktober 2021 eine unvollständige Auskunft erteilt. Die erteilte Auskunft hätte zumindest auch jene personenbezogenen Daten enthalten müssen, die mit der Berichterstattung über die Kompromittierung des erwähnten Postfachs der Zweitbeschwerdeführerin in Zusammenhang stehen.
Die Zweitbeschwerdeführerin habe den Beschwerdegegnern jeweils am 9. September 2021 ein Auskunftsersuchen übermittelt. Dieses sei nur vom Zweitbeschwerdegegner beantwortet worden. Der Zweitbeschwerdegegner habe das Auskunftsbegehren mit Verweis auf das Medienprivileg abgelehnt. Die Beschwerdegegner haben aber bereits vor mehr als einem Monat über die Kompromittierung eines E-Mail-Postfachs im Einflussbereich der Zweitbeschwerdeführerin berichtet. Der Zweck der Presseberichterstattung sei somit offenkundig erreicht. Zum Zeitpunkt des Auskunftsverlangens an den Zweitbeschwerdegegner diene die Verarbeitung der Informationen der Zweitbeschwerdeführerin im Zusammenhang mit der oben genannten Berichterstattung daher ausschließlich der unzulässigen Vorratsdatenspeicherung.
Die Zweitbeschwerdeführerin habe von den Beschwerdegegnern jeweils am 2. September 2021 die Löschung der „ Nachricht “ verlangt. Beide Beschwerdegegner haben das Löschbegehren abgelehnt und dies nahezu gleichlautend mit der pauschalen Anwendung des Medienprivilegs begründet.
Zudem sei der Zweitbeschwerdegegner von der Erstbeschwerdegegnerin sowohl über den Umstand der Löschaufforderung an diese, als auch über den Inhalt der Antwort an die Zweitbeschwerdeführerin informiert worden. Die Erstbeschwerdegegnerin habe die Zweitbeschwerdeführerin deshalb auch in ihrem Recht auf Geheimhaltung verletzt. Der Beschwerde beigelegt waren ua. ein Firmenbuchauszug, Medienberichterstattungen der Beschwerdegegner, Schreiben der Beschwerdeführer und allfällige Antworten der Beschwerdegegner.
2. Die Datenschutzbehörde wies die Beschwerde mit Bescheid vom 10. Dezember 2021 , GZ: D124.5337; 2021-0.835.273, zunächst mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs. 1 DSG zurück.
3. Mit Schreiben vom 7. Jänner 2022 , erhoben die Beschwerdeführer , vertreten durch U*** Rechtsanwalts GmbH, Beschwerde gemäß Art. 130 Abs. 1 Z 1 B-VG an das Bundesverwaltungsgericht.
4. Mit Beschluss vom 3. November 2022 , GZ W214 2250949-1/10Z, beantragte das Bundesverwaltungsgericht § 9 Abs. 1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I Nr. 165/199, idF BGBl. I Nr. 24/2018 als verfassungswidrig aufzuheben.
5. Mit Erkenntnis des Verfassungsgerichtshofs vom 14. Dezember 2022 , GZ G 288/2022, wurde § 9 Abs. 1 DSG des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I Nr. 165/1999, idF BGBl. I Nr. 24/2018 wegen Verfassungswidrigkeit aufgehoben.
6. Mit Erkenntnis des Bundesverwaltungsgerichts vom 17. Jänner 2023 wurde der Bescheid der Datenschutzbehörde vom 10. Dezember 2021, GZ D124.5337; 2021-0.835.273, ersatzlos behoben und der Datenschutzbehörde die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufgetragen.
7. Mit Stellungnahme vom 3. März 2023 führte der Zweitbeschwerdegegner , vertreten durch die L*** Rechtsanwälte GmbH, im Wesentlichen wie folgt aus:
Die Zweitbeschwerdeführerin habe ihr E-Mail-Postfach in die „Verfügungsmacht“ des Erstbeschwerdeführers übertragen. Dieses E-Mail-Postfach sei kompromittiert worden und es sei infolgedessen zu einer Offenlegung einer Nachricht gekommen. Dies stelle zunächst die Frage in den Raum, um welchen (Rechts)Akt es sich handle, wenn ein Verantwortlicher sein E-Mail-Postfach in die „Verfügungsmacht“ eines anderen Verantwortlichen stelle und worin die rechtliche Zulässigkeit dieses Akts gelegen sein solle, wenn es zu einer Kompromittierung dieses E-Mail-Postfaches und infolgedessen zu einer Offenlegung von Nachrichten aus diesem Postfach komme. Vor allem aber stelle es im auskunftsgegenständlichen Zusammenhang die Frage in den Raum, wieso es sich bei den in Rede stehenden Daten um personenbezogenen Daten des Erstbeschwerdeführers oder der Zweitbeschwerdeführerin handeln solle.
In der Sache scheine die Beschwerde darauf abzuzielen, dass dem Auskunftsrecht vermeintlich deshalb nicht Genüge getan worden sei, weil der Zweitbeschwerdegegner jene Daten nicht beauskunftet habe, die den Gegenstand seiner Berichterstattung vom 1. September 2021 bilde. Damit entblättert sich der Beschwerdevorwurf dahingehend, dass die Beschwerdeführer die Nichtauskunft über berichtsgegenständliche Corona-Testdaten und die getesteten Personen monieren. Dabei handle es sich in der Tat um personenbezogene Daten, nicht aber um solche des Erstbeschwerdeführers oder der Zweitbeschwerdeführerin, sondern um jene der getesteten Personen. Eine Auskunftserteilung dieser Daten an den Erstbeschwerdeführer oder an die Zweitbeschwerdeführerin wäre daher nur dann anzudenken, wenn sie von den getesteten Personen entsprechend bevollmächtigt worden wären. Eine solche Bevollmächtigung sei aber von den Beschwerdeführern zu keinem Zeitpunkt behauptet, noch belegt worden und es sei auch zu bezweifeln, dass eine solche Bevollmächtigung tatsächlich bestehe. Schon aus diesem Grund laufe das Begehren der Beschwerdeführer ins Leere.
In stringenter Betrachtung dessen verbleiben die Verkehrsdaten der Nachricht selbst als gegenüber den Beschwerdeführern potentiell auskunftsfähige Daten. Für eine Auskunftserteilung müssten die Beschwerdeführer aber zunächst jenen Akt aufdröseln, mit welchem der eine dem anderen sein E-Mail-Postfach in die „Verfügungsmacht“ gestellt habe, denn nur dann könne der Zweitbeschwerdegegner infolge dieses Aktes den Verkehrsdaten einen rechtsvertretbaren Personenbezug allenfalls zuerkennen.
Ungeachtet dessen ergebe sich in Interpretation des Beschwerdevorbringens ohnedies, dass es den Beschwerdeführern eher um die Beauskunftung der Datenherkunft als um die Beauskunftung der Daten selbst gehe.
Art. 15 Abs. 4 DSGVO bestimme, dass das Recht auf Erhalt einer Kopie die Rechte und Freiheiten Dritter nicht beeinträchtigen dürfe. Es liege somit auf der Hand, dass der Schutz des Redaktionsgeheimnisses im Gewand des Art. 15 Abs. 4 DSGVO zu prüfen sei. Im vorliegenden Fall sei daher das Interesse des Zweitbeschwerdegegners mit dem Interesse der Öffentlichkeit an der Wahrung der Freiheit der Meinungsäußerung gemäß Art. 10 EMRK bzw. Art. 11 EU-GRC gegenüber dem Auskunftsinteresse der Beschwerdeführer abzuwägen.
Aus all den genannten Gründen sei dem Auskunftsbegehren der Beschwerdeführer nicht näher zu treten. Die gewünschte Auskunft sei nicht zu erteilen, die beantragte Feststellung habe nicht zu erfolgen.
Eine vermeintliche Verletzung ihres Rechts auf Löschung reklamiere nur die Zweitbeschwerdeführerin. Gemäß Art. 17 Abs. 3 lit. e DSGVO sei der Verantwortliche dann nicht zur Löschung verpflichtet, wenn die Verarbeitung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sei. Es sei eine notorische Tatsache, dass Medienberichterstattung zu medienrechtlichen Verfahren führen könne, in welchen die Daten der Berichterstattung ein notwendiges Beweismittel bilden könne. Den Beweismittelcharakter der Daten zeige nicht zuletzt die Zweitbeschwerdeführerin selbst auf. Denn in ihrer eigenen Beschwerde begründe sie ihr Feststellungsinteresse mit Blick auf ihre zukünftige verwaltungsrechtliche und zivilrechtliche Rechtsverfolgung. Ungeachtet der Notwendigkeit der Datenaufbewahrung zu Beweiszwecken stehe es der Zweitbeschwerdeführerin nicht zu, zu bestimmen, wann der journalistische Verarbeitungszweck ende. Es würde jede journalistische Recherche und jeden Investigativ-Journalismus verunmöglichen, wenn ein Dritter bestimmen könne, wann der journalistische Zweck erfüllt sei und damit die dem Bericht zugrundeliegenden Daten zu löschen seien. Somit sei dem Löschbegehren der Zweitbeschwerdeführerin sowohl in Betrachtung des Art. 17 Abs. 3 lit. a DSGVO, wie auch in Betrachtung des Art. 17 Abs. 3 lit. e DSGVO nicht nachzukommen. Zudem vertrete die DSB die Ansicht, dass das unter Art. 17 DSGVO normierte Löschrecht einer juristischen Person schon dem Grunde nach nicht komme (DSB D123.089/0002 DSB/2018), sodass dem Begehren der Zweitbeschwerdeführerin auch in dieser Betrachtung nicht zu folgen sei.
8. Mit Schreiben vom 6. März 2023 brachte die Erstbeschwerdegegnerin , vertreten durch P*** Rechtsanwälte KG, zusammengefasst wie folgt vor:
Festzuhalten sei, dass die verfahrensgegenständliche E-Mail der Erstbeschwerdegegnerin im Hinblick auf ihre Eigenschaft als Medienunternehmen von einer Person bewusst zugänglich gemacht worden sei.
Die vom Erstbeschwerdeführer geltend gemachten Ansprüche stehen allesamt nicht zu, weil das Recht auf Auskunft durch das Redaktionsgeheimnis ausgeschlossen sei. Auch ohne Anwendung des § 9 Abs. 1 DSG widerspreche das Recht auf Auskunft dem Grundrecht auf Meinungs- und Kommunikationsfreiheit und sei daher nach Art. 15 Abs. 4 DSGVO i.V.m. Art. 11 GRC ausgeschlossen. Zudem habe die Erstbeschwerdegegnerin den Erstbeschwerdeführer bereits eine vollständige Auskunft nach Art. 15 DSGVO erteilt, soweit ihm ein Auskunftsrecht zukomme.
Die von der Zweitbeschwerdeführerin geltend gemachten Ansprüche stehen allesamt nicht zu, weil das Grundrecht auf Datenschutz nach § 1 DSG nicht zwischen Privaten gelte, die DSB für Beschwerden juristischer Personen sowohl nach dem Wortlaut des DSG als auch unter Berücksichtigung grundrechtlicher Erwägungen nicht zuständig sei und keine durchsetzbaren Rechte auf Auskunft oder Löschung für juristische Personen bestehen, weil § 1 Abs. 3 DSG unter einen Ausführungsvorbehalt stehe. Es liegen jedenfalls Auskunftsverweigerungsrechte zur Wahrung des grundrechtlich geschützten Redaktionsgeheimnisses vor. Überdies stehe jedenfalls kein Löschungsrecht zu, weil die Datenverarbeitung zulässig und das Recht auf Geheimhaltung gewahrt worden sei, weil die erfolgte Abstimmung im Rahmen der Recherchegemeinschaft mit dem Zweitbeschwerdegegner rechtmäßig gewesen sei.
Der Stellungnahme beigelegt war ein Firmenbuchauszug, ein Screenshot des Medienberichts der Erstbeschwerdegegnerin und ein E-Mail der Erstbeschwerdegegnerin an den Erstbeschwerdeführer vom 15. April 2022.
9. Mit Schreiben vom 6. April 2023 , replizierten die Beschwerdeführer , vertreten durch U*** Rechtsanwälte GmbH, im Wesentlichen wie folgt:
Eine Auslegung des § 24 DSG dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerde an die Datenschutzbehörde einzuräumen, wäre gleichheits- und damit verfassungswidrig. Das Grundrecht auf Datenschutz gewährleiste jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf die Achtung des Privatlebens habe. Zur Durchsetzung gegenüber Dritten seien die Betroffenenrechte auf Auskunft, Richtigstellung und Löschung für jedermann garantiert.
Die Beschwerdegegner stellen in Abrede, dass ein vom Erstbeschwerdeführer angeblich am 1*. August 2021 über ein E-Mail-Postfach der Zweitbeschwerdeführerin versendetes E-Mail ein personenbezogenes Datum der Zweitbeschwerdeführerin sei. Aufgrund der Tatsache, dass sich die Beschwerdegegner in ihrer Berichterstattung auf die Zweitbeschwerdeführerin beziehen und diese namentlich benennen, seien alle der Berichterstattung zugrundeliegenden und damit verbundenen Informationen der Zweitbeschwerdeführerin zuzurechnen. Aufgrund der identifizierenden Berichterstattung der Beschwerdegegner beziehen sich notgedrungen auch die der Berichterstattung zugrundeliegenden Informationen auf die Zweitbeschwerdeführerin.
Das Auskunftsverlangen der Beschwerdeführer sei inhaltlich unbeschränkt und umfasse dementsprechend alle Informationen, die Art. 15 Abs. 1 und 3 DSGVO bzw. § 1 Abs. 3 Z 1 DSG einräumen. Das Redaktionsgeheimnis wirke nicht gegen die Beschwerdeführer. Dementsprechend könne es auch keinen Auskunftsverweigerungsgrund bilden. Die Meinungs- und Informationsfreiheit der Beschwerdegegner werde dadurch nicht verunmöglicht.
Der Stellungnahme beigelegt waren ein Schreiben der Erstbeschwerdegegnerin vom 28. Oktober 2021 an den Erstbeschwerdeführer, ein Schreiben des Erstbeschwerdeführers vom 10. September 2021 an die Erstbeschwerdegegnerin, Screenshots der Website der Erstbeschwerdegegnerin, ein E-Mail des Erstbeschwerdeführers vom 28. Februar 2023, eine Auskunft des Zweitbeschwerdegegners vom 28. Februar 2023.
B. Beschwerdegegenstand
Beschwerdegegenständlich stellt sich die Frage, ob
1) die Beschwerdegegner die Zweitbeschwerdeführerin in ihrem Recht auf Löschung verletzt haben,
2) die Beschwerdegegner die Beschwerdeführer in ihrem Recht auf Auskunft verletzt haben und
3) die Erstbeschwerdegegnerin die Zweitbeschwerdeführerin in ihrem Recht auf Geheimhaltung verletzt hat, indem sie dem Zweitbeschwerdegegner offengelegt hat, dass die Zweitbeschwerdeführerin ein Löschungsverlangen an die Erstbeschwerdegegnerin gerichtet hat und den Inhalt der Beantwortung dieses Löschungsverlangens gegenüber dem Zweitbeschwerdegegner offengelegt hat.
C. Sachverhaltsfeststellungen
1. Der Erstbeschwerdeführer ist Arzt und Alleingeschäftsführer der B*** Pharma GmbH, FN *6*0*8f, Z**platz 4*, **** H***hausen, welche wiederum Alleingesellschafterin der Zweitbeschwerdeführerin ist.
Die Zweitbeschwerdeführerin ist ein als Gesellschaft mit beschränkter Haftung eingetragenes Unternehmen mit Sitz in R*** [= Name eines Bundeslands]. Ihre Geschäftstätigkeit bezieht sich auf den Betrieb von Analysestationen und Durchführung von diagnostischen Testverfahren, insbesondere im Zusammenhang mit PCR-Tests.
2. Die Beschwerdegegner sind in Österreich jeweils bekannte und einflussreiche Medienunternehmen. Die Erstbeschwerdegegnerin ist Herausgeberin der Tageszeitung „M***“ sowie des Onlinemediums „m***.at“. Der Zweitbeschwerdegegner stellt **** Rundfunkanstalt Österreichs dar und ist unter anderem für **** TV-Sender, [Anmerkung Bearbeiter/in: Details zum Umfang des Geschäftsbetriebs des Zweitbeschwerdegegners aus Pseudonymisierungsgründen entfernt] und das n***.at-Netzwerk verantwortlich.
3. Um den 1*. August 2021 gelangte eine ungesicherte Excel-Datei mit PCR-Testergebnissen mehrerer tausend namentlich angeführter Personen, welche vom personalisierten E-Mail-Account des Erstbeschwerdeführers versendet worden war, in den Besitz der Beschwerdegegner. Dieses E-Mail wurde den Beschwerdegegnern von einem Dritten zugänglich gemacht.
4. Die Erstbeschwerdegegnerin hat über diesen Vorfall am 1. September 2021 in ihrer Online-Ausgabe ihrer Medien berichtet ( https://www.m***.at/id/*4*7*3/tausende-r***er-pcr-test-ergebnisse***-geleakt , Formatierung nicht 1:1 übernommen):
„ Tausende R***er PCR-Test-Ergebnisse mit Namen und Daten geleakt
Mehr als 24.000 positive PCR-Test-Ergebnisse mitsamt personenbezogener Patientendaten wurden von Erich A*** per E-Mail verschickt. Er spricht von einem "Hackerangriff"
Mehr als 24.000 positive PCR-Test-Ergebnisse aus R***, von Jänner bis Juni 2021, inklusive Patientennamen, Wohnort, Geburtsdaten und Details wie den jeweiligen Virusmutationen. Diese hochsensiblen Daten, die prominente Namen [Anmerkung Bearbeiter/in: hier aus Pseudonymisierungsgründen gekürzt] enthält, liegen dem M*** und dem N*** R*** vor.
Sie entstammen einem riesigen Datenleck, das viele Fragen aufwirft. Erich A***, ehemaliger Geschäftsführer der in die Kritik geratenen Firma B***labor, hat diese Daten am 1*. August 2021 mutmaßlich unverschlüsselt per E-Mail in Form von Excel-Sheets verschickt. A*** bestätigt auf Anfrage, dass er dies getan hat, und erklärt das Leck damit, dass er Opfer eines Hackerangriffs geworden sei.
Wegen des Datenlecks habe er "IT-forensische Untersuchungen" eingeleitet. Bis diese abgeschlossen seien, könne er keine weiteren Angaben dazu machen. Danach werde er die zuständige Behörde informieren und Strafanzeige stellen.
An wen die Daten gingen
Auch der Empfänger der E-Mail, ein IT-Techniker, wirft Fragen auf. Gegen ihn liegt eine Unterlassungsklage und Antrag auf einstweilige Verfügung vor. Sein ehemaliger Arbeitgeber, die IT-Firma C***, wirft ihm vor, ihre selbstprogrammierte Software zur Verarbeitung von PCR-Test-Ergebnissen unrechtmäßig übernommen zu haben und diese nun ohne deren Zustimmung zu nutzen. Er will "aus Gründen des Datenschutzes" nicht zu den Vorwürfen Stellung nehmen. Die Klage gegen ihn liege ihm nicht vor.
C*** war ursprünglich Partner der B***labor, als diese im September 2020 ohne Ausschreibung vom Land R*** den Millionenauftrag für PCR-Testungen erhielt. C*** stellte die dafür nötige IT-Lösung zur Datenverarbeitung zur Verfügung. Diese Partnerschaft zerbrach allerdings im Mai 2021, weil die B***labor Rechnungen in siebenstelliger Höhe nicht beglichen habe.
Seitens des Landes wird betont, dass "grundsätzlich alle Vertragspartner Standardmäßig verpflichtet werden, personenbezogene und sensible Daten zu schützen". Zugriff oder Weiterleitung durch Externe sei "zum aktuellen Zeitpunkt nicht bekannt". Allerdings behalte man sich rechtliche Schritte vor und "verurteile es aufs Schärfste", sollte das tatsächlich passiert sein.
Behörde prüft Verstoß
Die Datenschutzbehörde, die von M*** und N*** R*** über das Datenleck informiert wurde, leitet eine Prüfung wegen potenziellen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) ein, wie ihr stellvertretender Leiter Matthias Schmidl sagt. Auch ein Verwaltungsstrafverfahren sei denkbar. Zudem, erklärt Schmidl, steht es allen betroffenen Personen, die in der Liste aufscheinen, offen, kostenlos Beschwerde bei der Datenschutzbehörde einzubringen. Also praktisch allen, die zwischen Jänner und Juni 2021 in R*** positiv auf Corona getestet wurden.
Das Land verweist auf die Verantwortung der Vertragspartner, die für die Umsetzung und Einhaltung der Datenschutzbestimmungen verantwortlich seien. Für Datenschützer S*** ist das jedoch zu wenig: "Wo die öffentliche Hand mit Steuergeldern Testangebote schafft, hat sie auch die Verantwortung, dass da sauber gearbeitet wird." Die DSGVO sei seit Jahren geltendes europäisches Recht, an das man sich auch in R*** zu halten habe.
Landeshauptmann schweigt, Staatsanwaltschaft prüft
Landeshauptmann [Anmerkung Bearbeiter/in: hier aus Pseudonymisierungsgründen gekürzt] hat seit Mai, als die Causa B***labor medial losgebrochen war, zehn Interviewanfragen des M*** abgelehnt. Erich A*** und die Firma B***labor haben wegen der Berichterstattung über Zweifel an der Qualität ihrer Arbeit Klage gegen den M*** eingebracht.
Der Vorhabensbericht der Wirtschafts- und Korruptionsstaatsanwaltschaft, die den "Anfangsverdacht des schweren Betruges" gegen die B***labor prüfte, liegt derzeit im Justizministerium. Der Landesrechnungshof untersucht die Vergabe ohne Ausschreibung. (***, 1.9.2021)“
5. Der Zweitbeschwerdegegner hat über diesen Vorfall am 1. September 2021 in seiner Online-Ausgabe berichtet ( https://n***.at/r***/content/*4**8 , Formatierung nicht 1:1 übernommen):
„Massives Datenleck bei positiven CoV-Tests“
Dem N*** R*** und dem „M***“ sind die Daten von mehr als 24.000 positiven Coronavirus-Tests aus R*** mitsamt den dazugehörigen Personendaten zugespielt worden. In Umlauf gekommen waren sie offenbar, weil Erich A***, der ehemalige Geschäftsführer der B***labor, sie in einer Mail verschickt hatte. Er selbst spricht von einem Hackerangriff.
So gut wie alle R***erinnen und R***er, die zwischen Jänner und Juni 2021 positiv auf das Coronavirus getestet wurden, finden sich in einer einfachen Excel-Tabelle wieder. Von Name, Adresse und Geburtsdatum bis zum positiven Testergebnis und dem Testdatum: Insgesamt umfasst die Datei mehr als 24.000 Testergebnisse und die dazugehörigen Patienteninformationen – also hochsensible Daten, die eigentlich besonders gut geschützt sein sollten, sagte Datenschutzexperte Josef S*** von datenschutz***.info.
Wenn solche Daten in Umlauf geraten, könne das schwerwiegende Folgen für die Betroffenen haben. Eine Infektion könnte auch eine „Long Covid“-Erkrankung nach sich ziehen. Listen mit positiven Testergebnissen könnten also potenzielle künftige Arbeitgeber abschrecken, aber auch zur Ablehnung bei privaten Krankenkassen führen, meinte S***.
Datenleck per Mail verursacht
A***, der ehemalige Geschäftsführer der in Kritik geratenen B***labor, soll die Excel-Tabelle selbst in Umlauf gebracht haben. Er dürfte die Daten per Mail an eine firmenexterne Person verschickt haben. Für Datenschutzexperte S*** eine „erschreckende Sorglosigkeit“. A*** selbst stritt das Versenden der Mail auf Anfrage nicht ab. Er habe die Mail am 1*. August zum Zweck eines „Back-up“ verschickt. Sie sei sehr wohl verschlüsselt gewesen, sagte er in einer zweiten, späteren Stellungnahme.
Weitere Überprüfungen hätten gezeigt, dass es einen „Hackerangriff“ auf sein Mailpostfach gegeben habe. Dazu würden jetzt „IT-forensische Untersuchungen“ durchgeführt. Nach eigenen Angaben will A*** nach Abschluss auch die Behörden informieren. Laut Firmenbuch ist A*** seit Juni 2021 nicht mehr Geschäftsführer der B***labor, eine Funktion, die er nach heftiger Medienkritik zurücklegte. Warum er immer noch Zugriff auf diese Gesundheitsdaten hat, beantwortete A*** nicht.
Land verurteilt Weitergabe „aufs Schärfste“
Das Land R*** erklärte, man habe erst durch die Medienanfrage von dem Datenleck erfahren. Die Daten würden nicht von den Servern oder Dateisystemen des Landes stammen, das sei in der Zwischenzeit überprüft worden, so Gesundheitsdirektor Michael Ü***. Alle Vertragspartner des Landes, also auch die B***labor, seien vertraglich dazu verpflichtet worden, die personenbezogenen und sensiblen Daten zu schützen. Von einer Weitergabe an Dritte wisse man beim Land nichts, man behalte sich aber rechtliche Schritte vor und verurteile so ein Vorgehen „aufs Schärfste“, sagte Ü***.
Ganz aus der Verantwortung zu nehmen sei das Land aber nicht, meinte Datenschutzexperte S***: „So einfach kann man sich nicht abputzen.“ Wo mit Steuergeld Angebote für solche Tests geschaffen werden, trage die öffentliche Hand auch die Verantwortung, dass sauber gearbeitet werde, nicht nur im Hinblick auf die medizinische Seite der Tests, sondern eben auch auf die datenschutzrechtliche Seite. Auch in R*** gelte die Datenschutzgrundverordnung (DSGVO) der EU, so S***.
Auch Politiker auf Liste zu finden
In der Tabelle mit positiv Getesteten finden sich einige bekannte Personen und Politikerinnen und Politiker.
Unter ihnen ist auch Carolina I***, die Obfrau der Ä***partei. Für sie ist das Datenleck ein „handfester Skandal“. Mit Gesundheitsdaten müsse sorgfältig umgegangen werden. Nachdem die Tests unter dem Motto „R*** testet“ stattfinden, hätten sich die R***erinnen und R***er darauf verlassen. Dieses Vertrauen sei jetzt erschüttert, so I***.
Auch der Nationalratsabgeordnete Udo J*** (U***partei) taucht in der Liste auf. Das sei für ihn kein Problem, er habe keine Geheimnisse, so J***. Der Sinn und Zweck von Datenschutz sei aber, genau solche Daten zu schützen. Er könne verstehen, dass das Datenleck für Aufruhr sorgt. Für Peter Fo*** (TU***partei), ebenfalls Betroffener des Datenlecks, ist es „rätselhaft, wie so etwas im Jahr 2021 noch möglich“ ist, nachdem so viel von Datenschutz und Amtsgeheimnissen gesprochen werde. Rechtliche Schritte seien hier dringend anzudenken, so Fo***.
Prüfung durch Datenschutzbehörde
Das Rechercheteam meldete das Datenleck vorab auch an die Datenschutzbehörde. Sie wird eine Prüfung des Falles wegen eines möglichen Verstoßes gegen die Datenschutzgrundverordnung einleiten, sagte der stellvertretende Leiter Matthias Schmidl. Betroffene, also so gut wie alle R***erinnen und R***er, die zwischen Jänner und Juni 2021 positiv auf das Coronavirus getestet wurden, können kostenlos Beschwerde bei der Datenschutzbehörde einlegen.
Opposition zeigt sich empört
[ Anmerkung Bearbeiter/in: Rest des Medienberichts aus Pseudonymisierungsgründen entfernt. ]“
6. Die Zweitbeschwerdeführerin begehrte von den Beschwerdegegnern jeweils am 2. September 2021 die Löschung der „ Nachricht “.
7. Die Erstbeschwerdegegnerin hat dem Zweitbeschwerdegegner sowohl den Erhalt als auch den Inhalt der Beantwortung dieses Löschungsverlangens offengelegt.
Die Begehren lauteten jeweils wie folgt (Formatierung nicht 1:1 übernommen):
„wie Ihnen bereits bekannt ist, wurde ein Postfach der B***Labor GmbH kompromittiert, wodurch es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist. Medienberichten habe ich entnommen, dass Ihr Medium im Besitz von zumindest einer Nachricht aus diesem Postfach ist.
Als Datenschutzbeauftragte der B***Labor GmbH habe ich Sie dementsprechend aufzufordern, diese (und ggf. auch jede weitere Nachricht aus dem Postfach) unverzüglich zu löschen, mir diese Löschung zu bestätigen und jede etwaige Offenlegung gegenüber Dritten zu unterlassen. Sollten Sie diese oder eine andere Nachricht aus dem Postfach bereits gegenüber Dritten offengelegt haben, so bitte ich um Bekanntgabe der Empfänger. Alternativ können Sie die Empfänger auch selbst informieren und mir dies bestätigen.“
8. Die Beschwerdegegner - die Erstbeschwerdegegnerin am 3. September 2021 und der Zweitbeschwerdegegner am 7. September 2021 - lehnten die Löschung mit Hinweis auf das Medienprivileg nach § 9 Abs. 1 DSG ab.
Die Antwort der Erstbeschwerdegegnerin enthielt überdies auszugsweise folgende Passage (Formatierung nicht 1:1 übernommen):
„ Aber wir dürfen die Gelegenheit nutzen, um Sie als Datenschutzbeauftragte der B***labor zu fragen, wie es sein kann, dass Erich A*** noch im August 2021 Zugriff auf diese Patientendaten hatte und diese ungesichert per E-Mail an Herrn Or*** verschickt hat? Hatte er auch auf andere sensible Daten Zugriff? Welche rechtlichen Schritte werden Sie gegen Herrn A*** einleiten in dieser Sache?“
Der Zweitbeschwerdegegner schloss der Ablehnung zudem folgende Rückfragen an (Formatierung nicht 1:1 übernommen):
„- Wie es sein kann, dass Erich A*** noch im August 2021 Zugriff auf diese Patientendaten hatte und diese ungesichert per E-Mail an Herrn Or*** verschickt hat? - Hatte er auch auf andere sensible Daten Zugriff? - Welche rechtlichen Schritte werden Sie gegen Herrn A*** einleiten in dieser Sache? - Was haben die internen „IT-Forensischen Untersuchungen“ ergeben?“.
9. Mit Schreiben vom 9. September 2021 forderte die Zweitbeschwerdeführerin die Beschwerdegegner jeweils auszugsweise wie folgt auf (Formatierung nicht 1:1 übernommen, Hervorhebungen durch die Datenschutzbehörde):
„wir beziehen uns auf das Schreiben vom 02.09.2021, in welchem Sie von der B***Labor GmbH aufgefordert wurden, sämtliche Ihnen vorliegenden Nachrichten aus dem kompromittierten E-Mail-Postfach, von dem Sie berichtet haben zu löschen.
Da Sie dieser Bitte leider nicht nachgekommen sind, fordere ich von Ihnen namens der B***Labor GmbH nun Auskunft darüber, welche Daten und Geschäftsgeheimnisse der B***Labor Sie zu welchem Zweck verarbeiten und an wen diese übermittelt wurden oder werden (vgl. § 1 Abs 3 Z 1 DSG).“
Mit Schreiben vom 9. September 2021 antwortete der Zweitbeschwerdegegner auszugsweise wie folgt (Formatierung nicht 1:1 übernommen):
„ Nach Rücksprache mit der Situation stellt sich der Sachverhalt folgendermaßen dar:
Ob das E-Mailpostfach tatsächlich kompromittiert war/wurde oder nicht, entzieht sich unserer Kenntnis.
Gemäß § 9 Abs. 1 DSG, der auf Art 85 DSGVO beruht, sind auf die Verarbeitung personenbezogener Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes die Bestimmungen des DSG sowie der DSGVO mit Ausnahme der Kapitel I (Allgemeine Bestimmungen) und VIII (Rechtsbehelfe, Haftungen und Sanktionen) nicht anzuwenden.
Damit hat der österreichische Gesetzgeber eine Abwägung zwischen dem Recht auf Schutz personenbezogener Daten einerseits und dem Recht auf Freiheit der Meinungsäußerung und der Informationsfreiheit vorgenommen.
Dass es sich beim N*** Rundfunkunternehmen um ein Medienunternehmen im Sinne des MedienG handelt, ist wohl unbestritten.
Die Datenverarbeitung zu journalistischen Zwecken ist ganzheitlich zu verstehen und geht damit von der „Erstinformation“ bis hin zur Erstveröffentlichung und darüber hinaus. Der EuGH versteht unter „journalistischen Zwecken“ Tätigkeiten, die zum Zweck haben, „Informationen, Meinungen oder Ideen (...) in der Öffentlichkeit zu verbreiten.“ (vgl. EuGH, Urteil vom 16.12.2008, C-73/07, Satamedia, a. a. O., Rn. 61) Die Generalanwältin in diesem Verfahren hatte „zur weiteren Ausfüllung des Begriffs der journalistischen Zwecke“ die Rolle einer freien Presse als eines „öffentlichen Wachhundes“ betont und daraus die Pflicht abgeleitet, „Informationen und Ideen über alle Fragen öffentlichen Interesses zu vermitteln“. Auf eine redaktionelle Bearbeitung komme es dabei nicht an; auch die Bereitstellung von Rohdaten könne einen Beitrag zur öffentlichen Diskussion leisten. Dieser Auffassung schloss sich der EuGH letztendlich an.
Die Verarbeitung der Daten erfolgte zu journalistischen Zwecken, dienten sie doch dazu, Informationen in der Öffentlichkeit zu verbreiten.
Aus dem Dargelegten ergibt sich, dass das DSG bzw. die DSGVO auf den gegenständlichen Sachverhalt im oben erwähnten Umfang nicht anwendbar sind, weshalb auch kein Rechtsanspruch auf Datenlöschung insbesondere gemäß Art 17 DSGVO besteht.
Für Rückfragen stehe ich gerne zur Verfügung.“
Die Erstbeschwerdegegnerin beantwortete den Auskunftsantrag der Zweitbeschwerdeführerin vom 9. September 2021 bis zum Abschluss des Verfahrens vor der Datenschutzbehörde nicht.
10. Der Erstbeschwerdeführer übermittelte den Beschwerdegegnern am 10. September 2021 jeweils auszugsweise nachstehendes Begehren (Formatierung nicht 1:1 übernommen):
„Sehr geehrte Damen und Herren,
Hiermit fordere ich Sie auf, unter Berufung auf Art. 15 DSGVO, sämtlich Ihnen zu meiner Person zur Verfügung stehenden Daten zu übermitteln.“
Im Anhang übermittelte der Erstbeschwerdeführer jeweils eine Kopie seines Lichtbildausweises sowie folgende Anträge (Formatierung nicht 1:1 übernommen):
1) an die Erstbeschwerdegegnerin
[Anmerkung Bearbeiter/in: Der an dieser Stelle als Faksimile (in Form mehrerer PDF-Dateien) wiedergegebene Auskunftsantrag (Formular von der Website der Datenschutzbehörde) wäre nur mit großem Aufwand zu pseudonymisieren gewesen und wurde daher entfernt.]
2) an den Zweitbeschwerdegegner
[Anmerkung Bearbeiter/in: Der an dieser Stelle als Faksimile (in Form mehrerer PDF-Dateien) wiedergegebene Auskunftsantrag (Formular von der Website der Datenschutzbehörde) wäre nur mit großem Aufwand zu pseudonymisieren gewesen und wurde daher entfernt.]
11. Der Zweitbeschwerdegegner beantwortete dieses Schreiben am 11. Oktober 2021 wie folgt (Formatierung nicht 1:1 übernommen, Schwärzungen erfolgten durch den Zweitbeschwerdegegner):
[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (in Form mehrerer PDF-Dateien) wiedergegebene Auskunftsschreiben wäre nur mit großem Aufwand zu pseudonymisieren gewesen und wurde daher entfernt. Inhaltlich beschränkt sich die Auskunft auf Stammdaten des Erstbeschwerdeführers und Daten im Zusammenhang mit einer zum Satellitenempfang der Programme des Zweitbeschwerdegegners ausgegebenen SAT-Empfangskarte/Schlüsselkarte.]
12. Die Erstbeschwerdegegnerin antwortete dem Erstbeschwerdeführer am 15. April 2022 auszugsweise wie folgt (Formatierung nicht 1:1 übernommen):
[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (in Form mehrerer PDF-Dateien) wiedergegebene Auskunftsschreiben wäre nur mit großem Aufwand zu pseudonymisieren gewesen und wurde daher entfernt. Inhaltlich beschränkt sich die Auskunft auf Daten im Zusammenhang mit dessen Registrierung für Online-Dienste der Erstbeschwerdeführerin wie das M***-Leserforum.]
13. Die Erstbeschwerdegegnerin beantwortete das Begehren der Zweitbeschwerdeführerin vom 9. September 2021 bis zum Abschluss des Verfahrens vor der Datenschutzbehörde nicht.
Beweiswürdigung : Die getroffenen Feststellungen ergeben sich aus den insofern übereinstimmenden Vorbringen der Parteien sowie den durch diese vorgelegten Unterlagen.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zur Anlassfallwirkung
Wie dem Verfahrensgang entnommen werden kann, hat das Bundesverwaltungsgericht ausgehend vom gegenständlichen Verfahren einen Antrag auf Normenkontrolle beim Verfassungsgerichtshof gestellt und wurde § 9 Abs. 1 DSG vom Verfassungsgerichtshof wegen Verfassungswidrigkeit mit Wirkung vom 30. Juni 2024 aufgehoben.
Eine vom Verfassungsgerichtshof aufgehobene Bestimmung ist auf die vor ihrer Aufhebung verwirklichten Sachverhalte weiterhin anzuwenden (vgl. Art. 140 Abs. 7 zweiter Satz und Art. 139 Abs. 6 zweiter Satz B-VG). Die Aufhebung einer Rechtsvorschrift durch den Verfassungsgerichtshof wirkt somit nur für die Zukunft (pro-futuro-Wirkung; VfSlg. 1415/1931). Frühere Sachverhalte sind weiterhin nach der bisherigen Rechtslage zu beurteilen. Vollziehungsakte, die auf eine vom Verfassungsgerichtshof aufgehobene Vorschrift gestützt sind, bleiben unberührt (VfSlg. 3303/1957). Gleiches gilt für den Fall, dass der Verfassungsgerichtshof feststellt, dass das Gesetz oder die Verordnung verfassungswidrig bzw. gesetzwidrig war (vgl. VfSlg. 10.834/1986, 17.020/2003). Die einzige – sachlich gerechtfertigte (VfSlg. 3519/1959, 5141/1965) – Ausnahme von diesem Grundsatz bildet die Anlassfallwirkung:
Der Anlassfall ist so zu beurteilen, als hätte die als verfassungswidrig beurteilte Vorschrift bereits im Zeitpunkt der Verwirklichung des im Anlassfall zu entscheidenden Sachverhalts nicht mehr dem Rechtsbestand angehört (vgl. VfSlg. 3674/1960, 7651/1975). Anlassfall ist jene Rechtssache, die Anlass für die Einleitung des Normenprüfverfahrens gegeben hat (VfSlg. 8234/1978).
Da das gegenständliche Verfahren als Anlassfall zu qualifizieren ist, ist in der Sache so zu entscheiden, als hätte § 9 Abs. 1 DSG zum Zeitpunkt der Sachverhaltsverwirklichung nicht dem Rechtsbestand angehört.
Beschwerdegegenständlich ist daher - unter Außerachtlassung des § 9 Abs. 1 DSG - zu prüfen, ob die Beschwerdegegner die Zweitbeschwerdeführerin in ihrem Recht auf Löschung verletzt haben (siehe Spruchpunkt I ), ob die Beschwerdegegner die Beschwerdeführer in ihrem Recht auf Auskunft verletzt haben (siehe Spruchpunkt II - IX ) und ob die Erstbeschwerdegegnerin die Zweitbeschwerdeführerin in ihrem Recht auf Geheimhaltung verletzt hat (siehe Spruchpunkt X ).
D.2. Zur Beschwerdelegitimation der Zweitbeschwerdeführerin
Sofern die Erstbeschwerdegegnerin implizit die mangelnde Beschwerdelegitimation der Zweitbeschwerdeführerin aufgrund ihrer Eigenschaft als juristischen Person moniert, ist dem Vorbringen wie folgt entgegenzutreten:
Gemäß § 4 Abs. 1 DSG gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach § 24 DSG, daher auf den Schutz natürlicher Personen beschränkt.
Die Datenschutzbehörde hat jedoch bereits mehrfach ausgesprochen, dass § 1 DSG auch juristische Personen schützt. Eine Auslegung der einfachgesetzlichen Bestimmungen - insbesondere der §§ 4 und 24 DSG - dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen Personen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen.
Es kann dem Gesetzgeber nämlich nicht unterstellt werden, dass dieser ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln wollte als natürliche Personen (siehe den Bescheid vom 25. Mai 2020, GZ 2020-0.191.240, mwN).
Dass es dem nationalen Gesetzgeber möglich ist, ein rein nationales Konzept des Schutzes personenbezogener Daten juristischer Personen vorzusehen, wurde vom EuGH bejaht (Urteil vom 10. Dezember 2020, C-620/19, Rz 47), sodass die o.a. Rechtsprechung der Datenschutzbehörde damit nicht im Widerspruch steht.
Im Ergebnis bedeutet dies, dass juristische Personen – im Umfang der ihnen durch § 1 DSG eingeräumten Rechte – entgegen der Ansicht der Beschwerdegegner beschwerdelegitimiert sind. Demnach kommt der Zweitbeschwerdeführerin gegenständlich auch ein Beschwerderecht im Zusammenhang mit einer behaupteten Verletzung im Recht auf Löschung gemäß § 1 Abs. 3 Z 2 DSG iVm Art. 17 DSGVO, mit einer behaupteten Verletzung im Recht auf Auskunft gemäß § 1 Abs. 3 Z 1 DSG iVm Art. 15 DSGVO und mit einer behaupteten Verletzung im Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG zu.
Zu Spruchpunkt I
D.3. Allgemeines zum Recht auf Löschung
In Ermangelung einer Ausführungsbestimmung im DSG ist unter der Bedachtnahme auf § 4 DSG zur Auslegung des § 1 Abs. 3 Z 2 DSG Art. 17 DSGVO heranzuziehen.
Nach Art. 17 Abs. 1 DSGVO steht grundsätzlich jeder betroffenen Person das Recht zu, die Löschung ihrer personenbezogenen Daten von einem Verantwortlichen zu begehren. Um ein solch antragsbedürftiges Recht zu beanspruchen, bedarf es zunächst eines Antrages an den Verantwortlichen. Eine bestimmte Form oder Formulierung dieses Begehrens ist der DSGVO zwar nicht zu entnehmen, doch muss für den Verantwortlichen zumindest erkennbar sein, dass es sich um ein auf ein bestimmtes Recht nach der DSGVO gestütztes Begehren handelt, löst doch das Einlangen des Antrages Verpflichtungen beim Verantwortlichen aus.
Bei der Beurteilung, ob ein für den Verantwortlichen als auf ein bestimmtes Recht nach der DSGVO erkennbares Begehren vorliegt, ist dieses auf seinen Inhalt zu prüfen, wobei jener Maßstab anzulegen ist, der auch für einseitige privatrechtliche Willenserklärungen gilt.
Demnach sind der Wortlaut und das Verständnis der Erklärung aus objektiver Sicht, nämlich so wie sie der Empfänger nach ihrem Wortlaut und ihrem Zweck bei objektiver Betrachtung verstehen konnte, zu betrachten (vgl. BVwG 3.5.2018, W256 2190554-1, zum Auskunftsbegehren nach § 26 DSG 2000 und betreffend die Auslegung unter Verweis auf die Rechtsprechung des OGH, etwa OGH 15.9.1999, 9 ObA 148/99a).
D.3.1. In der Sache
Feststellungsgemäß hat die Zweitbeschwerdeführerin mit Schreiben vom 2. September 2021 von den Beschwerdegegnern jeweils Löschung begehrt (siehe Punkt C.6.).
Hierbei handelt es sich zwar unstrittig um Anträge auf Löschung und wurden diese als solche auch von den Beschwerdegegnern erkannt, jedoch ist nach einem objektiven Empfängerhorizont davon auszugehen, dass die Zweitbeschwerdeführerin nach Ablehnung der Löschung durch die Beschwerdegegner einen „ Antragswechsel “ durchgeführt hat. So bedauert die Zweitbeschwerdeführerin zwar jeweils, dass ihrer Bitte um Löschung nicht nachgekommen worden sei, forderte jedoch nun von den Beschwerdegegnern jeweils Auskunft darüber, welche Daten und Geschäftsgeheimnisse zu welchem Zweck verarbeitet und an wen diese übermittelt wurden oder werden (siehe Punkt C.9.).
Von einem Weiterbestand des Antrags auf Löschung konnte daher nicht ausgegangen werden. Vielmehr wurden diese durch Auskunftsanträge ersetzt (zu den Anträgen auf Auskunft siehe sogleich unter Punkt D.4.).
Begründen lässt sich dies auch damit, dass Auskunfts- und Löschungsanträge eine einander widersprechende Natur haben und sohin schon denklogisch nicht gleichzeitig sinnvoll verfolgt werden können.
Da der Antrag auf Löschung somit zum Zeitpunkt der Beschwerdeerhebung nicht mehr aufrecht war, scheidet eine Verletzung im Recht auf Löschung aus.
Die Beschwerde der Zweitbeschwerdeführerin gegen die Beschwerdegegner war daher in diesem Punkt mangels aufrechter Anträge auf Löschung spruchgemäß abzuweisen .
Selbst im Falle, dass – entgegen der Ansicht der Datenschutzbehörde – nicht von einer Antragsänderung auszugehen wäre, wäre die Beschwerde im Hinblick auf eine behauptete Verletzung im Recht auf Löschung aus nachstehenden Gründen abzuweisen:
So besteht das Recht auf Löschung gemäß Art. 17 Abs. 3 lit. a DSGVO dann nicht, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist.
Angesprochen wird damit ein im Datenschutz typischer wie grundlegender Grundrechtskonflikt, der sich gelegentlich in der Sorge vor Zensur oder ungerechtfertigter Kontrolle ausdrückt. In die Abwägung einzubeziehen sind auf der Seite des Betroffenen seine durch Art. 7 und 8 EU-GRC sowie Art. 8 EMRK gewährleisteten Grundrechte auf Achtung des Privat- und Familienlebens sowie auf Schutz personenbezogener Daten, auf der Seite des Verantwortlichen oder Dritter das Grundrecht auf freie Meinungsäußerung bzw. auf freie Information gemäß Art. 11 Abs. 1 EU-GRC sowie Art. 10 Abs. 1 EMRK (vgl. Peuker in Sydow [Hrsg.], Europäische Datenschutzgrundverordnung, Handkommentar, Art. 17, Rz. 59).
Wie den Feststellungen entnommen werden kann (siehe Punkt C.3.-C.5.) ist die „E-Mail-Nachrichten“, auf welche die Löschungsanträge jeweils originär abzielen, das Kernelement der Medienberichterstattung der Beschwerdegegnerin. Eine Löschung dieser Nachricht würde daher den Kerninhalt der Medienberichterstattung vernichten.
Zudem käme im vorliegenden Fall kommt überdies der Tatbestand nach Art. 17 Abs. 3 lit. e DSGVO in Betracht, also eine Verarbeitung, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sein könnte.
Dazu ist festzuhalten, dass die „ Verteidigung von Rechtsansprüchen “ - nicht widersprüchlich zum Wortlaut - auch „ Verteidigung gegen Rechtsansprüche “ meint. Diese Regelung greift in zeitlicher Hinsicht jedenfalls dann, wenn die Geltendmachung, Ausübung oder Verteidigung von (bzw. gegen Rechtsansprüchen schon stattfindet oder sicher bevorsteht . Die bloß abstrakte Möglichkeit rechtlicher Auseinandersetzungen ist nicht ausreichend (vgl. Herbst in Kühling/Buchner , DSGVO Kommentar, Art. 17, Rz 83).
Nach § 32 MedienG verjährt die Strafbarkeit eines Medieninhaltsdelikts durch den Inhalt eines abrufbaren periodischen elektronischen Mediums innerhalb von drei Jahren, beginnend zu jener Zeit, zu welcher mit der Verbreitung im Inhalt begonnen wird.
Die Beschwerdegegner beziehen sich somit nicht allgemein auf ein potenziell zukünftiges Verfahren, sondern benennen konkrete Ansprüche, der ihr gegenüber innerhalb eines konkreten Zeitraumes geltend gemacht werden könnten. Das Verfahren vor der Datenschutzbehörde ist darüber hinaus Indiz dafür, dass diese Daten nach wie vor benötigt werden, um Rechtsansprüche zu klären.
Zu den Spruchpunkten II bis IX
D.4. Allgemeines zum Recht auf Auskunft
Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und, soweit dies der Fall ist, hat der Betroffene das Recht auf Auskunft über diese personenbezogenen Daten und einen Anspruch auf die Informationen gemäß lit. a bis h leg. cit.
Das Auskunftsrecht gemäß Art. 15 DSGVO dient dabei als Instrument, welches einer betroffenen Person ermöglicht, sich der Verarbeitung durch einen Verantwortlichen bewusst zu werden und die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. ErwGr. 63 erster Satz DSGVO). Mit anderen Worten ermöglicht das Auskunftsrecht der betroffenen Person einen Einblick in das „ Ob und Wie “ der Verarbeitung (vgl. Paal in Paal/Pauly [Hrsg.], Datenschutz-Grundverordnung. Kommentar, Art. 15, Rz. 3).
Die Zweitbeschwerdeführerin stützt ihren Anspruch – als juristische Person – auf Auskunft auf § 1 Abs. 3 Z 1 DSG. Dem Betroffenen wird hierdurch das Recht auf Auskunft darüber eingeräumt, wer welche Daten über seine Person verarbeitet, woher diese stammen, wozu sie verwendet und an wen sie übermittelt werden.
In Ermangelung einer Ausführungsbestimmung im DSG ist unter der Bedachtnahme auf § 4 DSG zur Auslegung Art. 15 DSGVO heranzuziehen. Nachdem eine juristische Person grundsätzlich nicht schlechter gestellt werden darf als die natürliche Person, darf im Rahmen der Gleichbehandlung ihr Auskunftsanspruch – unter Berücksichtigung der Eigentümlichkeiten einer juristischen Person – nicht geringer sein als jener einer natürlichen Person.
D.4.1. In der Sache
Eingangs ist festzuhalten, dass es sich bei den unter Punkt C.9. und Punkt C.10. genannten Schreiben zweifellos um Anträge auf Auskunft handelt, welche unbestrittenermaßen in den Machtbereich der Beschwerdegegner gelangt sind – folglich diesen zugegangen – sind (vgl. zur Anwendung der „Empfangstheorie“ etwa den Bescheid der DSB vom 22. Februar 2019, GZ: DSB D124.098/0002 DSB/2019, abrufbar im RIS).
Da im gegenständlichen Fall unstrittig ist, dass die Beschwerdegegner personenbezogene Daten der Beschwerdeführer iSd Art. 4 Z 1 DSGVO jeweils als Verantwortliche iSd Art. 4 Z 7 leg. cit. verarbeiten, womit auch ein Recht auf Auskunft gemäß Art. 15 DSGVO bzw. § 1 Abs. 3 DSG besteht, haben diese den Beschwerdeführern grundsätzlich Auskunft über die sie betreffenden verarbeiteten personenbezogenen Daten im Umfang des Art. 15 DSGVO bzw. § 1 Abs. 3 zu geben, soweit keine andere Ausnahme vom Auskunftsrecht besteht.
Im Kern ihrer diesbezüglichen Beschwerde monieren die Beschwerdeführer - unter der Annahme, dass kein Auskunftsverweigerungsrund bestehe - jeweils eine unvollständige bzw. unterbliebene Auskunft im Zusammenhang mit der Medienberichterstattung am 1. September 2021 nach Art. 15 Abs. 1 und Art. 15 Abs. 3 DSGVO bzw. § 1 Abs. 3 Z 1 DSG.
Vorweg ist daher zu prüfen, inwiefern der von den Beschwerdegegnern ins Treffen geführte Auskunftsverweigerungsgrund in welchem Umfang schlagend wird:
Diesbezüglich brachten die Beschwerdegegner jeweils übereinstimmend vor, dass das Recht auf Auskunft durch das Redaktionsgeheimnis nach Art. 15 Abs. 4 DSGVO iVm Art. 11 GRC und § 31 MedienG ausgeschlossen sei.
Im Gegensatz dazu vertraten die Beschwerdeführer die Ansicht, dass Art. 15 Abs. 4 DSGVO sich nur auf Art. 15 Abs. 3 DSGVO und nicht auf Art. 15 Abs. 1 DSGVO beziehe und das Redaktionsgeheimnis nach § 31 MedienG nicht gegen die Beschwerdeführer wirke.
Zunächst wird daher festgehalten, dass der Verordnungsgeber der DSGVO – entgegen der zuletzt genannten Ansicht – sehr wohl auch im Bereich des Art. 15 Abs. 1 DSGVO einen Spielraum für die Vornahme von Interessenabwägungen eingeräumt hat:
So ist die Auskunft gemäß Art. 15 DSGVO zunächst auf eigene Daten beschränkt, also auf Daten, die dem Wortlaut des Art. 15 Abs. 1 DSGVO zufolge, „ sie [dh. die betroffene Person] betreffende personenbezogene Daten “ sind. Daher besteht grundsätzlich auch weiterhin kein Recht auf Auskunft über die personenbezogenen Daten Dritter, soweit im Einzelfall nicht besondere Gründe dafürsprechen (vgl. dazu bspw. den Bescheid der Datenschutzbehörde vom 18. April 2019, GZ: DSB D122.913/0001 DSB/2019).
Zudem ist der DSGVO immanent, dass Beschwerdeverfahren Einzelfallentscheidungen sind, in welchen gegebenenfalls widerstrebende Grundrechte gegeneinander abzuwägen sind. Es kann jedenfalls nicht gesagt werden, dass der Verordnungsgeber eine Interessenabwägung bereits vorgenommen hat, sondern es ist eine solche im konkreten Einzelfall vorzunehmen (siehe Bescheid der DSB vom 1. Juni 2022, GZ: D124.0442/22; 2022-0.277.100). Eine systematische Interpretation der DSGVO lässt erkennen, dass der Verordnungsgeber anhand von Öffnungsklauseln Abweichungsmöglichkeiten vorgesehen hat und die gewährten Betroffenenrechte aufgrund der Bestimmung des Art. 1 Abs. 2 DSGVO nicht uneingeschränkt gelten.
Überdies verweist die Datenschutzbehörde auf folgende Rechtsprechung des BVwG vom 9. November 2021 zur GZ: W176 2244155-1/5E:
Nach Erwägungsgrund 63 der DSGVO soll die Ausnahme nach Art. 15 Abs. 4 DSGVO Geschäftsgeheimnisse und Rechte des geistigen Eigentums, insbesondere das Urheberrecht an Software schützen. Es ist aber davon auszugeben, dass grds alle Rechte und Freiheiten, die von dem Recht der Union oder der MS anerkannt sind, relevant sein werden. Müsste der Verantwortliche ein E-Mail beauskunften, in dem auch andere Personen genannt werden, deren Interessen höher einzustufen sind, so sind diese Unterlagen nicht vom Auskunftsrecht umfasst (Haidinger in Knyrim, DatKomm Art. 15 DSGVO [Stand 1. 10.2018, rdb.at] Rz 49).
Art. 15 Abs. 4 DSVG legt fest, dass das Recht auf Erhalt einer Kopie »gemäß Absatz 3« die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Dieser explizite Verweis auf das Recht auf Kopie in Abs. 3 scheint auf dem ersten Blick der bisher erarbeiteten Systematik zu widersprechen, weil er sich nach dem Wortlaut nur auf das Recht auf Kopie und nicht auf das inhaltliche Auskunftsrecht gemäß Art. 15 Abs. 1 bezieht. Dieser Widerspruch löst sich aber auf, wenn man das Recht auf Kopie als nähere Bestimmung hinsichtlich der Art und Weise betrachtet, wie eine Auskunft über personenbezogene Daten der betroffenen Person nach Art. 15 Abs.1 DSGVO zu erteilen ist. Dann bezieht sich nämlich die Verpflichtung zu einer Interessenabwägung auf die gesamte inhaltliche Auskunftserteilung (Jahnel, Kommentar zur DSGVO, Art. 15, Rz 42).
Die Verweigerung der Zurverfügungstellung über die Art. 15 DSGVO enthaltenen Informationen wäre folglich dann gerechtfertigt, wenn die Geheimhaltungsinteressen der Beschwerdegegner bzw. Dritter gegenüber dem Auskunftsinteresse des Beschwerdeführers überwiegen.
Die Interessenabwägung hat hierbei jedoch für jede nach Art. 15 Abs. 1 lit. a bis h DSGVO geforderte Datenart gesondert zu erfolgen , um eine nachprüfende Kontrolle durch die Datenschutzbehörde oder ein Gericht zu ermöglichen. Ein pauschaler Ausschluss der gesamten Auskunft – im Sinne der von den Beschwerdegegnern indizierten Ansicht – ist hierbei nicht vorgesehen.
In der Folge sind daher die von den Beschwerdegegnern erteilten Auskünfte nach den genannten Kriterien im Detail zu prüfen.
Zu Spruchpunkt II
Zur Beauskunftung der Erstbeschwerdegegnerin
1) An den Erstbeschwerdeführer
a) Auskunft über die konkret verarbeiteten (Stamm-)Daten (Art. 15 Abs. 1 DSGVO)
Der Kerninhalt des Auskunftsanspruchs besteht gemäß Art. 15 Abs. 1 erster Satz DSGVO darin, dass der Verantwortliche der betroffenen Person eine Bestätigung darüber, ob sie betreffende personenbezogene Daten verarbeitet werden zu geben und – wenn ja – dem Betroffenen in weiterer Folge die in Abs. 1 lit. a bis h leg. cit. genannten Zusatzinformationen zu erteilen hat (zweite Stufe).
Wie festgestellt, erteilte die Erstbeschwerdegegnerin dem Erstbeschwerdeführer ausschließlich Auskunft über seine Stammdaten im Zusammenhang mit seinem Userprofil bei der Erstbeschwerdegegnerin.
Wie den Feststellungen ebenso entnommen werden kann (siehe Punkt C.4. und C.5.), verarbeitet die Erstbeschwerdegegnerin überdies Daten des Erstbeschwerdeführers im Zusammenhang mit der Medienberichterstattung vom 1. September 2021 (konkret: zumindest seinen Namen, seine E-Mail-Adresse und seine ehemalige Berufsbezeichnung).
Inwiefern der Beauskunftung der – ohnedies größtenteils öffentlich zugänglichen – Stammdaten gegenteilige Interessen der Erstbeschwerdegegnerin gegenüberstehen, ist für die Datenschutzbehörde nicht ersichtlich und wurde von der Erstbeschwerdegegnerin auch nicht ins Treffen geführt, sodass diesbezüglich eine Mangelhaftigkeit der Auskunft erblickt werden kann und eine Verletzung im Recht auf Art. 15 Abs. 1 zweiter Satz DSGVO vorliegt.
b) Auskunft über die Zwecke der Datenverarbeitung (Art. 15 Abs. 1 lit. a DSGVO)
Zu beauskunften sind die Zwecke der Verarbeitung iSd Art. 5 Abs. 1 lit. b DSGVO. Die Rechtsgrundlage der Verarbeitung iSd Art. 6 Abs. 1 leg. cit. oder Art. 9 Abs. 2. leg. cit. wird zwar nicht ausdrücklich als Bestandteil der Auskunft genannt, da jedoch ohne diese Information die Rechtmäßigkeit einer Verarbeitung idR nicht geprüft werden kann, was aber Ziel und Zweck des Auskunftsrechtes ist (vgl. ErwG. 63 S 1 DSGVO), ist die Rechtsgrundlage vom Auskunftsrecht mitumfasst (vgl. Haidinger in Knyrim [Hrsg.], DatKomm, Art. 15 DSGVO, Rz. 37; sowie Jahnel in Jahnel [Hrsg.], Kommentar zur Datenschutz-Grundverordnung, Art. 15 DSGVO, Rz. 22).
Hinsichtlich der Zwecke verweist die Erstbeschwerdegegnerin wiederum ausschließlich auf das Userprofil (siehe Punkt C.10.).
Da die Erstbeschwerdegegnerin im Rahmen ihrer Beauskunftung die Medienberichterstattung vom 1. September 2021 jedoch nicht nannte und überdies keine Ausnahme, weshalb der ohnedies öffentlich bekannte Zweck der Verarbeitung der Daten im Rahmen der Medienberichterstattung nicht zu beauskunften wäre, erblickt werden kann, ist die Beschwerdegegnerin im Ergebnis ihrer Auskunftspflicht nach Art. 15 Abs. 1 lit. a DSGVO nur unvollständig nachgekommen.
c) Auskunft über die Kategorien personenbezogener Daten, die verarbeitet werden (Art. 15 Abs. 1 lit. b DSGVO)
Der Verantwortliche hat ferner die Kategorien der Daten, die verarbeitet werden, anzugeben. Da bereits nach Art. 15 Abs. 1 Satz 1 DSGVO die konkret verarbeiteten Daten zu beauskunften sind, liegt der Mehrwert der Zusatzinformation nach Abs. 1 lit. b leg. cit. darin, dass sich die betroffene Person durch eine zusätzliche Auskunft über die Gruppierung bzw. Zusammenfassung nach Art der Daten einen raschen Überblick über die Datenkategorien verschaffen kann (vgl. Jahnel in Jahnel [Hrsg.], Kommentar zur Datenschutz-Grundverordnung, Art. 15 DSGVO, Rz. 23; siehe auch Haidinger in Knyrim [Hrsg.], DatKomm, Art. 15 DSGVO, Rz. 38).
Da die Erstbeschwerdegegnerin auch in diesem Punkt ausschließlich Datenkategorien im Zusammenhang mit dem Userprofil bekannt gegeben hat (siehe Punkt C.10.) sowie im Sinne des zu Punkt a) Gesagten im Zusammenhang mit der Medienberichterstattung vom 1. September 2021 auch hier keine rechtfertigende Auskunftsverweigerungsausnahme vorliegt, ist auch in diesem Punkt Mangelhaftigkeit der Auskunft festzustellen.
d) Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO)
Der EuGH hat bereits festgehalten, dass das Recht auf Auskunft über die Empfänger oder Kategorien der Empfänger als Instrument dient, um die nötigen Nachprüfungen durchführen und insbesondere um überprüfen zu können, ob die Empfänger zur Verarbeitung befugt sind (vgl. das Urteil des EuGH vom 7. Mai 2009, C-553/07 [ Rijkeboer ], Rz. 49).
Gemäß Art. 15 Abs. 1 lit. c DSGVO hat der Verantwortliche einer betroffenen Person die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, mitzuteilen.
Wie den Feststellungen entnommen werden kann, hat die Erstbeschwerdegegnerin dem Erstbeschwerdeführer mitgeteilt, dass die Daten durch ihre IT-Dienstleister und durch Unternehmen M***-Gruppe verarbeitet werden (siehe Punkt C.10.).
Nicht beauskunftet wurde hingegen die der Online-Ausgabe vom 1. September 2021 (siehe Punkt C.4.) immanente Offenlegung an die Öffentlichkeit. Es wäre somit zumindest zu beauskunften, dass die Daten im Zuge des Artikels der breiten Öffentlichkeit zugegangen sind. Ein entgegenstehendes schützenswertes Interesse kann nicht erblickt werden.
Ob weitere Übermittlungen erfolgten, konnte im Rahmen des Ermittlungsverfahrens nicht festgestellt werden.
Die Auskunft erscheint daher auch in diesem Punkt mangelhaft.
e) Geplante Speicherdauer (Art. 15 Abs. 1 lit. d DSGVO)
Vom Verantwortlichen sind, falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer zu beauskunften.
Den Feststellungen folgend, teilte die Erstbeschwerdegegnerin dem Erstbeschwerdeführer weder im Zusammenhang mit dem Userprofil noch im Zusammenhang mit der Medienberichterstattung die Dauer, für die die personenbezogenen Daten gespeichert werden oder die Kriterien für die Festlegung dieser Dauer mit. Ein entgegenstehendes schützenswertes Interesse, welches die Nicht-Auskunft der Speicherdauer rechtfertigt, kann nicht erblickt werden.
Im Ergebnis ist die Beschwerdegegnerin ihrer Auskunft nach Art. 15 Abs. 1 lit. d DSGVO nicht nachgekommen.
f) Angaben über Betroffenenrechte und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art. 15 Abs. 1 lit. e und f DSGVO)
Die Information über die Rechte der betroffenen Person sowie über das Beschwerderecht bei einer Aufsichtsbehörde haben bei Geltendmachung des Auskunftsrechts durch den Betroffenen unaufgefordert zu geschehen. Die Auskunft erschöpft sich hierbei in einem abstrakten Hinweis auf diese Rechte (vgl. Haidinger in Knyrim [Hrsg.], DatKomm, Art. 15 DSGVO, Rz. 47; sowie Jahnel in Jahnel [Hrsg.], Kommentar zur Datenschutz-Grundverordnung, Art. 15 DSGVO, Rz. 30).
Feststellungsgemäß informierte die Erstbeschwerdegegnerin den Erstbeschwerdeführer über seine Betroffenenrechte sowie sein Beschwerderecht bei der Datenschutzbehörde, weshalb in diesem Punkt keine Mangelhaftigkeit der Auskunft erkannt werden kann.
g) Informationen über die Herkunft der personenbezogenen Daten, falls diese nicht bei der betroffenen Person erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO)
Gemäß Art. 15 Abs. 1 lit. g DSGVO hat die betroffene Person, wenn die personenbezogenen Daten nicht bei dieser erhoben werden, das Recht auf Auskunft auf alle verfügbaren Informationen über die Herkunft der Daten.
Die Verweigerung der Zurverfügungstellung der Auskunft über die Herkunft der Daten wäre nach dem zuvor Gesagten dann gerechtfertigt, wenn die Geheimhaltungsinteressen der Erstbeschwerdegegnerin bzw. Dritter (konkret: der Informationsquelle der Erstbeschwerdegegnerin) gegenüber dem Auskunftsinteresse des Erstbeschwerdeführers überwiegen.
Entsprechend § 31 Abs. 1 MedienG haben Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmers eines Medienunternehmens oder Mediendienstes das Recht, in einem Strafverfahren oder sonst in einem Verfahren vor Gericht oder einer Verwaltungsbehörde als Zeugen die Beantwortung von Fragen zu verweigern, die die Person des Verfassers, Einsenders oder Gewährsmannes von Beiträgen und Unterlagen oder die ihnen im Hinblick auf ihre Tätigkeit gemachten Mitteilungen betreffen. Nach dessen Abs. 2 darf das im Abs. 1 angeführte Recht nicht umgangen werden, insbesondere dadurch, dass dem Berechtigten die Herausgabe von Schriftstücken, Druckwerken, Bild- oder Tonträgern oder Datenträgern, Abbildungen und anderen Darstellungen mit solchem Inhalt aufgetragen wird oder diese beschlagnahmt werden.
Da es sich bei der Erstbeschwerdegegnerin unstrittig um ein Medienunternehmen handelt und die Beauskunftung der Herkunft der Daten den in § 31 MedienG normierten Schutz des Redaktionsgeheimnisses umgehen würde, hat die Erstbeschwerdegegnerin die Auskunft in diesem Punkt zu Recht verweigert.
h) Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 15 Abs. 1 lit. h DSGVO)
Die Erstbeschwerdegegnerin hat hierzu keine Auskunft erteilt, es bestehen im vorliegenden Verfahren jedoch keine Anhaltspunkte, dass eine automatisierte Entscheidungsfindung vorgenommen wird, weshalb es diesbezüglich nichts zu beauskunften gab.
i) Verfügungsstellung einer Kopie nach Art. 15 Abs. 3 DSGVO
Gemäß Art. 15 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.
Im Hinblick auf die behauptete Nichtzurverfügungstellung einer Kopie im Sinne des Art. 15 Abs. 3 DSGVO betreffend die der Medienberichterstattung zugrundeliegende „E-Mail-Nachricht“, welche der Erstbeschwerdegegnerin von einer dritten Person zugespielt worden ist, kann auf die in Punkt g) getroffene Abwägung verwiesen werden. So käme auch eine Herausgabe einer Kopie nach Art. 15 Abs. 3 einer Umgehung des zitierten Redaktionsgeheimnisses gleich.
Insgesamt war daher spruchgemäß zu entscheiden.
Zu Spruchpunkt III
Zum Leistungsauftrag
Nach Art. 58 Abs. 2 lit. c DSGVO war der Erstbeschwerdegegnerin daher im Ergebnis aufzutragen, dem Antrag des Erstbeschwerdeführers auf Auskunft seiner personenbezogenen Daten – entsprechend Spruchpunkt II - zu entsprechen.
Eine Frist von vier Wochen scheint angemessen, um dem Leistungsauftrag zu entsprechen.
Es war daher spruchgemäß zu entscheiden.
Zu Spruchpunkt IV
2) An die Zweitbeschwerdeführerin
Wie den Feststellungen zu entnehmen ist, erfolgte seitens der Erstbeschwerdegegnerin weder eine inhaltliche Auskunft noch eine sonstige Reaktion – insbesondere auch keine Unterrichtung über die Gründe für die Nicht-Entsprechung –, sondern ist diese, trotz erfolgreicher Zustellung des Auskunftsantrages, schlicht untätig geblieben (siehe Punkt C.9.).
Im Ergebnis hat die Erstbeschwerdegegnerin durch die vorliegende Nichtreaktion gegen ihre Verpflichtung nach Art. 12 Abs. 3 und Abs. 4 DSGVO verstoßen und die Zweitbeschwerdeführerin dadurch im Recht auf Auskunft gemäß § 1 Abs. 3 Z 1 DSG iVm Art. 15 Abs. 1 DSGVO verletzt.
Der Beschwerde war daher stattzugeben .
Zu Spruchpunkt V
Zum Leistungsauftrag
Nach Art. 58 Abs. 2 lit. c DSGVO war der Erstbeschwerdegegnerin daher im Ergebnis aufzutragen, dem Antrag der Zweitbeschwerdeführerin auf Auskunft ihrer personenbezogenen zu entsprechen bzw. bekannt zu geben, weshalb eine Auskunftserteilung in einzelnen Punkten gegebenenfalls (z.B. Aufgrund bestehender Ausnahmen) nicht möglich ist.
Eine Frist von vier Wochen scheint angemessen, um dem Leistungsauftrag zu entsprechen.
Es war daher spruchgemäß zu entscheiden.
Zu Spruchpunkt VI
Zur Beauskunftung des Zweitbeschwerdegegners
1) An den Erstbeschwerdeführer
Wie festgestellt, erteilte der Zweitbeschwerdegegner dem Erstbeschwerdeführer in seiner Auskunft vom 11. Oktober 2021 ausschließlich Auskunft über seine Stammdaten im Zusammenhang mit seiner N***-DIGITAL-SAT-Karte und im Zusammenhang mit der Verarbeitung seiner Daten mit dem Auskunftsbegehren.
Im Hinblick auf die Verarbeitungen im Rahmen der genannten Punkte wurde die Auskunft – entsprechend der Feststellungen – gemäß der von Art. 15 Abs. 1 lit. a bis lit. h und Abs. 3 DSGVO geforderten Informationen aus Sicht der Datenschutzbehörde vollständig erfüllt. Der Erstbeschwerdeführer monierte die erteilte Auskunft im Zusammenhang mit seiner N***-DIGITAL-SAT-Karte und dem von ihm gestellten Auskunftsbegehren nicht. Vielmehr sieht er die Unvollständigkeit der Auskunft - wie bereits eingangs erörtert - darin gelegen, keine Auskunft über jene personenbezogenen Daten erhalten zu haben, die mit der Berichterstattung der Kompromittierung des Postfachs der Zweitbeschwerdeführerin in Zusammenhang stehen.
Die oben angeführte Feinprüfung mit getroffener Interessenabwägung betreffend die Erstbeschwerdegegnerin kann im Zusammenhang mit der Medienberichterstattung am 1. September 2021 auch auf die zu durch den Zweitbeschwerdegegner an den Erstbeschwerdeführer zu erteilende Auskunft im Hinblick auf die Medienberichterstattung aufgrund der gleichgelagerten Interessenlage herangezogen werden.
Konkret wären betreffend die Medienberichterstattung vom 1. September 2021 des Zweitbeschwerdegegners demnach überdies folgende Informationen an den Erstbeschwerdeführer zu erteilen gewesen:
- Auskunft über die konkret verarbeiteten (Stamm-)Daten (Art. 15 Abs. 1 DSGVO)
- Auskunft über die Zwecke der Datenverarbeitung (Art. 15 Abs. 1 lit. a DSGVO)
- Auskunft über die Kategorien personenbezogener Daten, die verarbeitet werden (Art. 15 Abs. 1 lit. b DSGVO)
- Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO)
- geplante Speicherdauer (Art. 15 Abs. 1 lit. d DSGVO).
Im Hinblick auf die Erteilung von Informationen über die Herkunft der personenbezogenen Daten gemäß Art. 15 Abs. 1 lit. h DSGVO und Art. 15 Abs. 3 DSGVO kann auf das zu Spruchpunkt II Punkt 1) g) Gesagte verwiesen werden und konnte der Zweitbeschwerdegegner die Auskunft in diesem Punkt zu Recht verweigern.
Die Beschwerde erwies sich daher in den genannten Punkten als berechtigt und war eine Verletzung des Rechts auf Auskunft im angeführten Umfang spruchgemäß festzustellen.
Zu Spruchpunkt VII
Zum Leistungsauftrag
Nach Art. 58 Abs. 2 lit. c DSGVO war dem Zweitbeschwerdegegner daher im Ergebnis aufzutragen, dem Antrag des Erstbeschwerdeführers auf Auskunft seiner personenbezogenen Daten – entsprechend Spruchpunkt VI zu entsprechen.
Eine Frist von vier Wochen scheint angemessen, um dem Leistungsauftrag zu entsprechen.
Es war daher spruchgemäß zu entscheiden.
Zu Spruchpunkt VIII
2) An die Zweitbeschwerdeführerin
Da auch im Hinblick auf die Auskunft des Zweitbeschwerdegegners an die Zweitbeschwerdeführerin eine gleichgelagerte Interessenlage wie bei der Auskunftserteilung der Zweitbeschwerdegegnerin an den Erstbeschwerdeführer vorliegt, wäre auch in diesem Zusammenhang grundsätzlich eine Auskunftserteilung im genannten Umfang (vgl. dazu D.4.1., „Zu Spruchpunkt VI“ Zur Beauskunftung des Zweitbeschwerdegegners 1) An den Erstbeschwerdeführer) zu erteilen.
Da die Zweitbeschwerdeführerin vom Zweitbeschwerdegegner jedoch ausschließlich Auskunft im Sinne des § 1 Abs. 3 Z 1 DSG dahingehend verlangte, „ welche Daten und Geschäftsgeheimnisse zu welchem Zweck verarbeitetet werden und an wen diese übermittelt wurden oder werden “ und der Auskunftsantrag den Prüfungsmaßstab des Beschwerdeverfahrens absteckt, war nachstehend ausschließlich die Vollständigkeit der Auskunft in jenen Punkten herauszugreifen.
Der Zweitbeschwerdegegner hätte daher folgende Informationen zu erteilen gehabt:
- Auskunft über die konkret verarbeiteten (Stamm-)Daten (§ 1 Abs. 3 iVm Art. 15 Abs. 1 DSGVO)
- Auskunft über die Zwecke der Datenverarbeitung (§ 1 Abs. 3 iVm Art. 15 Abs. 1 lit. a DSGVO)
- Empfänger oder Kategorien von Empfängern (§ 1 Abs. 3 iVm Art. 15 Abs. 1 lit. c DSGVO).
Die Beschwerde erwies sich daher in den genannten Punkten als berechtigt und war eine Verletzung des Rechts auf Auskunft im angeführten Umfang spruchgemäß festzustellen.
Zu Spruchpunkt IX
Zum Leistungsauftrag
Nach Art. 58 Abs. 2 lit. c DSGVO war dem Zweitbeschwerdegegner daher im Ergebnis aufzutragen, dem Antrag der Zweitbeschwerdeführerin auf Auskunft ihrer personenbezogenen Daten – entsprechend Spruchpunkt VIII - zu entsprechen.
Eine Frist von vier Wochen scheint angemessen, um dem Leistungsauftrag zu entsprechen.
Es war daher spruchgemäß zu entscheiden.
Zu Spruchpunkt X
D.5. Zur behaupteten Verletzung im Recht auf Geheimhaltung
Gegenständlich begehrt die Zweitbeschwerdeführerin die Feststellung einer behaupteten Verletzung im Recht auf Geheimhaltung durch die Erstbeschwerdegegnerin, indem diese den Erhalt und Inhalt der Beantwortung des von der Zweitbeschwerdeführerin an die Erstbeschwerdegegnerin gestellten Löschbegehrens gegenüber dem Zweitbeschwerdegegner offengelegt hat.
D.5.1. Allgemeines zum Recht auf Geheimhaltung
Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind. Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung heranzuziehen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB D123.076/0003 DSB/2018).
Beschränkungen des Anspruchs auf Geheimhaltung sind gemäß § 1 Abs. 2 DSG dann zulässig, wenn personenbezogene Daten im lebenswichtigen Interesse des Betroffenen verwendet werden, der Betroffene seine Zustimmung (bzw. in der Terminologie der DSGVO: Einwilligung) erteilt hat, wenn eine qualifizierte gesetzliche Grundlage für die Verwendung besteht, oder wenn die Verwendung durch überwiegende berechtigte Interessen eines Dritten gerechtfertigt ist.
D.5.2. Zur Rechtmäßigkeit der Verarbeitung
Als Rechtfertigungsgrund kommt im vorliegenden Fall – wie auch von der Erstbeschwerdegegnerin implizit vorgebracht – eine Datenverarbeitung aufgrund überwiegender berechtigter Interessen im Sinne des § 1 Abs. 2 DSG bzw. Art. 6 Abs. 1 lit. f DSGVO in Betracht.
Hierzu hat eine Bewertung der berechtigten Interessen der Zweitbeschwerdeführerin zu erfolgen und sind diese den berechtigten Interessen der Erstbeschwerdegegnerin (sowie allenfalls Dritter) gegenüberzustellen.
Im Rahmen dieser Interessenabwägung ist zu berücksichtigen, dass zwei kumulative Voraussetzungen gegeben sein müssen, damit sich die Erstbeschwerdegegnerin auf diesen Erlaubnistatbestand stützen kann: einerseits muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, andererseits dürfen Grundrechte und Grundfreiheiten der betroffenen Person (gegenständlich: der Zweitbeschwerdeführerin), die den Schutz personenbezogener Daten erfordern, nicht überwiegen (vgl. das Urteil des EuGH vom 24. November 2011, C-468/10 und C-469/10 [ASNEF und FECEMD] Rz. 38; siehe ferner auch das Urteil des EuGH vom 4. Mai 2017, C‑13/16 [Rīgas satiksme] Rz. 28).
Im Rahmen der Interessensabwägung ist überdies zu berücksichtigen, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftiger Weise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Die Gewichtung hat aus objektiver Sicht und nicht aus der subjektiven Sicht einzelner betroffener Personen zu erfolgen, nicht zu berücksichtigen sind also individuelle Befindlichkeiten (vgl. Kastelitz/Hötzendorfer/Tschohl , aaO Rz 51).
D.5.3. In der Sache
Die Erstbeschwerdegegnerin führte in diesem Zusammenhang aus, dass die Verarbeitung aufgrund der notwendigen Abstimmung mit der Zweitbeschwerdegegnerin im Rahmen der Recherchegemeinschaft in ihrer Eigenschaft als Medienunternehmen erfolgt ist.
Medien nehmen in einer demokratischen Gesellschaft als "public watchdog " eine zentrale Rolle im öffentlichen Interesse wahr (vgl. zB EGMR 8.11.2016 [GK], Fall Magyar Helsinki Bizottság, Appl. 18.030/11; VfGH 4.3.2021, E 4037/2020), weshalb auch der Abstimmung im Rahmen einer Recherchegemeinschaft ein berechtigtes Interesse - als Ausfluss der Freiheit der Meinungsäußerung gemäß Art. 10 EMRK bzw. Art. 11 EU-GRC - zuzubilligen ist.
Art. 11 EU-GRC legt zwei wechselbezügliche Schutzbereiche fest: Einerseits die (aktive) Meinungsäußerungsfreiheit des Sprechers und andererseits die (passive) Informationsfreiheit des Empfängers. Im Zusammenwirken dieser beiden Elemente wird ein Austausch von Information und Meinung im Sinn einer umfassenden Kommunikationsfreiheit gewährleistet .
Zu prüfen ist daher, ob die berechtigten Interessen der Erstbeschwerdegegnerin – nämlich der Informationsaustausch zwischen den Beschwerdegegnern – gegenüber dem Interesse der Zweitbeschwerdeführerin auf Schutz ihrer personenbezogenen Daten überwiegen.
So ist zunächst festzuhalten, dass die Zweitbeschwerdeführerin von beiden Beschwerdegegnern jeweils in identen Begehren (siehe Punkt C.6.) am 2. September 2021 die Löschung jener Nachricht, welche den Grundstein für die Berichterstattung der Beschwerdegegner vom 1. September 2021 (siehe Punkt C.4. und C.5.) bildete verlangte. Im Hinblick auf eine durch die Begehren notwendig gewordene Reaktion war – aufgrund der identen Begehren und bestehender Recherchegemeinschaft – eine einheitliche Vorgehensweise bzw. Entscheidung über Löschung der die Berichterstattung zugrundeliegenden Nachricht geboten.
Die Zweitbeschwerdeführerin hätte überdies mit einem derartigen Vorgehen rechnen können , denn war dieser der Umstand, dass die Beschwerdegegner eine Recherchegemeinschaft betreiben durchaus bekannt, da sie diesen Umstand sogar selbst in ihrer verfahrenseinleitenden Eingabe vom 26. November 2021 vorbrachte (siehe Punkt A.1.).
Ebenso ist für die Datenschutzbehörde nicht ersichtlich, inwiefern weniger eingriffsintensive Mittel bestehen würden, um den erstrebten Zweck, sich innerhalb der zwischen den Beschwerdegegnern bestehenden Recherchegemeinschaft auszutauschen, erreichen zu können, weshalb es sich um das gelindeste zur Verfügung stehende Mittel handelt .
Die Datenschutzbehörde kommt daher in einer Gesamtschau zu dem Ergebnis, dass aufgrund der durchgeführten Interessenabwägung keine Verletzung im Recht auf Geheimhaltung vorliegt, da die dargelegten Interessen der Erstbeschwerdegegnerin (Freiheit der Meinungsäußerung) gegenüber den Interessen der Erstbeschwerdeführerin (Grundrecht auf Geheimhaltung) überwiegen.
Es war daher spruchgemäß zu entscheiden.
Die gegen diesen Bescheid erhobenen Bescheidbeschwerden sind vom BVwG mit Erkenntnis vom 6. Juni 2024, GZlen: W108 2280859-1/8E, W108 2280913-1/8E und W108 2281423-1/8E , als unbegründet abgewiesen worden. Die ordentliche Revision ist nicht zugelassen worden. Eine außerordentliche Revision an den VwGH ist der Datenschutzbehörde bis dato (6. August 2024) nicht zur Kenntnis gelangt.