2023-0.594.826 – Datenschutzbehörde Entscheidung
Text
GZ: 2023-0.594.826 vom 18. Dezember 2023 (Verfahrenszahl: DSB-D124.0809/23)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert. Der Name der Erstbeschwerdegegnerin, einer internationalen Organisation mit eigener Rechtspersönlichkeit, konnte nicht pseudonymisiert werden, da das von Österreich mit der OSZE geschlossene Amtssitzabkommen Teil der Rechtsgrundlagen der Entscheidung ist. Dem Geheimhaltungsrecht (§ 1 DSG) und Geheimhaltungsinteresse der Erstbeschwerdegegnerin, einer juristischen Person, steht der gesetzliche Auftrag gemäß § 23 Abs. 2 DSG gegenüber, wobei es sich hier um eine Entscheidung von grundsätzlicher Bedeutung für die Allgemeinheit handelt, da einige Rechtsfragen hier erstmals behandelt worden sind. Die Entscheidung war daher, trotz Unmöglichkeit der vollständigen Pseudonymisierung, wegen Überwiegens des allgemeinen Interesses an der Veröffentlichung in die Entscheidungsdokumentation der Datenschutzbehörde aufzunehmen.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Botschafter Dr. Theodor D*** (Erstbeschwerdeführer) und Charlotte D***, LL.M. (Zweitbeschwerdeführerin), beide vertreten durch die B*** Rechtsanwälte OG, vom 18. April 2023 gegen die OSZE – Organisation für Sicherheit und Zusammenarbeit in Europa (Erstbeschwerdegegnerin), Ursula G*** (Zweitbeschwerdegegnerin), Irmgard H*** (Drittbeschwerdegegnerin), Otto J*** (Viertbeschwerdegegner) und Paul K*** (Fünftbeschwerdegegner) wegen Verletzung im 1) Recht auf Geheimhaltung, 2) Recht auf Auskunft und 3) Recht auf Löschung wie folgt:
1. Die Beschwerde wird hinsichtlich der von den Beschwerdeführern vorgebrachten Verletzung im Recht auf Geheimhaltung, Recht auf Auskunft und Recht auf Löschung durch die Zweitbeschwerdegegnerin, die Drittbeschwerdegegnerin, den Viertbeschwerdegegner und den Fünftbeschwerdegegner abgewiesen .
2. Die Beschwerde wird hinsichtlich der von den Beschwerdeführern vorgebrachten Verletzung im Recht auf Geheimhaltung, Recht auf Auskunft und Recht auf Löschung durch die Erstbeschwerdegegnerin zurückgewiesen .
Rechtsgrundlagen : Art. 15, Art. 17, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Abkommen zwischen der Republik Österreich und der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) über den Amtssitz der Organisation für Sicherheit und Zusammenarbeit in Europa, BGBl. III Nr. 84/2018 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. In der verfahrenseinleitenden Eingabe vom 18. April 2023 behaupteten die anwaltlich vertretenen Beschwerdeführer von den oben angeführten Beschwerdegegnern im Recht auf Auskunft, Recht auf Löschung und Recht auf Geheimhaltung verletzt worden zu sein.
Erklärend führten die Beschwerdeführer aus, dass es sich bei dem Erstbeschwerdeführer um den von der Regierung von **** entsandten Botschafter handle, welcher für die Erstbeschwerdegegnerin seit dem 1. Mai 2022 für die Dauer von 12 Monaten Projektkoordinator für W*** sei. Der Erstbeschwerdeführer sei mit der Zweitbeschwerdeführerin seit 13. Mai 2022 verheiratet.
Bei der Erstbeschwerdegegnerin handle es sich um eine internationale Organisation mit Sitz in Wien und sie genieße - wie auch ihre Angestellten - Immunität in Bezug auf die österreichische Gerichtsbarkeit. Aus dem Wortlaut des Amtssitzabkommens lasse sich jedoch nicht ableiten, dass ebenfalls eine Befreiung vor behördlichen Verfahren, wie jenem vor der Datenschutzbehörde, bestehe. Zudem beschränke sich die Immunität bei den Angestellten immer auf den Umfang ihrer amtlichen Funktion.
Die Beschwerde richte sich zum einen gegen die Erstbeschwerdegegnerin als internationale Organisation, zum anderen gegen die Zweitbeschwerdegegnerin, welche die Funktion der **** der Erstbeschwerdegegnerin wahrnehme, gegen die Drittbeschwerdegegnerin, welche die Direktorin des Amtes für **** der Erstbeschwerdegegnerin sei, gegen den Viertbeschwerdegegner, bei dem es sich um den ***Inspektor der Erstbeschwerdegegnerin handle, und gegen den Fünftbeschwerdegegner, welcher ebenfalls ein ***Inspektor der Erstbeschwerdegegnerin sei.
Am 20. April 2022 sei von der Erstbeschwerdegegnerin eine interne Untersuchung gegen den Erstbeschwerdeführer eingeleitet worden, die auf einer von ihrer ehemaligen Mitarbeiterin am 18. April 2022 eingebrachten Beschwerde, worin diese eine sexuelle Belästigung und eine Diskriminierung vorgebracht habe, beruhe. Der Erstbeschwerdeführer habe sodann eine umfassende Stellungnahme verfasst, aus welcher hervorgehe, dass die Behauptungen nicht der Richtigkeit entsprechen würden.
Im Zuge der von der Mitarbeiterin eingereichten Beschwerde bei der Erstbeschwerdegegnerin seien Whatsapp- und Telegram-Kommunikation, insbesondere zwischen dieser und dem Erstbeschwerdeführer sowie zwischen diesem und der Zweitbeschwerdeführerin, offengelegt worden. Die darin ersichtliche Kommunikation zeige aber kein belästigendes oder diskriminierendes Verhalten.
Die Erstbeschwerdegegnerin nehme solche Beschwerden sehr ernst und habe dem Erstbeschwerdeführer am 11. Mai 2022 mitgeteilt, dass Untersuchungen eingeleitet werden würden. Diese aufgenommenen Ermittlungen würden auf der für die Mitarbeiter der Erstbeschwerdegegnerin angewendeten Regelung namens Staff Instruction No. 21/Rev.1 bzw. seinem Annex 2, Paragraph 2.9 ( Formal Procedures for addressing Allegations of Violation of the Professional Working Environment) basieren , welche ebenfalls Untersuchungen gegen Mitarbeiter beinhalten würden.
Die Zweitbeschwerdegegnerin habe entschieden, die Angelegenheit an das Office of **** der Erstbeschwerdegegnerin zu übergeben, damit weitere Erhebungen gegen den Erstbeschwerdeführer vorgenommen werden würden. Im Juli 2022 sei eine Befragung des Erstbeschwerdeführers durch den Viert- und Fünftbeschwerdegegner erfolgt und im Rahmen dieses Geschehens sei ebenfalls das Diensthandy beschlagnahmt worden. Der Erstbeschwerdeführer habe jedoch weder der Beschlagnahme seines Diensthandys - konkret einem Samsung Smartphone S/N: *U*T*87*; OSCE Asset Tag Number *4*9***3*2 - noch der Auswertung der auf diesem befindlichen bzw. über das Diensthandy zugänglichen Dateien (digitale Forensik und Analyse) zugestimmt. Die Erstbeschwerdegegnerin habe sich für die Auswertung der Dateien des Mobiltelefons des Unternehmens M*** Forensics bedient. Somit sei es zu einer Übermittlung ins EU-Ausland gekommen, worüber der Erstbeschwerdeführer aber nicht informiert worden sei. Die Auswertung des Diensthandys sei von der Drittbeschwerdegegnerin veranlasst worden. Ebenfalls seien am Vorgang der Untersuchung die Zweit- und Drittbeschwerdegegnerin sowie der Viert- und Fünftbeschwerdegegner involviert gewesen. Die beiden letztgenannten Beschwerdegegner hätten über einen Zeitraum von vier Monaten Analysen der ermittelten Daten durchgeführt und seien zu unrichtigen Schlüssen gekommen.
Im Rahmen der durchgeführten Forensik und Analyse des Diensthandys des Erstbeschwerdeführers, mit welcher am 19. August 2022 begonnen worden sei, sei eine Vielzahl von Inhalten (bezeichnet als digitale Artefakte) extrahiert und analysiert worden. Es seien [Anmerkung Bearbeiter/in: Zahlenangaben aus Pseudonymisierungsgründen um die Ziffern der letzten 2 Stellen gekürzt] ca. 3.8** Kontakte, 1.851.4** Nachrichten, 1.6** V***-Mails und 1.246.6** Dateien (offenbar Fotos) extrahiert worden. Auch bereits gelöschte Inhalte seien wiederhergestellt worden. Die Behauptungen der Mitarbeiterin seien zwar nicht bestätigt worden, jedoch sei dem Erstbeschwerdeführer dennoch im November 2022 bekannt gegeben worden, dass die extrahierten bzw. gelöschten und wiederhergestellten Fotos sowohl Nacktheit als auch pornografische Inhalte enthalten hätten und aus diesem Grund gegen den Erstbeschwerdeführer ein Verfahren wegen Verletzung des OSCE-Codes of Conduct sowie der Financial and Administrative Instruction 12 „ Policy on Use of OSCE Computing Resources “ eingeleitet werde. Die extrahierten Daten würden zu einem großen Teil das Privat- und Familienleben des Erstbeschwerdeführers betreffen. Einige dieser versandten bzw. empfangenen Nachrichten hätten Fotos enthalten, die die Intimsphäre der Beschwerdeführer anbelangt hätten. Ebenfalls seien die Gesundheitsdaten der Eltern des Erstbeschwerdeführers betroffen gewesen. Das Diensthandy sei weiters in zwei Profile unterteilt gewesen („ private profile“ und „ work profile“ ).
Aufgrund der mit der Analyse seiner privaten Daten offenbarten Rechtsverletzungen sowie des Umstandes, dass die gewonnenen unrichtigen Analyseergebnisse mutmaßlich dienstrechtlichen Entscheidungen zugrunde gelegt worden seien, sei mit Schreiben seiner Rechtsvertreter vom 18. November 2022 ein Antrag bei der Erstbeschwerdegegnerin gestellt worden, worin diese aufgefordert worden sei, die unrechtmäßig erlangten Daten zu löschen und mitzuteilen, welchen Personen die den Beschwerdeführern zuzurechnenden personenbezogenen Daten übermittelt bzw. zugänglich gemacht worden seien. Die Erstbeschwerdegegnerin habe am 23. November 2022 mitgeteilt, dass diese aufgrund ihrer Immunität den beiden Anträgen nicht nachkommen werde. Der Erstbeschwerdeführer sei im Juni 2022 suspendiert worden und seine Bestellung habe am 30. April 2023 geendet.
Als Beilagen sind
die Verständigung von der Verfahrenseinleitung (Beilage ./A),
die Staff Instruction No. 21/Rev.1 (Beilage ./B),
ein Auszug des forensischen Berichtes vom 07. November 2022 (Beilage ./C),
der OSCE-Code of Conduct (Beilage ./D),
die E-Mail der Beschwerdeführervertreterin an die Erstbeschwerdegegnerin vom 18. November 2022 (Beilage ./E) sowie
die Antwort der Erstbeschwerdegegnerin vom 23. November 2022 (Beilage ./F)
angeschlossen gewesen.
2. In der ergänzenden Eingabe vom 16. Mai 2023 brachten die vertretenen Beschwerdeführer vor, dass zum einen die Beilagen nunmehr ebenfalls in der deutschen Sprache übermittelt worden seien, zum anderen wiesen diese nochmals darauf hin, dass auf dem Mobiltelefon ihre personenbezogenen Daten enthalten gewesen seien, die jedoch überwiegend ihrer Privatsphäre zuzuordnen seien und es sich überdies um sensible Daten handle. Eine Zustimmung sei von den Beschwerdeführern nicht erfolgt. Dem Antrag auf Löschung sei von der Erstbeschwerdegegnerin nicht entsprochen worden, vielmehr habe sich diese dezidiert geweigert. Auch blieb die Frage im Hinblick auf die Übermittlungsempfänger, an wen die Daten der Beschwerdeführer weitergeleitet worden seien, unbeantwortet. Die Erstbeschwerdegegnerin als internationale Organisation und die vier genannten natürlichen Personen, welche allesamt in einem dienstrechtlichen bzw. arbeitsrechtlichen Verhältnis zur dieser stehen würden, seien die Beschwerdegegner. Nochmals würden die Beschwerdeführer hervorheben wollen, dass nicht nur die beruflichen Daten ausgewertet worden seien, sondern darüber hinaus die privaten Inhalte, welche auch als solche gekennzeichnet gewesen seien. Es bestehe hierfür keine rechtliche Grundlage.
Als Beilagen sind in deutscher Sprache
die Verständigung von der Verfahrenseinleitung (Beilage ./A),
die Staff Instruction No. 21/Rev.1 (Beilage ./B),
ein Auszug des forensischen Berichtes vom 07. November 2022 (Beilage ./C),
der OSCE-Code of Conduct (Beilage ./D),
die E-Mail der Beschwerdeführervertreterin an die Erstbeschwerdegegnerin vom 18. November 2022 (Beilage ./E) sowie
die Antwort der Erstbeschwerdegegnerin vom 23. November 2022 (Beilage ./F)
angeschlossen gewesen.
3. Die Datenschutzbehörde hat mittels Aufforderung zur Stellungnahme vom 22. Mai 2023 die Beschwerde vom 18. April 2023, verbessert am 16. Mai 2023, gemäß § 11 Abs. 2 des Zustellgesetzes an die bezeichneten Beschwerdegegner über das Bundesministerium für europäische und internationale Angelegenheiten (BMEIA) zugestellt.
4. Die Datenschutzbehörde übermittelte den Beschwerdeführern im Rahmen des Parteiengehörs vom 27. Juli 2023 in Kopie den vom BMEIA zugegangenen Zustellnachweis vom 22. Juni 2023 und teilte weiters mit, dass eine Stellungnahme der Beschwerdegegner bis zum heutigen Tag nicht eingelangt ist.
5. Die anwaltlich vertretenen Beschwerdeführer gaben fernmündlich am 3. August 2023 bekannt, dass diese keine Stellungnahme im Rahmen des Parteiengehörs vom 27. Juli 2023 mehr einbringen werden.
6. Mit der Erledigung vom 29. August 2023 stellte die Datenschutzbehörde ein Amtshilfeersuchen an die österreichische Ständige Vertretung bei der OSZE mit der Frage, ob bei der OSZE interne datenschutzrechtliche Regularien existieren, und gegebenenfalls diese zu übermitteln. Zudem forderte die Datenschutzbehörde am 29. August 2023 die Beschwerdeführer auf, mitzuteilen, ob es interne Regelungen bei der Erstbeschwerdegegnerin gebe, welche der DSGVO ähnlich sind.
7. Mit der Stellungnahme vom 11. September 2023 ersuchten die anwaltlich vertretenen Beschwerdeführer um eine Erstreckung der Frist bis zum 26. September 2023. Innerhalb offener Frist brachten die Beschwerdeführer mit Eingabe vom 25. September 2023 vor, dass die Zweit- und Drittbeschwerdegegnerin sowie der Viert- und Fünftbeschwerdegegner in einem dienstrechtlichen Verhältnis zur Erstbeschwerdegegnerin stehen würden.
Im Jahr 2021 - nach dem Eintritt des Erstbeschwerdeführers in die Dienste der Erstbeschwerdegegnerin - seien mehrere Regelungen eingeführt worden. Hierbei handle es sich um Regelungen in Bezug auf:
- Informationen zu den Zielen der Informationssicherheit
- die OSZE-Richtlinie über die zulässige Nutzung von OSZE-Computerressourcen (FA 12)
- die OSZE-Richtlinie zur Informationssicherheit (FA 13)
Die Privatnutzung von mobilen Endgeräten sei in der OSZE-Richtlinie über die zulässige Nutzung von OSZE-Computerressourcen im Anhang 3 geregelt, wobei die mobilen Kommunikationsdienstgeräte primär für geschäftliche Zwecke zur Verfügung gestellt worden seien, jedoch eine private Nutzung ebenfalls zulässig sei. Unter Punkt 6.4 sei der Schutz von Daten geregelt, welcher vorsehe, dass der Zugriff auf Benutzerdaten und -informationen, einschließlich der von den Überwachungssystemen erfassten Daten, nur bestimmten Mitarbeitern genehmigt werden könne, wenn ein triftiger Grund dafür bestehe. Ohne Zustimmung des Benutzers sei eine Befugnis zum Zugriff nur durch den Generalsekretär und auch nur dann zu erteilen, wenn mutmaßliches Fehlverhalten eines Mitarbeiters vorliege, z.B. bei Verdacht auf einen Richtlinienverstoß, illegale Aktivitäten oder auch in Notfällen. Diese Gründe seien im gegenständlichen Fall jedoch nicht vorhanden. Es habe keine Veranlassung für die Auswertung der Daten des Diensthandys vom Erstbeschwerdeführer vorgelegen und schon gar nicht, dass private Inhalte unter Hinzuziehung einer Dienstleisterin im EU-Ausland forensisch ausgewertet werden würden. Andere Regelungen, die der DSGVO ähnlich sind bzw. ähnliche Regelungen zum Schutz von personenbezogenen Daten beinhalten, seien den Beschwerdeführern nicht bekannt.
Der Erstbeschwerdeführer sei in W*** stationiert und sohin von seiner in Wien wohnhaften Ehefrau (vormals Verlobten) räumlich getrennt gewesen. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin haben sich daher regelmäßig E-Mails sowie Chatnachrichten gesendet, woraus ebenfalls Daten zur sexuellen Orientierung zu entnehmen seien. Des Weiteren seien auf dem durch die Beschwerdegegner ausgewerteten Mobiltelefon diverse Impfzertifikate und Testergebnisse des Erstbeschwerdeführers gespeichert gewesen.
Als Beilagen sind
ein Screenshot vom Mobiltelefon des Erstbeschwerdeführers (Beilage ./J),
die Financial/Administrative Instruction 12 (Beilage ./ I),
die Financial/Administrative Instruction 13 (Beilage ./ H) sowie
Informationen zu den Zielen der Informationssicherheit (Beilage ./G)
angeschlossen gewesen.
8. In der Stellungnahme vom 5. Oktober 2023 übermittelte das BMEIA im Namen der österreichischen Ständigen Vertretung bei der OSZE aufgrund des Amtshilfeersuchens vom 29. August 2023 am 5. Oktober 2023 eine Eingabe, in welcher im Anhang die geltende datenschutzrechtliche Dienstanweisung der Erstbeschwerdegegnerin („ OSCE Personal Data Protection Administrative Instruction No. 2/2022 “) und die Financial/Administrative Instruction 12 „ OSCE Policy on Acceptable Use of OSCE Computing Resources“ der Erstbeschwerdegegnerin beigeschlossen gewesen sind.
B. Beschwerdegegenstand
1. Ausgehend vom Vorbringen des Erstbeschwerdeführers ist Beschwerdegegenstand die Frage, ob die Beschwerdegegner die Beschwerdeführer im Recht auf Geheimhaltung verletzt haben, indem diese eine Auswertung des Diensthandys des Erstbeschwerdeführers vorgenommen haben, auf welchem (sensible) personenbezogene Daten der Beschwerdeführer gespeichert waren.
2. Beschwerdegegenstand ist die weiters Frage, ob die Erstbeschwerdegegnerin die Beschwerdeführer in ihrem Recht auf Auskunft verletzt hat, indem diese nicht die Empfänger, welche die personenbezogenen Daten der Beschwerdeführer erhalten haben, beauskunftet hat.
3. Als Beschwerdegegenstand ergibt sich weiters die Frage, ob die Erstbeschwerdegegnerin die Beschwerdeführer dadurch in ihrem Recht auf Löschung verletzt hat, indem diese nicht deren im Rahmen der Untersuchung auf dem Diensthandy des Erstbeschwerdeführers sichergestellten personenbezogenen Daten der Beschwerdeführer gelöscht hat.
Zunächst ist jedoch zu prüfen, ob die Datenschutzbehörde zur Entscheidung in der Sache zuständig ist.
C. Sachverhaltsfeststellungen
1. Bei dem Erstbeschwerdeführer handelt sich um einen von der Regierung von **** entsandten Botschafter, welcher bei der Erstbeschwerdegegnerin mit 1. Mai 2022 gemäß den vertraglichen Bedingungen vom 30. April 2022 für die begrenzte Dauer von zwölf Monaten die Funktion des Projektkoordinators für die Außenstelle in Zentralasien (W***) wahrgenommen hat. Seit 13. Mai 2022 ist der Erstbeschwerdeführer mit der Zweitbeschwerdeführerin verheiratet.
[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Organisationsschema von der Website der Erstbeschwerdegegnerin kann im RIS nicht problemlos dargestellt werden und wurde daher entfernt. Es gibt eine Übersicht über besondere Missionen, Büros und Koordinatoren der OSZE in Ost- und Südosteuropa, im Südkaukasus und in Zentralasien.]
Beweiswürdigung : Diese Feststellungen beruhen auf der verfahrenseinleitenden Eingabe vom 18. April 2023 und stützen sich zudem auf die amtswegigen Recherchen vom 25. August 2023 und 23. Oktober 2023 unter der URL https://www.osce.org/files/f/documents/1/7/**4*1_2.pdf .
2. Bei der Erstbeschwerdegegnerin handelt es sich um eine internationale Organisation, welche ihren Amtssitz in Österreich unter der postalischen Anschrift Wallnerstraße 6, 1010 Wien hat. Die Zweitbeschwerdegegnerin bekleidet die Funktion der **** bei der Erstbeschwerdegegnerin. Die Drittbeschwerdegegnerin nimmt die Funktion der Direktorin des Amtes für **** bei der Erstbeschwerdegegnerin wahr. Bei dem Viert- und Fünftbeschwerdegegner handelt es sich um den ***Inspektor bzw. den Inspektor des Amtes für ****. Die Zweit- und Drittbeschwerdegegnerin sowie der Viert- und Fünftbeschwerdegegner stehen allesamt in einem dienstrechtlichen bzw. arbeitsrechtlichen Verhältnis zur Erstbeschwerdegegnerin.
Beweiswürdigung : Diese Feststellungen ergeben sich aus der verfahrenseinleitenden Eingabe vom 18. April 2023 der vertretenen Beschwerdeführer und deren ergänzenden Stellungnahme vom 16. Mai 2023. Die Feststellung, dass es sich bei der Zweitbeschwerdegegnerin um die **** der Erstbeschwerdegegnerin und bei der Drittbeschwerdegegnerin um die Direktorin des Amtes für **** handelt, stützt sich auf die amtswegigen Recherchen vom 16. August 2023 und 23. Oktober 2023 unter der URL https://www.osce.org/**s sowie https://www.osce.org/node/*3*0*9 . Die Feststellung, dass der Fünftbeschwerdegegner als Inspektor des Amtes für **** tätig ist, ergibt sich auch aus den amtswegigen Recherchen vom 25. August 2023 und 23. Oktober 2023 unter der URL https://at.linkedin.com/in/paulk*** . Ferner sind diese Feststellungen von den Beschwerdeführern in deren abschließender Stellungnahme vom 25. September 2023 bestätigt worden (vgl. Punkt 1 der Stellungnahme).
3. Am 20. April 2022 ist von der Abteilung für Personalwesen der Erstbeschwerdegegnerin aufgrund einer Beschwerde vom 18. April 2023 der ehemaligen Mitarbeiterin Frau Karla C*** eine interne Untersuchung gegen den Erstbeschwerdeführer eingeleitet worden. Diese fußt auf der für die Mitarbeiter der Erstbeschwerdegegnerin anwendbaren Regelung namens Staff Instruction No. 21/Rev.1 bzw. dem Annex 2, Paragraph 2.9. Die Zweitbeschwerdegegnerin hat entschieden, umfassendere Untersuchungen gegen den Erstbeschwerdeführer einzuleiten und ihm dies mit der Mitteilung vom 11. Mai 2022 durch Norman R*** zur Kenntnis gebracht. Im Juli 2022 ist der Erstbeschwerdeführer von dem Viert- und Fünftbeschwerdegegner einvernommen worden. Im Rahmen der Befragung ist das Diensthandy - Samsung Smartphone S/N:*U*T*87*; OSCE Asset Tag Nummer: *4*9***3*2 - des Erstbeschwerdeführers beschlagnahmt worden. Diese Vorgangsweise ist von der Drittbeschwerdegegnerin veranlasst worden.
Mitteilung vom 11. Mai 2022 (Formatierung nicht 1:1 dargestellt):
[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Schreiben der Personalabteilung der Erstbeschwerdegegnerin enthält neben dem oben angegebenen Inhalt die Namen des Beschwerdeführers, der die Beschwerde einreichenden Mitarbeiterin und weiterer Personen. Es kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Beweiswürdigung : Diese Feststellungen stützen sich auf die verfahrenseinleitende Eingabe vom 18. April 2023 und die darin übermittelten Beilagen. Die Feststellung, dass die Erstbeschwerdegegnerin eine interne Regelung für Personal bzw. Angestellte aufgestellt hat, ergibt sich aus dem Vorbringen der Beschwerdeführer, in welchen auf die konkreten Regelungen verwiesen wird sowie aus den übermittelten Beilagen.
4. Im Rahmen der Untersuchung ist eine forensische Untersuchung vorgenommen und bereits gelöschte Datensätze (Dokumente, Nachrichten und Fotos) sind wiederhergestellt worden. Alle Daten sind - trotz der Aufteilung des Diensthandys in einen privaten und dienstlichen Bereich - beginnend mit 19. August 2022 analysiert worden. Der Erstbeschwerdeführer ist am 6. September 2022 darüber in Kenntnis gesetzt worden, dass ein weiteres Verfahren wegen der Verletzung des Code of Conduct sowie der Financial and Administrative Instruction 12 „ Policy on Use of OSCE Computing Resources “ gegen ihn eingeleitet worden ist. Der forensische Bericht vom November 2022 hat ergeben, dass sich auf dem Diensthandy des Erstbeschwerdeführers unter anderem Dateien, die Nacktheit enthalten bzw. mit pornographischem Inhalt, befunden haben. Ebenfalls sind auf dem Mobiltelefon Covid-19 Impf- und Testzertifikate des Erstbeschwerdeführers gespeichert gewesen sowie seine Korrespondenzen, woraus die sexuelle Orientierung der beiden Beschwerdeführer hervorgegangen ist.
Mitteilung vom 7. November 2022 an den Erstbeschwerdeführer von dem Viertbeschwerdegegner für die Erstbeschwerdegegnerin (Formatierung nicht 1:1 dargestellt):
[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Schreiben der Erstbeschwerdegegnerin enthält den Namen des Beschwerdeführers, seine Funktion, die vorgenommenen Datenanalysen sowie einen Entwurf des Untersuchungsberichts mit der Zahl der auf dem Diensthandy gefundenen Dateien mit gemäß Verhaltensvorschriften der Erstbeschwerdegegnerin bedenklichem Inhalt (pornografische Abbildungen und Nacktbilder). Es kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Beweiswürdigung : Diese Feststellungen beruhen auf der verfahrenseinleitenden Eingabe vom 18. April 2023 (vgl. Punkt 3.10 und Punkt 3.11), dem darin enthaltenen Anhang mit der Bezeichnung Beilage ./C. und der ergänzenden Stellungnahme vom 25. September 2023 (vgl. Frage 3 der Stellungnahme).
5. Die Beschwerdeführer haben mit Schreiben vom 18. November 2022 einen Antrag auf Auskunft in Bezug auf die Empfänger der am Diensthandy ausgewerteten Dateien und einen Antrag auf Löschung bei der Erstbeschwerdegegnerin gestellt. Das Schreiben stellt sich auszugweise bildlich wie folgt dar (Formatierung nicht 1:1 dargestellt.):
Seite 3 und Seite 4 des Schreibens vom 18. Novembers 2022:
[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original des Bescheids als Faksimile (grafische Datei) auszugsweise wiedergegebene Schreiben der Vertreter der Beschwerdeführer wurde zwecks Wiedergabe im RIS mittels OCR wieder in ein Textdokument umgewandelt.]
„Sie sind darüber hinaus verpflichtet, alle Personen zu benennen, die Zugang zu den Inhalten des Mobiltelefons unseres Mandanten oder Ihren Ermittlungsergebnissen erhalten haben, einschließlich externer Dienstleister. Sie haben diese zu verpflichten, alle vorhandenen Inhalte zu löschen und die Vertraulichkeit zu wählen.
Aus den oben genannten Gründen fordern wir Sie auf, folgende Forderungen zu erfüllen:
alle Inhalte privater Natur unseres Mandanten, auf die OSZE Zugriff hat. zu löschen und diese Löschung schriftlich zu bestätigen;
alle privaten Inhalte (Kommunikation, Bilder usw.) unseres Mandanten geheim zu halten;
zu erklären, dass die Ergebnisse der Ermittlungen, die private Inhalte unseres Mandanten betreffen, nicht gegen ihn und seine derzeitige und künftige Position in der OSZE verwendet werden;
alle Personen zu benennen, die Zugang zum gesamten oder zu Teilen des Inhalts des Mobiltelefons unseres Kunden erhalten haben (einschließlich externer Dienstleister) und deren Vertraulichkeitserklärungen vorzulegen;
zu erklären, dass alle Ermittlungen gegen unseren Mandanten im Zusammenhang mit seinen privaten Inhalten eingestellt werden.
Die oben genannten Maßnahmen sind unverzüglich, spätestens jedoch bis zum 22. November 2022 durchzuführen .“
Beweiswürdigung : Diese Feststellungen ergeben sich aus der verfahrenseinleitenden Eingabe vom 18. April 2023.
6. Die Drittbeschwerdegegnerin hat für die Erstbeschwerdegegnerin geantwortet und den Beschwerdeführern mit Schreiben vom 23. November 2022 mitgeteilt, dass den Anträgen nicht entsprochen wird. Das Antwortschreiben vom 23. November 2022 stellt sich bildlich wie folgt dar (Formatierung nicht 1:1 dargestellt.):
[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Schreiben (E-Mail) der Drittbeschwerdegegnerin an den Erstbeschwerdeführer kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Es enthält unter anderem folgende Passagen: „Wir merken an, dass die Untersuchung der Verwendung eines von der OSZE ausgegebenen Telefons (Vermögensgegenstand) und sozialer Medien Teil eines internen Verwaltungsverfahrens ist, das durch das Gemeinsame Regelungs- und Verwaltungssystem der OSZE geregelt wird, das von den Teilnehmerstaaten gebilligt und so entwickelt wurde, dass es den entsprechenden internationalen Standards und Verwaltungsgesetzen entspricht. Auf dieser Grundlage fallen die internen Verwaltungsverfahren unter die von der Regierung des Gastlandes gewährten Vorrechte und Immunitäten.“ ]
Beweiswürdigung : Diese Feststellungen stützen sich auf die verfahrenseinleitende Eingabe vom 18. April 2023 und die darin übermittelte Beilage (E-Mail der Drittbeschwerdegegnerin vom 23. November 2022 an den Erstbeschwerdeführer).
7. Die Erstbeschwerdegegnerin verfügt über interne datenschutzrechtliche Regularien.
Beweiswürdigung : Diese Feststellungen beruhen auf der im Rahmen des Amtshilfeersuchens vom 29. August 2023 vom BMEIA im Namen der österreichischen Ständigen Vertretung bei der OSZE am 5. Oktober 2023 vorgelegten Beilage „OSCE Personal Data Protection Administrative Instruction No. 2/2022“.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Allgemein
Gemäß Art. 77 Abs. 1 DSGVO bzw. § 24 Abs. 1 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO bzw. gegen § 1 oder Artikel 2 des ersten Hauptstücks des DSG verstößt.
Gemäß Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit der DSGVO übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig .
Die Datenschutzbehörde ist somit die für das Hoheitsgebiet der Republik Österreich zuständige Aufsichtsbehörde (vgl. § 18 Abs. 1 DSG).
Zu Spruchpunkt 1:
D.2. Datenschutzrechtliche Rollenverteilung
Die Festlegung der datenschutzrechtlichen Rollenverteilung ist für das Beschwerdeverfahren nach § 24 DSG bzw. Art. 77 Abs. 1 DSGVO von entscheidender Bedeutung, da bestimmt wird, wer für die Einhaltung der jeweiligen Datenschutzbestimmungen verantwortlich ist, wie die betroffene Person ihre Rechte ausüben kann und letztlich auch gegen wen (also welchen Verantwortlichen) die Datenschutzbeschwerde gerichtet werden muss (Beschwerdegegner).
Nach Art. 4 Z 7 DSGVO ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle Verantwortlicher für eine Verarbeitung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dabei ist das wesentliche Kriterium die Entscheidungskomponente. Die Rolle des Verantwortlichen ergibt sich somit in erster Linie aus dem Faktum, dass eine bestimmte Stelle entschieden hat, personenbezogene Daten für ihre eigenen Zwecke zu verarbeiten. Der „Zweck“ beschreibt dabei ein erwartetes Ergebnis, während die „Mittel“ die Art und Weise festlegen, wie das erwartete Ergebnis erreicht werden soll (vgl. die EDSA Guidelines vom 2. September 2020 07/2020 zum Konzept des Verantwortlichen und Auftragsverarbeiters Rz 15 ff).
Auch wenn das DSG keine Legaldefinition zum Verantwortlichenbegriff beinhaltet, ist nach stRsp auch außerhalb des sachlichen Anwendungsbereiches der DSGVO grundsätzlich auf die Definition in Art. 4 Z 7 leg. cit. – somit auf die Entscheidungsbefugnis hinsichtlich Zweck und Mittel – sinngemäß zurückzugreifen (vgl. etwa das Erk. des BVwG vom 30. September 2020, GZ: W274 2225135-1).
Die ehemalige Art. 29-Datenschutzgruppe hat zudem ausgeführt, dass die Verarbeitung durch eine natürliche Person, die für ein Unternehmen arbeitet und die Daten innerhalb der Tätigkeit des Unternehmens nutzt, dem Unternehmen als verantwortliche Stelle zugerechnet wird (vgl. Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 00264/10/DE S 21; siehe weiters die Leitlinien 07/2020 des EDSA vom 2. September 2020).
D.2.1. Zur datenschutzrechtlichen Rolle der Zweit- und Drittbeschwerdegegnerin sowie des Viert- und Fünftbeschwerdegegners
Wie von der Datenschutzbehörde unter Punkt 3 der Feststellungen ausgeführt, stehen die Zweit- und Drittbeschwerdegegnerin sowie der Viert- und Fünftbeschwerdegegner allesamt in einem dienstrechtlichen bzw. arbeitsrechtlichen Verhältnis zur Erstbeschwerdegegnerin.
Eine Überschreitung ihrer Kompetenzen als **** (Zweitbeschwerdegegnerin), als Direktorin des Amtes für **** (Drittbeschwerdegegnerin), als ***Inspektor (Viertbeschwerdegegner) bzw. als Inspektor des Amtes für **** (Fünftbeschwerdegegner) kann aus dem Vorbringen der Beschwerdeführer nicht abgeleitet werden. Da die Erstbeschwerdegegnerin derartige Beschwerden bzw. Behauptungen „ sehr ernst“ nimmt (vgl. Stellungnahme der Beschwerdeführer vom 18. April 2023) und im Rahmen der internen Regelungen (Staff Instruction No. 21/Rev.1 bzw. seinem Annex 2, Paragraph 2.9. bzw. Codes of Conduct sowie der Financial and Administrative Instruction 12 „Policy on Use of OSCE Computing Resources“) auch entsprechende Untersuchungen bei Vorliegen derartiger Beschwerden vorgesehen sind, sind die Beschwerdegegner mit der Durchführung von Erhebungen beauftragt worden.
Da die einzelnen durchgeführten Handlungen der Mitarbeiter im Rahmen ihrer beruflichen Tätigkeit für die Erstbeschwerdegegnerin vorgenommen wurden und daher auch dieser zuzuordnen sind, konnte eine Überschreitung ihrer Kompetenzen nicht festgestellt werden und ist ebenso wenig von den Beschwerdeführern vorgebracht worden.
Es ist folglich von keiner datenschutzrechtlichen Verantwortlichkeit der Zweit- und Drittbeschwerdegegnerin sowie des Viert- und Fünftbeschwerdegegners auszugehen, weshalb die Beschwerde daher hinsichtlich aller vorgebrachten Beschwerdegegenstände spruchgemäß abzuweisen ist, weil es sich bei ihnen nicht um Verantwortliche iSd Art. 4 Z 7 DSGVO handelt.
Zu Spruchpunkt 2:
D.3. Zuständigkeit der Datenschutzbehörde in Bezug auf die Erstbeschwerdegegnerin
D.3.1. Zur Immunität internationaler Organisationen
Die Erstbeschwerdegegnerin, eine internationale Organisation iSd Art. 4 Z 26 DSGVO, verfügt über einen Amtssitz in Wien. Hierdurch hat diese unstrittig eine feste und permanente Einrichtung innerhalb des österreichischen Hoheitsgebietes. Die Definition des „Verantwortlichen“ in Art. 4 Z 7 DSGVO schließt internationale Organisationen nicht aus. Das Kriterium einer Niederlassung innerhalb der Europäischen Union für den räumlichen Anwendungsbereich der DSGVO ist vorliegend ebenso erfüllt (vgl. Art. 3 DSGVO; siehe dazu im Detail Schmidl , Die DSGVO und internationale Organisationen, in Jahnel [Hrsg] Jahrbuch Datenschutzrecht 21 [2022], S 20 bis 22).
Innerhalb des Amtssitzes - und auch im gegenständlichen Fall, wie unter Punkt 2 der Feststellungen ausgeführt - fand eine automatisierte Datenverarbeitung gemäß Art 4 Z 2 DSGVO (Auswertung der Daten des Diensthandys des Erstbeschwerdeführers durch die Erstbeschwerdegegnerin) statt. Somit ist ebenfalls der sachliche Anwendungsbereich von Art. 2 Abs. 1 DSGVO eröffnet; eine Ausnahme nach Art. 2 Abs. 2 bis 4 ist nicht ersichtlich.
Gegenständlich gilt darüber hinaus das Abkommen zwischen der Republik Österreich und der OSZE über den Amtssitz der Organisation für Sicherheit und Zusammenarbeit in Europa (BGBl. III Nr. 84/2018), welches die Rechtsstellung und die Immunitäten der OSZE regelt.
Die Datenschutzbehörde verkennt nicht, dass internationale Organisationen – nach gefestigter Rechtsprechung europäischer Höchstgerichte – keine vollständige Immunität vor Handlungen von Organen des Sitzstaates genießen.
Jedoch kommt nur dann eine grundsätzliche Zuständigkeit der Gerichte und Behörden des Sitzstaates für Handlungen innerhalb des Amtssitzbereiches in Frage, wenn dies das jeweilige Amtssitzabkommen vorsieht bzw. nicht dezidiert verneint.
Dies führt als Zwischenergebnis dazu, dass internationale Organisationen sich nicht gänzlich den gesetzlichen Vorgaben des Sitzstaates entziehen können. Allgemein sehen die meisten Amtssitzabkommen vor, dass im Amtssitzbereich grundsätzlich die Gesetze des Sitzstaates zur Anwendung gelangen. Nur dann, wenn die jeweilige internationale Organisation für den Amtssitzbereich eigene Regelungen - konkret für den Schutz personenbezogener Daten - erlässt, käme die DSGVO nicht zur Anwendung (vgl. Schmidl , aaO S 27 ff).
Der Verfassungsgerichtshof führt im Erkenntnis vom 29. September 2022 zu SV 1/2021 aus, dass nach der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte die verbreitete Praxis, internationalen Organisationen vertragliche Immunität einzuräumen, dem legitimen Ziel dient, das ordnungsgemäße Funktionieren der Organisationen frei von einseitigen Eingriffen durch einzelne Staaten sicherzustellen. Die Bedeutung dieser Praxis ist im Lichte der Ausweitung und Stärkung der internationalen Zusammenarbeit in allen Bereichen moderner Gesellschaften zu sehen (EGMR 18. Februar 1999 [GK], Fall Waite und Kennedy, Appl. 26.083/94 [Z 63]; 18. Februar 1999 [GK], Fall Beer und Regan, Appl. 28.934/95 [Z 53]).
Ob die mit der Befreiung einer internationalen Organisation von der staatlichen Gerichtsbarkeit einhergehende Beschränkung des Zugangs zu einem Gericht iSd Art. 6 Abs. 1 EMRK verhältnismäßig ist, hängt dem Europäischen Gerichtshof für Menschenrechte zufolge wesentlich davon ab, ob ein angemessener alternativer Rechtsweg besteht (grundlegend EGMR, Fall Waite und Kennedy , Z 68; Fall Beer und Regan , Z 58; vgl. auch EGMR 6. Jänner 2015, Fall Klausecker , Appl. 415/07, [Z 69 ff.]). Es ist nicht erforderlich, dass der alternative Rechtsschutz einem staatlichen Gerichtssystem in jeder Hinsicht entspricht; gefordert ist ein vergleichbarer, d.h. gleichwertiger, kein identischer Rechtsschutz (vgl. EGMR 9. September 2008, Fall Boivin , Appl. 73.250/01 [Z 2]). Geringfügig niedrigere Garantien begründen keine Verletzung von Art. 6 Abs. 1 EMRK; eine Verletzung von Art. 6 Abs. 1 EMRK liegt aber vor, wenn das alternative Rechtsschutzsystem einer internationalen Organisation offenkundig unzulänglich ist (s. EGMR 12. Mai 2009, Fall Gasparini , Appl. 10.750/03; 16. Juni 2009, Fall Rambus , Appl. 40.382/04).
Für internationale Organisationen wird im Allgemeinen angenommen, dass ein angemessener alternativer Rechtsweg in der Möglichkeit der Anrufung gerichtsähnlicher organisationsinterner Einrichtungen bestehen kann (vgl. etwa zum Verfahren vor dem Beschwerdeausschuss der NATO EGMR 11. Mai 2000, Fall A.L ., Appl. 41.387/98; zum Verfahren vor dem Appeals Board der Europäischen Weltraumorganisation EGMR, Fall Waite und Kennedy , Z 69; Fall Beer und Regan , Z 59). Wie der Europäische Gerichtshof für Menschenrechte festgestellt hat, können auch die Beschwerdemöglichkeit an das Verwaltungsgericht der Internationalen Arbeitsorganisation oder die Möglichkeit eines Schiedsverfahrens einen angemessenen alternativen Streitbeilegungsmechanismus darstellen (vgl. EGMR, Fall Klausecker , Z 70 ff).
Es ist folglich im gegenständlichen Fall daher die konkrete Ausgestaltung des Amtssitzabkommens, welches zwischen der Republik Österreich und der Erstbeschwerdegegnerin abgeschlossen worden ist, näher zu prüfen:
Das Amtssitzabkommen mit der OSZE sieht in Art. V Abschnitt 5 lit. b vor, dass im Amtssitzbereich grundsätzlich die Gesetze Österreichs zur Anwendung gelangen, wobei die DSGVO als unmittelbar anwendbarer Unionsrechtsakt als integraler Bestandteil der Rechtsordnung Österreichs betrachtet werden kann. Des Weiteren sieht lit. c vor, dass, soweit im Amtssitzabkommen nichts Anderes vorgesehen ist, die innerhalb des Amtssitzes der OSZE gesetzten Handlungen und vorgenommenen Rechtsgeschäfte der Jurisdiktion der Gerichte und anderer zuständiger Behörden der Republik Österreich aufgrund der geltenden gesetzlichen Bestimmungen unterworfen sind .
Gemäß Art. V Abschnitt 6 lit. a des Amtssitzabkommens ist die OSZE ist befugt, für ihren Amtssitz geltende Vorschriften zu erlassen , die alle für die vollständige Wahrnehmung ihrer Rollen und Mandate in jeder Beziehung notwendigen Voraussetzungen schaffen. Gesetze oder Verordnungen der Republik Österreich, welche mit einer der von der OSZE im Rahmen dieses Abschnittes erlassenen Vorschrift unvereinbar sind, sind in dem Ausmaß, in dem eine solche Unvereinbarkeit gegeben ist, für den Amtssitz der OSZE nicht anwendbar .
D.3.2. Zur Anwendbarkeit der DSGVO im vorliegenden Fall
Umgelegt auf das gegenständliche Verfahren bedeutet dies, dass vorgelagert zu prüfen ist, ob die Erstbeschwerdegegnerin eigene interne Regelungen erlassen hat.
Es wird zwar der Umstand nicht verkannt, dass die Beschwerdeführer in der Stellungnahme vom 11. September 2023 das Vorhandensein von eigenen Regelungen innerhalb der Erstbeschwerdegegnerin zum Schutz von personenbezogenen Daten verneint haben.
Jedoch sind der Datenschutzbehörde im Rahmen des Amtshilfeersuchens vom 29. August 2023 in der Stellungahme vom 5. Oktober 2023 des BMEIA im Namen der österreichischen Ständigen Vertretung bei der OSZE in der Beilage die datenschutzrechtliche Dienstanweisung der Erstbeschwerdegegnerin mit der Bezeichnung „ OSCE Personal Data Protection Administrative Instruction No. 2/2022 “ und die Financial/Administrative Instruction 12 „ OSCE Policy on Acceptable Use of OSCE Computing Resources“ vorgelegt worden.
Die amtswegige Sichtung der übermittelten Unterlagen hat ergeben, dass der betroffenen Person ein Beschwerderecht aufgrund datenschutzrechtlicher Verletzungen innerhalb der Erstbeschwerdegegnerin - bei der zuständigen Datenschutzstelle - eingeräumt und ebenfalls die Möglichkeit eines Rechtsmittelschutzes gewährt wird.
Nachdem die Erstbeschwerdegegnerin über einschlägige interne Regelungen verfügt , ist bereits in diesem Stadium die Beschwerdemöglichkeit bei der Datenschutzbehörde zu versagen, da die DSGVO bzw. § 1 DSG materiell nicht Anwendung finden und sich die Zuständigkeit der Datenschutzbehörde aus der DSGVO und dem DSG ableitet (siehe Art. V Abschnitt 6 lit. a des Amtssitzabkommens).
Überdies wird angemerkt, dass die Beschwerdeführer in ihrer verfahrenseinleitenden Beschwerde vom 18. April 2023 unter Punkt 2.5 vorgebracht haben, dass „ nach dem Wortlaut des Abkommens lediglich eine Befreiung von der Gerichtsbarkeit besteht; eine Befreiung von behördlichen Verfahren, wie von jenem Beschwerdeverfahren vor der Datenschutzbehörde, besteht nach dem eindeutigen Wortlaut des Abkommens jedoch nicht.“
Dieser Rechtsmeinung (der Beschwerdeführer) steht jedoch der Umstand entgegen, dass aus den Erläuterungen zum Amtssitzabkommen hervorgeht, dass darunter ebenfalls die Immunität von der Tätigkeit von Verwaltungsbehörden zu verstehen ist (siehe 12 dB XXVI. GP S 2).
Selbiges gilt – wie aus Artikel XV Abschnitt 28 lit. a des Amtssitzabkommens hervorgeht – auch für die Zweit- und Drittbeschwerdegegnerin sowie für den Viert- und Fünftbeschwerdegegner, bei welchen es sich unstrittig - und auch wie von den Beschwerdeführern vorgebracht - um Bedienstete der Erstbeschwerdegegnerin handelt.
Die Datenschutzbehörde verkennt nicht, dass die internen Regelungen der OSZE betreffend den Schutz personenbezogener Daten vom Umfang und insbesondere von der Rechtsschutzmöglichkeit her nicht mit der DSGVO vergleichbar sind.
Ob diese Regelungen aus diesem Grund verfassungswidrig sind, kann die Datenschutzbehörde allerdings nicht prüfen, da dies ausschließlich Sache des Verfassungsgerichtshofes nach Art. 140a B VG ist (vgl. dazu nochmals der Erkenntnis vom 29. September 2022, SV 1/2021).
D.3.3. Zusammenfassung
Zusammenfassend ist somit festzuhalten, dass die DSGVO zwar räumlich (Art. 3) als auch sachlich (Art. 2) auf den vorliegenden Fall grundsätzlich Anwendung findet, die Erstbeschwerdegegnerin jedoch aufgrund des Amtssitzabkommens und aufgrund der Tatsache, dass sie eigenständige Regelungen zum Schutz personenbezogener Daten erlassen hat, Immunität vor Handlungen der Datenschutzbehörde genießt. Anhaltspunkte dafür, dass das Amtssitzabkommen offenkundig unionsrechtswidrig wäre und somit nicht zur Anwendung gelangen dürfte, liegen nicht vor.
Kraft dieser völkerrechtlichen Regelung kann die von den Beschwerdeführern genannte Erstbeschwerdegegnerin von der Datenschutzbehörde daher nicht belangt werden (vgl. dazu im Wesentlichen nochmals Schmidl aaO S 19 ff), außer die Erstbeschwerdegegnerin würde auf ihre eingeräumte Immunität verzichten. Ein derartiger Verzicht ist aus dem bisherigen Verfahrensgang nicht erkennbar. Darüber hinaus ist gegenständlich auch nicht evident, dass die Mitarbeiter der Erstbeschwerdegegnerin nicht innerhalb ihres Aufgabenbereiches gehandelt haben.
Folglich war die Beschwerde in Bezug auf die Erstbeschwerdegegnerin zurückzuweisen .
Der Vollständigkeit halber wird abschließend angemerkt, dass der Erstbeschwerdeführer etwaig durch die eigenen internen datenschutzrechtlichen Regelungen der Erstbeschwerdegegnerin in seinem verfassungsgesetzlich gewährleisteten Rechten verletzt sein könnte. Jedoch ist die Datenschutzbehörde für eine derartige Prüfung nicht zuständig.