2025-0.677.597 – Datenschutzbehörde Entscheidung

GZ: 2025-0.677.597 vom 3. Oktober 2025 (Verfahrenszahl: DSB-D124.1253/25)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Gerhard A*** (Beschwerdeführer), vertreten durch Rechtsanwalt Dr. René V***, vom 16. Mai 2025 gegen die N*** Datenverarbeitungs GmbH (Beschwerdegegnerin), vertreten durch die R*** Rechtsanwälte GmbH, wegen behaupteter Verletzung im Recht auf Geheimhaltung wie folgt:

1. Der Beschwerde wird stattgegeben und es wird feststellt , dass die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem sie dessen personenbezogene Daten – konkret Titel, Vor- und Nachname, Geschlecht, Geburtsjahr, berufliche Adresse und E-Mail-Adresse, primäre Sprache, Berufstyp, Funktion sowie berufliche Homepage – rechtsgrundlos erhoben und im Rahmen der „L***-Datenbank“ rechtsgrundlos gespeichert und Dritten zur Verfügung gestellt hat.

2. Der Beschwerdegegnerin wird aufgetragen , die unter Spruchpunkt 1 genannten Daten innerhalb einer Frist von 4 Wochen bei sonstiger Exekution unwiderruflich zu löschen.

3. Der Beschwerdegegnerin wird aufgetragen , den Empfänger*innen, denen die unter Spruchpunkt 1 genannten Daten offengelegt wurden, die Löschung der personenbezogenen Daten des Beschwerdeführers innerhalb einer Frist von 4 Wochen nach erfolgter Löschung mitzuteilen.

Rechtsgrundlagen: Art. 4 Z 1, Z 2 und Z 7, Art. 5 Abs. 1 lit. b und lit. c, Art. 6 Abs. 1 lit. f, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f, Art. 58 Abs. 2 lit. g sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 151 der Gewerbeordnung 1994 (GewO 1994), BGBl. Nr. 194/1994 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit verfahrenseinleitender Eingabe vom 16. Mai 2025 behauptete der Beschwerdeführer durch seine rechtsfreundliche Vertretung eine Verletzung im Recht auf Geheimhaltung und brachte hierzu zusammengefasst wie folgt vor:

Der Beschwerdeführer sei Jurist, Abgeordneter zum Nationalrat und Mitglied des j*** Parlamentsklubs. Zu keinem Zeitpunkt habe er eine Tätigkeit in der Medizin- bzw. Gesundheitsbranche ausgeübt. Im März 2025 habe er ein datenschutzrechtliches Auskunftsersuchen an die Beschwerdegegnerin gerichtet. Dabei habe sich ergeben, dass die Beschwerdegegnerin u.a. dessen Name, Adresse samt E-Mail-Adresse, Berufstyp und dessen Fachgebiet bzw. Funktion gespeichert habe. Als Zweck der Datenverarbeitung sei Kontakt zwischen Mitglieder und Stakeholdern der Gesundheitsbranche angegeben worden, sodass unzählige Fachkräfte in der Gesundheitsbranche und Unternehmen darauf Zugriff bekämen. Eine Einwilligung des Beschwerdeführers oder ein sonstiger Rechtfertigungsgrund liege nicht vor. Insbesondere sei zu beachten, dass der Beschwerdeführer weder im medizinischen Bereich noch als Stakeholder im Gesundheitsbereich tätig sei, womit ein berechtigtes Interesse auszuschließen sei.

2. Nach erfolgter Aufforderung durch die Datenschutzbehörde brachte die Beschwerdegegnerin am 10. Juni 2025 durch ihre rechtsfreundliche Vertretung zusammengefasst wie folgt vor:

Die Beschwerdegegnerin halte u.a. eine Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen. Sie betreibe auf dieser Basis in Österreich die sogenannte „L***-Datenbank“ unter Einhaltung aller rechtlichen Anforderungen. Sie sammle darin auch Kontaktdaten von medizinischen Fachkräften und Stakeholdern der Gesundheitsbranche. Die Vertragspartner seien Gesundheitseinrichtungen und Versorger, Fachkräfte in der Gesundheitsbranche, pharmazeutische Unternehmen, Forschungseinrichtungen und Marktforschungsinstitute. Die Beschwerdegegnerin ermögliche ihren Vertragspartnern mit der L***-Datenbank die Kontaktaufnahme und Kooperation mit medizinischen Fachkräften und Stakeholdern in der Gesundheitsbranche, zB zur Förderung der Transparenz innerhalb von nationalen, regionalen und örtlichen Gesundheitssystemen oder zur Verbesserung von Gesundheitsdienstleistungen und der Verminderung von Kosten. Die dabei von der Beschwerdegegnerin - im verfahrensgegenständlichen Fall sogar rein aus öffentlich verfügbaren Quellen - erhobenen personenbezogenen Daten würden auf Basis berechtigter Interessen verarbeitet. Dies auf Basis einer detaillierten Interessensabwägung und im Einklang mit den Parametern des Art. 6 Abs. 1 lit f DSGVO. Der Beschwerdeführer sei seit 20** [Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt] im j*** Parlamentsklub und derzeit Abgeordneter zum Nationalrat, [Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers, hier Mitgliedschaft in Nationalratsausschüssen, aus Pseudonymisierungsgründen entfernt]. Gesundheitswesen sei primär Bundeskompetenz. Daher sei der Beschwerdeführer als Abgeordneter zum Nationalrat und [Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt] im j*** Parlamentsklub schon aufgrund dieser Funktionen auch ein Stakeholder der Gesundheitsbranche. Der Beschwerdeführer sei weiters seit 20** Präsident der J*** Arbeitsgruppe U***, einem ThinkTank der J***PARTEI, kurz Gruppe U***. Als solcher organisiere er Veranstaltungen und Seminare und gebe das U*** Magazin heraus. Die Gruppe U*** äußere sich regelmäßig auch zu Themen mit Gesundheitsbezug, ua zu Krankenständen und der Erhöhung des Pensionsantrittsalters. Im Ergebnis sei der Beschwerdeführer bei objektiver Betrachtung daher sehr wohl als Gestalter und damit Stakeholder der Gesundheitsbranche einzuordnen. Die Beschwerdegegnerin habe ein berechtigtes Interesse daran den eigenen Kunden einen erleichterten Zugang zu bereits öffentlich verfügbaren Kontaktdaten von Stakeholdern der Gesundheitsbranche zu ermöglichen und die dafür erforderlichen, unveränderten (!) Daten zu konsolidieren und vorzuhalten. Die Legitimität dieses Interesses zeige sich einerseits im Größenschluss des EuGH zu Art 9 Abs. 2 lit e DSGVO und andererseits in der expliziten Zulässigkeit des Betriebs von Adressdatenbanken gem. § 151 GewO. Auch die Kunden hätten ein berechtigtes Interesse daran auf sortierte und aufbereitete Kontaktdaten der Stakeholder der Gesundheitsbranche zuzugreifen, also die ohnedies öffentlich zugänglichen Informationen effektiv zu nutzen. So bestehe insbesondere auch ein Interesse der Kunden an der Nutzung dieser Daten beispielsweise als Basis für die Förderung der Transparenz innerhalb von nationalen, regionalen und örtlichen Gesundheitssystemen oder zur Verbesserung von Gesundheitsdienstleistungen und der Verminderung von Kosten. Die beschriebenen Leistungen der Beschwerdegegnerin seien naturgemäß nur durch die Verarbeitung der vom Beschwerdeführer zuvor selbst veröffentlichten Daten möglich. Dabei verarbeite die Beschwerdegegnerin aber bewusst nicht pauschal sämtliche verfügbaren veröffentlichten Daten, sondern beschränke sich vielmehr auf die für die Zweckerreichung notwendigen Datenkategorien (Daten zur Person des Beschwerdeführers, seine Funktionen und Kontaktmöglichkeiten). Diese seien jedoch - da es um die potentielle Kontaktaufnahme von Stakeholdern der Gesundheitsbranche geht - naturgemäß notwendigerweise personenbezogen. Darüber hinaus verfolge die Beschwerdegegnerin mit der L***-Datenbank einen legitimen Zweck: Der Betrieb von solchen Datenbanken sei ausdrücklich gesetzlich zulässig (§ 151 GewO). Der Beschwerdeführer sei objektiv betrachtet ein Stakeholder der Gesundheitsbranche. Seine abweichende Beurteilung sei als subjektive Betrachtung rechtlich nicht relevant und habe keine Auswirkung auf die Interessensabwägung. Die Beschwerdegegnerin verarbeite vom Beschwerdeführer unveränderte Daten, die dieser auf der Webseite des Parlaments selbst zum Zweck der Kontaktaufnahme durch Bürger und Unternehmen veröffentlicht habe. Die Beschwerdegegnerin strukturiere die Kontaktdaten lediglich anhand von Kategorien und stellt sie zur Kontaktaufnahme zur Verfügung. Damit verarbeite sie diese Daten entsprechend der ursprünglichen Intention des Beschwerdeführers und damit auch innerhalb seiner Erwartungshaltung. Der Beschwerdeführer - zudem eine Person des öffentlichen Lebens und Mitglied einer Partei, die auf Bürgernähe setze - habe daher die Verarbeitung erwarten können. Der Beschwerdeführer sei auch nicht in der Liste gem. § 151 Abs. 9 GewO (Robinsonliste der WKO) registriert. Die Verarbeitung der Kontaktdaten des Beschwerdeführers habe auf diesen keine negativen Auswirkungen, da die Daten bereits öffentlich für alle verfügbar seien. Es bestehe daher insbesondere weder (zusätzliches) Missbrauchspotential noch die Gefahr von Schäden für ihn durch die Verarbeitung im Rahmen der L***-Datenbank. Insgesamt sind die Auswirkungen der Datenverarbeitung auf den Beschwerdeführer auf das unbedingt erforderliche Ausmaß beschränkt.

3. Im Rahmen des Parteiengehör führte der Beschwerdeführer zusammengefasst aus, dass er weder ein Amt im Gesundheitswesen innehabe, noch wirtschaftlich oder institutionell diesem Sektor zugehörig sei. Ein Stakeholder zeichne sich aber gerade dadurch aus, dass er nicht nur allgemein mit einem Thema befasst sei, sondern konkret betroffen bzw. involviert sei. Dass die mit dem Gesundheitswesen zusammenhängende Gesetzgebung in die Bundeskompetenz falle, reiche nach Ansicht des Beschwerdeführers ebenso wenig aus, wie seine Mitgliedschaft in der „Gruppe U***“, welche sich mit allgemeinen politischen und philosophischen Themen befasse.

4. In einer weiteren Stellungnahme vom 15. Juli 2025 brachte die Beschwerdegegnerin vor, dass nach allgemeinem, national wie international etablierten Verständnis eines Stakeholders dieser Begriff jede Gruppe oder Einzelperson, die die Erreichung der Unternehmensziele beeinflussen kann oder von dieser beeinflusst wird, umfasse. Wenig überraschend sehe zudem auch ein WHO Bericht zum österreichischen Gesundheitssystem aus dem Jahr 2018 für einen bestimmten Bereich im Gesundheitssektor das Gesundheitsministerium, selbst Mitglieder der Landesregierungen und Landtagsabgeordnete als wesentliche Stakeholder an.

5. Im Rahmen des Parteiengehörs bestritt der Beschwerdeführer die Ausführungen der Beschwerdegegnerin zum Begriff Stakeholder und wiederholte im Wesentlichen sein bisheriges Vorbringen.

6. Mit Eingabe vom 9. September 2025 brachte die Beschwerdegegnerin vor, dass die „L***-Datenbank“ eine Referenzdatenbank sei, die berufliche Informationen über Angehörige der Gesundheitsberufe (HCPs), Gesundheitsorganisationen (HCOs) und andere Personen und/oder Organisationen im Gesundheitswesen, einschließlich Stakeholder, enthalte. Die Daten würden u.a. von den betroffenen Personen selbst oder aus öffentlich zugänglichen Quellen erhoben. Der Zweck der Datenbank bestehe darin, Organisationen im Gesundheitswesen und im Life-Science-Sektor in Österreich auf einfache Weise genaue und aktuelle Informationen über HCPs zur Verfügung zu stellen. Dies unterstütze die Organisationen bei ihren Interaktionen mit HCPs und anderen Stakeholdern innerhalb der Gesundheitsbranche für legitime Geschäftszwecke, wie insbesondere die Meldung unerwünschter Ereignisse, Produktrückrufe sowie die Einhaltung von Transparenz- und anderen regulatorischen Pflichten. Die Daten würden für die Dauer der Tätigkeit der Person im Gesundheitswesen sowie für drei weitere Jahre gespeichert. Die Kunden der Beschwerdegegnerin könnten ihren Sitz entweder in Österreich oder in anderen Ländern haben, abhängig von den vertraglichen Vereinbarungen sowie ihrer jeweiligen Organisationsstruktur. Der Datenzugriff werde jederzeit streng kontrolliert und auf den Umfang der vereinbarten Zwecke beschränkt.

7. Mit Eingabe vom 23. September 2025 wiederholte der Beschwerdeführer im Wesentlichen sein bisheriges Vorbringen.

B. Beschwerdegegenstand

Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin den Beschwerdeführer durch die Verarbeitung seiner personenbezogenen Daten im Rahmen der „L***-Datenbank“ im Recht auf Geheimhaltung verletzt hat.

C. Sachverhaltsfeststellungen

1. Die Datenschutzbehörde legt das Vorbringen unter Punkt A ihren Sachverhaltsfeststellungen zugrunde.

2. Beim Beschwerdeführer handelt es sich um einen österreichischen Juristen sowie Abgeordneten zum Nationalrat und Mitglied des J*** Parlamentsklubs. Seit 20** ist er [Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt] und seit 20** Nationalratsabgeordneter. Darüber hinaus ist der Beschwerdeführer seit 20** Präsident des Vereins „J*** Arbeitsgruppe U*** (kurz: Gruppe U***)“. Bei der Gruppe U*** handelt es sich um einen J***PARTEI-nahen Verein, dessen Zweck die Entwicklung von politischen Ideen, Analysen und Konzepten ist. Die Gruppe U*** äußert sich zu allen politisch relevanten Themen.

3. Bei der Beschwerdegegnerin handelt es sich um eine zur FN *4*7*1l im österreichischen Firmenbuch eingetragene Gesellschaft mit beschränkter Haftung, Sitz in 1*** Wien. Ihr Tätigkeitsbereich umfasst im Wesentlichen die Erbringung von Produkten und Leistungen für in der Healthcare- und Life Sciences-Branche tätige Unternehmen, Markt- und Meinungsforschung im pharmazeutischen Bereich sowie Adressverlag und Direktwerbung. Sie verfügt über entsprechende Gewerbeberechtigungen.

4. Die Beschwerdegegnerin ist Betreiberin der „L***-Datenbank“. Dabei handelt es sich um eine automatisierte Referenzdatenbank, die berufliche Informationen über Angehörige der Gesundheitsberufe (HCPs), Gesundheitsorganisationen und andere Personen und/oder Organisationen im Gesundheitswesen, einschließlich Stakeholder, enthält.

Als Zweck der Erhebung und Speicherung bzw. Weitergabe der in der L***-Datenbank enthaltenen Informationen und Daten wird in der Datenschutzerklärung der Beschwerdegegnerin Folgendes angeführt:

„(a) zur Einhaltung rechtlicher Bestimmungen / Legal Compliance (z.B. zur Erfüllung der Transparenzvorschriften oder der Meldepflicht für schwerwiegende unerwünschte Ereignisse) und/oder für die direkte Kommunikation mit medizinischen Fachkräften im Falle wichtiger oder zeitkritischer Warn- oder Rückrufaktionen bzw. zur Kontaktaufnahme durch Apotheker im Zusammenhang mit Fragen zu ausgestellten Rezepten bzw. Prüfung des Kassenstatus von medizinischen Fachkräften;

(b) zur Rekrutierung von medizinischen Fachkräften für klinische Studien, Marktforschung oder andere Forschungsaufträge und die Einstufung von medizinischen Fachkräften bezüglich ihrer Qualifikation für die Teilnahme an bestimmten klinischen Studien oder anderen Forschungsaufträgen;

(c) zur Durchführung von Marktforschung und anderen Forschungsaufträgen im öffentlichen und privaten Sektor; zur Förderung der Transparenz innerhalb von nationalen, regionalen und örtlichen Gesundheitssystemen und im Management von Gesundheitsdaten; oder zur Verbesserung von Gesundheitsdienstleistungen und der Verminderung von Kosten;

(d) zur Vornahme von Aktualisierungen in CRM-Systemen und zum Direktmarketing gegenüber medizinischen Fachkräften zur Bewerbung, dem Vertrieb und der Weiterentwicklung von medizinischen Produkten und Dienstleistungen; dazu gehört auch die Information über neue Produkte, neue Anwendungen bereits zugelassener Produkte, die Organisation von Veranstaltungen und Konferenzen im medizinischen/Healthcare-Sektor, die Vergabe von Gratismustern oder -proben und um Patient*innen zu ermöglichen, das medizinische Fachpersonal ihrer Wahl zu identifizieren, zu lokalisieren und zu kontaktieren;

(e) zur Unterstützung von Distributoren und Pharmaunternehmen bei der Verbesserung ihres Vertriebs- und Serviceniveaus, der besseren Verwaltung von Werbeaktionen und der Bewertung der Einhaltung markenspezifischer Werbevereinbarungen;

(f) zur Analyse von Daten über Praktiken, Spezialisierungen und Präferenzen im Gesundheitswesen einzelner HCPs und zur Definition von Indikatoren zur Personalisierung und Optimierung der Relevanz und Häufigkeit der Interaktionen mit diesen HCPs; insbesondere zur Erstellung von Aktivitätsprofilen von HCPs sowie der Bestimmung ihrer Interessen bezüglich therapeutischer Bereiche basierend auf ihren Charakteristika und statistischen Daten (insbesondere Aktivität nach Therapiebereich und Ärztedichte in einer bestimmten Region);

(g) zum Abgleich von Informationen über Sie aus L*** mit vorhandenen Informationen über Sie in sozialen Medien und Websites, um die Relevanz des Arzneimittelmarketings für medizinisches Fachpersonal zu personalisieren und zu optimieren;

(h) zur Untersuchung der Wirksamkeit, Anwendung und Sicherheit verschriebener Produkte;

(i) zum Verständnis, ob bestimmte Arzneimittel häufiger verschrieben werden als andere, die für denselben Therapiebereich relevant sind;

(j) zur Untersuchung des Krankheitsverlaufs und Erstellung von Modellen zur Unterstützung der Früherkennung von Krankheiten;

(k) zum Vergleich der Behandlung innerhalb von Krankenhausverbünden für dieselbe Krankheit und Unterstützung der Krankenhäuser bei der Entwicklung effizienterer Behandlungen;

(l) zur Kontaktaufnahme mit Stakeholdern in der Gesundheitsbranche.“

5. In der L***-Datenbank werden zum aktuellen Zeitpunkt nachfolgende Informationen zum Beschwerdeführer gespeichert: Titel, Vor- und Nachname, Geschlecht, Geburtsjahr, berufliche Adresse und E-Mail-Adresse, primäre Sprache, Berufstyp, Funktion sowie berufliche Homepage.

Die Daten des Beschwerdeführers wurden ursprünglich 2011 von der M*** GmbH (die 2015 von der Beschwerdegegnerin erworben wurde) in die Datenbank eingegeben. Alle personenbezogenen Daten dieser ersten Eingabe wurden 2019 auf bloße Stammdaten minimiert. Im Jahr 20** wurde das Profil des Beschwerdeführers unter zu Hilfenahme öffentlich zugänglicher Informationen des Beschwerdeführers auf www.parlament.gv.at im System reaktiviert und werden die oben angeführten Daten seit diesem Zeitpunkt gespeichert.

Es erfolgte auch eine Weitergabe der oben angeführten Daten an nachfolgende Unternehmen/Organisationen: [Anmerkung Bearbeiter/in: Aufzählung von 11 Organisationsnamen aus der Pharma- und Gesundheitsbranche].

Die Datenweitergabe durch die Beschwerdegegnerin erfolgt durch die Zurverfügungstellung über eine spezielle Anwendungsprogrammierschnittstelle (API) elektronisch in Kundenbeziehungsmanagement- (CRM) oder Stammdatenmanagement- (MDM) Systemen.

6. Die Website des Parlaments, von welcher die Beschwerdegegnerin die Daten des Beschwerdeführers erhoben hat, enthält nachfolgende Informationen zur Kurzbiografie des Beschwerdeführers:

„Geb.: 196*, S***stadt

Berufliche Tätigkeit: [Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt]

Weitere Politische Mandate/Funktionen

Mitglied Bundespartei*** der J***PARTEI

[Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt]

Beruflicher Werdegang

[Anmerkung Bearbeiter/in: Bildungsweg, Karrieredaten und genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt]

Sonstiges

Seit 20** Präsident der Gruppe U***“

Als Ausschüsse, in welcher der Beschwerdeführer bisher tätig war, werden auf der Website Nachfolgende genannt: [Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt; der Beschwerdeführer war in keinem offenkundig mit Gesundheitsthemen befassten Ausschuss Mitglied].

Unter Aktivitäten des Beschwerdeführers werden auf der Website keine Themen mit Gesundheitsbezug genannt.

7. Auch abgesehen von den auf der Parlamentswebsite genannten Tätigkeiten war der Beschwerdeführer zu keinem Zeitpunkt, insbesondere nicht ab dem Jahr 20**, im Gesundheitsbereich beruflich oder auf sonstige Weise tätig.

8. Der Beschwerdeführer erlangte erstmals durch die Beantwortung eines datenschutzrechtlichen Auskunftsersuchens durch die Beschwerdegegnerin am 11. April 2025 von der Erfassung ihn betreffender Informationen im Rahmen der L***-Datenbank Kenntnis.

Beweiswürdigung : Die getroffenen Feststellungen beruhen auf übereinstimmendem Parteienvorbringen, iZm der L***-Datenbank insbesondere auf den schlüssigen Angaben der Beschwerdegegnerin samt vorgelegter Unterlagen. Im Übrigen auf einer amtswegigen Abfrage des Firmenbuches, des Gewerbeinformationsystems des Bundes (GISA) sowie der Webseiten „www.parlament.gv.at“ und „www.n***.com“, alles letztmalig abgefragt durch die Datenschutzbehörde am 1. Oktober 2025.

D. In rechtlicher Hinsicht folgt daraus:

D1. Zu Spruchpunkt 1

Eingangs ist darauf hinzuweisen, dass sowohl die Datenschutzbehörde als auch das BVwG in ständiger Judikatur vertreten, dass bei antragsgebunden Fällen - wie insbesondere dem Beschwerdeverfahren gemäß Art. 77 DSGVO iVm. § 24 Abs. 1 DSG - der Inhalt des Antrags (vorliegend: der Beschwerde) den Prozessgegenstand des Verwaltungsverfahrens (vorliegend: den Beschwerdegegenstand) konstituiert und begrenzt (vgl. etwa BVwG Erkenntnis vom 17. Mai 2022, W214 2233132-1).

Dementsprechend ist Gegenstand des vorliegenden Verfahrens die Frage, ob die Beschwerdegegnerin den Beschwerdeführer durch Erfassung seiner Daten in der L***-Datenbank im Recht auf Geheimhaltung verletzt hat.

Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines oder ihres Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn oder sie betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den oder die Betroffene*n einem Geheimhaltungsanspruch nicht zugänglich sind.

Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung heranzuziehen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).

„Personenbezogene Daten“ sind laut Art. 4 Z 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Bei den unter Punkt C.5. genannten Informationen (Titel, Vor- und Nachname, Geschlecht etc.) handelt es sich unzweifelhaft um personenbezogene Daten des Beschwerdeführers. Dabei ist es irrelevant, ob diese Daten berufsbezogene oder private Informationen darstellen.

„Verarbeitung“ ist laut Art. 4 Z 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Bei der Erhebung und Speicherung (sowie anschließender elektronischer Zurverfügungstellung) der personenbezogenen Daten des Beschwerdeführers im Rahmen der L***-Datenbank handelt es sich um eine automatisierte Verarbeitung.

„Verantwortlicher“ ist laut Art. 4 Z 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Dass die Verantwortlichkeit der Beschwerdegegnerin zukommt, ergibt sich daraus, dass sie über die Zwecke und Mittel der vorliegenden Datenverarbeitungen - Erhebung, Speicherung und Weitergabe von Daten iZm. der L***-Datenbank - tatsächlich entschieden hat. Dies wurde von der Beschwerdegegnerin auch ausdrücklich bestätigt.

Als Zwischenergebnis kann daher festgehalten werden, dass der Anwendungsbereich des § 1 Abs. 1 DSG eröffnet ist.

Gemäß § 1 Abs. 2 DSG sind Beschränkungen des Anspruchs auf Geheimhaltung, soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des oder der Betroffenen oder mit seiner oder ihrer Zustimmung erfolgt, nur zur Wahrung überwiegender berechtigter Interessen eines anderen oder einer anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

Auch nach der DSGVO ist die Verarbeitung nur dann rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 lit. a bis lit. f DSGVO genannten Bedingungen erfüllt ist. Etwa laut lit. f leg. cit., wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Die Beschwerdegegnerin berief sich in diesem Zusammenhang ausdrücklich auf Art. 6 Abs. 1 lit. f DSGVO .

Die Datenverarbeitung auf der Rechtsgrundlage von „berechtigten Interessen“ ist nach der Rsp des EuGH unter drei kumulativen Voraussetzungen zulässig: i) Wahrnehmung eines berechtigten Interesses durch den Verantwortlichen oder den bzw. die Dritten ii) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und iii) kein Überwiegen der Grundrechte und Grundfreiheiten der vom Datenschutz betroffenen Person über das wahrgenommene berechtigte Interesse (vgl. in Bezug auf die insofern vergleichbare Rechtslage nach der Richtlinie 95/46/EG das Urteil des EuGH vom 11. Dezember 2019, C-708/18 [TK] Rz 40 mwN).

Nach der Rechtsprechung des EuGH muss jede Verarbeitung personenbezogener Daten zusätzlich mit den in Art. 5 Abs. 1 der DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen (Urteil des EuGH vom 4. Mai 2023, Rs C‑60/22, Rz. 57).

i. Berechtigtes Interesse

Die Beschwerdegegnerin brachte diesbezüglich vor, dass sie die verfahrensgegenständliche L***-Datenbank auf der Grundlage ihrer Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen betreibe.

Gemäß § 151 Abs. 1 GewO sind auf die Verwendung von personenbezogenen Daten für Marketingzwecke Dritter durch die zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigten Gewerbetreibenden die Bestimmungen der DSGVO sowie des DSG anzuwenden, soweit im Folgenden nicht Besonderes angeordnet ist.

Gemäß § 151 Abs. 3 GewO sind die in Abs. 1 genannten Gewerbetreibenden berechtigt, für ihre Tätigkeiten gemäß Abs. 1 und 2 personenbezogene Daten aus öffentlich zugänglichen Informationen, durch Befragung der betroffenen Personen, aus Kunden- und Interessentendateisystemen Dritter oder aus Marketingdateisystemen anderer Adressverlage und Direktmarketingunternehmen zu ermitteln, soweit dies unter Beachtung des Grundsatzes der Verhältnismäßigkeit für 1. die Vorbereitung und Durchführung von Marketingaktionen Dritter einschließlich der Gestaltung und des Versands für Werbemitteln oder 2. das Listbroking erforderlich und gemäß Abs. 4 und 5 zulässig ist.

Das Bundesverwaltungsgericht vertritt in ständiger Judikatur, dass die Ausübung eines Gewerbes gemäß § 151 GewO ein berechtigtes Interesse darstellt (vgl. etwa das Erk. vom 20. April 2023, GZ: W176 2247508-1).

Bereits an dieser Stelle ist jedoch festzuhalten, dass die von der Beschwerdegegnerin angeführten Zwecke (vgl. Feststellungen unter Punkt C.4.) - wie etwa die Untersuchung der Wirksamkeit, Anwendung und Sicherheit verschriebener Produkte - wohl über reine Direktmarketingzwecke iSv. § 151 Abs. 1 GewO hinausgehen.

Da der EuGH jedoch wiederholt ausgesprochen hat, dass der Begriff „berechtigtes Interesse“ ein breites Spektrum von Interessen umfasst (vgl. EuGH-Urteil vom 4. Juli 2023, C‑252/21, Rn. 107), ist dies für die verfahrensgegenständliche Bejahung des Vorliegens berechtigter Interessen der Beschwerdegegnerin (sowie ihrer Kund*innen) unerheblich.

ii. Erforderlichkeit

Wie bereits ausgeführt, muss jede Verarbeitung personenbezogener Daten zusätzlich mit den in Art. 5 Abs. 1 der DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen.

Im vorliegenden Fall ist neben Art. 5 Abs. 1 lit. b („Zweckbindungsgrundsatz“) insbesondere Art. 5 Abs. 1 lit. c („Grundsatz der Datenminimierung“) einschlägig, da der EuGH im Zusammenhang mit Art. 6 Abs. 1 lit. f DSGVO die zentrale Bedeutung der Erforderlichkeit wiederholt betont hat (vgl. Urteil des EuGH vom 11. Dezember 2019, C-708/18 [TK] Rz 48 mwN).

Zum Zweckbindungsgrundsatz ist auf ErwG. 39 der DSGVO hinzuweisen, wonach die bestimmten Zwecke, zu denen personenbezogene Daten verarbeitet werden, eindeutig und rechtmäßig sein müssen und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen sollten.

Der Grundgedanke dieses Prinzips besteht darin, dass schon bei der Erhebung personenbezogener Daten der Zweck festgelegt werden muss, zu dem die Daten erhoben und verarbeitet werden sollen (es kann sich dabei auch um eine - begrenzte - Mehrheit von Zwecken handeln). Diese Zweckfestlegung ist dann bei der Verarbeitung der Daten zu beachten, da sie die Eingriffsmöglichkeiten des Verantwortlichen begrenzt (vgl. Herbst in Kühling/Buchner , Datenschutz-Grundverordnung (2017) Art. 5 Rz. 21-22).

Auch wenn die Beschwerdegegnerin daher eine Gewerbeberechtigung iSv. § 151 GewO hält, so ist sie bei der Verarbeitung der personenbezogenen Daten des Beschwerdeführers dennoch an die von ihr selbst festgelegten Zwecke (vgl. Punkt C.4.) gebunden. Das bedeutet in weiterer Folge auch, dass die Verwendung von personenbezogenen Daten für Marketingzwecke außerhalb des „Healthcare- und Life Sciences Sektors“ dem Zweckbindungsgrundsatz widersprechen würde.

In Bezug auf die Verarbeitung der personenbezogenen Daten des Beschwerdeführers kommt vor diesem Hintergrund ausschließlich der Zweck „Kontaktaufnahme mit Stakeholdern in der Gesundheitsbranche“ in Frage.

In weiterer Folge ist iSd. Art. 5 Abs. 1 lit. c DSGVO zu prüfen, ob die verfahrensgegenständliche Datenverarbeitung in Hinblick auf die festgelegten Zwecke geeignet ist, das angestrebte Ziel zu erreichen, sowie diesem Zweck angemessen und erforderlich ist. Insbesondere muss dabei geprüft werden, ob der Zweck nicht durch gelindere Mittel erreicht werden kann, die weniger in die Grundrechte und Grundfreiheiten der betroffenen Person eingreifen.

Nach Ansicht der Datenschutzbehörde ist dies zu verneinen:

Auch wenn die Beschwerdegegnerin im Rahmen ihrer Stellungnahmen mehrfach betonte, dass es sich beim Beschwerdeführer um einen „Stakeholder“ im Gesundheitsbereich handle, ist dies aufgrund der objektiven Gegebenheiten in keiner Weise nachvollziehbar.

Sofern die Beschwerdegegnerin die Gesundheitsstakeholdereigenschaft des Beschwerdeführers mit dessen Funktion als [Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt] bzw. in einem parteinahen Verein (Gruppe U***) begründet, so widerspricht sie damit ihren eigenen Angaben. In ihrer Stellungnahme vom 9. September 2025 führte die Beschwerdegegnerin nämlich selbst aus, dass die Daten des Beschwerdeführers bereits 2019 in der Datenbank auf bloße Stammdaten minimiert worden seien, weil der Beschwerdeführer keine für den Gesundheitssektor relevante Funktion (mehr) innegehabt habe. Wie den Feststellungen zu entnehmen ist, hatte der Beschwerdeführer die genannten Funktionen aber bereits seit 20** [Anmerkung Bearbeiter/in: genaue Funktion/en des Beschwerdeführers aus Pseudonymisierungsgründen entfernt] bzw. 20** (Präsident der Gruppe U***) inne.

Auch abgesehen von der Widersprüchlichkeit der Angaben der Beschwerdegegnerin kann aus diesen Tätigkeiten kein Bezug zur Gesundheitsbranche hergestellt werden, da diese Funktionen keine (ausreichende) Einflussmöglichkeit oder Betroffenheit begründen. Darüber hinaus lässt auch die berufliche Qualifikation des Beschwerdeführers (Jurist) in keiner Weise darauf schließen.

Hinsichtlich des Vorbringens der Beschwerdegegnerin betreffend die Funktion des Beschwerdeführers als Nationalratsabgeordneter vertritt die Datenschutzbehörde die Ansicht, dass alleine aus der Tatsache, dass die Gesetzgebungskompetenz im Gesundheitsbereich (großteils) dem Bund zukommt, nicht dazu führen, dass 183 Nationalratsabgeordnete in Bausch und Bogen als Gesundheitsstakeholder qualifiziert werden. Eine solche Annahme wäre jedenfalls als überschießend zu qualifizieren.

Dies wird in Hinblick auf den Beschwerdeführer umso mehr durch die Tatsache verstärkt, dass er auch im Rahmen seiner parlamentarischen Tätigkeit (Ausschüsse und Sonstige) zu keinem Zeitpunkt Themen mit Gesundheitsbezug bearbeitete.

Damit war die Erhebung, Speicherung und Weitergabe der personenbezogenen Daten des Beschwerdeführers für die von der Beschwerdegegnerin verfolgten Zwecke nicht erforderlich und somit überschießend .

Der Vollständigkeit halber ist noch darauf hinzuweisen, dass der Beschwerdeführer unter den vorliegenden Umständen vernünftigerweise nicht mit einer Verarbeitung seiner Daten rechnen musste. Folglich würde auch die finale Interessensabwägung zugunsten des Beschwerdeführers ausfallen.

Mangels Erforderlichkeit der Datenverarbeitung konnte sich die Beschwerdegegnerin nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen und war der Beschwerde des Beschwerdeführers gemäß § 24 Abs. 5 stattzugeben.

Es war daher spruchgemäß zu entscheiden.

D2. Zu Spruchpunkt 2 und 3

Ist die Aufsichtsbehörde am Ende einer Untersuchung der Ansicht, dass die Verarbeitung nicht den Anforderungen der DSGVO entspricht, so muss sie nach dem Unionsrecht die geeigneten Maßnahmen erlassen, um den festgestellten Verstößen abzuhelfen, und zwar unabhängig davon, ob die betroffene Person bspw. zuvor einen Antrag gestellt hat. Zu den Aufgaben von Aufsichtsbehörden gehört es gemäß Art. 57 Abs. 1 Buchst. a DSGVO u. a., die Anwendung der Verordnung zu überwachen und durchzusetzen. Die Aufsichtsbehörde ist nach Unionsrecht dazu verpflichtet, in geeigneter Weise zu reagieren, um festgestellten Unzulänglichkeit abzuhelfen, und zwar unabhängig davon, welchen Ursprungs und welcher Art sie ist. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Es ist Sache der Aufsichtsbehörde, das geeignete Mittel zu wählen, um mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Diese Auslegung wird nicht zuletzt von Art. 5 Abs. 2 iVm. Art. 5 Abs. 1 Buchst. a DSGVO gestützt, wonach der Verantwortliche u.a. sicherstellen und nachweisen („Rechenschaftspflicht“) muss, dass die von ihm durchgeführte Datenverarbeitung rechtmäßig ist (vgl. neuerlich das Urteil des EuGH vom 14. März 2024, Rs. C‑46/23, Rn. 39 ff).

Folglich war es für die Erteilung der unter Spruchpunkt 2 und 3 erteilten Leistungsaufträge unerheblich, ob der Beschwerdeführer entsprechende Anträge erhoben hat oder nicht.

Beide Leistungsaufträge beruhen auf Art. 58 Abs. 2 lit. g DSGVO. Die jeweiligen Fristen erweisen sich als dem Umfang angemessen.

Es war daher spruchgemäß zu entscheiden.