E3436/2023 – Verfassungsgerichtshof (VfGH) Entscheidung

Die Beschwerde wird abgewiesen.

I. Die beschwerdeführende Partei ist durch das angefochtene Erkenntnis weder in einem verfassungsgesetzlich gewährleisteten Recht noch wegen der Anwendung einer rechtswidrigen generellen Norm in ihren Rechten verletzt worden.

II. Die Beschwerde wird abgewiesen.

Entscheidungsgründe

I. Sachverhalt, Beschwerde und Vorverfahren

1. Die Finanzmarktaufsichtsbehörde (FMA) teilte durch Kundmachung im Internet und durch Bekanntmachung im Amtsblatt zur Wiener Zeitung am 2. September 2020 gemäß §92 Abs11 erster Satz WAG 2018 mit, dass die (vor dem Verfassungsgerichtshof) beschwerdeführende Partei (damals noch unter einer anderen Firma) nicht berechtigt sei, konzessionspflichtige Wertpapierdienstleistungen in Österreich zu erbringen. Der beschwerdeführenden Partei sei die gewerbliche Annahme und Übermittlung von Aufträgen in Bezug auf Finanzinstrumente (§3 Abs2 Z3 WAG 2018) nicht gestattet.

Die beschwerdeführende Partei stellte daraufhin bei der FMA gemäß §92 Abs11 vierter Satz WAG 2018 einen Antrag auf Überprüfung der Rechtmäßigkeit der Veröffentlichung der FMA ("Investorenwarnung") vom 2. September 2020.

Die FMA stellte mit Bescheid vom 23. Oktober 2020 fest, dass die Veröffentlichung vom 2. September 2020 rechtmäßig sei.

Die dagegen erhobene Bescheidbeschwerde wies das Bundesverwaltungsgericht mit Erkenntnis vom 25. August 2021 als unbegründet ab. Das Bundesverwaltungsgericht führte aus, dass die beschwerdeführende Partei zum maßgeblichen Zeitpunkt, dem Tag der Kundmachung, den Anschein erweckt habe, eine Wertpapierdienstleistung ohne entsprechende Konzession erbracht zu haben.

2. Mit Bescheid vom 9. Juni 2021 forderte die FMA die beschwerdeführende Partei gemäß §3 Abs2 Z3 WAG 2018 auf, die unerlaubte gewerbliche Anlageberatung in Bezug auf Finanzinstrumente gemäß §3 Abs2 Z1 WAG 2018 und die unerlaubte gewerbliche Annahme und Übermittlung von Aufträgen, sofern diese Tätigkeiten ein oder mehrere Finanzinstrumente zum Gegenstand haben, zu unterlassen.

Das Bundesverwaltungsgericht wies die dagegen erhobene Beschwerde mit Erkenntnis vom 25. März 2022 als unbegründet ab.

3. Der Verwaltungsgerichtshof wies die außerordentliche Revision gegen das Erkenntnis des Bundesverwaltungsgerichtes vom 25. März 2022 mit Beschluss vom 1. Juni 2022, Ra 2022/02/0087, zurück. Der Verfassungsgerichtshof lehnte die Behandlung der Beschwerde gegen das Erkenntnis des Bundesverwaltungsgerichtes vom 25. März 2022 mit Beschluss vom 14. Juni 2022, E1190/2022, ab.

4. Mit Eingabe vom 17. November 2021 erhob die beschwerdeführende Partei Beschwerde an die Datenschutzbehörde. Sie brachte darin vor, dass die Investorenwarnung der FMA auch bestehen geblieben sei, nachdem die beschwerdeführende Partei eine entsprechende inhaltliche Veränderung ihrer Website erwirkt hätte, um eine durch technische Fehler bedingte potentielle und abstrakte Anfälligkeit für Fehlinterpretationen hinsichtlich der Zurechnung eben jener Website abschließend zu sanieren. Die beschwerdeführende Partei werde in ihrem Auskunftsrecht gemäß Art15 DSGVO verletzt, weil die FMA der beschwerdeführenden Partei hinsichtlich der Speicherfrist der beanstandeten Datenverarbeitung in Form der Veröffentlichung der bezughabenden Investorenwarnung eine nicht einschlägige Rechtsgrundlage genannt habe, die von der FMA selbst regelmäßig nicht als Entscheidungskriterium für Datenlöschungen herangezogen werde. Darüber hinaus werde die beschwerdeführende Partei in ihrem Recht auf Löschung gemäß Art17 DSGVO verletzt, weil seit 29. September 2020 im "Footer" der benannten Website nicht mehr ein Hinweis auf die beschwerdeführende Partei enthalten sei. Dieser Verweis sei entfernt worden, weil es sich um ein technisches Versehen gehandelt habe. Nach dem Grundsatz der Zweckbindung gemäß Art5 Abs1 litb DSGVO sei eine weitere Verarbeitung der personenbezogenen Daten der beschwerdeführenden Partei im Zusammenhang mit der bezughabenden Investorenwarnung unzulässig, weswegen der Anspruch auf Löschung der beschwerdeführenden Partei zu Recht bestehe. Darüber hinaus sei der auf die bezughabende Veröffentlichung der Investorenwarnung auf der Website der FMA bezughabende Bescheid am 2. September 2020, somit vor langer Zeit, erlassen worden. Es liege daher ein Fall nachträglich eingetretener Unzulässigkeit vor und der Anspruch der beschwerdeführenden Partei auf Löschung gemäß Art17 Abs1 litd DSGVO bestehe zu Recht.

5. Mit Bescheid vom 3. August 2022 stellte die Datenschutzbehörde die Beschwerdelegitimation der beschwerdeführenden Partei gemäß §24 DSG fest und gab der Beschwerde statt. Durch das Entfernen des "Footer" auf der Homepage der beschwerdeführenden Partei, welcher für die Veröffentlichung der Investorenwarnung gemäß §92 Abs11 WAG erster Satz 2018 entscheidungsrelevant gewesen sei, sei eine neue Sachlage eingetreten. Auf Grund dessen sei es erforderlich, die Datenverarbeitungslegitimation neu zu prüfen. Es ergebe sich im Hinblick auf das Verfahren vor der Datenschutzbehörde zwar kein Anhaltspunkt für eine Geheimhaltungspflichtverletzung im Sinne des §1 Abs1 DSG, die FMA hätte aber dem Antrag der beschwerdeführenden Partei auf Löschung folgen müssen, nachdem sich die Sachlage durch das Entfernen des "Footer" auf der Homepage der beschwerdeführenden Partei geändert habe und die Beschwerde aus datenschutzrechtlicher Sicht berechtigt gewesen sei. Die Datenschutzbehörde stellte die Verletzung im Recht auf Löschung und auf Auskunft durch die FMA fest. Die beschwerdeführende Partei sei legitimiert, diese Rechtsverletzungen geltend zu machen, weil §1 DSG auch juristische Personen erfasse. Die Datenschutzbehörde trug der FMA auf, binnen vier Wochen die Veröffentlichung ("Investorenwarnung") auf der Website der FMA betreffend die beschwerdeführende Partei zu löschen.

6. Auf Grund einer Beschwerde der FMA gegen den angeführten Bescheid der Datenschutzbehörde wies das Bundesverwaltungsgericht die an die Datenschutzbehörde erhobene Beschwerde der beschwerdeführenden Partei als unzulässig zurück und behob den Bescheid der Datenschutzbehörde ersatzlos. Begründend führt das Bundesverwaltungsgericht aus, dass §24 DSG, welcher jeder betroffenen Person ein Recht auf Beschwerde an die Datenschutzbehörde einräume, nur auf natürliche Personen anwendbar sei. Mangels Beschwerdelegitimation der beschwerdeführenden Partei (als juristischer Person) sei daher deren Beschwerde an die Datenschutzbehörde zurückzuweisen.

Im Rahmen der rechtlichen Beurteilung trifft das Bundesverwaltungsgericht zur mangelnden Beschwerdelegitimation der beschwerdeführenden Partei folgende Ausführungen:

"II.3.3. Zur Beschwerdelegitimation der mitbeteiligten Partei:

Zunächst ist festzuhalten, dass sich die mitbeteiligte Partei in ihrer an die belangte Behörde gerichteten Datenschutzbeschwerde expressis verbis auf §1 Abs1 DSG stützte. Daher ist §1 Abs1 DSG als verletztes Recht benannt, und hatte die belangte Behörde daher im vorliegenden Fall auch konkret eine Rechtsverletzung in der Sphäre des Beschwerdeführers am Maßstab des in §1 Abs1 DSG statuierten Grundrechteschutzes zu prüfen gehabt.

Aufgrund des uneindeutigen Wortlauts von Art1 Abs1 DSGVO schützt diese nur die Daten natürlicher Personen, und somit nicht juristischer Personen. Die Frage, ob sich juristische Personen auf Art8 EMRK berufen können, wenn aus ihrem Namen eine natürliche Person hervorgeht (ErwGr 14 widerspricht in diesem Punkt EuGH 09.11.2010, C 92/09, Schecke ; C 93/09, Eifert ), stellt sich im vorliegenden Fall nicht. Der mitbeteiligten Partei war es somit im konkreten Fall verwehrt, sich auf Art1 und Art77 DSGVO zu berufen.

§1 Abs1 und 3 DSG erfuhren bis dato keine Novellierung. Juristischen Personen steht daher weiterhin das Grundrecht auf Geheimhaltung ihrer Daten sowie grundsätzlich das Recht auf Auskunft, Richtigstellung und Löschung zu. Einer nationalen Regelung, welche die Daten juristischer Personen schützt, steht die DSGVO nicht entgegen (vgl Lachmayer in Knyrim , DatKomm Art1 DSGVO Rz 80 (Stand 1.12.2018, rdb.at); BVerfG 06.11.2019, 1 BvR 16/13; VfGH 14.03.2012, U466/11 VfSlg 19.632).

Hiervon zu unterscheiden ist, ob nach Inkrafttreten der DSGVO juristische Personen aktiv legitimiert sind, Rechte nach §1 DSG im behördlichen Administrativverfahren geltend zu machen. Hierzu gibt es widerstreitende Meinungen:

Wie aus dem angefochtenen Bescheid ersichtlich, bejaht die belangte Behörde diese Frage jedenfalls bei rein nationalen Fällen (vgl bereits DSB 13.09.2018, DSB D216.713/0006 DSB/2018; DSB 25.05.2020, 2020 0.191.240). Dies trifft auch für Teile der Literatur zu.

Jedoch ist für die Interpretation der Reichweite des Schutzes des in §1 Abs1 DSG statuierten subjektiv öffentlichen Rechts primär Art2 des DSG und insbesondere die Durchführungsbestimmung des §4 Abs1 DSG beachtlich: Diesem zu Folge gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen. Der österreichische Gesetzgeber hat in den Erläuternden Bemerkungen zu §4 Abs1 DSG wie folgt festgehalten:

'Das Grundrecht auf Datenschutz wurde bisher im Sinne der Begriffsbestimmungen des §4 DSG 2000 ausgelegt (vgl zB. Eberhard, zu §1 DSG 2000, in Korinek/Holoubek ua, Kommentar zum österreichischen Bundesverfassungsrecht). Nunmehr muss es im Sinne der Begriffsbestimmungen der DSGVO ausgelegt werden, dh 'Betroffene' bzw 'betroffene Personen' sind gem Art4 Z1 DSGVO nur natürliche Personen.' (AÄA zu §4 Abs1 idF des Datenschutz Deregulierungs Gesetzes 2018 (AA 10 26. GP  4)).

Damit ist aber auch §24 DSG, welcher jeder betroffenen Person ein Recht auf Beschwerde bei der Datenschutzbehörde einräumt, auf natürliche Personen beschränkt. Demnach ist, insoweit eine Datenverarbeitung gemäß §1 Abs1 DSG vorliegt, auch die Geltendmachung des subjektiven Rechts einer juristischen Person im Wege des verwaltungsbehördlichen Administrativverfahrens nicht vorgesehen.

Schließlich kommen die in §1 Abs3 genannten Rechte der betroffenen Person nur nach Maßgabe gesetzlicher Bestimmungen zu. Sie stehen insofern unter einem Konkretisierungsvorbehalt (siehe dazu Ennöckl , Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung 103, 173 ff sowie VfSlg 16.986/2003). Den Gesetzgeber trifft ein Ausgestaltungsauftrag, die Modalitäten der Geltendmachung der datenschutzrechtlichen Begleitrechte zu regeln. Während das DSG 2000 noch ganz generell allgemeine Regelungen zu den Begleitrechten enthielt (§§26 ff DSG 2000), entfallen im DSG derartige Regelungen zu den Rechten der betroffenen Person für den Anwendungsbereich der DSGVO weitgehend, da sich diese unmittelbar aus der DSGVO (Kap III der DSGVO – Rechte der betroffenen Person) ergeben. Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl , DSG §1 zu Abs3 Anm 17 ff (Stand 12.6.2018, rdb.at)

Eine verfassungskonforme Interpretation von §24 DSG im Sinne einer Erweiterung entgegen dem Normeninhalt und dem expliziten Wortlaut von §4 Abs1 DSG, als dass der einfachgesetzliche Teil des DSG auch eine juristische Person aktiv legitimiere, kommt schon deswegen nicht infrage, weil der Wortlaut der Bestimmung unzweideutig ist.

Für das beschließende Gericht ist ebenso wenig ersichtlich, dass dem Gesetzgeber bei der Normengestaltung im Hinblick auf §24 DSG eine planwidrige Lücke unterlaufen wäre, denn es wäre insbesondere im Hinblick auf §4 Abs1 DSG, der ja explizit die Bestimmungen über den Anwendungsbereich der DSGVO als Durchführungsbestimmungen übernommen hat, ein leichtes gewesen Art1 und 2 DSGVO auszunehmen.

Dadurch ergibt sich aber auch im verfassungsgesetzlich geschützten Bereich des §1 Abs1 DSG (wo juristische Personen mitumfasst sind) im Vergleich zu einer natürlichen Person kein (grob) unterschiedlicher Grundrechteschutz:

Wie bereits erwähnt, hat der EuGH hat in den Rs Schecke und Eifert (EuGH 09.11.2010, C 92/09 und C 93/09) ausgesprochen, dass der Rechtsschutz der EMRK insbesondere betreffend Art8 EMRK auch juristischen Personen zugutekommt, wenn eine juristische Person den Namen einer oder mehrerer natürlicher Personen enthält.

Ähnlich meint auch Lachmayer in Knyrim , DatKomm Art1 DSGVO Rz 17 (Stand 1.12.2018, rdb.at) der mit Verweis auf Anderl/Hörlsberger/Müller , Kein einfachgesetzlicher Schutz für Daten juristischer Personen; ÖJZ 2018, 14; Knyrim/Maurer , Der Datenschutz für die juristische Person bleibt bestehen, Dako 2017/48; Leissler , Datenschutz für juristische Personen - ein Blick in die Zukunft, ecolex 2017, 1222 sowie Heißl in Knyrim , DatKomm Art2 Rz 20 ff), dass der alleinige Grundrechtsschutz eine äußerst reduzierte Anwendbarkeit des Datenschutzes auf juristische Personen eröffnet.

Es ergibt sich daher auch, dass die Interpretation der belangten Behörde, dass §24 DSG die mitbeteiligte Partei als juristische Person aktiv legitimiere, unrichtig ist.

Mangels Beschwerdelegitimation der mitbeteiligten Partei war der Beschwerde statt zu geben, und die Datenschutzbeschwerde der mitbeteiligten Partei zurückzuweisen."

7. Gegen dieses Erkenntnis erhob die beschwerdeführende Partei die auf Art144 B VG gestützte Beschwerde an den Verfassungsgerichtshof. Auch juristische Personen könnten Träger von Grundrechten sein, wenn dies nach dem Wesen des betreffenden Grundrechtes möglich sei (VfSlg 7380/1974 uva). Das angefochtene Erkenntnis verletze die beschwerdeführende Partei in ihrem verfassungsgesetzlich gewährleisteten Recht auf Gleichheit aller Staatsbürger vor dem Gesetz gemäß Art7 Abs1 B VG und Art2 StGG. Das Bundesverwaltungsgericht habe den einfachgesetzlichen Bestimmungen, insbesondere §4 und §24 DSG, einen gleichheitswidrigen Inhalt unterstellt; auch nach dem Inkrafttreten der DSGVO seien juristische Personen aktiv legitimiert, ihre Rechte nach §1 DSG im behördlichen Administrativverfahren geltend zu machen. Es könne dem Gesetzgeber nicht unterstellt werden, dass dieser ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln wollte als natürliche Personen.

In der Literatur werde davon ausgegangen, dass sich ein Betroffener auch gegenüber einer Datenverarbeitung im Bereich des §4 DSG ungeschmälert auf §1 DSG berufen könne; eine verfassungskonforme Auslegung führe dazu, auch juristischen Personen gleichermaßen die Teilgrundrechte des §1 Abs3 DSG iZm der DSGVO zu gewähren ( Thiele/Wagner , Praxiskommentar zum Datenschutzgesetz [DSG] 2 §1 Rz 124 sowie §4 Rz 87; VfGH 12.12.2017, E3249/2016). Hinsichtlich des Konkretisierungsvorbehalts der Teilrechte auf Auskunft, Richtigstellung und Löschung ( Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl , DSG – Datenschutzgesetz [2018] §1 DSG Rz 17) werde eine planwidrige Regelungslücke ausgemacht, weil der gesetzgeberische Ausgestaltungsauftrag evident nicht erfüllt worden sei. Es liege in diesem Zusammenhang eine Verletzung des Gleichheitsgrundsatzes und wohl auch der materiell-rechtlichen Rechtsstaatsgarantie vor; eine Ausübung der Teilrechte auf Auskunft, Richtigstellung und Löschung mittels analoger Heranziehung der DSGVO sei im Lichte von Art16 Abs1 AEUV vertretbar ( Thiele/Wagner , Praxiskommentar zum Datenschutzgesetz [DSG] 2 §1 Rz 199).

8. Die Datenschutzbehörde erstattete eine Gegenschrift, in der sie mit näherer Begründung ausführte, dass §1 DSG auch juristische Personen als Grundrechtsträger schütze. Die Ausführungen des Bundesverwaltungsgerichtes, welche als unmittelbare Folge die Vorenthaltung eines Grundrechtes für einen Grundrechtsträger habe, stünden in einem Spannungsverhältnis mit dem in Österreich und in der Europäischen Union bestehenden hohen Grundrechtsschutz und seien nicht nachvollziehbar; das Grundrecht auf Datenschutz werde gemäß §1 DSG neben natürlichen auch juristischen Personen eingeräumt. Das Gleichheitsrecht sei auch juristischen Personen gewährleistet, sofern der Schutz vor Verletzung des Gleichheitsgrundsatzes solche Merkmale betreffe, die auch für juristische Personen in Betracht kommen könnten (VfSlg 13.208/1992).

Die vom Bundesverwaltungsgericht gewählte Auslegung der einfachgesetzlichen Bestimmungen in §4 und §24 DSG stelle eine Verletzung des Gleichheitsgrundsatzes gemäß Art7 B VG und Art2 StGG dar, weil juristischen Personen hiedurch die Grundrechtsausübung vorenthalten und als damit einhergehende Konsequenz ebenfalls das Recht auf ein Verfahren vor dem gesetzlichen Richter gemäß Art83 Abs2 B VG verletzt werde.

9. Die FMA legte die Verwaltungsakten vor und erstattete eine Gegenschrift: Der Gesetzgeber habe sich bewusst für eine Einschränkung der Anwendbarkeit der Bestimmungen der §§4 ff DSG auf natürliche Personen entschieden. Die Bestimmungen des Datenschutzgesetzes würden daher nach dem Willen des Gesetzgebers ausschließlich für natürliche Personen gelten. Aus diesem Grund würden nun (jedenfalls im Hinblick auf juristische Personen) Ausführungsbestimmungen zu den unter Ausführungsvorbehalt stehenden Begleitrechten in §1 Abs3 DSG auf Auskunft, Richtigstellung und Löschung fehlen; es handle sich bei §1 Abs3 DSG somit um ein "nacktes Grundrecht". Damit sei aber auch §24 DSG, welcher jeder betroffenen Person ein Recht auf Beschwerde bei der Datenschutzbehörde einräume, auf natürliche Personen beschränkt. Die Geltendmachung des subjektiven Rechtes einer juristischen Person gemäß §1 DSG sei im Wege des verwaltungsbehördlichen Administrativverfahrens nicht vorgesehen. Eine verfassungskonforme Interpretation von §24 DSG im Sinne einer Erweiterung entgegen dem Normeninhalt und dem expliziten Wortlaut von §4 Abs1 DSG dahin, dass der einfachgesetzliche Teil des DSG auch eine juristische Person aktiv legitimiere, komme schon deswegen nicht in Betracht, weil der Wortlaut der Bestimmung unzweideutig sei.

10. Das Bundesverwaltungsgericht legte die Verwaltungsakten vor und erstattete eine Gegenschrift, in welcher dem Beschwerdevorbringen mit näherer Begründung entgegengetreten wird.

II. Rechtslage

1. Die maßgeblichen Bestimmungen des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 165/1999, idF BGBl I 120/2017 lauten wie folgt:

"Artikel 1

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art8 Abs2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl Nr 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

(4) Beschränkungen der Rechte nach Abs3 sind nur unter den in Abs2 genannten Voraussetzungen zulässig.

[…]

(1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen §1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:

1. die Bezeichnung des als verletzt erachteten Rechts,

2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),

3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,

4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,

5. das Begehren, die behauptete Rechtsverletzung festzustellen und

6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§13 Abs8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.

(7) Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.

(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

(9) Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.

(10) In die Entscheidungsfrist gemäß §73 AVG werden nicht eingerechnet:

1. die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;

2. die Zeit während eines Verfahrens nach Art56, 60 und 63 DSGVO."

2. Die maßgebliche Bestimmung des Wertpapieraufsichtsgesetzes 2018 (WAG 2018), BGBl I 107/2017, idF BGBl I 36/2022 lautet wie folgt:

"Weitere Aufsichtsmaßnahmen

§92.[…]

(11) Die FMA kann durch Kundmachung im Internet oder in einer Zeitung mit Verbreitung im gesamten Bundesgebiet die Öffentlichkeit informieren, dass eine namentlich genannte natürliche oder juristische Person zur Vornahme bestimmter Wertpapierdienstleistungsgeschäfte (§3 Abs2 Z1 bis 5) nicht berechtigt ist, sofern diese Person dazu Anlass gegeben hat und eine Information der Öffentlichkeit erforderlich und im Hinblick auf mögliche Nachteile des Betroffenen verhältnismäßig ist. Diese Veröffentlichungsmaßnahmen können auch kumulativ getroffen werden. Die Person muss in der Veröffentlichung eindeutig identifizierbar sein; zu diesem Zweck können, soweit der FMA bekannt, auch Geschäftsanschrift oder Wohnanschrift, Firmenbuchnummer, Internetadresse, Telefonnummer und Telefaxnummer angegeben werden. Der von der Veröffentlichung Betroffene kann eine Überprüfung der Rechtmäßigkeit der Veröffentlichung in einem bescheidmäßig zu erledigenden Verfahren bei der FMA beantragen. Die FMA hat diesfalls die Einleitung eines solchen Verfahrens in gleicher Weise bekannt zu machen. Wird im Rahmen einer Überprüfung die Rechtswidrigkeit der Veröffentlichung festgestellt, so hat die FMA die Veröffentlichung richtig zu stellen oder auf Antrag des Betroffenen entweder zu widerrufen oder aus dem Internetauftritt zu entfernen.

[…]"

III. Erwägungen

Die – zulässige – Beschwerde ist nicht begründet.

1. Eine Verletzung des verfassungsgesetzlich gewährleisteten Rechtes auf Gleichheit aller Staatsbürger vor dem Gesetz kann nach der ständigen Rechtsprechung des Verfassungsgerichtshofes (zB VfSlg 10.413/1985, 14.842/1997, 15.326/1998, 16.488/2002 und 20.299/2018) nur vorliegen, wenn die angefochtene Entscheidung auf einer dem Gleichheitsgebot widersprechenden Rechtsgrundlage beruht, wenn das Verwaltungsgericht der angewendeten Rechtsvorschrift fälschlicherweise einen gleichheitswidrigen Inhalt unterstellt oder wenn es bei Erlassung der Entscheidung Willkür geübt hat.

Ein willkürliches Verhalten des Verwaltungsgerichtes, das in die Verfassungssphäre eingreift, liegt unter anderem in einer gehäuften Verkennung der Rechtslage, aber auch im Unterlassen jeglicher Ermittlungstätigkeit in einem entscheidenden Punkt oder dem Unterlassen eines ordnungsgemäßen Ermittlungsverfahrens überhaupt, insbesondere in Verbindung mit einem Ignorieren des Parteivorbringens und einem leichtfertigen Abgehen vom Inhalt der Akten oder dem Außerachtlassen des konkreten Sachverhaltes (zB VfSlg 8808/1980 mwN, 14.848/1997, 15.241/1998 mwN, 16.287/2001, 16.640/2002 und 20.402/2020).

2. Dem verfassungsgesetzlich gewährleisteten Grundrecht auf Datenschutz gemäß §1 Abs1 DSG zufolge hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Auch Wirtschaftsdaten sind dabei personenbezogene Daten iSd §1 Abs1 DSG (VfSlg 12.228/1989, 12.880/1991, 16.369/2001). Der Anspruch auf Geheimhaltung schutzwürdiger personenbezogener Daten ist dabei nicht nur auf die Nicht Weitergabe erhobener Daten gerichtet, sondern verbietet auch, dass der Betroffene unzulässigerweise zur Offenlegung verpflichtet wird (siehe insbesondere VfSlg 16.369/2001).

Das Grundrecht auf Datenschutz verbürgt somit einen verfassungsrechtlichen Schutz vor Ermittlung personenbezogener Daten, bei denen es sich auch um Wirtschaftsdaten handeln kann. Beschränkungen dieses Grundrechtes sind dem Gesetzesvorbehalt des §1 Abs2 DSG zufolge (abgesehen vom lebenswichtigen Interesse des Betroffenen an der Verwendung personenbezogener Daten oder seiner Zustimmung dazu) nur zur Wahrung überwiegender berechtigter Interessen eines anderen, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen zulässig, die aus den in Art8 Abs2 EMRK genannten Gründen notwendig sind.

Wie der Verfassungsgerichtshof in VfSlg 19.673/2012 und VfSlg 12.228/1989 ausgesprochen hat, ist die Erhebung von Wirtschaftsdaten, an denen die Wirtschaftssubjekte ein schutzwürdiges Interesse haben, gemäß §1 Abs2 DSG iVm Art8 Abs2 EMRK nur zulässig, wenn eine zur Datenerhebung ermächtigende Norm den Informationseingriff gestattet, dieser einem der enumerativ aufgezählten Eingriffsziele dient, auf das Erforderliche beschränkt und einem demokratischen Staat angemessen ist. Eine staatliche Behörde zur Erhebung von Daten ermächtigende Gesetze müssen daher gemäß §1 Abs2 DSG ihren Eingriffszweck hinreichend konkret bestimmen (vgl VfSlg 16.369/2001) und zur Sicherung der Verhältnismäßigkeit ausreichend präzise regeln, unter welchen Voraussetzungen die Ermittlung und die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben zulässig ist (siehe VfSlg 18.146/2007).

3. Der Verfassungsgerichtshof hat keinen Zweifel, dass die Grundrechtsbestimmungen in §1 DSG nicht nur natürliche Personen, sondern auch juristische Personen als Grundrechtsträger erfassen (zB VfSlg 19.673/2012). Daran hat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016 L 119, 1 (aber auch das im Gefolge erlassene Datenschutz-Anpassungsgesetz 2018, BGBl I 120/2017) nichts geändert.

4. Eine davon zu trennende Frage ist, ob eine juristische Person eine Beschwerde bei der Datenschutzbehörde wegen Verletzung ihres Rechtes auf Geheimhaltung personenbezogener Daten gemäß §1 Abs1 DSG erheben und ferner ob und unter welchen Voraussetzungen eine juristische Person eine Verletzung ihres Rechtes auf Auskunft, Richtigstellung oder Löschung personenbezogener Daten gemäß §1 Abs3 DSG – bei Fehlen entsprechender Ausführungsregelungen im Datenschutzgesetz – bei der Datenschutzbehörde geltend machen kann.

Der Verfassungsgerichtshof kann aber diese Fragen im Beschwerdefall dahin stehen lassen, weil – gleichgültig, wie die angeführten Fragen beantwortet werden – die Datenschutzbehörde auf keinen Fall zur Entscheidung über Beschwerden im Zusammenhang mit Veröffentlichungen ("Investorenwarnungen") gemäß §92 Abs11 WAG vierter Satz 2018 zuständig ist.

4.1. Im Zusammenhang mit Investorenwarnungen gemäß §92 Abs11 WAG 2018 gibt es nämlich einen eigenen administrativrechtlichen Rechtsschutz(weg) an die FMA, welcher den von einer Investorenwarnung betroffenen natürlichen genauso wie juristischen Personen offen steht.

Gemäß §92 Abs11 erster Satz WAG 2018 kann die FMA durch Kundmachung im Internet oder in einer Zeitung mit Verbreitung im gesamten Bundesgebiet die Öffentlichkeit informieren, dass eine namentlich genannte natürliche oder juristische Person zur Vornahme bestimmter Wertpapierdienstleistungsgeschäfte (§3 Abs2 Z1 bis 5 WAG 2018) nicht berechtigt ist, sofern diese Person dazu Anlass gegeben hat und eine Information der Öffentlichkeit erforderlich und im Hinblick auf mögliche Nachteile des Betroffenen verhältnismäßig ist. Diese Veröffentlichungsmaßnahmen können auch kumulativ getroffen werden. Die Person muss in der Veröffentlichung eindeutig identifizierbar sein; zu diesem Zweck können, soweit der FMA bekannt, auch Geschäftsanschrift oder Wohnanschrift, Firmenbuchnummer, Internetadresse, Telefonnummer und Telefaxnummer angegeben werden.

Nach §92 Abs11 vierter Satz WAG 2018 kann der von der Veröffentlichung Betroffene eine Überprüfung der Rechtmäßigkeit der Veröffentlichung in einem bescheidmäßig zu erledigenden Verfahren bei der FMA beantragen. Die FMA hat diesfalls die Einleitung eines solchen Verfahrens in gleicher Weise bekannt zu machen wie die Veröffentlichung. Wird im Rahmen einer Überprüfung die Rechtswidrigkeit der Veröffentlichung festgestellt, hat die FMA die Veröffentlichung richtigzustellen oder auf Antrag des Betroffenen entweder zu widerrufen oder aus dem Internetauftritt zu entfernen.

4.2. Dieser in §92 Abs11 vierter Satz WAG 2018 geregelte Rechtschutz(weg) ist die Folge des Erkenntnisses VfSlg 18.747/2009, in welchem der Verfassungsgerichtshof den ersten Satz des §4 Abs7 BWG, BGBl 532/1993, idF BGBl I 97/2001 ("Die FMA ist berechtigt, im Einzelfall durch Kundmachung im 'Amtsblatt zur Wiener Zeitung' oder in einem anderen bundesweit verbreiteten Bekanntmachungsblatt die Öffentlichkeit zu informieren, dass ein namentlich genanntes Unternehmen zur Vornahme bestimmter Bankgeschäfte nicht berechtigt ist.") mit folgender Begründung als verfassungswidrig aufgehoben hat:

"2. Die verfassungsrechtlichen Bedenken des Verfassungsgerichtshofes gegen die Berechtigung der FMA, gemäß §4 Abs7 BWG 'die Öffentlichkeit zu informieren, dass ein namentlich genanntes Unternehmen zur Vornahme bestimmter Bankgeschäfte nicht berechtigt ist', bestehen darin, dass es sowohl dem Sachlichkeitsgebot des Gleichheitssatzes als auch dem Rechtsstaatsprinzip widersprechen dürfte, diese Veröffentlichungen vorzunehmen, ohne dass dem betroffenen Unternehmen von der Rechtsordnung ein adäquates Instrumentarium der Überprüfung solcher Informationen und (gegebenenfalls) der Folgenbeseitigung zur Verfügung gestellt wird.

[…]

Der Verfassungsgerichtshof bleibt bei seiner im Prüfungsbeschluss geäußerten Auffassung, dass eine derartige Mitteilung jedenfalls geeignet ist, in grundrechtlich geschützte Positionen - wie etwa in die verfassungsgesetzlich gewährleisteten Rechte auf Freiheit der Erwerbsausübung bzw auf Unversehrtheit des Eigentums oder in die durch das Datenschutzrecht geschützte Rechtssphäre - einzugreifen (zur Eingriffseignung der Veröffentlichung personenbezogener Wirtschaftsdaten vgl VfSlg 12.228/1989 [S 482 ff.], vgl ferner OGH 11.7.2006, 1 Ob 54/06g [= RdW 2007, 20 = ÖBA 2007, 228]).

[…]

Sowohl die Tatsachenannahmen der Behörde als auch ihre rechtliche Beurteilung sind aber mit einem Fehlerrisiko behaftet. Der Gerichtshof hat schon im Prüfungsbeschluss darauf hingewiesen, dass es durchaus strittig sein kann, ob die von einem Unternehmen beabsichtigte oder schon aufgenommene Geschäftstätigkeit einer Konzession nach dem BWG bedarf bzw ob eine vorhandene Konzession (auch) diese Geschäftstätigkeit abdeckt. Strittig kann aber auch sein, ob das betroffene Unternehmen überhaupt eine einschlägige Tätigkeit beabsichtigt oder entfaltet. Der Gerichtshof bleibt dabei, dass unter solchen Umständen sowohl das Sachlichkeitsgebot des Gleichheitssatzes als auch das Rechtsstaatsprinzip verletzt sind, wenn eine solche, ein einzelnes Unternehmen betreffende Information veröffentlicht werden darf, ohne dass diesem Unternehmen von der Rechtsordnung ein adäquates Instrumentarium zur Verfügung gestellt würde, die Information auf ihre Berechtigung überprüfen, eventuell öffentlich korrigieren sowie allfällige Folgen einer rechtswidrigen Information beseitigen zu lassen.

3.2. Die Bundesregierung vertritt allerdings in der Tat die Auffassung, eine konkrete Veröffentlichung könne im Einzelfall in angemessener Weise rechtlich überprüft werden.

Die Bundesregierung meint in diesem Zusammenhang zunächst, die Gewährung von Parteiengehör vor einer Information nach §4 Abs7 BWG sei zwar möglich, aber nicht zwingend und auch nicht sinnvoll, weil es sich um eine bloße Tatsachenmitteilung (= Fehlen einer Konzession) handle, deren Wahrheitsgehalt denkmöglich nicht in Zweifel gezogen werden könne. Hiezu genügt es, auf die obigen Ausführungen zu verweisen, aus denen sich ergibt, dass es in vielen Fällen gerade darum geht, die Berechtigung einer solchen Information zu erörtern, wenn das betreffende Unternehmen mit Grund die Auffassung vertritt, für seine Tätigkeit einer Konzession nicht zu bedürfen, die erforderliche Konzession schon zu besitzen oder gar keine einschlägige Tätigkeit zu beabsichtigen. Im Übrigen liegt es auf der Hand, dass die Gewährung von Parteiengehör für sich allein zwar möglicherweise Fehlinformationen vermeiden kann, aber weder zur Korrektur von dennoch erfolgten Fehlinformationen geeignet ist noch verhindern könnte, dass zutreffende, aber vom Zweck des §4 Abs7 BWG nicht erfasste Informationen in Form einer Warnmeldung veröffentlicht werden.

Der Hinweis der Bundesregierung auf die Möglichkeit, einen Feststellungsbescheid zu erwirken, lässt zum einen unberücksichtigt, dass die Erlassung eines Feststellungsbescheides des Inhaltes, dass die Tätigkeiten des betroffenen Unternehmens nicht konzessionspflichtig sind, nur an den Bescheidadressaten gerichtet ist und noch keinen Widerruf der öffentlichen Kundmachung beinhaltet oder anordnet. Im Übrigen weist die Bundesregierung selbst auf die Rechtsprechung des Verwaltungsgerichtshofes hin, der zufolge eine bescheidmäßige Feststellung nicht mehr in Betracht kommt, sobald eine Tätigkeit oder Maßnahme aufgenommen oder gesetzt wurde. Bei der Anwendung des §4 Abs7 BWG kann es aber auch um Fälle gehen, in denen nach Aufnahme einer Tätigkeit strittig ist, ob diese Tätigkeit der Konzessionspflicht unterliegt oder nicht bzw ob eine erteilte Konzession ausreichend ist.

Nach Auffassung der Bundesregierung steht der durch eine Veröffentlichung gemäß §4 Abs7 BWG betroffenen Person auch die Möglichkeit offen, Beschwerde an die Datenschutzkommission nach §31 Abs2 Datenschutzgesetz 2000 (DSG 2000) zu erheben. Bei Entscheidung über eine solche Beschwerde habe die Datenschutzkommission die Gesetzmäßigkeit der Veröffentlichung zu überprüfen; soweit die Datenschutzkommission im Sinne des Beschwerdeführers entscheide, habe die FMA den der Rechtsanschauung der Datenschutzkommission entsprechenden Zustand herzustellen, gegebenenfalls auch die Entfernung der Veröffentlichung aus der Internet-Seite der Behörde zu veranlassen.

Dass damit der adäquate Rechtsschutz gegen behauptetermaßen falsche oder unangebrachte Informationen nach §4 Abs7 BWG gewährleistet wäre, kann der Gerichtshof nicht finden: Die mit Beschwerde nach §31 Abs2 DSG 2000 erreichbare 'Richtigstellung' und 'Löschung' bezieht sich nur auf Dateien und scheidet als tauglicher Rechtsbehelf gegen Warnmeldungen in einer Zeitung daher schon deswegen aus, weil - wie es auch der Anlassfall dieses Verfahrens zeigt - die Veröffentlichung von Informationen nach §4 Abs7 Satz 1 BWG auch ohne Rückgriff auf Dateien iSd DSG 2000 erfolgen kann, eine Konstellation, die sogar den Regelfall darstellen dürfte, da es typischerweise um Unternehmen geht, die nicht in der Liste der konzessionierten Unternehmen zu finden sind. Aber auch der in §31 Abs2 DSG 2000 normierte Schutz gegen Verletzungen des Rechts auf Geheimhaltung kommt als adäquater Rechtsbehelf gegen Meldungen nach §4 Abs7 BWG nicht in Betracht, weil zum einen die Frage, ob ein Unternehmen die - nach Auffassung der FMA - erforderliche Konzession besitzt, keine Tatsache ist, die der Geheimhaltung unterliegt, und zum anderen mit diesem Rechtsbehelf kein Widerruf und keine Richtigstellung einer falschen oder unangebrachten Warnmeldung erreicht werden kann.

[…]"

5. Diese zu §4 Abs7 BWG, BGBl 532/1993, idF BGBl I 97/2001, angestellten Erwägungen des Verfassungsgerichtshofes sind auf den im Beschwerdefall anwendbaren §92 Abs11 vierter Satz WAG 2018 sinngemäß zu übertragen:

Aus den Ausführungen des Verfassungsgerichtshofes im Erkenntnis VfSlg 18.747/2009 wird deutlich, dass im administrativen (Rechtsschutz )Verfahren vor der FMA nach §92 Abs11 vierter Satz WAG 2018 zu prüfen ist, ob die Veröffentlichung ("Investorenwarnung") gegen jegliche Vorschriften, sohin auch gegen das Grundrecht auf Datenschutz gemäß §1 DSG verstößt:

Die FMA hat dementsprechend über Antrag der von einer Investorenwarnung betroffenen (natürlichen oder juristischen) Person im Verfahren nach §92 Abs11 vierter Satz WAG 2018 zu prüfen, ob die rechtlichen Voraussetzungen für eine Investorenwarnung vorliegen und damit (auch) eine Verletzung des Rechtes auf Geheimhaltung personenbezogener Daten im Sinne des §1 Abs1 DSG auszuschließen ist. Sollte eine Verletzung unter anderem des Grundrechtes auf Geheimhaltung personenbezogener Daten einer natürlichen oder juristischen Person vorliegen, wäre die FMA gemäß §92 Abs11 vierter Satz WAG 2018 gehalten, im Hinblick auf §1 Abs3 DSG die Veröffentlichung richtigzustellen oder zu widerrufen oder aus dem Internetauftritt zu entfernen.

Sofern sich der Sachverhalt, welcher der Investorenwarnung zugrunde lag, nach einer abweisenden Entscheidung der FMA gemäß §92 Abs11 vierter Satz WAG 2018 ändern sollte – wie dies die beschwerdeführende Partei im Beschwerdeverfahren behauptet –, steht es der betroffenen (natürlichen oder juristischen) Person offen, bei der FMA die (neuerliche) Durchführung eines mit Bescheid abzuschließenden Verfahrens gemäß §92 Abs11 vierter Satz WAG 2018 zu beantragen. In diesem (neuerlichen) Verfahren ist dann zu prüfen, ob sich der Sachverhalt geändert hat und gegebenenfalls ob nach wie vor die Voraussetzungen für eine entsprechende Veröffentlichung durch die FMA gemäß §92 Abs11 erster Satz WAG 2018 gegeben sind. Auch bei einer behaupteten Änderung des einer Investorenwarnung nach §92 Abs11 erster Satz WAG 2018 zugrunde liegenden Sachverhaltes ist ausschließlich die FMA zuständig, über eine Beschwerde unter anderem wegen einer behaupteten Verletzung des Grundrechtes auf Datenschutz gemäß §1 DSG zu entscheiden.

6. Da es im Beschwerdefall ausschließlich darum geht, ob die auf §92 Abs11 WAG 2018 gestützte Veröffentlichung der FMA (nach wie vor) rechtmäßig ist – und dementsprechend unter anderem im Einklang mit dem Grundrecht auf Datenschutz gemäß §1 (Abs1 und 3) DSG steht –, ist nicht auf die Frage einzugehen, welcher Rechtschutzweg der beschwerdeführenden Partei in Bezug auf eine etwaige über die Veröffentlichung gemäß §92 Abs11 erster Satz WAG 2018 hinausgehende Verwendung von personenbezogenen Daten offenstünde.

7. Das Bundesverwaltungsgericht hat seine Unzuständigkeit in dem in Beschwerde gezogenen Erkenntnis ausschließlich damit begründet, dass eine juristische Person nicht legitimiert sei, eine Beschwerde an die Datenschutzbehörde wegen Verletzung des Grundrechtes auf Datenschutz gemäß §1 Abs1 und §1 Abs3 DSG zu erheben. Diese Begründung der Unzuständigkeit der Datenschutzbehörde im angefochtenen Erkenntnis des Bundesverwaltungsgerichtes ist zwar – wie die oben stehenden Ausführungen zeigen – unrichtig (vgl oben Punkt 4.). Im Ergebnis begegnet aber das angefochtene Erkenntnis des Bundesverwaltungsgerichtes keinen verfassungsrechtlichen Bedenken. Wie unter Punkt 4. ausgeführt, ist nämlich nicht die Datenschutzbehörde, sondern ausschließlich die FMA zur Entscheidung über die Rechtmäßigkeit einer Investorenwarnung gemäß §92 Abs11 vierter Satz WAG 2018 auf Grund der Beschwerde einer betroffenen (natürlichen oder juristischen Person) zuständig.

IV. Ergebnis

1. Die behauptete Verletzung in verfassungsgesetzlich gewährleisteten Rechten hat sohin nicht stattgefunden.

Das Verfahren hat auch nicht ergeben, dass die einschreitende Partei in von ihr nicht geltend gemachten verfassungsgesetzlich gewährleisteten Rechten verletzt wurde.

2. Die Beschwerde ist daher abzuweisen.

3. Diese Entscheidung konnte gemäß §19 Abs4 VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.