DS1/2025 – Verfassungsgerichtshof (VfGH) Entscheidung

I. Der Beschwerdeführer ist durch die Verwendung des Web-basierten Elektronischen Rechtsverkehrs (Web-ERV) durch den Verfassungsgerichtshof nicht in seinen Rechten gemäß Art5 und Art25 DSGVO verletzt worden.

II. Die Beschwerde wird insoweit abgewiesen.

Begründung

I. Sachverhalt und Beschwerde

1. Der Beschwerdeführer erhob mit Schriftsatz vom 26. Februar 2025, verbessert am 18. März 2025, Beschwerde an die Datenschutzbehörde gegen die Verwendung des Web-basierten Elektronischen Rechtsverkehrs (Web-ERV) durch den Bundesminister für Justiz, die Bundesregierung, den Bundeskanzler, den Präsidenten des Verfassungsgerichtshofes, die Bundesrechenzentrum GmbH sowie ein näher bezeichnetes Softwareunternehmen.

2. In seiner Beschwerde bringt der Beschwerdeführer im Wesentlichen vor, dass er eine Beschwerde (wohl richtig: Revision) an den Verwaltungsgerichtshof einbringen wollte. Er habe die Einbringung kontrolliert und eine Sendebestätigung erhalten. Erst im Nachhinein habe sich herausgestellt, dass die Sendebestätigung irreführend erzeugt worden sei, der Schriftsatz fälschlich beim Verwaltungsgerichtshof anstelle des Bundesverwaltungsgerichtes eingebracht worden sei und der Beschwerdeführer deshalb wegen Ablauf der Frist Wiedereinsetzung beantragen habe müssen, was zu erheblichen Kosten und einem drohenden Rechtsverlust geführt habe.

3. Die Fehlerhaftigkeit der Softwareanwendung Web-ERV, zu deren Verwendung der Beschwerdeführer als Rechtsanwalt gezwungen sei, verstoße gegen die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art5 DSGVO sowie sein Recht auf Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art25 DSGVO. Dieser Verstoß gegen die genannten Bestimmungen der DSGVO sei unter anderen dem Präsidenten des Verfassungsgerichtshofes vorzuwerfen. Begründend führt der Beschwerdeführer aus, dass die Softwareanwendung Web-ERV keine Kontrolle des Adressaten einer Eingabe laut beigegebenem Schriftsatz und der technischen Adressierung vorsehe, Sendebestätigungen produziere, die falsch seien oder falsch sein könnten, dass ein Handbuch fehle, das über Meldefehler und irreführende Mitteilungen aufkläre, und dass für unvermeidbare Bedienungsfehler keine Eingabekorrekturen und keine übersichtliche Darstellung vorgesehen seien.

4. Mit Verfügung vom 12. Juni 2025 übermittelte die Datenschutzbehörde die Beschwerde dem Präsidenten des Verfassungsgerichtshofes.

II. Rechtslage

1. §88b Verfassungsgerichtshofgesetz 1953 (VfGG), BGBl 85/1953, idF BGBl I 22/2018 lautet:

"M. Bei Beschwerden wegen Verletzung in Rechten gemäß der DSGVO durch den Verfassungsgerichtshof

§88b. Die §§84 und 85 GOG gelten sinngemäß mit der Maßgabe, dass über behauptete Verletzungen solcher Rechte durch den Verfassungsgerichtshof der Gerichtshof in nichtöffentlicher Sitzung durch Beschluss nach den Bestimmungen dieses Bundesgesetzes entscheidet."

2. §84 und §85 Gerichtsorganisationsgesetz (GOG), RGBl. 217/1896, idF BGBl I 32/2018 lauten:

"§84. Bei Datenverarbeitungen im Rahmen der justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung richten sich die sich aus Art12 bis 22 und Art34 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO), und die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach §1 DSG ergebenden Rechte und Pflichten sowie deren Durchsetzung nach den Verfahrensgesetzen und den darauf beruhenden Verordnungen sowie den Vorschriften dieses Bundesgesetzes.

§85. (1) Wer durch ein Organ, das in Ausübung seiner justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung handelt, im Grundrecht auf Datenschutz verletzt wurde, kann dem Bund gegenüber die Feststellung dieser Verletzung begehren.

(2) Zur Entscheidung über diese Beschwerde ist das im Instanzenzug übergeordnete Gericht zuständig. Betrifft die Beschwerde eine Verletzung durch ein Organ des Obersten Gerichtshofs, so ist dieser zur Entscheidung zuständig. Das Gericht entscheidet im Verfahren außer Streitsachen, soweit im Folgenden nicht anderes bestimmt ist.

(3) In der Beschwerde ist anzugeben und zu begründen, worin der Beschwerdeführer die Verletzung seines Rechtes erblickt. Die zum Anlass der Beschwerde genommene Entscheidung oder der entsprechende Vorgang ist genau zu bezeichnen. Der Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, ist anzuführen.

(4) Der Betroffene kann sich bei der Erhebung der Beschwerde nur von einem Rechtsanwalt vertreten lassen. Die Beschwerde ist binnen einem Jahr ab dem Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, bei dem nach Abs2 zuständigen Gericht einzubringen. Nach Ablauf von drei Jahren nach der Entscheidung oder dem Vorgang kann die Feststellung nicht mehr begehrt werden.

(5) Das Gericht hat auszusprechen, ob die behauptete Rechtsverletzung stattgefunden hat, und gegebenenfalls dem zuständigen Gericht die erforderlichen Aufträge zu erteilen. Gegen die Entscheidung ist ein Rechtsmittel an den Obersten Gerichtshof zulässig, sofern sie nicht ohnedies von diesem gefällt wurde und die Entscheidung von der Lösung einer Rechtsfrage abhängt, der zur Wahrung der Rechtseinheit, Rechtssicherheit oder Rechtsentwicklung erhebliche Bedeutung zukommt. Die Partei muss für die Erhebung des Rechtsmittels und im weiteren Verfahren durch einen Rechtsanwalt vertreten sein. In einem stattgebenden Erkenntnis ist dem Bund der Ersatz der Beschwerdekosten an den Beschwerdeführer aufzuerlegen."

3. Die maßgeblichen Bestimmungen der Verordnung (EU) Nr 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016 L 119, 1 ff., (im Folgenden: DSGVO) lauten:

"Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ('Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz');

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ('Zweckbindung');

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ('Datenminimierung');

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ('Richtigkeit');

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ('Speicherbegrenzung');

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ('Integrität und Vertraulichkeit');

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ('Rechenschaftspflicht')."

"Artikel 25

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche

Voreinstellungen

(1)  Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen."

"Artikel 55

Zuständigkeit

(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.

(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen."

"Artikel 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.

Artikel 78

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.

(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.

(3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.

(4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.

Artikel 79

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

(2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist."

4. §35 Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 165/1999, idF BGBl I 70/2024 lautet:

"§35. (1) Die Datenschutzbehörde ist nach den näheren Bestimmungen der DSGVO und dieses Bundesgesetzes zur Wahrung des Datenschutzes berufen.

(2) (Verfassungsbestimmung) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art19 B VG bezeichneten obersten Organen der Vollziehung sowie gegenüber dem Präsidenten des Verwaltungsgerichtshofes im Bereich der diesem zustehenden Verwaltungsangelegenheiten aus."

5. Art130 und Art133 Bundes-Verfassungsgesetz (B VG), BGBl 1/1930, idF BGBl I 14/2019 haben folgenden Wortlaut:

"Artikel 130. […]

(2a) Die Verwaltungsgerichte erkennen über Beschwerden von Personen, die durch das jeweilige Verwaltungsgericht in Ausübung seiner gerichtlichen Zuständigkeiten in ihren Rechten gemäß der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) – DSGVO, ABl. Nr L 119 vom 4. 5. 2016 S. 1, verletzt zu sein behaupten.

[…]

Artikel 133. […]

(2a) Der Verwaltungsgerichtshof erkennt über die Beschwerde einer Person, die durch den Verwaltungsgerichtshof in Ausübung seiner gerichtlichen Zuständigkeiten in ihren Rechten gemäß der DSGVO verletzt zu sein behauptet.

[…]"

III. Zur Zulässigkeit

1. Der Beschwerdeführer hat bei der Datenschutzbehörde eine ua gegen den Verfassungsgerichtshof gerichtete Beschwerde infolge der Verwendung des Web-ERV ua durch den Verfassungsgerichtshof eingebracht. In seiner Beschwerde behauptet der Beschwerdeführer mit näherer Begründung, durch die für ihn als Rechtsanwalt verpflichtende Verwendung des Web-ERV (ua) durch den Verfassungsgerichtshof in seinen durch Art5 und Art25 DSGVO garantierten (Datenschutz-)Rechten verletzt zu werden.

2. Mit Verfügung vom 12. Juni 2025 forderte die Datenschutzbehörde den Präsidenten des Verfassungsgerichtshofes bzw den Verfassungsgerichtshof auf, zur Beschwerde des Beschwerdeführers wegen der behaupteten Verletzung des Art5 und Art25 DSGVO infolge der Verwendung des Web-ERV eine Stellungnahme zu erstatten.

3. Aus Anlass dieser Aufforderung der Datenschutzbehörde zur Stellungnahme in Bezug auf die Beschwerde des Beschwerdeführers an die Datenschutzbehörde wurde die (unter anderen) gegen den Präsidenten des Verfassungsgerichtshofes bzw den Verfassungsgerichtshof gerichtete Beschwerde beim Verfassungsgerichtshof zur Geschäftszahl DS 1/2025 protokolliert.

4. Die Zuständigkeit des Verfassungsgerichtshofes zur Entscheidung über die bei der Datenschutzbehörde eingebrachte Beschwerde des Beschwerdeführers gegen die Verwendung des Web-ERV durch den Verfassungsgerichtshof ergibt sich aus Folgendem:

4.1. Die DSGVO sieht in Art77 (und Art78) einerseits eine Zuständigkeit der nationalen Aufsichtsbehörde(n) und in Art79 andererseits eine Zuständigkeit der (ordentlichen) Gerichte zur Entscheidung über behauptete Verletzungen dieser Verordnung vor. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union handelt es sich dabei um eine zwingende doppelgleisige (parallele) Zuständigkeit sowohl der nationalen Aufsichtsbehörden als auch der zuständigen ordentlichen Gerichte (zB EuGH 12.1.2023, C 132/21, BE , Rz 34 ff.; in diesem Sinn auch VfSlg 20.656/2023).

4.2. In Art55 Abs3 DSGVO trifft der Unionsgesetzgeber aber eine von der (unionsrechtlich zwingenden) Doppelgleisigkeit des Rechtsschutzes abweichende (Sonder-)Regelung:

4.2.1. Gemäß Art55 Abs3 DSGVO sind die Aufsichtsbehörden "nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen". In Erwägungsgrund 20 der DSGVO wird dies damit begründet, dass auf diese Weise "die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt". Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten – so weiter in Erwägungsgrund 20 – "besondere Stellen im Justizsystem des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten".

4.2.2. Unter "justizieller Tätigkeit" im Sinne des Art55 Abs3 DSGVO sind sämtliche personenbezogene Daten betreffenden Verarbeitungsvorgänge von Gerichten zu verstehen, die mit der gerichtlichen Entscheidungsfindung im Zusammenhang stehen und die im Interesse der richterlichen Unabhängigkeit von externer Kontrolle nicht beeinflusst werden dürfen. Der Gerichtshof der Europäischen Union (EuGH 24.3.2022, C 245/20, Autoriteit Persoonsgegevens , Rz 28 ff.) geht in Übereinstimmung mit dem Schrifttum (zB Polenz , in: Simits/Hornung/Spiecker gen. Döhmann [Hrsg.], Datenschutzrecht, 2025, Art55 DS-GVO, Rz 20; Matzke , in: Wolff/Brink/v. Ungern-Sternberg [Hrsg.], BeckOK Datenschutzrecht [Stand 1.2.2025], Art55 DS-GVO, Rz 11 f; Zavadil , in: Knyrim [Hrsg.], DatKomm, Art55 DSGVO [Stand 1.7.2025, rdb.at], Rz 15 ff.; Selmayr , in: Ehmann/Selmayr [Hrsg.], Datenschutz-Grundverordnung, 2024, Art55 DS-GVO, Rz 14 ff.; Nguyen/Stroh , in: Gola/Hecicmann [Hrsg.], Datenschutz-Grundverordnung — Bundesdatenschutzgesetz, 2022, Art55 DS-GVO, Rz 10; Körffer , in: Paal/Pauly [Hrsg.], DS GVO BDSG, 2021, Art55 DS-GVO, Rz 5 ff.) von einem weiten Verständnis der "justiziellen Tätigkeit" aus. Diesem weiten Begriffsverständnis liegt erkennbar der Gedanke zugrunde, derart die Unabhängigkeit der Gerichte umfassend zu wahren (vgl Erwägungsgrund 20 DSGVO).

Der Gerichtshof der Europäischen Union lässt zwar offen, welche Rechtsakte im Einzelnen der "justiziellen Tätigkeit" im Sinne des Art55 Abs3 DSGVO zuzuordnen sind. Es ist aber davon auszugehen, dass (nur) bestimmte Angelegenheiten der Justizverwaltung nicht von der (Sonder-)Regelung des Art55 Abs3 DSGVO erfasst werden.

4.2.3. Mit der Regelung des §88b VfGG kommt der österreichische Gesetzgeber den (unionsrechtlichen) Vorgaben des Art55 Abs3 DSGVO nach:

Gemäß §88b VfGG ("Bei Beschwerden wegen Verletzung in Rechten gemäß der DSGVO durch den Verfassungsgerichtshof") gelten §84 und §85 GOG sinngemäß mit der Maßgabe, dass über behauptete Verletzungen solcher Rechte durch den Verfassungsgerichtshof der Gerichtshof in nichtöffentlicher Sitzung durch Beschluss nach den Bestimmungen des VfGG entscheidet.

Gemäß §84 GOG richten sich bei Datenverarbeitungen im Rahmen der justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung die aus Art12 bis 22 und Art34 DSGVO und die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach §1 DSG ergebenden Rechte und Pflichten sowie deren Durchsetzung nach den Verfahrensgesetzen und den darauf beruhenden Verordnungen sowie den Vorschriften des Gerichtsorganisationsgesetzes.

Gemäß §85 Abs1 GOG kann, wer durch ein Organ, das in Ausübung seiner justiziellen Tätigkeit in Angelegenheiten der Gerichtsbarkeit in bürgerlichen Rechtssachen und der in Senaten zu erledigenden Justizverwaltung handelt, im Grundrecht auf Datenschutz verletzt wurde, dem Bund gegenüber die Feststellung dieser Verletzung begehren.

Zur Entscheidung über diese Beschwerde ist das im Instanzenzug übergeordnete Gericht zuständig. Betrifft die Beschwerde eine Verletzung durch ein Organ des Obersten Gerichtshofes, ist dieser zur Entscheidung zuständig. Das Gericht entscheidet im Verfahren außer Streitsachen, soweit im Folgenden nicht anderes bestimmt ist (§85 Abs2 GOG) .

§85 Abs3 GOG verlangt, dass in der Beschwerde angegeben und begründet wird, worin der Beschwerdeführer die Verletzung seines Rechtes erblickt. Die zum Anlass der Beschwerde genommene Entscheidung oder der entsprechende Vorgang ist genau zu bezeichnen. Der Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, ist anzuführen.

Der Betroffene kann sich bei der Erhebung der Beschwerde nur von einem Rechtsanwalt vertreten lassen. Die Beschwerde ist binnen einem Jahr ab dem Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, bei dem nach §85 Abs2 GOG zuständigen Gericht einzubringen. Nach Ablauf von drei Jahren nach der Entscheidung oder dem Vorgang kann die Feststellung nicht mehr begehrt werden (§85 Abs4 GOG).

Nach §85 Abs5 GOG hat das Gericht auszusprechen, ob die behauptete Rechtsverletzung stattgefunden hat, und gegebenenfalls dem zuständigen Gericht die erforderlichen Aufträge zu erteilen. Gegen die Entscheidung ist ein Rechtsmittel an den Obersten Gerichtshof zulässig, sofern sie nicht ohnedies von diesem gefällt wurde und die Entscheidung von der Lösung einer Rechtsfrage abhängt, der zur Wahrung der Rechtseinheit, Rechtssicherheit oder Rechtsentwicklung erhebliche Bedeutung zukommt. Die Partei muss für die Erhebung des Rechtsmittels und im weiteren Verfahren durch einen Rechtsanwalt vertreten sein. In einem stattgebenden Erkenntnis ist dem Bund der Ersatz der Beschwerdekosten an den Beschwerdeführer aufzuerlegen.

4.2.4. Für den Verfassungsgerichtshof besteht kein Zweifel, dass die vom Beschwerdeführer in seiner Beschwerde behauptete Verletzung des Art5 und Art25 DSGVO infolge der für ihn als Rechtsanwalt für Eingaben an den Verfassungsgerichtshof verpflichtend vorgeschriebenen Verwendung des Web-ERV eine "justizielle Tätigkeit" im Sinne des Art55 Abs3 DSGVO betrifft.

4.2.5. Die für den Beschwerdeführer als Rechtsanwalt grundsätzlich verpflichtend vorgesehene Verwendung des Web-ERV im Rahmen verfassungsgerichtlicher Verfahren steht im Zusammenhang mit der justiziellen Tätigkeit des Verfassungsgerichtshofes. Dies erweist sich nicht zuletzt darin, dass nach der ständigen Rechtsprechung des Verfassungsgerichtshofes (zB VfGH 7.10.2015, G444/2015; 4.10.2022, G262/2021) die Verwendung des Web-ERV für Eingaben an den Verfassungsgerichtshof grundsätzlich (vgl die Ausnahmeregelung in §17 Abs3 VfGG) eine Formvorschrift ist. Dementsprechend sind Rechtsanwälte gemäß §18 iVm §14a Abs1 und 4 VfGG iVm §1 VfGH-elektronischer Verkehr-Verordnung, BGBl II 82/2013, sowie §7 VfGH-elektronischer Verkehr-Geschäftsordnung, BGBl II 218/2013, verpflichtet, Anträge beim Verfassungsgerichtshof elektronisch einzubringen oder darzulegen und zu bescheinigen, dass die konkreten technischen Möglichkeiten für eine elektronische Einbringung ausnahmsweise nicht vorliegen. Bringt ein Rechtsanwalt eine Eingabe beim Verfassungsgerichtshof nicht mittels Web-ERV ein, stellt dies einen verbesserungsfähigen Formmangel dar; kommt der Rechtsanwalt dem Verbesserungsauftrag des Verfassungsgerichtshofes nicht fristgerecht nach, weist der Verfassungsgerichtshof die Eingabe als unzulässig zurück (zB VfGH 18.9.2014, B648/2013; 21.9.2020, E2250/2020).

4.2.6. Da die in der Beschwerde gerügte Verletzung von Art5 und Art25 DSGVO wegen Verwendung des Web-ERV eine vom Verfassungsgerichtshof (und nicht vom Präsidenten des Verfassungsgerichtshofes im Rahmen der monokratisch zu besorgenden Justizverwaltung) wahrzunehmende justizielle Tätigkeit betrifft, ist die Beschwerde gegen den Verfassungsgerichtshof im Rahmen seiner justiziellen Tätigkeit gerichtet.

5. Der Verfassungsgerichtshof sieht sich im Hinblick auf das unionsrechtliche Effektivitätsgebot auf Grund der Übermittlung der an die Datenschutzbehörde gerichteten Beschwerde des Beschwerdeführers gehalten, ohne weitere Zwischenschritte (zB Stellungnahme des Verfassungsgerichtshofes an die Datenschutzbehörde) sofort in der Sache selbst zu entscheiden, ohne den Beschwerdeführer auf eine (prozessuale) Entscheidung seitens der Datenschutzbehörde zu verweisen (vgl dazu sinngemäß EuGH 12.1.2023, C 132/21, BE ).

6. Angesichts des Umstands, dass keine unionsrechtliche Verpflichtung des nationalen Gesetzgebers besteht, eine Zuständigkeit der Datenschutzbehörde für Datenschutzverletzungen im Rahmen der justiziellen Tätigkeit zu schaffen, sondern vielmehr Art55 Abs3 DSGVO vorsieht, dass Datenverarbeitungen im Rahmen der justiziellen Tätigkeit nicht von der Aufsichtsbehörde auf ihre Übereinstimmung mit der DSGVO zu überprüfen sind, ist auch aus verfassungsrechtlicher Sicht eine Zuständigkeit der Datenschutzbehörde im Zusammenhang mit der justiziellen Tätigkeit des Verfassungsgerichtshofes ausgeschlossen. Dies ergibt sich zum einen aus dem rechtsstaatlichen Prinzip (vgl dazu allgemein VfGH 3.10.2024, G3504/2023), wonach eine Verwaltungsbehörde (wie die Datenschutzbehörde) nicht im Rahmen der justiziellen Tätigkeit ergangene Handlungen bzw Entscheidungen des Verfassungsgerichtshofes überprüfen darf; zum anderen ist es gerade mit der Stellung des Verfassungsgerichtshofes als Höchstgericht unvereinbar, dass dessen justizielle Handlungen bzw Entscheidungen – ohne unionsrechtliche Verpflichtung – durch eine Verwaltungsbehörde (wie die Datenschutzbehörde) kontrolliert und allenfalls abgeändert werden dürfen.

7. Bei diesem Ergebnis ist nicht weiter zu erörtern, in welchen Angelegenheiten der Justizverwaltung die Datenschutzbehörde als Aufsichtsbehörde gemäß Art51 DSGVO iVm §18 Abs1 (und §35 Abs1) DSG zuständig ist.

8. Der Verfassungsgerichtshof hält somit zusammenfassend fest, dass der Verfassungsgerichtshof (und nicht die Datenschutzbehörde) zur Entscheidung über die Beschwerde des Beschwerdeführers wegen behaupteter Verletzung von Art5 und Art25 DSGVO im Zusammenhang mit der Verwendung des Web-ERV durch den Verfassungsgerichtshof zuständig ist. Die Verwendung des Web-ERV durch den Beschwerdeführer als Rechtsanwalt betrifft nämlich insoweit die justizielle Tätigkeit des Verfassungsgerichtshofes im Sinne des Art55 Abs3 DSGVO iVm §88b VfGG.

IV. In der Sache

1. Der Beschwerdeführer erblickt einen Verstoß gegen Art5 DSGVO darin, dass der technische Betrieb des Web-ERV nicht ordnungsgemäß funktioniere und Sendebestätigungen irreführend erzeugt würden. Dies führe zu erheblichen Kosten und einem drohenden Rechtsverlust. Die Software-Anwendung Web-ERV nehme keine Kontrolle von Adressat einer Eingabe laut beigegebenem Schriftsatz und technischer Adressierung vor; die Softwareanwendung Web-ERV produziere Sendebestätigungen, die falsch seien oder falsch sein könnten; zur Softwareanwendung Web-ERV fehle ein Handbuch, das Meldefehler und irreführende Mitteilungen aufkläre; für Bedienungsfehler, die nicht vermeidbar seien, seien keine Eingabekorrekturen und keine übersichtliche Darstellung vorgesehen.

Die Einbringung von Rechtsmitteln bzw Schriftsätzen aller Art per Web-ERV "ersetzt die Übermittlung des Ausdruckes per Postlauf mit Einschreibzettel". Diese postalische Form der Übermittlung sei einfach und sicher, weil die Adresse am Schriftsatz im Fensterkuvert aufscheine; aus diesem Grund gebe es in diesen Fällen bei der Datenübertragung keine Fehler.

Im Einzelnen führt der Beschwerdeführer in seiner Beschwerde das Folgende aus:

"Web-ERV: drei Untermenüs. Irgendwo muss angeklickt werden, statt VwGH Ersteingabe, VwGH Folgeeingabe, BVwG Folgeeingabe. Schon dies ist ein Medienbruch im Akt, mehrfach, weil Advokat und jedes andere Anwaltsprogramm eigentlich den gesamten Akt darstellen soll, hier aber immer neue Gegner und zu adressierende Gerichte angelegt werden müssen. Während die Zivilgerichtsbarkeit den Prozessgegner als Gegner im Akt kennt, führt eine Gebührenbeschwerde in einem Zivilverfahren zu einem neuen Gegner (Präsident Landesgericht); die Beschwerde geht an das Bundesverwaltungsgericht, die Eingabe aber an das Zivilgericht. Nach Entscheidung des BVwG — an das der Beschwerdeführer in der Regel noch nie eine Eingabe gemacht hat, bis es zur Entscheidung kommt, muss für eine VwGH-Beschwerde beim BVwG das weitere Rechtsmittel erhoben werden, obwohl sich dieses an den VwGH richtet.

Dem Sekretariat, das den Akt nicht gelesen hat, und kein Anwalt ist, werden mehrere Vorschläge gemacht obwohl die Aktenverarbeitung den Verfahrensablauf erkennen sollte und unterstützen, das fehlt; auch ein Handbuch fehlt. Produziert wird ferner eine Sendebestätigung, die eine Eingabe zeigt, aber deren Richtigkeit und deren Sendedaten aus dem Hintergrund nicht dargestellt werden.

Dies verstößt offenbar gegen den Zweck einer Sendebestätigung, die kontrollfähig sein soll. Eine klare und übersichtliche Kontrollfunktion gehört zu den Grundsätzen der Datenverarbeitung für ein solches System; das fehlt."

Nach dem weiteren Beschwerdevorbringen sieht sich der Beschwerdeführer in seinen Rechten deswegen verletzt, weil er als Rechtsanwalt verpflichtet sei, den nach seiner Auffassung in Widerspruch zu Art5 und Art25 DSGVO eingerichteten Web-ERV in Verfahren vor dem Verfassungsgerichtshof zu verwenden.

2. Art5 DSGVO sieht "Grundsätze für die Verarbeitung personenbezogener Daten" vor. Danach müssen gemäß Art5 Abs1 DSGVO personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz"); es gelten ferner die Zweckbindung der jeweiligen Datenverarbeitung sowie die Grundsätze der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit.

Art25 Abs1 DSGVO ("Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen") verlangt, dass der Verantwortliche "unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen […] sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – [trifft], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen".

Der Verantwortliche hat gemäß Art25 Abs2 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

3. Es ist für den Verfassungsgerichtshof nicht erkennbar, inwiefern die vom Beschwerdeführer behaupteten technischen Schwierigkeiten für einen Rechtsanwalt bei der Verwendung des Web-ERV (zB behauptetermaßen falsche Sendebestätigungen bei Eingaben, keine Möglichkeiten von Eingabekorrekturen und ähnliches) einen Verstoß gegen Art5 oder Art25 DSGVO begründen können.

Unabhängig davon, dass der Beschwerdeführer nicht nachweist, in welchen Fällen unrichtige Sendebestätigungen im technischen Betrieb des Web-ERV erstellt wurden bzw werden, handelt es sich dabei allenfalls um Sachverhalte, die zu einer Wiedereinsetzung in den vorigen Stand – bei gesetzmäßiger Ausführung eines entsprechenden Antrages – führen können.

Darüber hinaus hat der Beschwerdeführer nicht im Einzelnen dargetan (vgl §88b VfGG iVm §85 Abs3 GOG), dass bzw inwieweit er bei der für ihn als Rechtsanwalt verpflichtend vorgeschriebenen Verwendung des Web-ERV für Eingaben an den Verfassungsgerichtshof in seinen Rechten nach Art5 DSGVO verletzt wurde bzw wird. Desgleichen hat der Beschwerdeführer nicht im Einzelnen dargelegt, dass bzw inwieweit die technische Gestaltung des Web-ERV den Vorgaben des Art25 DSGVO widerspricht und damit der Beschwerdeführer als Rechtsanwalt in seinen diesbezüglichen Rechten verletzt wurde bzw wird.

V. Ergebnis

1. Es ist festzustellen, dass die vom Beschwerdeführer gerügte Verletzung des Art5 und Art25 DSGVO durch den Verfassungsgerichtshof nicht vorliegt.

2. Die Beschwerde ist daher insoweit abzuweisen.

3. Diese Entscheidung konnte gemäß §88b VfGG in nichtöffentlicher Sitzung getroffen werden.