Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Pollak sowie die Hofrätin Mag. Hainz Sator und den Hofrat Dr. Pürgy als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision des Bundesministeriums für Justiz, vertreten durch die Finanzprokuratur in Wien, gegen das Erkenntnis des Bundesverwaltungsgerichts vom 20. Jänner 2022, Zl. W214 2239688 1/35E, betreffend eine datenschutzrechtliche Angelegenheit (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; mitbeteiligte Partei: C K, vertreten durch Dr. Johannes Dörner und Dr. Alexander Singer, Rechtsanwälte in Graz), den Beschluss gefasst:
Die Revision wird zurückgewiesen.
Der Bund hat der mitbeteiligten Partei Aufwendungen in der Höhe von € 1.106,40 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
1 1. Mit Bescheid vom 27. November 2020 gab die belangte Behörde der Datenschutzbeschwerde der mitbeteiligten Partei statt und stellte fest, dass das Bundesministerium für Justiz (Revisionswerber) die mitbeteiligte Partei im Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG verletzt habe, indem der Leiter einer näher bezeichneten Organisationseinheit (Referatsleiter) in der Generaldirektion für Strafvollzug (Sektion II) am 8. oder 9. Februar 2018 es einer unbekannten Person ermöglicht habe, das für Zwecke eines Dienstrechtsverfahren erstattete und Gesundheitsdaten der mitbeteiligten Partei enthaltende schriftliche und in Papierform vorliegende Gutachten des Sachverständigen Dr. T zu fotografieren und Auszüge daraus im Wege des Kurznachrichtendienstes WhatsApp an einen unbekannten Empfängerkreis zu übermitteln.
2 2.1. Die dagegen erhobene Beschwerde des Revisionswerbers wies das Verwaltungsgericht mit dem angefochtenen Erkenntnis als unbegründet ab. Unter einem erklärte es die Revision für zulässig.
3 2.2. In seiner Begründung stellte das Verwaltungsgericht fest, dass die (zwischenzeitlich bereits in den Ruhestand versetzte) mitbeteiligte Partei Beamter der Justizwache in der Dienststelle der Justizanstalt G gewesen sei. Sie habe sich vor der hier gegenständlichen Datenübermittlung bereits einige Zeit im Krankenstand befunden, weshalb ein Verfahren zur Überprüfung ihrer Exekutivdienstfähigkeit eingeleitet worden sei. Der vom Revisionswerber bestellte Sachverständige habe nach Befundaufnahme ein schriftliches Gutachten verfasst, das eine Reihe von Gesundheitsdaten der mitbeteiligten Partei enthalte (unter anderem Alter, Größe, Gewicht, Blutdruck, Ergebnisse von perkutorischer und auskultatorischer Untersuchung von Herz und Lunge, Ergebnisse einer EKG Untersuchung), insbesondere jedoch auch großteils auf Grundlage von zitierten Vorbefunden drei Diagnosen von erheblicher Bedeutung für die Dienstfähigkeit der mitbeteiligten Partei (schwere Depression, Psoriasis und Psoriasis Arthropathie [derzeit in Remission] sowie beginnendes Burn Out Syndrom). Der Sachverständige sei zum Schluss gekommen, dass „von der weiteren Dienstunfähigkeit im Bereich der Justizwache auszugehen“ sei.
Von diesem Gutachten seien drei Ausfertigungen hergestellt worden, die per Post als Einschreibebrief an den Revisionswerber versendet worden seien. Am 7. oder 8. Februar 2018 sei das Poststück mit dem Gutachten in der zentralen Poststelle des Revisionswerbers eingelangt und ungeöffnet an die Teamassistenz (Kanzlei) weitergeleitet worden. Von dort sei das Poststück an den zuständigen Referatsleiter (der zugleich auch zuständiger Sachbearbeiter gewesen sei), weitergeleitet worden. Dieser habe am 7. Februar 2018 nach einem Krankenstand wieder seinen Dienst angetreten. Er habe die drei Ausfertigungen entnommen und eine davon an die Teamassistenz retourniert, wo sie am 8. Februar 2018 mit einem Eingangsstempel versehen, am 9. Februar 2018 gescannt (als graphische Datei digitalisiert) und um 08:59:06 Uhr als Eingangsstück im ELAK elektronisch erfasst worden sei. Dieser ELAK sei sodann zur Bearbeitung an den Referatsleiter zugeteilt worden. Eine Ausfertigung sei von ihm sofort nach Erhalt zerrissen worden. Das verbleibende Gutachten habe der Referatsleiter zur weiteren Bearbeitung offen auf dem Schreibtisch liegen gelassen. Es sei erst nach Bearbeitung vom Referatsleiter vernichtet worden. Am 7., 8. oder 9. Februar 2018 habe eine namentlich nicht bekannte und nicht identifizierte Person die Seite 3 des Gutachtens, deren Text, den Familiennamen des Mitbeteiligten, seine Dienststelle sowie die Diagnosen „Depression“ und „Burn Out Syndrom“ (neben einigen Anmerkungen zur beruflichen Situation des Mitbeteiligten in seiner Dienststelle) mit einer Digitalkamera abfotografiert und diese digitale Abbildung über den Kurznachrichtendienst WhatsApp an eine nicht bekannte Zahl von (Erst )Empfängern übermittelt. Fotografiert worden sei dabei die Ausfertigung, die letztendlich beim Referatsleiter verblieben sei. Im Zuge der Verbreitung sei die Nachricht an R, einen Arbeitskollegen der mitbeteiligten Partei, gelangt, der den Inhalt wiederum am 9. Februar 2018 an die mitbeteiligte Partei weitergeleitet habe.
4 Der Referatsleiter habe entweder unter Verstoß gegen Sorgfaltspflichten der unbekannten Person, die Bedienstete der Abteilung oder sonstige Bedienstete des Ressorts gewesen sei, den Zugang zu einer der beiden verbliebenen Gutachtensausfertigungen ermöglicht, indem er das Gutachten nicht ordnungsgemäß verwahrt habe, oder der unbekannten Person bewusst Einsicht in das Gutachten gewährt.
Eine Auswertung des Mobiltelefons von R sei daran gescheitert, dass dieser bei einer Einvernahme durch die von der Staatsanwaltschaft Wien beauftragte LPD Steiermark sein Mobiltelefon nicht mitgeführt und bei einer weiteren Einvernahme erklärt habe, sein Mobiltelefon verloren zu haben.
Die vorliegend relevante Abteilung sei jedenfalls zum fraglichen Zeitpunkt in einer Büroeinheit in der [...] Gasse in Wien untergebracht gewesen. Beim Hauseingang habe es einen privaten Sicherheitsdienst gegeben. Die Einheit der Abteilung habe nur von den dort tätigten Bediensteten des Revisionswerbers mit einem Chip oder Schlüssel betreten werden können. Besucher (zB andere Bedienstete des Revisionswerbers, wie Personalvertreter oder Gewerkschafter) hätten an der Tür läuten müssen, bis ihnen jemand aufgemacht habe. Der Referatsleiter habe über keinen Schlüssel zu seinem Zimmer verfügt. In der Zeit von 7. Februar 2018 bis 9. Februar 2018 sei das die mitbeteiligte Partei betreffende Gutachten offen auf dem Schreibtisch des Referatsleiters gelegen. Die Genehmigung durch den Referatsleiter im ELAK sei am 11. Februar 2018 erfolgt. Die Abfertigung der Versendung habe am 12. Februar 2018 stattgefunden.
Für die Organwalter des Revisionswerbers hätten zwar IT Benutzungsrichtlinien und die Büroordnung gegolten, die teilweise den Umgang mit physischen Schriftstücken (etwa bezüglich der Aufbewahrungsfrist) regelten. Das Vorhandensein organisatorischer Maßnahmen wie Erlässe oder Anweisungen für den Umgang mit physischen Daten in Hinblick darauf, auf welche Weise die Geheimhaltung sensibler Schriftstücke zu gewährleisten sei, und in Hinblick auf das Versperren der Zimmer sowie diesbezügliche Kontrollen hätten nicht festgestellt werden können.
Die Gutachten betreffend die Bediensteten der Justizanstalten (JA) seien vom zuständigen Referat in der Strafvollzugsdirektion früher an die Leiter der Dienststellen (JA) geschickt worden. Auf Grund eines Erlasses des Revisionswerbers vom 18. November 2021 würde inzwischen nur noch die Information, ob jemand dienstunfähig, dienstfähig oder eingeschränkt dienstfähig sei, an die Leiter der Dienststellen gesendet. Die jeweils eingeholten Gutachten würden seither an die betreffende Person selbst gesendet.
In der Abteilung seien immer wieder Personalakten nach Einsicht durch den Abteilungsleiter am Gang der Büroeinheit der Abteilung auf einem Bord abgelegt und am nächsten Tag wieder durch Kanzleibedienstete eingeordnet worden. Manchmal hätten Besucher in der Nähe dieser Akten auf ihren Termin bei der Abteilungsleitung gewartet und dabei theoretisch Zugriff auf diese Akten gehabt. Mitunter seien auch versperrbare Zimmer, in denen sich Personalakten (offen und nicht in einem Kasten) befänden, unversperrt gewesen.
Der Referatsleiter habe bereits vorher sensible Daten über eine JA Bedienstete an eine Bezirkshauptmannschaft zur Überprüfung ihrer Verkehrstauglichkeit weitergegeben. Ein strafrechtliches Ermittlungsverfahren bei der Staatsanwaltschaft Wien habe mit einer Einstellung infolge einer Diversion geendet. Darüber hinaus habe er die Krankengeschichte über einen Bediensteten der Abteilung ohne rechtlichen Grund anderen Personen mitgeteilt.
Das im vorliegenden Zusammenhang von der Staatsanwaltschaft Wien gegen den Referatsleiter geführte Ermittlungsverfahren wegen § 310 StGB (Verletzung des Amtsgeheimnisses) sei gemäß § 190 Z 2 StPO mangels Beweisen eingestellt worden. Dies sei unter anderem damit begründet worden, dass sich die Darstellung des Referatsleiters, er sei nicht die einzige Gelegenheitsperson gewesen, als nachvollziehbar erwiesen habe. Außerdem sei sein Name im früheren Ermittlungsverfahren von R nicht genannt worden. Schließlich fehle es dem Referatsleiter an einem Motiv für eine solche Handlung.
5 In seinen rechtlichen Erwägungen führte das Verwaltungsgericht aus, der Revisionswerber sei der Verantwortliche für die (Weiter )Verarbeitung des in Rede stehenden Gutachtens. Dies sei selbst dann der Fall, wenn man die Behauptung aufstelle, dass die Weiterübermittlung der Gutachtensausfertigung, die allerdings dieselben Daten wie das im ELAK verarbeitete Gutachten beinhalte, „grundsätzlich (nur) dem Grundrecht auf Datenschutz unterfallen würde“. Die belangte Behörde habe nämlich zu Recht aufgezeigt, dass die Grundsätze der DSGVO auch in diesem Fall zu beachten wären. Der Revisionswerber habe seine Verantwortlicheneigenschaft für das genannte Gutachten, soweit es im Rahmen ihres Tätigkeitsbereiches verwendet worden sei, nicht in Frage gestellt.
6 Die im Sachverständigengutachten enthaltenen und in der WhatsApp Nachricht übermittelten Daten seien personenbezogene Daten der mitbeteiligten Partei. Da es sich dabei inhaltlich und im Zusammenhang um Gesundheitsdaten der mitbeteiligten Partei handle, lägen besonders geschützte Daten gemäß Art. 9 Abs. 1 DSGVO vor. Deren Verarbeitung sei ohne Vorliegen eines gesetzlichen Rechtfertigungsgrundes untersagt, sodass es auf ein schutzwürdiges Geheimhaltungsinteresse nicht ankomme. Während des gesamten Verfahren sei von Seiten des Revisionswerbers weder den Tatsachen nach behauptet noch rechtlich dargelegt worden, dass es einen Rechtfertigungsgrund für eine Offenlegung dieser Daten an andere Personen gegeben hätte, und ein solcher sei auch nicht ersichtlich. Auch in der an das Verwaltungsgericht gerichteten Beschwerde sei die rechtswidrige Übermittlung der Daten an einen Dritten nicht bestritten worden, wohl aber die Zurechnung dieser Übermittlung an den Revisionswerber als Verantwortlichen.
7 Das Ermittlungsverfahren habe kein Ergebnis gebracht, das die Kette der Ereignisse vom Eintreffen des Sachverständigengutachtens in der Zentralstelle des Revisionswerbers bis zum Versenden der WhatsApp Nachricht lückenlos nachvollziehen lasse. Insbesondere habe auch nach mündlichen Verhandlungen vor der belangten Behörde und vor dem Verwaltungsgericht, einer Reihe von Zeugenbefragungen durch die belangte Behörde und Ermittlungen durch die Staatsanwaltschaft Wien der Urheber der WhatsApp Nachricht nicht identifiziert werden können.
8 Es sei rechtlich zwischen dem datenschutzrechtlich relevanten Verhalten des Revisionswerbers (bzw. eines seiner Organwalter) und dem datenschutzrechtlich relevanten Verhalten eines allfälligen Dritten zu unterscheiden. Sofern im vorliegenden Fall eine nicht näher identifizierte Person die Daten eingesehen und abfotografiert sowie die abfotografierten Daten über WhatsApp weiterübermittelt habe, sei dem Revisionswerber zu folgen, dass hier wohl von einer eigenmächtigen Handlung auszugehen sei. Allerdings übersehe der Revisionswerber, dass er Verantwortlicher für die Art und Weise der Verarbeitung bzw. Verwendung durch seine Bediensteten sei, auch soweit es sich um eine sorgfaltswidrige Verwendung oder überschießende Akteneinsicht handle. Soweit festgestellt werde, dass der Referatsleiter ein medizinisches Gutachten in seinem unversperrten Zimmer offen auf seinem Schreibtisch gelegt habe, sodass es jedem, der im Abteilungsverband arbeite oder der in der fraglichen Zeit als Besucher dort Eintritt gefunden habe, möglich gewesen sei, das Zimmer zu betreten und das Gutachten abzufotografieren, sei dazu festzuhalten, dass dadurch die Grundsätze der Datenverarbeitung, insbesondere die organisatorischen Datensicherheitsmaßnahmen, durch einen für den Revisionswerber tätigen Beamten verletzt worden seien. Die Art der Datenverwendung durch den Referatsleiter sei dem Revisionswerber als der gemäß Art. 4 Z 2 und 7 DSGVO für die Verarbeitung der Daten der mitbeteiligten Partei für Zwecke eines dienstrechtlichen Verfahrens Verantwortlichen zuzurechnen. Dazu sei auch festzuhalten, dass dem Referatsleiter gar kein Schlüssel für sein Zimmer ausgehändigt worden sei und auch eine Gewährleistung und Kontrolle, nämlich ob organisatorische Datensicherheitsmaßnahmen durch die Bediensteten eingehalten würden, nicht oder nur unzureichend stattgefunden hätte. Dass es diesbezügliche Schulungen oder Überprüfungen gegeben habe, sei vom Revisionswerber nicht vorgebracht worden.
9 Es stelle zudem eine Verletzung der (physischen) Datensicherheitsmaßnahmen dar, wenn der Referatsleiter einerseits mit der Zuweisung seines Zimmers kein Schlüssel ausgehändigt worden sei und er sich andererseits auch nicht nachdrücklich um einen Schlüssel gekümmert habe und dies niemandem in der Abteilung, insbesondere seinen Vorgesetzten, aufgefallen sei. Auch dieses Handeln bzw. eben Unterlassen sei dem Revisionswerber zuzurechnen. Dass ein offenes „Auf dem Tisch Liegenlassen“ des Gutachtens in einem unversperrten Raum durch den Referatsleiter dem allgemein eher lockeren Umgang mit personenbezogenen Daten in der Abteilung entsprochen habe, manifestiere sich auch darin, dass Personalakten auf dem Gang gelegen seien, obwohl sich in deren Nähe oft Besucher aufgehalten hätten, die vor einem Termin bei der Abteilungsleitung dort gewartet hätten und in diese Akten zumindest hätten Einsicht nehmen können. Auch seien Personalakten in Zimmern gelagert gewesen, die zwar versperrbar, aber nicht immer versperrt gewesen seien.
10 Insoweit vom Sachverhalt ausgegangen werde, dass der Referatsleiter durch die grobe Verletzung von Sorgfaltspflichten einer anderen Person den Zugang zu dem Gutachten ermöglicht habe, habe der Referatsleiter durch sein Verhalten an einer Grundrechtsverletzung bezüglich der mitbeteiligten Partei mitgewirkt. Damit treffe den Revisionswerber eine Verantwortung.
11 Aber auch wenn der Referatsleiter einem Dritten, mutmaßlich einem Personalvertreter aus dem Ressortbereich des Revisionswerbers, bewusst Einsicht in einen Aktenteil gegeben haben sollte, so wäre auch diese Vorgehensweise dem Revisionswerber zuzurechnen.
12 Der belangten Behörde sei beizupflichten, dass nicht jedes Fehlverhalten, unabhängig von der Frage einer möglichen Strafbarkeit oder eines schuldhaften Verhaltens beteiligter Personen, augenblicklich die Zurechnung der Verarbeitung zu dem bis zu diesem Zeitpunkt für die Verarbeitung Verantwortlichen unterbreche. Eine solche Unterbrechung der Zurechnung trete vielmehr erst dann ein, wenn der Verantwortliche die Kontrolle über den regelwidrigen Verarbeitungsvorgang verliere, weil diese sich nunmehr außerhalb des Tätigkeitsbereichs der möglichen Kontrolle seiner Organisation entfalte. Gerade dies sei hier aber nicht der Fall gewesen, weil der Referatsleiter als ein für den Revisionswerber agierender Entscheidungsträger im Rahmen seines Aufgabenbereiches tätig gewesen sei, wenngleich er wissentlich oder unwissentlich einer anderen Person Zugang zu dem in Rede stehenden Gutachten verschafft habe.
Hier sei der Rechtsansicht belangten Behörde zu folgen, dass die Art der Verwendung (im Rahmen der gesetzlichen Aufgabenerfüllung) zunächst rechtmäßig verarbeiteter Daten, wie etwa auch die Einsichtgewährung in Aktenteile an einen Dritten, selbst dann, wenn diese im konkreten Fall zu Unrecht erfolgt sei, etwa weil die Akteneinsicht durch einen Personalvertreter nicht durch die ihm zukommenden gesetzlichen Aufgaben gedeckt gewesen sei, dem Revisionswerber zuzurechnen wäre. Auch könnte bei einer gegenteiligen Sichtweise eine Organisation jedwedes datenschutzrechtliche Fehlverhalten auf Bedienstete abwälzen und sich so ihrer Verantwortung gegenüber dem Rechtsschutzsuchenden entziehen.
13 Die Revision erklärte das Verwaltungsgericht für zulässig, weil „es an Rechtsprechung des Verwaltungsgerichtshofes zur Zurechnung einer Grundrechtsverletzung an eine Behörde einerseits durch eine Verletzung von Datensicherheitsmaßnahmen, die eine Mitwirkung an einer Grundrechtsverletzung darstellten, bzw. betreffend eine Zurechnung einer fahrlässigen oder andererseits einer bewussten Zugänglichmachung von Gutachten aus dem Bereich eines rechtmäßig Verantwortlichen an Dritte“ fehle.
14 3. Gegen dieses Erkenntnis richtet sich die vorliegende ordentliche Revision.
15 Die belangte Behörde erstattete eine Revisionsbeantwortung, in der sie die Abweisung der Revision beantragt. Die mitbeteiligte Partei beantragt in ihrer Revisionsbeantwortung die kostenpflichtige Zurück , in eventu Abweisung der Revision.
16 4. Nach Art. 133 Abs. 4 B VG ist gegen ein Erkenntnis des Verwaltungsgerichtes die Revision zulässig, wenn sie von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt, insbesondere weil das Erkenntnis von der Rechtsprechung des Verwaltungsgerichtshofes abweicht, eine solche Rechtsprechung fehlt oder die zu lösende Rechtsfrage in der bisherigen Rechtsprechung des Verwaltungsgerichtshofes nicht einheitlich beantwortet wird.
17 Gemäß § 34 Abs. 1 VwGG sind Revisionen, die sich wegen Nichtvorliegen der Voraussetzungen des Art. 133 Abs. 4 B VG nicht zur Behandlung eignen, ohne weiteres Verfahren mit Beschluss zurückzuweisen.
18 Nach § 34 Abs. 1a VwGG ist der Verwaltungsgerichtshof bei der Beurteilung der Zulässigkeit der Revision gemäß Art. 133 Abs. 4 B VG an den Ausspruch des Verwaltungsgerichtes gemäß § 25a Abs. 1 VwGG nicht gebunden.
19 5. Der Revisionswerber verweist in seinem Zulässigkeitsvorbringen zum einen auf die Zulassungsbegründung des Verwaltungsgerichts.
Zum anderen wird in der Revision vorgebracht, es fehle Rechtsprechung zur Frage, ob die von der DSGVO vorgesehenen Datensicherheitsmaßnahmen sinngemäß auf (physische) Aktenstücke anzuwenden seien, die nicht in einem Datensystem gespeichert seien oder gespeichert werden sollten und die daher gemäß Art. 2 Abs. 1 DSGVO nicht dem Anwendungsbereich der DSGVO unterlägen.
20 6. Auch in der ordentlichen Revision hat der Revisionswerber von sich aus die maßgeblichen Gründe für die Zulässigkeit der Revision aufzuzeigen, sofern er der Ansicht ist, dass die Begründung des Verwaltungsgerichtes für die Zulässigkeit der Revision nicht ausreicht oder er andere Rechtsfragen von grundsätzlicher Bedeutung für relevant erachtet (vgl. etwa VwGH 19.4.2024, Ro 2023/04/0053, Rn. 20, mwN).
21 Der Verwaltungsgerichtshof hat sich zuletzt im Erkenntnis vom 27. März 2025, Ro 2022/04/0023, ausführlich mit dem Begriff des „Verantwortlichen“ gemäß Art. 4 Z 7 DSGVO auseinandergesetzt.
Unter Verweis auf die hier einschlägige Rechtsprechung des Gerichtshofes der Europäischen Union (EuGH 7.3.2024, C 604/22, IAB Europe/Gegevensbeschermingsautoriteit ; EuGH 5.12.2023, C 807/21, Deutsche Wohnen SE ; EuGH 10.7.2018, C 25/17, Zeugen Jehovas ) sowie die Leitlinien des Europäischen Datenschutzausschusses (EDSA) 07/2020 sprach der Verwaltungsgerichtshof aus, dass die Frage der Verantwortlichenstellung unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalles zu beurteilen ist. Um zu klären, ob eine Person als Verantwortliche im Sinn des Art. 4 Z 7 DSGVO (bzw. allenfalls als gemeinsam Verantwortliche gemäß Art. 26 Abs. 1 DSGVO) angesehen werden kann, ist zu prüfen, ob sie unter Berücksichtigung der besonderen Umstände des Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss genommen und allenfalls gemeinsam mit anderen die Zwecke der und die Mittel zur fraglichen Bearbeitung festgelegt hat. Es kommt daher darauf an, welche natürliche oder juristische Person jeweils die Entscheidung sowohl über den Zweck das „warum“ als auch über die Mittel „auf welche Weise“ in Bezug auf die konkrete Handlung getroffen hat (Rn. 31).
Dem mit dem zitierten Erkenntnis Ro 2022/04/0023 entschiedenen Fall lag zu Grunde, dass Bedienstete einer Gemeinde, die kraft ihrer Stellung Zugang zur ZMR Abfrage hatten, diese Abfragemöglichkeit zu anderen als zu dienstlichen Zwecken nutzten.
Der Verwaltungsgerichtshof sah hier die Gemeinde nicht als Verantwortliche im Sinn des Art. 4 Z 7 DSGVO an.
Die für die Verantwortlichenstellung im Sinn des Art. 4 Z 7 DSGVO ausschlaggebende Entscheidung darüber, dass die (von der Gemeinde zur Verfügung stehenden) Mittel für die konkreten Abfragen eingesetzt wurden, und zu welchem Zweck dieser Einsatz erfolgte, wurde nämlich von den Personen den Bediensteten der Gemeinde getroffen, die die Abfragen für ihre eigenen privaten Zwecke tätigten.
Für den Verwaltungsgerichtshof korrelierte dieses Ergebnis auch mit den Leitlinien der EDSA, dass die betreffenden Bediensteten fallbezogen auch nicht als Personen zu verstehen sind, die „unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftraggebers befugt sind, personenbezogene Daten zu verarbeiten“, weil sie als solche nur insoweit anzusehen sind, als sie zur Verarbeitung personenbezogener Daten befugt sind. Eine bei der Gemeinde beschäftigte Person, die Kraft ihrer Stellung Zugang zur Abfragemöglichkeit hatte oder sich diese verschaffte und die ZMR Abfragemöglichkeit zu anderen als zu dienstlichen Zwecken, die der Gemeinde zuordenbar wären, durchführte, ist in Zusammenhang mit der vorgenommenen Verarbeitung gegenüber der Gemeinde als Dritter zu betrachten, wobei diese(r) Dritte in Bezug auf die relevante Verarbeitung allenfalls selbst als Verantwortlicher zu betrachten ist (Rn. 34).
22 Im vorliegenden Fall wurde das Fehlverhalten des Referatsleiters hingegen im Rahmen seiner dienstlichen Aufgaben, nämlich der Führung des die mitbeteiligte Partei betreffenden dienstrechtlichen Verfahrens, gesetzt.
23 Der Verwaltungsgerichtshof hat im Erkenntnis Ro 2022/04/0023 auch zum Ausdruck gebracht, dass eine Verantwortlichenstellung (dort: der Gebietskörperschaft) auch in der der Weiterverarbeitung durch einen Bediensteten zugrundeliegenden Speicherung der Daten begründet sein kann, dies dort aber fallbezogen aber verneint (vgl. Rn. 36 ff). Demgegenüber wurden im hier vorliegenden Fall personenbezogene Daten des Mitbeteiligten vom Revisionswerber selbst zum Zweck der Führung eines dienstrechtlichen Verfahrens verarbeitet.
24 Es besteht zur aufgeworfenen Frage der Zurechnung des Fehlverhaltens von Bediensteten zu einer Organisation (hier: des Referatsleiters zum Revisionswerber) somit bereits Rechtsprechung des Verwaltungsgerichtshofes und das Verwaltungsgericht ist mit seiner Entscheidung von dieser Rechtsprechung auch nicht abgewichen.
25 7. Soweit der Revisionswerber darüber hinaus die Frage aufwirft, ob im vorliegenden Fall angesichts des in Papierform vorgelegten ärztlichen Gutachtens überhaupt der Anwendungsbereich der DSGVO eröffnet sei (siehe oben Rn. 19), wird schon deshalb keine Rechtsfrage von grundsätzlicher Bedeutung aufgezeigt, weil in der Revision der Feststellung des Verwaltungsgerichts, dass das ärztliche Gutachten mit den personenbezogenen Daten des Mitbeteiligten als Eingangsstück im ELAK elektronisch erfasst wurde, nicht entgegengetreten wird. Daran ändert auch der Umstand nichts, dass im vorliegenden Fall drei Ausfertigungen des Gutachtens übermittelt wurden und jene Ausfertigung, die abfotografiert wurde, nicht jene war, die für die elektronische Erfassung im ELAK vorgesehen war, zumal kein Zweifel darüber besteht, dass die drei Ausfertigungen des Gutachtens inhaltlich ident sind.
26 8. In der Revision werden somit keine Rechtsfragen aufgeworfen, denen im Sinn des Art. 133 Abs. 4 B VG grundsätzliche Bedeutung zukäme. Die Revision war daher zurückzuweisen.
Wien, am 29. Juli 2025
Rückverweise
RIS