Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Pollak, den Hofrat Dr. Mayr, die Hofrätin Mag. Hainz Sator und die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision des Mag. M W, Rechtanwalt in I, gegen das Erkenntnis des Bundesverwaltungsgerichts vom 21. Dezember 2021, Zl. W258 2238615 1/16E, betreffend eine datenschutzrechtliche Angelegenheit (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; mitbeteiligte Partei: Stadtgemeinde L; weitere Partei: Bundesministerin für Justiz), zu Recht erkannt:
Die Revision wird als unbegründet abgewiesen.
Der Revisionswerber hat dem Bund Aufwendungen in der Höhe von 553,20 Euro binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
1 1. Der Revisionswerber erhob am 7. Oktober 2019 bei der Datenschutzbehörde Beschwerde gegen die Mitbeteiligte eine Stadtgemeinde mit dem Vorbringen, seine im Zentralen Melderegister gespeicherten Daten seien zumindest dreimal, nämlich am 31. Oktober 2016, am 10. und am 16. November 2016, von Bediensteten der Mitbeteiligten aus deren persönlichem Interesse und in eigener Verantwortung der handelnden Personen abgefragt worden. Welche der Gemeindebediensteten diese Abfragen getätigt hätten, sei dem Revisionswerber nicht mitgeteilt worden. Der Revisionswerber beantragte, die Verletzung in seinem Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG festzustellen.
2 2. Die belangte Behörde wies die Datenschutzbeschwerde des Revisionswerbers mit Bescheid vom 15. Dezember 2020 mit der Begründung ab, dass nicht die Mitbeteiligte, sondern vielmehr deren Bedienstete, welche die Abfragen im Zentralen Melderegister durchgeführt hätten, Auftraggeber im Sinne des § 4 Z 4 DSG 2000 und damit die zulässigen Gegner in einem Beschwerdeverfahren seien.
3 3. Gegen diesen Bescheid erhob der Revisionswerber Beschwerde an das Verwaltungsgericht.
4 4. Mit dem angefochtenen Erkenntnis wies das Verwaltungsgericht die Beschwerde des Revisionswerbers ab. Unter einem erklärte es die Revision für zulässig.
5 In seiner Begründung führte das Verwaltungsgericht ausgehend vom Sachverhaltsvorbringen des Revisionswerbers in rechtlicher Hinsicht aus, der Revisionswerber trete in seiner Beschwerde der Argumentation der belangten Behörde, dass die Mitbeteiligte hinsichtlich der verfahrensgegenständlichen ZMR Abfragen nicht als Auftraggeberin zu qualifizieren sei, im Wesentlichen mit dem Argument entgegen, die Bediensteten selbst hätten entgegen den Anforderungen der Richtlinie 95/46/EG (Datenschutzrichtlinie) nicht über die Mittel der Datenverarbeitung entschieden. Dem sei jedoch nicht zu folgen.
6 Das Beschwerdeverfahren sei aufgrund der Übergangsbestimmung des § 69 Abs. 5 DSG nach der zwischenzeitig geänderten Rechtslage, nämlich unter Anwendung der DSGVO und des DSG, zu beurteilen. Verantwortlicher für eine Datenverarbeitung sei gemäß Art. 4 Z 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Gemäß der „Guideline 07/2020“ des gemäß Art. 68 DSGVO eingerichteten europäischen Datenausschusses seien Angestellte, die Zugriff auf personenbezogene Daten innerhalb einer Organisation hätten, grundsätzlich nicht als Verantwortliche oder als Auftragsverarbeiter anzusehen. Für einen Mitarbeiter, der sich Zugriff auf Daten verschaffe, zu deren Abfrage er nicht berechtigt sei, oder Daten für andere Zwecke als für den Arbeitgeber verwende, gelte dies nicht. Diese Angestellten sollten als Dritte in Bezug auf die Datenverarbeitung durch den Arbeitgeber angesehen werden. Soweit ein Angestellter personenbezogene Daten für eigene Zwecke verarbeite, die sich von den Zwecken seines Arbeitgebers unterschieden, sei er selbst als Verantwortlicher anzusehen und trage die sich daraus ergebenden Konsequenzen und Haftungen.
7 Wende man diese Grundsätze auf das Vorbringen des Revisionswerbers an, dass die ihn betreffenden Zugriffe auf das Zentrale Melderegister aus persönlichem Interesse der jeweiligen Bediensteten erfolgt seien, folge daraus, dass die betreffenden Bediensteten der Mitbeteiligten diese Abfragen aus eigenem persönlichen Interesse durchgeführt und damit den Zweck der Datenverwendung bestimmt hätten. Sie hätten auch über die Mittel entschieden, indem sie für die Zugriffe den von der Mitbeteiligten für dienstliche Zwecke bereitgestellten Zugang zum Zentralen Melderegister verwendet hätten. Die Mitbeteiligte habe weder den Zweck noch die Mittel der verfahrensgegenständlichen ZMR Abfragen bestimmt, weil diese gerade nicht für dienstliche Zwecke erfolgt seien. Die Mitbeteiligte sei daher in Bezug auf diese Abfragen keine Verantwortliche im Sinne des Art. 4 Z 7 DSGVO, und zwar weder alleine noch gemeinsam mit den Bediensteten, die die Abfragen getätigt hätten. Nationale Normen könnten vor dem Hintergrund der gebotenen autonomen Auslegung der Bestimmungen der DSGVO zu keinem anderen Ergebnis führen.
8 Der Vergleich zur Verantwortlichenstellung in einem parallel geführten Verfahren über datenschutzrechtliche Auskunftserteilung umfasse nicht die Beurteilung der Auftraggebereigenschaft der Mitbeteiligten im vorliegenden Fall und sei für diese auch nicht bindend.
9 Die Revision sei zulässig, weil zur Frage, „ob ein Mitarbeiter eines Verantwortlichen selbst als Verantwortlicher zu qualifizieren ist, wenn er die grundsätzlich von seinem Arbeitgeber verarbeiteten Daten nicht für dessen, sondern für eigene Zwecke verarbeitet“, keine Rechtsprechung des Verwaltungsgerichtshofs vorliege.
10 4. Gegen diese Entscheidung richtet sich die vorliegende nach erfolgter Ablehnung mit Beschluss des Verfassungsgerichtshofs vom 1. März 2022, E 5/2022 6, und Abtretung mit Beschluss des Verfassungsgerichtshofs vom 11. März 2022, E 5/2022 8, einer vom Revisionswerber erhobenen Beschwerde eingebrachte ordentliche Revision.
Die belangte Behörde erstattete eine Revisionsbeantwortung.
5. Der Verwaltungsgerichtshof hat erwogen:
11 5.1. Die maßgebliche Rechtslage:
12 Die für die Frage der anzuwendenden Rechtslage maßgeblichen Rechtsvorschriften des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 24/2018, lauten auszugsweise:
„Übergangsbestimmungen
§ 69. [...]
(4) Zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren sind nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt.
(5) Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes noch nicht anhängig gemacht wurden, sind nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen. Ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.
[...]“
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung) lautet auszugsweise:
„ Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[...]
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
[...]
7. ,Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
[...]
10. ‚Dritter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
[...]
Artikel 26
Gemeinsame Verantwortliche
(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. 3In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
[...]“
13 Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr DSRL (ABl. 1995, L 281, S. 31) lautete auszugsweise:
„Artikel 2
Begriffsbestimmungen
Im Sinne dieser Richtlinie bezeichnet der Ausdruck
[...]
d) ‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;
[...]“
14 5.2. Verfahrensgegenständlich ist ausgehend vom Antragsvorbringen in der verfahrenseinleitenden Datenschutzbeschwerde die Rechtsfrage zu klären, ob die Mitbeteiligte im Zusammenhang mit den ZMR Abfragen vom 31. Oktober 2016, 10. November 2016 und 16. November 2016, die insofern ist der Sachverhalt unstrittig von Bediensteten der Mitbeteiligten ausschließlich in deren privatem Interesse vorgenommen wurden, als Verantwortliche im Sinne des Art. 4 Z 7 DSGVO zu qualifizieren ist. Dies ist nach dem Tatbestand des Art. 4 Z 7 DSGVO dann der Fall, wenn davon auszugehen ist, dass die Mitbeteiligte als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle anzusehen ist, die vor dem Hintergrund des festgestellten Sachverhalts allein oder gemeinsam mit anderen über die Zwecke und Mittel dieser Verarbeitung von personenbezogenen Daten entschieden hat.
15 Die Definition in Art. 4 Z 7 DSGVO entspricht inhaltlich der Vorgängerbestimmung des Art. 2 lit. d DSRL. Dementsprechend greift auch der Gerichtshof der Europäischen Union (EuGH) zur Auslegung des Art. 4 Z 7 DSGVO auf Rechtsprechung zur genannten Vorgängerbestimmung zurück (vgl. etwa EuGH 7.3.2024, C 604/22, IAB Europe/Gegevensbeschermingsautoriteit , Rn. 55 ff).
16 5.3. Der in Art. 4 Z 7 DSGVO definierte „Verantwortliche“ ist Adressat der Pflichten der DSGVO und der Ansprüche der betroffenen Person. Verantwortlicher nach Art. 4 Z 7 DSGVO kann eine „natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle“ sein, und zwar unabhängig davon, ob die juristische Person, Behörde, Einrichtung oder sonstige Stelle öffentlich rechtlich oder privatrechtlich organisiert ist (vgl. OGH 18.2.2025, 6 Ob 102/24d, Rn. 13).
17 Der EuGH hat in seinem Urteil vom 5. Dezember 2023, C 807/21, Deutsche Wohnen SE , unter anderem Folgendes ausgeführt:
„39 In Art. 4 Nr. 7 DSGVO ist der Begriff ‚Verantwortlicher‘ weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
40 Das Ziel dieser weiten Definition des Art. 4 Nr. 7 DSGVO die ausdrücklich auch juristische Personen einschließt besteht im Einklang mit dem Ziel der DSGVO darin, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urteile vom 29. Juli 2019, Fashion ID , C 40/17, EU:C:2019:629, Rn. 66, und vom 28. April 2022, Meta Platforms Ireland, C 319/20, EU:C:2022:322, Rn. 73 sowie die dort angeführte Rechtsprechung).“
18 Vor diesem Hintergrund besteht kein Zweifel daran, dass die Mitbeteiligte unter das personenbezogene Tatbestandsmerkmal des Art. 4 Z 7 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“ subsumiert werden kann.
19 5.4.1. Den Leitlinien des Europäischen Datenschutzausschusses [EDSA] 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0 angenommen am 7. Juli 2021, Rn. 12, ist Folgendes zu entnehmen:
„Die Begriffe ‚Verantwortlicher‘ und ‚Auftragsverarbeiter‘ sind funktionelle Begriffe: Sie zielen darauf ab, Verantwortlichkeiten entsprechend den tatsächlichen Rollen der Parteien zuzuweisen. Das bedeutet, dass der rechtliche Status eines Akteurs als entweder ‚Verantwortlicher‘ oder ‚Auftragsverarbeiter‘ grundsätzlich anhand seiner tatsächlichen Tätigkeiten in einer bestimmten Situation zu bestimmen ist und nicht von der formellen Benennung eines Akteurs als ‚Verantwortlicher‘ oder ‚Auftragsverarbeiter‘ (z.B. in einem Vertrag) abhängig ist. Das bedeutet, dass die Zuweisung der Rollen üblicherweise aus der Analyse der faktischen Elemente oder Umstände eines Falls abzuleiten ist und als solche nicht verhandelbar ist.“
20 Ferner wird dort (vgl. wiederum die genannten Leitlinien des EDSA, Rn. 35) ausgeführt:
„Die Festlegung der Zwecke und der Mittel läuft darauf hinaus, jeweils zu entscheiden, ‚warum‘ und ‚auf welche Weise‘ die Verarbeitung erfolgt: Bei einer bestimmten Verarbeitung ist der Verantwortliche der Akteur, der entschieden hat, warum die Verarbeitung erfolgt (also ‚mit welchem Ziel‘ oder ‚wozu‘), und auf welche Weise dieses Ziel erreicht werden soll (also welche Mittel eingesetzt werden, um das Ziel zu erreichen). ...“
21 In seinem Urteil vom 10. Juli 2018, C 25/17, Zeugen Jehovas , hat der EuGH zur Frage der Qualifizierung einer Person als Verantwortlicher im Sinne des Art. 2 lit. d DSRL der gleichlautenden Vorgängerbestimmung des Art. 4 Z 7 DSGVO bereits Folgendes festgehalten:
„65 Wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, bezeichnet der Begriff ‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, die ‚allein oder gemeinsam mit anderen‘ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Demnach bezieht sich dieser Begriff nicht zwingend auf eine einzige natürliche oder juristische Person, sondern kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt (vgl. in diesem Sinne Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig Holstein, C 210/16, EU:C:2018:388, Rn. 29).
66 Da das Ziel dieser Bestimmung darin besteht, durch eine weite Definition des Begriffs des ‚Verantwortlichen‘ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, hat das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (vgl. in diesem Sinne Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig Holstein, C 210/16, EU:C:2018:388, Rn. 28, 43 und 44).
67 Insoweit kann weder aus dem Wortlaut von Art. 2 Buchst. d noch aus irgendeiner anderen Bestimmung der Richtlinie 95/46 geschlossen werden, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des für die Verarbeitung Verantwortlichen erfolgen muss.
68 Hingegen kann eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden.“
22 Präzisierend führte der EuGH zur Beurteilung der Stellung des Verantwortlichen im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 in seinem Urteil vom 29. Juli 2019, C 40/17, Fashion ID , aus, dass unbeschadet einer etwaigen insoweit im nationalen Recht vorgesehenen zivilrechtlichen Haftung, eine natürliche oder juristische Person für vor oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne dieser Vorschrift verantwortlich angesehen werden kann (Rn. 74).
23 Ferner hat der EuGH in der Entscheidung vom 7. März 2024, C 604/22, IAB Europe/Gegevensbeschermingsautoriteit , dem Handeln aus Eigeninteresse (Rn. 57 und 61) hohen Stellenwert für die Qualifikation einer Branchenorganisation als Verantwortlicher nach Art. 4 Z 7 DSGVO eingeräumt.
24 5.4.2. Art. 4 Z 10 DSGVO definiert den Begriff „Dritter“ als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
25 Hierzu führen die Leitlinien des EDSA 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0 angenommen am 7. Juli 2021 (Rn. 88 f) Folgendes aus:
„Während die Begriffe ‚personenbezogene Daten‘, ‚betroffene Person‘, ‚Verantwortlicher‘ und ‚Auftragsverarbeiter‘ in der Verordnung definiert sind, ist der Begriff ‚Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten‘ nicht definiert. Er wird jedoch im Allgemeinen so verstanden, dass er sich auf Personen bezieht, die zur rechtlichen Einheit des Verantwortlichen oder des Auftragsverarbeiters gehören (also Beschäftigter sind oder eine mit der Rolle von Beschäftigten in hohem Maße vergleichbare Rolle haben, z. B. Zeitarbeitskräfte, die über ein Leiharbeitsunternehmen bereitgestellt werden), jedoch nur insoweit, als sie zur Verarbeitung personenbezogener Daten befugt sind. Ein Beschäftigter usw., der Zugang zu Daten erlangt, zu denen er keinen Zugang haben darf, und dies für andere Zwecke als denen des Arbeitgebers, fällt nicht unter diese Kategorie. Vielmehr sollte dieser Beschäftigte mit Blick auf die vom Arbeitgeber vorgenommene Verarbeitung als Dritter betrachtet werden. Soweit der Beschäftigte personenbezogene Daten für eigene Zwecke verarbeitet, die sich von denen seines Arbeitgebers unterscheiden, wird er als Verantwortlicher betrachtet und übernimmt alle sich daraus ergebenden Konsequenzen und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten.
Der Ausdruck ‚Dritter‘ bezeichnet somit eine Person, die in der konkreten Situation weder eine betroffene Person noch ein Verantwortlicher, Auftragsverarbeiter oder Beschäftigter ist. Beispielsweise kann der Verantwortliche einen Auftragsverarbeiter beauftragen und ihn anweisen, personenbezogene Daten an einen Dritten zu übermitteln. Dieser Dritte gilt dann als eigenständiger Verantwortlicher für die Verarbeitung, die er für seine eigenen Zwecke durchführt.“
26 Nach Art. 26 Abs. 1 DSGVO handelt es sich um „gemeinsam Verantwortliche“, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Insoweit muss zwar jeder gemeinsam Verantwortliche für sich genommen die Definition des „Verantwortlichen“ in Art. 4 Z 7 DSGVO erfüllen, doch hat das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach dieser Bestimmung nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (vgl. wiederum EuGH 7.3.2024, C 604/22, IAB Europe/Gegevensbeschermingsautoriteit , Rn. 58, mwN).
27 Sofern natürliche Personen Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten, können sie selbst Verantwortlicher werden. Gegebenenfalls kommt hier aber die Mitverantwortung einer fahrlässig handelnden Organisation, die grundsätzlich Missbrauch zu verhindern hat, in Betracht ( Hartung in Kühling/Buchner, DS GVO, 2020, Art. 4 Z 7, Rz 10).
28 5.5. Fallbezogen ergibt sich aus dem eben Gesagten:
29 Die Frage der Verantwortlichenstellung ist unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen.
30 Aus § 13 Abs. 1 iVm. § 16 Abs. 1 erster Satz MeldeG ergibt sich keine Verantwortlichenstellung der Mitbeteiligten.
31 Um zu klären, ob die Mitbeteiligte als Verantwortliche im Sinne von Art. 4 Z 7 bzw. allenfalls als gemeinsam Verantwortliche gemäß Art. 26 Abs. 1 DSGVO angesehen werden kann, ist zu prüfen, ob sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die fallgegenständliche Verarbeitung personenbezogener Daten Einfluss genommen und allenfalls gemeinsam mit anderen die Zwecke der und die Mittel zur fraglichen Verarbeitung festgelegt hat. Es ist daher die Frage zu klären, welche natürliche oder juristische Person jeweils die Entscheidung sowohl über den Zweck das „warum“ als auch über die Mittel „auf welche Weise“ in Bezug auf die verfahrensgegenständlichen Abfragen getroffen hat.
32 5.5.1. Dass im Zusammenhang mit der verfahrensgegenständlichen Datenverarbeitung die bei der Mitbeteiligten eingerichtete technische Abfragemöglichkeit benutzt wurde, beantwortet diese Frage nicht, weil dies nur bedeutet, dass die fallgegenständliche Datenverarbeitung unter Nutzung von der Mitbeteiligten zur Verfügung stehenden Mitteln durchgeführt wurde.
33 Die für die Verantwortlichenstellung im Sinne des Art. 4 Z 7 DSGVO ausschlaggebende Entscheidung darüber, dass diese Mittel für die verfahrensgegenständlichen Abfragen eingesetzt wurden und zu welchem Zweck dieser Einsatz erfolgte, wurde hingegen von den Personen den Bediensteten der Mitbeteiligten getroffen, die die verfahrensgegenständlichen Abfragen für ihre eigenen privaten Zwecke tätigten. Vor diesem Hintergrund scheidet auch eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 Abs. 1 DSGVO aus, weil die Mitbeteiligte in keiner Weise in die Entscheidung über die Zwecke und Mittel betreffend die konkrete, für rein private Zwecke der Bediensteten erfolgte Datenverarbeitung miteinbezogen war.
34 Dieses Ergebnis korreliert auch mit den oben wiedergegebenen Leitlinien des EDSA, dass die betreffenden Bediensteten fallbezogen auch nicht als Personen zu verstehen sind, die „unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten“, weil sie als solche nur insoweit anzusehen sind, als sie zur Verarbeitung personenbezogener Daten befugt sind. Eine bei der Mitbeteiligten beschäftigte Person, die kraft ihrer Stellung Zugang zur Abfragemöglichkeit hatte oder sich diese verschaffte und die ZMR Abfragemöglichkeit zu anderen als zu dienstlichen Zwecken, die der Mitbeteiligten zuordenbar wären, durchführte, ist im Zusammenhang mit der vorgenommenen Verarbeitung gegenüber der Mitbeteiligten als Dritter zu betrachten, wobei diese(r) Dritte in Bezug auf die relevante Verarbeitung allenfalls selbst als Verantwortlicher zu betrachten ist (vgl. dazu auch die Rechtsprechung des OGH, dass die nur für dienstliche Belange bestehende rechtliche Möglichkeit, das Grundrecht auf Datenschutz [§ 1 DSG] zu durchbrechen, vom Beamten dann missbräuchlich in Anspruch genommen wird, wenn die Datenabfrage ohne eine solche dienstliche Rechtfertigung erfolgt und bei Schädigungsvorsatz zur Haftung nach § 302 Abs. 1 StGB führt, etwa OGH 26.3.2009, 12 Os 2/09z).
35 Die Mitbeteiligte ist insoweit daher nicht als Verantwortliche im Sinne des Art. 4 Z 7 DSGVO anzusehen.
36 5.5.2. Es ist ferner die Frage zu prüfen, ob die Mitbeteiligte auf einer anderen Ebene als der Abfrage selbst im Zusammenhang mit der fallbezogenen Datenverarbeitung als Verantwortliche im datenschutzrechtlichen Sinn anzusehen ist.
37 Festzuhalten ist, dass sich der vorliegende Fall von denjenigen Fällen unterscheidet, bei denen Beschäftigte eines Verantwortlichen Daten, die vom Verantwortlichen selbst gespeichert werden und auf die die Beschäftigten nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden. Auch in diesen Fällen überschreiten die Beschäftigten aus privaten Motiven ihre dienstlichen Befugnisse, jedoch liegt in der Speicherung der abgefragten Daten bereits eine Verarbeitung im Sinne des Art. 4 Z 2 DSGVO, die auf einer anderen Ebene als der eigentlichen (Neugier)Abfrage als tatbestandsbegründendes Sachverhaltselement eine Verantwortlichenstellung mit allen Rechten und Pflichten begründen kann.
38 Bei der hier fraglichen Datenverarbeitung handelt es sich jedoch um dem Zeitpunkt nach bestimmte Abfragen der im Zentralen Melderegister gespeicherten Daten des Revisionswerbers. Diese Abfragen stehen in keinem Zusammenhang mit einer vorangegangenen Verarbeitung dieser personenbezogenen Daten des Revisionswerbers durch die Mitbeteiligte selbst, weil sich im vorliegenden Fall den Bediensteten (bloß) im Rahmen der Tätigkeit bei der Mitbeteiligten nur die tatsächliche Möglichkeit bot, eine Abfrage im Zentralen Melderegister durchzuführen. Das bloße Offenstehen einer Möglichkeit zur Abfrage erfüllt jedoch nicht den Tatbestand einer Verarbeitung im Sinne des Art. 4 Z 2 DSGVO, weshalb dieser Umstand alleine den sachlichen Anwendungsbereich der DSGVO gemäß Art. 2 Abs. 1 leg. cit. nicht eröffnet.
39 Es ist daher fallbezogen davon auszugehen, dass basierend auf dem vorgebrachten Sachverhalt keine Datenverarbeitung im Sinn des Art. 4 Z 2 DSGVO vorliegt, die der Mitbeteiligten als Verantwortlicher zugerechnet werden könnte.
40 5.5.3. Das Verwaltungsgericht hat aus diesem Grund die Beschwerde zu Recht abgewiesen. Dabei ist im Hinblick auf die Ausführungen in der Revision anzumerken, dass sich die Datenschutzbeschwerde ausdrücklich und unmissverständlich gegen die Mitbeteiligte richtete. Ein Austausch der Person des Verantwortlichen im verwaltungsgerichtlichen Verfahren kommt nach der Rechtsprechung des Verwaltungsgerichtshofes nicht in Betracht (vgl. VwGH 27.6.2023, Ro 2023/04/0013).
41 Die Revision war daher gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.
42 5.6. Der Ausspruch über den Aufwandersatz stützt sich auf die §§ 47 ff VwGG in Verbindung mit der VwGH Aufwandersatzverordnung 2014.
Wien, am 27. März 2025
RIS