Betreff
Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Kleiser, Hofrat Dr. Mayr, Hofrätin Mag. Hainz Sator sowie die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision des Amtes der Tiroler Landesregierung in 6020 Innsbruck, vertreten durch die Baker McKenzie Rechtsanwälte LLP Co KG in 1010 Wien, Schottenring 25, gegen das Erkenntnis des Bundesverwaltungsgerichts vom 7. Februar 2023, Zl. W245 2263552-1/20E, betreffend eine datenschutzrechtliche Angelegenheit (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; weitere Partei: Bundesministerin für Justiz; mitbeteiligte Partei: C W in R), den Beschluss gefasst:
Spruch
Dem Gerichtshof der Europäischen Union (EuGH) wird nach Art. 267 AEUV folgende Frage zur Vorabentscheidung vorgelegt:
Ist Art. 4 Z 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung - DSGVO) dahingehend auszulegen, dass er der Anwendung einer Bestimmung des nationalen Rechts (wie vorliegend des § 2 Abs. 1 Tiroler Datenverarbeitungsgesetz) entgegensteht, in der zwar im Sinn des zweiten Halbsatzes des Art. 4 Z 7 DSGVO ein bestimmter Verantwortlicher vorgesehen wird, aber
- dieser eine bloße Dienststelle (wie im vorliegenden Fall das Amt der Tiroler Landesregierung) ist, die zwar gesetzlich eingerichtet, aber keine natürliche oder juristische Person und im vorliegenden Fall auch keine Behörde ist, sondern nur als Hilfsapparat für diese auftritt und über keine eigene (Teil)Rechtsfähigkeit verfügt;
- dessen Benennung ohne Bezugnahme auf eine konkrete Verarbeitung personenbezogener Daten erfolgt und daher auch keine Zwecke und Mittel einer konkreten Verarbeitung personenbezogener Daten durch das Recht des Mitgliedstaats vorgegeben werden;
- dieser im konkreten Fall weder allein noch gemeinsam mit anderen über die Zwecke und Mittel der zugrundeliegenden Verarbeitung personenbezogener Daten entschieden hat?
Sachverhalt und Ausgangsverfahren
1 Der Mitbeteiligte erstattete am 21. Dezember 2021 bei der Datenschutzbehörde (DSB) eine gegen das Amt der Tiroler Landesregierung (Revisionswerber, im Folgenden: Amt) als Beschwerdegegner gerichtete Datenschutzbeschwerde wegen Verletzung im Recht auf Geheimhaltung gemäß § 1 Abs. 1 Datenschutzgesetz (DSG) in Bezug auf ein an ihn gerichtetes Schreiben, in dem dieser von für ihn reservierten Terminen an einem näher genannten Ort für eine COVID Schutzimpfung informiert und zur Wahrnehmung dieses Angebots eingeladen wurde. In diesem Zusammenhang hat der Mitbeteiligte den Verdacht, dass diesem Schreiben eine unzulässige Weitergabe und Verarbeitung seiner Gesundheitsdaten zugrunde liege.
2 In seiner Stellungnahme vom 31. Jänner 2022 erklärte das Amt gegenüber der DSB unter anderem, dass es datenschutzrechtlicher Verantwortlicher für den Versand dieses Schreibens sei und keine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vorliege.
3 Mit Bescheid vom 22. August 2022 gab soweit hier wesentlich die DSB der Datenschutzbeschwerde statt, stellte fest, dass das Amt den Mitbeteiligten dadurch in seinem Recht auf Geheimhaltung verletzt habe, indem es unrechtmäßig auf die Daten des Mitbeteiligten im zentralen Impfregister und im Patientenindex zugegriffen und diese Daten zum Zweck des Versands eines Schreibens mit Informationen betreffend einen Termin für eine „Corona Schutzimpfung“ verarbeitet habe.
4 Die DSB stellte fest, das Amt habe ein Schreiben mit Informationen betreffend einen Termin für eine „Corona Schutzimpfung“ an den Mitbeteiligten geschickt und zu diesem Zweck über die E GmbH als Auftragsverarbeiterin und die I GmbH als Sub Auftragsverarbeiterin auf die Daten des Mitbeteiligten im zentralen Impfregister zugegriffen und diese Daten zur Ermittlung der aktuellen Wohnadresse mit den Daten im Patientenindex abgeglichen.
5 In rechtlicher Hinsicht ging die DSB zusammengefasst davon aus, dass das Amt über keine spezifische Zugriffsberechtigung auf das zentrale Impfregister gemäß § 24f Abs. 4 Gesundheitstelematikgesetz 2012 (GTelG 2012) verfüge, weshalb die nachfolgende Datenverarbeitung rechtswidrig gewesen sei.
6 Die dagegen erhobene Beschwerde des Amts wies das Bundesverwaltungsgericht (Verwaltungsgericht) mit dem angefochtenen Erkenntnis als unbegründet ab.
7 Nach wörtlicher Wiedergabe des an den Mitbeteiligten versendeten Schreibens stellte das Verwaltungsgericht im Wesentlichen fest, für die Festlegung des Zwecks und der Mittel der gegenständlichen Datenverarbeitung sei vom Amt ein „Vorschlag“ ausgearbeitet worden, der in der Folge vom Landeshauptmann mit kurzer Anweisung „freigegeben“ worden sei.
Der Landesamtsdirektor als Leiter des Amts [ihm obliegt gemäß § 4 Abs. 1 der Geschäftsordnung des Amtes der Tiroler Landesregierung die Leitung des inneren Dienstes des Revisionswerbers; gemäß § 10 Abs. 1 leg. cit. können sich der Landeshauptmann, die Landesregierung und ihre einzelnen Mitglieder vom Landesamtsdirektor vertreten lassen] habe die Voraussetzungen für das Impferinnerungsschreiben und entsprechende Maßnahmen im Land Tirol geklärt. Er sei von Beginn der Pandemie bis Ende 2022 Leiter der Landes Einsatzleitung gewesen. Die Einsatzleitung sollte Maßnahmen zur Bekämpfung der Pandemie in Tirol setzen. Zur Bewältigung der operativen Anforderungen der Pandemie sei in der Organisation des Amts auch eine eigene Struktur implementiert worden.
Der Ablauf für ein Schreiben an Bürger des Landes Tirol, insbesondere der Vorschlag, allen zumindest 18 Jahre alten (noch nicht gegen COVID 19 geimpften) Personen in Tirol ein „Impferinnerungsschreiben“ zu übermitteln, sei vom Amt ausgearbeitet und das Schreiben von ihm konzipiert worden. Die Verknüpfung des Wohnorts des Mitbeteiligten mit dem Impfort beruhe auf einem Vorschlag des Amts und sei von diesem technisch umgesetzt worden.
Das Amt habe sich mehrmals als Verantwortlicher der Verarbeitung der personenbezogenen Daten deklariert, so etwa in seiner Datenschutzerklärung.
Am 19. November 2021 habe das Land Tirol, vertreten durch das Amt, die E GmbH mit der Ermittlung der Adressaten der „Impferinnerungsschreiben“ beauftragt. Die E GmbH habe diesen Auftrag an die I GmbH weitergegeben. In Erfüllung des Auftrags habe die I GmbH zunächst sämtliche Personen aus dem Patientenindex (Verzeichnis der Patientinnen und Patienten § 18 GTelG 2012), die über 18 Jahre alt gewesen seien und eine Adresse in Tirol angegeben hätten, ermittelt. Im Anschluss habe die I GmbH jene Personen herausgefiltert, die im zentralen Impfverzeichnis über einen Eintrag für eine Impfung mit einem in der Europäischen Union zugelassenen Impfstoff gegen COVID 19 verfügt hätten. Die Namen und Adressen der verbleibenden Personen habe die I GmbH am 25. November 2021 an das Amt übermittelt. Der Mitbeteiligte habe nicht an der Verarbeitung seiner personenbezogenen Daten mitgewirkt bzw. seine Zustimmung erteilt.
8 Rechtlich beurteilte das Verwaltungsgericht den festgestellten Sachverhalt dahin, es ergebe sich bereits aus § 2 Abs. 1 lit. a sowie Abs. 3 Tiroler Datenverarbeitungsgesetz (TDVG), dass das Amt als Verantwortlicher für die verfahrensgegenständliche Verarbeitung personenbezogener Daten zu qualifizieren sei.
Darüber hinaus ging das Verwaltungsgericht mit näherer Begründung davon aus, dass die Abfragen der Daten aus dem Patientenindex und dem zentralen Impfverzeichnis sowie die Zusammenführung der Daten jeweils im Auftrag des Amts datenschutzrechtlich dem Amt zuzurechnen seien.
Das Amt habe gemäß § 18 GTelG 2012 keinen rechtmäßigen Zugriff auf den Patientenindex iSd Art. 5 Abs. 1 lit. a DSGVO begründen können.
Im Zusammenhang mit dem Zugriff auf das zentrale Impfregister handle es sich beim Impfstatus des Mitbeteiligten um eine besondere Kategorie personenbezogener Daten iSd Art. 9 Abs. 1 DSGVO, weil aus dem Impfstatus Informationen über den Gesundheitszustand der betroffenen Person hervorgehen könnten. Eine Verarbeitung des Impfstatus wäre nur bei Vorliegen eines Ausnahmetatbestandes vom Verarbeitungsverbot des Abs. 1 gemäß Art. 9 Abs. 2 DSGVO zulässig. Ein solcher Ausnahmetatbestand liege nicht vor.
Dem Amt komme für den Zweck der „Impferinnerung“ nach § 24d Abs. 2 Z 3 GTelG 2012 keine Zugriffsberechtigung auf das zentrale Impfregister zu. Das Amt könne sich somit hinsichtlich der Verarbeitung von Daten aus dem zentralen Impfregister zum Zweck der Erstellung und des Versands von „COVID 19 Impferinnerungsschreiben“ nicht auf § 24d Abs. 2 Z 3 GTelG 2012 iVm Art. 9 Abs. 2 lit. g bzw. i DSGVO stützen.
Da sich die Ermittlung der Adressdaten durch Zugriff auf den Patientenindex und das zentrale Impfregister als rechtswidrig erweise, sei auch ihre weitere Verwendung für die Adressierung und den Versand der „Impferinnerungsschreiben“ rechtswidrig.
Das Amt habe daher den Mitbeteiligten durch den unrechtmäßigen Zugriff auf dessen Daten im zentralen Impfregister und im Patientenindex sowie durch die Verarbeitung dieser Daten zum Zweck des Versands eines Impferinnerungsschreibens in seinem Recht auf Geheimhaltung verletzt.
9 Gegen dieses Erkenntnis richtet sich die vorliegende außerordentliche Revision des Amts. Die DSB erstattete in dem vom Verwaltungsgerichtshof eingeleiteten Vorverfahren eine Revisionsbeantwortung, in der sie die Zurück , in eventu Abweisung der Revision beantragt.
Die maßgeblichen Bestimmungen des Unionsrechts
10 Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4.5.2016, lautet auszugsweise:
„...
(45) Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder, sofern dies durch das öffentliche Interesse einschließlich gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt ist, eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln sollte.
...
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
...
7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
...
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
...
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
...
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
...“
Die maßgeblichen Bestimmungen des nationalen Rechts
11 Das Bundesverfassungsgesetz betreffend Grundsätze für die Einrichtung und Geschäftsführung der Ämter der Landesregierungen außer Wien (Ämter der Landesregierungen Bundesverfassungsgesetz BVG ÄmterLReg), BGBl. Nr. 289/1925 in der Fassung BGBl. I Nr. 14/2019, lautet auszugsweise:
„ § 1. (1) Der Landeshauptmann ist der Vorstand des Amtes der Landesregierung.
...
(3) Unter der unmittelbaren Aufsicht des Landeshauptmannes (Landeshauptmann Stellvertreters) obliegt die Leitung des inneren Dienstes des Amtes der Landesregierung dem Landesamtsdirektor, in dessen Verhinderung dessen Stellvertreter, für dessen Bestellung dieselben Voraussetzungen wie für die Bestellung des Landesamtsdirektors gelten.
§ 2. Die Einrichtung des Amtes der Landesregierung wird durch Landesgesetz und eine auf Grund desselben erlassene Geschäftseinteilung geregelt. Die Geschäftseinteilung wird vom Landeshauptmann mit Zustimmung der Landesregierung erlassen.
§ 3. (1) Das Amt der Landesregierung besorgt die ihm nach der Geschäftseinteilung zukommenden Geschäfte, soweit es sich um solche des selbständigen Wirkungsbereiches des Landes handelt, nach den näheren Bestimmungen der Landesverfassung unter der Leitung der Landesregierung oder einzelner Mitglieder derselben (Artikel 101, Absatz 1, des Bundes Verfassungsgesetzes) und, soweit es sich um solche der mittelbaren Bundesverwaltung handelt, unter der Leitung des Landeshauptmannes (Artikel 102, Absatz 1, des Bundes Verfassungsgesetzes).
...“
12 Art. 56 und 58 der Tiroler Landesordnung 1989, LGBl. Nr. 61/1988 in der Fassung LGBl. Nr. 71/2019, lauten auszugsweise:
„ Artikel 56
Landeshauptmann
(1) Der Landeshauptmann vertritt das Land Tirol.
...
Artikel 58
Amt der Landesregierung
(1) Der Landeshauptmann, die Landesregierung und ihre Mitglieder haben sich bei der Besorgung ihrer Aufgaben des Amtes der Landesregierung zu bedienen. Der Landeshauptmann ist der Vorstand des Amtes der Landesregierung.
(2) Die Landesregierung hat zur Leitung des inneren Dienstes des Amtes der Landesregierung einen rechtskundigen Bediensteten des Amtes der Landesregierung als Landesamtsdirektor und zu dessen Vertretung einen rechtskundigen Bediensteten des Amtes der Landesregierung als Landesamtsdirektorstellvertreter zu bestellen.
...“
13 Das Tiroler Datenverarbeitungsgesetz TDVG, LGBl. Nr. 143/2018, lautet auszugsweise:
„ § 1
Geltungsbereich
(1) Dieses Gesetz regelt bei Datenverarbeitungen, die das Land Tirol allein oder gemeinsam mit anderen Verantwortlichen betreibt oder beauftragt
a) wem die Aufgaben als Verantwortlicher nach Art. 4 Z 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung), ABl. 2016 Nr. L 119, S. 1, zukommen,
...
§ 2
Verantwortliche, gemeinsam Verantwortliche
(1) Als Verantwortliche nach Art. 4 Z 7 der Datenschutz Grundverordnung gelten:
a) das Amt der Tiroler Landesregierung;
b) das Amt der Tiroler Landesregierung gemeinsam mit dem betreffenden Verantwortlichen in Fällen, in denen das Land Tirol für einen vom Amt der Tiroler Landesregierung verschiedenen Verantwortlichen eine Datenverarbeitung betreibt oder beauftragt, und zwar unmittelbar aufgrund landesgesetzlicher Anordnung oder aufgrund landesgesetzlicher Vorschriften, wonach insbesondere
1. das Amt der Tiroler Landesregierung Geschäftsstelle für den betreffenden Verantwortlichen ist,
2. das Amt der Tiroler Landesregierung die Kanzleigeschäfte für den betreffenden Verantwortlichen führt oder
3. das Land Tirol die Sachmittel für den betreffenden Verantwortlichen bereitzustellen hat;
c) das Amt der Tiroler Landesregierung gemeinsam mit dem betreffenden Verantwortlichen in Fällen, in denen das Land Tirol für
1. Gemeinden oder Gemeindeverbände,
2. die Bildungsdirektion,
3. Leiter von Schulen oder
4. sonstige Verantwortliche, wie Interessenvertretungen und für deren Wirkungsbereich bestellte Organe, landesgesetzlich eingerichtete Körperschaften, Vereine oder sonstige Einrichtungen,
eine Datenverarbeitung betreibt oder beauftragt.
(2) In den Fällen des Abs. 1 lit. b und c sind das Amt der Tiroler Landesregierung und der jeweils betreffende Verantwortliche gemeinsam Verantwortliche im Sinn des Art. 26 der Datenschutz Grundverordnung.
(3) Das Amt der Tiroler Landesregierung ist immer alleiniger Verantwortlicher, wenn eine Datenverarbeitung vom Land Tirol betrieben oder beauftragt wird, soweit
a) keine gemeinsame Verantwortung im Sinn des Abs. 1 lit. b oder c besteht und
b) keine Auftragsverarbeitung nach § 5 vorliegt.
...“
Zur Vorlageberechtigung
14 Der Verwaltungsgerichtshof ist ein Gericht im Sinne des Art. 267 AEUV, dessen Entscheidungen selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können.
15 Der Verwaltungsgerichtshof vertritt die Auffassung, dass sich bei der Entscheidung der von ihm zu beurteilenden Revisionssache die im gegenständlichen Ersuchen um Vorabentscheidung angeführte und im Folgenden näher erläuterte Frage der Auslegung des Unionsrechts stellt.
Erläuterungen zur Vorlagefrage
16 Die gegen das Amt gerichtete Datenschutzbeschwerde des Mitbeteiligten betrifft die Verarbeitung seiner personenbezogenen Daten in Bezug auf die Erstellung und Versendung eines Schreibens des Landes Tirol, in dem der Mitbeteiligte von für ihn reservierten Terminen für eine COVID Schutzimpfung an einem näher genannten Ort informiert und zur Wahrnehmung dieses Angebots eingeladen wurde. Im Zusammenhang mit dieser Datenverarbeitung ist zu klären, ob dem Amt die Stellung als Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO zukommt (vgl. zur Zurechnung des Schreibens zum Land Tirol Rn. 20).
17 Gemäß der Begriffsdefinition des Art. 4 Z 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
18 Hinsichtlich dieser Definition ist (abgesehen von einer abgeänderten Bezeichnung) gegenüber derjenigen der Vorgängerbestimmung des Art. 2 lit. d der Richtlinie 95/46/EG keine inhaltliche Änderung eingetreten. Somit kann für die Auslegung der aktuellen Bestimmung auch die Rechtsprechung des Gerichtshofes der Europäischen Union (EuGH) zur Vorgängerbestimmung herangezogen werden.
Nach der ständigen Rechtsprechung des EuGH ist der Begriff des Verantwortlichen weit definiert, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Begriff kann auch mehrere an der Datenverarbeitung beteiligte Akteure erfassen (wobei die Personen in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein können). Jede Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung mitwirkt, kann als Verantwortlicher angesehen werden. Hingegen können Personen für vor oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegen, nicht als Verantwortliche angesehen werden. Die Verantwortlichkeit ist auf Vorgänge der Datenverarbeitung beschränkt, für die der Betreffende tatsächlich über die Zwecke und Mittel entscheidet. Des Weiteren hat der EuGH festgehalten, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung nach den zugrundeliegenden Vorschriften nicht (zwingend) mittels schriftlicher Anweisungen erfolgen muss. Als Verantwortlicher kann angesehen werden, wer einen Beitrag zur Entscheidung über die Zwecke und Mittel der Datenverarbeitung leistet (vgl. zu alldem VwGH 27. Juni 2023, Ro 2023/04/0013, Rn. 21 bis 23, unter Verweis auf EuGH 29.7.2019, C-40/17, Fashion ID , ECLI:EU:C:2019:629, Rn. 66 bis 70, 74 und 85; 5.6.2018, C 210/16, Wirtschaftsakademie Schleswig-Holstein , ECLI:EU:C:2018:388, Rn. 31, sowie 10.7.2018, C 25/17, Jehovan Todistajat , ECLI:EU:C:2018:551, Rn. 67).
19 Nach den Feststellungen des Verwaltungsgerichts hat das Amt lediglich einen „Vorschlag“ für den Zweck der Datenverarbeitung (Erhöhung der Impfquote) und die Mittel (gezielte Einladung der bislang nicht gegen COVID 19 geimpften in Tirol wohnhaften Personen im Alter von zumindest 18 Jahren unter Heranziehung der Daten aus dem zentralen Impfregister und dem Patientenindex im Wege der Beauftragung der E GmbH durch das Land Tirol, vertreten durch das Amt, sowie Verknüpfung der Daten über den Wohnort der betroffenen Personen mit dem vorgeschlagenen Impfort) ausgearbeitet, der in der Folge vom Landeshauptmann, der gemäß Art. 58 der Tiroler Landesordnung 1989 Vorstand des Amts ist und das Land Tirol gemäß Art. 56 Abs. 1 leg. cit. vertritt, „freigegeben“, somit genehmigt, wurde.
20 Daraus folgt, dass ausschließlich der Landeshauptmann als Vertreter des Landes Tirol und nicht (auch) das Amt sowohl über den Zweck als auch über die Mittel der Verarbeitung personenbezogener Daten entschieden hat. Aus dem festgestellten Sachverhalt ergeben sich keine Anhaltspunkte dafür, dass vorliegend das Amt allein oder gemeinsam mit dem Landeshauptmann sei es auch nur hinsichtlich einzelner Phasen der Datenverarbeitung über die Zwecke und Mittel der Datenverarbeitung entschieden oder zumindest zu dieser Entscheidung im eigenen Interesse beigetragen hat und die Verantwortlichkeit für zumindest einen Teil der Datenverarbeitung das Amt neben dem Landeshauptmann als weiteren Akteur trifft. Das Amt ist daher nach Auffassung des Verwaltungsgerichtshofs bereits deshalb nicht Verantwortlicher im Sinne des Art. 4 Z 7 erster Halbsatz DSGVO.
21 Das Verwaltungsgericht leitet die Qualifikation des Amts als Verantwortlichen jedoch auch aus dessen Benennung als Verantwortlicher in § 2 Abs. 1 lit. a und Abs. 3 Tiroler Datenverarbeitungsgesetz TDVG ab.
22 Es ist daher zu klären, ob vorliegend das Amt durch diese gesetzliche Bestimmung ungeachtet dessen, dass ihm bereits mangels Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten nicht die Stellung als Verantwortlicher nach Art. 4 Z 7 erster Halbsatz DSGVO zukommt, rechtswirksam als Verantwortlicher im Sinne des Art. 4 Z 7 zweiter Halbsatz DSGVO benannt werden konnte.
23 Nach dem 45. Erwägungsgrund der DSGVO sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder, sofern dies durch das öffentliche Interesse einschließlich gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt ist, eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln sollte.
24 Grundsätzlich ist das Amt gemäß § 3 Abs. 1 BVG ÄmterLReg Geschäftsapparat anderer Behörden. Insofern hat es keine Organfunktion und keine eigene Rechtspersönlichkeit (vgl. zur mangelnden Rechtsfähigkeit eines Hilfsapparats [Magistrats] einer Stadt mit eigenem Statut VwGH 11.6.1991, 90/14/0268). Die Landesgesetzgebung kann zwar das Amt im Einzelfall mit behördlichen Aufgaben betrauen, es somit als Behörde vorsehen (vgl. VfSlg. 9141/1981 und 9287/1981). Dies ist jedoch in Bezug auf die Erstellung und Versendung des hier vorliegenden Schreibens an den Mitbeteiligten nicht der Fall.
25 In diesem Schreiben wurde dem Mitbeteiligten die COVID Schutzimpfung nicht rechtsverbindlich vorgeschrieben, sondern der Mitbeteiligte vielmehr zur COVID Schutzimpfung zu einem von mehreren gleichzeitig bekanntgegebenen Terminen an einem näher genannten Ort eingeladen (arg.: „Wir laden Sie ein, ...“). Mit diesem Schreiben sollte somit gegenüber einer bestimmten Person keine normative Regelung einer konkreten Verwaltungsangelegenheit getroffen werden (vgl. etwa zur Qualifikation eines Schreibens als Bescheid VwGH 26.6.2019, Ro 2018/03/0009, Rn. 55 bis 57, mwN). Das Schreiben stellt insofern weder einen Hoheitsakt dar, noch steht es im Zusammenhang mit einem Hoheitsakt, weil es einen solchen nicht vorbereitet, begleitet oder umsetzt. Vielmehr ist es einschließlich der ihm zugrundeliegenden Verarbeitung personenbezogener Daten der Privatwirtschaftsverwaltung zuzuordnen (vgl. zur Abgrenzung der Hoheitsverwaltung von der Privatwirtschaftsverwaltung etwa VfGH 23.6.2021, K I 14/2020, mwN, sowie VwGH 12.11.2002, 2002/07/0089, mit Verweis auf die Judikatur des VfGH; bzw. OGH RIS-Justiz RS0130809).
26 Das Amt ist demnach weder eine natürliche oder juristische Person noch in Bezug auf die vorliegende Verarbeitung personenbezogener Daten des Mitbeteiligten eine Behörde. Vielmehr wurde sie vorliegend im Rahmen der Privatwirtschaftsverwaltung als bloßer Hilfsapparat für diese ohne (Teil)Rechtspersönlichkeit tätig.
27 Es stellt sich in diesem Zusammenhang die Frage, ob auch eine bloße Dienststelle als Hilfsapparat einer Behörde ohne eigene (Teil)Rechtsfähigkeit wie vorliegend das Amt als „Einrichtung oder andere Stelle“ im Sinne des Art. 4 Z 7 erster Halbsatz DSGVO zu verstehen ist und insofern gemäß Art. 4 Z 7 zweiter Halbsatz DSGVO nach dem Recht des Mitgliedstaats als Verantwortlicher vorgesehen werden kann.
28 Nach ständiger Rechtsprechung des EuGH müssen die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. EuGH 4.5.2023, C 300/21, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten] , ECLI:EU:C:2023:370, Rn. 29, mwN). Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 4 Z 7 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „Einrichtung“ und „andere Stelle“ nicht auf das Recht der Mitgliedstaaten.
29 Bei Auslegung einer Bestimmung des Unionsrechts sind nicht nur ihr Wortlaut entsprechend ihrem Sinn nach dem gewöhnlichen Sprachgebrauch, sondern auch ihr Kontext und die Ziele, die mit der Regelung, zu der sie gehört, verfolgt werden, zu berücksichtigen (vgl. EuGH 4.5.2023, Österreichische Datenschutzbehörde und CRIF , C 487/21, EU:C:2023:369, Rn. 19, mwN).
30 Die nicht nur in Art. 4 Z 7 erster Halbsatz DSGVO, sondern auch in Bezug auf die Begriffsbestimmungen „Auftraggeber“ (Z 8), „Empfänger“ (Z 9) und „Dritter“ (Z 10) in Art. 4 DSGVO verwendeten Begriffe „Einrichtung“ und „andere Stelle“ sind in der DSGVO nicht näher definiert.
31 Die Begriffe „Einrichtung“ und „Stelle“ werden in der DSGVO grundsätzlich in verschiedenen Zusammenhängen als Überbegriffe jeweils unterschiedlich verwendet. Insofern kann daraus für die Auslegung der beiden Begriffe in Bezug auf Art. 4 Z 7 DSGVO, insbesondere ob sie das Vorliegen von (Teil)Rechtsfähigkeit voraussetzen, nichts gewonnen werden.
32 Gemäß Art. 24 Abs. 1 DSGVO ist der Verantwortliche Adressat der datenschutzrechtlichen Verantwortlichkeit. Er ist demnach grundsätzlich verpflichtet, geeignete technische und organisatorische Maßnahmen für eine der Verordnung konforme Verarbeitung zu setzen und diese Maßnahmen erforderlichenfalls zu überprüfen und zu aktualisieren. Im Einzelnen treffen den Verantwortlichen etwa die Informationspflichten gemäß Art. 13 und 14 DSGVO, die Auskunftspflicht nach Art. 15 DSGVO, die Pflicht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung (Art. 18 DSGVO) der Verarbeitung personenbezogener Daten von betroffenen Personen bei Vorliegen der jeweiligen Voraussetzungen samt damit verbundener Mitteilungspflicht (Art. 19 DSGVO) sowie die Pflicht auf Datenübertragkeit gemäß Art. 20 DSGVO. Dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten dient überdies die Haftung jedes an einer Verarbeitung beteiligten Verantwortlichen gemäß Art. 82 DSGVO für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde (vgl. EuGH 4.5.2023, C 300/21, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten] , ECLI:EU:C:2023:370, Rn. 48).
33 Das Bestehen einer Rechtspersönlichkeit bzw. die (Teil)Rechtsfähigkeit als Voraussetzung für eine „Einrichtung oder andere Stelle“ entspräche vor allem dem Ziel des Art. 4 Z 7 DSGVO, einen wirksamen und umfassenden Schutz der betroffenen Person zu gewährleisten (vgl. EuGH 29.7.2019, C 40/17, Fashion ID , ECLI:EU:C:2019:629, Rn. 80; 8.12.2022, C 180/21, Inspektor v Inspektorata kam Visshia sadeben savet , ECLI:EU:C:2022:967, Rn. 80). Nach Ansicht des Europäischen Datenschutzausschusses hat der Verantwortliche nicht nur zumindest über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten mitzubestimmen, sondern soll auch in der Lage sein, echte Kontrolle auszuüben (vgl. dessen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, vom 7.7.2021, Rn. 23). Ein umfassender Schutz der betroffenen Person ist nur wirksam, wenn es dem Verantwortlichen faktisch möglich ist, die gebotenen Handlungen zu setzen, die verbotenen Tätigkeiten zu unterlassen und die in der DSGVO grundgelegten Pflichten sowie maßgeblichen Grundsätze der Datenverarbeitung einzuhalten. Dies würde beim Verantwortlichen zumindest Teilrechtsfähigkeit voraussetzen.
34 Einer solchen, das Vorhandensein einer Rechtspersönlichkeit voraussetzenden Begriffsdefinition könnte hingegen entgegengehalten werden, dass eine „Einrichtung oder andere Stelle“ sofern diese Rechtspersönlichkeit voraussetzt ohnehin bereits vom Begriff „juristische Person“ in Art. 4 Z 7 erster Halbsatz DSGVO mitumfasst wäre, weshalb der Begriff „Einrichtung oder andere Stelle“ sowohl im Hinblick auf den privaten als auch den öffentlichen Bereich entsprechend einem funktionalen Verständnis so auszulegen sei, dass die DSGVO keine eigene Rechtspersönlichkeit des für die Verarbeitung Verantwortlichen verlangt (vgl. Petri in Simitis/Hornung/Spiecker gen. Döhmann [Hrsg], Datenschutzrecht [2019] Art. 4 Z 7, Rz. 16).
35 Zusammengefasst ergibt sich für den Verwaltungsgerichtshof nicht klar, ob eine „Einrichtung oder andere Stelle“ im Sinne des Art. 4 Z 7 DSGVO Rechtspersönlichkeit voraussetzt und eine bloße Dienststelle (wie vorliegend das Amt), die weder eine natürliche oder juristische Person und im vorliegenden Fall auch keine Behörde ist, sondern als Hilfsapparat für diese auftritt und über keine eigene (Teil)Rechtsfähigkeit verfügt, wirksam gemäß Art. 4 Z 7 zweiter Halbsatz DSGVO nach dem Recht eines Mitgliedstaats als Verantwortlicher vorgesehen werden kann.
36 Art. 4 Z 7 zweiter Halbsatz DSGVO ermöglicht es den Mitgliedstaaten, in ihrem Recht den Verantwortlichen zu bestimmen.
37 Nach Ansicht des Europäischen Datenschutzausschusses ist die explizite Festlegung des Verantwortlichen im Gesetz für die Bestimmung, wer als Verantwortlicher handelt, maßgeblich (vgl. dessen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, vom 7.7.2021, Rn. 23)
38 Im vorliegenden Fall benennt § 2 TDVG, wenn wie vorliegend eine Datenverarbeitung vom Land Tirol betrieben oder beauftragt wird, das Amt entweder als alleinigen Verantwortlichen im Sinne des Art. 4 Z 7 DSGVO oder das Amt mit „dem betreffenden Verantwortlichen“ als gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO.
39 Diese Benennung des Amts als Verantwortlichen erfolgt ohne Bezugnahme auf eine konkrete Verarbeitung personenbezogener Daten des Landes Tirol, insbesondere nicht auf die Verarbeitung personenbezogener Daten zwecks Erstellung und Versendung von jenen Schreiben, wie dem an den Mitbeteiligten gerichteten. Vielmehr bezieht sich die Benennung des Amts als Verantwortlichen in § 2 TDVG pauschal auf Datenverarbeitungen, die das Land Tirol entweder alleine (Abs. 3) oder für einen vom Amt verschiedenen Verantwortlichen (Abs. 1 lit. b) oder für näher genannte Verantwortliche (Abs. 1 lit. c) betreibt oder beauftragt, ohne diese Datenverarbeitungen näher zu konkretisieren. Mangels Bezugnahme auf eine konkrete Datenverarbeitung werden im TDVG auch weder Zweck noch Mittel der einzelnen Verarbeitung personenbezogener Daten, die das Land Tirol alleine oder für einen vom Amt verschiedenen Verantwortlichen oder für näher genannte Verantwortliche betreibt oder beauftragt, vorgegeben.
40 Auch in sonstigen landesgesetzlichen Bestimmungen des Landes Tirol werden der Zweck und die Mittel der Verarbeitung personenbezogener Daten durch das Amt in Bezug auf die Erstellung und Versendung von Schreiben, wie vorliegend an den Mitbeteiligten, zwecks Information von allen zumindest 18 Jahre alten, noch nicht gegen COVID 19 geimpften und in Tirol wohnenden Personen über einen konkreten Impftermin an einem bestimmten Impfort, nicht vorgegeben.
41 Unklar ist, inwieweit die Zwecke und Mittel einer Datenverarbeitung im Sinne des Art. 4 Z 7 zweiter Halbsatz DSGVO im Recht der Mitgliedstaaten vorgegeben werden müssen, damit der Verantwortliche (oder die bestimmten Kriterien seiner Benennung) nach dem Recht der Mitgliedstaaten vorgesehen werden kann, und ob insofern die Benennung des Amts als Verantwortlichen in § 2 TDVG ohne Bezugnahme auf eine konkrete Verarbeitung personenbezogener Daten und ohne Vorgabe von Zweck und Mittel dieser konkreten Datenverarbeitung Art. 4 Z 7 DSGVO entspricht und für die Aufsichtsbehörde bzw. Gerichte in einem Verfahren über eine Beschwerde im Sinne des Art. 77 DSGVO bindend ist.
42 So hat bereits der Verfassungsdienst damals im Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz 2018 in seiner Stellungnahme zum Entwurf des TDVG im Hinblick auf Art. 4 Z 7 DSGVO auf Folgendes hingewiesen: „Die gesetzliche Festlegung einer datenschutzrechtlichen Rolle sollte jedoch stets nur im Zusammenhang mit einer konkret geregelten Datenverarbeitung erfolgen und nicht wie im vorliegenden Entwurf (siehe insbesondere die §§ 2 und 3) horizontal über die gesamte Rechtsordnung hinweg. Der hier gewählte Regelungsansatz legt für eine konkrete Datenverarbeitung nicht ausreichend klar fest, in welcher datenschutzrechtlichen Rolle die jeweiligen Stellen tätig werden. Damit ist im Einzelfall nicht erkennbar, welche Stellen für die an die jeweilige Rolle gebundenen Rechte und Pflichten aus der DSGVO zuständig sind. § 2 Abs. 1 des Entwurfs scheint zudem festzulegen, dass dem Amt der Tiroler Landesregierung bei jeglicher Datenverarbeitung stets die Rolle des Verantwortlichen zukommt [...]. Der vorgesehene horizontale Regelungsansatz hinsichtlich der Rollenverteilungen im vorliegenden Entwurf sollte daher überdacht werden.“
43 Die Bezugnahme auf eine konkrete Datenverarbeitung bei der gesetzlichen Benennung des Verantwortlichen gemäß Art. 4 Z 7 zweiter Halbsatz DSGVO ist vor allem in Bezug auf die Erlaubnistatbestände des Art. 6 Abs. 1 lit. c und e DSGVO wesentlich. Demnach ist die Verarbeitung rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (lit. c) oder die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (lit. e).
44 Ebenso ist aus den hier wesentlichen Erlaubnistatbeständen des Art. 6 Abs. 1 lit. c und e DSGVO und dem Ziel des Art. 4 Z 7 DSGVO, einen wirksamen und umfassenden Schutz der betroffenen Person zu gewährleisten, zu schließen, dass nach dem Recht der Mitgliedstaaten nur jemand als Verantwortlicher benannt werden kann, der gesetzlich berechtigt und faktisch in der Lage ist, die Zwecke und Mittel der konkreten personenbezogenen Datenverarbeitung (mit) zu bestimmen, echte Kontrolle auszuüben und die gebotenen Handlungen zu setzen, die verbotenen Tätigkeiten zu unterlassen und die in der DSGVO grundgelegten Pflichten sowie maßgeblichen Grundsätze der Datenverarbeitung einzuhalten.
45 Wie oben in Rn. 17 bis 20 dargelegt, hat das Amt sei es auch nur hinsichtlich einzelner Phasen der dem Schreiben an den Mitbeteiligten zugrundeliegenden Verarbeitung personenbezogener Daten über die Zwecke und Mittel der Datenverarbeitung weder entschieden noch zumindest zu dieser Entscheidung im eigenen Interesse beigetragen.
46 Auch in diesem Zusammenhang bestehen für den Verwaltungsgerichtshof Zweifel, ob eine bloße Dienststelle, wie vorliegend das Amt, nach dem Recht eines Mitgliedstaats als Verantwortlicher gemäß Art. 4 Z 7 zweiter Halbsatz DSGVO vorgesehen werden kann, wenn die Dienststelle weder über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entschieden noch zumindest zu dieser Entscheidung im eigenen Interesse beigetragen hat.
Ergebnis
47 Da die Anwendung des Unionsrechts und dessen Auslegung nicht als derart offenkundig erscheint, dass für einen vernünftigen Zweifel kein Raum bleibt (vgl. EuGH 6.10.1982, Srl C.I.L.F.I.T. u.a. , C 283/81, EU:C:1982:335; 6.10.2021, Consorzio Italian Management , C 561/19, EU:C:2021:799, Rn. 39ff) wird die eingangs formulierte Vorlagefrage gemäß Art. 267 AEUV mit dem Ersuchen um Vorabentscheidung vorgelegt.
Wien, am 23. August 2023