Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Pollak, die Hofräte Dr. Lukasser und Dr. Mayr, die Hofrätin Mag. Hainz Sator sowie den Hofrat Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision des Dr. M D, vertreten durch die Höhne, In der Maur Partner Rechtsanwälte GmbH Co KG in Wien, gegen das Erkenntnis des Bundesverwaltungsgerichtes vom 12. Juni 2023, Zl. W252 2246883 1/4E, betreffend eine datenschutzrechtliche Angelegenheit (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; weitere Partei: Bundesministerin für Justiz), zu Recht erkannt:
Die Revision wird als unbegründet abgewiesen.
Der Revisionswerber hat dem Bund Aufwendungen in der Höhe von € 553,20 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
I.
1 1. Am 22. Juni 2021 erhob der Revisionswerber bei der belangten Behörde (Datenschutzbehörde, DSB) eine Datenschutzbeschwerde gemäß Art. 77 DSGVO, in der eine Verletzung im Recht auf Geheimhaltung geltend gemacht wurde, weil ein Mitarbeiter einer Bank im Jahr 2019 die berufliche E Mail Adresse des Revisionswerbers für eine private Angelegenheit verwendet habe und dies näher genannten Bestimmungen der DSGVO widerspreche.
2 Mit Bescheid vom 26. August 2021 wies die belangte Behörde diese Datenschutzbeschwerde gemäß § 24 Abs. 1, 2 und 4 DSG zurück.
3 Begründend hielt sie fest, der Revisionswerber habe selbst vorgebracht, dass er spätestens mit April 2019 Kenntnis von der behaupteten Datenschutzverletzung gehabt habe. Dass die behauptete Rechtsverletzung länger angedauert habe, sei nicht vorgebracht worden. Der Revisionswerber habe somit zum Zeitpunkt der Beschwerdeeinbringung seit über einem Jahr Kenntnis von der Datenschutzverletzung gehabt. Die relative Präklusionsfrist des § 24 Abs. 4 DSG von einem Jahr ab Kenntnis des beschwerenden Ereignisses sei daher verstrichen und der Anspruch des Revisionswerbers erloschen.
4 2. Mit dem angefochtenen Erkenntnis wies das Bundesverwaltungsgericht (BVwG) die gegen diesen Bescheid erhobene Beschwerde des Revisionswerbers ab. Unter einem sprach es aus, dass die Revision gemäß Art. 133 Abs. 4 B VG zulässig sei.
5 2.1. In seiner Begründung hielt das BVwG zunächst fest, Sache des Beschwerdeverfahrens sei die Frage der Rechtmäßigkeit der Zurückweisung der Datenschutzbeschwerde. Das Recht auf Beschwerde bei einer Aufsichtsbehörde ergebe sich aus Art. 77 Datenschutz Grundverordnung (DSGVO). Allerdings enthalte die DSGVO keine Vorgaben bezüglich der Fristen zur Geltendmachung von Ansprüchen, die Ausübung der Befugnisse der Aufsichtsbehörde richte sich nach Art. 58 Abs. 4 DSGVO daher nach dem nationalen Verfahrensrecht.
6 Dem Revisionswerber sei zum Zeitpunkt der Einbringung der Datenschutzbeschwerde die behauptete Datenschutzverletzung bereits seit mehr als zwei Jahren bekannt gewesen. Die subjektive einjährige Frist des § 24 Abs. 4 DSG sei daher abgelaufen und die Erhebung der Datenschutzbeschwerde nicht mehr zulässig gewesen. Es sei nicht ersichtlich, dass die Frist des § 24 DSG das Beschwerderecht nach der DSGVO unverhältnismäßig beschränke. Es komme auch zu keiner Ungleichbehandlung von dem Unionsrecht unterliegenden Beschwerden. Die belangte Behörde habe die Datenschutzbeschwerde daher zu Recht zurückgewiesen.
7 2.2. Die Zulässigkeit der Revision begründete das BVwG damit, dass bislang keine Rechtsprechung des Verwaltungsgerichtshofes zur Frage vorliege, ob die Frist nach § 24 Abs. 4 DSG auch auf Fälle anzuwenden sei, in denen die betroffene Person ihre Beschwerde explizit auf Art. 77 DSGVO stütze.
8 3. Gegen dieses Erkenntnis richtet sich die vorliegende ordentliche Revision.
9 Die belangte Behörde erstattete eine Revisionsbeantwortung, in der sie beantragt, die Revision gegen Aufwandersatz als unbegründet abzuweisen.
II.
Der Verwaltungsgerichtshof hat erwogen:
10 1. Die Revision ist im Hinblick auf die vom BVwG aufgeworfene Rechtsfrage, die im Zulässigkeitsvorbringen der Revision aufgegriffen wird, zulässig. Sie erweist sich jedoch aus nachstehenden Gründen als nicht berechtigt.
11 2.1. Art. 58 und Art. 77 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung [DSGVO]), lauten auszugsweise:
„ Artikel 58
Befugnisse
[...]
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
[...]
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
[...]“
12 2.2. § 24 Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 120/2017, lautet auszugsweise:
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
(2) Die Beschwerde hat zu enthalten:
1. die Bezeichnung des als verletzt erachteten Rechts,
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
5. das Begehren, die behauptete Rechtsverletzung festzustellen und
6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.
(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.
[...]“
13 3. Der Revisionswerber bringt zusammengefasst vor, die Bestimmung des § 24 Abs. 4 DSG stehe in Widerspruch zu Art. 77 DSGVO. Eine Verordnung der EU sei unmittelbar anwendbar; die „Durchführung“ einer Verordnung durch innerstaatliches Recht sei nur zulässig, wenn die Verordnung dies vorsehe. Dies sei hinsichtlich einer zeitlichen Einschränkung der Betroffenenrechte nicht der Fall. Wegen des Anwendungsvorrangs des Unionsrechts sei daher die auf § 24 Abs. 4 DSG gestützte Zurückweisung durch die belangte Behörde zu Unrecht erfolgt.
14 Die belangte Behörde hält dieser Auffassung in ihrer Revisionsbeantwortung im Wesentlichen entgegen, es bestehe für den österreichischen Gesetzgeber wegen der Verfahrensautonomie der Mitgliedstaaten die Möglichkeit, die verfahrensrechtlichen Modalitäten für die Geltendmachung von aus der DSGVO erwachsenden Rechten festzulegen und dafür Fristen vorzusehen. § 24 Abs. 4 DSG stehe auch in Einklang mit der in diesem Zusammenhang ergangenen Rechtsprechung des Gerichtshofes der Europäischen Union (EuGH).
15 4.1. Das DSG 2000 hat in § 34 Abs. 1 bis zur Novellierung durch das Datenschutz Anpassungsgesetz 2018 vorgesehen, dass der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behauptetermaßen stattgefunden hat, einbringt.
16 Die Erläuterungen zur Stammfassung des DSG 2000 (BGBl. I Nr. 165/1999) verweisen in diesem Zusammenhang darauf, dass die Statuierung von Verjährungsfristen für die Geltendmachung der Interessen der Betroffenen nach dem DSG sachlich geboten sei. Die Ermittlung von Sachverhalten, die lange zurücklägen, stoße erfahrungsgemäß auf erhebliche Schwierigkeiten und verhindere eine verlässliche Beurteilung des Vorliegens von Datenschutzverletzungen. Auch im eigenen Interesse sollten die Betroffenen daher dazu angehalten werden, behauptete Datenschutzverletzungen möglichst frühzeitig bei der Datenschutzkommission oder bei Gericht anhängig zu machen (vgl. RV 1613 BlgNR 20. GP 50).
17 Der nunmehr geltende § 24 Abs. 1 DSG normiert, dass jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück des DSG verstößt. Nach Abs. 4 leg. cit. erlischt der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.
18 Nach den Erläuterungen zum Datenschutz Anpassungsgesetz 2018 erfordern die in Kapitel VIII der DSGVO (Rechtsbehelfe, Haftung und Sanktionen) enthaltenen Regelungen zum besseren Verständnis zumindest zum Teil eine Durchführung ins nationale Recht. Dies betreffe in erster Linie die Art. 77 bis 79 DSGVO, die die Beschwerde und die Rechtsbehelfe regeln. In § 24 sollten im Rahmen der Durchführung des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie die Grundsätze des Verfahrens vor der Aufsichtsbehörde geregelt werden (vgl. AB 1761 BlgNR 25. GP 15, bzw. [zur ursprünglich in § 13 DSG vorgesehenen Regelung] RV 1664 BlgNR 25. GP 9).
19 4.2. Gemäß Art. 77 Abs. 1 DSGVO hat jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
20 Eine wie in § 24 Abs. 4 DSG vorgesehene zeitliche Beschränkung des Beschwerderechts ist in Art. 77 DSGVO nicht vorgesehen (vgl. für viele etwa Jahnel , Kommentar zur DSGVO [2021], Art. 77 DSGVO Rz. 25 oder Feiler/Forgó , EU DSGVO und DSG 2 [2022], § 24 DSG Rz. 6).
21 Aus diesem Umstand werden im österreichischen Schrifttum unterschiedliche Schlussfolgerungen gezogen. So geht Jahnel davon aus, dass aufgrund der Vorrangwirkung von Art. 77 Abs. 1 DSGVO eine Beschwerde nach Art. 77 DSGVO auch nach Ablauf der in § 24 Abs. 4 DSG genannten Fristen eingebracht werden könne und diese Fristen nur dann beachtlich seien, wenn eine Datenschutzbeschwerde (ausschließlich) auf § 1 DSG gestützt werde (vgl. Jahnel , Kommentar zur DSGVO [2021], Art. 77 DSGVO Rz. 25). Feiler/Forgó verweisen hingegen darauf, dass die Verjährungsregel des § 24 Abs. 4 DSG eine Bestimmung des Verfahrensrechts sei, welches in der DSGVO grundsätzlich nicht harmonisiert werde und daher der mitgliedstaatlichen Regelung unterliege. Da Art. 77 DSGVO keine Fristen zur Geltendmachung des Beschwerderechts normiere, sei § 24 Abs. 4 DSG mit der DSGVO vereinbar (vgl. Feiler/Forgó , EU DSGVO und DSG 2 [2022], § 24 DSG Rz. 6). Laut Schweiger sei die Frist des § 24 Abs. 4 DSG als unionsrechtswidrig anzusehen, wenn sie dazu führe, dass die Durchsetzung von Unionsrecht erschwert oder unmöglich gemacht werde. Eine auf Ebene der Mitgliedstaaten im Verfahrensrecht vorgesehene Fristgebundenheit sei aber an sich möglich, sofern dadurch die Durchsetzung des Unionsrechts nicht beeinträchtigt sei (vgl. Schweiger in Knyrim [Hrsg.] DatKomm [2022], Art. 77 insb. Rz. 14 und 15/3; beispielhaft wird darauf verwiesen, dass die Frist des § 24 Abs. 4 DSG von einem Jahr nicht dazu führe, dass kein ausreichender Rechtsschutz bestehe, wenn die betroffene Person in einem Dialog mit dem Verantwortlichen sei und dieser ein Betroffenenrecht nicht oder nicht ausreichend erfülle).
22 5. Der EuGH hat in seiner Rechtsprechung auch ausdrücklich im Zusammenhang mit der DSGVO ausgesprochen, dass es mangels einer einschlägigen Unionsregelung nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten Sache der einzelnen Mitgliedstaaten ist, die Modalitäten für das Verwaltungsverfahren (und das Gerichtsverfahren) zu regeln, die ein hohes Schutzniveau der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen. Diese Modalitäten dürfen nicht weniger günstig ausgestaltet sein als die für entsprechende innerstaatliche Rechtsbehelfe (Grundsatz der Äquivalenz) und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Grundsatz der Effektivität) (vgl. etwa EuGH 12.1.2023, C 132/21, Nemzeti Adatvédelmi és Információszabadság Hatóság , Rn. 45, 48).
23 Aus dieser Rechtsprechung ist abzuleiten, dass sich die nationale aus § 24 Abs. 4 DSG ergebende Fristgebundenheit des Beschwerderechts nach Art. 77 DSGVO mangels einer (diesbezüglich) einschlägigen Unionsregelung und nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten als zulässig erweist, solange den Grundsätzen der Äquivalenz und Effektivität entsprochen wird.
24 Der EuGH hat in seinem Urteil vom 16. Jänner 2024, C 33/22, Österreichische Datenschutzbehörde , zwar auch darauf hingewiesen, dass für Art. 77 Abs. 1 DSGVO keine nationalen Durchführungsmaßnahmen erforderlich sind und diese Bestimmung hinreichend klar, genau und unbedingt ist, um unmittelbar anwendbar zu sein (Rn. 62; darauf Bezug nehmend auch VwGH 6.3.2024, Ro 2021/04/0030 bis 0031, Rn. 48). Diese Aussage hat der EuGH jedoch im Zusammenhang mit der dort gegenständlichen Vorlagefrage getroffen, ob sich die Zuständigkeit für Beschwerden im Sinn des Art. 77 Abs. 1 in Verbindung mit Art. 55 Abs. 1 DSGVO bereits unmittelbar aus der DSGVO ergebe, wenn ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde nach Art. 51 Abs. 1 DSGVO errichtet habe. Dass der EuGH im Zusammenhang mit dem Beschwerderecht nach Art. 77 DSGVO generell verfahrensrechtliche Regelungen der Mitgliedstaaten als unzulässig erachtet, kann daraus nicht abgeleitet werden.
25 Auch im überwiegenden Schrifttum wird (unabhängig von der Frage, ob die in § 24 Abs. 4 DSG konkret vorgesehene Frist als unionsrechtskonform eingestuft wird) davon ausgegangen, dass nähere verfahrensrechtliche Vorschriften zur Beschwerdemöglichkeit nach Art. 77 DSGVO nicht dem Grunde nach unzulässig sind (vgl. etwa Jahnel , Kommentar zur DSGVO [2021], Art. 77 DSGVO Rz. 2: „Dementsprechend soll § 24 DSG das Recht auf Beschwerde und die Grundsätze des Verfahrens vor der DSB näher regeln, was angesichts der sehr knappen Formulierung von Art 77 Abs 1 prinzipiell zulässig sein dürfte“; Boehm in Simitis/Hornung/Spiecker gen. Döhmann, [Hrsg.], DS GVO 2 [2025], Art. 77 Rz. 24: „Während der materielle Gehalt des Beschwerderechts in der DS GVO verbindlich geregelt ist, sind die Regelungen über das Verfahren einer mitgliedstaatlichen Regelung zugänglich“; Schweiger in Knyrim [Hrsg.] DatKomm [2022], Art. 77 Rz. 15/3: „Fristgebundenheit ist an sich eine zulässige Einschränkung“; Bergt in Kühling/Buchner [Hrsg.], Datenschutz Grundverordnung, BDSG 3 [2020], Art. 77 Rz 26: „Die Regelung des Beschwerdeverfahrens ist Sache des nationalen Gesetzgebers“; Feiler/Forgó , EU DSGVO und DSG 2 [2022], § 24 DSG Rz. 6: „Die Verjährungsregel des § 24 Abs. 4 DSG ist eine Bestimmung des Verfahrensrechts, welches in der DSGVO grundsätzlich nicht harmonisiert wird und damit der mitgliedstaatlichen Regelung unterliegt“).
26 Aus dem Umstand allein, dass Art. 77 DSGVO keine Frist zur Erhebung einer Datenschutzbeschwerde vorsieht, kann weder allgemein die Zulässigkeit noch die Unzulässigkeit der in § 24 Abs. 4 DSG normierten Fristen abgeleitet werden. Vielmehr erweist sich die Fristenregelung nach dem Gesagten angesichts des Grundsatzes der Verfahrensautonomie der Mitgliedstaaten dann als unionsrechtlich zulässig, wenn die Fristen nicht weniger günstig ausgestaltet sind als die Modalitäten für entsprechende innerstaatliche Rechtsbehelfe und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich gemacht oder übermäßig erschwert wird.
27 Vorauszuschicken ist zudem noch, dass vorliegend nur die subjektive Frist (binnen eines Jahres ab Kenntnis) in Rede steht (auf die objektive Frist [binnen drei Jahren ab dem Ereignis] wird in weiterer Folge daher nicht eingegangen).
28 6. In einem ersten Schritt ist nach dem Grundsatz der Äquivalenz zu prüfen, ob die Verfahrensmodalitäten für Datenschutzbeschwerden zum Schutz der aus der DSGVO erwachsenden Rechte nicht weniger günstig ausgestaltet sind als die Verfahrensmodalitäten für entsprechende innerstaatliche Rechtsbehelfe.
29 Nach § 24 Abs. 1 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück des DSG verstößt. In einer Datenschutzbeschwerde kann daher sowohl ein Verstoß (ausschließlich) gegen die DSGVO oder (ausschließlich) gegen § 1 DSG sowie ein Verstoß gegen die DSGVO und (parallel dazu) § 1 DSG geltend gemacht werden (vgl. in diesem Sinn bereits VwGH 6.3.2024, Ro 2021/04/0030 bis 0031, Rn. 51, 53).
30 Die in § 24 Abs. 4 DSG normierten Fristen differenzieren nicht, ob in einer Datenschutzbeschwerde ein Verstoß gegen die DSGVO und/oder das DSG geltend gemacht wird. Da eine betroffene Person somit unabhängig davon, ob eine Verletzung der DSGVO und/oder des DSG behauptet wird, an die Fristen des § 24 Abs. 4 DSG gebunden ist, besteht insoweit nach dem innerstaatlichen Recht keine Schlechterstellung für Datenschutzbeschwerden zum Schutz der aus dem Unionsrecht (der DSGVO) erwachsenden Rechte. Der Grundsatz der Äquivalenz steht daher der Regelung des § 24 Abs. 4 DSG nicht entgegen.
31 7. Nach dem Grundsatz der Effektivität dürfen die Verfahrensmodalitäten die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (vgl. erneut EuGH 12.1.2023, C 132/21, Nemzeti Adatvédelmi és Információszabadság Hatóság , Rn. 48). Der Effektivitätsgrundsatz stellt eine ganz wesentliche Ausformung der Grundsätze der Einheitlichkeit und größten Wirksamkeit des Unionsrechts dar, gewährleistet er doch in entscheidender Weise, dass die Wirkungen des Unionsrechts durch den indirekten Vollzug der Mitgliedstaaten nicht unterlaufen werden (vgl. etwa VwGH 14.9.2021, Ra 2020/07/0056 bis 0057, Rn. 48, mwN).
32 Weiters hat der EuGH dort im Zusammenhang mit der Ausgestaltung von Klageverfahren zum Schutz der aus Art. 82 DSGVO (Recht auf Schadenersatz) erwachsenden Rechte zum Ausdruck gebracht, dass es Sache des vorlegenden Gerichts ist, festzustellen, ob die (dort vorgesehenen) Modalitäten die Ausübung der durch das Unionsrecht und insbesondere durch die DSGVO verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (vgl. EuGH 20.6.2024, C 182/22 ua., Scalable Capital , Rn. 34).
33 7.1. Die hier gegenständliche Regelung des § 24 Abs. 4 DSG stellt keine Beschränkung inhaltlicher Natur dar, sondern befristet die Dauer der Möglichkeit der Erhebung einer Datenschutzbeschwerde auf (soweit vorliegend relevant:) ein Jahr ab Kenntniserlangung vom beschwerenden Ereignis.
34 Zum Effektivitätsgrundsatz ist darauf hinzuweisen, dass nach ständiger Rechtsprechung des EuGH jeder Fall, in dem sich die Frage stellt, ob eine nationale Verfahrensvorschrift die Anwendung des Unionsrechts unmöglich macht oder übermäßig erschwert, unter Berücksichtigung der Stellung dieser Vorschrift im gesamten Verfahren, des Verfahrensablaufs und der Besonderheiten des Verfahrens vor den verschiedenen innerstaatlichen Stellen zu prüfen ist. Zu berücksichtigen sind dabei gegebenenfalls ua. der Schutz der Verteidigungsrechte, der Grundsatz der Rechtssicherheit und der ordnungsgemäße Ablauf des Verfahrens.
Was insbesondere Ausschlussfristen anbelangt, hat der EuGH entschieden, dass es Sache der Mitgliedstaaten ist, für nationale Regelungen, die in den Anwendungsbereich des Unionsrechts fallen, Fristen festzulegen, die insbesondere der Bedeutung der zu treffenden Entscheidungen für die Betroffenen, der Komplexität der Verfahren und der anzuwendenden Rechtsvorschriften, der Zahl der potenziell Betroffenen und den übrigen zu berücksichtigenden öffentlichen oder privaten Belangen entsprechen (vgl. zu allem etwa EuGH 22.2.2018, C 572/16, INEOS Köln , Rn. 44 f, mwN).
35 Der EuGH hat in seiner Rechtsprechung auch bereits wiederholt zum Ausdruck gebracht, dass die Festsetzung angemessener Ausschlussfristen für die Rechtsverfolgung im Interesse der Rechtssicherheit, die zugleich den Betroffenen und die Behörde schützt, mit dem Unionsrecht vereinbar ist. Solche Fristen sind nämlich nicht geeignet, die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte praktisch unmöglich zu machen oder übermäßig zu erschweren (vgl. etwa EuGH 15.4.2010, C 542/08, Barth , Rn. 28, mwN).
36 Die Festlegung angemessener Verjährungs oder Ausschlussfristen steht somit nach ständiger Rechtsprechung des EuGH grundsätzlich mit dem Erfordernis der Effektivität im Einklang, weil sie ein Anwendungsfall des grundlegenden Prinzips der Rechtssicherheit ist, das zugleich den Betroffenen und die Behörde schützt, selbst wenn der Ablauf solcher Fristen die Betroffenen naturgemäß ganz oder teilweise an der Geltendmachung ihrer Rechte hindern kann (vgl. etwa EuGH 14.12.2023, C 655/22, Hauptzollamt HZA , Rn. 44, mwN).
37 7.2. Der Gesetzgeber hat mit der Einführung der zunächst in § 34 Abs. 1 DSG 2000 vorgesehenen Verjährungsfrist eine im Interesse der Rechtssicherheit liegende Zielsetzung verfolgt, zumal die Erläuterungen ausdrücklich darauf verweisen, dass die Ermittlung von Sachverhalten, die lange zurückliegen, erfahrungsgemäß auf erhebliche Schwierigkeiten stoße und eine verlässliche Beurteilung des Vorliegens von Datenschutzverletzungen verhindere (vgl. erneut RV 1613 BlgNR 20. GP 50). Diese Zielsetzung liegt unzweifelhaft auch der Verjährungsregel des (nunmehrigen) § 24 Abs. 4 DSG zugrunde, zumal diese Bestimmung hinsichtlich der zeitlichen Vorgaben für das Erlöschen des Anspruches auf Behandlung einer Beschwerde weitgehend § 34 Abs. 1 DSG 2000 entspricht (vgl. auch Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl , DSG [2018], § 24 Rz. 2).
38 7.3. Bei einer konkreten nationalen Verjährungsregel sind die Elemente dieser Regelung in ihrer Gesamtheit zu würdigen, zu denen ua. der Zeitpunkt, zu dem die Verjährungsfrist zu laufen beginnt, deren Dauer sowie die Modalitäten ihrer Hemmung oder Unterbrechung zählen (vgl. EuGH 21.1.2021, C 308/19, Whiteland Import Export , Rn. 50, mwN).
39 Diesbezüglich ist zunächst festzuhalten, dass es sich bei der (hier relevanten) einjährigen Frist des § 24 Abs. 4 DSG nicht um eine objektive Frist handelt, sondern der Beginn dieser Frist an die Kenntnis vom beschwerenden Ereignis knüpft. Auch bei einer späteren Kenntnis vom beschwerenden Ereignis steht einer betroffenen Person daher die Möglichkeit der Erhebung einer Datenschutzbeschwerde offen, solange diese binnen eines Jahres nach Kenntnis eingebracht wird (und was für den vorliegenden Fall aber nicht von Relevanz ist das Ereignis nicht bereits vor mehr als drei Jahren stattgefunden hat).
40 Zudem ist zu beachten, dass nach § 13 Abs. 3 AVG Mängel schriftlicher Anbringen die Behörde nicht zur Zurückweisung ermächtigen. Die Behörde hat vielmehr von Amts wegen unverzüglich deren Behebung zu veranlassen und kann dem Einschreiter die Behebung des Mangels innerhalb einer angemessenen Frist mit der Wirkung auftragen, dass das Anbringen nach fruchtlosem Ablauf dieser Frist zurückgewiesen wird. Wird der Mangel rechtzeitig behoben, so gilt das Anbringen aber als ursprünglich richtig eingebracht.
41 Hinzu kommt, dass es sich bei der auf die Kenntnis vom beschwerenden Ereignis abstellenden Einjahresfrist des § 24 Abs. 4 DSG um eine verfahrensrechtliche Frist handelt (vgl. dazu dort im Zusammenhang mit der vergleichbaren Regelung des § 12a Abs. 3 TLVwGG VwGH 24.9.2025, Ra 2024/04/0322, insb. Rn. 30 f). Da im Beschwerdeverfahren vor der Datenschutzbehörde das AVG anzuwenden ist (vgl. etwa Thiele/Wagner [Hrsg.], Praxiskommentar zum Datenschutzgesetz 2 [2022], § 24 Rz. 7), besteht für eine betroffene Person daher im Fall der Versäumung dieser Frist (unter den gesetzlich normierten Voraussetzungen) die Möglichkeit der Wiedereinsetzung in den vorigen Stand (§ 71 AVG).
42 7.4. Für die Beurteilung der Angemessenheit der hier fraglichen Frist ist weiter in den Blick zu nehmen, welche Anforderungen an die Erhebung einer Datenschutzbeschwerde gestellt werden. Art. 77 DSGVO legt nicht konkret fest, welche Angaben eine Datenschutzbeschwerde zu enthalten hat. Vielmehr lässt sich dieser Bestimmung lediglich entnehmen, dass die betroffene Person der Ansicht sein muss, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (vgl. in diesem Zusammenhang auch Schweiger in Knyrim [Hrsg.], DatKomm [2022], Art. 77 Rz. 11/1; Bergt in Kühling/Buchner [Hrsg.], Datenschutz Grundverordnung, BDSG 3 [2020], Art. 77 Rz. 10).
43 Aus nachstehenden Überlegungen stehen die detaillierteren Vorgaben des § 24 Abs. 2 und Abs. 3 DSG an den notwendigen Inhalt einer Beschwerde damit aber nicht in Widerspruch:
44 So ist zunächst darauf hinzuweisen, dass der Verwaltungsgerichtshof bereits ausgesprochen hat, dass den Voraussetzungen des § 24 Abs. 2 DSG jeglicher Formalismus fremd ist (vgl. VwGH 3.9.2024, Ra 2023/04/0092, Rn. 26).
45 Dies gilt etwa für § 24 Abs. 2 Z 1 DSG (dem zufolge eine Datenschutzbeschwerde die Bezeichnung des als verletzt erachteten Rechts zu enthalten hat), weil das Gesetz eine nähere Spezifizierung dieser Angaben nicht verlangt und es durch diese Bestimmung der Datenschutzbehörde „nur“ ermöglicht werden soll, Beschwerden, die nicht einmal die genannten Minimalanforderungen aufweisen, nicht inhaltlich behandeln zu müssen (vgl. etwa VwGH 26.7.2021, Ra 2018/04/0183, Rn. 18, mwN).
46 Zur Vorgabe des § 24 Abs. 2 Z 2 DSG (Bezeichnung des Beschwerdegegners) bestimmt bereits das Gesetz, dass diese nur zu erfolgen hat, soweit dies zumutbar ist. Für den Fall einer Unzumutbarkeit hat die Aufsichtsbehörde eine berichtigende Auslegung der Bezeichnung des Beschwerdegegners vorzunehmen oder den datenschutzrechtlich Verantwortlichen nach entsprechenden Ermittlungen selbst ausfindig zu machen (vgl. VwGH 5.6.2025, Ra 2024/04/0008, Rn. 28, mwN). Des Weiteren hat der Verwaltungsgerichtshof festgehalten, dass dann, wenn das BVwG den Bescheid der DSB aus dem Grund behoben hat, dass die DSB das Verfahren gegen einen Beschwerdegegner geführt hat, der nicht Verantwortlicher der zugrundeliegenden Datenverarbeitung war, diese Behebung nur im Hinblick auf die Verfahrensführung gegen den „falschen“ Verantwortlichen als „ersatzlos“ zu qualifizieren und die Datenschutzbeschwerde im Übrigen noch als unerledigt anzusehen ist (vgl. etwa VwGH 5.6.2025, Ra 2024/04/0008, Rn. 24, mwN).
47 Auch hinsichtlich der Voraussetzung des § 24 Abs. 2 Z 4 DSG, der zufolge die Beschwerde die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt, zu enthalten hat, ist kein übertriebener Formalismus anzuwenden. Es genügt, wenn die Beschwerde erkennen lässt, was die Partei anstrebt und womit sie ihren Standpunkt vertreten zu können glaubt (vgl. dort zur insoweit vergleichbaren Bestimmung des § 9 Abs. 1 Z 3 VwGVG VwGH 20.6.2024, Ra 2022/04/0152, Rn. 10 f, mwN).
48 Angesichts dessen ist für den Verwaltungsgerichtshof nicht ersichtlich, dass es die in § 24 Abs. 2 Z 1, 2 und 4 DSG genannten Voraussetzungen einer betroffenen Person praktisch unmöglich machen oder übermäßig erschweren, binnen eines Jahres ab Kenntnis vom beschwerenden Ereignis eine Datenschutzbeschwerde bei der Datenschutzbehörde einzubringen.
49 Nichts Anderes gilt für die weiteren in den Z 3, 5 und 6 leg. cit. genannten Voraussetzungen, die keine komplexen (rechtlichen) Fragen aufwerfen, sondern lediglich eine Darstellung des Sachverhalts, das Begehren, die behauptete Rechtsverletzung festzustellen, und die erforderlichen Angaben zur Beurteilung der Rechtzeitigkeit der Beschwerde verlangen.
50 Da auch die in § 24 Abs. 3 DSG genannten Unterlagen (der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners) nur „gegebenenfalls“ anzuschließen sind, ist auch aus diesem Umstand nicht abzuleiten, dass sich die hier gegenständliche Frist als unangemessen erweist (in diesem Sinn auch Jahnel , Kommentar zur DSGVO [2021], Art. 77 DSGVO Rz. 23, dem zufolge § 24 Abs. 3 DSG durch die Verwendung des Wortes „gegebenenfalls“ einen Spielraum für eine unionsrechtskonforme Anwendung durch die DSB eröffnet).
51 7.5. Schließlich ist für die Angemessenheit der hier relevanten Fristenregelung des § 24 Abs. 4 DSG zu berücksichtigen, dass nach Art. 57 Abs. 2 DSGVO jede Aufsichtsbehörde Maßnahmen zur Erleichterung der Einreichung von Beschwerden zu treffen hat, wozu die Bereitstellung eines elektronisch ausfüllbaren Beschwerdeformulars, zählt. Dementsprechend werden auf der Website der DSB auch entsprechende Formulare zur Verfügung gestellt.
52 7.6. Im Ergebnis ist daher für den Verwaltungsgerichtshof nicht zu sehen, dass es die Voraussetzung des § 24 Abs. 4 DSG, der zufolge der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, einbringt, es einer betroffenen Person praktisch unmöglich macht oder übermäßig erschwert, bei der Datenschutzbehörde eine § 24 DSG entsprechende Datenschutzbeschwerde einzubringen.
53 Ausgehend davon hat die belangte Behörde und in der Folge das BVwG zu Recht geprüft, ob die Datenschutzbeschwerde vom Revisionswerber im Sinn des § 24 Abs. 4 DSG binnen eines Jahres, nachdem er Kenntnis vom beschwerenden Ereignis erlangt hat, eingebracht wurde. Dass dies entgegen der näher dargestellten Auffassung der belangten Behörde bzw. des BVwG der Fall gewesen wäre, wird in der Revision nicht behauptet.
54 8. Im Hinblick auf die dargelegte in wesentlichen Teilen auf Rechtsprechung des EuGH gestützte Rechtsauffassung sieht sich der Verwaltungsgerichtshof auch nicht veranlasst, der Anregung des Revisionswerbers zur Einleitung eines Vorabentscheidungsersuchens zur Vereinbarkeit des § 24 Abs. 4 DSG mit der DSGVO nachzukommen.
55 Soweit der Revisionswerber anregt, der Verwaltungsgerichtshof möge beim Verfassungsgerichtshof beantragen, die Bestimmung des § 24 Abs. 4 DSG wegen Verfassungswidrigkeit aufzuheben, ist festzuhalten, dass in der Revision keine verfassungsrechtlichen Bedenken, sondern im Wesentlichen der Anwendungsvorrang des Unionsrechts geltend gemacht wird. Die Vereinbarkeit von Gesetzen und Verordnungen mit dem Recht der Europäischen Union ist jedoch als solche nicht Gegenstand der verfassungsgerichtlichen Prüfung vor dem Verfassungsgerichtshof. Lediglich die von der Charta der Grundrechte der Europäischen Union garantierten Rechte, die in ihrer Formulierung und Bestimmtheit verfassungsgesetzlich gewährleisteten Rechten der österreichischen Bundesverfassung gleichen, können im Anwendungsbereich der Charta einen Prüfungsmaßstab in Verfahren der generellen Normenkontrolle, insbesondere nach Art. 139 und Art. 140 B VG, bilden (vgl. dazu etwa VfGH 6.6.2025, G 17 18/2025, Rn. 45). Derartiges wird vom Revisionswerber jedoch nicht vorgebracht und ist auch für den Verwaltungsgerichtshof nicht ersichtlich.
56 9. Die Revision war somit gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.
57 Die Entscheidung über den Aufwandersatz beruht auf den §§ 47 ff VwGG in Verbindung mit der VwGH Aufwandersatzverordnung 2014.
Wien, am 17. Dezember 2025
Rückverweise