Betreff
Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Pollak, den Hofrat Dr. Mayr, die Hofrätin Mag. Hainz Sator sowie die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision der Datenschutzbehörde gegen das Erkenntnis des Bundesverwaltungsgerichtes vom 7. Juni 2023, Zl. W214 2261322 1/4E, betreffend eine datenschutzrechtliche Angelegenheit (weitere Partei: Bundesministerin für Justiz; mitbeteiligte Parteien: 1. Amt der Tiroler Landesregierung in Innsbruck, vertreten durch die Baker McKenzie Rechtsanwälte LLP Co KG in 1010 Wien, Schottenring 25, und 2. G H in H), zu Recht erkannt:
Spruch
Das angefochtene Erkenntnis wird wegen Rechtswidrigkeit seines Inhaltes aufgehoben.
I.
1 1. Mit Schreiben vom 14. Dezember 2021 erstattete der Zweitmitbeteiligte bei der Datenschutzbehörde (belangte Behörde, Amtsrevisionswerberin) eine Datenschutzbeschwerde wegen Verletzung des Rechts auf Geheimhaltung gemäß § 1 Abs. 1 Datenschutzgesetz (DSG). Die Datenschutzbeschwerde richtete sich laut dem Betreff dieses Schreibens gegen das Land Tirol. In der Begründung führte der Zweitmitbeteiligte aus, er sei mit Schreiben des Landes Tirol zu einem Impftermin eingeladen worden. Es ergebe sich der Verdacht, dass dieser Einladung eine unzulässige Verarbeitung besonders geschützter persönlicher Gesundheitsdaten zugrunde liege.
2 2. Mit Bescheid vom 22. August 2022 gab die belangte Behörde dieser „gegen das Amt der Tiroler Landesregierung (Beschwerdegegner)“ somit gegen den Erstmitbeteiligten gerichteten Datenschutzbeschwerde (soweit für die vorliegende Revisionssache relevant) mit Spruchpunkt 1. statt und stellte fest, der Erstmitbeteiligte habe den Zweitmitbeteiligten dadurch in seinem Recht auf Geheimhaltung verletzt, dass er unrechtmäßig auf die Daten des Zweitmitbeteiligten im zentralen Impfregister und im zentralen Patientenindex zugegriffen und diese Daten zum Zweck des Versands des gegenständlichen (Impferinnerungs)Schreibens verarbeitet habe.
3 Die belangte Behörde stellte fest, sie habe (aufgrund einer Vielzahl inhaltlich gleichlautender Datenschutzbeschwerden) den Erstmitbeteiligten zur Abgabe einer Stellungnahme aufgefordert. Dieser habe vorgebracht, er sei der alleinige datenschutzrechtliche Verantwortliche für das gegenständliche Schreiben. Die belangte Behörde habe dem Zweitmitbeteiligten diese Stellungnahme zur Kenntnis gebracht und mitgeteilt, dass das Verfahren aufgrund dieser Ausführungen gegen den Erstmitbeteiligten geführt werde. Die belangte Behörde habe dem Zweitmitbeteiligten dazu Parteiengehör eingeräumt und ihm Gelegenheit zur Stellungnahme gegeben. Der Zweitmitbeteiligte habe keine Stellungnahme erstattet. Da der Erstmitbeteiligte so die belangte Behörde in der Sache die Daten des Zweitmitbeteiligten ohne Vorliegen einer tragenden gesetzlichen Grundlage verarbeitet habe, sei die Datenverarbeitung rechtswidrig gewesen.
4 Dagegen erhob der Erstmitbeteiligte Beschwerde, in der er (ua.) vorbrachte, seine datenschutzrechtliche Verantwortlichkeit habe keine Auswirkungen darauf, dass das Verwaltungshandeln des Erstmitbeteiligten als bloßer Geschäftsapparat, nämlich der Zugriff auf das Impfregister, dem Landeshauptmann (als Vorstand des Amtes der Landesregierung) zuzurechnen sei, der wiederum über eine spezifische Zugriffsberechtigung verfüge.
5 3. Mit dem angefochtenen Erkenntnis vom 7. Juni 2023 gab das Bundesverwaltungsgericht (BVwG) dieser Beschwerde Folge und behob Spruchpunkt 1. dieses Bescheides ersatzlos. Die Revision wurde gemäß Art. 133 Abs. 4 B VG für unzulässig erklärt.
6 Das BVwG stellte nach Darstellung der Vorgeschichte und unter Hinweis darauf, dass von einer Vielzahl von Empfängern Datenschutzbeschwerden betreffend sogenannte „Impferinnerungsschreiben“ erhoben worden seien fest, der Zweitmitbeteiligte habe in seiner Datenschutzbeschwerde den Beschwerdegegner mit „Land Tirol“ bezeichnet. Anschließend stellte das BVwG das an den Zweitmitbeteiligten gerichtete Impferinnerungsschreiben dar, das im Kopf das (Tiroler) Wappen samt dem Schriftzug „Land Tirol“ sowie die Bezeichnung „Amt der Tiroler Landesregierung“ enthalten habe.
7 In seiner rechtlichen Beurteilung verwies das BVwG zunächst auf § 24 Abs. 2 Z 2 DSG, demzufolge die Datenschutzbeschwerde, soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die Rechtsverletzung zugerechnet wird, zu enthalten hat. Die „Feststellung einer Rechtsverletzung einer Person“ (gemeint: durch eine Person), die nicht als Beschwerdegegner in der Datenschutzbeschwerde genannt gewesen sei, überschreite die „Sache“ des Verwaltungsverfahrens. Sei die belangte Behörde der Meinung, dass ein eindeutig bestimmter Beschwerdegegner nicht Verantwortlicher für die Datenverarbeitung sei, habe sie so das BVwG unter Hinweis auf näher zitierte Rechtsprechung des Verwaltungsgerichtshofes die Datenschutzbeschwerde abzuweisen.
8 Im vorliegenden Fall habe der Zweitmitbeteiligte den Beschwerdegegner eindeutig genannt. Da das Land Tirol auch im Kopf des Impferinnerungsschreibens aufscheine, bleibe für Zweifel an der Parteienerklärung kein Raum. Eine Umdeutung des Parteiantrags scheide aus, weil sich von der Gebietskörperschaft „Land Tirol“ nicht auf das Hilfsorgan Amt der Tiroler Landesregierung schließen lasse. Die Erklärung der belangten Behörde, das Verfahren gegen den Erstmitbeteiligten zu führen, sowie der Umstand, dass sich der Zweitmitbeteiligte dazu nicht geäußert habe, sei irrelevant, weil die belangte Behörde den Parteiantrag nicht einseitig abändern könne. Indem die belangte Behörde den Bescheid gegen jemand anderen erlassen habe (nämlich den Erstmitbeteiligten), der nicht von der Datenschutzbeschwerde umfasst gewesen sei, habe sie die „Sache“ des Verwaltungsverfahrens überschritten, weshalb der Bescheid ersatzlos zu beheben gewesen sei.
9 4. Gegen dieses Erkenntnis richtet sich die außerordentliche Amtsrevision der belangten Behörde.
10 Eine Revisionsbeantwortung wurde in den vom Verwaltungsgerichtshof eingeleiteten Vorverfahren nicht erstattet.
II.
Der Verwaltungsgerichtshof hat erwogen:
11 1. Die Amtsrevisionswerberin bringt zur Zulässigkeit ihrer Revision vor, die Bezeichnung des Beschwerdegegners sei in einer Datenschutzbeschwerde nur gefordert, wenn dies zumutbar sei. Wann dies der Fall sei, sei unbestimmt. Da die Erfüllung der Formalvoraussetzungen des § 24 Abs. 2 DSG Voraussetzung für eine meritorische Entscheidung des BVwG sei, habe diese Frage erhebliche Auswirkungen. Die „Umdeutung“ der Datenschutzbeschwerde von der Gebietskörperschaft (Land Tirol) auf deren Organ bzw. Hilfsapparat (hier: Amt der Tiroler Landesregierung) sei nicht nur vertretbar, sondern angesichts der auf die vorliegende Konstellation übertragbaren, zum früheren § 67c Abs. 2 Z 2 AVG bzw. zu § 9 Abs. 4 VwGVG ergangenen (näher bezeichneten) Rechtsprechung des Verwaltungsgerichtshofes sogar geboten gewesen. Demzufolge sei bei einer unrichtigen Parteiangabe infolge Unkenntnis schwieriger Zurechnungsfragen nicht mit Zurückweisung vorzugehen, sondern es sei die Behörde ausfindig zu machen, der ein Verhalten zuzurechnen sei.
12 Die Revision erweist sich vor diesem Hintergrund als zulässig und aus nachstehenden Erwägungen auch als berechtigt.
13 2. Art. 4 Z 7 DSGVO lautet:
„ Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[...]
7. ,Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
[...]“
14 § 24 Abs. 2 Z 2 DSG lautet:
„ Beschwerde an die Datenschutzbehörde
§ 24. [...]
(2) Die Beschwerde hat zu enthalten:
[...]
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
[...]“
15 3. Vorauszuschicken ist zunächst Folgendes: Der Verwaltungsgerichtshof hat aus Anlass des zu Ra 2023/04/0024 protokollierten ebenfalls eine behauptete Verletzung im Recht auf Datenschutz im Zusammenhang mit einem Impferinnerungsschreiben betreffenden Revisionsverfahrens mit Beschluss vom 23. August 2023, EU 2023/0007, ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union (EuGH) gerichtet (dort protokolliert zu C 638/23), das die Frage der Stellung des Amtes der Tiroler Landesregierung als Verantwortlicher im Sinn des Art. 4 Z 7 DSGVO zum Inhalt hat und über das noch keine Entscheidung des EuGH ergangen ist.
16 Der hier gegenständlichen Revisionssache liegt zwar ebenfalls eine Datenverarbeitung im Zusammenhang mit einem Impferinnerungsschreiben zugrunde, die von der belangten Behörde dem Amt der Tiroler Landesregierung als (datenschutzrechtlichem) Verantwortlichen zugerechnet worden ist. Anders als in dem Vorabentscheidungsersuchen zugrundeliegenden Verfahren, in dem das BVwG inhaltlich über die Beschwerde des Amtes der Tiroler Landesregierung entschieden hat, hat das BVwG im hier gegenständlichen Fall den Bescheid der belangten Behörde ersatzlos behoben, weil die belangte Behörde die „Sache“ des Verwaltungsverfahrens überschritten habe. Ausgehend davon ist die (Vor)Frage, ob das Amt der Tiroler Landesregierung im gegenständlichen Fall Verantwortlicher im Sinn des Art. 4 Z 7 DSGVO war (bzw. in unionsrechtskonformer Weise überhaupt sein konnte), nicht Gegenstand des vorliegenden Revisionsverfahrens. Sache des Verfahrens ist vielmehr die Frage der Rechtmäßigkeit der ersatzlosen Behebung des bekämpften Bescheides der belangten Behörde durch das BVwG wegen Überschreitung der Sache des Verwaltungsverfahrens.
17 Somit besteht aber auch keine Notwendigkeit, für die Entscheidung über die vorliegende Revision den Ausgang des genannten Vorabentscheidungsverfahrens abzuwarten.
18 4. Gemäß § 24 Abs. 2 Z 2 DSG hat eine Datenschutzbeschwerde die Bezeichnung des Beschwerdegegners, somit des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird, (nur) zu enthalten, soweit dies zumutbar ist.
19 4.1. Der Verwaltungsgerichtshof hat sich bereits in mehreren Entscheidungen mit der Frage der Bezeichnung des Beschwerdegegners im Sinn des (nunmehr) § 24 Abs. 2 Z 2 DSG befasst:
20 Dabei hat der Verwaltungsgerichtshof zum einen festgehalten, dass eine Datenschutzbeschwerde, die sich (unzweifelhaft) gegen eine bestimmte Person (oder Stelle) richtet, die nicht Verantwortlicher für die betreffende Datenverarbeitung ist, abzuweisen ist (vgl. das zu einem in Vorarlberg versendeten Impferinnerungsschreiben ergangene Erkenntnis VwGH 27.6.2023, Ro 2023/04/0013, Rn. 35, mwN). Dies hat der Verwaltungsgerichtshof etwa in einer Konstellation angenommen, in der eine Datenschutzbeschwerde wegen einer geltend gemachten Verletzung im Recht auf Auskunft gegen den Rechtsträger als Beschwerdegegner gerichtet war, an den sich auch das zuvor ergangene Auskunftsbegehren der von der Datenverarbeitung betroffenen Person gerichtet hatte (vgl. diesbezüglich VwGH 26.9.2022, Ro 2020/04/0034). Gleiches gilt für die Konstellation, in der eine Datenschutzbeschwerde gegen zwei Behörden gerichtet war, die Entscheidung über die Datenverarbeitung aber nur bei einer (nämlich der dafür zuständigen) Behörde lag (vgl. VwGH 18.3.2022, Ro 2020/04/0027, Rn. 42).
21 In diesem Zusammenhang hat der Verwaltungsgerichtshof auch zum Ausdruck gebracht, dass ein Austausch der Person des Verantwortlichen im verwaltungsgerichtlichen Verfahren (und somit eine Führung des Beschwerdeverfahrens gegen eine andere Person als diejenige, gegen die das verwaltungsbehördliche Verfahren geführt worden ist) im Hinblick auf die „Sache“ des Beschwerdeverfahrens jedenfalls bei einer geltend gemachten Verletzung im Recht auf Geheimhaltung (somit der behaupteten Rechtswidrigkeit eines in der Vergangenheit liegenden abgeschlossenen Vorgangs) nicht in Betracht kommt (vgl. wiederum VwGH 27.6.2023, Ro 2023/04/0013, Rn. 37).
22 Zum anderen hat der Verwaltungsgerichtshof aber dem Grunde nach anerkannt, dass die Berichtigung einer Bezeichnung des Beschwerdegegners im Rahmen einer vertretbaren Auslegung der Parteierklärung durch die Datenschutzbehörde zulässig sein kann (vgl. erneut VwGH 27.6.2023, Ro 2023/04/0013, Rn. 34, mwN). Nicht beanstandet wurde etwa ein Vorgehen der Datenschutzbehörde dahingehend, eine Datenschutzbeschwerde, in der ein namentlich genannter Polizeibeamter als Beschwerdegegner angeführt war, als gegen die Landespolizeidirektion gerichtet anzusehen (vgl. VwGH 18.3.2022, Ro 2020/04/0027, Rn. 41; vgl. zu einer als vertretbar erachteten Auslegung einer Parteierklärung im Zusammenhang mit der Zurechnung einer gegen eine natürliche Person gerichteten Datenschutzbeschwerde zu einem Verein, deren Obfrau die natürliche Person war, VwGH 28.4.2021, Ra 2019/04/0138, Rn. 15 f).
23 Wenn es nach dem DSG (konkret seinem § 24 Abs. 2 Z 2) Fälle geben kann, in denen es für die von der Datenverarbeitung betroffene Person unzumutbar sein kann, den Verantwortlichen selbst zu eruieren und dementsprechend in der Datenschutzbeschwerde zu benennen, dann sind wohl auch Konstellationen anzuerkennen, in denen die betroffene Person den Verantwortlichen ungenau bzw. allenfalls auch unrichtig bezeichnet, ohne dass dies zwingend zu einer Abweisung der Datenschutzbeschwerde (gemäß der in Rn. 20 dargestellten Rechtsprechung) führen muss (vgl. wiederum VwGH 27.6.2023, Ro 2023/04/0013, Rn. 34, mwN).
24 Schließlich hat der Verwaltungsgerichtshof im Zusammenhang mit der in die Datenschutzbeschwerde aufzunehmenden Bezeichnung des als verletzt erachteten Rechts im Sinn des § 24 Abs. 2 Z 1 DSG unter Verweis auf die als Vorbildregelung erachtete Bestimmung des früheren § 67c Abs. 2 AVG festgehalten, dass dem AVG insofern „jeglicher Formalismus fremd“ ist (vgl. VwGH 22.11.2022, Ra 2019/04/0003, Rn. 24, mwN). Nichts Anderes kann aber für die Vorgaben des § 24 Abs. 2 DSG gelten.
25 4.2. § 24 Abs. 2 Z 2 DSG entspricht der früheren Regelung des § 31 Abs. 3 Z 2 Datenschutzgesetz 2000 (DSG 2000). In den (insoweit relevanten) Erläuterungen zur DSG Novelle 2010, BGBl. I Nr. 133/2009, heißt es, dass durch die neuen Abs. 3 und 4 (des § 31 DSG 2000) eine gewisse Formalisierung des Beschwerdeverfahrens nach dem Vorbild des § 67c Abs. 2 AVG erfolgt (RV 472 BlgNR 24. GP 13). § 67c Abs. 2 Z 2 AVG (in der Fassung vor BGBl. I Nr. 33/2013) enthielt hinsichtlich des Abstellens auf die Zumutbarkeit eine mit § 24 Abs. 2 Z 2 DSG dem Grunde nach vergleichbare Regelung betreffend die Angabe darüber, welches Organ den mittels einer Maßnahmenbeschwerde angefochtenen Verwaltungsakt gesetzt hat und welcher Behörde er zuzurechnen ist. Die Regelung des früheren § 67c Abs. 2 Z 2 AVG findet sich nunmehr in § 9 Abs. 4 VwGVG, dem zufolge bei Beschwerden gegen die Ausübung unmittelbarer verwaltungsbehördlicher Befehls und Zwangsgewalt gemäß Art. 130 Abs. 1 Z 2 B VG an die Stelle der Bezeichnung der belangten Behörde (im Sinn des § 9 Abs. 1 Z 2 VwGVG), „soweit dies zumutbar ist“, eine Angabe darüber tritt, welches Organ die Maßnahme gesetzt hat.
26 Ausgehend von der inhaltlichen Vergleichbarkeit der betreffenden Regelungen und angesichts des dargestellten Verweises in den Erläuterungen zu § 31 Abs. 3 DSG 2000 auf § 67c Abs. 2 AVG (alt) kann die Rechtsprechung des Verwaltungsgerichtshofes zu § 9 Abs. 4 VwGVG bzw. zum früheren § 67c Abs. 2 AVG auch für die Auslegung des § 24 Abs. 2 Z 2 DSG herangezogen werden.
27 Der Verwaltungsgerichtshof hat diesbezüglich ausgesprochen, dass im Fall der Unzumutbarkeit einer solchen Angabe (im Sinn des § 9 Abs. 4 VwGVG) das vom Beschwerdeführer angerufene Verwaltungsgericht auch im Fall einer dadurch ausgelösten Fehlerhaftigkeit der in der Maßnahmenbeschwerde enthaltenen Angaben über die einschreitenden Organe und über die Behörde, der deren Verhalten zuzurechnen sei verpflichtet ist, die mit der Maßnahmenbeschwerde bei ihm belangte Behörde „ausfindig zu machen“ (vgl. etwa VwGH 18.10.2016, Ro 2015/03/0029, Rn. 32, mwN; VwGH 3.3.2004, 2001/01/0445).
28 Weiters hat der Verwaltungsgerichtshof im Zusammenhang mit der Bezeichnung der belangten Behörde (dort: der den Bescheid erlassenden Behörde gemäß § 9 Abs. 2 Z 1 VwGVG) zum Ausdruck gebracht, dass bei der Auslegung einer Parteierklärung auch der mit der Beschwerde übermittelte Bescheid (bzw. die darin enthaltene Bezeichnung der den Bescheid erlassenden Behörde) zu berücksichtigen ist (vgl. VwGH 13.11.2014, Ra 2014/12/0010, mwN; vgl. weiters Leeb in Hengstschläger/Leeb, AVG ErgBd [2017] § 9 VwGVG Rz. 19).
29 5. Ausgehend von dieser Rechtsprechung ergibt sich für den vorliegenden Fall Folgendes:
30 5.1. Das BVwG ist zwar dem Grunde nach zutreffend davon ausgegangen, dass ein Bescheid der Datenschutzbehörde, der sich entgegen einer eindeutigen (und auch zumutbaren) Bezeichnung des Beschwerdegegners in der Datenschutzbeschwerde gegen eine andere (in der Datenschutzbeschwerde nicht genannte) Person (als datenschutzrechtlichen Verantwortlichen) richtet, ersatzlos zu beheben ist (vgl. dazu, dass ein Austausch der Person des Verantwortlichen im verwaltungsgerichtlichen Verfahren unzulässig ist, erneut VwGH 27.6.2023, Ro 2023/04/0013, Rn. 37).
31 Der Verwaltungsgerichtshof teilt allerdings nicht die Auffassung des BVwG, dass vorliegend eine derart eindeutige (und zumutbare) Parteibezeichnung vorlag, die eine Umdeutung bzw. eine (von der Bezeichnung in der Datenschutzbeschwerde abweichende) amtswegige Ermittlung des datenschutzrechtlichen Verantwortlichen von vornherein ausgeschlossen hätte.
32 So ist zunächst zu beachten, dass der Datenschutzbeschwerde als Beilage das zugrundeliegende Impferinnerungsschreiben beigegeben war, in dessen Kopf neben dem (Tiroler) Wappen samt dem Schriftzug „Land Tirol“ auch die Bezeichnung „Amt der Tiroler Landesregierung“ zu finden war (vgl. zur Maßgeblichkeit einer Beilage erneut VwGH 13.11.2014, Ra 2014/12/0010). Zudem lässt der Umstand, dass sich der Zweitmitbeteiligte nach der durch die belangte Behörde erfolgten Mitteilung über die Verfahrensführung gegen das Amt der Tiroler Landesregierung und ungeachtet der diesbezüglich eingeräumten Stellungnahmemöglichkeit dazu nicht geäußert hat, ebenfalls nicht den Schluss zu, dass er seine Datenschutzbeschwerde unzweifelhaft (nur) gegen das Land Tirol (und nicht das Amt der Tiroler Landesregierung) gerichtet wissen wollte.
33 Somit war im vorliegenden Fall nicht davon auszugehen, dass die Datenschutzbeschwerde des Zweitmitbeteiligten eine eindeutige (und auch zumutbare) Bezeichnung des Beschwerdegegners enthielt.
34 5.2. Zwar lässt sich der hier zugrundeliegenden Datenschutzbeschwerde nicht entnehmen, dass es der Zweitmitbeteiligte als für ihn (von vornherein) unzumutbar angesehen hat, den Beschwerdegegner (Verantwortlichen) zu benennen, zumal er in seiner Datenschutzbeschwerde das Land Tirol als Beschwerdegegner benannt hat. Allerdings hat der Verwaltungsgerichtshof in seiner Rechtsprechung bereits zum Ausdruck gebracht, dass die ungenaue oder auch unrichtige Bezeichnung des Verantwortlichen der Unzumutbarkeit seiner Namhaftmachung gleichzuhalten sein kann (vgl. erneut VwGH 27.6.2023, Ro 2023/04/0013, Rn. 34, mwN).
35 Die belangte Behörde hat in ihrem Bescheid zwar nicht (wie dies angezeigt gewesen wäre) ausdrücklich festgehalten, dass sie eine Namhaftmachung des Beschwerdegegners durch den Zweitmitbeteiligten im vorliegenden Fall als unzumutbar erachtet und demnach selbst den (ihrer Ansicht nach für die gegenständliche Datenverarbeitung maßgeblichen) Verantwortlichen ermittelt hat. Allerdings ist das dargestellte Vorgehen der belangten Behörde (Aufforderung an den Erstmitbeteiligten zur Abgabe einer Stellungnahme, Einräumung von Parteiengehör gegenüber dem Zweitmitbeteiligten zu dem insofern erzielten Ermittlungsergebnis) unschwer in diese Richtung zu deuten (und dies wird seitens der belangten Behörde in ihrer Amtsrevision dem Grunde nach bestätigt). Dabei ist auch zu beachten, dass es die oben skizzierte Ausgestaltung des der Datenschutzbeschwerde zugrundeliegenden „Impferinnerungsschreibens“ der betroffenen Person nicht erleichterte, den Rechtsträger bzw. das Organ, dem die behauptete Rechtsverletzung zuzurechnen ist, namhaft zu machen. Ausgehend davon ist es aber zumindest in verfahrensrechtlicher Hinsicht (und nur dies ist Gegenstand des vorliegenden Revisionsverfahrens; siehe diesbezüglich auch den Hinweis in Rn. 37) nicht zu beanstanden, dass die belangte Behörde die zugrundeliegende Datenschutzbeschwerde in einer hinsichtlich der Bezeichnung des Beschwerdegegners aufgrund ihrer Ermittlungsergebnisse berichtigenden Auslegung als gegen das Amt der Tiroler Landesregierung gerichtet ansah.
36 Vor diesem Hintergrund lag in der Erlassung eines gegen den Erstmitbeteiligten gerichteten Bescheides durch die belangte Behörde aber auch keine Überschreitung der „Sache“ des Verwaltungsverfahrens.
37 5.3. Der Vollständigkeit halber ist noch auf Folgendes hinzuweisen: Aus dem Umstand, dass die belangte Behörde in verfahrensrechtlich zulässiger Weise den Erstmitbeteiligten als die in der Datenschutzbeschwerde als Beschwerdegegner angesprochene Person bzw. Stelle ansehen durfte, kann nicht der Schluss gezogen werden, dass der Erstmitbeteiligte auch tatsächlich der Verantwortliche für die zugrundeliegende Datenverarbeitung im Sinn des Art. 4 Z 7 DSGVO war. Diese Frage kann im Hinblick auf den oben (Rn. 16) dargestellten Gegenstand des vorliegenden Revisionsverfahrens hier allerdings noch nicht beantwortet werden (vgl. aber inhaltlich die Ausführungen im bereits erwähnten Beschluss zur Einleitung eines Vorabentscheidungsverfahrens VwGH 23.8.2023, EU 2023/0007).
38 6. Aus den oben dargelegten Gründen hat das BVwG seine Entscheidung mit inhaltlicher Rechtswidrigkeit belastet. Das angefochtene Erkenntnis war daher gemäß § 42 Abs. 2 Z 1 VwGG aufzuheben.
Wien, am 3. September 2024