Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Pollak, den Hofrat Dr. Mayr, die Hofrätin Mag. Hainz Sator sowie die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision des Arbeitsmarktservice, vertreten durch die Andreewitch Partner Rechtsanwälte GmbH in 1010 Wien, Stallburggasse 4, gegen das Erkenntnis des Bundesverwaltungsgerichtes vom 14. Dezember 2023, Zl. W256 2232894 1/27E, betreffend eine datenschutzrechtliche Angelegenheit (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; weitere Partei: Bundesministerin für Justiz; mitbeteiligte Partei: I F in W), zu Recht erkannt:
Das angefochtene Erkenntnis wird wegen Rechtswidrigkeit seines Inhaltes aufgehoben.
Der Bund hat dem Revisionswerber Aufwendungen im beantragten Ausmaß in der Höhe von € 1.106,40 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
I.
1 1.Mit Eingabe vom Juli 2019 erhob die Mitbeteiligte eine gegen das „Arbeitsmarktservice Wien“ (AMS W, regionale Geschäftsstelle) gerichtete Datenschutzbeschwerde wegen Verletzung im Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG bzw. wegen Nichtbeachtung der Grundsätze der Art. 5, 6 und 9 DSGVO. Das „AMS“ habe so das Vorbringendie personenbezogenen Daten der Mitbeteiligten (darunter auch sensible Gesundheitsdaten) für die Überprüfung der Anspruchsvoraussetzungen für den Erhalt von Leistungen nach dem Arbeitslosenversicherungsgesetz (AlVG) bzw. für die Anordnung von Kontroll und Begutachtungsterminen bezüglich ihrer Arbeitsfähigkeit auch in Zeiträumen verarbeitet, in denen kein aufrechtes Betreuungsverhältnis mit ihr bestanden habe.
2 Die Datenschutzbehörde (DSB, belangte Behörde) forderte in der Folge das AMS Österreich (AMS Ö, Bundesorganisation) zur Stellungnahme auf. Daraufhin brachte das „Arbeitsmarktservice (AMS)“ vor, die Datenverarbeitung sei ausschließlich zum Zweck der gesetzlich übertragenen Aufgaben erfolgt.
3 2.Mit dem an das AMS Ö adressierten Bescheid vom 30. April 2020 wies die belangte Behörde die Datenschutzbeschwerde der Mitbeteiligten als unbegründet ab. Das AMS Ö sei gemäß § 1 Abs. 1 Arbeitsmarktservicegesetz (AMSG) ein Dienstleistungsunternehmen des öffentlichen Rechts zur Durchführung der Arbeitsmarktpolitik des Bundes. Da die Teilorganisationen (des AMS) keine Rechtspersönlichkeit besäßen, komme die Eigenschaft als datenschutzrechtlich Verantwortlicher nur dem AMS Ö zu, nicht jedoch den Teilorganisationen. Es sei daher nicht das in der Datenschutzbeschwerde angegebene AMS W, sondern das AMS Ö als Beschwerdegegner anzusehen. In der Sache gelangte die belangte Behörde mit näherer Begründung zum Ergebnis, dass die Verarbeitungsvorgänge des AMS Ö durch eine qualifizierte Rechtsgrundlage gedeckt und zur Erfüllung der übertragenen Aufgaben auch notwendig gewesen seien.
4Gegen diesen Bescheid erhob die Mitbeteiligte Beschwerde an das Bundesverwaltungsgericht (BVwG). Darin beantragte die Mitbeteiligte die Feststellung, dass die Verarbeitung ihrer personenbezogenen Daten durch das AMS Ö rechtswidrig gewesen sei. Über Aufforderung durch das BVwG, sich zur Stellung als Verantwortlicher zu äußern, gab das AMS Ö an, Verantwortlicher der in Rede stehenden Datenverarbeitungen könne nur das AMS gemäß § 1 Abs. 1 AMSG (somit das Dienstleistungsunternehmen des öffentlichen Rechts mit eigener Rechtspersönlichkeit) sein, nicht jedoch das AMS Ö als seine Teilorganisation.
5 3. Mit dem angefochtenen Erkenntnis vom 14. Dezember 2023 gab das Bundesverwaltungsgericht der Beschwerde der Mitbeteiligten Folge und behob den bekämpften Bescheid ersatzlos. Die Revision wurde gemäß Art. 133 Abs. 4 B VG für nicht zulässig erklärt.
6Das BVwG stellte fest, dass die regionale Geschäftsstelle (AMS W) in einem näher genannten Zeitraum diverse personenbezogene Daten der Mitbeteiligten für die Überprüfung der Anspruchsvoraussetzungen auf eine Leistung nach dem AlVG bzw. zum Zweck der Anordnung von Kontrollterminen nach § 49 AlVG und zur Anordnung von Untersuchungsterminen gemäß § 8 AlVG verarbeitet habe. Die Mitbeteiligte habe in ihrer (darauf Bezug nehmenden) Datenschutzbeschwerde ausdrücklich die regionale Geschäftsstelle als Beschwerdegegnerin genannt. Konkret habe die Mitbeteiligte vorgebracht, die regionale Geschäftsstelle habe in einem die Mitbeteiligte betreffenden Verwaltungsverfahren in Bezug auf Leistungen nach dem AlVG ua. im Zusammenhang mit der Ladung zu Kontrollterminen nach § 49 AlVG oder zur Feststellung der Arbeitsfähigkeit nach § 8 AlVG näher dargestellte personenbezogene Daten unzulässig verwendet. Demgegenüber habe die DSB das Verfahren gegen das AMS Ö geführt und gegen dieses einen Bescheid erlassen.
7 Zwar könne es so das BVwG in seiner rechtlichen Beurteilungzulässig sein, die Bezeichnung des Beschwerdegegners im Rahmen einer vertretbaren Auslegung der Parteierklärung zu berichtigen. Im vorliegenden Fall bestünden aber keine Gründe, die Verantwortlichkeit der von der Mitbeteiligten als Beschwerdegegnerin bezeichneten regionalen Geschäftsstelle in Zweifel zu ziehen. Zwar handle es sich beim AMS W um eine Teilorganisation ohne Rechtspersönlichkeit. Allerdings sei der regionalen Geschäftsstelle gemäß § 56 AlVG die Durchführung eines auf Erlassung eines Bescheides abzielenden Verwaltungsverfahrens zum Zweck der Entscheidung über einen Anspruch auf Leistung nach dem AlVG gesetzlich zugewiesen. Die regionale Geschäftsstelle agiere insoweit als Behörde und eine Behörde könne gemäß Art. 4 Z 7 DSGVO Verantwortlicher sein. Damit im Einklang stehe auch, dass Art. 6 Abs. 1 lit. e DSGVO eine Datenverarbeitung rechtfertige, die zur Wahrnehmung einer Aufgabe erforderlich ist, die in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen (hier somit dem AMS W) übertragen wurde. Im vorliegenden Fall sei der regionalen Geschäftsstelle nach § 56 AlVG die behördliche Verfahrensführung hinsichtlich des Anspruches auf eine Leistung nach dem AlVG gesetzlich übertragen und damit auch deren Verantwortlichkeit für (zu diesem Zweck erfolgende) Datenverarbeitungen nach Art. 4 Z 7 DSGVO festgelegt. Die Verantwortlichkeit der regionalen Geschäftsstelle ergebe sich somit aus ihrer rechtlichen Zuständigkeit.
8 Ausgehend davon habe kein Grund bestanden, die von der Mitbeteiligten ausdrücklich als Beschwerdegegnerin bezeichnete regionale Geschäftsstelle durch das AMS Ö zu ersetzen. Da sich der bekämpfte Bescheid somit gegen eine Stelle gerichtet habe, die vom Rechtsschutzantrag der Beschwerdeführerin nicht umfasst gewesen sei, sei der Bescheid (im Hinblick auf die Verfahrensführung gegen das AMS Ö als Beschwerdegegnerin) ersatzlos zu beheben gewesen. In Bezug auf die gegen das AMS W gerichtete Datenschutzbeschwerde sei das Verfahren weiterhin als unerledigt anzusehen.
9 „Lediglich der Ordnung halber“ wies das BVwG noch darauf hin, dass es sich bei dem von der DSB als Beschwerdegegnerin angesehenen AMS Ö auch nur um eine nicht mit Rechtspersönlichkeit ausgestattete Teilorganisation des AMS (konkret: die Bundesorganisation) handle. Anhaltspunkte dafür, dass die Bundesorganisation für die in Rede stehende Datenverarbeitung (mit)verantwortlich gewesen sei, habe die DSB nicht aufgezeigt.
10 4. Gegen dieses Erkenntnis richtet sich die vorliegende außerordentliche Revision des Arbeitsmarktservice (AMS).
11 Die belangte Behörde brachte einen als „Revisionsbeantwortung“ bezeichneten Schriftsatz ein. Darin bringt sie zwar vor, dass ihre (ursprünglich im angefochtenen Bescheid noch vertretene) Auffassung, das AMS sei als datenschutzrechtlich Verantwortlicher anzusehen, weil den Teilorganisationen keine Rechtspersönlichkeit zukomme, im Hinblick auf die Ausführungen des Europäischen Gerichtshofes (EuGH) in seinem Urteil vom 27. Februar 2025, C 638/23, Amt der Tiroler Landesregierung , nicht mehr tragfähig sei. Dennoch erachte sie die Revision als zulässig sowie begründet und schließe sich den vorgebrachten Revisionsgründen des Revisionswerbers an.
12 Die Mitbeteiligte erstattete eine Revisionsbeantwortung, in der sie die gegenständlichen Rechtsfragen als geklärt erachtet und dem Revisionsantrag entgegentritt.
II.
13 1.Zur Zulässigkeit der Revision wird vorgebracht, es fehle Rechtsprechung des Verwaltungsgerichtshofes zur Frage, ob § 25 AMSG das AMS (den Revisionswerber) hinsichtlich der zur Erfüllung seiner gesetzlichen Aufgaben (zu denen die Sicherung der Beschäftigung arbeitssuchender Personen durch Vermittlungstätigkeiten sowie die Sicherung der Existenz arbeitsloser Personen während der Jobsuche zählen) vorgenommenen Datenverarbeitungen als datenschutzrechtlich Verantwortlichen benennt.
14 Die Revision ist vor diesem Hintergrund aus nachstehenden Gründen zulässig und auch berechtigt.
15 2.Die maßgeblichen Bestimmungen (samt Erwägungsgründen) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung), lauten auszugsweise:
„[Erwägungsgrund] (45) Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder, sofern dies durch das öffentliche Interesse einschließlich gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt ist, eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln sollte.
[...]
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[...]
7. ,Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
[...]
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[...]
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
[...]
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
[...]“
16 § 24 des Datenschutzgesetzes BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 120/2017, lautet auszugsweise:
„Beschwerde an die Datenschutzbehörde
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
(2) Die Beschwerde hat zu enthalten:
[...]
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
[...]“
17Die maßgeblichen Bestimmungen des Arbeitsmarktservicegesetzes (AMSG) BGBl. Nr. 313/1994 in der Stammfassung (§ 1), in der Fassung BGBl. I Nr. 3/2013 (§ 29) sowie BGBl. I Nr. 32/2018 (§ 25), lauten auszugsweise:
„Arbeitsmarktservice
§ 1. (1) Die Durchführung der Arbeitsmarktpolitik des Bundes obliegt dem ,Arbeitsmarktservice‘. Das Arbeitsmarktservice ist ein Dienstleistungsunternehmen des öffentlichen Rechts mit eigener Rechtspersönlichkeit.
(2) Das Arbeitsmarktservice ist in eine Bundesorganisation, in Landesorganisationen für jedes Bundesland und innerhalb der Bundesländer in regionale Organisationen gegliedert.
(3) Die Bundesorganisation führt die Bezeichnung ,Arbeitsmarktservice Österreich‘.
(4) Die Landesorganisationen führen die Bezeichnung ,Arbeitsmarktservice‘ unter Hinzufügung des Namens des jeweiligen Bundeslandes.
(5) Die regionalen Organisationen führen die Bezeichnung ,Arbeitsmarktservice‘ unter Hinzufügung des Namens der Gemeinde (erforderlichenfalls mit einem der Unterscheidbarkeit dienendem Zusatz), in der sie eingerichtet sind.
[...]
Datenverarbeitung
§ 25. (1) Das Arbeitsmarktservice, das Bundesverwaltungsgericht und das Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz sind zur Verarbeitung von personenbezogenen Daten im Sinne des Datenschutzgesetzes, BGBl. I Nr. 165/1999, insoweit ermächtigt, als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung sind. Die in Frage kommenden Datenarten sind:
[...]
Ziel und Aufgabenerfüllung
§ 29. (1) Ziel des Arbeitsmarktservice ist, im Rahmen der Vollbeschäftigungspolitik der Bundesregierung zur Verhütung und Beseitigung von Arbeitslosigkeit unter Wahrung sozialer und ökonomischer Grundsätze im Sinne einer aktiven Arbeitsmarktpolitik auf ein möglichst vollständiges, wirtschaftlich sinnvolles und nachhaltiges Zusammenführen von Arbeitskräfteangebot und nachfrage hinzuwirken, und dadurch die Versorgung der Wirtschaft mit Arbeitskräften und die Beschäftigung aller Personen, die dem österreichischen Arbeitsmarkt zur Verfügung stehen, bestmöglich zu sichern. Dies schließt die Sicherung der wirtschaftlichen Existenz während der Arbeitslosigkeit im Rahmen der gesetzlichen Bestimmungen ein.
(2) Das Arbeitsmarktservice hat zur Erreichung dieses Zieles im Rahmen der gesetzlichen Bestimmungen Leistungen zu erbringen, die darauf gerichtet sind,
1. auf effiziente Weise die Vermittlung von geeigneten Arbeitskräften auf Arbeitsplätze herbeizuführen, die möglichst eine den Vermittlungswünschen des Arbeitsuchenden entsprechende Beschäftigung bieten,
[...]
6. die wirtschaftliche Existenz der Arbeitslosen zu sichern.
[...]“
18Die maßgeblichen Bestimmungen des Arbeitslosenversicherungsgesetzes 1977 (im Folgenden: AlVG), BGBl. Nr. 609 in der Fassung BGBl. I Nr. 3/2013 (§ 8), BGBl. I Nr. 28/2015 (§ 56) sowie BGBl. I Nr. 106/2015 (§ 49), lauten auszugsweise:
„Arbeitsfähigkeit
§ 8. [...]
(2) Arbeitslose sind, wenn sich Zweifel über ihre Arbeitsfähigkeit ergeben oder zu klären ist, ob bestimmte Tätigkeiten ihre Gesundheit gefährden können, verpflichtet, sich ärztlich untersuchen zu lassen. Die Untersuchung der Arbeitsfähigkeit hat an einer vom Kompetenzzentrum Begutachtung der Pensionsversicherungsanstalt festgelegten Stelle stattzufinden. Die Untersuchung, ob bestimmte Tätigkeiten die Gesundheit einer bestimmten Person gefährden können, hat durch einen geeigneten Arzt oder eine geeignete ärztliche Einrichtung zu erfolgen. Wenn eine ärztliche Untersuchung nicht bereits eingeleitet ist, hat die regionale Geschäftsstelle bei Zweifeln über die Arbeitsfähigkeit oder über die Gesundheitsgefährdung eine entsprechende Untersuchung anzuordnen. Wer sich weigert, einer derartigen Anordnung Folge zu leisten, erhält für die Dauer der Weigerung kein Arbeitslosengeld.
(3) Das Arbeitsmarktservice hat Bescheide der Pensionsversicherungsträger und Gutachten des Kompetenzzentrums Begutachtung der Pensionsversicherungsanstalt zur Beurteilung der Arbeitsfähigkeit anzuerkennen und seiner weiteren Tätigkeit zu Grunde zu legen.
[...]
Kontrollmeldungen
§ 49. (1) Zur Sicherung des Anspruches auf den Bezug von Arbeitslosengeld bzw. Notstandshilfe hat sich der Arbeitslose wöchentlich mindestens einmal bei der nach seinem Wohnort zuständigen regionalen Geschäftsstelle persönlich zu melden. Je nach der Situation auf dem Arbeitsmarkt kann die regionale Geschäftsstelle die Einhaltung von Kontrollmeldungen gänzlich nachsehen, die Zahl der einzuhaltenden Kontrollmeldungen herabsetzen oder öftere Kontrollmeldungen vorschreiben. Die regionale Geschäftsstelle kann auch öftere Kontrollmeldungen vorschreiben, wenn der begründete Verdacht besteht, daß das Arbeitslosengeld bzw. die Notstandshilfe nicht gebührt. Die näheren Bestimmungen über die Kontrollmeldungen trifft die Landesgeschäftsstelle. Die Landesgeschäftsstelle kann auch andere Stellen als Meldestellen bezeichnen.
[...]
Entscheidung
§ 56. (1) Über Ansprüche auf Leistungen entscheidet die regionale Geschäftsstelle. [...]
(2) Über Beschwerden gegen Bescheide einer Geschäftsstelle entscheidet das Bundesverwaltungsgericht durch einen Senat, dem zwei fachkundige Laienrichter angehören, je einer aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Die Frist zur Erlassung einer Beschwerdevorentscheidung durch die Geschäftsstelle beträgt zehn Wochen.
[...]“
19 3. Vorauszuschicken ist zunächst Folgendes: Der Verwaltungsgerichtshof hat in seinem ebenfalls die datenschutzrechtliche Verantwortlichkeit des AMS bzw. des AMS Ö betreffendenErkenntnis vom 3. September 2024, Ra 2023/04/0042, 0043 (auf dessen Rn. 12 bis 14 gemäß § 43 Abs. 2 zweiter Satz VwGG verwiesen wird), festgehalten, dass eine fehlerhafte Benennung in den Fällen nicht schadet, in denen sich die DSB bzw. das BVwG bloß in der Bezeichnung des Adressaten der Entscheidung vergreift, aber aus der gesamten Erledigung offenkundig ist, wer gemeint war; in einem solchen Fall liegt ein berichtigungsfähiger Fehler vor, bei dem, solange eine Berichtigung nicht erfolgt ist, durch Auslegung der Entscheidung zu klären ist, an wen sie gerichtet ist (siehe zu einer derartigen fehlerhaften Bezeichnung im Zusammenhang mit dem AMS auch die dem Erkenntnis VwGH 21.12.2023, Ro 2021/04/0010, zugrundeliegende Konstellation).
20 Die DSB hat im vorliegenden Fall ungeachtet der Bezeichnung des AMS Ö als Beschwerdegegnerin ihren Feststellungen ausdrücklich festgehalten, dass es sich beim Beschwerdegegner um das AMS handelt, dem (im Sinn des § 1 Abs. 1 AMSG) die Durchführung der Arbeitsmarktpolitik des Bundes obliegt. In der rechtlichen Beurteilung heißt es weiters, der Beschwerdegegner sei ein Dienstleistungsunternehmen des öffentlichen Rechts. Für die Zuordnung der Stellung als datenschutzrechtlich Verantwortlicher wurde ausdrücklich auf diese Rechtspersönlichkeit abgestellt. Es ist daher davon auszugehen, dass sich die DSB in ihrem Bescheid in der Bezeichnung des Beschwerdegegners vergriffen und offenkundig das AMS im Sinn des § 1 Abs. 1 AMSG gemeint hat (in den weiteren Ausführungen wird daher auch dann vom AMS gesprochen, wenn die DSB die Bezeichnung AMS Ö verwendet hat). Vor diesem Hintergrund begegnet es auch keinen Bedenken, dass das AMS vorliegend als Revisionswerber auftritt.
21 4.Des Weiteren ist Folgendes festzuhalten: Der Verwaltungsgerichtshof hat bereits zum Ausdruck gebracht, dass die Frage, ob die DSB überhaupt in verfahrensrechtlich zulässiger Weise das Verfahren gegen eine andere als die in der Datenschutzbeschwerde genannte Person führen darf, nicht mit der Frage gleichzusetzen ist, ob die als Beschwerdegegner angenommene Person auch tatsächlich datenschutzrechtlich Verantwortlicher der zugrundeliegenden Datenverarbeitung ist (vgl. in diesem Sinn VwGH 3.9.2024, Ra 2023/04/0092, Rn. 39). Somit ist in einem ersten Schritt zu prüfen, ob die DSB im vorliegenden Fall überhaupt ungeachtet dessen, dass die Mitbeteiligte in ihrer Datenschutzbeschwerde das AMS W als Beschwerdegegner genannt hat das Verfahren dem Grunde nach zulässigerweise gegen das AMS führen durfte.
22 4.1.Der Verwaltungsgerichtshof hat sich in einer Reihe von Entscheidungen mit der Frage der Benennung des Beschwerdegegners (und damit des angenommenen datenschutzrechtlich Verantwortlichen) befasst. In seinem Erkenntnis vom 3. September 2024, Ra 2023/04/0092, hat er unter Bezugnahme auf seine dazu ergangene Vorjudikatur Folgendes ausgeführt:
„22 Dabei hat der Verwaltungsgerichtshof zum einen festgehalten, dass eine Datenschutzbeschwerde, die sich (unzweifelhaft) gegen eine bestimmte Person (oder Stelle) richtet, die nicht Verantwortlicher für die betreffende Datenverarbeitung ist, abzuweisen ist (vgl. das [...] Erkenntnis VwGH 27.6.2023, Ro 2023/04/0013, Rn. 35, mwN). Dies hat der Verwaltungsgerichtshof etwa in einer Konstellation angenommen, in der eine Datenschutzbeschwerde wegen einer geltend gemachten Verletzung im Recht auf Auskunft gegen den Rechtsträger als Beschwerdegegner gerichtet war, an den sich auch das zuvor ergangene Auskunftsbegehren der von der Datenverarbeitung betroffenen Person gerichtet hatte (vgl. diesbezüglich VwGH 26.9.2022, Ro 2020/04/0034). Gleiches gilt für die Konstellation, in der eine Datenschutzbeschwerde gegen zwei Behörden gerichtet war, die Entscheidung über die Datenverarbeitung aber nur bei einer (nämlich der dafür zuständigen) Behörde lag (vgl. VwGH 18.3.2022, Ro 2020/04/0027, Rn. 42).
23 In diesem Zusammenhang hat der Verwaltungsgerichtshof auch zum Ausdruck gebracht, dass ein Austausch der Person des Verantwortlichen im verwaltungsgerichtlichen Verfahren (und somit eine Führung des Beschwerdeverfahrens gegen eine andere Person als diejenige, gegen die das verwaltungsbehördliche Verfahren geführt worden ist) im Hinblick auf die ,Sache‘ des Beschwerdeverfahrens jedenfalls bei einer geltend gemachten Verletzung im Recht auf Geheimhaltung (somit der behaupteten Rechtswidrigkeit eines in der Vergangenheit liegenden abgeschlossenen Vorgangs) nicht in Betracht kommt (vgl. wiederum VwGH 27.6.2023, Ro 2023/04/0013, Rn. 37).
24 Zum anderen hat der Verwaltungsgerichtshof aber dem Grunde nach anerkannt, dass die Berichtigung einer Bezeichnung des Beschwerdegegners im Rahmen einer vertretbaren Auslegung der Parteierklärung durch die Datenschutzbehörde zulässig sein kann (vgl. erneut VwGH 27.6.2023, Ro 2023/04/0013, Rn. 34, mwN). Nicht beanstandet wurde etwa ein Vorgehen der Datenschutzbehörde dahingehend, eine Datenschutzbeschwerde, in der ein namentlich genannter Polizeibeamter als Beschwerdegegner angeführt war, als gegen die Landespolizeidirektion gerichtet anzusehen (vgl. VwGH 18.3.2022, Ro 2020/04/0027, Rn. 41; vgl. zu einer als vertretbar erachteten Auslegung einer Parteierklärung im Zusammenhang mit der Zurechnung einer gegen eine natürliche Person gerichteten Datenschutzbeschwerde zu einem Verein, deren Obfrau die natürliche Person war, VwGH 28.4.2021, Ra 2019/04/0138, Rn. 15 f).
25 Wenn es nach dem DSG (konkret seinem § 24 Abs. 2 Z 2) Fälle geben kann, in denen es für die von der Datenverarbeitung betroffene Person unzumutbar sein kann, den Verantwortlichen selbst zu eruieren und dementsprechend in der Datenschutzbeschwerde zu benennen, dann sind wohl auch Konstellationen anzuerkennen, in denen die betroffene Person den Verantwortlichen ungenau bzw. allenfalls auch unrichtig bezeichnet, ohne dass dies zwingend zu einer Abweisung der Datenschutzbeschwerde [...] führen muss (vgl. wiederum VwGH 27.6.2023, Ro 2023/04/0013, Rn. 34, mwN).
[...]
27 4.2.§ 24 Abs. 2 Z 2 DSG entspricht der früheren Regelung des § 31 Abs. 3 Z 2 Datenschutzgesetz 2000 (DSG 2000). In den (insoweit relevanten) Erläuterungen zur DSGNovelle 2010, BGBl. I Nr. 133/2009, heißt es, dass durch die neuen Abs. 3 und 4 (des § 31 DSG 2000) eine gewisse Formalisierung des Beschwerdeverfahrens nach dem Vorbild des § 67c Abs. 2 AVG erfolgt (RV 472 BlgNR 24. GP 13). § 67c Abs. 2 Z 2 AVG (in der Fassung vor BGBl. I Nr. 33/2013) enthielt hinsichtlich des Abstellens auf die Zumutbarkeit eine mit § 24 Abs. 2 Z 2 DSG dem Grunde nach vergleichbare Regelung betreffend die Angabe darüber, welches Organ den mittels einer Maßnahmenbeschwerde angefochtenen Verwaltungsakt gesetzt hat und welcher Behörde er zuzurechnen ist. Die Regelung des früheren § 67c Abs. 2 Z 2 AVG findet sich nunmehr in § 9 Abs. 4 VwGVG, dem zufolge bei Beschwerden gegen die Ausübung unmittelbarer verwaltungsbehördlicher Befehls und Zwangsgewalt gemäß Art. 130 Abs. 1 Z 2 BVG an die Stelle der Bezeichnung der belangten Behörde (im Sinn des § 9 Abs. 1 Z 2 VwGVG), ,soweit dies zumutbar ist‘, eine Angabe darüber tritt, welches Organ die Maßnahme gesetzt hat.
28 Ausgehend von der inhaltlichen Vergleichbarkeit der betreffenden Regelungen und angesichts des dargestellten Verweises in den Erläuterungen zu § 31 Abs. 3 DSG 2000 auf § 67c Abs. 2 AVG (alt) kann die Rechtsprechung des Verwaltungsgerichtshofes zu § 9 Abs. 4 VwGVG bzw. zum früheren § 67c Abs. 2 AVG auch für die Auslegung des § 24 Abs. 2 Z 2 DSG herangezogen werden.
29 Der Verwaltungsgerichtshof hat diesbezüglich ausgesprochen, dass im Fall der Unzumutbarkeit einer solchen Angabe (im Sinn des § 9 Abs. 4 VwGVG) das vom Beschwerdeführer angerufene Verwaltungsgericht auch im Fall einer dadurch ausgelösten Fehlerhaftigkeit der in der Maßnahmenbeschwerde enthaltenen Angaben über die einschreitenden Organe und über die Behörde, der deren Verhalten zuzurechnen seiverpflichtet ist, die mit der Maßnahmenbeschwerde bei ihm belangte Behörde ,ausfindig zu machen‘ (vgl. etwa VwGH 18.10.2016, Ro 2015/03/0029 , Rn. 32, mwN; VwGH 3.3.2004, 2001/01/0445).“
23Zudem hat es der Verwaltungsgerichtshof grundsätzlich nicht beanstandet, dass eine Datenschutzbeschwerde gegen mehrere Personen als Verantwortliche gerichtet war, zumal dies im Einklang mit der Definition des Verantwortlichen („allein oder gemeinsam mit anderen“) in Art. 4 Z 7 DSGVO sowie der dazu ergangenen Rechtsprechung des EuGH steht (vgl. dazu VwGH 27.6.2023, Ro 2023/04/0013, Rn. 33, mwN).
24Schließlich hat der Verwaltungsgerichtshof im zitierten Erkenntnis Ro 2023/04/0013, Rn. 38, auch festgehalten, dass eine Behebung eines Bescheides der DSB durch das BVwG aus dem Grund, dass die DSB das Verfahren gegen einen Beschwerdegegner geführt habe, der nicht Verantwortlicher der zugrundeliegenden Datenverarbeitung gewesen seinur im Hinblick auf die Verfahrensführung gegen den „falschen“ Verantwortlichen als „ersatzlos“ zu qualifizieren und die Datenschutzbeschwerde im Übrigen noch als unerledigt anzusehen sei (vgl. in diesem Zusammenhang auch die dem Erkenntnis VwGH 18.3.2022, Ro 2020/04/0027, zugrunde liegende Konstellation, in der eine Datenschutzbeschwerde ausdrücklich gegen zwei Beschwerdegegner gerichtet war; der Verwaltungsgerichtshof hat in diesem Erkenntnis, Rn. 36 ff, zum Ausdruck gebracht, dass die Entscheidung über die gegen den Erstbeschwerdegegner gerichtete Datenschutzbeschwerde nichts daran änderte, dass die gegen den Zweitbeschwerdegegner gerichtete Datenschutzbeschwerde noch unerledigt war).
25 4.2. Ausgehend davon ergeben sich im Zusammenhang mit der Benennung des datenschutzrechtlich Verantwortlichen allgemein folgende Vorgaben:
26 Das aufgrund einer Datenschutzbeschwerde geführte Verfahren ist ein antragsgebundenes Verfahren. Grundsätzlich liegt die Benennung des Beschwerdegegners (somit der Person, die Adressat des beantragten Bescheides der DSB sein soll) in der Disposition des Antragstellers (somit der betroffenen Person, die eine Datenschutzbeschwerde erhebt). In den Fällen, in denen die betroffene Person in ihrem Antrag unmissverständlich bzw. unzweifelhaft eine bestimmte Person als Verantwortlichen benennt, besteht für die DSB daher keine Möglichkeit, das Verfahren gegen eine andere Person zu führen. Eine solche Konstellation liegt auch dann vor, wenn der Antragsteller auf Vorhalt einer missverständlichen Bezeichnung des datenschutzrechtlich Verantwortlichen durch die DSB auf der Verfahrensführung gegen einen bestimmten Beschwerdegegner beharrt.
27Von der allgemeinen Grundregel der Antragsgebundenheit normiert § 24 Abs. 2 Z 2 DSG insofern eine Abweichung, als die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (somit des Beschwerdegegners), in der Datenschutzbeschwerde nur zu erfolgen hat, „soweit dies zumutbar ist“. Da diese Abweichung an die „Unzumutbarkeit der Benennung“ anknüpft, hat die DSB zu beurteilen, ob dem Antragsteller die Benennung des Beschwerdegegners zumutbar ist. Wird dies bejaht, dann ist dieser Fall der in Rn. 26 dargestellten Konstellation gleichzuhalten. Auch in diesem Fall hat die DSB daher das Verfahren gegen den in der Datenschutzbeschwerde benannten Beschwerdegegner zu führen bzw. sollte die Benennung des Beschwerdegegners fehlen oder unklar seinden Antragsteller zur Behebung dieses Mangels auffordern (siehe zu Letzterem auch VwGH 3.9.2024, Ra 2023/04/0092, Rn. 37).
28Ausweislich der dargestellten Regelung des § 24 Abs. 2 Z 2 DSG kann es aber Konstellationen geben, in denen dem Antragsteller die Benennung des Verantwortlichen nicht zumutbar ist. Im Fall einer solchen Unzumutbarkeit hat die DSB eine berichtigende Auslegung der Bezeichnung des Beschwerdegegners vorzunehmen bzw. den datenschutzrechtlich Verantwortlichen somit den ihrer Ansicht nach „richtigen“ Beschwerdegegnernach entsprechenden Ermittlungen selbst ausfindig zu machen (siehe dazu VwGH 3.9.2024, Ra 2023/04/0092, Rn. 24 f, 36).
29 Grundsätzlich ist daher wie folgt vorzugehen: Die DSB hat zu beurteilen, ob die Benennung des Beschwerdegegners in der Datenschutzbeschwerde unmissverständlich erfolgt ist bzw. ob sie in der vorliegenden Konstellation grundsätzlich zumutbar war. Werden beide Fragen verneint, hat die DSB in der in Rn. 28 skizzierten Weise vorzugehen. Da die Benennung des Beschwerdegegners aber letztlich in der Disposition des Antragstellers liegt, hat die DSB diesem ihre Ermittlungsergebnisse und ihre Rechtsansicht vorzuhalten. Wenn die DSB nämlich an eine unmissverständliche Benennung des Beschwerdegegners gebunden ist, dann muss dem Antragsteller die Möglichkeit zustehen, auf einer Verfahrensführung gegen die von ihm namhaft gemachte Person zu beharren. Alternativ dazu steht dem Antragsteller aber die Möglichkeit offen, den „Austausch“ der Person des Verantwortlichen zu akzeptieren oder seine Datenschutzbeschwerde aufgrund eines derartigen Vorhaltes auf die von der DSB ins Treffen geführte Person auszuweiten und somit gegen zwei (potentielle) datenschutzrechtlich Verantwortliche zu richten.
30 Im Hinblick auf diese unterschiedlichen Gestaltungsmöglichkeiten muss der Entscheidung der DSB zu entnehmen sein, ob die Datenschutzbeschwerde der betroffenen Person damit als vollständig erledigt anzusehen ist.
31 4.3. Für den vorliegenden Fall ergibt sich daraus Folgendes: Die DSB hat in ihrem Bescheid ausdrücklich festgehalten, dass (aus näher dargestellten Gründen) als datenschutzrechtlich Verantwortlicher und damit als Beschwerdegegner nicht das in der Datenschutzbeschwerde angeführte AMS W, sondern das AMS Ö (gemeint: das AMS) anzusehen sei. Der zugrundeliegenden Datenschutzbeschwerde der Mitbeteiligten kann zunächst nicht unterstellt werden, dass sie sich bewusst und unmissverständlich nur gegen das AMS W (als Verantwortlichen) richten sollte, zumal die Mitbeteiligte bei der Bezeichnung des Beschwerdegegners zwar das AMS W angeführt, in der Darstellung des behaupteten Verstoßes dann aber (bloß) vom AMS gesprochen hat. Auch wenn sich dem Bescheid nicht ausdrücklich entnehmen lässt, dass die DSB von einer Unzumutbarkeit der Benennung des Beschwerdegegners durch die betroffene Person ausgegangen ist, liegt ihrem Vorgehen diese Sichtweise doch erkennbar zugrunde, zumal sie ansonsten keine Abänderung des Beschwerdegegners hätte vornehmen können. Dass diese Sichtweise (nämlich die Annahme der Unzumutbarkeit der Benennung des datenschutzrechtlich Verantwortlichen) unvertretbar wäre, ist schon im Hinblick auf die (in Rn. 17 f) dargestellte Rechtslage nicht zu sehen.
32 Der angefochtene Bescheid enthält keine Ausführungen dazu, ob die DSB der Mitbeteiligten die beabsichtigte Vorgehensweise, nämlich das Verfahren über ihre Datenschutzbeschwerde nicht gegen das AMS W, sondern gegen das AMS zu führen, ausdrücklich vorgehalten hat. Allerdings hat die Mitbeteiligte in ihrer Beschwerde gegen den Bescheid der DSB selbst von einer rechtswidrigen Verarbeitung ihrer Daten durch das AMS Ö bzw. das AMS gesprochen und sich nicht dagegen gewendet, dass die DSB das Verfahren gegen das AMS geführt hat. Die Mitbeteiligte hat somit nicht unmissverständlich zum Ausdruck gebracht, dass eine Verfahrensführung (zumindest auch) gegen das AMS nicht von ihrer Datenschutzbeschwerde umfasst gewesen sei.
33 Als Zwischenergebnis ist somit festzuhalten, dass es zumindest in verfahrensrechtlicher Hinsicht (dem Grunde nach) nicht zu beanstanden ist, dass die DSB aufgrund der Datenschutzbeschwerde der Mitbeteiligten (auch) ein Verfahren gegen das AMS geführt hat.
34 4.4. Die DSB hat in ihrem Bescheid ausdrücklich festgehalten, dass als datenschutzrechtlich Verantwortlicher und Beschwerdegegner nicht das AMS W, sondern das AMS anzusehen sei. Dies deutet darauf hin, dass die DSB den Beschwerdegegner austauschen und die Datenschutzbeschwerde der Mitbeteiligten mit ihrem Bescheid vollständig erledigen wollte. Zwar hat die Mitbeteiligte in ihrer Beschwerde gegen den Bescheid (wie dargelegt) von einer rechtswidrigen Datenverarbeitung durch das AMS (und nicht das AMS W) gesprochen. Ob die Mitbeteiligte damit aber einen (von der DSB offenbar beabsichtigten) Austausch des Beschwerdegegners (von AMS W auf AMS) akzeptiert hat oder ob sie ihre Datenschutzbeschwerde sowohl gegen das AMS W als auch das AMS gerichtet wissen wollte (und somit wovon auch das BVwG ausgegangen ist die gegen das AMS W gerichtete Datenschutzbeschwerde der Mitbeteiligten nach wie vor als offen anzusehen sei), lässt sich anhand der getroffenen Feststellungen nicht abschließend beurteilen.
35 Darauf kommt es in der vorliegenden Konstellation aber nicht an, weil für den Fall einer Verantwortlichkeit sowohl des AMS als auch des AMS W eine unterlassene Erledigung der gegen das AMS W gerichteten Datenschutzbeschwerde keine Rechtswidrigkeit der gegen das AMS gerichteten Entscheidung zur Folge hätte. Ein allenfalls fehlender Abspruch hinsichtlich des AMS W vermag eine ersatzlose Behebung des Bescheides der DSB, soweit damit die Datenschutzbeschwerde gegen das AMS erledigt worden ist, für sich genommen nicht zu rechtfertigen. Somit ist auch die Frage, ob die Datenschutzbeschwerde der Mitbeteiligten hinsichtlich des AMS W als möglichen Beschwerdegegner noch unerledigt ist, nicht im Verfahren betreffend die gegen das AMS gerichtete Entscheidung zu klären (siehe dazu auch die Ausführungen in Pkt. II.5.).
36 4.5. Allerdings erweist sich die ersatzlose Behebung des Bescheides der DSB durch das BVwG im Hinblick darauf, dass die gegen das AMS gerichtete Erledigung der DSB wie dargestellt nicht außerhalb der Sache des durch die Datenschutzbeschwerde der Mitbeteiligten begründeten Verfahrens lag, als rechtswidrig.
37 Wie dargelegt ist die wenn auch dem Spruch nach an das AMS Ö adressierte Entscheidung der DSB berichtigend als an das AMS gerichtet zu qualifizieren. Das BVwG ist demgegenüber von einem gegenüber dem AMS Ö erlassenen Bescheid ausgegangen. Dem BVwG kann zwar nicht entgegengetreten werden, wenn es darlegt, es seien keine Anhaltspunkte dafür aufgezeigt worden, dass das AMS Ö für die in Rede stehende Datenverarbeitung „(mit)verantwortlich“ gewesen sei. Das ändert aber nichts daran, dass eine Auseinandersetzung mit der möglichen Stellung des AMS (somit des tatsächlichen Adressaten der Entscheidung der DSB) als (gemeinsamer) Verantwortlicher für die hier gegenständliche Datenverarbeitung im angefochtenen Erkenntnis unterblieben ist.
38 5. An dieser Rechtswidrigkeit können aus nachstehenden Erwägungen auch die inhaltlichen Ausführungen des BVwG zur Stellung des AMS W als datenschutzrechtlich Verantwortlicher nichts ändern.
39 5.1.Das BVwG hat im angefochtenen Erkenntnis festgehalten, dass dem AMS W (als regionaler Geschäftsstelle) nach § 56 AlVG die behördliche Verfahrensführung hinsichtlich des Anspruchs auf eine Leistung nach dem AlVG gesetzlich übertragen und damit auch seine Verantwortlichkeit für die (zu diesem Zweck erfolgenden) Datenverarbeitungen nach Art. 4 Z 7 DSGVO festgelegt worden sei. Die Verantwortlichkeit der regionalen Geschäftsstelle ergebe sich somit aus ihrer rechtlichen Zuständigkeit.
40Demgegenüber bringt der Revisionswerber vor, § 25 AMSG ermögliche dem AMS für die Erfüllung seiner gesetzlichen Aufgaben, zu denen gemäß § 29 AMSG auch die Sicherung der Beschäftigung arbeitssuchender Personen und die Sicherung der Existenz arbeitsloser Personen zähle, eine umfangreiche Verarbeitung personenbezogener Daten. Durch diese Regelungen werde dem AMS die Stellung als Verantwortlicher explizit auferlegt. Das AMS sei somit „allein und ausschließlich“ als datenschutzrechtlich Verantwortlicher für alle Datenverarbeitungen nach dem AMSG anzusehen. Das BVwG habe § 25 AMSG in seiner Entscheidung jedoch nicht berücksichtigt.
41Die DSB schließt sich dem Vorbringen des Revisionswerbers an. Für die Bestimmung des datenschutzrechtlich Verantwortlichen wäre somit nicht nur § 56 AlVG, sondern auch § 25 AMSG zu beachten gewesen. Aus den Erläuterungen zu dieser Bestimmung (Hinweis auf RV 65 BlgNR 26. GP 26) ergebe sich, dass der Revisionswerber Verantwortlicher des öffentlichen Bereichs sei.
42 5.2.Der Verwaltungsgerichtshof hat in seinem Erkenntnis vom 27. Juni 2023, Ro 2023/04/0013, zur Stellung als datenschutzrechtlich Verantwortlicher allgemein Folgendes festgehalten:
„22 Der EuGH hält in ständiger Rechtsprechung fest, dass der Begriff des Verantwortlichen weit definiert ist, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (vgl. EuGH 29.7.2019, C 40/17, Fashion ID , Rn. 65 f, mwN, iZm einem Online Händler, der auf seiner Webpage ein ,Social Plugin‘ eines sozialen Netzwerkes eingebunden hat). Weiters hat der EuGH ausgesprochen, dass der Begriff auch mehrere an der Datenverarbeitung beteiligte Akteure erfassen kann (wobei die Personen in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein können) und dass jede Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung mitwirkt, als Verantwortlicher angesehen werden kann (vgl. erneut EuGH C 40/17, Rn. 67 ff, mwN). Hingegen können Personen für vor oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegen, nicht als Verantwortliche angesehen werden (siehe wiederum EuGH C 40/17, Rn. 74). Die Verantwortlichkeit ist auf Vorgänge der Datenverarbeitung beschränkt, für die der Betreffende tatsächlich über die Zwecke und Mittel entscheidet (EuGH C 40/17, Rn. 85).
23 Weiters hat der EuGH festgehalten, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung nach den zugrundeliegenden Vorschriften nicht (zwingend) mittels schriftlicher Anweisungen erfolgen muss (siehe EuGH 10.7.2018, C 25/17, Tietosuojavaltuutettu , Rn. 67). Als Verantwortlicher kann angesehen werden, wer einen Beitrag zur Entscheidung über die Zwecke und Mittel der Datenverarbeitung leistet (vgl. EuGH 5.6.2018, C 210/16, Wirtschaftsakademie Schleswig Holstein , Rn. 31, iZm dem Betreiber einer auf einem sozialen Netzwerk unterhaltenen ,Fanpage‘).
24 Auch nach der Rechtsprechung des Verwaltungsgerichtshofes ist für die Qualifikation als (damals noch) Auftraggeber (nunmehr Verantwortlicher) maßgeblich, wer die Entscheidung getroffen hat, die Daten zu verarbeiten (vgl. VwGH 18.3.2022, Ro 2020/04/0027, Rn. 21, mwN). Allein aus der Eigenschaft als oberste Verwaltungsbehörde (dort des Bundesministers als oberste Sicherheitsbehörde) könne auch in Ermangelung dahingehender Anhaltspunktenicht darauf geschlossen werden, dass diese auch die Entscheidungen über Datenverarbeitungen auf der nachgeordneten Ebene (dort der Landespolizeidirektion) selbst treffe (vgl. VwGH 23.2.2021, Ra 2019/04/0054, Rn. 34).“
43 Der EuGH hat in seinem auf einem Vorabentscheidungsersuchen des Verwaltungsgerichtshofes beruhenden Urteil vom 27. Februar 2025, C 638/23, Amt der Tiroler Landesregierung , zum Begriff des Verantwortlichen im Sinn des Art. 4 Z 7 DSGVO Folgendes festgehalten:
„28 Angesichts der weiten Definition des Ausdrucks ,Verantwortlicher‘ im Sinne von Art. 4 Nr. 7 DSGVO kann die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht nicht nur explizit, sondern auch implizit erfolgen. Im letzteren Fall ist es jedoch erforderlich, dass sich diese Vorgabe mit hinreichender Bestimmtheit aus der Rolle, dem Auftrag und den Aufgaben der betroffenen Person oder Einrichtung ergibt (Urteil vom 11. Januar 2024, État belge [Von einem Amtsblatt verarbeitete Daten], C 231/22, EU:C:2024:7, Rn. 30).
[...]
31 Somit kann nicht ausgeschlossen werden, dass eine Stelle auch dann als ,Verantwortlicher‘ im Sinne dieser Bestimmung eingestuft werden kann, wenn sie keine Rechtspersönlichkeit besitzt.
32 Was zum anderen die Frage betrifft, ob eine Stelle nur dann als ,Verantwortlicher‘ eingestuft werden kann, wenn sie eine eigene Rechtsfähigkeit hat, oder bereits dann, wenn sie über eine gewisse Entscheidungs und Handlungsfähigkeit im Rahmen des Schutzes personenbezogener Daten verfügt, ist darauf hinzuweisen, dass der Unionsgesetzgeber ausweislich des 74. Erwägungsgrundes der DSGVO gewollt hat, dass der Verantwortliche für jedwede Verarbeitung personenbezogener Daten unabhängig davon, ob sie durch ihn oder durch einen Dritten, aber in seinem Namen, erfolgt, dieselbe Verantwortung und Haftung trägt. Nach dem Willen des Unionsgesetzgebers sollte zudem der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die fraglichen Maßnahmen auch wirksam sind. [...]
[...]
34 In Anbetracht der rechtlichen Verpflichtungen, denen der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO somit unterliegt, muss er nach den in den Rechtsvorschriften seines Mitgliedstaats vorgesehenen Modalitäten in der Lage sein, diese Verpflichtungen in tatsächlicher und rechtlicher Hinsicht zu erfüllen, ohne dass es insoweit darauf ankommt, ob die betreffende Stelle Rechtspersönlichkeit und eine eigene Rechtsfähigkeit hat.
[...]
39 Eine solche Benennung [im Sinn des Art. 4 Z 7 zweiter Halbsatz DSGVO] ist jedoch nur dann rechtswirksam, wenn die nationale Regelung den Umfang der Verarbeitung personenbezogener Daten, für die diese Stelle als verantwortlich benannt ist, vorgibt, wobei es nicht erforderlich ist, dass der Gesetzgeber alle Verarbeitungsvorgänge, für die die Stelle auf diese Weise benannt ist, abschließend aufgezählt hat. Im 45. Erwägungsgrund der DSGVO heißt es insoweit: ,Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist.‘
[...]
41 Hier hat das vorlegende Gericht zum einen zu prüfen, ob die Verarbeitung personenbezogener Daten, die das Amt [...] vorgenommen hat, mit den Zwecken vereinbar ist, denen die Verarbeitungen personenbezogener Daten, für die das Amt als verantwortlich benannt wurde, entsprechen müssen, so wie sich diese Zwecke zumindest implizit aus der Gesamtheit der nationalen Rechtsvorschriften betreffend seine Tätigkeit ergeben; zum anderen hat das vorlegende Gericht die Mittel zu würdigen, die das Amt hierfür einsetzen kann. Der bloße Umstand, dass diese nationalen Rechtsvorschriften gegebenenfalls nicht konkret vorgeben, welche Verarbeitungsvorgänge das Amt durchführen darf, schließt es nicht aus, eine Stelle wie das Amt als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO einzustufen.
[...]
43 [Es] genügt der Hinweis, dass zur Feststellung, ob eine Stelle die Eigenschaft eines Verantwortlichen im Sinne von Art. 4 Nr. 7 erster Halbsatz DSGVO hat, zu prüfen ist, ob sie tatsächlich zu ihren eigenen Zwecken auf die Entscheidung über die Zwecke und Mittel der Verarbeitung Einfluss genommen hat [...].
44 Um die Eigenschaft einer Stelle als Verantwortlicher im Sinne von Art. 4 Nr. 7 zweiter Halbsatz DSGVO festzustellen, ist es hingegen, wie sich aus dem klaren Wortlaut dieser Bestimmung ergibt, nicht erforderlich, dass diese Stelle einen Einfluss auf die Entscheidung über die Zwecke und Mittel dieser Verarbeitung ausübt.
45 Eine solche Stelle, die nach nationalem Recht als Verantwortlicher benannt ist, muss daher nicht selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, um als Verantwortlicher Anfragen beantworten zu müssen, die betroffene Personen aufgrund ihrer Rechte aus der DSGVO an sie richten.
46 Insoweit hat der Gerichtshof bereits entschieden, dass die Rechtswirksamkeit einer unmittelbaren Benennung nicht dadurch berührt wird, dass die als Verantwortlicher benannte Stelle nach nationalem Recht keine Kontrolle über die personenbezogenen Daten ausübt, die sie zu verarbeiten hat [...].
[...]
48 Hinzuzufügen ist noch, dass der Umstand, wonach es nicht erforderlich ist, dass eine nach nationalem Recht als Verantwortlicher benannte Stelle auch befugt ist, selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden, um als Verantwortlicher Anfragen beantworten zu müssen, die betroffene Personen aufgrund ihrer Rechte aus der DSGVO an sie richten, als solcher diesen Personen nicht die Möglichkeit nimmt, diese Anfragen an eine andere Stelle zu richten, die sie aufgrund des Einflusses, den diese andere Stelle auf die Entscheidung über die Zwecke und Mittel der Verarbeitung ihrer personenbezogenen Daten ausgeübt hat, als für die fragliche Verarbeitung (Mit )Verantwortlichen ansehen.“
44 Zum Begriff der „gemeinsam Verantwortlichen“ hat der EuGH in seinem Urteil vom 7. März 2024, C 604/22, IAB Europe , zudem Folgendes ausgesprochen:
„58 Insoweit muss zwar jeder gemeinsam Verantwortliche für sich genommen die Definition des ,Verantwortlichen‘ in Art. 4 Nr. 7 DSGVO erfüllen, doch hat das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach dieser Bestimmung nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat [...].
59 Die Mitwirkung an der Entscheidung über die Zwecke und Mittel der Verarbeitung kann verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen solcher Einrichtungen ergeben. In letzterem Fall müssen sich diese Entscheidungen in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und mittel auswirkt. Dagegen ist nicht erforderlich, dass zwischen diesen Verantwortlichen eine förmliche Vereinbarung über die Zwecke und Mittel der Verarbeitung besteht [...].“
45 5.3. Ausgehend davon kann dem BVwG zunächst zwar nicht entgegengetreten werden, wenn es die auf die Rechtspersönlichkeit abstellende Argumentation der DSB, es könne nur das AMS und nicht das AMS W Verantwortlicher sein, als unzutreffend angesehen hat (siehe EuGH C638/23, Rn. 31, 34). Das BVwG hat auch dem Grunde nach zutreffend darauf hingewiesen, dass dem AMS W (als regionaler Geschäftsstelle) im AlVG behördliche Aufgaben übertragen werden und dass damit eine Stellung als Verantwortlicher hinsichtlich derjenigen Datenverarbeitungen einhergeht, die für die Erfüllung dieser behördlichen Aufgabe Voraussetzung sind (vgl. dazu Erwägungsgrund 45 zur DSGVO sowie die Leitlinien 07/2020 des Europäischen Datenschutzausschusses zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, vom 7.7.2021, Rn. 24).
46Insofern kann dem Revisionswerber nicht beigetreten werden, wenn dieser in seiner Revision geltend macht, er sei durch die Regelungen des AMSG „allein und ausschließlich als datenschutzrechtlich Verantwortlicher“ hinsichtlich aller Datenverarbeitungen auch im Zusammenhang mit der Entscheidung über Ansprüche nach dem AlVG bestimmt. Auch den von der DSB ins Treffen geführten Erläuterungen (RV 65 BlgNR 26. GP 26) lässt sich Derartiges nicht entnehmen, zumal darin zwar zum Ausdruck gebracht wird, dass es sich beim AMS um einen Verantwortlichen des öffentlichen Bereichs (im Sinn des § 26 Abs. 1 Z 1 DSG) handelt, sich daraus aber nicht ergibt, dass in § 25 AMSG eine exklusive Benennung des AMS als (alleiniger) datenschutzrechtlich Verantwortlicher erfolgt sei.
47Umgekehrt ergibt sich im Hinblick auf die dargestellten Ausführungen sowohl des EuGH als auch des Verwaltungsgerichtshofes zur Möglichkeit einer Beteiligung mehrerer Akteure als datenschutzrechtlich Verantwortliche an einer Datenverarbeitung daraus aber nicht, dass aus einer Bejahung der Stellung des AMS W als datenschutzrechtlich Verantwortlicher automatisch eine Verneinung der Stellung des AMS als Verantwortlicher folgen würde. Zwar ist in der Regelung des § 25 AMSG entgegen der in der Revision zum Ausdruck kommenden Auffassung keine explizite Benennung des AMS als datenschutzrechtlich Verantwortlicher hinsichtlich der hier gegenständlichen Datenverarbeitung zu sehen. Das ändert aber nichts daran, dass die Übertragung von Aufgaben und die Ermächtigung zur Verarbeitung von damit im Zusammenhang stehenden Daten eine Stellung als Verantwortlicher zu begründen vermag, die sich abhängig von den dazu zu treffenden Feststellungen zur Rolle bzw. zum Beitrag des AMS auch auf die hier monierten Datenverarbeitungen erstrecken könnte. Die vom BVwG vertretene Ansicht, beim AMS W handle es sich um den datenschutzrechtlich Verantwortlichen für die hier in Rede stehende Datenverarbeitung, kann es daher nicht rechtfertigen, den gegen das AMS als Verantwortlichen gerichteten Bescheid der DSB ersatzlos zu beheben, ohne ihn einer inhaltlichen Beurteilung zu unterziehen.
48 6.Indem das BVwG eine inhaltliche Prüfung der Stellung des AMS als (allenfalls gemeinsamer) Verantwortlicher gemäß Art. 4 Z 7 DSGVO hinsichtlich der gegenständlichen Datenverarbeitung unterlassen hat, hat es das angefochtene Erkenntnis mit Rechtswidrigkeit seines Inhaltes belastet; das Erkenntnis war daher gemäß § 42 Abs. 2 Z 1 VwGG aufzuheben.
49Von der Durchführung der beantragten mündlichen Verhandlung konnte gemäß § 39 Abs. 2 Z 6 VwGG abgesehen werden, zumal im Hinblick auf die im vorliegenden Revisionsverfahren zu beurteilende Zulässigkeit der ersatzlosen Behebung des Bescheides der DSB keine Rechts oder Tatsachenfrage aufgeworfen wurde, deren Lösung eine mündliche Verhandlung erfordert hätte.
50Die Entscheidung über den Aufwandersatz stützt sich im beantragten Ausmaß auf die §§ 47 ff VwGG in Verbindung mit der VwGH Aufwandersatzverordnung 2014.
Wien, am 5. Juni 2025
Rückverweise
RIS