TEL.: +43 1 246 30-801  |  E-MAIL: support@lindeverlag.at
Suchen Hilfe
VwGH vom 27.06.2023, Ro 2023/04/0013

VwGH vom 27.06.2023, Ro 2023/04/0013

Betreff

Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Handstanger, Hofrat Dr. Mayr, Hofrätin Mag. Hainz-Sator sowie die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision des Amtes der Vorarlberger Landesregierung, vertreten durch Baker McKenzie Rechtsanwälte LLP & Co KG in 1010 Wien, Schottenring 25, gegen das Erkenntnis des Bundesverwaltungsgerichtes vom , Zl. W258 2263074-1/7E, betreffend eine Datenschutzbeschwerde iZm dem Recht auf Geheimhaltung (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; weitere Partei: Bundesministerin für Justiz; mitbeteiligte Partei: A E in B), zu Recht erkannt:

Spruch

Die Revision wird als unbegründet abgewiesen.

Der Revisionswerber hat dem Bund Aufwendungen in der Höhe von € 553,20 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.

Begründung

I.

11. Der Mitbeteiligte erstattete am eine gegen das Amt der Vorarlberger Landesregierung (Revisionswerber) als Beschwerdegegner gerichtete Datenschutzbeschwerde wegen Verletzung im Recht auf Geheimhaltung gemäß § 1 Abs. 1 Datenschutzgesetz (DSG). Der Datenschutzbeschwerde lag ein an den Mitbeteiligten gerichtetes Schreiben zugrunde, in dem dieser von einem für ihn reservierten Termin für eine COVID-Schutzimpfung informiert wurde.

2Mit Bescheid vom gab die Datenschutzbehörde (DSB, belangte Behörde) dieser Datenschutzbeschwerde statt und stellte fest, dass der Revisionswerber den Mitbeteiligten dadurch in seinem Recht auf Geheimhaltung verletzt habe, indem er unrechtmäßig auf die Daten des Mitbeteiligten im zentralen Impfregister und im Patientenindex zugegriffen und diese Daten zum Zweck des Versands eines Schreibens mit Informationen betreffend einen Termin für eine COVID-Schutzimpfung verarbeitet habe.

3Die belangte Behörde stellte fest, der Revisionswerber habe ein Schreiben mit Informationen betreffend einen Termin für eine COVID-Schutzimpfung an den Mitbeteiligten geschickt und zu diesem Zweck über die E GmbH als Auftragsverarbeiterin und die I GmbH als Sub-Auftragsverarbeiterin auf die Daten des Mitbeteiligten im zentralen Impfregister zugegriffen und diese Daten zur Ermittlung der aktuellen Wohnadresse mit den Daten im Patientenindex abgeglichen. In rechtlicher Hinsicht ging die belangte Behörde - auf das Wesentliche verkürzt - davon aus, dass der Revisionswerber (gemäß dem Gesundheitstelematikgesetz 2012) über keine spezifische Zugriffsberechtigung auf das zentrale Impfregister verfüge; daher sei auch die nachfolgende Datenverarbeitung rechtswidrig gewesen.

4Gegen diesen Bescheid erhob der Revisionswerber Beschwerde an das Bundesverwaltungsgericht (BVwG). Darin brachte er ua. vor, er sei lediglich Geschäftsapparat und sein Verwaltungshandeln - und damit auch der Zugriff auf das zentrale Impfregister - sei dem Landeshauptmann zuzurechnen. Zudem bestehe an Impferinnerungen ein erhebliches öffentliches Interesse.

52. Mit dem angefochtenen Erkenntnis vom gab das BVwG dieser Beschwerde nach Durchführung einer mündlichen Verhandlung Folge und behob den bekämpften Bescheid ersatzlos. Die ordentliche Revision wurde gemäß Art. 133 Abs. 4 B-VG für zulässig erklärt.

6Das BVwG hielt eingangs fest, Ende November 2021 seien im Namen der Vorarlberger Gesundheitslandesrätin (Landesrätin), der Ärztekammer Vorarlberg sowie diverser Sozialversicherungsträger an Personen über 18 Jahre mit Wohnsitz in Vorarlberg, die bislang keine Schutzimpfung gegen COVID-19 erhalten hätten, Impferinnerungsschreiben versendet worden. Der Revisionswerber habe im Verfahren vorgebracht, alleiniger Verantwortlicher bezüglich der gegenständlichen Datenverarbeitung zu sein.

7Im Rahmen seiner Feststellungen gab das BVwG den Inhalt des Impferinnerungsschreibens wieder, das seitens der Landesrätin, des Präsidenten der Ärztekammer für Vorarlberg und eines Leitenden Chefarztes der ÖGK unterschrieben worden sei. Weiters stellte das BVwG fest, dass die Landesrätin den Revisionswerber im Namen des Landeshauptmannes angewiesen habe, ein Impferinnerungsschreiben an die Einwohner Vorarlbergs in Entsprechung des damals aktuellen Impfplans zu senden. Für die Ermittlung der Adressaten habe die Landesrätin die E GmbH beauftragt, die den Auftrag wiederum an die I GmbH weitergegeben habe. Die I GmbH habe aus dem Patientenindex alle Personen über 18 Jahre mit Adresse in Vorarlberg ermittelt und anschließend jene Personen ausgefiltert, die im zentralen Impfregister über einen Eintrag für eine COVID-19-Impfung verfügt hätten. Die Namen und Adressen der verbleibenden Personen seien in weiterer Folge einem Druckdienstleister übermittelt worden, der die Briefe gedruckt und versendet habe. Der Revisionswerber habe seinerseits Vorschläge für die Vorgehensweise und den Entwurf eines Impferinnerungsschreibens erstellt. Die Landesrätin sei im regelmäßigen Kontakt mit den Sachbearbeitern des Revisionswerbers gestanden und habe die wesentlichen Schritte, wie die endgültige Ausgestaltung des Schreibens, die Empfängerkreise und den dafür erforderlichen Zugriff auf den Patientenindex und das zentrale Impfregister, genehmigt. In seiner Beweiswürdigung stützte sich das BVwG insbesondere auf das vorgelegte Impferinnerungsschreiben, auf den (von der Landesrätin unterfertigten) Vertrag mit der E GmbH sowie auf die Einvernahme von drei leitenden Mitarbeitern des Amtes der Vorarlberger Landesregierung (darunter des Landesamtsdirektors).

8In rechtlicher Hinsicht prüfte das BVwG zunächst, wer für die gegenständliche Datenverarbeitung als datenschutzrechtlicher Verantwortlicher anzusehen sei. Nach der Definition des Art. 4 Z 7 Datenschutz-Grundverordnung (DSGVO) sei Verantwortlicher, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheide. Der Versand der Impferinnerungsschreiben sei eine Angelegenheit des Gesundheitswesens, das in mittelbarer Bundesverwaltung (grundsätzlich vom Landeshauptmann, allenfalls von einem Mitglied der Landesregierung) zu vollziehen sei. Das Amt der Landesregierung sei administrativer Hilfsapparat; zwar könne es selbst datenschutzrechtlicher Verantwortlicher sein, wenn es durch eine Rechtsvorschrift als solcher festgelegt werde (was in Vorarlberg nicht der Fall sei) oder selbst die Zwecke und Mittel der Datenverarbeitung bestimme. Im vorliegenden Fall habe die Landesrätin den Zweck des Impferinnerungsschreibens, nämlich die Impfquote zu erhöhen, sowie den Zweck des Zugriffs auf den Patientenindex und das zentrale Impfregister, nämlich die Adressaten der Schreiben zu bestimmen, aber selbst vorgegeben. Die Landesrätin habe auch die wesentlichen Mittel der Datenverarbeitung (die Ausgestaltung des Schreibens, die Festlegung der Empfängerkreise und den dafür erforderlichen Zugriff auf den Patientenindex und das zentrale Impfregister) bestimmt. Der Revisionswerber sei dabei beratend zur Seite gestanden und habe Vorschläge unterbreitet, die Letztverantwortung sei aber bei der Landesrätin verblieben. Der Revisionswerber habe daher weder über den Zweck noch über die Mittel der Datenverarbeitung entschieden und könne daher nicht Verantwortlicher iSd Art. 4 Z 7 DSGVO sein.

9Eine Datenschutzbeschwerde - so das BVwG weiter - könne nur erfolgreich sein, wenn der Beschwerdegegner tatsächlich der datenschutzrechtliche Verantwortliche sei. Stelle sich heraus, dass der Beschwerdegegner gar nicht Verantwortlicher sei, wäre die Datenschutzbeschwerde an sich abzuweisen. Gegenständlich sei aber zu berücksichtigen, dass das Impferinnerungsschreiben keinen Hinweis auf das Amt der Vorarlberger Landesregierung enthalte, sondern ua. von der Landesrätin unterfertigt worden sei. Es sei daher unklar, ob der Mitbeteiligte tatsächlich das Amt der Landesregierung als Beschwerdegegner bezeichnen wollte oder ob er rechtsirrtümlich von einer Identität zwischen dem Amt der Landesregierung und der Landesrätin ausgegangen sei. Nach § 24 Abs. 2 Z 2 DSG habe die Datenschutzbeschwerde die Bezeichnung des Beschwerdegegners nur zu enthalten, soweit dies zumutbar sei. Im vorliegenden Fall sei das Impferinnerungsschreiben von Organwaltern dreier Rechtsträger unterfertigt worden und habe die Logos von zumindest zwei weiteren Rechtsträgern enthalten. Es sei für den Mitbeteiligten aus diesem Schreiben nicht ableitbar gewesen, wer über die Zwecke und Mittel der Datenverarbeitung entschieden habe, weshalb ihm die Benennung des Verantwortlichen nicht zumutbar gewesen sei. Es wäre daher der belangten Behörde oblegen, den Verantwortlichen amtswegig zu ermitteln. Da die belangte Behörde den Revisionswerber irrtümlich als Verantwortlichen bestimmt habe, habe sie das Verfahren „gegen jemanden geführt, der nicht vom Rechtsschutzantrag [des Mitbeteiligten] umfasst“ gewesen sei. Der Bescheid sei daher ersatzlos zu beheben gewesen. Die Datenschutzbeschwerde des Mitbeteiligten sei angesichts dessen nach wie vor unerledigt.

10Die Revision erachtete das BVwG als zulässig, weil es an Rechtsprechung des Verwaltungsgerichtshofes zur Frage fehle, wann die Nennung eines Beschwerdegegners unzumutbar iSd § 24 Abs. 2 Z 2 DSG sei, wie die DSB in einem solchen Fall vorzugehen und wie das BVwG zu entscheiden habe, wenn die DSB einen Bescheid gegen einen Beschwerdegegner erlasse und sich im Beschwerdeverfahren herausstelle, dass dieser gar nicht Verantwortlicher gewesen sei.

113. Gegen dieses Erkenntnis richtet sich die vorliegende außerordentliche Revision.

12Die belangte Behörde erstattete eine Revisionsbeantwortung, in der sie die kostenpflichtige Zurückweisung, in eventu Abweisung der Revision beantragt.

II.

Der Verwaltungsgerichtshof hat erwogen:

131. Der Revisionswerber erachtet sich in seinem Recht auf Abweisung der Datenschutzbeschwerde verletzt, weil das BVwG - anstatt den Bescheid der DSB dahingehend abzuändern, dass die Datenschutzbeschwerde abgewiesen werde - den bekämpften Bescheid „nur ersatzlos behoben“ habe.

14Die belangte Behörde bringt dazu in ihrer Revisionsbeantwortung vor, der Revisionswerber werde durch das angefochtene Erkenntnis in keine nachteilige Lage versetzt und damit nicht in subjektiven Rechten verletzt, weil die ersatzlose Behebung des „Ausgangsbescheides“ zur Folge habe, dass das Verfahren gegen den Revisionswerber nicht mehr geführt werden dürfe (Verweis auf ).

15Auch wenn - worauf die DSB in ihrer Revisionsbeantwortung dem Grunde nach zutreffend hinweist - die ersatzlose Behebung eines Bescheides eine neuerliche Entscheidung über den Verfahrensgegenstand grundsätzlich ausschließt (vgl. , Rn. 26, mwN), hat der Verwaltungsgerichtshof doch anerkannt, dass die ersatzlose Behebung in Ausnahmefällen nicht die Beendigung des Verfahrens nach sich zieht (vgl. dazu etwa ; bzw. - noch zur Rechtslage des § 66 Abs. 4 AVG - ; siehe weiters dazu Hengstschläger/Leeb, AVG ErgBd [2017] § 28 VwGVG, Rz 73). Das BVwG ist gegenständlich offenbar vom Vorliegen eines derartigen Ausnahmefalles ausgegangen, zumal in der Begründung der angefochtenen Entscheidung festgehalten wird, dass die Datenschutzbeschwerde des Mitbeteiligten nach wie vor unerledigt sei.

16Gemäß § 24 Abs. 5 letzter Satz DSG ist eine Beschwerde, soweit sie sich als nicht berechtigt erweist, abzuweisen. Die Frage, ob sich eine Datenschutzbeschwerde als berechtigt erweist, ist - ebenso wie die konkreten rechtlichen Folgen der vom BVwG vorliegend getroffenen Entscheidung sowie die Frage ihrer Rechtmäßigkeit - auf der Ebene der Sachlegitimation und nicht auf der Ebene der Prozesslegitimation zu beurteilen. Somit kann aber letztlich nicht von Vornherein ausgeschlossen werden, dass der Revisionswerber durch die (nach Ansicht des BVwG das Verfahren nicht endgültig beendende) ersatzlose Behebung des bekämpften Bescheides - anstatt einer von ihm beantragten Abweisung der Datenschutzbeschwerde gemäß § 24 Abs. 5 letzter Satz DSG - in Rechten verletzt ist (vgl. dazu, dass die behauptete Rechtsverletzung für die Zulässigkeit einer Revisionserhebung zumindest möglich sein muss, , Rn. 9; ). Die Revision war daher nicht mangels Revisionslegitimation zurückzuweisen.

172. Der Revisionswerber verweist in seinem Zulässigkeitsvorbringen zum einen auf die vom BVwG aufgeworfene Rechtsfrage und bringt zum anderen vor, das BVwG sei insofern von näher zitierter Rechtsprechung des Verwaltungsgerichtshofes abgewichen, als es nicht die Datenschutzbeschwerde des Mitbeteiligten abgewiesen, sondern den bekämpften Bescheid ersatzlos behoben habe.

18Die Revision erweist sich auf Grund der seitens des BVwG aufgeworfenen Rechtsfragen als zulässig.

193. Bevor auf diese Fragen einzugehen ist, ist jedoch in einem ersten (vorgelagerten) Schritt zu prüfen, ob das BVwG seiner Entscheidung zu Recht zugrunde gelegt hat, dass der Revisionswerber hinsichtlich der hier gegenständlichen Datenverarbeitung nicht als datenschutzrechtlicher Verantwortlicher iSd Art. 4 Z 7 DSGVO anzusehen ist.

203.1. Gemäß der Begriffsdefinition des Art. 4 Z 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

21Vorauszuschicken ist, dass hinsichtlich dieser Definition (abgesehen von einer abgeänderten Bezeichnung) gegenüber derjenigen der Vorgängerbestimmung des Art. 2 lit. d der Richtlinie 95/46/EG keine inhaltliche Änderung eingetreten ist (so auch Feiler/Forgó, EU-DSGVO [2017] Art. 4 Rn. 11). Somit kann für die Auslegung der aktuellen Bestimmung auch die Rechtsprechung des Gerichtshofes der Europäischen Union (EuGH) zur Vorgängerbestimmung herangezogen werden.

22Der EuGH hält in ständiger Rechtsprechung fest, dass der Begriff des Verantwortlichen weit definiert ist, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (vgl. , Fashion ID, Rn. 65 f, mwN, iZm einem Online-Händler, der auf seiner Webpage ein „Social Plugin“ eines sozialen Netzwerkes eingebunden hat). Weiters hat der EuGH ausgesprochen, dass der Begriff auch mehrere an der Datenverarbeitung beteiligte Akteure erfassen kann (wobei die Personen in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein können) und dass jede Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung mitwirkt, als Verantwortlicher angesehen werden kann (vgl. erneut EuGH C-40/17, Rn. 67 ff, mwN). Hingegen können Personen für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegen, nicht als Verantwortliche angesehen werden (siehe wiederum EuGH C-40/17, Rn. 74). Die Verantwortlichkeit ist auf Vorgänge der Datenverarbeitung beschränkt, für die der Betreffende tatsächlich über die Zwecke und Mittel entscheidet (EuGH C-40/17, Rn. 85).

23Weiters hat der EuGH festgehalten, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung nach den zugrundeliegenden Vorschriften nicht (zwingend) mittels schriftlicher Anweisungen erfolgen muss (siehe , Tietosuojavaltuutettu, Rn. 67). Als Verantwortlicher kann angesehen werden, wer einen Beitrag zur Entscheidung über die Zwecke und Mittel der Datenverarbeitung leistet (vgl. , Wirtschaftsakademie Schleswig-Holstein, Rn. 31, iZm dem Betreiber einer auf einem sozialen Netzwerk unterhaltenen „Fanpage“).

24Auch nach der Rechtsprechung des Verwaltungsgerichtshofes ist für die Qualifikation als (damals noch) Auftraggeber (nunmehr Verantwortlicher) maßgeblich, wer die Entscheidung getroffen hat, die Daten zu verarbeiten (vgl. , Rn. 21, mwN). Allein aus der Eigenschaft als oberste Verwaltungsbehörde (dort des Bundesministers als oberste Sicherheitsbehörde) könne - auch in Ermangelung dahingehender Anhaltspunkte - nicht darauf geschlossen werden, dass diese auch die Entscheidungen über Datenverarbeitungen auf der nachgeordneten Ebene (dort der Landespolizeidirektion) selbst treffe (vgl. , Rn. 34).

253.2. Das BVwG hat zunächst zu Recht festgehalten, dass die hier gegenständliche Datenverarbeitung im Hinblick auf den damit verfolgten Zweck den Angelegenheiten des Gesundheitswesens zuzuordnen ist, das wiederum in mittelbarer Bundesvollziehung vom Landeshauptmann bzw. - wie in Vorarlberg der Fall - von einem damit beauftragten Mitglied der Landesregierung (im Namen des Landeshauptmannes) vollzogen wird.

26Gemäß der Definition des Art. 4 Z 7 letzter Halbsatz DSGVO (siehe dazu auch Erwägungsgrund 45) kann, wenn die Zwecke und Mittel der Verarbeitung durch das Recht der Mitgliedstaaten vorgegeben sind, der Verantwortliche (bzw. die Kriterien seiner Benennung) nach dem Recht der Mitgliedstaaten vorgesehen werden. Im vorliegenden Fall hat das BVwG seiner Entscheidung zutreffend zugrunde gelegt, dass das Amt der Landesregierung in Vorarlberg nicht durch eine Rechtsvorschrift ausdrücklich als datenschutzrechtlicher Verantwortlicher bestimmt worden ist.

27Der Revisionswerber könnte daher nach den Maßstäben der oben wiedergegebenen Rechtsprechung nur dann datenschutzrechtlicher Verantwortlicher sein, wenn er über die Zwecke und die Mittel der hier gegenständlichen Verarbeitung personenbezogener Daten selbst entschieden bzw. an der Entscheidung darüber selbst mitgewirkt, dazu beigetragen oder einen Einfluss darauf genommen hätte.

28Das BVwG hat der angefochtenen Entscheidung - gestützt auf eine nicht zu beanstandende Beweiswürdigung - zugrunde gelegt, dass die Landesrätin den Revisionswerber angewiesen habe, die hier gegenständlichen Impferinnerungsschreiben zu versenden, und dass sie für die Ermittlung der Adressaten die E GmbH beauftragt habe; weiters habe die Landesrätin die wesentlichen Schritte wie insbesondere den erforderlichen Zugriff auf den Patientenindex und das zentrale Impfregister genehmigt. Das BVwG hat dabei zutreffender Weise neben der Prüfung der rechtlichen Grundlagen auch auf die faktischen Gegebenheiten bei der Datenverarbeitung abgestellt (vgl. insoweit auch die vom Europäischen Datenschutzausschuss angenommenen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Rn. 25 ff). Aus all dem folgerte das BVwG in rechtlich nicht zu beanstandender Weise, dass die Landesrätin sowohl den Zweck der Datenverarbeitung (Erhöhung der Impfquote) als auch die wesentlichen Mittel (gezielte Einladung der bislang nicht gegen COVID-19 geimpften, in Vorarlberg wohnhaften Personen unter Heranziehung der Daten aus dem zentralen Impfregister und dem Patientenindex) selbst bestimmt habe und somit für die vorliegende Datenverarbeitung als datenschutzrechtliche Verantwortliche anzusehen sei.

29Zwar stünde dies im Hinblick auf die Möglichkeit einer gemeinsamen Verantwortlichkeit mehrerer Akteure der Annahme, dass auch der Revisionswerber datenschutzrechtlicher Verantwortlicher der hier gegenständlichen Datenverarbeitung sei, noch nicht entgegen. Allerdings sind auf Basis der diesbezüglichen Feststellungen des BVwG keine Anhaltspunkte dafür ersichtlich, dass im vorliegenden Fall neben der Landesrätin auch der Revisionswerber - und sei es auch nur hinsichtlich einzelner Phasen der Datenverarbeitung - selbst über die Zwecke und Mittel der Datenverarbeitung entschieden bzw. zu dieser Entscheidung beigetragen habe.

30Ausgehend davon ist es somit nicht zu beanstanden, dass das BVwG bezogen auf die hier gegenständliche Verarbeitung personenbezogener Daten das Amt der Vorarlberger Landesregierung nicht als Verantwortlicher iSd Art. 4 Z 7 DSGVO angesehen hat. Somit ist im vorliegenden Fall auch nicht darauf einzugehen, ob das Amt der Landesregierung (als Einrichtung oder andere Stelle) nach der aktuellen Rechtslage (überhaupt) datenschutzrechtlicher Verantwortlicher sein kann (vgl. zur alten Rechtslage und damit zur Qualifikation als datenschutzrechtlicher Auftraggeber erneut , Rn. 34, iZm Organen und Geschäftsapparaten; weiters , iZm dem Magistrat der Stadt Wien).

314. Damit stellen sich in weiterer Folge die vom BVwG aufgeworfenen Fragen, wie in verfahrensrechtlicher Hinsicht vorzugehen ist, wenn das BVwG aus Anlass einer Beschwerde gegen einen Bescheid, mit dem die Verletzung eines Datenschutzrechts durch eine bestimmte Person festgestellt wurde, zur Ansicht gelangt, dass es sich bei dieser Person nicht um den datenschutzrechtlichen Verantwortlichen iSd Art. 4 Z 7 DSGVO handelt.

324.1. Der Verwaltungsgerichtshof hat sich bereits in verschiedenen Konstellationen mit der Frage befasst, wie mit einer Datenschutzbeschwerde umzugehen ist, die sich gegen eine Person bzw. Stelle richtet, die für die zugrundeliegende Datenverarbeitung nicht verantwortlich (nunmehr iSd des Art. 4 Z 7 DSGVO) ist.

33Dabei hat es der Verwaltungsgerichtshof nicht beanstandet, dass eine Datenschutzbeschwerde gegen mehrere Personen als Verantwortliche gerichtet war (vgl. , Rn. 36 ff); dies steht auch in Einklang mit der Definition des Verantwortlichen („allein oder gemeinsam mit anderen“) sowie der dazu ergangenen Rechtsprechung des EuGH (siehe die Darstellung in Rn. 20 und 22).

34Weiters hat der Verwaltungsgerichtshof dem Grunde nach anerkannt, dass die Berichtigung einer Bezeichnung des Beschwerdegegners im Rahmen einer vertretbaren Auslegung der Parteierklärung durch die DSB zulässig sein kann (vgl. erneut , Rn. 41 f, wo die DSB eine gegen einen namentlich genannten Polizeibeamten gerichtete Datenschutzbeschwerde als gegen die Landespolizeidirektion gerichtet ansah). Dies ist auch vor dem Hintergrund zu sehen, dass die Datenschutzbeschwerde die Bezeichnung des Beschwerdegegners gemäß § 24 Abs. 2 Z 2 DSG nur zu enthalten hat, soweit dies zumutbar ist. Wenn es nach dem DSG Fälle geben kann, in denen es für die von der Datenverarbeitung betroffene Person unzumutbar sein kann, den Verantwortlichen selbst zu eruieren und dementsprechend in der Datenschutzbeschwerde zu benennen, dann sind wohl auch Konstellationen anzuerkennen, in denen die betroffene Person den Verantwortlichen ungenau bzw. allenfalls auch unrichtig bezeichnet, ohne dass dies (siehe näher dazu im Anschluss) zwingend zu einer Abweisung der Datenschutzbeschwerde führen muss.

35Richtet sich die Datenschutzbeschwerde jedoch (unzweifelhaft) gegen eine bestimmte Person (oder Stelle), die allerdings nicht Verantwortlicher für die betreffende Datenverarbeitung ist, dann ist diese Datenschutzbeschwerde abzuweisen (vgl. wiederum , Rn. 42, dort iZm mit einer gegen zwei voneinander zu unterscheidende Beschwerdegegner gerichteten Datenschutzbeschwerde, wobei nur einer der beiden Genannten als Verantwortlicher in Betracht kam; vgl. weiters , Rn. 29, dort iZm einer geltend gemachten Verletzung im Recht auf Auskunft, wobei auch das Auskunftsbegehren an den in der Datenschutzbeschwerde genannten Rechtsträger gerichtet war).

364.2. Der vorliegend zu beurteilende Fall ist mit diesen (zuletzt genannten) Konstellationen allerdings nicht vergleichbar.

Das BVwG hat zum einen vor dem Hintergrund der Ausgestaltung des zugrundeliegenden Impferinnerungsschreibens die (nicht zu beanstandende) Auffassung vertreten, dass dem Mitbeteiligten die Benennung des (richtigen) Verantwortlichen nicht zumutbar war bzw. dass unklar sei, ob der Mitbeteiligte tatsächlich das Amt der Landesregierung als Beschwerdegegner bezeichnen wollte oder rechtsirrtümlich von einer Identität zwischen dem Amt der Landesregierung und der Landesrätin ausgegangen ist. Ob das BVwG dem Mitbeteiligten diese Annahme hinreichend deutlich vermittelt hat oder ob es den Mitbeteiligten angesichts der zugrundeliegenden Umstände ausdrücklich zu einer Aufklärung der von ihm angenommenen Unklarheit bzw. zu einer Stellungnahme hinsichtlich der Person des vom Mitbeteiligten ins Auge gefassten Beschwerdegegners hätte auffordern müssen, kann fallbezogen dahinstehen, weil der Mitbeteiligte keine Revision erhoben hat und ein allfälliger dahingehender Verfahrensmangel (bzw. die Relevanz eines solchen) nicht geltend gemacht wurde. Es ist somit fallbezogen nicht zu beanstanden, dass das BVwG die Datenschutzbeschwerde des Mitbeteiligten nicht als unzweifelhaft gegen den Revisionswerber (als Beschwerdegegner) gerichtet angesehen und sie dementsprechend nicht abgewiesen hat.

37Zum anderen ist das BVwG  zumindest implizit  davon ausgegangen, dass ein Austausch der Person des Verantwortlichen im verwaltungsgerichtlichen Verfahren (und somit eine Führung des Beschwerdeverfahrens gegen die Landesrätin anstelle des Revisionswerbers) nicht in Betracht kommt. Dies ist im Hinblick auf die „Sache“ des Beschwerdeverfahrens (vgl. dazu etwa , Rn. 8, wonach „Sache“ des Beschwerdeverfahrens jene Angelegenheit ist, die den Inhalt des Spruchs des bekämpften Bescheides gebildet hat) jedenfalls bei einer  wie hier gegenständlich - geltend gemachten Verletzung im Recht auf Geheimhaltung (somit der behaupteten Rechtswidrigkeit eines in der Vergangenheit liegenden abgeschlossenen Vorgangs) nicht als rechtswidrig anzusehen. Das BVwG konnte daher auch keine (erstmalige) inhaltliche Prüfung dahingehend vornehmen, ob eine Verletzung im Recht auf Geheimhaltung durch die (vom BVwG als Verantwortliche erachtete, jedoch von der DSB in ihrem Verfahren nicht als solche behandelte und damit beigezogene) Landesrätin vorlag.

38Vor diesem Hintergrund ist es daher nicht als rechtswidrig zu erkennen, dass das BVwG den  in seinem Spruch gegen den Revisionswerber ergangenen - bekämpften Bescheid der DSB ersatzlos behoben hat. Die Behebung ist allerdings  was erneut hervorzuheben ist - nur im Hinblick auf die Verfahrensführung gegen den Revisionswerber (als Beschwerdegegner) als „ersatzlos“ anzusehen.

395. Die vorliegende Revision war somit gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.

40Die Entscheidung über den Aufwandersatz beruht auf den §§ 47 ff VwGG iVm der VwGH-Aufwandersatzverordnung 2014.

Wien, am

Zusatzinformationen


Tabelle in neuem Fenster öffnen
ECLI:
ECLI:AT:VWGH:2023:RO2023040013.J00

Dieses Dokument entstammt dem Rechtsinformationssystem des Bundes.