VwGH Ra 2019/04/0054

VwGHRa 2019/04/005423.2.2021

Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Handstanger, Hofrat Dr. Mayr, Hofrätin Mag. Hainz‑Sator sowie die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung der Schriftführerin Klima, LL.M., über die Revision der X in Y, vertreten durch Dr. Christian Schmaus, Rechtsanwalt in 1060 Wien, Chwallagasse 4/11, gegen das Erkenntnis des Bundesverwaltungsgerichtes vom 14. März 2019, Zl. W256 2131983‑1/15E, betreffend eine datenschutzrechtliche Angelegenheit (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; mitbeteiligte Partei: Bundesministerium für Inneres in 1010 Wien, Herrengasse 7), zu Recht erkannt:

Normen

DSG 2000 §27
DSG 2000 §31 Abs2
DSG 2000 §31 Abs3 Z2
DSG 2000 §4 Z4
DSG 2000 §6 Abs1
DSG 2000 §69 Abs4
DSG 2000 §69 Abs5
DSG 2000 §69 Abs5 idF 2018/I/024
DSG 2000 §7 Abs2
DSG 2000 §70
VwGVG 2014 §28
VwRallg
32016R0679 Datenschutz-GrundV
32016R0679 Datenschutz-GrundV Art99

European Case Law Identifier: ECLI:AT:VWGH:2021:RA2019040054.L00

 

Spruch:

Das angefochtene Erkenntnis wird wegen Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften aufgehoben.

Der Bund hat der Revisionswerberin Aufwendungen in der Höhe von € 1.346,40 binnen zwei Wochen bei sonstiger Exekution zu ersetzen.

Begründung

I.

1 1. Zur Vorgeschichte wird gemäß § 43 Abs. 2 VwGG auf die Ausführungen im hg. Erkenntnis vom 26. Juni 2018, Ra 2017/04/0032, Rn. 1 bis 15, verwiesen.

2 Mit der dort angefochtenen Entscheidung vom 11. Jänner 2016 hat das Bundesverwaltungsgericht (BVwG) die datenschutzrechtliche Beschwerde der Revisionswerberin wegen Verletzung in ihrem Recht auf Geheimhaltung durch zwei näher bezeichnete datenschutzrechtliche Auftraggeber abgewiesen und die Beschwerde der Revisionswerberin hinsichtlich eines noch zu ermittelnden „Beschwerdegegners 3“ mangels Vorliegens eines bekämpfbaren Bescheides zurückgewiesen.

3 In der Folge hat das Bundeskanzleramt (BKA; erstmitbeteiligte Partei im Verfahren zu Ra 2017/04/0032) der Datenschutzbehörde (DSB, belangte Behörde) mit Stellungnahme vom 8. Februar 2016 über Aufforderung mitgeteilt, dass das Bundesministerium für Inneres (mitbeteiligte Partei im nunmehr vorliegenden Revisionsverfahren) dem BKA die mit der Revisionswerberin aufgenommene und sensible Daten enthaltende Niederschrift des Landeskriminalamtes Niederösterreich (LKA NÖ) vom 19. Februar 2007 (im Folgenden: Niederschrift) übermittelt habe.

4 2. Mit Bescheid vom 11. Juli 2016 wies die belangte Behörde die datenschutzrechtliche Beschwerde der Revisionswerberin gegen das Bundesministerium für Inneres wegen Verletzung im Recht auf Geheimhaltung durch Übermittlung der Niederschrift an das BKA ab.

5 Die belangte Behörde erachtete die Voraussetzungen für eine zulässige Übermittlung nach § 7 Abs. 2 Z 1 bis 3 DSG 2000 mit jeweils näherer Begründung als gegeben. Dem Vorhalt der Revisionswerberin, die Niederschrift sei unter Verletzung des Folterverbotes zustande gekommen, hielt die belangte Behörde entgegen, es sei nicht ihre Aufgabe, über die Zulässigkeit von Beweismitteln in internationalen Verfahren zu entscheiden.

6 3. Mit dem nunmehr angefochtenen Erkenntnis vom 14. März 2019, wies das BVwG die dagegen erhobene Beschwerde der Revisionswerberin als unbegründet ab. Die ordentliche Revision wurde für unzulässig erklärt.

7 Das BVwG legte seiner Entscheidung im Wesentlichen folgende Feststellungen zugrunde: Die Niederschrift sei der mitbeteiligten Partei im Zuge eines Devolutionsantrages der Revisionswerberin vom 6. Oktober 2008 in Zusammenhang mit einer Anfrage nach dem Auskunftspflichtgesetz vom damaligen Landespolizeikommando (LPK) vorgelegt und von der mitbeteiligten Partei elektronisch verarbeitet worden. Nach Einleitung eines Beschwerdeverfahrens beim Hochkommissariat für Menschenrechte der Vereinten Nationen durch die Revisionswerberin im November 2013 habe das BKA im Rahmen der Koordinierung der österreichischen Stellungnahme in diesem Beschwerdeverfahren die mitbeteiligte Partei um Vorlage von Unterlagen im Zusammenhang mit der Amtshandlung vom 19. Februar 2007 (die der Niederschrift zugrunde lag) ersucht. In der Folge habe die mitbeteiligte Partei die Niederschrift an das BKA übermittelt.

8 Zum anwendbaren Recht führte das BVwG unter Verweis auf § 69 Abs. 4 und 5 DSG aus, dass das DSG keine Übergangsregelungen für im Zeitpunkt seines Inkrafttretens beim BVwG anhängige Verfahren enthalte. Es liege daher eine planwidrige Lücke vor, die durch analoge Anwendung der für Übergangsfälle vor den ordentlichen Gerichten geltenden Regelung (wonach bei den ordentlichen Gerichten anhängige Verfahren nach den Bestimmungen des DSG und der Datenschutz‑Grundverordnung ‑ DSGVO fortzuführen seien) zu schließen sei.

9 In der Folge hielt das BVwG unter Verweis auf Art. 5 DSGVO fest, dass eine zulässige Datenverarbeitung in Form einer Übermittlung die Rechtmäßigkeit der dem Verantwortlichen zurechenbaren vorgelagerten Datenverarbeitung voraussetze. Im vorliegenden Fall obliege dem Bundesminister für Inneres als oberste Sicherheitsbehörde die (aus Art. 6 Abs. 2 der Konvention zur Beseitigung jeder Form von Diskriminierung der Frau ableitbare) Pflicht, in Verfahren betreffend Amtshandlungen der ihm untergeordneten Behörden zur Klärung der Sache beizutragen. Zum Zweck der Verteidigung der Rechte und des rechtmäßigen Handelns sei die mitbeteiligte Partei als dessen Hilfsapparat daher verpflichtet gewesen, die Niederschrift entsprechend der die Sicherheitsbehörden zur Dokumentation von Amtshandlungen ermächtigenden Bestimmung des § 13a Sicherheitspolizeigesetz (SPG) elektronisch zu verarbeiten und in weiterer Folge dem BKA zu übermitteln.

10 Die Revisionswerberin wende sich ausschließlich gegen die Rechtmäßigkeit der Erstellung der Niederschrift durch die Organe des LPK. Die Aufnahme und weitere Verarbeitung einer Niederschrift durch Organe des LPK könne aus datenschutzrechtlicher Sicht aber nicht der mitbeteiligten Partei zugerechnet und daher für die Beurteilung der Rechtmäßigkeit des hier gegenständlichen Übermittlungsvorganges nicht herangezogen werden. Da bei der Qualifikation als datenschutzrechtlicher Verantwortlicher auf die Entscheidung zur Datenverarbeitung abzustellen ist, ändere es auch nichts, dass die mitbeteiligte Partei ‑ wie von der Revisionswerberin behauptet ‑ von der „unzulässigen“ Verarbeitung durch das LPK Kenntnis gehabt habe. Zum Vorwurf der „ungeschwärzten“ Verarbeitung der Niederschrift verwies das BVwG auf die dazu ergangenen Ausführungen im hg. Erkenntnis Ra 2017/04/0032, wonach die Niederschrift zur Untermauerung des Prozessstandpunktes der Republik Österreich im Verfahren vor dem Hochkommissariat beitragen könne. Es bestünden daher aus datenschutzrechtlicher Sicht keine Bedenken gegen die in Zweifel gezogene Verarbeitung der Niederschrift durch die mitbeteiligte Partei.

11 4. Gegen dieses Erkenntnis erhob die Revisionswerberin zum einen Beschwerde gemäß Art. 144 B‑VG, deren Behandlung vom Verfassungsgerichtshof mit Beschluss vom 24. September 2019, E 1570/2019, abgelehnt wurde.

12 5. Parallel dazu erhob die Revisionswerberin die vorliegende außerordentliche Revision.

13 Die belangte Behörde erstattete eine Revisionsbeantwortung, in der sie die Zurückweisung, in eventu die Abweisung der Revision beantragt.

II.

Der Verwaltungsgerichtshof hat erwogen:

14 1. Die Revisionswerberin bringt zur Zulässigkeit ihrer Revision ua. vor, es fehle Rechtsprechung des Verwaltungsgerichtshofes dazu, ob eine Weiterleitung von rechtswidrig erlangten Daten an Dritte nach der DSGVO zulässig und die Auslegung des Verwaltungsgerichtshofes im Erkenntnis Ra 2017/04/0032 auf die nunmehr geltende Rechtslage zu übertragen sei. Zudem fehle Rechtsprechung des Verwaltungsgerichtshofes zur Frage, ob „Alt‑ oder Übergangsfälle“ nach der früheren oder der nunmehr geltenden Rechtslage zu entscheiden seien.

15 Die Revision erweist sich schon auf Grund des zuletzt genannten Vorbringens als zulässig.

2. Anzuwendende Rechtslage

16 2.1. Der insoweit maßgebliche Art. 99 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung [im Folgenden: DSGVO]), ABl. L 119 vom 4.5.2016, S. 1, lautet:

Artikel 99

Inkrafttreten und Anwendung

(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2) Sie gilt ab dem 25. Mai 2018.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“

17 Die für die Frage der anzuwendenden Rechtslage maßgeblichen Rechtsvorschriften des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 24/2018, lauten auszugsweise:

„Übergangsbestimmungen

§ 69. [...]

(4) Zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren sind nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt.

(5) Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes noch nicht anhängig gemacht wurden, sind nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen. Ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.

[...]

Inkrafttreten

§ 70. [...]

(9) Der Titel, das Inhaltsverzeichnis, das 1. Hauptstück, die Bezeichnung und Überschrift des 2. Hauptstücks, der 1., 2., 3. und 4. Abschnitt, die Überschrift und Bezeichnung des 5. Abschnittes, § 35 Abs. 1, die Bezeichnung und Überschrift des 3. Hauptstücks, der 1., 2. und 3. Abschnitt, die Überschrift und Bezeichnung des 4. Abschnittes, die §§ 58 und 59 samt Überschriften sowie das 4. und 5. Hauptstück in der Fassung des Bundesgesetzes BGBl. I Nr. 120/2017 treten mit 25. Mai 2018 in Kraft. Im Art. 2 treten der 1., 2., 3., 4., 5 und 6. Abschnitt, die Bezeichnung und die Überschrift des 7. Abschnittes, die Überschrift zu § 35, die §§ 36 bis 44 samt Überschriften, der 8., 9., 9a. und 10. Abschnitt, die Bezeichnung und die Überschrift des 11. Abschnittes, die §§ 53 bis 59 samt Überschriften, § 61 Abs. 1 bis 3 und 5 bis 10 sowie die §§ 62 bis 64 samt Überschriften in der Fassung vor der Novelle BGBl. I Nr. 120/2017 mit Ablauf des 24. Mai 2018 außer Kraft.

[...]

(12) Das Inhaltsverzeichnis, § 4 Abs. 1, 5 bis 7, § 5 Abs. 3 erster Satz und Abs. 5, § 9 samt Überschrift, § 11 samt Überschrift, § 12 Abs. 3 Z 2 und Abs. 4 Z 3, § 14 Abs. 1, § 15 Abs. 1 Z 5, Abs. 3, Abs. 5 Z 1 und 2, Abs. 6, 7 und 8, § 16 Abs. 3 Z 2 und Abs. 5, § 19 Abs. 2 und 3, § 23 Abs. 1, § 26 Abs. 1, § 28, § 30 Abs. 3 und 5, § 32 Abs. 1 Z 1, § 36 Abs. 1 und 2 Z 7, § 44 Abs. 2, § 49 Abs. 1 und 3, § 56 Abs. 1, § 64 Abs. 2, § 68 sowie § 69 Abs. 5 und 7 in der Fassung des Bundesgesetzes BGBl. I Nr. 24/2018 treten mit 25. Mai 2018 in Kraft. Gleichzeitig tritt § 45 Abs. 7 in der Fassung vor der Novelle BGBl. I Nr. 24/2018 außer Kraft. § 70 Abs. 1 bis 8 in der Fassung des Bundesgesetzes BGBl. I Nr. 24/2018 tritt mit dem auf die Kundmachung folgenden Tag in Kraft. Soweit sich die im Bundesgesetz BGBl. I Nr. 24/2018 getroffenen Anordnungen auf durch das Datenschutz‑Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, geschaffene Vorschriften beziehen, gehen die Regelungen des Bundesgesetzes BGBl. I Nr. 24/2018 jenen des Datenschutz‑Anpassungsgesetzes 2018, BGBl. I Nr. 120/2017, vor.

[...]“

18 Mit dem Datenschutz‑Anpassungsgesetz 2018, BGBl. I Nr. 120/2017, wurde der bisherige Gesetzestitel von Datenschutzgesetz 2000 (DSG 2000) auf Datenschutzgesetz (DSG) abgeändert (die in weiterer Folge verwendete Kurzbezeichnung DSG bezieht sich daher auf die Fassung ab dem 25. Mai 2018, die Kurzbezeichnung DSG 2000 auf die bis zu diesem Zeitpunkt geltende Fassung).

19 2.2. Das BVwG ist von einer Maßgeblichkeit der DSGVO sowie des DSG ausgegangen und hat dies im Wesentlichen aus einer Zusammenschau der Übergangsbestimmungen des § 69 Abs. 4 und 5 DSG begründet.

20 Die Revisionswerberin erachtet die Frage des auf Übergangsfälle anwendbaren Rechts als ungeklärt, nimmt aber ebenso eine Anwendbarkeit der DSGVO bzw. des DSG an.

21 Demgegenüber führt die belangte Behörde in ihrer Revisionsbeantwortung aus, dass der vorliegende Fall auf Basis der Regelungen des DSG 2000 zu beurteilen sei.

22 2.3. Dem angefochtenen Erkenntnis lässt sich entnehmen, dass die hier gegenständliche Übermittlung der Niederschrift durch die mitbeteiligte Partei an das BKA Anfang des Jahres 2014 (jedenfalls vor der im April 2014 erfolgten Übermittlung der Stellungnahme der Republik Österreich in dem von der Revisionswerberin eingeleiteten Beschwerdeverfahren vor dem Hochkommissariat für Menschenrechte der Vereinten Nationen) erfolgt ist. Die datenschutzrechtliche Beschwerde der Revisionswerberin stammt vom 25. Jänner 2016, die Beschwerde an das BVwG vom 25. Juli 2016.

23 Die DSGVO ist mit 25. Mai 2018 in Kraft getreten. Ausdrückliche Übergangsbestimmungen für die Beurteilung bereits anhängiger Verfahren enthält die DSGVO nicht. Das der Durchführung der DSGVO dienende DSG ist weitgehend (abgesehen von den mit BGBl. I Nr. 24/2018 erfolgten Änderungen) ebenfalls mit 25. Mai 2018 in Kraft getreten. Gemäß der Übergangsvorschrift des § 69 Abs. 4 DSG sind bei der Datenschutzbehörde oder bei den ordentlichen Gerichten anhängige Verfahren nach den Bestimmungen des DSG und der DSGVO fortzuführen. Nach § 69 Abs. 5 DSG sind Verletzungen des DSG 2000, die zum Zeitpunkt des Inkrafttretens des DSG noch nicht anhängig gemacht wurden, nach der Rechtslage nach Inkrafttreten des DSG zu beurteilen; ein vor Inkrafttreten des DSG verwirklichter Straftatbestand ist hingegen nach der für den Täter günstigeren Rechtslage zu beurteilen.

24 Die Regelung des § 69 Abs. 4 DSG normiert, nach welchen Bestimmungen, anhängige Verfahren weiter zu führen sind. Damit wird aber ‑ abgesehen davon, dass die Bestimmung anhängige Verfahren beim BVwG nicht ausdrücklich erfasst ‑ nicht festgelegt, welche materiellen Regelungen bei der Beurteilung der in diesen Verfahren geltend gemachten Rechte bzw. Rechtsverletzungen zur Anwendung kommen. Auch aus der Regelung des § 69 Abs. 5 erster Satz DSG (betreffend noch nicht anhängig gemachte Verletzungen des DSG 2000) lässt sich für den vorliegenden Fall ‑ in dem sowohl die datenschutzrechtliche Beschwerde als auch die Beschwerde an das BVwG aus dem Jahr 2016 datieren ‑ nicht unmittelbar etwas ableiten.

25 Nach der ständigen Rechtsprechung des Verwaltungsgerichtshofes hat das Verwaltungsgericht im Allgemeinen das im Zeitpunkt der Erlassung des Erkenntnisses geltende Recht anzuwenden. Eine andere Betrachtungsweise ist dann geboten, wenn der Gesetzgeber in einer Übergangsbestimmung zum Ausdruck bringt, dass auf anhängige Verfahren noch das bisher geltende Gesetz anzuwenden ist, oder wenn darüber abzusprechen ist, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens gewesen ist (vgl. zu allem VwGH 25.6.2019, Ra 2018/10/0120, Rn. 13, mwN; vgl. weiters den ‑ wenn auch im dortigen Fall nicht entscheidungserheblichen ‑ Verweis auf diese Rechtsprechung in dem eine datenschutzrechtliche Beschwerde betreffenden Erkenntnis VwGH 5.6.2020, Ro 2018/04/0023, Rn. 23).

26 Im vorliegenden Fall liegt dem angefochtenen Erkenntnis eine datenschutzrechtliche Beschwerde betreffend eine (behauptete) Verletzung im Recht auf Geheimhaltung durch eine mehr als vier Jahre vor Inkrafttreten der DSGVO und des DSG erfolgte Übermittlung von Daten zugrunde. Es geht daher ‑ im Sinn der soeben zitierten hg. Rechtsprechung ‑ um die Frage, ob ein zu einem bestimmten Zeitpunkt erfolgter, bei Inkrafttreten der DSGVO abgeschlossener Vorgang rechtens gewesen ist. Die im zitierten hg. Erkenntnis Ra 2018/10/0120 angesprochene Betrachtungsweise spricht daher dafür, die Rechtmäßigkeit der Übermittlung der Niederschrift durch die mitbeteiligte Partei an das BKA am Maßstab des zum Zeitpunkt der Übermittlung maßgeblichen DSG 2000 zu beurteilen (vgl. auch Thiele, in Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz [2020] § 70 Rn. 4, wonach mit der Inkrafttretensregelung der zeitliche Bedingungs‑ und Rechtsfolgenbereich festgelegt wird).

27 Damit in Einklang steht auch, dass das die DSGVO erst mit 25. Mai 2018 gilt und eine davon abweichende Festlegung des zeitlichen Geltungsbereiches (etwa in einer Übergangsregelung des DSG) insoweit nicht vorgesehen ist. Es geht gegenständlich auch nicht um einen Vorgang, der über den Zeitpunkt des Inkrafttretens der DSGVO hinaus andauert, oder eine Anordnung, die nach Inkrafttreten der DSGVO zu erfüllen war (insofern gleicht der zugrundeliegende Sachverhalt auch nicht dem im Urteil des EuGH vom 10. November 2020 in der Rs. C‑61/19, Orange România SA, Rn. 31, angesprochenen Fall).

28 Schließlich ist in diesem Zusammenhang auch auf den im Unionsrecht anerkannten Grundsatz der Rechtssicherheit zu verweisen, der es im Allgemeinen verbietet, den Beginn der Geltungsdauer eines Rechtsakts der Gemeinschaft auf einen Zeitpunkt vor dessen Veröffentlichung zu legen, und Vorschriften des materiellen Gemeinschaftsrechts, um die Beachtung der Grundsätze der Rechtssicherheit und des Vertrauensschutzes zu gewährleisten, so auszulegen sind, dass sie für vor ihrem Inkrafttreten entstandene Sachverhalte nur gelten, soweit aus ihrem Wortlaut, ihrer Zielsetzung oder ihrem Aufbau eindeutig hervorgeht, dass ihnen eine solche Wirkung beizumessen ist (vgl. EuGH 24.9.2002, Rs. C‑74/00 P ua., Falck SpA ua., Rn. 119, mwN).

29 Der Oberste Gerichtshof ist in seinem Urteil vom 20. Dezember 2018, 6 Ob 131/18k, im Zusammenhang mit einer Klage auf Unterlassung der Weitergabe sowie auf Löschung bestimmter (in Aufzeichnungen aus dem Jahr 2010 enthaltener) personenbezogener Daten von einer Maßgeblichkeit der DSGVO und des DSG ausgegangen, auch wenn die Vorinstanzen noch auf der Grundlage des DSG 2000 entschieden hatten. Dies steht der hier vertretenen Auffassung aber nicht entgegen, weil es dort ‑ anders als im vorliegenden Fall ‑ nicht um die Beurteilung der Rechtmäßigkeit eines vor dem Inkrafttreten einer Neuregelung abgeschlossenen Vorgangs ging, sondern darum, ob ‑ was zum Entscheidungszeitpunkt zu beurteilen war ‑ ein Anspruch auf Löschung bzw. auf Unterlassung bestand.

30 Ausgehend davon hat das BVwG zwar zu Unrecht die DSGVO als für die materielle Beurteilung der datenschutzrechtlichen Beschwerde maßgeblich herangezogen. Daraus resultiert für sich genommen aber dann keine Rechtswidrigkeit der angefochtenen Entscheidung, wenn die Entscheidung in der Rechtslage nach dem DSG 2000 Deckung findet. Umgekehrt kann es angesichts der Maßgeblichkeit des DSG 2000 auf die seitens der Revisionswerberin aufgeworfene Frage, ob die zum DSG 2000 ergangenen Aussagen im hg. Erkenntnis Ra 2017/04/0032 auf die Rechtslage nach der DSGVO und dem DSG übertragbar sind, im vorliegenden Fall nicht mehr ankommen.

3. Datenschutzrechtlicher Auftraggeber

31 3.1. Das BVwG hat die Auffassung vertreten, dass die Aufnahme der Niederschrift nicht der mitbeteiligten Partei zugerechnet werden könne, weil dafür auf die Entscheidung zur Datenverarbeitung abzustellen sei.

32 Demgegenüber macht die Revisionswerberin geltend, dass der mitbeteiligten Behörde die Aufsicht über das LKA NÖ obliege und sie daher für die Datenbeschaffung durch das LKA NÖ im Jahr 2007 verantwortlich sei. Jedenfalls liege keine Rechtsprechung dazu vor, ob es sich bei der mitbeteiligten Partei und dem LKA NÖ um unterschiedliche Verantwortliche (nach Art. 4 Z 7 DSGVO) handle.

33 3.2. Vorauszuschicken ist zunächst, dass im Hinblick auf die Ausführungen unter Pkt. II.2.3. die damit angesprochene Frage nicht am Maßstab der Definition des Verantwortlichen in Art. 4 Z 7 DSGVO, sondern anhand der für das DSG 2000 maßgeblichen Definition des Auftraggebers in dessen § 4 Z 4 zu beurteilen ist.

34 Nach der vorliegend maßgeblichen Regelung des § 4 Z 4 erster Satz DSG 2000 sind Auftraggeber natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden, unabhängig davon, ob sie die Daten selbst verwenden oder damit einen Dienstleister beauftragen. Nach dieser Definition kann somit auch ein Organ oder ein Geschäftsapparat Auftraggeber (im Sinn des DSG 2000) sein. Maßgeblich ist, wer die Entscheidung getroffen hat, die Daten zu verwenden. Dass die mitbeteiligte Partei vorliegend die Entscheidung zur Aufnahme bestimmter Daten in die Niederschrift im Februar 2007 getroffen habe, wird mit dem bloßen Verweis auf die Eigenschaft des Bundesministers für Inneres als oberste Sicherheitsbehörde gemäß § 4 Abs. 1 Sicherheitspolizeigesetz (SPG) nicht dargetan. Es ist auch kein Anhaltspunkt dafür ersichtlich, dass die mitbeteiligte Partei bzw. der Bundesminister für Inneres die Entscheidungen über Datenverarbeitungen auf der Ebene (früher) des Landespolizeikommandos bzw. (nunmehr) der Landespolizeidirektion selbst trifft. Auch die ‑ die Verwendung personenbezogener Daten im Rahmen der Sicherheitspolizei betreffenden ‑ Regelungen in § 51 SPG wenden sich allgemein an die Sicherheitsbehörden, zu denen die Landespolizeidirektionen zählen (siehe § 4 Abs. 2 und § 7 SPG; vgl. zur Qualifikation der Landespolizeidirektionen als datenschutzrechtliche Auftraggeber auch Weiss, in Thanner/Vogl [Hrsg.], SPG [2013] § 51 Rz. 2).

35 Ausgehend davon, dass die mitbeteiligte Partei nicht als Auftraggeber hinsichtlich der im Zuge der Erstellung der Niederschrift im Februar 2007 erfolgten Verarbeitung von Daten anzusehen ist, kann hinsichtlich des Revisionsvorbringens zur ‑ behaupteter Maßen ‑ rechtswidrigen ursprünglichen Datenbeschaffung im Jahr 2007 bzw. zur daraus abzuleitenden Rechtswidrigkeit der Übermittlung der Niederschrift durch die mitbeteiligte Partei an das BKA gemäß § 43 Abs. 2 VwGG auf die Ausführungen im hg. Erkenntnis Ra 2017/04/0032, Rn. 43 ff, verwiesen werden. Soweit in diesem Zusammenhang eine uneinheitliche Rechtsprechung des Verwaltungsgerichtshofes geltend gemacht wird, wird auf die Ausführungen im hg. Erkenntnis Ra 2017/04/0032, Rn. 37 ff, verwiesen, in denen dargelegt wurde, weshalb sich aus den von der Revisionswerberin ins Treffen geführten hg. Erkenntnissen für den vorliegenden Fall nichts ableiten lässt.

4. Rechtswidrige Datenverarbeitung im Bereich der mitbeteiligten Partei

36 4.1. Das BVwG hat diesbezüglich auf die (aus Art. 6 Abs. 2 der Konvention zur Beseitigung jeder Form von Diskriminierung der Frau ableitbare) Pflicht zur Klärung der ‑ die Amtshandlung einer ihm untergeordneten Behörde betreffenden ‑ Sache sowie auf die Pflicht zur Verarbeitung der Niederschrift zum Zweck der Verteidigung des rechtmäßigen Handelns verwiesen. Zur Verarbeitung der Niederschrift in „ungeschwärzter“ Form wurde auf die Ausführungen im hg. Erkenntnis Ra 2017/04/0032 und auf das Ziel der Untermauerung des Prozessstandpunktes der Republik Österreich im Verfahren vor dem Hochkommissariat hingewiesen.

37 Die Revisionswerberin führt demgegenüber ins Treffen, dass die Verarbeitung der Gesundheitsdaten der Revisionswerberin durch die mitbeteiligte Partei (nach ihrer Übermittlung im Jahr 2008) in Form der Anlegung eines elektronischen Aktes nicht gerechtfertigt bzw. überschießend gewesen sei bzw. dass die mitbeteiligte Partei die Gesundheitsdaten im Sinn des Grundsatzes der Datenminimierung hätte abdecken müssen. Weder für die seitens der mitbeteiligten Partei erteilte Weisung an die (damals) Sicherheitsdirektion NÖ im Verfahren betreffend die Auskunftspflicht (mit dem Inhalt, die gewünschte Auskunft zu geben) noch zur Dokumentation dieses Vorgangs wäre es notwendig gewesen, auch sensible Daten zu Sexualleben und Gesundheit zu verarbeiten.

38 Des Weiteren verweist die Revisionswerberin auf die Regelung des § 63 Abs. 1 SPG, wonach entgegen den Bestimmungen des SPG ermittelte Informationen umgehend zu löschen seien; dies sei vorliegend im Hinblick auf die ‑ der mitbeteiligten Partei bekannte ‑ unterlassene Benachrichtigung des Rechtsschutzbeauftragten der Fall. Des Weiteren seien Daten ‑ ohne dass es dazu eines Antrages auf Datenlöschung bedurft hätte ‑ nach § 58 Abs. 1 SPG zwei Jahre nach der Ermittlung zu löschen. Die LPD NÖ sei dem Antrag der Revisionswerberin auf Datenlöschung im Jahr 2013 gefolgt, habe jedoch entweder die mitbeteiligte Partei nicht verständigt oder letztere habe die Verständigung ignoriert. Die Datenaufbewahrung im Bereich der mitbeteiligten Partei von 2008 bis 2016 sei exzessiv. Somit sei auch die spätere Weiterleitung (an das BKA) rechtswidrig. Schließlich habe sich das BVwG mit dem Vorbringen der Revisionswerberin (auch) zur Rechtswidrigkeit der Datenverarbeitung im Bereich der mitbeteiligten Partei nicht auseinandergesetzt.

39 Die belangte Behörde verweist in ihrer Revisionsbeantwortung diesbezüglich zunächst auf die Ausführungen im hg. Erkenntnis Ra 2017/04/0032. Die Niederschrift sei der mitbeteiligten Partei im Jahr 2008 im Wege eines Devolutionsantrages vorgelegt worden. Auf Antrag der Revisionswerberin sei die Niederschrift zwar im Jahr 2013 von der LPD NÖ skartiert, die mitbeteiligte Partei darüber jedoch nicht in Kenntnis gesetzt worden.

40 4.2. Gemäß § 6 Abs. 1 Z 3 DSG 2000 durften Daten nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden (Z 1), für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden (Z 2) sowie nur verwendet werden, soweit sie für den Zweck der Datenanwendung wesentlich sind, und über diesen Zweck nicht hinausgehen (Z 3).

41 4.3. Der Verwaltungsgerichtshof hat im bereits mehrfach zitierten Erkenntnis Ra 2017/04/0032 festgehalten, dass aus der rechtswidrigen Ermittlung von Daten durch einen Auftraggeber auch die Rechtswidrigkeit einer daran anschließenden Übermittlung dieser Daten durch denselben Auftraggeber resultiert (Rn. 43); die (in § 31 Abs. 3 Z 2 DSG 2000 vorausgesetzte) Zurechnung der behaupteten Rechtsverletzung zum Beschwerdegegner kann nicht über den Ermittlungsvorgang, der auf Seiten des Empfängers Grundlage für die Erhebung ist, hinausreichen (Rn. 44).

42 Vor dem Hintergrund dieser Aussagen ist zunächst von Relevanz, dass sich der hier zu beurteilende Sachverhalt von der dem hg. Erkenntnis Ra 2017/04/0032 zugrunde gelegenen Konstellation maßgeblich unterscheidet. In dem der Rechtssache Ra 2017/04/0032 zugrunde gelegenen Fall erfolgte die Ermittlung der gegenständlichen Daten durch die dort betroffenen Auftraggeber (BKA sowie Bundesministerium für Europa, Integration und Äußeres) zum Zweck (und in zeitlichem Konnex mit) der Erstellung und Vorlage der Stellungnahme der Republik Österreich im Beschwerdeverfahren vor dem Hochkommissariat. Im hier vorliegenden Fall erfolgte die Ermittlung der fraglichen Daten durch die mitbeteiligte Partei hingegen aus Anlass eines anderen Verfahrens (nach dem Auskunftspflichtgesetz) und dies bereits im Jahr 2008.

43 Ausgehend davon wäre aber zu prüfen gewesen, ob die Ermittlung der Daten in der vorliegenden Form (und somit auch von sensiblen Daten) aus Anlass des im Jahr 2008 geführten Verfahrens notwendig war und nicht über den damit verfolgten Zweck hinausging. Eine rechtswidrige Ermittlung der Daten durch die mitbeteiligte Partei hätte nämlich die Rechtswidrigkeit auch der hier gegenständlichen Übermittlung im Jahr 2014 zur Folge. Eine nachvollziehbare Begründung für die Annahme der Rechtmäßigkeit und insbesondere der Verhältnismäßigkeit der vollständigen Erfassung der in der Niederschrift enthaltenen Daten aus Anlass des im angefochtenen Erkenntnis insoweit ins Treffen geführten Devolutionsantrages der Revisionswerberin lässt sich dem angefochtenen Erkenntnis allerdings nicht entnehmen. So fehlen etwa nähere Darlegungen zum Gegenstand des Verfahrens betreffend die Auskunftspflicht, aus dessen Anlass die Niederschrift von der mitbeteiligten Partei im Jahr 2008 erfasst worden ist. Aus den Ausführungen im hg. Erkenntnis Ra 2017/04/0032 lässt sich jedenfalls nicht ohne Weiteres auf die Rechtmäßigkeit der im Jahr 2008 durch die mitbeteiligte Partei erfolgten Datenermittlung schließen.

44 Dies gilt insbesondere für die seitens der Revisionswerberin monierte Erfassung der Niederschrift in „ungeschwärzter“ Form. Zwar hat der Verwaltungsgerichtshof im Erkenntnis Ra 2017/04/0032 nicht nur die Übermittlung der Niederschrift an das Hochkommissariat (als Beitrag zur Klärung der Sache) als dem Grunde nach zulässig erachtet (Rn. 32), sondern darüber hinaus die Vorlage der „ungeschwärzten“ Niederschrift in einem Zusammenhang wie dem dort vorliegenden als nicht unverhältnismäßig bzw. überschießend angesehen, weil es dem im Beschwerdeverfahren zur Entscheidung berufenen Organ (dem Komitee) obliege, die Maßgeblichkeit der Niederschrift für die Klärung der Sache bzw. für die Prüfung der behaupteten Rechtsverletzung zu beurteilen, und dafür eine vollständige Kenntnis des Dokuments erforderlich sei (Rn. 33).

45 Daraus ergibt sich für sich genommen aber nicht, dass die vollständige Erfassung der „ungeschwärzten“ Niederschrift durch die mitbeteiligte Partei im Jahr 2008 (somit ohne jeglichen Konnex zu dem im hg. Erkenntnis Ra 2017/04/0032 begründend herangezogenen Beschwerdeverfahren vor dem Hochkommissariat) ihrerseits notwendig bzw. verhältnismäßig gewesen wäre.

46 Damit entzieht sich die Annahme des BVwG, auch die Erfassung der gegenständlichen Daten durch die mitbeteiligte Partei sei als rechtmäßig bzw. verhältnismäßig anzusehen, aber einer nachvollziehbaren Überprüfung durch den Verwaltungsgerichtshof.

47 4.4. Ausgehend davon muss auf das weitere Revisionsvorbringen zum Bestehen einer Löschungsverpflichtung nicht weiter eingegangen werden. Allgemein wird aber darauf hingewiesen, dass ‑ ebenso wie die rechtswidrige Ermittlung von Daten ‑ auch die Missachtung einer Löschungsverpflichtung durch einen Auftraggeber die Rechtswidrigkeit der nachfolgenden Übermittlung dieser Daten durch denselben Auftraggeber nach sich ziehen würde.

48 5. Im Hinblick auf die unter Pkt. 4.3. erfolgten Ausführungen war das angefochtene Erkenntnis gemäß § 42 Abs. 2 Z 3 lit. b und c VwGG wegen Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften aufzuheben.

49 Die Entscheidung über den Aufwandersatz beruht auf den §§ 47 ff VwGG in Verbindung mit der VwGH‑Aufwandersatzverordnung 2014.

Wien, am 23. Februar 2021

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

Stichworte