Normen
DSG §1 Abs1
DSG §1 Abs2
DSG 2000 §1 Abs1
DSG 2000 §4 Z6
DSG §4 Abs1
EURallg
31995L0046 Datenschutz-RL Art2 litc
32016R0679 Datenschutz-GrundV
32016R0679 Datenschutz-GrundV Art2 Abs1
32016R0679 Datenschutz-GrundV Art4 Z2
32016R0679 Datenschutz-GrundV Art4 Z6
62017CJ0025 Jehovan todistajat VORAB
European Case Law Identifier: ECLI:AT:VWGH:2022:RO2022040008.J00
Spruch:
Spruchpunkt A)II. des angefochtenen Erkenntnisses wird wegen Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften aufgehoben.
Spruchpunkt A)I. des angefochtenen Erkenntnisses wird dahingehend abgeändert, dass die Wortfolge „eine unrechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO sowie“ entfällt.
Begründung
I.
1 1. Mit Eingabe vom 10. Juli 2018, verbessert mit Schriftsatz vom 28. Juli 2018, erhob der Mitbeteiligte bei der Datenschutzbehörde (DSB, belangte Behörde) Beschwerde wegen Verletzung im Grundrecht auf Datenschutz gemäß § 1 Datenschutzgesetz (DSG) und Art. 4 Z 15 in Verbindung mit Art. 9 Abs. 1 und 3 Datenschutz‑Grundverordnung (DSGVO). Er beantragte die Feststellung der Verletzung seiner Rechte durch den Landesschulrat für Vorarlberg (nunmehr: Bildungsdirektion für Vorarlberg, Revisionswerberin) sowie die Löschung der „inkriminierten Daten bei den Empfängern“.
2 Der Mitbeteiligte brachte auf das Wesentlichste zusammengefasst vor, durch die Offenlegung und Übermittlung von Gesundheitsdaten, konkret der vollständigen Krankengeschichte samt psychiatrischer Gutachten, an Unbefugte in seinem Grundrecht auf Datenschutz verletzt worden zu sein.
3 2. Mit Bescheid vom 14. Jänner 2019 wies die belangte Behörde diese Datenschutzbeschwerde gestützt auf die §§ 1 und 24 DSG ab.
4 Die DSB hielt fest, der Mitbeteiligte habe am 13. Mai 2018 beim Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF) eine Dienstaufsichtsbeschwerde eingebracht. Als Beilagen zu dieser Dienstaufsichtsbeschwerde habe er ua. eine ärztliche Stellungnahme sowie ein psychiatrisches Gutachten vorgelegt. Am 21. Juni 2018 habe die Leiterin der revisionswerbenden Behörde mit mehreren namentlich genannten, in der Dienstaufsichtsbeschwerde als Verdächtige bzw. Auskunftspersonen angeführten Personen ein Gespräch geführt. Diese Personen seien um eine Stellungnahme ersucht worden und ihnen sei die Dienstaufsichtsbeschwerde samt Beilagen physisch übergeben worden. Zu prüfen sei ‑ so die DSB ‑, ob die Revisionswerberin den Mitbeteiligten durch diese Weitergabe in seinem Recht auf Geheimhaltung verletzt habe.
5 In rechtlicher Hinsicht hielt die DSB fest, das BMBWF habe die Revisionswerberin im Zuge der Prüfung der Dienstaufsichtsbeschwerde des Mitbeteiligten zur Mitwirkung an der Sachverhaltsermittlung aufgefordert. Die DSB vertrat weiters die Auffassung, sie sei hinsichtlich der Beurteilung der Zulässigkeit einer Datenverarbeitung bei Beschwerden, die darauf abzielten, der zuständigen Behörde die Ermittlung von Daten oder die Verwendung von Beweismitteln zu verbieten, auf das Übermaßverbot beschränkt. Da alle bei der Besprechung am 21. Juni 2018 anwesenden Personen in der Dienstaufsichtsbeschwerde als Auskunftspersonen oder Verdächtige angeführt gewesen seien, sei es denkmöglich, dass die von der Revisionswerberin weitergegebenen personenbezogenen Daten des Mitbeteiligten für die Feststellung des relevanten Sachverhaltes im Zuge der Dienstaufsichtsbeschwerde erforderlich gewesen seien.
6 Gegen diesen Bescheid erhob der Mitbeteiligte Beschwerde an das Bundesverwaltungsgericht (BVwG), in der er vorbrachte, die Datenschutzbeschwerde sei ausschließlich wegen der Verletzung im Recht auf Geheimhaltung erhoben worden. Beantragt wurde, den angefochtenen Bescheid dahingehend abzuändern, dass der Datenschutzbeschwerde wegen Verletzung des Grundrechts auf Datenschutz entsprochen werde.
7 3. Mit dem angefochtenen Erkenntnis vom 28. Mai 2020 gab das BVwG in Spruchpunkt A) dieser Beschwerde statt und änderte den Bescheid der DSB wie folgt ab:
„I. In Bezug auf den Antrag einer Feststellung einer Verletzung des Grundrechts auf Datenschutz wird festgestellt, dass die Weitergabe der medizinischen Unterlagen von Ärztinnen und Ärzten, die einer Dienstaufsichtsbeschwerde des [Mitbeteiligten] vom 13.05.2018 als Beilagen 47 ‑ 64 angeschlossen waren, an Dritte durch den Landesschulrat für Vorarlberg eine unrechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO sowie eine Verletzung des Grundrechts auf Datenschutz nach § 1 DSG darstellt.
II. In Bezug auf den Antrag auf Löschung wird verfügt, dass der Landesschulrat für Vorarlberg verpflichtet ist, unverzüglich die Rückgabe der am [...] an [...] übergegebenen Beilagen 47 ‑ 64 der Dienstaufsichtsbeschwerde zu veranlassen, diese Unterlagen zu vernichten und den [Mitbeteiligten] über die erfolgte Löschung zu informieren.“
8 Die Revision wurde in Spruchpunkt B) gemäß Art. 133 Abs. 4 B‑VG für zulässig erklärt.
9 3.1. Das BVwG stellte zunächst das wesentliche Parteienvorbringen im Verfahren dar:
10 Der Mitbeteiligte habe angegeben, in seiner Dienstaufsichtsbeschwerde Verdachtsfälle von Missständen an einer Schule sowie Mobbingvorwürfe geltend gemacht zu haben, die bei ihm (er sei Lehrer an dieser Schule gewesen) zu gesundheitlichen Problemen bis hin zur Dienstunfähigkeit geführt hätten. Das BMBWF habe die Dienstaufsichtsbeschwerde mit allen Beilagen, darunter auch medizinische Unterlagen des Mitbeteiligten, an die Behördenleiterin der Revisionswerberin weitergeleitet; diese habe eine Besprechung einberufen, in der den teilnehmenden Personen eine Kopie der Dienstaufsichtsbeschwerde samt allen Beilagen ausgehändigt worden sei.
11 Die Revisionswerberin habe dazu vorgebracht, es sei die übliche Vorgehensweise, die von einer Dienstaufsichtsbeschwerde betroffenen Personen zur Stellungnahme aufzufordern, wofür diese wiederum Ablichtungen der Dienstaufsichtsbeschwerde samt Beilagen bedürften. Gegenständlich habe allein der Mitbeteiligte über den Inhalt und den Detailgrad der Dienstaufsichtsbeschwerde entschieden. Alle geladenen Personen seien von der Dienstaufsichtsbeschwerde betroffen gewesen.
12 3.2. Das BVwG legte seiner Entscheidung im Wesentlichen folgenden Sachverhalt zugrunde:
13 Der Mitbeteiligte habe am 13. Mai 2018 eine Dienstaufsichtsbeschwerde beim BMBWF eingebracht, in der er im Kapitel „Mobbingfolgen‑Erkrankungen“ den Krankheitsverlauf (als Folge des erlittenen Mobbings) dargestellt sowie auf (näher bezeichnete) medizinische Stellungnahmen und Gutachten verwiesen habe. Der Dienstaufsichtsbeschwerde seien in den Beilagen 47 ‑ 64 diverse medizinische Unterlagen (ua. Gutachten) angeschlossen gewesen. Am 21. Juni 2018 habe in dieser Angelegenheit eine Besprechung mit der Revisionswerberin sowie näher genannten Personen stattgefunden. Diesen Personen sei die Dienstaufsichtsbeschwerde des Mitbeteiligten inklusive aller Beilagen übergeben worden, verbunden mit der Aufforderung, zu den sie betreffenden Punkten Stellung zu nehmen. Zwei dieser Personen hätten anschließend die Übergabe des psychiatrischen Gutachtens gerügt; diesen sei die Datenschutzbeschwerde ohne Beilagen elektronisch zur Verfügung gestellt worden. Außerdem sei Frau F, „der damaligen Elternvertreterin“, eine Kopie der Dienstaufsichtsbeschwerde samt Beilagen ausgehändigt worden. Alle genannten (von der Aushändigung erfassten) Personen seien in der Dienstaufsichtsbeschwerde (zumindest als Auskunftspersonen, teilweise als Verdächtige) genannt worden und sie stünden alle in einem Konnex zur fraglichen Schule. Es habe nicht festgestellt werden können, dass diese Personen „in einer Eigenschaft als medizinisch/psychologisch‑geschulte Expertinnen und Experten“ in das Ermittlungsverfahren eingebunden gewesen seien.
14 3.3. In seiner rechtlichen Beurteilung hielt das BVwG Folgendes fest:
15 3.3.1. Der Mitbeteiligte habe nicht die Weitergabe der Dienstaufsichtsbeschwerde selbst, sondern (nur) die Weitergabe der gesundheitsbezogenen Beilagen (47 ‑ 64) durch die Revisionswerberin moniert. Zwar habe der Mitbeteiligte in seiner Dienstaufsichtsbeschwerde ausgewählte Informationen zu seinem Gesundheitszustand sowie zu ärztlichen Diagnosen dargestellt und eine halbe Seite aus einem psychiatrischen Gutachten zitiert. Das Gutachten selbst habe aber weitere gesundheitsbezogene Informationen enthalten. Aus den Verfahrensergebnissen gehe nicht hervor, welchen Beitrag die Weitergabe der medizinischen Unterlagen an die in der Dienstaufsichtsbeschwerde genannten Personen für die Ermittlung des Sachverhaltes hätte leisten können, zumal diese Personen keine Fachkunde aufwiesen, um aus diesen medizinischen Informationen nennenswerte Rückschlüsse ziehen zu können. Da die betroffenen Personen lediglich aufgefordert worden seien, zu faktischen Geschehnissen Stellung zu nehmen, sei nicht nachvollziehbar, inwieweit dafür die medizinischen Unterlagen erforderlich sein sollten. Aus der Aufnahme einzelner gesundheitsbezogener Daten in die Dienstaufsichtsbeschwerde durch den Mitbeteiligten könne auch keine Einwilligung zur Bekanntgabe des vollständigen psychiatrischen Gutachtens abgeleitet werden. Eine Weitergabe einer Kopie der Dienstaufsichtsbeschwerde selbst erscheine zwar aus datenschutzrechtlicher Sicht unbedenklich und vom Grundsatz der Erforderlichkeit gedeckt; die Weitergabe der Dienstaufsichtsbeschwerde sei vom Mitbeteiligten aber auch nicht moniert worden. Auch ein Weglassen der gesundheitsbezogenen Passagen in (Kapitel 3) der Dienstaufsichtsbeschwerde hätte keinen Einfluss auf die Möglichkeit gehabt, zu den Vorwürfen Stellung zu nehmen. Die Weitergabe der gesundheitsbezogenen Beilagen 47 ‑ 64 sei aber keinesfalls erforderlich gewesen. Es sei denkunmöglich, dass diese Weitergabe etwas zur Ermittlung des notwendigen Sachverhaltes beitragen könnte. Dabei komme es auch zu keiner Einschränkung von Verfahrensrechten der Parteien, zumal es gegenständlich nicht um ein Amtshaftungsverfahren gehe.
16 Bei der gegenständlich monierten Weitergabe der medizinischen Beilagen handle es sich ‑ so das BVwG weiter ‑ um eine datenschutzrechtlich relevante Verarbeitung in Form einer Offenlegung durch Übermittlung. Übermittlung sei eine Mitteilung an individuell bestimmte Adressaten, sei es mündlich, schriftlich, elektronisch oder auf andere Weise. Gesundheitsdaten würden gemäß Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten zählen. Keiner der in Art. 9 Abs. 2 DSGVO genannten Ausnahmetatbestände treffe gegenständlich zu. Auch die Ausnahme des Art. 9 Abs. 2 lit. f DSGVO (Durchsetzung und Verteidigung von Rechtsansprüchen) komme nicht zum Tragen, weil es ‑ wie dargelegt ‑ an der Erforderlichkeit mangle.
17 Die Weitergabe der genannten Beilagen habe daher gegen die Untersagung der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verstoßen und das Grundrecht auf Datenschutz verletzt.
18 3.3.2. Zu der vom Mitbeteiligten beantragten Löschung der „inkriminierten Daten“ hielt das BVwG fest, das Löschungsbegehren sei ein geeignetes Mittel, um den rechtsverletzenden Zustand zu sanieren. Eine weitere Aufbewahrung sei auch nicht zur Wahrung allfälliger Rechtsansprüche erforderlich. Die Löschungsverpflichtung richte sich an die Revisionswerberin, der aufgetragen werde, die Beilagen von den genannten Personen zurückzuverlangen und diese Unterlagen zu vernichten.
19 Das BVwG stützte die Löschungsverpflichtung auf Art. 58 Abs. 2 lit. g DSGVO. Zwar handle es sich bei der Revisionswerberin um eine Verantwortliche des öffentlichen Bereichs und sehe § 24 Abs. 5 DSG einen Leistungsbescheid gegenüber Verantwortlichen des öffentlichen Bereichs nicht vor. Diese nationale Regelung erscheine jedoch im Lichte der DSGVO nicht haltbar, weil Art. 58 DSGVO nicht zwischen Verantwortlichen des privaten oder des öffentlichen Bereichs unterscheide.
20 Weiters wies das BVwG darauf hin, dass der Mitbeteiligte zwar kein Löschungsbegehren nach Art. 17 DSGVO (gegen die Verantwortliche) geltend gemacht, sondern die Feststellung einer Verletzung im Recht auf Datenschutz beantragt habe. Den Mitbeteiligten nach Feststellung einer unrechtmäßigen Verarbeitung zurück an die Verantwortliche zu verweisen, scheine aber dem Effizienzgebot der Rechtsdurchsetzung zu widersprechen.
21 3.4. Die Revision erachtete das BVwG als zulässig, weil es an Rechtsprechung des Verwaltungsgerichtshofes zum Ausspruch einer Löschungsverpflichtung als Folge der Feststellung einer unrechtmäßigen Verarbeitung von personenbezogenen Daten sowie dazu fehle, ob die Einschränkung des § 24 Abs. 5 DSG mit dem Effizienzgebot der DSGVO in Widerspruch stehe.
22 4.1. Gegen dieses Erkenntnis richtet sich die vorliegende ordentliche Revision.
23 Die Revisionswerberin bringt zur Zulässigkeit ihrer Revision neben einem Verweis auf die vom BVwG aufgeworfenen Rechtsfragen vor, selbst wenn § 24 Abs. 5 DSG unanwendbar wäre, sei die konkrete Löschungsverpflichtung unverhältnismäßig, zumal sie Personen einbeziehe, die nicht Teil des Verfahrens gewesen seien. Zudem sei die Revision auch deshalb zulässig, weil das BVwG zu Unrecht von einer Anwendbarkeit der DSGVO ausgegangen sei.
24 4.2. Die belangte Behörde erstattete zum einen selbst eine ordentliche Revision gegen Spruchpunkt A)II. des hier angefochtenen Erkenntnisses (siehe dazu den hg. Beschluss vom heutigen Tag, Ro 2020/04/0026). Zum anderen erstattete sie zur hier gegenständlichen Revision eine (mit einem Antrag auf Kostenzuspruch verbundene) Revisionsbeantwortung. Darin tritt sie den Ausführungen der Revisionswerberin zur fehlenden Anwendbarkeit der DSGVO ausdrücklich bei. Anders als noch in ihrem Bescheid vom 14. Jänner 2019 geht die belangte Behörde nunmehr auch davon aus, dass die Weitergabe der gesundheitsbezogenen Beilagen zur Dienstaufsichtsbeschwerde des Mitbeteiligten keinesfalls erforderlich gewesen sei.
25 4.3. Der Mitbeteiligte erstattete ebenfalls eine Revisionsbeantwortung, in der er die Abweisung der Revision beantragt. Nach Ansicht des Mitbeteiligten mache es keinen Unterschied, ob die inkriminierten Gesundheitsdaten auf Papier oder elektronisch übermittelt worden seien. Zudem seien die Daten an zwei namentlich genannte Auskunftspersonen (im Anschluss an deren Protest) auch digital übermittelt worden. Schließlich habe der Mitbeteiligte die Dienstaufsichtsbeschwerde elektronisch an das BMBWF geschickt. Die Löschungsverpflichtung sei wiederum logische Konsequenz der in Spruchpunkt A)I. festgestellten Rechtsverletzung, weshalb der von der Revisionswerberin ins Treffen geführte Umstand, dass die Löschungsverpflichtung Personen betreffe, die nicht am Verfahren teilgenommen hätten, nicht relevant sei.
II.
Der Verwaltungsgerichtshof hat erwogen.
26 1. Die Revision erweist sich aus dem zuletzt dargestellten Vorbringen der Revisionswerberin (Rn. 23) als zulässig und aus nachstehenden Erwägungen teilweise als berechtigt.
27 2.1. Die maßgeblichen Regelungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung; DSGVO) lauten auszugsweise:
„Artikel 2
Sachlicher Anwendungsbereich
(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
[...]
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[...]
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
[...]
6. ‚Dateisystem‘ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
[...]
Artikel 9
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
[...]
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
[...]
Artikel 58
Befugnisse
[...]
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
[...]
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
[...]
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
[...]“
28 2.2. Die maßgeblichen Regelungen des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 14/2019, lauten auszugsweise:
„Grundrecht auf Datenschutz
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat‑ und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
[...]
Beschwerde an die Datenschutzbehörde
§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
[...]
(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
[...]“
3. Zur Aufhebung von Spruchpunkt A)II. des angefochtenen Erkenntnisses
29 3.1. Das BVwG verweist in seinen Feststellungen auf die vom Mitbeteiligten am 13. Mai 2018 beim BMBWF eingebrachte Dienstaufsichtsbeschwerde. Weiters wird festgestellt, dass die Dienstaufsichtsbeschwerde inklusive aller Beilagen näher genannten Personen „in Kopie übergeben“ worden sei. Zwei namentlich genannten Personen sei die Dienstaufsichtsbeschwerde ohne Beilagen elektronisch zur Verfügung gestellt worden. Nähere Feststellungen dazu, ob die Verarbeitung automatisiert oder nichtautomatisiert erfolgt ist bzw. ob die Daten in einem Dateisystem gespeichert wurden oder gespeichert werden sollten, lassen sich dem angefochtenen Erkenntnis nicht entnehmen. In seiner rechtlichen Beurteilung verweist das BVwG darauf, dass eine Übermittlung eine Mitteilung an individuell bestimmte Adressaten gleich in welcher Form (mündlich, schriftlich, elektronisch, oder auf andere Weise) sei. Die in Spruchpunkt A)II. des angefochtenen Erkenntnisses enthaltene Löschungsverpflichtung wird auf Art. 58 Abs. 2 lit. g DSGVO gestützt.
30 3.2. Die Revisionswerberin bringt zum Anwendungsbereich der DSGVO vor, dieser sei bei nicht automatisierten Verarbeitungen personenbezogener Daten nur dann eröffnet, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dateisystem sei nach Art. 4 Z 6 DSGVO jede strukturierte Sammlung personenbezogener Daten. Nach Erwägungsgrund 15 zur DSGVO fielen Akten oder Aktensammlungen, die nicht nach bestimmten Kriterien geordnet seien, nicht in den Anwendungsbereich der DSGVO. Die ständige höchstgerichtliche Rechtsprechung, wonach Papierakten nicht in den Anwendungsbereich des (früheren) DSG 2000 fielen, gelte somit auch für die DSGVO.
31 Das BVwG habe nicht festgestellt, in welcher Form die Dienstaufsichtsbeschwerde beim BMBWF eingebracht worden sei. Die Weitergabe der Beilagen durch die Revisionswerberin sei nicht digital erfolgt. Eine von der DSGVO erfasste Datenverarbeitung der Beilagen könne daraus somit nicht abgeleitet werden. Lediglich die Dienstaufsichtsbeschwerde, nicht aber die hier gegenständlichen Beilagen, seien zwei Personen elektronisch zur Verfügung gestellt worden. Es würden jedenfalls Tatsachenfeststellungen des BVwG fehlen, aus denen abgeleitet werden könne, dass die festgestellte Rechtsverletzung in den Anwendungsbereich der DSGVO falle. Da ein Papierakt bei nicht automatisierter Verarbeitung nicht in den sachlichen Anwendungsbereich der DSGVO falle, könne keine Löschungsverpflichtung gemäß Art. 58 DSGVO ausgesprochen werden.
32 3.3. Vorauszuschicken ist zunächst, dass es vorliegend nur um die Weitergabe der Beilagen 47 ‑ 64 zur Dienstaufsichtsbeschwerde geht, weshalb es auf die im angefochtenen Erkenntnis (und auch vom Mitbeteiligten) angesprochene Übermittlung der Dienstaufsichtsbeschwerde selbst an zwei Personen in elektronischer Form nicht ankommt.
33 Nach den zugrunde zu legenden Feststellungen des BVwG erfolgte die Übergabe der Beilagen an die genannten Personen „in Kopie“, wobei das BVwG erkennbar davon ausging, dass es sich nicht um eine Übergabe in elektronischer, sondern in physischer Form handelte. Die Weitergabe von (physischen) Kopien stellt für sich allein keine automatisierte Verarbeitung dar. Dass (gleichsam daneben) auch eine automatisierte Verarbeitung erfolgt wäre (vgl. zur automatisierten Verarbeitung etwa OGH 20.12.2018, 6 Ob 131/18k, Pkt. 2.1.), hat das BVwG nicht festgestellt.
34 Nach der Definition des Art. 4 Z 2 DSGVO kann zwar auch ein ohne Hilfe automatisierter Verfahren ausgeführter Vorgang eine Verarbeitung sein. Erforderlich ist (zusätzlich) aber, dass die Verarbeitung in den sachlichen Anwendungsbereich der DSGVO gemäß deren Art. 2 Abs. 1 fällt. Wenn daher keine (auch nur teilweise) automatisierte, sondern ‑ wie bei einer bloßen Übergabe von Kopien in Papierform der Fall ‑ eine nichtautomatisierte Verarbeitung vorliegt, dann muss es sich um die Verarbeitung personenbezogener Daten handeln, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
35 Ein Dateisystem ist nach der Definition des Art. 4 Z 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. In Erwägungsgrund 15 zur DSGVO wird dazu festgehalten, dass Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der DSGVO fallen sollen.
36 Der EuGH hat in einer ‑ zur „Vorgängerbestimmung“ der inhaltlich weitgehend gleichlautenden Definition der Datei in Art. 2 lit. c der Richtlinie 95/46/EG ergangenen ‑ Entscheidung festgehalten, dass der Begriff Datei weit zu verstehen sei, weil „jede“ strukturierte Sammlung erfasst sei, wobei die Strukturierung einen leichten Zugriff bzw. eine leichte Wiederauffindbarkeit der personenbezogenen Daten ermöglichen müsse; nähere Vorgaben zu den Modalitäten, nach denen eine Datei strukturiert sein müsse, oder nach der Form der Datei enthalte die Definition nicht (vgl. zu allem EuGH 10.7.2018, C‑25/17 , Jehovan todistajat, Rn. 56 ff).
37 Der Verwaltungsgerichtshof hat in seiner ‑ noch zum DSG 2000 ‑ ergangenen Rechtsprechung festgehalten, dass ein bloßer Papierakt, der kein Mindestmaß an Organisationsgrad im Sinn einer Strukturierung aufweist, nicht als Datei (gemäß dem damals maßgeblichen § 4 Z 6 DSG 2000) anzusehen war (vgl. VwGH 24.10.2012, 2008/17/0248; 21.10.2004, 2004/06/0086; beide mwN; siehe weiters auch VfGH 10.12.2014, B 1187/2013, Rn. 43 ff, mwN).
38 Im Hinblick auf die Vergleichbarkeit der jeweils zugrundeliegenden Regelungen können diese Aussagen zwar Anhaltspunkte für das (Nicht)Vorliegen eines Dateisystems im Sinn des Art. 4 Z 6 DSGVO liefern. Dem angefochtenen Erkenntnis lassen sich aber keine Feststellungen entnehmen, die eine Beurteilung einer (und sei es auch nur beabsichtigten) Speicherung der hier gegenständlichen personenbezogenen Daten in einem solchen Dateisystem ermöglichen würden. Auch zu dem seitens des Mitbeteiligten in seiner Revisionsbeantwortung ins Treffen geführten Umstand der elektronischen Übermittlung der Dienstaufsichtsbeschwerde an das BMBWF fehlt es an Feststellungen des BVwG.
39 Da dem Verwaltungsgerichtshof eine Überprüfung der Anwendbarkeit der DSGVO auf Basis des angefochtenen Erkenntnisses somit nicht möglich ist, konnte die in Spruchpunkt A)II. des angefochtenen Erkenntnisses angeordnete, auf Art. 58 Abs. 2 DSGVO gestützte Löschung keinen Bestand haben.
40 Spruchpunkt A)II. des angefochtenen Erkenntnisses war daher gemäß § 42 Abs. 2 Z 3 lit. b und c VwGG wegen Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften aufzuheben.
4. Zu Spruchpunkt A)I. des angefochtenen Erkenntnisses
41 4.1. Mit dem insoweit gegenständlichen Spruchpunkt A)I. des angefochtenen Erkenntnisses wurde festgestellt, dass die Revisionswerberin als datenschutzrechtliche Verantwortliche den Mitbeteiligten durch die Weitergabe medizinischer Unterlagen in (näher bezeichneten) Rechten verletzt habe. Die Revisionswerberin erachtet sich als datenschutzrechtliche Verantwortliche dadurch ihrerseits in ihrem Recht darauf verletzt, dass nicht festgestellt werde, dass hier eine Rechtsverletzung durch sie erfolgt sei. Der Sache nach wird somit geltend gemacht, dass die Datenschutzbeschwerde mangels Berechtigung gemäß § 24 Abs. 5 letzter Satz DSG abzuweisen gewesen wäre.
42 4.2. Der Verwaltungsgerichtshof hat (wenn auch noch zur Rechtslage nach dem DSG 2000) ausgesprochen, dass § 1 Abs. 1 DSG 2000 einen umfassenden Geheimhaltungsanspruch personenbezogener Daten gewährt, unabhängig von den technisch-organisatorischen Bedingungen ihrer Verarbeitung (vgl. VwGH 28.2.2018, Ra 2015/04/0087, Rn. 15, mwN). Mangels Änderung dieser Bestimmung gilt dies auch für die geltende Regelung des § 1 Abs. 1 DSG. An diesem Verständnis vermag auch die ‑ die Durchführung der DSGVO betreffende ‑ einfachgesetzliche Regelung des § 4 Abs. 1 DSG nichts zu ändern. Die in Rn. 38 angesprochenen Feststellungsmängel sind daher, soweit eine Verletzung des § 1 Abs. 1 DSG in Rede steht, nicht relevant.
43 Es ist somit zu prüfen, ob die hier erfolgte Beschränkung des Rechts auf Geheimhaltung ‑ da es sich um besonders schutzwürdige Gesundheitsdaten des Mitbeteiligten handelte ‑ zur Wahrung wichtiger öffentlicher Interessen gesetzlich vorgesehen war (vgl. § 1 Abs. 2 DSG).
44 Dem diesbezüglichen Revisionsvorbringen kommt schon deshalb keine Berechtigung zu, weil eine Erforderlichkeit der Übermittlung zur Wahrung öffentlicher Interessen nicht aufgezeigt wird. Der Verwaltungsgerichtshof verkennt zwar nicht, dass die Ermittlung des Sachverhaltes in einem (wie hier vom Mitbeteiligten durch Einbringung einer Dienstaufsichtsbeschwerde eingeleiteten) Verfahren im öffentlichen Interesse liegt und grundsätzlich die Verarbeitung personenbezogener Daten rechtfertigen kann (vgl. etwa im Zusammenhang mit der Übermittlung einer Niederschrift zur Klärung der Sache bzw. zur Untermauerung des Prozessstandpunktes VwGH 26.6.2018, Ra 2017/04/0032, Rn. 32). Vorliegend wurde die Weitergabe der gegenständlichen medizinischen Unterlagen von der Revisionswerberin aber lediglich damit begründet, dass die davon erfassten Personen in der Dienstaufsichtsbeschwerde des Mitbeteiligten namentlich genannt waren und daher aufgefordert wurden, an der Ermittlung des Sachverhaltes mitzuwirken. Das BVwG hat in seiner Entscheidung demgegenüber darauf abgestellt, dass die von der Weitergabe erfassten Personen nicht auf Grund ihres medizinischen Sachverstandes beigezogen, sondern (nur) aufgefordert wurden, zu faktischen Geschehnissen und insbesondere zu den sie betreffenden Vorwürfen Stellung zu nehmen. Vor diesem Hintergrund ist das BVwG zutreffend davon ausgegangen, dass nicht ersichtlich ist, inwieweit die Übermittlung medizinischer Gutachten, die vom Mitbeteiligten zur Untermauerung der gesundheitlichen Folgen des Mobbings der Dienstaufsichtsbeschwerde beigefügt waren, an die in der Dienstaufsichtsbeschwerde als Verdächtige bzw. als Auskunftspersonen genannten Personen geeignet gewesen wäre, zur Ermittlung des Sachverhaltes beizutragen. Entgegen der Auffassung der Revisionswerberin kann aus dem Umstand, dass der Mitbeteiligte bestimmte medizinische Unterlagen seiner Dienstaufsichtsbeschwerde angeschlossen hat, für sich allein nicht darauf geschlossen werden, dass die Weitergabe dieser Unterlagen an Dritte (und seien diese auch in der Dienstaufsichtsbeschwerde genannte Personen, die zur Ermittlung des Sachverhaltes grundsätzlich beitragen können) zur Entkräftung der Vorwürfe erforderlich sein können.
45 Ausgehend davon kommt dem Revisionsvorbringen, soweit damit eine Verletzung des § 1 DSG durch die Revisionswerberin bestritten wird, somit keine Berechtigung zu.
46 4.3. Hingegen kann der in Spruchpunkt A)I. des angefochtenen Erkenntnisses enthaltene Verweis auf „die unrechtmäßige Verarbeitung von Daten nach Art. 9 DSGVO“ aus folgenden Gründen keinen Bestand haben:
47 Der Mitbeteiligte begehrte in seiner Datenschutzbeschwerde (abgesehen von dem in Spruchpunkt A)II. des angefochtenen Erkenntnisses erledigten Antrag auf Löschung) lediglich ‑ wenn auch unter Anführung mehrerer Rechtsgrundlagen ‑ die Feststellung der Verletzung des Grundrechts auf Datenschutz. Mit Bescheid der DSB vom 14. Jänner 2019 wurde die Datenschutzbeschwerde „wegen Verletzung im Recht auf Geheimhaltung“ abgewiesen. In der dagegen erhobenen Beschwerde beantragte der Revisionswerber, das BVwG wolle den bekämpften Bescheid dahingehend abändern, dass der Beschwerde wegen Verletzung des Grundrechts auf Datenschutz entsprochen werde. Somit kommt die Vornahme zweier eigenständiger Feststellungen (wie sie in Spruchpunkt A)I. sowie der Begründung des angefochtenen Erkenntnisses zum Ausdruck kommt) fallbezogen schon vor diesem Hintergrund nicht in Betracht. Gemäß § 42 Abs. 4 VwGG kann der Verwaltungsgerichtshof in der Sache selbst entscheiden, wenn sie entscheidungsreif ist und die Entscheidung in der Sache selbst im Interesse der Einfachheit, Zweckmäßigkeit und Kostenersparnis liegt. Dies trifft im vorliegenden Fall (im Hinblick auf die obigen Darlegungen) hinsichtlich des Verweises auf die unrechtmäßige Datenverarbeitung nach Art. 9 DSGVO zu (vgl. VwGH 27.1.2020, Ra 2019/04/0005, Rn. 32, mwN).
48 Selbst wenn ‑ worauf der Vollständigkeit halber hingewiesen werden soll ‑ der Verweis auf die unrechtmäßige Verarbeitung von Daten nach Art. 9 DSGVO in Spruchpunkt A)I. des angefochtenen Erkenntnisses lediglich als Grundlage für die vom BVwG angenommene Verletzung im Grundrecht auf Datenschutz anzusehen wäre, könnte er angesichts der Ausführungen in Pkt. II.3.3. zur mangelnden Überprüfbarkeit der Anwendbarkeit der DSGVO keinen Bestand haben.
49 5. Ein Aufwandersatz an die belangte Behörde kommt schon im Hinblick auf die Aufhebung von Spruchpunkt A)II. des angefochtenen Erkenntnisses und § 50 VwGG nicht in Betracht.
Wien, am 23. Juni 2022
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)