VwGH Ro 2020/04/0032

VwGHRo 2020/04/003214.12.2021

Der Verwaltungsgerichtshof erkennt durch Senatspräsident Dr. Handstanger als Vorsitzenden sowie Hofrat Dr. Mayr, Hofrätin Mag. Hainz‑Sator und die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Schara, über die Revision der Ö AG in W, vertreten durch die Schönherr Rechtsanwälte GmbH, Schottenring 19, 1010 Wien, gegen das Erkenntnis des Bundesverwaltungsgerichts vom 20. August 2020, Zl. W258 2217446‑1/15E, betreffend ein Verfahren gemäß Art. 58 DSGVO (belangte Behörde vor dem Verwaltungsgericht: Österreichische Datenschutzbehörde, Barichgasse 40‑42, 1030 Wien), zu Recht erkannt:

Normen

ABGB §7
AVG §37
AVG §56
B-VG Art7 Abs1
DSG §22
DSG §24
EURallg
StGG Art2
VwRallg
32016R0679 Datenschutz-GrundV Art58
32016R0679 Datenschutz-GrundV Art58 Abs1
32016R0679 Datenschutz-GrundV Art58 Abs2
32016R0679 Datenschutz-GrundV Art58 Abs2 litd
32016R0679 Datenschutz-GrundV Art58 Abs2 litf
32016R0679 Datenschutz-GrundV Art58 Abs3
32016R0679 Datenschutz-GrundV Art58 Abs6
32016R0679 Datenschutz-GrundV Art77
32016R0679 Datenschutz-GrundV Art78
32016R0679 Datenschutz-GrundV Art79

European Case Law Identifier: ECLI:AT:VWGH:2021:RO2020040032.J00

 

Spruch:

Der Revision wird Folge gegeben.

Das angefochtene Erkenntnis, das in seinem unangefochtenen Umfang betreffend Spruchpunkt A) aufrecht erhalten bleibt, wird im Umfang des Spruchpunktes B), sohin betreffend die Abweisung der Beschwerde hinsichtlich der Spruchpunkte 1., 4. und 5. des bekämpften Bescheides, wegen Rechtswidrigkeit des Inhalts aufgehoben.

Der Bund hat der Revisionswerberin die Aufwendungen in Höhe von € 1.346,40 binnen 14 Tagen bei sonstiger Exekution zu ersetzen.

Begründung

1 1. Aus dem Akteninhalt ergibt sich folgender unstrittiger Sachverhalt:

2 Die Revisionswerberin verfügt über eine Gewerbeberechtigung als „Adressenverlag und Direktwerbeunternehmen“. Sie betreibt eine Datenanwendung „DAM‑Zielgruppenadressen“, um werbetreibenden Kunden personenbezogene Daten für zielgerichtete Marketingmaßnahmen entgeltlich zur Verfügung zu stellen.

3 Soweit hier von Relevanz wurden folgende Informationen über natürliche Personen verwendet und Dritten weitergegeben: Anrede, Vor- und Nachname, Adresse, Geburtsdatum und „Partei‑Affinität“. Die „Partei‑Affinität“ enthielt die Angabe der jeweils personenbezogenen Einschätzung deren Affinität zu fünf in Österreich wahlwerbenden Parteien, wobei jeder dieser Parteien in der Angabe einer der Werte „sehr niedrig“, „niedrig“, „hoch“ oder „sehr hoch“ zugeordnet sein konnte.

4 Im Zusammenhang mit dieser Tätigkeit erhob die Revisionswerberin seit 2017 Informationen zu den Parteiaffinitäten der gesamten österreichischen Bevölkerung basierend auf anonymen Umfragen durch hiezu beauftragte Meinungsforschungsinstitute, bei denen konkrete Fragen zum Interesse an Wahlwerbung gestellt wurden. In diesem Zusammenhang wurden soziodemografische Daten wie Alter, formale Bildung und Einkommensverhältnisse, sowie Wohnort und etwaiges Interesse an Wahlwerbung durch die politischen Parteien abgefragt. Im Anschluss wurden anhand der soziodemografischen Daten und des Wohnorts Marketinggruppen innerhalb eines Rasters gebildet und für jede dieser Marketinggruppen unter Berücksichtigung der Meinungsumfragen aber auch von regionalen Wahlergebnissen errechnet, mit welcher Wahrscheinlichkeit eine Person mit bestimmten soziodemografischen Daten und Regionszugehörigkeit Interesse an Werbung von den genannten politischen Parteien hat. Durch die Einordung einer konkreten Person in eine bestimmte Marketinggruppe wurden dieser Person, die für die jeweilige Marketinggruppe berechneten Wahrscheinlichkeitswerte und die sich ergebende „Partei‑Affinität“ zugeordnet.

5 Die Revisionswerberin hat für die Verarbeitung der „Partei‑Affinität“ keine Zustimmung von jenen Personen eingeholt, deren Wert ermittelt oder zugeordnet wurde.

6 Die Berechnung und Weitergabe der „Partei‑Affinität“ zu den in der Datenanwendung „DAM‑Zielgruppenadressen“ enthaltenen Personen verfolgte den Zweck, Streuverluste in der Werbung zu verringern.

7 Die Revisionswerberin erstellte zur Datenanwendung „DAM‑Zielgruppenadressen“ ein Verzeichnis der Verarbeitungstätigkeit. Dort verneint sie die Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, und eine umfangreiche Verarbeitung besonders sensibler Daten.

8 2. Verfahrensverlauf:

9 Aufgrund von Medienberichten betreffend den angeblichen Verkauf personenbezogener Daten, insbesondere von Informationen über die „politische Affinität“ einzelner Personen, leitete die belangte Behörde am 8. Jänner 2019 von Amts wegen ein Prüfverfahren gegen die Revisionswerberin ein. Nach Einholung einer Stellungnahme der Revisionswerberin erließ die belangte Behörde am 11. Februar 2019 den verfahrensgegenständlichen Bescheid, mit welchem unter anderem ‑ insofern für dieses Revisionsverfahren von Relevanz ‑ folgende Spruchpunkte enthalten waren:

10 Die belangte Behörde traf die Feststellung, das amtswegige Prüfverfahren sei berechtigt gewesen und die Revisionswerberin habe besondere Kategorien personenbezogener Daten, nämlich die Partei‑Affinität im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“, mangels Einwilligung der betroffenen Personen unrechtmäßig verarbeitet (Spruchpunkt 1.).

11 Weiter traf die belangte Behörde die Feststellung, die Revisionswerberin habe hinsichtlich der Anwendung „DAM‑Zielgruppenadressen“ dadurch gegen ihre Pflicht zur Durchführung einer Datenschutz‑Folgenabschätzung verstoßen, indem sie diese entgegen den zeitlichen Angaben in der Datenschutz‑Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 20. Mai 2018, durchgeführt habe (Spruchpunkt 3.).

12 Ferner wurde festgestellt, die Datenschutz‑Folgenabschätzung zur Anwendung der „DAM‑Zielgruppenadressen“ sei fehlerhaft, weil in ihr die Verarbeitung besonderer Kategorien von Daten verneint werde, obwohl die Partei‑Affinität errechnet werde und als Ergebnis das Vorliegen eines hohen Risikos daher jedenfalls verneint werde (Spruchpunkt 4.) sowie dass das Verzeichnis zur Verarbeitungstätigkeit der „DAM‑Zielgruppenadressen“ fehlerhaft sei, weil eine Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, sowie eine umfangreiche Verarbeitung von sensiblen Daten verneint werde (Spruchpunkt 5.).

13 Zur Klarstellung wird darauf hingewiesen, dass die Spruchpunkte 2. und 6. des angefochtenen Bescheides der belangten Behörde Gegenstand eines weiteren Teilerkenntnisses des Bundesverwaltungsgerichts vom 26. November 2020, W258 2217446‑1/35E, waren. Dieses Teilerkenntnis ist Gegenstand eines weiteren Revisionsverfahrens vor dem Verwaltungsgerichtshof, protokolliert zu Ro 2021/04/0007.

14 3. Mit dem hier angefochtenen Teilerkenntnis gab das Bundesverwaltungsgericht der Beschwerde der Revisionswerberin insofern teilweise Folge, als der angefochtene Spruchpunkt 3. des bekämpften Bescheides ersatzlos behoben wurde (Spruchpunkt A). In diesem Umfang blieb das Teilerkenntnis unangefochten.

15 Mit seinem Spruchpunkt B wies das Bundesverwaltungsgericht die Beschwerde gegen die Spruchpunkte 1., 4. und 5. des Bescheides der belangten Behörde ab (Spruchpunkt B).

16 Die Revision erklärte es für zulässig (Spruchpunkt C).

17 Ausgehend von den eingangs dieser Entscheidung dargestellten unstrittigen Feststellungen führte das Bundesverwaltungsgericht in rechtlicher Hinsicht begründend aus, die Daten zur „Partei‑Affinität“ seien als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO anzusehen und unterlägen dem dort normierten Verarbeitungsverbot. Die Revisionswerberin könne die Verarbeitung dieser Datenarten entgegen ihrer Ansicht nicht auf Art. 9 Abs. 2 lit. g DSGVO in Verbindung mit § 151 Abs. 6 Gewerbeordnung stützen. Sie habe keine Zustimmung für die Verarbeitung von den betroffenen Personen eingeholt, weshalb sich die Verarbeitung der jeweiligen Daten zur „Partei‑Affinität“ als rechtswidrig erweise.

18 Zum Vorbringen der Revisionswerberin, die belangte Behörde habe im amtswegig eingeleiteten Verfahren keine Kompetenz, Rechtsverletzungen in einer rechtskraftfähigen Weise festzustellen, weil dies weder aus Art. 58 Abs. 2 DSVGO noch aus dem Datenschutzgesetz abgeleitet werden könne, führte das Verwaltungsgericht aus, der Revisionswerberin sei darin zuzustimmen, dass Art. 58 DSVGO keine Feststellungskompetenz enthalte und der nationale Gesetzgeber in Bezug auf amtswegig eingeleitete datenschutzrechtliche Prüfverfahren von der Möglichkeit, gemäß Art. 58 Abs. 6 DSVGO weitere Befugnisse der Aufsichtsbehörde zu normieren, keinen Gebrauch gemacht habe. Entgegen der Ansicht der belangten Behörde beziehe sich § 24 DSG nur auf Beschwerdeverfahren, nicht jedoch auf amtswegig eingeleitete Verfahren. Dennoch komme der belangten Behörde im Rahmen eines amtswegigen Einschreitens die Kompetenz zu, Rechtsverletzungen festzustellen: Mit § 24 Abs. 2 Z 5 DSG, wonach eine Beschwerde das Begehren zu enthalten habe, die Rechtsverletzung festzustellen, habe der Gesetzgeber der Datenschutzbehörde im Beschwerdeverfahren die Feststellungskompetenz betreffend Rechtsverletzungen ausdrücklich eingeräumt. Für amtswegig eingeleitete Verfahren wie hier ergebe sich diese Kompetenz aus einer analogen Anwendung des § 24 DSG. Es sei nämlich keine sachliche Rechtfertigung dafür ersichtlich, weshalb der belangten Behörde bei gleichem Sachverhalt und gleicher europarechtlicher Grundlage bloß deswegen keine Feststellungskompetenz zukommen solle, weil diese von Amts wegen und nicht über Antrag einschreite. Dass der Gesetzgeber die beiden Verfahrensarten unterschiedlich behandelt wissen wolle, sei nicht ersichtlich. Durch die unterschiedliche Regelung von amtswegig eingeleiteten Verfahren und Beschwerdeverfahren würden die jeweiligen Beschwerdegegner in verfassungsrechtlich bedenklicher Weise ungleich behandelt: Für Beschwerdegegner in einem Beschwerdeverfahren über Antrag einer bestimmten Person würden eine etwaige rechtswidrige Verarbeitung personenbezogener Daten in einer rechtskraftfähigen Weise und damit unter anderem für Behörden bindend festgestellt werden. Für Beschwerdegegner in einem amtswegigen Verfahren gelte dies hingegen nicht. Insofern in diesen letzteren Fällen die Rechtswidrigkeit bei Datenverarbeitung eine bloße Vorfrage darstelle, könne diese demnach in einem späteren Verfahren ‑ etwa im Verwaltungsstrafverfahren ‑ neuerdings geprüft werden. Dies sei im Falle der rechtskräftigen Feststellung nicht möglich.

19 Diese planwidrige Lücke sei daher dahingehend zu schließen, dass der belangten Behörde auch hier ‑ analog § 24 DSG ‑ die Kompetenz zukommen müsse, mit Feststellungsbescheid über die Rechtswidrigkeit der Verarbeitung personenbezogener Daten abzusprechen. Die belangte Behörde habe daher zu Recht in Spruchpunkt 1. des bekämpften Bescheids die Rechtswidrigkeit der Verarbeitung der Datenarten der Partei‑Affinität festgestellt, weshalb die dagegen gerichtete Beschwerde in diesem Umfang abzuweisen gewesen sei. Ebenso könne die Feststellung der Rechtswidrigkeit hinsichtlich der Datenschutz‑Folgenabschätzung zur „DAM‑Zielgruppenadressen“ sowie die Fehlerhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit „DAM‑Zielgruppenadressen“ spruchgemäß getroffen werden (Spruchpunkte 4. und 5. des bekämpften Bescheids).

20 Die Revision sei zulässig, weil keine Rechtsprechung zu der Frage vorliege, ob besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSVGO vorlägen, wenn aus Durchschnittswerten ermittelte Einschätzungen von Interessen natürlicher Personen den Gegenstand der Verarbeitung bilden würden, auch wenn die Einschätzung der natürlichen Personen weder auf ein Verhalten gründe, dass diese selbst gesetzt hätten, noch auf eine konkrete Information über diese Personen selbst. Weiters fehle es an Rechtsprechung des Verwaltungsgerichtshofs zur Frage, ob der belangten Behörde in einem amtswegig eingeleiteten Verfahren die Kompetenz zukomme, Rechtsverletzungen in einer rechtskraftfähigen Weise festzustellen.

21 4. Gegen dieses Teilerkenntnis im Umfang der Abweisung der Beschwerde betreffend die Spruchpunkte 1., 4. und 5. des bekämpften Bescheides richtet sich die vorliegende ordentliche Revision.

22 Die belangte Behörde erstattete eine Revisionsbeantwortung.

23 5. Der Verwaltungsgerichtshof hat erwogen:

24 Die Revision ist aus den vom Verwaltungsgericht genannten Gründen, auf welche sich auch die Revision beruft, zulässig und berechtigt.

25 5.1. Maßgebliche Rechtslage:

26 5.1.1. Art. 58 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung; DSGVO) lautet auszugsweise:

Artikel 58

Befugnisse

(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

...

(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,

c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,

f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,

g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,

h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.

(3) ...“

27 5.1.2. § 24 DSG in der fallbezogen maßgeblichen Fassung, BGBl. I Nr. 120/2017, lautet auszugsweise:

3. Abschnitt

Rechtsbehelfe, Haftung und Sanktionen

Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:

1. die Bezeichnung des als verletzt erachteten Rechts,

2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),

3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,

4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,

5. das Begehren, die behauptete Rechtsverletzung festzustellen und

6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

...“

28 5.2. Die fallbezogen zu klärende Rechtsfrage ist, ob der belangten Behörde im Rahmen der Inanspruchnahme der ihr eingeräumten Abhilfebefugnisse gemäß Art. 58 Abs. 2 DSGVO die Kompetenz zukommt, von Amts wegen einen rechtskraftfähigen Feststellungsausspruch betreffend die Rechtswidrigkeit des jeweils untersuchten Verarbeitungsvorgangs zu treffen.

29 5.3. Vorauszuschicken ist, dass keine rechtliche Grundlage für einen selbständigen Abspruch über die allfällige Berechtigung der Durchführung eines Verfahrens im Sinne des Art. 58 Abs. 2 DSGVO bzw. der allfälligen Rechtswidrigkeit des jeweils anlassgebenden Verarbeitungsvorgangs vorliegt:

30 Art. 58 DSGVO enthält keine ausdrückliche rechtliche Grundlage für eine selbständige Feststellung über die allfällige Rechtswidrigkeit eines datenschutzrechtlich relevanten Verarbeitungsvorgangs in einem amtswegig eingeleiteten Verfahren durch die belangte Behörde.

31 § 24 DSG wiederum regelt die von einer ihrer Ansicht nach in ihrem Recht auf Schutz der sie betreffenden personenbezogenen Daten verletzten Person erhobene Individualbeschwerde und ist damit auf Verfahren wie das vorliegende amtswegig eingeleitete nicht direkt anwendbar.

32 5.4.1. Die in Spruchpunkt 1. enthaltene Feststellung bildet als solche keine notwendige Grundlage für die Ausübung der Abhilfebefugnis gemäß Art. 58 Abs. 2 lit. d DSGVO. Die Anordnung der Unterlassung des rechtswidrigen Datenverarbeitungsvorgangs setzt weder einen separaten Abspruch über die Berechtigung des von der belangten Behörde durchgeführten amtswegigen Prüfverfahrens noch die spruchmäßige Feststellung des Vorliegens der Rechtsverletzung voraus. Insofern die belangte Behörde fallbezogen die ihr durch Art. 58 Abs. 2 lit. f DSGVO eingeräumte Abhilfebefugnis ausübte, die ihr gestattet, den Verantwortlichen ‑ fallbezogen die Revisionswerberin ‑ anzuweisen, Verarbeitungsvorgänge zu unterlassen und damit ein Verbot der Verarbeitung zu verhängen, erfordert dies die Ermittlung des maßgeblichen Sachverhalts sowie die Beurteilung der Rechtswidrigkeit der erfolgten Verarbeitung und stellt damit eine inhaltliche Voraussetzung für die von der belangten Behörde ausgesprochene Unterlassungsverpflichtung dar. Die entsprechende Unterlassungsanweisung ‑ das Verbot ‑ setzt jedoch nicht den gesonderten Abspruch in Form der Feststellung der anlassgebenden Rechtsverletzung voraus.

33 5.4.2. Der Argumentation des Bundesverwaltungsgerichts, die Feststellungskompetenz der belangten Behörde ergebe sich aus der notwendigen analogen Anwendung des § 24 DSG vermag sich der VwGH nicht anzuschließen:

34 5.4.2.1. Die Rechtsprechung des Verwaltungsgerichtshofs hat die grundsätzliche Zulässigkeit der Analogie auch im öffentlichen Recht wiederholt anerkannt. Voraussetzung hiefür ist freilich das Bestehen einer echten (das heißt planwidrigen) Rechtslücke. Sie ist dort anzunehmen, wo das Gesetz, gemessen an seiner eigenen Absicht und immanenten Teleologie, unvollständig, also ergänzungsbedürftig ist, und wo sein Ergänzen nicht etwa einer von Gesetz gewollten Beschränkung widerspricht. Da das öffentliche Recht, in Besonderem das Verwaltungsrecht, schon von der Zielsetzung her nur einzelne Rechtsbeziehungen unter dem Gesichtspunkt des öffentlichen Interesses zu regeln bestimmt ist, muss eine auftretende Rechtslücke in diesem Rechtsbereich im Zweifel als beabsichtigt angesehen werden. Eine durch Analogie zu schließende Lücke kommt nur dann in Betracht, wenn das Gesetz anders nicht vollziehbar ist oder wenn das Gesetz in eine Regelung einen Sachverhalt nicht einbezieht, auf welchen ‑ unter dem Gesichtspunkt des Gleichheitssatzes und gemessen an den mit der Regelung verfolgten Absichten des Gesetzgebers ‑ eben dieselben Wertungsgesichtspunkte zutreffen wie auf die im Gesetz geregelten Fälle und auf den daher ‑ schon zur Vermeidung einer verfassungsrechtlich bedenklichen Ungleichbehandlung ‑ auch dieselben Rechtsfolgen angewendet werden müssen (vgl. VwGH 31.7.2020, Ra 2020/11/0086, mwN).

35 Hinsichtlich der im Revisionsfall einschlägigen verfahrensrechtlichen Bestimmungen ist nicht ersichtlich, dass das Datenschutzgesetz hinsichtlich der unterlassenen Vorsehung einer Feststellungskompetenz in amtswegigen Verfahren eine planwidrige Lücke aufweise: So wird in den Erläuterungen zu § 24 DSG ausgeführt, die in Kapitel VIII der DSGVO (Rechtsbehelfe, Haftung und Sanktionen) enthaltenen Regelungen würden zum besseren Verständnis ‑ zumindest zum Teil ‑ eine Durchführung ins nationale Recht erfordern. Dies betreffe in erster Linie die Art. 77 bis 79 DSGVO, die die Beschwerde und die Rechtsbehelfe regeln. Keiner Durchführung ins nationale Recht bedürften hingegen etwa Art. 81 und zum Teil auch Art. 83 DSGVO. In § 24 sollen im Rahmen der Durchführung des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie die Grundsätze des Verfahrens vor der Aufsichtsbehörde geregelt werden. Diesbezüglich würden die bislang bereits in § 31 Abs. 3, 4, 7 und 8 DSG 2000 vorgesehenen Regelungen zum Teil beibehalten (vgl. AB 1761 BlgNR 25. GP , 15). Damit ist klargestellt, dass mit § 24 DSG die in Art. 77 DSGVO vorgesehene Individualbeschwerde ins nationale Recht übernommen wurde und dabei eine nähere Ausgestaltung erfuhr.

36 Demgegenüber wurde in den Erläuterungen zu § 22 DSG (vgl. AB 1761 BlgNR 25. GP , 14) Folgendes festgehalten: „Art. 58 Abs. 6 DSGVO, welcher die Möglichkeit bietet, dass jeder Mitgliedstaat durch Rechtsvorschriften vorsehen kann, dass seine Aufsichtsbehörde neben den in den Art. 58 Abs. 1, 2 und 3 DSGVO aufgeführten Befugnissen über zusätzliche Befugnisse verfügt, wird nicht in das DSG übernommen, da diese Rechtsvorschriften gegebenenfalls jeweils mit der zugehörigen Materie geregelt werden müssen. Die Ausübung dieser Befugnisse darf jedoch dabei nicht die effektive Durchführung des Kapitels VII der DSGVO beeinträchtigen.“

37 Aus den Erläuterungen geht damit zweifelsfrei hervor, dass die unterschiedliche Regelung der Individualbeschwerde und der amtswegig eingeleiteten Verfahren der Absicht des Gesetzgebers entsprach. Das Vorliegen einer planwidrigen Lücke ergibt sich daraus nicht. Auch ist nicht zu ersehen, inwiefern Art. 58 DSGVO, der einen relativ detaillierten Maßnahmenkatalog enthält, zu seiner Vollziehung einer Ergänzung im Wege der angedachten Analogie bedürfe.

38 5.4.2.2. Eine solche Ergänzung ist auch nicht verfassungsrechtlich geboten: § 24 DSG und Art. 58 Abs. 2 DSGVO regeln jeweils grundsätzlich unterschiedliche Rechtsschutzinstitute. § 24 DSG räumt der in seinem persönlichen Grundrecht verletzten Person die Möglichkeit ein, die ihr gegenüber geschehene Rechtsverletzung feststellen zu lassen. Der Feststellungsausspruch betrifft hier die Rechtsposition einer konkreten in ihren Rechten verletzten Person und ist dogmatisch in seinem Rechtskraftumfang auf diese Rechtsverletzung beschränkt. Basierend auf dieser Feststellung soll es der betroffenen Person möglich sein, weitere individuelle Ansprüche ‑ etwa Schadenersatzansprüche ‑ zu verfolgen.

39 Art. 58 Abs. 2 DSGVO wiederum räumt der zuständigen Behörde weitgehende Befugnisse ein, die dazu dienen sollen, einen Verantwortlichen oder einen Auftragsverarbeiter zu einem rechtskonformen Verhalten zu veranlassen, und verfolgt damit einen anderen Zweck als die Individualbeschwerde.

40 Der Gleichbehandlungsgrundsatz erfordert es vor diesem Hintergrund nicht, die Möglichkeit der rechtsverbindlichen Feststellung einer datenschutzrechtlichen Rechtsverletzung gemäß § 24 DSG auf amtswegige Verfahren auszudehnen.

41 5.5. Zusammengefasst wendet sich die Revision zurecht gegen die Rechtsansicht des Bundesverwaltungsgerichts, dass der belangten Behörde die strittige Feststellungskompetenz zukomme. Bereits aus diesen Gründen war das angefochtene (Teil)Erkenntnis im Umfang der Abweisung der Beschwerde wegen Rechtswidrigkeit des Inhalts gemäß § 42 Abs. 2 Z 1 VwGG aufzuheben, ohne dass bei diesem Ergebnis auf die Rechtsfrage der Beurteilung der fallbezogenen Datenverarbeitung betreffend „Partei‑Affinität“ einzugehen ist. Diese ist Gegenstand des zu Ro 2021/04/0007 protokollierten Revisionsverfahrens.

42 5.6. Die Entscheidung über den Aufwandersatz gründet auf §§ 47 ff VwGG sowie die VwGH‑Aufwandersatzverordnung 2014.

Wien, am 14. Dezember 2021

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

Stichworte