Bundesverwaltungsgericht
20.01.2022
W214 2239688-1
W214 2239688-1/35E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als
Vorsitzende und die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und
Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde des römisch XXXX , gegen den Bescheid der Datenschutzbehörde vom 27.11.2020, Zl. D123.283/0010-DSB/2019, nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:
A)
Die Beschwerde wird gemäß Paragraph 28, Absatz 2, Verwaltungsgerichtsverfahrensgesetz, Bundesgesetzblatt Teil eins, Nr. 33 aus 2013, idgF (VwGVG) als unbegründet abgewiesen.
B)
Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.
Entscheidungsgründe:
römisch eins. Verfahrensgang:
1. In seiner an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 02.08.2018 machte der Mitbeteiligte (Beschwerdeführer vor der belangten Behörde) römisch XXXX eine Verletzung im Grundrecht auf Datenschutz gemäß Paragraph eins, DSG geltend. Dazu wurde vom Mitbeteiligten zusammengefasst vorgebracht, dass er sich aufgrund einer Weisung am 26.01.2018 bei dem zuständigen Arbeitsmediziner römisch XXXX (im Folgenden: „Dr. T.“) einer ärztlichen Untersuchung betreffend seine Exekutivdiensttauglichkeit unterziehen habe müssen. Das entsprechende Gutachten bzw. der Befund sei am 08.02.2018 beim römisch XXXX , zum Zeitpunkt der Beschwerdeeinbringung römisch XXXX (Beschwerdegegnerin vor der belangten Behörde, nunmehr römisch XXXX , Beschwerdeführerin vor dem Bundesverwaltungsgericht) z.H. Herrn römisch XXXX (des Zeugen im Verfahren vor dem Bundesverwaltungsgericht, im Folgenden: „Y.“) eingelaufen. Am 09.02.2018 habe der Mitbeteiligte eine abfotografierte Version des Befundes per WhatsApp auf seine private Handynummer von einem Kollegen der römisch XXXX (in weiterer Folge: „ römisch XXXX “) geschickt bekommen. Der gegenständliche Befund sei allerdings erst am 11.02.2018 in der römisch XXXX eingelaufen. Am 16.02.2018 habe er das Gutachten von der römisch XXXX erhalten. Aufgrund dieser Tatsache sei das Gutachten bei der Beschwerdeführerin mit einem Handy fotografiert und weitergeleitet worden. Durch die Verbreitung seines vertraulichen Gutachtens unter seinen Kollegen habe sich sein psychischer Gesundheitszustand wieder verschlechtert und sei es ihm vorerst nicht möglich, angemessen auf diesen Verstoß zu reagieren. Er behalte sich das Recht vor, eine Anzeige gegen die Dienstbehörde mit dem heutigen Datum einzuleiten.
Der Datenschutzbeschwerde beigelegt ist eine Seite des Befundes mit Einlaufstempel der römisch XXXX (in weiterer Folge: „ römisch XXXX “) am 08.02.2018, ein Screenshot des übermittelten WhatsApp vom 09.02.2018 sowie ein Schreiben der römisch XXXX , dass der Befund am 11.02.2018 dort eingelangt sei.
2. Über Aufforderung der belangten Behörde erstattete die Beschwerdeführerin eine Stellungnahme und führte darin aus, dass der Befund laut Eingangsstempel am 08.02.2018 im Team römisch XXXX eingelangt sei, in weiterer Folge mit 09.02.2018 veraktet und dem römisch XXXX zugewiesen, von diesem am 11.02.2018 in Bearbeitung genommen und am 12.02.2018 der römisch XXXX übermittelt worden sei. Da der Unterschriftenblock auf dem vom Mitbeteiligten geschickten Gutachten nicht mit dem im Akt einliegenden Scan ident sei, habe man am 09.08.2018 den Sachverständigen Dr. T. telefonisch kontaktiert. Dieser habe mitgeteilt, dass er insgesamt drei Gutachtensausfertigungen an den römisch XXXX übermittelt habe. Er übermittle den Betroffenen selbst kein Gutachten, das veranlasse dann die römisch XXXX . Der römisch XXXX des Teams römisch XXXX habe am 10.08.2018 dazu mitgeteilt, dass „nach Durchsicht der Papierstücke und Auffindung der gesuchten Eingaben, […] das Gutachten einfach vorgelegt wurde.“ Auf Nachfrage sei ergänzend mitgeteilt worden, dass allfällige weitere Gutachten noch beim römisch XXXX aufliegen könnten. Eine Stellungnahme des römisch XXXX liege aufgrund urlaubsbedingter Abwesenheit nicht vor. Eine Antwort des Mitbeteiligten zur Bekanntgabe des Namens des Kollegen aus der römisch XXXX , der ihm das Gutachten per WhatsApp übermittelt haben soll, sei noch ausständig.
3. Am 21.12.2018 erstattete der Mitbeteiligte, unter gleichzeitiger Vollmachtsbekanntgabe seiner nunmehrigen Rechtsvertreter, eine Stellungnahme und brachte zu seinem bisherigen Vorbringen ergänzend vor, dass ein massives Bossing und Mobbing durch seinen Anstaltsleiter betrieben werde und er in eine Situation der dauernden Dienstunfähigkeit manövriert worden sei. Der Kollege der römisch XXXX , welcher ihm das Gutachten geschickt habe, sei mittlerweile versetzt worden. Zwischenzeitig sei auch der römisch XXXX (im Folgenden: „A.“), durch Beförderung versetzt und zum Leiter der römisch XXXX ernannt worden. Der Mitbeteiligte sei zu einer Vernehmung bei der Dienstbehörde geladen worden, in der ihm unter anderem eine Fälschung der WhatsApp Nachrichten unterstellt worden sei.
4. Mit Schreiben vom 27.12.2018 übermittelte die belangte Behörde die Stellungnahme der jeweiligen Gegenpartei und gab ihnen die Möglichkeit zur Abgabe einer weiteren Stellungnahme binnen zwei Wochen. An den Mitbeteiligten erging zusätzlich der Auftrag, den Namen jener Person bekanntzugeben, die ihm am 09.02.2018 über WhatsApp eine Kopie bzw. ein digitales Lichtbild des Gutachtens übermittelt haben solle.
5.Am 11.01.2019 erstattete der Mitbeteiligte eine ergänzende Stellungnahme in der er nach umfangreicher Darstellung der Geschehnisse vom 11.01.2018 bis 29.11.2018 im Wesentlichen ausführte, dass er von seinem Arbeitskollegen römisch XXXX (im Folgenden: „R.“) per WhatsApp eine Fotografie seines Befundes erhalten habe. Dieser hätte die Nachricht von „einer anonymen Quelle des römisch XXXX “ erhalten. Telefonisch habe er ihm als „anonyme Quelle des römisch XXXX “ A. genannt. Dieser hätte das Foto einem Gewerkschaftsvertreter geschickt, mit dem Kommentar: „Schau, wie es in römisch XXXX zugeht!“. Dieser Gewerkschaftsvertreter hätte das Foto schließlich verbreitet. Beigelegt war unter anderem die Weisung des römisch XXXX , sich einer ärztlichen Untersuchung betreffend die Exekutivdiensttauglichkeit zu unterziehen (Beilage ./A), ein Screenshot des WhatsApp Verlaufs mit R. (Beilage ./B), ein Schreiben der Beschwerdeführerin sowie das Antwortschreiben des Mitbeteiligten (Beilage ./C und ./D), ein E-Mail des Leiters der Amtshandlung (Beilage ./E) und die Niederschrift der Einvernahme des Mitbeteiligten in der römisch XXXX (Beilage ./F).
6. Am 16.01.2019 erstattete die Beschwerdeführerin eine Stellungnahme und teilte mit, dass die StA römisch XXXX mit Sachverhaltsdarstellung vom 19.10.2018 um eine strafrechtliche Würdigung des vorliegenden Sachverhaltes ersucht worden sei. Nach Wiederholung des bisherigen Sachverhaltes führte die Beschwerdeführerin aus, dass R. in der römisch XXXX durch Bedienstete der Beschwerdeführerin befragt und mit den Angaben des Mitbeteiligten konfrontiert worden sei. Er habe dazu angegeben, dies nicht getan zu haben bzw. sich nicht daran erinnern zu können. Nachdem ihm der Ausdruck des Screenshots gezeigt worden sei, habe er angegeben, dass dieses Profilfoto nicht ident mit jenem sei, welches er auf WhatsApp verwende. Daraufhin habe man den Mitbeteiligten erneut befragt und mit den Angaben des R. konfrontiert. Der Mitbeteiligte habe seine Angaben bestätigt, wonach die Nachricht von R. stamme, dazu habe er auch die Kontaktdetails und die Telefonnummer aufgezeigt. Die Telefonnummer sei ident mit jener, welche im DPSA-Programm dem R. zugeordnet sei.
Da sich der derzeitige Kenntnisstand der Beschwerdeführerin auf den gerade wiedergegebenen Sachverhalt beziehe, nach wie vor ein diesbezügliches Ermittlungsverfahren bei der StA römisch XXXX anhängig sei, der Unterschriftenblock auf dem per WhatsApp übermittelten Gutachten mit jenem bei der Beschwerdeführerin eingescannten nicht ident sei und eine Täterschaft einer der Beschwerdeführerin nicht zurechenbaren externen Personen sohin nicht auszuschließen sei, erscheine eine Datenschutzverletzung der Beschwerdeführerin keinesfalls zweifelsfrei zurechenbar. Vielmehr seien alle gebotenen bzw. vorbeugenden technischen wie organisatorischen Maßnahmen gesetzt worden. Es seien die IT-Benutzungsrichtlinien sowie die zum Thema Datensicherheit ergangenen Erlässe, als auch der „Leitfaden für Kanzleibedienstete – Registerabfragen und Auskunftserteilung“ zu nennen, welche allesamt darauf gerichtet seien, dass unberechtigte Personen weder beabsichtigt noch unbeabsichtigt Zugang zu personenbezogenen Daten erlangen können. Ein angemessener Schutz werde auch durch diverse technische Vorkehrungen (wie beispielsweise Verschlüsselung, zentrale Berechtigungsverwaltung, BackUp-Sicherungen, Protokollierung, usw.) sichergestellt und würden Verarbeitungsvorgänge derart protokolliert werden, dass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden könne.
Vom Mitbeteiligten aufgeworfene Sachverhaltsmomente betreffend eines angeblichen Bossings und Mobbings seien nicht verfahrensgegenständlich, weshalb auf diese in Ermangelung einer expliziten Aufforderung durch die belangte Behörde nicht einzugehen sei.
Abschließend wurde angeregt, das gegenständliche Beschwerdeverfahren bis zur rechtskräftigen Entscheidung in der Strafsache nach Paragraph 38, AVG auszusetzen, zumal die der Beschwerdeführerin angelastete Datenschutzverletzung gleichzeitig den Tatbestand einer gerichtlich strafbaren Handlung durch einen derzeit noch auszuforschenden Täter erfülle.
Beigelegt waren unter anderem Eingaben des Mitbeteiligten, das Protokoll der Niederschrift, Kontaktdetails aus der WhatsApp Applikation des Mitbeteiligten sowie ein Nachrichtenverlauf, ein Screenshot der Daten des R. aus dem DPSA-Programm und das erstellte Gutachten betreffend den Mitbeteiligten (Beilagen ./1 bis ./9).
7. Mit Schreiben vom 28.01.2019 wurden die Stellungnahmen der jeweiligen Gegenpartei übermittelt und die Möglichkeit zur Abgabe einer weiteren Stellungnahme binnen zwei Wochen eingeräumt.
8. In weiterer Folge wurde die StA römisch XXXX um Amtshilfe in der gegenständlichen Angelegenheit und um Beantwortung folgender Fragen ersucht:
1. Ist ein Strafverfahren (Ermittlungsverfahren) anhängig (in diesem Fall wird um Angabe des Aktenzeichens und des Betreffs ersucht)?
2. Falls ja zu 1., in welchem Stadium befindet sich das Verfahren? Handelt es sich um ein Verfahren gegen unbekannte Täter, oder gibt es bereits identifizierte Verdächtige oder Beschuldigte?
3. Falls ja zu 1., liegen Ermittlungsergebnisse (z.B. Aussagen von Beweispersonen, schriftliche Stellungnahmen, Sachverständigengutachten) vor, die zur Aufklärung der Frage beitragen könnten, wer die WhatsApp-Nachricht vom 9. Februar 2018 gesendet und das Lichtbild des Gutachtens angefertigt hat (in diesem Fall wird um Übersendung von Kopien der entsprechenden Dokumente ersucht)?
9. In ihrer am 31.01.2019 eingebrachten Stellungnahme führte die Beschwerdeführerin nach Verweis auf ihr bisheriges Vorbringen im Wesentlichen aus, dass die Behauptungen des Mitbeteiligten, nach welcher es sich bei der „anonymen Quelle des römisch XXXX “ vermutlich um den römisch XXXX , römisch XXXX A. handeln würde, auszuführen sei, dass der Beschwerdeführerin keine näheren Informationen bekannt seien, die dies untermauern würden.
10. Die belangte Behörde hat in weiterer Folge eine mündliche Verhandlung am 28.02.2019 zur Klärung des maßgeblichen Sachverhaltes anberaumt.
11. Mit Schreiben vom 12.02.2019 äußerte sich der Mitbeteiligte dahingehend, dass er dem Auftrag um Bekanntgabe des Namens nachgekommen sei und daher nicht davon ausgehe, dass eine Täterschaft einer der Beschwerdeführerin nicht zurechenbaren externen Person angenommen werden könne, weswegen der Antrag auf Aussetzung unzweckmäßig erscheine.
12. Die Verhandlung vor der belangten Behörde am 28.02.2019 gestaltete sich wie folgt:
(Das ganze Vernehmungsprotokoll ist dem Akt zu entnehmen)
Vernehmung des Mitbeteiligten als Partei:
Er habe am 09.02.2018 (ein Freitag) um 21:37 Uhr von R. (dieser sei sein Arbeitskollege) eine WhatsApp-Nachricht mit der Abbildung einer Seite aus dem ihn betreffenden medizinischen Sachverständigengutachten bekommen. Am Samstag oder Sonntag darauf habe er mit R. telefoniert, dieser habe ihm mitgeteilt, dass die „anonyme Quelle“ römisch XXXX A. sei. Dieser sei mit einem Mitglied des Zentralausschusses der Personalvertretung (ZA) befreundet und gebe deshalb Informationen an diesen weiter.
Das Gutachten sei laut Wissen des Mitbeteiligten am 11.02.2018 (Genehmigung) bzw. 12.02.2018 (Abfertigung) an die römisch XXXX weitergeleitet worden. Er könne nicht sicher angeben, wer die WhatsApp-Nachricht mit der Seite aus dem Gutachten noch erhalten habe. Sicher wisse er das nur von dem namentlich nicht bekannten Mitglied des ZA und von R.
Vernehmung des R. als Zeugen:
Er könne sich nicht mehr genau erinnern, eine WhatsApp-Nachricht an den Mitbeteiligten gesendet zu haben oder an einem darauffolgenden Tag mit diesem telefoniert zu haben, könne dies aber nicht ausschließen. Wenn ihm die WhatsApp-Nachricht auf dem Handy des Mitbeteiligten vorgehalten wird, so könne er aber bestätigen, dass das sein aktuelles Profil und seine Telefonnummer sei.
13. Mit Schreiben vom 12.03.2019 übermittelte die belangte Behörde den Parteien eine Kopie der Verhandlungsschrift über die mündliche Verhandlung am 28.02.2019 und gab ihnen die Möglichkeit zur Abgabe einer Stellungnahme binnen zwei Wochen. Die belangte Behörde teilte mit, dass sie die Sache noch nicht für spruchreif erachte und das Ermittlungsverfahren daher weiter fortgeführt werde.
14. Mit Schreiben vom 07.03.2019 teilte die StA römisch XXXX , bezugnehmend auf die Anfrage der belangten Behörde vom 28.01.2019, mit, dass zu römisch XXXX ein Ermittlungsverfahren gegen römisch XXXX . und R. wegen Paragraphen 287,, 310 Absatz eins, StGB geführt werde, jedoch noch keine über den Kenntnisstand der belangten Behörde hinausgehenden Ermittlungsergebnisse vorliegen würden.
15. Am 04.04.2019 wurden der Sachverständige Dr. T, römisch XXXX (im Folgenden: „C.“) und Y. von einem dazu befugten Organ der belangten Behörde als Zeugen niederschriftlich einvernommen.
(Das ganze Vernehmungsprotokoll ist dem Akt zu entnehmen)
Vernehmung des Zeugen Dr. T.
Er gab an, dass das gegenständliche Gutachten betreffend den Mitbeteiligten von ihm erstattet worden sei. Die Unterschrift in der kursierten WhatsApp-Nachricht sei augenscheinlich seine Unterschrift. Auch die Unterschrift auf der von der Beschwerdeführerin elektronisch erfassten Gutachtensausfertigung stamme von ihm. Es sei üblich und mit Y. vereinbart, dass drei Ausfertigungen des Gutachtens vorgelegt werden (so auch im gegenständlichen Fall). Diese drei Ausfertigungen würden von ihm einzeln unterschrieben und im Kuvert an Y., mit dem er gut bekannt sei, ins römisch XXXX geschickt werden.
Vernehmung des Zeugen C. nach Vorlage des Dienstrechtsmandats vom 27.03.2019 zum Nachweis seiner Entbindung von der Amtsverschwiegenheit:
Auf die Frage, ob und wie er mit der Bearbeitung des Eingangsstücks „Sachverständigengutachten von Dr. T.“ vom Februar 2018 befasst gewesen sei, gab er an, als Kanzleikraft in der Teamassistenz römisch XXXX damit befasst gewesen zu sein. Es sei möglich, dass er dieses Eingangsstück (das gegenständliche Gutachten) in der Hand gehabt habe. Die Post komme zuerst in die Einlaufstelle. Wenn sie an einen bestimmten Mitarbeiter adressiert sei, komme sie von dort ungeöffnet zur Teamassistenz und von dieser ungeöffnet weiter zum Adressaten. Jedenfalls sei dies für die zu Handen des Y. adressierte Post so gewesen und sicher auch bei dem Gutachten von Dr. T., da dieser häufig für die Beschwerdeführerin tätig sei und Kuverts immer gleich adressiere. Er habe den Inhalt des Kuverts also nicht als erster gesehen und könne weiters angeben, dass er von Y. eine Ausfertigung des Gutachtens zum Scannen und Erfassen für den ELAK erhalten habe.
Er könne sicher angeben, dass weder er noch jemand anderer in seiner Anwesenheit, das Gutachten fotografiert oder in anderer Weise erfasst habe. Er höre auch zum ersten Mal von der Verbreitung über WhatsApp, er habe die entsprechende Nachricht nicht erhalten, obwohl er WhatsApp privat benutze.
Das gescannte Papierstück des Gutachtens habe er dem Y. zurückgegeben. Ansonsten wäre es nach sechs Monaten im Haus skartiert worden. Was mit diesem Eingangsstück passiert sei, sei ihm nicht bekannt.
Vernehmung des Zeugen Y. nach Vorlage des Dienstrechtsmandats vom 27.03.2019 zum Nachweis seiner Entbindung von der Amtsverschwiegenheit:
Dieser gab im Wesentlichen an, dass er der zuständige römisch XXXX des Mitbeteiligten gewesen sei. Am 05. und 06.02. sei er im Krankenstand und der 07.02.2018 somit sein erster Arbeitstag danach gewesen. Seiner Erinnerung nach sei es möglich, dass das Gutachten, dass er inhaltlich und optisch wiedererkenne, am 07. oder 08.02. als Papierstück auf seinem Schreibtisch, vermutlich in einem ungeöffneten Kuvert, gelegen sei. Es sei aber immer wieder vorgekommen, dass an ihn persönlich bzw. zu seinen Handen adressierte Poststücke geöffnet worden seien, was er später durch Weisung an die Teamassistenz abgestellt hätte. Er erhalte pro Jahr bzw. im Jahr 2018 rund 50 Gutachten von externen Sachverständigen und ca. 200 Gutachten von Amtsärzten zur Bearbeitung. Er habe eine Ausfertigung zur Erfassung und „Eintragung“ zur Teamassistenz gebracht, ob die Erfassung noch am 07. oder erst am 08.02, wie aus dem Eingangsstempel ersichtlich, erfolgt sei, könne er nicht angeben. Er habe das Gutachten später, das heißt nach Erfassung für den ELAK, von der Teamassistenz nicht in Papierform zurückerhalten, „das wisse er ganz genau“.
Es habe drei Ausfertigungen gegeben. Eine sei bei der Teamassistenz verblieben und zwei bei ihm. Eine davon habe er sofort nach Beginn der Bearbeitung, die andere nach Beendigung der Bearbeitung zerrissen. Ohne Einsichtnahme in den ELAK könne er den Beginn und das Ende der Bearbeitung nicht angeben. Er selbst habe das Gutachten nicht fotografiert, damals habe er auch noch kein Smartphone gehabt. Er wisse auch nichts davon, dass jemand anderer die weiteren Ausfertigungen des Gutachtens fotografiert oder sonst wie erfasst hätte. Auch sei ihm nicht bekannt, dass der damalige römisch XXXX im Februar 2018 mit dem Fall des Mitbeteiligten befasst worden sei oder in den Akt oder das Gutachten Einsicht genommen hätte. So etwas sei in all den Jahren, die er solche Akten bearbeite, in keinem Fall passiert. Er habe in diesen Angelegenheiten „völlig freie Hand“, auch von Seiten der römisch XXXX , und arbeite sehr selbständig.
Dem Zeugen wurde die WhatsApp-Nachricht vorgehalten und er gab an, diese nun zum ersten Mal zu sehen. Das Datum spreche dafür, dass er die Bearbeitung erst nach dem 09.02.2018 begonnen habe.
Ergänzend führte Y. aus, dass er nicht ausschließen könne, dass das Gutachten bei seiner Stellvertreterin gelandet sei, dies im Hinblick auf seinen Krankenstand. Die genauen Umstände der Vorlage des Briefes von Dr. T. mit dem Gutachten seien ihm nicht in Erinnerung. Weiters habe er zu dem Zeitpunkt in einem nicht absperrbaren Zimmer gearbeitet.
16. Mit Schreiben vom 05.04.2019 wurden den Parteien Kopien der Niederschriften der Zeugenbefragungen am 04.04.2019 zur Kenntnis gebracht und ihnen abermals die Möglichkeit zur Abgabe einer Stellungnahme binnen zwei Wochen gegeben.
17. Am 05.04.2019 erstattete der Mitbeteiligte bezugnehmend auf das Schreiben der belangten Behörde vom 12.03.2019 eine Stellungnahme und führte aus, dass er seine bisherigen Stellungnahmen aufrecht halte und der Auffassung sei, die in seiner Beschwerde aufgestellten Behauptungen bewiesen zu haben, weshalb er von Entscheidungsreife ausgehe.
18. Mit weiterer Stellungnahme vom 17.04.2019 brachte der Mitbeteiligte zusammengefasst vor, dass der Zeuge C. mit seiner Aussage bestätigt habe, dass er von Y. eine Ausfertigung des Gutachtens zum Scannen und Erfassen für den ELAK erhalten habe. Dies beweise, dass Y. das an ihn adressierte Poststück bzw. die Gutachten als erster erhalten und bearbeitet habe. Somit seien zu diesem Zeitpunkt die zwei anderen Gutachten ebenfalls bei Y. gewesen. Dieser habe auch bestätigt, dass er das Gutachten inhaltlich und optisch wiedererkenne sowie dass es drei Ausfertigungen gegeben habe, wovon eine bei der Teamassistenz verbleiben sollte. C. und Y. würden sich bei ihren Aussagen widersprechen, so habe Y. angegeben, das Gutachten in Papierform nach der Erfassung für den ELAK von der Teamassistenz, also von C., nicht zurückerhalten zu haben. Dieser habe die Rückgabe des gescannten Papierstück an Y. jedoch bestätigt.
Das Zerreißen der zwei Gutachten erscheine im Hinblick auf die Büroordnung ungewöhnlich, wenn nicht gar befremdlich. Bezugnehmend auf das „nicht absperrbare“ Büro sei auszuführen, dass es extreme Sicherheitsvorkehrungen beim Betreten des Gebäudes bzw. der Abteilungen gebe und es daher einer externen Person absolut unmöglich sei, einfach ein Büro zu betreten. Einen „deus ex machina“, der für die Datenschutzverletzung verantwortlich sei, könne es daher nicht geben. Die Datenschutzverletzung sei zweifelsfrei einer der Beschwerdeführerin zurechenbaren Person anzulasten. Der Mitbeteiligte beantragte einen Kostenzuspruch bzw. hat sich eine Geltendmachung aus dem Titel des Schadenersatzes vorbehalten.
Der Stellungnahme wurden die Paragraphen 25 bis 31 der Büroordnung sowie ein Kostenverzeichnis beigelegt.
19. Am 16.04.2019 erstattete die Beschwerdeführerin eine weitere Stellungnahme und führte aus, dass aus den Zeugenaussagen des Y., Dr. T. und C. übereinstimmend hervorgehe, dass das Kuvert mit den verfahrensgegenständlichen Gutachten zu Handen des Y. adressiert gewesen sei.
Wie C. in seiner Zeugenaussage festhalte, würden solch adressierte Postsendungen ungeöffnet zum Adressaten weitergeleitet werden. Es sei daher auszuschließen, dass das Gutachten, im Hinblick auf den Krankenstand des Y., an dessen Stellvertreterin übermittelt bzw. weitergeleitet worden sei. Weiters sei das Büro in welchem Y. im relevanten Zeitraum gearbeitet habe, absperrbar gewesen. Zusätzlich gebe es im Büro auch absperrbare Kastenelemente.
20. Mit dem angefochtenen Bescheid vom 27.11.2020 gab die belangte Behörde der Beschwerde des Mitbeteiligten statt und stellte fest, dass die Beschwerdeführerin den Mitbeteiligten dadurch im Grundrecht auf Geheimhaltung gemäß Paragraph eins, Absatz eins, DSG verletzt habe, indem der Leiter des römisch XXXX der Beschwerdeführerin) es am 08. oder 09.02.2018 einer unbekannten Person ermöglicht habe, das für Zwecke eines Dienstrechtsverfahren erstattete und Gesundheitsdaten des Mitbeteiligten enthaltende schriftliche und in Papierform vorliegende Gutachten des Sachverständigen Dr. T. vom 04.02.2018 zu fotografieren und Auszüge daraus im Wege des Kurznachrichtendienstes WhatsApp an einen unbekannten Empfängerkreis zu übermitteln. Der Antrag des Mitbeteiligten vom 17.04.2019, ihm Kostenersatz für dieses Beschwerdeverfahren in Höhe von 5.478,48 Euro (darin enthalten 913,08 Euro an Umsatzsteuer) zuzuerkennen, wurde abgewiesen.
Die belangte Behörde stellte fest, dass der Mitbeteiligte Beamter der römisch XXXX und seine Dienststelle die römisch XXXX sei. Der Mitbeteiligte habe sich vor den hier relevanten Ereignissen bereits einige Zeit im Krankenstand befunden, sodass ein Verfahren zur
Überprüfung seiner Exekutivdienstfähigkeit eingeleitet worden sei. Der Arbeitsmediziner Dr.
T. sei zum Sachverständigen bestellt worden und habe am 04.02.2019 ein schriftliches Gutachten verfasst. Dieses enthalte eine Reihe von Gesundheitsdaten des Mitbeteiligten, insbesondere drei Diagnosen von besonderer Bedeutung für die Dienstfähigkeit des Mitbeteiligten: römisch XXXX ) und beginnendes römisch XXXX aufgrund des Erschöpfungsbildes. Von diesem Gutachten seien durch Ausdruck und einzelne Unterfertigung durch Dr. T., drei Ausfertigungen erstellt und an die Beschwerdeführerin per Post als Einschreibbrief versandt worden. Das Poststück mit dem Gutachten sei vermutlich am 06. oder 07.02.2018 in der zentralen Poststelle der Beschwerdeführerin eingelangt und ungeöffnet an die Teamassistenz der römisch XXXX und von dort an den Adressaten, Y., weitergeleitet worden. Dieser habe das Schreiben geöffnet, die drei Ausfertigungen entnommen und eine davon an das Team römisch XXXX retourniert, wo sie am 08.02.2018 mit einem Eingangsstempel versehen, gescannt und als Eingangsstück im ELAK erfasst worden sei. Dieser ELAK sei dann zur Bearbeitung an Y. zugeteilt worden. Das Papierstück zur digitalisierten Gutachtensausfertigung sei ebenfalls neuerlich an den Bearbeiter zurückgesendet worden. Die beiden weiteren Ausfertigungen des Gutachtens seien stets bei Y. verblieben. Am 8. oder 09.02.2018 habe eine namentlich nicht bekannte und nicht identifizierte Person die Seite 3 des Gutachtens mit einer Digitalkamera abfotografiert und diese digitale Abbildung über WhatsApp an eine nicht bekannte Zahl von (Erst-)Empfängern übermittelt. Im Zuge der Verbreitung sei die Nachricht am 09.02.2018 an den Zeugen R., einen Arbeitskollegen des Mitbeteiligten, gelangt, der den Inhalt wiederum an den Mitbeteiligten weitergeleitet habe. Y. habe dabei dem oder der Unbekannten jedenfalls den Zugang zu einer der weiteren Gutachtensausfertigungen ermöglicht, entweder durch Einsichtgewährung oder durch Übersenden des Originals zur Einsicht. Erst später seien diese weiteren Ausfertigungen, wie auch die nach dem Einscannen vom Team römisch XXXX zurückgesendete Ausfertigung, von Y. vernichtet worden.
Rechtlich führte die belangte Behörde aus, dass ein Eingriff in das Grundrecht auf Geheimhaltung von Daten in nahezu jeder Form erfolgen könne, darunter auch durch mündliche Übermittlung. Auch die Bestätigung einer dem Anfrager, einem Medienmitarbeiter, bereits bekannten Tatsache durch einen Beamten, dessen Handeln einer Behörde zuzurechnen ist, sei eine Datenübermittlung der betreffenden Behörde vergleiche dazu die Erwägungen des BVwG im Erkenntnis vom 27.8.2015, Zl. W214 2009971-1, mwN, RIS). Bei den im Sachverständigengutachten enthaltenen wie auch bei den in der WhatsAppNachricht übermittelten Daten handle es sich um personenbezogene Daten des Mitbeteiligten. Da es sich dabei um Gesundheitsdaten des Mitbeteiligten handle, lägen besonders geschützte Daten gemäß Artikel 9, Absatz eins, DSGVO vor. Deren Verarbeitung sei ohne Vorliegen eines gesetzlichen Rechtfertigungsgrundes (Artikel 9, Absatz 2 bis 4 DSGVO) untersagt, sodass es auf ein schutzwürdiges Geheimhaltungsinteresse hier nicht ankomme. Während des gesamten Verfahrens sei von Seiten der Beschwerdeführerin weder den Tatsachen nach behauptet, noch rechtlich dargelegt worden, dass es einen solchen Rechtfertigungsgrund gegeben hätte. Auch das Ermittlungsverfahren habe keinerlei Anhaltspunkt dafür ergeben. Durch die Übermittlung (Verbreitung) von Inhalten des Sachverständigengutachtens sei demnach objektiv in das verfassungsgesetzlich garantierte Geheimhaltungsrecht des Mitbeteiligten eingegriffen worden.
Zur Frage der Zurechnung des Eingriffs führte die belangte Behörde aus, dass die Kette der Ereignisse vom Eintreffen des Sachverständigengutachtens in der Zentralstelle der Beschwerdeführerin bis zum Versenden der WhatsApp-Nachricht nicht lückenlos nachvollziehbar sei. Insbesondere habe der Urheber der WhatsApp-Nachricht nicht identifiziert werden können. Aufgrund der festgestellten Tatsachen sei die rechtswidrige Übermittlung des Gutachtens aber dem Verantwortungsbereich der Beschwerdeführerin zuzurechnen. Der Ausgangspunkt der rechtswidrigen Verarbeitung der Daten müsse im Bereich des römisch XXXX der römisch XXXX liegen und die Verletzung des Geheimhaltungsrechts durch Y. zu verantworten sein, da nur dieser über die fotografierte Ausfertigung des Sachverständigengutachtens verfügt habe. Sein Handeln sei der Beschwerdeführerin, als die gemäß Artikel 4, Ziffer 2 und 7 DSGVO für die Verarbeitung der Daten des Mitbeteiligten für Zwecke eines dienstrechtlichen Verfahrens Verantwortliche, zuzurechnen.
21. Mit Schriftsatz vom 22.12.2020 erhob die Beschwerdeführerin fristgerecht eine Beschwerde an das Bundesverwaltungsgericht, die sich gegen Spruchpunkt römisch eins. des Bescheides vom 27.11.2020 richtete, und brachte nach Wiederholung des Sachverhaltes zusammengefasst vor, dass ein sekundärer Feststellungsmangel zur Zurechnung von Y.s Verhalten an die Beschwerdeführerin vorliege. Dazu führte sie aus, dass die belangte Behörde ein vorsätzliches Fehlverhalten des Y. festgestellt habe. „Verantwortlicher“ für die Verarbeitung personenbezogener Daten sei gemäß Artikel 4, Ziffer 7, DSGVO jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Dies wäre hier grundsätzlich die Beschwerdeführerin, da die im Gutachten enthaltenen personenbezogenen Daten in einer dienstrechtlichen Angelegenheit (Exekutivdienstfähigkeit des Mitbeteiligten) ermittelt und weiterverarbeitet worden seien. Die Verantwortlichkeit könne sich aber auch aus der faktischen Entscheidungsvorwegnahme ergeben. Treffe ein Akteur tatsächlich und faktisch die Entscheidung für die Aufnahme einer Datenverarbeitung, sei dieser als Verantwortlicher iSd DSGVO anzusehen. Ausschlaggebend sei, wer entscheide, und nicht wer rechtmäßig entscheide. Sofern natürliche Personen Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten würden, könnten sie daher selbst Verantwortlicher werden (Hödl in Knyrim, DatKomm, DSGVO Artikel 4, Rz 86 und 88 mwN). Dazu passend habe die belangte Behörde Mitarbeiter*innen, die bei ihrer Organisation gespeicherte Daten unbefugt verarbeiten, bereits als von der Organisation zu trennende „Dritte“ iSd Artikel 4, Ziffer 10, DSGVO qualifiziert (DSB-D122.829/0003-DSB/2018). Eine fährlässig handelnde Organisation könne in derartigen Fällen allenfalls mitverantwortlich sein, weil sie einen Datenmissbrauch grundsätzlich zu verhindern habe (Hödl aaO).
Auf Basis des von der belangten Behörde festgestellten Sachverhalts hätte sie daher nicht ohne Weiteres den rechtlichen Schluss ziehen dürfen, das Verhalten von Y. sei der Beschwerdeführerin jedenfalls als Verantwortliche zuzurechnen, sondern die Berechtigung dessen Handelns und die Kontrollmöglichkeiten der Beschwerdeführerin hinterfragen sowie Feststellungen dazu treffen müssen.
Y. sei zum relevanten Zeitpunkt der Leiter des römisch XXXX („Personalangelegenheiten“) der römisch XXXX und als solcher mit der „großen“ Approbationsbefugnis nach Paragraph 5, Absatz 2, der Geschäftsordnung der Beschwerdeführerin ausgestattet gewesen. Ihm sei daher das Recht zur selbständigen Bearbeitung und Approbation aller (mit Ausnahmen) Erledigungen im Zuständigkeitsbereichs seiner Abteilung zugekommen. Das letztlich unzulässigerweise weiterverarbeitete Sachverständigengutachten sei im Rahmen eines dienstrechtlichen Verfahrens zur Feststellung der Exekutivdienstfähigkeit des Mitbeteiligten eingeholt worden und damit in den Kernaufgabenbereich des römisch XXXX gefallen. Als dessen Leiter sei Y. die Bearbeitung des Gutachtens zugekommen.
Y. sei die Verpflichtung zur Wahrung der Amtsverschwiegenheit und des Datengeheimnisses bekannt gewesen. Es sei weder eine Weisung seiner Vorgesetzten, noch eine sonstige dienstliche Rechtfertigung für die Übermittlung von Teilen einer Gutachtensausfertigung an unbekannte Personen vorgelegen. Auch Anhaltspunkte, dass er missbräuchliche Datenverarbeitungshandlungen setzen würde, seien bei seinen Vorgesetzten zum damaligen Zeitpunkt nicht vorgelegen.
Die Beschwerdeführerin habe alle gebotenen organisatorischen, technischen und personellen Maßnahmen zur Hintanhaltung von missbräuchlichen Datenverarbeitungen durch ihre Mitarbeiter*innen getroffen. Gegen das hier vorliegende vorsätzliche Fehlverhalten des zur Sachbehandlung zuständigen Organs bestünden keine Vorbeugungs- oder Kontrollmöglichkeiten. Y. habe daher unbefugt und außerhalb der Kontrollmöglichkeiten und -pflichten der Beschwerdeführerin gehandelt und sei für die Verletzung der mitbeteiligten Partei im Recht auf Geheimhaltung daher alleine verantwortlich. Die Beschwerdeführerin sei hingegen nicht (Mit-)Verantwortliche iSd Artikel 4, Ziffer 7, DSGVO.
Abschließend wurde vorgebracht, dass der hier relevante Sachverhalt nicht nur datenschutzrechtlich relevant sei, sondern auch einen Verdacht nach Paragraph 310, Absatz eins, StGB begründe, weshalb die StA römisch XXXX auch ein Ermittlungsverfahren geführt habe. Es sei aber nur eine einzige Stellungnahme über den Stand dieses Ermittlungsverfahrens am 07.03.2019 eingeholt worden. Die belangte Behörde habe weder das Verfahren zur Klärung der Frage, wer die unter Punkt 1 des Spruches genannte unbekannte Person gewesen sei und wie sie zu den Informationen über Gesundheitsdaten gekommen sein solle, ausgesetzt, noch eine aktuelle Erhebung zum Verfahrensstand zum Zeitpunkt der Bescheiderlassung bei der StA römisch XXXX durchgeführt, noch zielgerichtete eigene Ermittlungen zur Lösung dieser Frage vorgenommen.
Der Beschwerde waren die Büroordnung, die IT-Benutzungsrichtlinien und Auszüge aus der Geschäfts- und Personaleinteilung sowie aus der Geschäftsordnung beigelegt.
22. Die Beschwerde wurde dem Mitbeteiligten mit Schreiben vom 01.02.2021 zur Kenntnis gebracht und ihm die Möglichkeit gegeben, sich binnen zwei Wochen dazu zu äußern.
23. Der Mitbeteiligte äußerte sich dazu mit Schreiben vom 15.02.2021 und brachte im Wesentlichen vor, dass zwischenzeitig ein Amtshaftungsverfahren gegen die Republik Österreich anhängig sei, bei welchem es einerseits um Mobbing-/Bossinghandlungen des Leiters der römisch XXXX gehe und andererseits um Unterlassungen des vormaligen Bundesministers für römisch XXXX . Ursprünglich habe es erhebliche Spannungen zwischen der römisch XXXX und der Leitung der römisch XXXX gegeben. Die Veröffentlichung des Gutachtens habe die Beschwerdeführerin auf diese Spannungen zurückgeführt. Aus Sicht des Mitbeteiligten habe man die Schädigung seiner
Rechte in Kauf genommen, wobei das vorrangige Ziel die Schädigung des römisch XXXX gewesen sein dürfte. Die Vorlage des Gutachtens sei demnach nicht aufgrund einer besonderen Bösartigkeit und vorsätzlichen Handelns von Y. ohne jegliche Zurechnung der römisch XXXX gegenüber passiert. Die Beschwerdeführerin berufe sich darauf, dass keiner ihrer wesentlich verantwortlichen Mitarbeiter Y. eine Weisung erteilt habe. Dennoch sei ausgeschlossen, dass Y. eigenmächtig gehandelt habe. Ein „Unbekannter“ habe die Verteilung des Gutachtens vorgenommen. Es könne demnach nicht ernsthaft behauptet werden, dass ein unbekannter außenstehender Dritter, der mit der Beschwerdeführerin nichts zu tun habe und ebenso eigenmächtig und unvorhersehbar handle, indem er zufällig von dieser Möglichkeit Gebrauch gemacht habe um just den Mitbeteiligten zu schädigen, dies aber alles nichts mit der Beschwerdeführerin zu tun haben solle. Es ergebe sich eindeutig, dass die Angelegenheit der Beschwerdeführerin zuzurechnen sei.
Als zweite Variante brachte der Mitbeteiligte vor, dass es auch sein könne, dass die Verletzung seiner Geheimhaltungsrechte nicht durch Y. erfolgt sei, um dem Leiter der römisch XXXX zu schaden, sondern geradezu in seinem Auftrag. Für diese Ansicht gebe es insofern eine Stütze, als nunmehr im Amtshaftungsverfahren eine Arbeitskollegin des Mitbeteiligten, die aufgrund von Mobbinghandlungen des Anstaltsleiters ebenso von einer amtswegigen Ruhestandsversetzung betroffen gewesen sei, ausgesagt habe, dass auch in ihrem Fall ein Gutachten von Y. über die Dienstunfähigkeit an die Führerscheinstelle weitergeleitet worden sei. Die Frage, ob Y. dies aus eigenem Gutdünken gemacht habe, habe sie verneint und ausgeführt, dass „die Arme des römisch XXXX der römisch XXXX weit reichen würden“.
24. Mit Schreiben vom 17.02.2021 (eingelangt am 18.02.2021) legte die belangte Behörde die Beschwerde sowie den Verwaltungsakt dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme ab, in der sie im Wesentlichen ausführte, dass sich die Beschwerdeführerin bei ihren Ausführungen auf folgende Lehrmeinung stütze: „Sofern natürliche Personen Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten, können sie selbst Verantwortlicher werden. Es kann aber zur Mitverantwortung einer fährlässig handelnden Organisation kommen, die einen Datenmissbrauch grundsätzlich zu verhindern hat.“ (Hödl in Knyrim, DatKomm Artikel 4, DSGVO (Stand 1.12.2018, rdb.at), Rz 86, unter Berufung auf Hartung in Kühling/Buchner, DS-GVO Artikel 4, Nr 7 Rz 10).“
Dabei übersehe sie, dass die belangte Behörde ihr nicht das außerhalb des Tätigkeitsbereichs, sondern nur das innerhalb des Tätigkeitsbereichs und der möglichen
Kontrolle ihrer Organisation erfolgte Handeln von Y. zugerechnet habe. Die belangte Behörde widerspreche also der zitierten Auslegung von Artikel 4, DSGVO nicht, vertrete jedoch die Auffassung, dass der Umgang mit einer Urkunde (Ausfertigung eines medizinischen Sachverständigengutachtens), die in den Amtsräumen eines Bundesministeriums von einem für die Bearbeitung der betreffenden Sache zuständigen Beamten verwahrt werde, auch ohne weitere Feststellungen der Beschwerdeführerin zuzurechnen gewesen sei.
Anders gesagt, unterbreche nicht jedes Fehlverhalten, nicht jede Abweichung von Weisungen bzw. regelkonformen Datenverarbeitungsprozessen, unabhängig von der Frage einer möglichen Strafbarkeit oder eines schuldhaften Verhaltens beteiligter Personen, augenblicklich die Zurechnung der Verarbeitung zum bis zu diesem Zeitpunkt für die Verarbeitung Verantwortlichen. Eine solche trete vielmehr, so wie von Hödl aaO beschrieben, erst dann ein, wenn der Verantwortliche die Kontrolle über den regelwidrigen Verarbeitungsvorgang verliere, weil dieser sich nunmehr „außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle“ seiner Organisation entfalte. Dies sei hier nicht der Fall gewesen.
Für eine Zurechnung sei es aus Sicht der belangten Behörde auch nicht erforderlich, der Beschwerdeführerin ein allgemeines Verschulden, etwa ein Organisationsverschulden im Sinne der Unterlassung jeder Sicherheitsvorkehrung gegen Eingriffe wie im Beschwerdefall, oder ein besonderes Verschulden im Einzelfall nachzuweisen. Die Beurteilung einer Verletzung des Datengeheimnisses erfordere nämlich keinerlei schuldhaftes Handeln im strafrechtlichen Sinne, sondern bloß eine objektive, in den Verantwortungsbereich des jeweiligen Auftraggebers (nunmehr: Verantwortlichen) fallende Eingriffshandlung (Bescheid der DSK vom 20.7.2011, GZ: K121.703/0009-DSK/2011, RIS). Weiters sei der Beschwerdeführerin nicht die Möglichkeit eröffnet, sich aus der Verantwortlichenrolle gewissermaßen freizubeweisen.
Die Verfahrensbestimmung des Paragraph 24, Absatz 2, Ziffer 2, DSG verpflichte die betroffene Person, einen Beschwerdegegner zu bezeichnen, der – bei Verantwortlichen des öffentlichen Bereichs auch als Organpartei gemäß Paragraph 26, Absatz 2, DSG – als Partei am Beschwerdeverfahren teilnehme. Eine Beschwerdeführung ohne Bezeichnung eines zumindest identifizierbaren Beschwerdegegners („Beschwerde gegen Unbekannt“) sei wegen der Notwendigkeit, den Verantwortlichen als Partei ins Verfahren einzubeziehen, nicht zulässig. Ein Austausch einer Partei aufgrund von Ergebnissen des Ermittlungsverfahrens sei ebenso nicht möglich. Die Beschwerdeführerin hätte lediglich (bei Vorliegen der Voraussetzungen gemäß Paragraph 24, Absatz 4, DSG) die Möglichkeit gehabt, gegen Y. eine weitere Beschwerde zu erheben, sodann ein neues Ermittlungsverfahren (mit geänderter Rollenverteilung) durchzuführen gewesen wäre.
25. Mit Schreiben vom 22.10.2021 wurde die Beschwerde samt der Stellungnahme der belangten Behörde dem Mitbeteiligten übermittelt. Weiters wurde die Stellungnahme der belangten Behörde der Beschwerdeführerin übermittelt.
26. Der Mitbeteiligte verwies in einem Schreiben vom 28.10.2021 auf seine frühere Äußerung und fügte hinzu, dass die StA römisch XXXX ihn mittlerweile von der Einstellung des Verfahrens gegen Y. verständigt habe. Die Benachrichtigung von der Einstellung des Verfahrens war der Erledigung angeschlossen.
27. Auf Ersuchen des Bundesverwaltungsgerichts wurden von der StA römisch XXXX kurzfristig die Akten zu den Zahlen römisch XXXX übermittelt. Die relevanten Aktenteile wurden zum hier gegenständlichen Akt genommen. Weiters wurden auf Ersuchen des Bundesverwaltungsgerichtes vom Landesgericht römisch XXXX das im vom Mitbeteiligten angestrengten Amtshaftungsverfahren betreffende Urteil sowie die Verhandlungsprotokolle dem Bundesverwaltungsgericht übermittelt.
28. Am 14.12.2021 fand eine mündliche Verhandlung vor dem Bundesverwaltungsgericht im Beisein eines Vertreters der Beschwerdeführerin, des Mitbeteiligten sowie eines Vertreters der belangten Behörde statt. In der mündlichen Verhandlung wurden die Parteien sowie der als Zeuge geladene Y. einvernommen. Dieser führte u.a. aus, dass er die – später offenbar von einer anderen Person abfotografierte – Ausfertigung des Gutachtens offen auf seinem Schreibtisch liegen gelassen haben, weil er sie am nächsten Tag bearbeiten wollte. Weiters habe ihn der Vorsitzende der römisch XXXX (im Folgenden: „J.“) nach dessen Teilnahme an einer Sitzung im Bundesministerium für römisch XXXX angerufen und sich nach dem Gutachten betreffend den Mitbeteiligten erkundigt. Y. habe ihm gesagt, dass er das Gutachten auf seinem Tisch liegen habe. J. habe angekündigt, noch an diesem Tag bei Y. vorbeizukommen, habe Y. jedoch nicht mehr angetroffen, weil dieser an diesem Tag um 16 Uhr habe gehen müssen. Es sei Y. jedoch von Kolleginnen mitgeteilt worden, dass J. nach ihm gefragt habe.
29. Mit Schreiben vom 17.12.2021 übermittelte die Beschwerdeführerin – wie vom Gericht aufgetragen – weitere Urkunden.
30. Mit Schreiben vom 20.12.2021 wurde J. zur Beantwortung mehrerer Fragen aufgefordert.
31. Mit Schreiben vom 12.01.2022 gab der J. eine Stellungnahme ab, in der er in Abrede stellte, in dieser Woche eine Sitzung im Bundesministerium römisch XXXX gehabt zu haben und das Zimmer des Zeugen in dessen Abwesenheit jemals betreten und den Gutachtensteil abfotografiert zu haben.
32. Mit Schriftsatz vom 13.01.2022 gab die Beschwerdeführerin dazu eine Stellungnahme ab und beantragte die Befragung von römisch XXXX (im Folgenden: „U.“), da die bisherigen Verfahrensergebnisse es nahelegen würden, dass Y. diesem Einsicht in das Gutachten gewährt hätte.
33. Nachdem U. vom Bundesverwaltungsgericht nicht telefonisch erreicht werden konnte, ergab eine Nachfrage bei der römisch XXXX , dass dieser sich seit Längerem im Krankenstand befindet und nicht absehbar ist, wann er seinen Dienst wieder antreten wird.
34. Mit Schriftsatz vom 18.01.2022 gab der Mitbeteiligte eine Äußerung ab und führte aus, dass auch bei verschiedenen denkbaren Sachverhaltsvarianten die Datenweitergabe der Beschwerdeführerin zuzurechnen sei, da es keinerlei Hinweise gebe, dass ein „Extraneus“ Verursacher der Datenschutzverletzung sei.
römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt römisch eins. angeführte Verfahrensgang wird den Feststellungen zugrunde gelegt.
Es wird folgender Sachverhalt festgestellt:
1. Der Mitbeteiligte war Beamter der römisch XXXX , seine Dienststelle war die römisch XXXX . Inzwischen wurde der Mitbeteiligte in den Ruhestand versetzt. Der Mitbeteiligte befand sich vor der hier beschwerdegegenständlichen Datenübermittlung bereits einige Zeit im Krankenstand, sodass ein Verfahren zur Überprüfung seiner Exekutivdienstfähigkeit eingeleitet wurde. Von Seiten der Beschwerdeführerin wurde zur Beweisaufnahme der Facharzt für Innere Medizin und Arzt für Arbeitsmedizin römisch XXXX , zum Sachverständigen bestellt.
2. Nach Befundaufnahme (Untersuchung des Mitbeteiligten, Anamnese, Einsichtnahme in
Vorbefunde) verfasste der Sachverständige am 04.02.2018 ein schriftliches Gutachten. Dieses Gutachten enthält eine Reihe von Gesundheitsdaten des Mitbeteiligten (u.a. Alter,
Größe, Gewicht, Blutdruck, Ergebnisse von perkutorischer und auskultatorischer Untersuchung von Herz und Lunge, Palpatibilität ein von Leber und Milz, Ergebnisse einer
EKG-Untersuchung), insbesondere jedoch, großteils auf Grundlage von zitierten Vorbefunden, drei Diagnosen von besonderer Bedeutung für die Dienstfähigkeit des
Mitbeteiligten
römisch XXXX
Der Sachverständige kam sodann zu dem Schluss: „Ansonsten ist von [der] weiteren Dienstunfähigkeit im Bereich der römisch XXXX auszugehen.“.
3. Von diesem Gutachten wurden durch Ausdruck und einzelne Unterfertigungen durch den Sachverständigen (eigenhändige Unterschrift mit beigefügter Stampiglie als allgemein beeideter und gerichtlich zertifizierter Sachverständiger) drei Ausfertigungen hergestellt.
Diese wurden per Post als Einschreibebrief mit folgender Adressierung versendet:
An das
römisch XXXX
4. Am 07.02.2018 oder 08.02.2018 gelangte das Poststück mit dem Gutachten des genannten Sachverständigen in der zentralen Poststelle der Beschwerdeführerin ein und wurde ungeöffnet an die Teamassistenz (Kanzlei) der römisch XXXX weitergeleitet. Von dort wurde das Poststück an den Adressaten Y., welcher römisch XXXX b und zugleich zuständiger Sachbearbeiter war, weitergeleitet, der am 07.02.2018 nach einem Krankenstand wieder seinen Dienst antrat. Dieser entnahm die drei Ausfertigungen und retournierte eine davon an die Teamassistenz der römisch XXXX , wo sie am 08.02.2018 mit einem Eingangsstempel versehen, und am 09.02.2018 gescannt (als graphische Datei digitalisiert) und um 08:59:06 Uhr als Eingangsstück im ELAK GZ: römisch XXXX elektronisch erfasst wurde. Dieser ELAK wurde sodann zur Bearbeitung an Y. zugeteilt. Eine Ausfertigung wurde sofort nach Erhalt von Y. zerrissen. Das verbleibende Gutachten ließ Y. zur weiteren Bearbeitung offen auf dem Schreibtisch liegen und es wurde erst nach Bearbeitung von Y. vernichtet.
5. Am 07., 08. oder 09.02.2018 hat eine namentlich nicht bekannte und nicht identifizierte
Person die Seite 3 des Gutachtens, deren Text, den (Familien-) Namen des Mitbeteiligten, seine Dienststelle sowie die Diagnosen „ römisch XXXX “ und „ römisch XXXX “ (neben einigen Anmerkungen zur beruflichen Situation des Mitbeteiligten in seiner Dienststelle), mit einer Digitalkamera abfotografiert und diese digitale Abbildung über den Kurznachrichtendienst WhatsApp an eine nicht bekannte Zahl von (Erst-)Empfängern übermittelt. Fotografiert wurde dabei die Ausfertigung, die letztendlich beim Bearbeiter Y. verblieben war und nicht in den ELAK eingescannt wurde. Es erfolgte keine weitere Verarbeitung, insbesondere keine Übermittlung des Akteninhalts jenes ELAK, in dem das digitalisierte Sachverständigengutachten gespeichert ist. Im Zuge der Verbreitung gelangte die Nachricht an R., einen Arbeitskollegen des Mitbeteiligten, der den Inhalt wiederum am 09.02.2018 an den Mitbeteiligten weiterleitete.
Y. ermöglichte entweder unter Verstoß gegen Sorgfaltspflichten dem oder der Unbekannten, der entweder Bediensteter der Abteilung oder sonstiger Bediensteter des Ressorts war, den Zugang zu einer der beiden verbliebenen Gutachtensausfertigungen, indem er das Gutachten nicht ordnungsgemäß verwahrte, oder indem er dem oder der Unbekannten bewusst Einsicht in das Gutachten ermöglichte.
Es konnte nicht festgestellt werden, dass ein „Extraneus“, der nicht dem Ressort römisch XXXX angehörte, Einsicht in das Gutachten genommen hat.
6. Eine Auswertung des Mobiltelefons von R. scheiterte daran, dass dieser bei einer Einvernahme durch die von der StA römisch XXXX beauftragte LPD römisch XXXX sein Mobiltelefon nicht mitführte und bei einer weiteren Einvernahme erklärte, er habe sein Mobiltelefon verloren.
7. Die Abteilung römisch XXXX war jedenfalls zum fraglichen Zeitpunkt in einer Büroeinheit ( römisch XXXX ) in römisch XXXX in der römisch XXXX untergebracht. Beim Hauseingang gab es einen privaten Sicherheitsdienst. Die Einheit der Abteilung konnte nur von den dort tätigen Bediensteten der Beschwerdeführerin mit einem Chip oder Schlüssel betreten werden. Besucher (z. B. andere Bedienstete der Beschwerdeführerin bzw. ihrem Ressort, wie römisch XXXX ), mussten an der Türe läuten, bis ihnen jemand aufmachte).
8. Dem Y. wurde bei der Raumzuteilung kein Schlüssel ausgefolgt. Y. verfügte in weiterer Folge über keinen Schlüssel zu seinem Zimmer. Er urgierte einen Schlüssel mündlich bei einem vermeintlichen Ansprechpartner in der römisch XXXX , wurde aber vertröstet und verfolgte die Sache nicht weiter. Y. ließ vom 07.02.2018 bis zum 09.02.2018 das den Mitbeteiligten betreffende Gutachten offen auf seinem Schreibtisch liegen. Die Genehmigung durch Y. im ELAK erfolgte am 11.02.2018; die Abfertigung der Versendung fand am 12.02.2018 statt.
9. Für die Organwalter/innen der Beschwerdeführerin galten zwar IT-Benutzungsrichtlinien und die Büroordnung, die teilweise den Umgang mit physischen Schriftstücken (etwa bezüglich der Aufbewahrungsfrist) regelte. Das Vorhandensein organisatorischer Maßnahmen wie Erlässe/Anweisungen für den Umgang mit physischen Daten im Hinblick darauf, auf welche Weise die Geheimhaltung sensibler Schriftstücke zu gewährleisten ist, im Hinblick auf das Versperren der Zimmer sowie diesbezügliche Kontrollen konnten nicht festgestellt werden.
10. Die Gutachten betreffend der Bediensteten der römisch XXXX wurden vom zuständigen römisch XXXX in der römisch XXXX früher an die Leiter der Dienststellen ( römisch XXXX ) geschickt. Aufgrund eines Erlasses der Beschwerdeführerin vom römisch XXXX .2021 werden inzwischen nur noch die Information, ob jemand dienstunfähig, dienstfähig oder eingeschränkt dienstfähig ist, an die Leiter der Dienststellen gesendet. Die jeweils eingeholten Gutachten werden seither an die betroffene Person selbst gesendet.
11. In der Abteilung römisch XXXX wurden immer wieder Personalakten nach Einsicht durch den römisch XXXX am Gang der Büroeinheit der Abteilung ( römisch XXXX ) auf einem Board abgelegt und am nächsten Tag wieder durch Kanzleibedienstete eingeordnet. Manchmal warteten Besucher in der Nähe dieser Akten auf ihren Termin bei der römisch XXXX und hatten theoretisch Zugriff auf diese Akten. Mitunter blieben auch versperrbare Zimmer, in denen sich Personalakten (offen und nicht in einem Kasten) befanden, unversperrt.
12. Y. gab bereits vorher sensible Daten über eine römisch XXXX -Bedienstete an eine BH zur Überprüfung der Verkehrstauglichkeit weiter. Ein strafrechtliches Ermittlungsverfahren bei der StA römisch XXXX endete mit einer Einstellung infolge einer Diversion. Weiters teilte er die Krankengeschichte über einen Bediensteten der Abteilung römisch XXXX ohne rechtlichen Grund anderen Personen mit.
13. Das Ermittlungsverfahren der StA römisch XXXX wegen Paragraph 310, Absatz eins, StGB (Verletzung des Amtsgeheimnisses) gegen Y. bezüglich der Datenübermittlung bezüglich des den Mitbeteiligten betreffenden Gutachtens wurde gemäß Paragraph 190, Ziffer 2, StPO mangels Beweisen eingestellt. Diese Einstellung wurde u.a. damit begründet, dass die Darstellung des Y., dass er nicht die einzige Gelegenheitsperson gewesen sei, nachvollziehbar sei, außerdem sei sein Name im früheren Ermittlungsverfahren von R. nicht genannt worden. Weiteres fehle es Y. an einem Motiv für eine solche Handlung.
14. Das Ermittlungsverfahren der StA römisch XXXX wegen Paragraph 310, Absatz eins, StGB gegen A. wurde gemäß Paragraph 190, Ziffer 2, StPO mangels Beweisen eingestellt.
2. Beweiswürdigung:
Die Feststellungen ergeben sich aus dem Verwaltungsakt und dem gegenständlichen Gerichtsakt. Die Feststellungen über den Mitbeteiligten und den Inhalt des ihn betreffenden Gutachtens ergeben sich aus dem Verwaltungsakt. Die Feststellung, dass das Gutachten am 07. oder 08.02.2018 bei der Beschwerdeführerin eingelangt ist, ergibt sich aus den Ausführungen einer Vertreterin der Beschwerdeführerin und des Y. in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht, wobei Y. meinte, das Einlaufstück eher schon am 07.02.2018 erhalten zu haben, während hingegen die Vertreterin der Beschwerdeführerin darauf verwies, dass das Gutachten am 09.02.2022 und 08:59:06 Uhr elektronisch erfasst worden sei, was für ein Einlangen am 08.02.2022 spreche. Außerdem wurde von der Beschwerdeführerin in ihrem Schreiben vom 21.08.2018 angemerkt, dass das der in Rede stehende Befund laut Eingangsstempel am 08.02.2018 im römisch XXXX im Team römisch XXXX einlangte. Dass eine Ausfertigung gleich nach Erhalt von Y. zerrissen wurde, ergibt sich aus seiner Aussage vor dem Bundesverwaltungsgericht. Allerdings hat Y. bei der belangten Behörde – in Übereinstimmung mit dem Zeugen C. angegeben, dass das Kuvert vermutlich ungeöffnet war und steht dies im Widerspruch zu seiner Aussage vor dem Bundesverwaltungsgericht. Das Bundesverwaltungsgericht geht aber aufgrund der übereinstimmenden Aussage der beiden Zeugen vor der belangten Behörde (und der damals gegebenen größeren Zeitnähe zum Vorfall) davon aus, dass sich das Gutachten in einem verschlossenen Kuvert befand. Es ist jedenfalls festzuhalten, dass sich das Gutachten ab Einlangen bei der Beschwerdeführerin in ihrem Ingerenzbereich befand. Dass Y. eine Gutachtensausfertigung offen auf den Schreibtisch liegen ließ, geht aus den Ausführungen im Bescheid der belangten Behörde und des Y. in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht hervor.
Dazu ist auszuführen, dass Y. bei der belangten Behörde ausgesagt hat, dass er das Gutachten nicht abfotografiert oder an andere weitergegeben habe. Er habe zu diesem Zeitpunkt auch über kein Smartphone verfügt. Laut Schreiben der StA römisch XXXX vo, 06.10.2021 führte Y. aus, dass er das Gutachten nach Erhalt auf seinem Schreibtisch zur weiteren Bearbeitung liegen ließ und dass ihn J. am Nachmittag des 7. oder 08.02.2018 angerufen und nach dem konkreten Gutachten gefragt habe, Y. habe zu ihm gesagt, dass er das Gutachten auf dem Schreibtisch liegen habe. Vor dem Bundesverwaltungsgericht behauptete Y., dass J. bei ihm angerufen und angekündigt habe, dass er an diesem Tag noch vorbeikommen würde, weil er einen Termin bei der stellvertretenden Abteilungsleiterin habe. Y. habe erwidert, dass er nur bis 16:00 Uhr in seinem Büro sei. J. sei aber offenbar später vorbeigekommen, da Y. am nächsten Tag berichtet worden sei, dass von J. nach ihm gefragt worden sei.
Der dazu vom Bundesverwaltungsgericht schriftlich befragte J. führte hingegen in seiner Stellungnahme aus, dass er in dieser Woche keine Sitzung im römisch XXXX ministerium gehabt habe und konnte dies offenbar aufgrund seiner noch vorhandenen Kalendereintragungen nachprüfen. Lediglich am 09.02.2018 habe eine Sitzung in der römisch XXXX (in der Abteilung, in der Y. arbeitete) stattgefunden, an der er jedoch nicht teilgenommen habe. Dies konnte er auch mit einem Protokoll, auf dem die Anwesenden vermerkt waren, belegen.
Auch behauptete Y., dass sich J. mit den Personalvertretern in römisch XXXX sehr gut verstand, während hingegen der Mitbeteiligte ausführte, dass der (damalige) Vorsitzende des Zentralausschusses der Gewerkschaft U. (Nachfolger des J. als Vorsitzender des Zentralausschusses) sich im Gegensatz zu J. mit den dortigen Personalvertretern gut verstehe. Überdies führte eine Vertreterin der Beschwerdeführerin aus, dass U. gut mit Y. befreundet sei. Dies entspricht auch der Darstellung in der Stellungnahme des J., der ausgeführt hat, dass er zwar früher eng mit Y. zusammenarbeitete, dass sich in den letzten Jahren aber das Verhältnis zu Y. verschlechtert habe. Es kann daher nicht als erwiesen angesehen werden, dass J. Zugang zu dem Gutachten erhalten hat und es abfotografiert hat.
Wie aus der Stellungnahme des J. und einer Protokollkopie hervorgeht, fand jedoch am 09.02.2018 bei der römisch XXXX der Abteilung römisch XXXX der Beschwerdeführerin eine Besprechung statt, an der zwar er selbst nicht teilnahm, jedoch unter anderem der mit Y. befreundete U. Es fiel auch auf, dass Y. in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht zuerst nicht preisgeben wollte, wer ihm die Information gegeben hatte, dass einer der Personalvertreter an der römisch XXXX eng mit J. befreundet sei, und erst aufgrund von Nachfragen durch den erkennenden Richtersenat und den Mitbeteiligten antwortete, dass ihm dies U. erzählt habe. Sowohl die Beschwerdeführerin als auch der Mitbeteiligte äußerten die Vermutung, dass Y. möglicherweise dem U. Einsicht in das Gutachten ermöglicht hat. Aufgrund dieser Hinweise kann nicht ausgeschlossen werden, dass Y. dem U. Einsicht in das Gutachten gab und diesem das Abfotografieren der letzten Seite ermöglichte. Es kann aber nicht zur Gänze ausgeschlossen werden, dass U. oder eine andere Person in Abwesenheit des Y. Einsicht in das Gutachten genommen hat oder dass Y. absichtlich einer anderen Person die Einsicht ermöglichte.
Da Besucher des der Büroeinheit ( römisch XXXX ) zumeist Angehörige des römisch XXXX , wie Personalvertreter und Gewerkschafter, waren, und das Gutachten unter Personalvertretern verbreitet wurde, spricht vieles dafür, dass es sich bei dem Einsichtnehmenden um einen Personalvertreter im Bereich der römisch XXXX (und damit Bediensteten des Ressorts, also etwa einen Bediensteten einer römisch XXXX ) handelte. Es steht auch fest, dass sich in der fraglichen Zeit Personalvertreter bei einer Sitzung in der Nähe des Y. befunden haben. Eine Feststellung, dass Y. dem U. oder einem anderen Personalvertreter Einsicht in das Gutachten gegeben hat, war jedoch mangels Beweisen nicht möglich.
Dafür, dass ein „Extraneus“, also ein Ressortfremder in der fraglichen Zeit Einsicht in das Gutachten erhalten hat, bestehen keinerlei Hinweise. Insbesondere bestätigte eine Vertreterin der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht, dass es eigentlich unmöglich gewesen sei, dass jemand Fremder in das Büro des Y. gelangt sei (S. 29. der Niederschrift des Bundesverwaltungsgerichts) und gaben dazu weder die Vertreterinnen der Beschwerdeführerin noch Y. irgendwelche Hinweise.
Dass eine nicht mehr identifizierbare Person die letzte Seite der gegenständlichen Ausfertigung des Gutachtens fotografiert hat, ergibt sich einerseits dadurch, dass nur Y. über die gegenständliche Ausfertigung des Gutachtens verfügte bzw. es in seinem Zimmer aufbewahrte und die letzte Seite dieses Gutachtens über WhatsApp verbreitet wurde, wobei Y. glaubhaft ausführte, dass er zum damaligen Zeitpunkt noch über kein Smartphone verfügte.
Die Feststellung über den Umfang der übermittelten Daten und die Tatsache, dass diese von R. an den Mitbeteiligten am 09.02.2018 übermittelt wurden, ergibt sich aus dem vom Mitbeteiligten bereits im Verwaltungsverfahren vorgelegten WhatsApp-Scan. Daraus ist auch ersichtlich, dass es sich um eine andere Ausfertigung als die im ELAK eingescannte handelte.
Dass eine Auswertung des Mobiltelefons von R. scheiterte, ergibt sich aus den entsprechenden Aktenteilen aus dem strafrechtlichen Ermittlungsakt römisch XXXX der StA römisch XXXX .
Die Angaben über den Ort und die Art der Sicherung der Abteilung, in der der Y. arbeitete, ergibt sich aus seinen Ausführungen sowie den Ausführungen einer Vertreterin der Beschwerdeführerin vor dem Bundesverwaltungsgericht.
Dass Y. über keinen Schlüssel zu seinem Zimmer verfügte und dass er das gegenständliche Gutachten offen auf seinem Schreibtisch liegen ließ, ergibt sich aus seinen diesbezüglich glaubwürdigen Ausführungen vor dem Bundesverwaltungsgericht.
Dass bis auf die für automationsunterstützt verarbeitete Datenverarbeitungen geltenden IT-Benutzungsrichtlinien und die Büroordnung (die bezüglich physischer Daten zwar Aufbewahrungsfristen regelt, aber keine weiteren Aussagen zur Geheimhaltung von physischen Daten enthält), keine weiteren organisatorischen Maßnahmen zum Umgang mit physischen Daten/Dokumenten gesetzt wurden, ergibt sich aus den Ausführungen des Y. und der Vertreterinnen der Beschwerdeführerin in der Verhandlung vor dem Bundesverwaltungsgericht. Letztere haben auch nach der Verhandlung keine weiteren Erlässe vorgelegt als den die Übermittlung an Dienststellenleiter betreffenden Erlass (siehe gleich unten).
Die unter Punkt 10 enthaltenen Feststellungen ergeben sich aus den Ausführungen einer Vertreterin der Beschwerdeführerin in der Verhandlung vor dem Bundesverwaltungsgericht und den im Weiteren von der Beschwerdeführerin übermittelten Unterlagen.
Die unter Punkt 11 getroffenen Feststellungen ergeben sich aus den Ausführungen des Y. in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht und einer bestätigenden Aussage einer Vertreterin der Beschwerdeführerin, die darauf hinwies, dass diese Übung inzwischen beseitigt wurde. Die unter Punkt 12 festgestellten Weitergaben von sensiblen Daten durch Y. an Andere ergibt sich aus den Aussagen und nach der mündlichen Verhandlung übermittelten Unterlagen der Beschwerdeführerin.
Die Feststellung, dass das Ermittlungsverfahren gegen Y. von der StA römisch XXXX gemäß Paragraph 190, Ziffer 2, StPO aus Beweisgründen eingestellt wurde, ergibt sich aus den entsprechenden Aktenteilen des Aktes der StA römisch XXXX römisch XXXX .
Die Feststellung, dass das Ermittlungsverfahren gegen A. von der StA römisch XXXX gemäß Paragraph 190, Ziffer 2, StPO mangels Beweisen eingestellt wurde, ergibt sich aus den entsprechenden Aktenteilen des Aktes der StA römisch XXXX römisch XXXX .
3. Rechtliche Beurteilung:
3.1. Gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.
Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß Paragraph 27, Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. römisch eins 2013/33 in der Fassung BGBl. römisch eins 2013/122, geregelt (Paragraph eins, leg.cit.). Gemäß Paragraph 58, Absatz 2, VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß Paragraph 17, VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das
Verfahren über Beschwerden gemäß Artikel 130, Absatz eins, B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des römisch IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, Bundesgesetzblatt Nr. 194 aus 1961,, des Agrarverfahrensgesetzes – AgrVG, Bundesgesetzblatt Nr. 173 aus 1950,, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, Bundesgesetzblatt Nr. 29 aus 1984,, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß Paragraph 28, Absatz eins, VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß Paragraph 31, Absatz eins, VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß Paragraph 28, Absatz 2, VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Zu den Prozessvoraussetzungen:
Die Beschwerde wurde gemäß Paragraph 7, Absatz 4, VwGVG fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.
3.3. Zu Spruchteil A):
3.3.1. Rechtslage:
Paragraph eins, Absatz eins und 2 des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF,. lauten:
„§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem
Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“
Artikel 4, Ziffer eins,, 2, 7 und 9 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; im Folgenden: DSGVO, lauten:
„Artikel 4 Begriffsbestimmungen Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die
Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;“
Artikel 5, Absatz eins, DSGVO lautet:
Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten
Grundsätze
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken
(„Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden
(„Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 6, Absatz eins, DSGVO lautet:
„Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf
Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der
Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Artikel 9, Absatz eins und 2 DSGVO lauten:
Artikel 9
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die
Einwilligung der betroffenen Person nicht aufgehoben werden,
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen
Personen nach außen offengelegt werden,
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem
Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten
Bedingungen und Garantien erforderlich,
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen
Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden
Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der
Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
Artikel 32, DSGVO lautet:
Artikel 32
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
3.3. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:
Zunächst ist festzuhalten, dass die Beschwerdeführerin das in Rede stehende Gutachten von einem Facharzt erhalten hat, der diese Daten automationsunterstützt verarbeitete.
Gemäß Artikel 4, Ziffer 9, DSGVO gelten Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.
Sehr wohl ist aber die Beschwerdeführerin die Verantwortliche für die (Weiter-)Verarbeitung des in Rede stehenden Gutachtens. Dies ist selbst dann der Fall, wenn man die Behauptung aufstellte, dass die Weiterübermittlung der Gutachtensausfertigung, die allerdings dieselben Daten wie das im ELAK verarbeitete beinhaltet, grundsätzlich (nur) dem Grundrecht auf Datenschutz unterfallen würde, da die belangte Behörde zurecht aufgezeigt hat, dass die Grundsätze der DSGVO auch in diesem Fall zu beachten wären (siehe dazu die untenstehenden Ausführungen).
Dazu ist auch zu bemerken, dass die Beschwerdeführerin ihre Verantwortlicheneigenschaft für das genannte Gutachten, soweit es im Rahmen ihres Tätigkeitsbereiches verwendet wurde, nicht in Frage gestellt hat.
Paragraph eins, Absatz eins, DSG legt fest, dass jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat-und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Eine Beschränkung dieses Anspruchs ergibt sich grundsätzlich aus Absatz 2, leg. cit., die DSGVO und insbesondere auch die darin verankerten Grundsätze sind jedoch zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen vergleiche den Bescheid der DSB vom 31.10.2018, GZ DSB-D123.076/0003-DSB/2018, RIS). In diesem Bescheid wird auch ausgeführt: „Nach Rechtsprechung der Datenschutzbehörde kann sich eine betroffene Person dem Grunde nach trotzdem auf jede Bestimmung der DSGVO stützen, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach Paragraph eins, Absatz eins, DSG führen kann vergleiche DSB vom 13.09.2018, DSB-D123.070/0005-DSB/2018, wonach ein Verstoß des Verantwortlichen gegen Artikel 32, zu einer Verletzung von Paragraph eins, Absatz eins, DSG führen kann).“
“Nach der Spruchpraxis der Datenschutzbehörde zu Paragraph eins, Absatz 3 und Paragraph 4, Absatz eins, sind als Durchführungsnormen des Artikel 2, zu Artikel eins, nach eindeutiger gesetzlicher Anordnung die Normen der Datenschutz-Grundverordnung (DSGVO) zu sehen. Demnach sind für die Geltendmachung der subjektiven Rechtsverletzung im Grundrecht auf Datenschutz gemäß Paragraph eins, die Normen der Datenschutzgrundverordnung relevant (Paragraph 24, Rz 12ff), wie etwa Artikel 17, Absatz eins, Litera d, DSGVO (DSB 5.2.2019, DSB-D123.495/0007-DSB/2018 [Sprachferienwerbung]).“ (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz, Artikel 4, Rz 18 (Stand 01.01.2020, rdb.at) Ein Eingriff in das Grundrecht auf Geheimhaltung von Daten kann in nahezu jeder Form erfolgen, darunter auch durch mündliche Übermittlung. Auch die Bestätigung einer dem Anfrager, einem Medienmitarbeiter, bereits bekannten Tatsache durch einen Beamten, dessen Handeln einer Behörde zuzurechnen ist, ist eine Datenübermittlung der betreffenden Behörde vergleiche dazu die Erwägungen des BVwG im Erkenntnis vom 27.08.2015, Zl. W214 2009971-1, mwN, RIS).
Bei den im Sachverständigengutachten enthaltenen wie auch bei den in der WhatsAppNachricht übermittelten Daten handelt es sich um personenbezogene Daten des Mitbeteiligten. Da es sich dabei inhaltlich und im Zusammenhang um Gesundheitsdaten des Mitbeteiligten handelt, liegen besonders geschützte Daten gemäß Artikel 9, Absatz eins, DSGVO vor. Deren Verarbeitung ist ohne Vorliegen eines gesetzlichen Rechtfertigungsgrundes (Artikel 9, Absatz 2 bis 4 DSGVO) untersagt, sodass es auf ein schutzwürdiges Geheimhaltungsinteresse hier nicht ankommt.
Während des gesamten Verfahrens ist von Seiten der Beschwerdeführerin weder den Tatsachen nach behauptet, noch rechtlich dargelegt worden, dass es einen solchen Rechtfertigungsgrund für eine Offenlegung dieser Daten an andere Personen gegeben hätte und ist ein solcher auch nicht ersichtlich. Auch in der an das Bundesverwaltungsgericht gerichteten Beschwerde wurde die rechtswidrige Übermittlung der Daten an einen Dritten nicht bestritten, sehr wohl aber die Zurechnung dieser Übermittlung an die Beschwerdeführerin als Verantwortliche.
Zur Frage der Zurechnung des Eingriffs ist Folgendes festzuhalten:
Das Ermittlungsverfahren hat kein Ergebnis erbracht, das die Kette der Ereignisse vom Eintreffen des Sachverständigengutachtens in der Zentralstelle der Beschwerdeführerin bis zum Versenden der WhatsApp-Nachricht lückenlos nachvollziehen lässt. Insbesondere konnte auch nach mündlichen Verhandlungen vor der belangten Behörde und vor dem Bundesverwaltungsgericht, einer Reihe von Zeugenbefragungen durch die belangte Behörde und Ermittlungen durch die StA römisch XXXX der Urheber der WhatsApp-Nachricht nicht identifiziert werden.
In diesem Zusammenhang ist darauf hinzuweisen, dass rechtlich zwischen dem datenschutzrechtlich relevanten Verhalten der Beschwerdeführerin (bzw. eines ihrer Organwalter/innen) und dem datenschutzrechtlich relevanten Verhalten eines/einer allfälligen Dritten zu unterscheiden ist:
Der gemäß Artikel 68, DSGVO eingerichtete Europäische Datenausschuss führt in seiner „Guideline 07/2020“ über das Konzept von Verantwortlichen und Auftragsverarbeitern nach der Datenschutzgrundverordnung aus, dass Angestellte, die Zugriff zu personenbezogenen Daten innerhalb einer Organisation haben, grundsätzlich nicht als Verantwortliche oder als Auftragsverarbeiter zu sehen seien (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, adopted on 07 July 2021, 10 f). Für einen Mitarbeiter, der sich Zugriff auf Daten verschafft, zu deren Zugriff er nicht berechtigt ist oder Daten für andere Zwecke als für den Arbeitgeber verwendet, gelte dies nicht. Diese Angestellten sollten als Dritte in Bezug auf die Datenverarbeitung durch den Arbeitgeber gesehen werden. Soweit ein Angestellter daher personenbezogene Daten für eigene Zwecke verarbeite, die sich von den Zwecken seines Arbeitgebers unterscheiden, sei er selbst als Verantwortlicher zu sehen und er übernehme die sich daraus ergebenden Konsequenzen und Haftungen in Bezug auf die Verarbeitung der personenbezogenen Daten. Dem Arbeitgeber (als ursprünglichem Verantwortlichen) kann dennoch eine gewisse Verantwortung in dem Fall zukommen, dass eine neue Verarbeitung aufgrund des Fehlens adäquater Sicherheitsmaßnahmen stattfindet (aaO 29) (Übersetzung des englischsprachigen Originals durch das BVwG).
Sofern eine nicht näher identifizierte Person die Daten eingesehen und abfotografiert sowie die abfotografierten Daten über WhatsApp weiterübermittelt hat, so ist der Beschwerdeführerin zu folgen, dass hier wohl von einer eigenmächtigen Handlung auszugehen ist. Allerdings übersieht die Beschwerdeführerin, dass sie für die Art und Weise der Verarbeitung bzw. Verwendung durch ihre Bediensteten im Bundesministerium für römisch XXXX verantwortlich ist, auch soweit es sich um eine sorgfaltswidrige Verwendung oder überschießende Akteneinsicht handelt.
Soweit festgestellt wurde, dass Y. ein medizinisches Gutachten in seinem unversperrten Zimmer offen auf seinen Schreibtisch gelegt hat, so dass es jedem, der im Abteilungsverband arbeitete oder der in der fraglichen Zeit als Besucher dort Eintritt fand, möglich war, das Zimmer zu betreten und das Gutachten abzufotografieren, ist dazu festzuhalten, dass dadurch die Grundsätze der Datenverarbeitung, insbesondere die organisatorischen Datensicherheitsmaßnahmen, durch einen für die Beschwerdeführerin tätigen Beamten verletzt wurden. Die Art der Datenverwendung durch Y. ist der Beschwerdeführerin als der gemäß Artikel 4, Ziffer 2 und 7 DSGVO für die Verarbeitung der Daten des Mitbeteiligten für Zwecke eines dienstrechtlichen Verfahrens Verantwortlichen zuzurechnen. Dazu ist auch festzuhalten, dass dem Y. auch gar kein Schlüssel ausgehändigt wurde und auch eine Gewährleistung und Kontrolle, ob organisatorische Datensicherheitsmaßnahmen durch die Bediensteten eingehalten werden, nicht oder nur unzureichend stattfanden. Dass diesbezügliche Schulungen oder Überprüfungen stattfanden, wurde von der Beschwerdeführerin nicht vorgebracht.
Es stellt auch eine Verletzung der (physischen) Datensicherheitsmaßnahmen dar, wenn Y. einerseits nicht mit der Zuweisung seines Zimmers einen Schlüssel ausgehändigt bekommen hat, er sich andererseits auch nicht nachdrücklich um einen Schlüssel gekümmert hat und dies überdies niemandem in der Abteilung, insbesondere seinen Vorgesetzten, aufgefallen ist. Grundsätzlich ist davon auszugehen, dass einem Bediensteten, dem ein Zimmer zugewiesen wird, auch ein entsprechender Schlüssel ausgehändigt wird. Auch dieses Handeln bzw. eben Unterlassen ist der Beschwerdeführerin zuzuordnen. Dass ein offenes „Auf den Tisch Liegenlassen“ des Gutachtens in einem unversperrten Raum durch den Y. dem allgemeinen eher lockeren Umgang mit personenbezogenen Daten in der Abteilung entsprach, manifestiert sich auch darin, dass Personalakten auf dem Gang lagen, obwohl sich in deren Nähe oft Besucher aufhielten, die vor einem Termin bei der Abteilungsleitung dort warteten und in diese Akten zumindest Einsicht hätten nehmen können. Auch waren Personalakten in Zimmern gelagert, die zwar versperrbar waren, aber nicht immer versperrt wurden.
Auch wurden die gesamten medizinischen Gutachten, die sensible Daten von Bediensteten enthielten, an die Dienststellenleiter verschickt, obwohl sie nur die Information benötigten, ob der jeweilige Bedienstete dienstunfähig, dienstfähig oder beschränkt dienstfähig war. Diese Vorgangsweise wurde erst nach den beschriebenen Vorkommnissen geändert. Insofern war auch innerhalb der Abteilung keine Vorbildwirkung der Abteilungsleitung und mancher Kollegen oder Kolleginnen des Y. gegeben.
Insoweit vom Sachverhalt ausgegangen wird, dass Y. durch seine grobe Verletzung von Sorgfaltspflichten einer anderen Person den Zugang zu dem Gutachten ermöglichte, wirkte Y. durch sein Verhalten an einer Grundrechtsverletzung bezüglich des Mitbeteiligten mit und trifft damit die Beschwerdeführerin eine Verantwortung.
Aber auch, wenn Y. einem Dritten, mutmaßlich einem Personalvertreter aus dem Ressortbereich der Beschwerdeführerin, bewusst Einsicht in einen Aktenteil gegeben hat, so wäre auch diese Vorgangsweise der Beschwerdeführerin zuzurechnen:
Wie die belangte Behörde ausführte, stützte sich die Beschwerdeführerin auf folgende Rechtsmeinung: „Sofern natürliche Personen Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten, können sie selbst Verantwortlicher werden. Es kann aber zur Mitverantwortung einer fährlässig handelnden Organisation kommen, die einen Datenmissbrauch grundsätzlich zu verhindern hat.“ (Hödl in Knyrim, DatKomm Artikel 4, DSGVO (Stand 1.12.2018, rdb.at), Rz 86, unter Berufung auf Hartung in Kühling/Buchner, DS-GVO Artikel 4, Nr 7 Rz 10).“
Der belangten Behörde ist jedoch beizupflichten, dass nicht jedes Fehlverhalten, unabhängig von der Frage einer möglichen Strafbarkeit oder eines schuldhaften Verhaltens beteiligter Personen, augenblicklich die Zurechnung der Verarbeitung zum bis zu diesem Zeitpunkt für die Verarbeitung Verantwortlichen unterbricht. Eine solche Unterbrechung der Zurechnung tritt vielmehr, so wie von Hödl aaO beschrieben, erst dann ein, wenn der Verantwortliche die Kontrolle über den regelwidrigen Verarbeitungsvorgang verliert, weil dieser sich nunmehr „außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle“ seiner Organisation entfalte. Gerade dies ist hier aber nicht der Fall gewesen, da Y., als einer für die Beschwerdeführerin agierender Entscheidungsträger und römisch XXXX , im Rahmen seines Aufgabenbereiches tätig war, wenngleich er – wissentlich oder unwissentlich -– einer anderen Person Zugang zu dem in Rede stehenden Gutachten verschaffte.
Hier ist der Rechtsansicht der belangten Behörde zu folgen, dass die Art der Verwendung (im Rahmen der gesetzlichen Aufgabenerfüllung) zunächst rechtmäßig verarbeiteter Daten, wie etwa auch die Einsichtgewährung in Aktenteile an einen Dritten, selbst dann, wenn diese in diesem Fall zu Unrecht erfolgte, etwa weil diese Akteneinsicht durch einen Personalvertreter nicht durch die ihm zukommenden gesetzlichen Aufgaben gedeckt waren, der Beschwerdeführerin zuzurechnen wäre vergleiche etwa auch BVwG W274 2225135-1/3E vom 30.09.2020, wonach eine Datenweitergabe durch einen Lehrer an Klassensprecher nicht ihm, sondern der Schule zuzurechnen war).
Abschließend ist auch anzumerken, dass bei einer gegenteiligen Sichtweise eine Organisation jedwedes datenschutzrechtliches Fehlverhalten auf Bedienstete abwälzen und sich so ihrer Verantwortung gegenüber dem Rechtsschutzsuchenden entziehen könnte.
3.5. Zu B) Zulässigkeit der Revision:
Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die vorliegende Entscheidung hängt von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Es fehlt an Rechtsprechung des Verwaltungsgerichtshofes zur Zurechnung einer Grundrechtsverletzung an eine Behörde einerseits durch eine Verletzung von Datensicherheitsmaßnahmen, die eine Mitwirkung an einer Grundrechtsverletzung darstellen, bzw. betreffend eine Zurechnung einer fahrlässigen oder andererseits einer bewussten Zugänglichmachung von Gutachten aus dem Bereich eines rechtmäßig Verantwortlichen an Dritte.
3.6. Es war daher spruchgemäß zu entscheiden.
ECLI:AT:BVWG:2022:W214.2239688.1.00