Gericht

Bundesverwaltungsgericht

Entscheidungsdatum

11.12.2023

Geschäftszahl

W137 2259819-1

Spruch


W137 2259819-1/4E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Peter HAMMER als Vorsitzender und die fachkundigen Laienrichterinnen Mag. Ursula ILLIBAUER sowie Mag. Martina CHLESTIL als Beisitzerinnen über die Beschwerde des römisch XXXX , gegen den Bescheid der Datenschutzbehörde vom 05.07.2022, GZ. D130.583 2022-0.483.441, zu Recht erkannt:

A)

Die Beschwerde wird gemäß Paragraph 28, Absatz 2, VwGVG in Verbindung mit Paragraph 24, Absatz eins und Absatz 5, DSG idgF als unbegründet abgewiesen.

B)

Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.


Text


Entscheidungsgründe:

römisch eins. Verfahrensgang:

1. Mit verfahrenseinleitender Eingabe vom 15.11.2020, verbessert am 09.12.2020, erhob römisch XXXX (= Beschwerdeführer vor dem Bundesverwaltungsgericht und Antragsteller vor der Datenschutzbehörde) eine Datenschutzbeschwerde gegen römisch XXXX (= mitbeteiligte Partei vor dem Bundesverwaltungsgericht und Beschwerdegegnerin vor der Datenschutzbehörde) wegen Verletzungen gegen die Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5, DSGVO), die Rechtmäßigkeit der Verarbeitung (Artikel 6, DSGVO) sowie die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9, DSGVO) und forderte die Feststellung der gegenständlichen Rechtsverletzung durch die Datenschutzbehörde. Er begründete seine Datenschutzbeschwerde folgendermaßen:

Die Beschwerdegegnerin, bei welcher es sich um ein Online-Glücksspielunternehmen handle, habe seine personenbezogenen Daten an ein weiteres Glücksspielunternehmen ( römisch XXXX ) unrechtmäßig weitergeleitet, bzw. ohne hinreichende Rechtfertigungsgründe gemäß Artikel 6, DSGVO verarbeitet, während das genannte Unternehmen die beklagte Partei in einem gerichtlichen Verfahren gegen den Beschwerdeführer gewesen sei. Die Datenweitergabe sei auch nicht durch die Datenschutzrichtlinien der Beschwerdegegnerin gedeckt und er habe auch keine Erlaubnis erteilt.

2. Die Datenschutzbehörde in der Fassung belangte Behörde) führte aus, dass es sich um einen grenzüberschreitenden Sachverhalt handle. Es stellte sich heraus, dass die Hauptniederlassung der Beschwerdegegnerin in Malta liege. Gemäß Artikel 56, Absatz eins, DSGVO sei die maltesische Aufsichtsbehörde, bzw. der maltesische Kommissar für Information und Datenschutz die federführende Aufsichtsbehörde für dieses Verfahrens.

3. Der maltesische Kommissar für Information und Datenschutz erachtete sich für die inhaltliche Behandlung zuständig und übermittelte die Beschwerde an die Beschwerdegegnerin.

4. Die Beschwerdegegnerin brachte in ihrer Stellungnahme vom 11.01.2021 im Wesentlichen vor, dass die Beschwerdegegnerin und das oben genannte Unternehmen zu demselben (Glücksspiel-)Konzern gehören und unter derselben Lizenz agieren würden. Der Beschwerdeführer habe sich unter Verstoß gegen die auf der Webseite des genannten Unternehmens vereinbarten Bedingungen auf der Webseite registriert. Daher seien Schritte zum Schutz der Interessen des Konzerns getroffen worden. Die Registrierung durch den Beschwerdeführer sei erfolgt, nachdem der Beschwerdeführer ein Gerichtsverfahren gegen die Beschwerdegegnerin eingeleitet habe, da die Glücksspieldienstleistungen der Beschwerdegegnerin in Österreich verboten seien, welches in einem außergerichtlichen Vergleich geendet habe. Danach habe er ein Gerichtsverfahren gegen das ebenfalls zur Unternehmensgruppe gehörende dritte Unternehmen eingeleitet. Daher bestehe ein berechtigtes Interesse gemäß Artikel 6, Absatz eins, Litera f, DSGVO um sich gegen illegale und betrügerische Aktivitäten zu verteidigen. Es sei daher Praxis zwischen den Gruppeneinheiten zu überprüfen, ob Spieler andere Konten haben, um sich zu schützen und zu prüfen, ob gegen die Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen u.a. verstoßen werde.

5. Der Beschwerdeführer widersprach im Rahmen des Parteiengehörs mit seiner Eingabe vom 18.01.2022 dem Vorbringen der Beschwerdegegnerin und brachte zusammengefasst vor, dass er weder illegale noch betrügerische Aktivitäten gesetzt habe. Es gebe keine Anzeige gegen den Beschwerdeführer und auch kein Strafverfahren. Die gegenständlichen Datenübermittlungen seien rechtswidrig gewesen.

6. Die Stellungnahme des Beschwerdeführers wurde der federführenden Aufsichtsbehörde übermittelt und diese legte in weiterer Folge gemäß Artikel 60, Absatz 3, DSGVO einen Beschlussentwurf vor.

Aus diesem geht zusammengefasst hervor, dass die Beschwerdegegnerin und das genannte dritte Unternehmen Teil derselben Unternehmensgruppe seien und es tatsächlich zu einer Übermittlung der personenbezogenen Daten des Beschwerdeführers gekommen sei. Nach Prüfung der Umstände und Abwägung der berechtigten Interessen habe die federführende Aufsichtsbehörde festgestellt, dass die Verarbeitungstätigkeit der Beschwerdegegnerin verhältnismäßig und angemessen sei, um den Interessen eines Dritten, insbesondere dem Verteidigungsrecht, Rechnung zu tragen. Daher sei die Übermittlung der personenbezogenen Daten des Beschwerdeführers durch die Beschwerdegegnerin an das Mitglied der Unternehmensgruppe auf Grundlage von Artikel 6, Absatz eins, Litera f, DSGVO rechtmäßig. Darüber hinaus entschied die federführende Aufsichtsbehörde, dass die Beschwerdegegnerin gegen einzelne Punkte des Artikel 13, DSGVO verstoßen habe, da sie dem Beschwerdeführer keine Information über eine mögliche Offenlegung seiner Daten innerhalb der Unternehmensgruppe und über den Zweck der Verarbeitung sowie über die Rechtsgrundlage erteilt habe. Daher habe die federführende Aufsichtsbehörde gemäß Artikel 58, Absatz 2, Litera d, DSGVO gegenüber der Beschwerdegegnerin angeordnet, ihre Datenschutzerklärung innerhalb von zehn Tagen entsprechend zu ändern.

7. Mit Bescheid vom 05.07.2022, wies die belangte Behörde die Datenschutzbeschwerde des BF bezüglich der Verletzung der Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5, DSGVO), der Rechtmäßigkeit der Verarbeitung (Artikel 6, DSGVO) sowie der Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9, DSGVO) ab.

Die belangte Behörde folgerte in rechtlicher Hinsicht im Wesentlichen:

Bei der beschwerdegegenständlichen Datenverarbeitung handle es sich um eine grenzüberschreitende Datenverarbeitung iSd. Artikel 4, Ziffer 23, Litera b, DSGVO und kam die federführende Aufsichtsbehörde zum Ergebnis, dass es zu einer Datenübermittlung an das dritte Unternehmen durch die Beschwerdegegnerin gekommen sei, aber Artikel 6, Absatz eins, Litera f, DSGVO als Verarbeitungsgrundlage herangezogen werden könne. In diesem Zusammenhang prüfte diese den durch den EuGH entwickelten Dreiteiltest. Ein berechtigtes Interesse des Verantwortlichen erblickte die federführende Behörde in der Verarbeitung zum Zwecke der Verteidigung von Rechtsansprüchen. Im vorliegenden Fall gehe es um das berechtigte Interesse eines Dritten, sich in einem vom Beschwerdeführer eingeleiteten Gerichtsverfahren zu verteidigen. Folglich habe der Dritte, der zu derselben Gruppe wie die für die Verarbeitung Verantwortliche gehöre, von seinem in Artikel 48, der Charta der Grundrechte der Europäischen Union verankerten Grundrecht auf Verteidigung Gebrauch gemacht. Ein entsprechender Zusammenhang zwischen der Verarbeitungstätigkeit und dem berechtigten Interesse des betreffenden Dritten sei gegeben. Die Verarbeitung gehe auch nicht über das erforderliche Ausmaß hinaus, um dem Verteidigungsrecht Rechnung zu tragen. Im Rahmen einer abschließenden Abwägungsprüfung habe der BF keine relevanten Erwägungen vorgebracht und sei die Verarbeitungsgrundlage des Artikel 6, Absatz eins, Litera f, DSGVO gegeben, darüber hinaus könne eine Verarbeitung von sensiblen personenbezogenen Daten (Artikel 9, DSGVO) nicht erblickt werden. Der Bescheid ergehe, da gemäß Artikel 60, Absatz 9, DSGVO die für den Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den Teil zu erlassen habe, der die Ablehnung oder Abweisung der Beschwerde betrifft.

8. In der vom 10.08.2022 gegen den Bescheid fristgerecht erhobenen Beschwerde brachte der Beschwerdeführer im Wesentlichen vor, dass kein berechtigtes Interesse der Beschwerdegegnerin und des weiteren Mitglieds der Unternehmensgruppe vorliegen könne, da es sich um illegales Glücksspiel handle und eine Berufung auf ein berechtigtes Interesse unter dem Aspekt des Rechtsmissbrauches nicht vorliege.

9. Mit Stellungnahme vom 19.09.2022 legte die belangte Behörde den Verwaltungsakt unter Anschluss aller Aktenteile dem Bundesverwaltungsgericht vor, verwies vollinhaltlich auf den bekämpften Bescheid und beantragte die Abweisung der Beschwerde.

10. Mit Stellungnahme vom 23.09.2022 führte der BF ergänzend aus, dass die belangte Behörde aufgrund des Beschlusses der federführenden Behörde die Übermittlung seiner personenbezogenen Daten als rechtswidrig feststellen hätte müssen. Darüber hinaus beantragte dieser die Durchführung einer mündlichen Verhandlung, die Ladung von Zeugen und bat um die Möglichkeit einer weiteren Stellungnahme, sollte keine mündliche Verhandlung stattfinden.

römisch II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Der BF registrierte sich am 23.10.2019 auf der Glücksspielwebsite der mitbeteiligten Partei und forderte im Rahmen eines Zivilverfahrens seine erlittenen Spielverluste zurück. Das Verfahren endete mit einem außergerichtlichen Vergleich, wobei dem BF seine Spielverluste rückerstattet wurden.

1.2. Der BF registrierte sich am 16.01.2020 auf der Website des Glückspielanbieters „ römisch XXXX “ und forderte im Rahmen eines Zivilverfahrens seine erlittenen Spielverluste zurück. Die Klage des BF wurde abgewiesen, da das Zivilgericht Rechtsmissbrauch feststellte.

1.3. Die mitbeteiligte Partei und der Glücksspielanbieter „ römisch XXXX “ sind Teil derselben Unternehmensgruppe und mit einer gemeinsamen maltesischen Glücksspiellizenz tätig.

1.4. Die mitbeteiligte Partei übermittelt im Rahmen des zivilgerichtlichen Verfahrens des BF gegen das Glücksspielunternehmen „ römisch XXXX “ personenbezogene Daten des BF an „ römisch XXXX “.

1.5. Bei der Registrierung auf der Website der mitbeteiligten Partei stimmte der BF den „Terms and Conditions“ sowie den Datenschutzinformationen zu.

1.6. Konzessionäre des Bundes im Rahmen des Glücksspielmonopols sind die „Österreichische Lotterien GmbH“ und die „Casinos Austria AG“.

2. Beweiswürdigung:

Die Feststellungen zum maßgeblichen Sachverhalt ergeben sich aus dem Verwaltungsakt (inklusive des zivilgerichtlichen Urteils), der Beschwerde und dem Gerichtsakt. Der gegenständliche Sachverhalt ist hinsichtlich der Übermittlung von personenbezogenen Daten des BF unstrittig. Es handelt sich ausschließlich um die Klärung einer Rechtsfrage.

3. Rechtliche Beurteilung:

3.1. Gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG entscheiden die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gemäß Paragraph 27, Absatz eins, DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß

Paragraph 24, Absatz 7, leg.cit. und der Entscheidungspflicht der Datenschutzbehörde. Gemäß Paragraph 27, Absatz 2, erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Gegenständlich liegt somit Senatszuständigkeit vor.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, Bundesgesetzblatt Teil eins, Nr. 33 aus 2013,, geregelt (Paragraph eins, leg.cit.). Gemäß Paragraph 59, Absatz 2, VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß Paragraph 17, VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Artikel 130, Absatz eins, B-VG die Bestimmungen des AVG mit Ausnahme der Paragraphen eins bis 5 sowie des römisch IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, Bundesgesetzblatt Nr. 194 aus 1961,, des Agrarverfahrensgesetzes – AgrVG, Bundesgesetzblatt Nr. 173 aus 1950,, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, Bundesgesetzblatt Nr. 29 aus 1984,, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Zu A)

3.1.1. Die maßgeblichen Bestimmungen der DSGVO lauten auszugsweise:

Artikel 5, DSGVO Grundsätze für die Verarbeitung personenbezogener Daten:

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 6, DSGVO Rechtmäßigkeit der Verarbeitung:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) – e) (…)

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(…)

Artikel 9, DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten:

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(…)

Artikel 56, DSGVO Zuständigkeit der federführenden Behörde:

Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.

(2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.

(…)

(4) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung.

(5) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall gemäß den Artikeln 61 und 62.

(6) Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung.

Artikel 60, DSGVO Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden:

(1) Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus.

(2) Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist.

(3) Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.

(4) Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen und begründeten Einspruch ein und schließt sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, so leitet die federführende Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein.

(5) Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Beschlussentwurf zur Stellungnahme vor. Der überarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen.

(6) Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und sind an ihn gebunden.

(7) Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. Die Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss.

(8) Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.

(9) Sind sich die federführende Aufsichtsbehörde und die betreffenden Aufsichtsbehörden darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser Teile ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde erlässt den Beschluss für den Teil, der das Tätigwerden in Bezug auf den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdeführer hiervon in Kenntnis, während die für den Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde betrifft, und ihn diesem Beschwerdeführer mitteilt und den Verantwortlichen oder den Auftragsverarbeiter hiervon in Kenntnis setzt.

(10) Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbehörden.

(11) Hat — in Ausnahmefällen — eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.

(12) Die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden übermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem Wege unter Verwendung eines standardisierten Formats.

3.2. Artikel 6, regelt die Zulässigkeit der Verarbeitung personenbezogener Daten, das „Ob“ der Datenverarbeitung, und ist somit eine Kernbestimmung der DSGVO. Sie steht in einem engen Zusammenhang mit dem Grundsatz der Rechtmäßigkeit der Verarbeitung (Artikel 5, Absatz eins, Litera a,), da in Artikel 6, Absatz eins, die Voraussetzungen an die Rechtmäßigkeit der Verarbeitung (im Rahmen der DSGVO) näher normiert werden. Der EuGH hat in diesem Zusammenhang (zu den Vorgängerbestimmungen) festgehalten, dass grundsätzlich jede Verarbeitung personenbezogener Daten den in Artikel 6, DS-RL (nunmehr Artikel 5, DSGVO) aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und einem der in Artikel 7, DS-RL (jetzt Artikel 6, DSGVO) angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen muss. (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Artikel 6, Rz 1 DSGVO (Stand 7.5.2020, rdb.at))

Artikel 6, Absatz eins, Litera f, ermöglicht die Verarbeitung personenbezogener Daten in „Gleichordnungsverhältnissen“ unter Privaten, wenn sie zur Wahrung der berechtigten Interessen eines Verantwortlichen oder eines Dritten vergleiche Artikel 4, Ziffer 10,) erforderlich ist. Diese berechtigten Interessen stellen jedoch dann keine ausreichende Begründung für die Rechtmäßigkeit der Verarbeitung dar, wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der EuGH hat zur inhaltlich weitgehend übereinstimmenden Vorgängerbestimmung (Artikel 7, Litera f, DS-RL) ein „Prüfschema“ vorgegeben, wonach die Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig ist, das auch von DSB und OGH in ihrer Entscheidungspraxis herangezogen wird:

1. Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw den Dritten wahrgenommen wird, denen die Daten übermittelt werden,

2. Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und

3. kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person.

Im Kern ist eine Abwägung der berührten Interessen (Interessenabwägung) im Einzelfall vorzunehmen, „wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.“ (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Artikel 6, Rz 49, 51 DSGVO (Stand 7.5.2020, rdb.at))

Die ErwGr enthalten einige Beispiele, in denen berechtigte Interessen vorliegen (können): Betrugsbekämpfung (ErwGr 47 S 6: „Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.“) Die Artikel-29-Datenschutzgruppe hat in ihrer Stellungnahme 06/2014253 eine nicht abschließende Liste einiger üblicher Verarbeitungssituationen zusammengestellt, in denen sich die Frage des berechtigten Interesses iSv Artikel 7, Litera f, DS-RL stellen kann, was aufgrund der inhaltlich weitgehend identischen Textierung des Artikel 6, Absatz eins, Litera f, DSGVO uE übernommen werden kann: z.B. Verhütung von Betrug, Leistungsmissbrauch oder Geldwäsche. (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Artikel 6, Rz 54 DSGVO (Stand 7.5.2020, rdb.at))

Auch Artikel 9, Absatz 2, enthält in einigen Tatbeständen berechtigte Interessen, die als Zulässigkeitstatbestand für die Verarbeitung sensibler Daten infrage kommen. Im Sinne eines Größenschlusses folgt daraus, dass diese Interessen die Verarbeitung „normaler“ Daten erst recht rechtfertigen können. Anzuführen ist hier insb Artikel 9, Absatz 2, Litera e, (die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat) und Litera f, leg cit (die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich). Die DSB führt in einem Musterformular die Reduzierung von Gesundheitsrisiken am Arbeitsplatz (berechtigtes Interesse von ArbeitnehmerInnen) und die Eindämmung der Verbreitung einer Infektion (berechtigtes Interesse der Allgemeinheit) als berechtigte Interessen an. (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Artikel 6, Rz 54 DSGVO (Stand 7.5.2020, rdb.at))

In der allgemeinen Bestimmung des Artikel 5, Absatz eins, werden Grundsätze für die Verarbeitung personenbezogener Daten normiert. Es handelt sich dabei sowohl um programmatische Grundsätze der europäischen Datenschutztradition, die größtenteils in anderen Bestimmungen der DSGVO präzisiert werden, als auch zugleich um unmittelbar geltende verbindliche Regeln. Jede Verarbeitung von personenbezogenen Daten muss diesen genügen. Damit wird zugleich die aus den Grundrechten (Artikel 7 und 8 in Verbindung mit Artikel 52, GRC) gebotene Verhältnismäßigkeitsprüfung für den Datenschutz konkretisiert, die bei jedem Grundrechtseingriff zu beachten ist. (Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Artikel 5, Rz 1 DSGVO (Stand 7.5.2020, rdb.at))

Grundsätzlich ist denkbar, dass ein Verstoß gegen die Informationspflicht nach Artikel 13, auch die Rechtswidrigkeit der Datenverarbeitung an sich nach sich zieht. Insb muss beachtet werden, ob sich durch die fehlerhafte oder mangelhafte Information auch eine Verletzung des Grundsatzes nach Treu und Glauben ableiten ließe. (Illibauer in Knyrim, DatKomm Artikel 13, Rz 6/1 DSGVO (Stand 1.12.2021, rdb.at))

Ob der Nichteinhaltung der Verpflichtungen ein Verarbeitungsverbot folgt, ist fraglich. Grundsätzlich ergibt sich aus den Grundsätzen der Verarbeitung gem Artikel 5, bereits das Transparenzgebot bzw. damit einhergehend die Verpflichtung, betroffene Personen über Verarbeitungsvorgänge informiert zu halten. Inwiefern Artikel 12, daher als Voraussetzung einer rechtskonformen Verarbeitung personenbezogener Daten beurteilt werden kann, ist nicht vollends ersichtlich. Die Rechtmäßigkeit der Verarbeitung bestimmt sich allerdings nach Artikel 6, bzw. Artikel 7,, weshalb die Erteilung oder Nichterteilung der Informationen, da ohnehin strafbewehrt, keinen Einfluss auf die grundsätzliche Rechtmäßigkeit der Verarbeitung haben sollte, sofern die Informationsbedingungen der jeweiligen Rechtmäßigkeitsgrundlagen erfüllt bzw. sofern die strengen Voraussetzungen des Artikel 6, oder Artikel 7, eingehalten wurden. (Illibauer in Knyrim, DatKomm Artikel 12, DSGVO Rz 22(Stand 1.12.2021, rdb.at))

Im konkreten Fall führte die belangte Behörde richtigerweise aus, dass der Fall einer grenzüberschreitenden Datenverarbeitung vorliegt und setzte den Kohäsionsmechanismus in Gang, indem sie die Zuständigkeitsfrage im Rahmen des „Internal Market Information System“ klärte. Gemäß Artikel 56, Absatz eins, DSGVO ist die maltesische Aufsichtsbehörde bzw. der maltesische Kommissar für Information und Datenschutz die federführende Aufsichtsbehörde des gegenständlichen Verfahrens. Nach Einholung einer Stellungnahme der mitbeteiligten Partei und dem Parteiengehör des BF fasste die federführende Aufsichtsbehörde im Einvernehmen mit der belangten Behörde den Beschluss, der Beschwerde teilweise stattzugeben bzw. darüber hinaus abzuweisen. Gemäß Artikel 60, Absatz 9, DSGVO haben daher zwei verschieden Beschlüsse zu erfolgen, wobei die belangte Behörde den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung der Beschwerde betrifft, ihn dem Beschwerdeführer mitteilt und den Verantwortlichen oder den Auftragsverarbeiter hiervon in Kenntnis setzt. Dieser Verpflichtung kam die belangte Behörde mit dem bekämpften Bescheid vom 05.07.2022 nach.

Der BF bringt in seiner Bescheidbeschwerde vom 10.08.2022 hauptsächlich vor, dass kein berechtigtes Interesse der mitbeteiligten Partei bestehen könne, da diese Glücksspiele rechtswidrig in Österreich anbiete und deren Schutz nicht legitim sei. Es handle sich um Rechtsmissbrauch durch die mitbeteiligte Partei. Dem ist zu entgegnen, wie die belangte Behörde korrekt darlegte, dass eine Datenverarbeitung im Rahmen der DSGVO auch ohne explizite Einwilligung bzw. Vereinbarung vorgenommen werden kann, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dies gilt, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Dabei handelt es sich nicht bloß um einen Auffangtatbestand, da der Verantwortliche im Vorfeld tiefergehende Überlegungen vornehmen muss, um im Endeffekt ein überwiegendes Interesse an der jeweiligen Verarbeitung nachweisen zu können. Der Tatbestand ermöglicht es auch eine entsprechende Verarbeitung für die berechtigten Interessen eines Dritten vorzunehmen, gegenständlich der „ römisch XXXX “ welche mit der mitbeteiligten Partei Teil einer Unternehmensgruppe ist.

In einem ersten Schritt ist ein berechtigtes Interesse des Verantwortlichen bzw. des Dritten für die vorgenommene Datenverarbeitung zu prüfen. Die mitbeteiligte Partei sowie die belangte Behörde stützen sich hierbei auf Artikel 6, Absatz , Litera f, DSGVO, da die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen in Verbindung mit einem anhängigen Gerichtsverfahren, um eine rechtsmissbräuchliche (risikolose) Spielweise in den Onlinecasinos der Unternehmensgruppe zu verhindern, vorgenommen wurde. Nach der gefestigten höchstgerichtlichen Rechtsprechung ist das österreichische Glücksspielrecht nicht unionsrechtswidrig. Eine entsprechende Konzession hat derzeit nur die Casinos Austria AG sowie die Österreichische Lotterien GmbH inne. Der BF forderte auf Basis dieses Wissens, nachdem er bereits bei der mitbeteiligten Partei Spielverluste rückgefordert hatte, durch erneute absichtliche Teilnahme an illegalem Onlineglücksspiel, Spielverluste in Bezug auf ein Mitglied der Unternehmensgruppe der mitbeteiligten Partei gerichtlich zurück. In diesem Kontext informierte die mitbeteiligte Partei dieses Mitglied der Gruppe (Dritten), dass bereits zuvor durch den BF Spielverluste rückgefordert wurden und verhalf dieser, durch den sodann erhobenen Einwand des Rechtsmissbrauchs, zum Obsiegen im zivilgerichtlichen Verfahren. Ein berechtigtes Interesse ergibt sich daher aus dem legitimen Zweck zur Verteidigung von Rechtsansprüchen gegen eine betrügerische Spielweise von registrierten Kunden. Dieses Interesse muss darüber hinaus rechtmäßig sein, somit nicht gegen gesetzgeberische Maßnahmen verstoßen. Die soeben erwähnte Voraussetzung ergibt sich bereits aus Artikel 48, GRC, der grundrechtlichen Verankerung von Verteidigungsrechten in einem Gerichtsverfahren. Die belangte Behörde führte daher zu Recht aus, dass ein berechtigtes Interesse an der vorgenommenen Verarbeitung von personenbezogenen Daten des BF vorlag. Dies wurde durch die mitbeteiligte Partei in ihren Stellungnahmen an den maltesischen Kommissar für Information und Datenschutz dem Grunde nach auch gleichlautend nachgewiesen. Aus der oben skizzierten Darstellung ergibt sich auch der innere Zusammenhang zwischen der Datenverarbeitung und dem berechtigten Interesse, da die Mitglieder der Unternehmensgruppe sich gegenseitig vor finanziellen Verlusten durch rechtsmissbräuchliche bzw. betrügerische Handlungen schützen wollen.

Eine solche Datenverarbeitung darf - im zweiten Prüfungsschritt - nicht über jenes Maß hinausgehen, welches notwendig ist, um den Zweck des berechtigten Interesses zu erfüllen. Die Datenverarbeitung muss daher im Rahmen der Verarbeitungsgrundsätze der DSGVO (Artikel 5,) auf das Notwendigste beschränkt sein. Die in Frage stehende Datenübermittlung beschränkten sich auf ein Minimum an Information, da sich aus dem Verwaltungsakt ergibt, dass der BF durch die Registrierung auf der Website des Dritten bereits seine persönlichen Daten bekanntgegeben hatte und diese daher rechtmäßig verarbeitet wurden. Der Informationsgehalt der Übermittlung bestand ausschließlich darin, dass der BF bereits gegen ein Mitglied der Unternehmensgruppe Spielverluste gerichtlich geltend gemacht hatte. Im Licht der oben dargestellten rechtlichen Ausführung zum Umfang der Datenverarbeitung und Verfolgung des berechtigten Interesses ist eindeutig, dass eine über den Zweck der Verteidigung von Rechtsansprüchen hinausgehende Datenverarbeitung nicht stattgefunden hat.

Im letzten und wichtigsten Prüfungspunkt ist eine Interessensabwägung im Einzelfall vorzunehmen und zu beurteilen, ob das berechtigte Interesse des BF an seinen personenbezogenen Daten gegenüber jenem des Verantwortlichen überwiegt. Die durch den BF vorgebrachte Datenübermittlung habe dazu geführt, dass dieser das zivilgerichtliche Verfahren betreffend die Rückforderung seiner Spielschulden verloren habe und sei ihm dadurch ein Nachteil entstanden. Nicht jede negative Auswirkung führt aber zu einem Überwiegen im Rahmen der zu treffenden Interessensabwägung; als Maßstab ist das zu gegenüberstellende berechtigte Interesse heranzuziehen. Die Verteidigung von Rechtsansprüchen bildet ein fundamentales Grundrecht der österreichischen Rechtsordnung sowie des europäischen Rechts. In diesem Sinne ist ein strenger Maßstab anzulegen, wenn es um eine womöglich „unverhältnismäßige“ Schädigung des BF geht. Eine solche ist im Vorbringen des BF nicht zu erkennen und auch im gerichtlichen Verfahren nicht aufgekommen. Ein Überwiegen der Interessen des BF ist daher nicht gegeben.

Soweit der BF gesondert vorwarf, die belangte Behörde hätte schon allein deshalb eine unrechtmäßige Datenverarbeitung feststellen müssen, da die federführende Behörde in ihrem Beschluss eine Verletzung von Informationspflichten gemäß Artikel 13, Absatz eins, Litera c und e DSGVO festgestellt habe, ist darauf hinzuweisen, dass geringe Verletzungen der Informationspflichten nicht zwingend zu einer rechtswidrigen Datenverarbeitung führen müssen. Im Rahmen des Kohärenzverfahrens hat die federführende und betroffene Datenschutzbehörde im Einvernehmen einen abweisenden und stattgebenden „Beschluss“ erlassen. Dabei handelt es sich um ineinandergreifende Rechtsakte einer zusammenhängenden Entscheidung und ist eine entsprechende Rechtswidrigkeit bzw. Widersprüchlichkeit nach der oben ausgeführten Rechtsansicht nicht zu erkennen.

Darüber hinaus brachte der BF vor, die mitbeteiligte Partei habe auch eine Verarbeitung von sensiblen Daten gemäß Artikel 9, DSGVO vorgenommen. Die Ansicht der belangten Behörde ist auch in dieser Hinsicht zu bestätigen, da sich aus dem gesamten Vorbringen des BF, sowie dem gegenständlichen Verwaltungs- und Gerichtsakt keine Anhaltspunkte für eine derartige Datenverarbeitung ergeben. Das entspreche Vorbringen des BF erfuhr keine weitere Konkretisierung.

Da dem angefochtenen Bescheid aus diesen Gründen im Ergebnis eine Rechtswidrigkeit iSd Artikel 130, Absatz eins, Ziffer eins, B-VG nicht anhaftet, war die dagegen erhobene Beschwerde gemäß Paragraph 28, Absatz 2, VwGVG in Verbindung mit Paragraph 24, Absatz eins und Absatz 5, DSG abzuweisen.

3.3. Gemäß Paragraph 24, Absatz eins, VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Eine mündliche Verhandlung wurde durch den BF beantragt und Beweisanträge auf Einvernahme eines informierten Vertreters der mitbeteiligten Partei gestellt.

Im gegenständlichen Fall kann das Unterlassen einer mündlichen Verhandlung und damit verbundene Abweisung der Beweisanträge darauf gestützt werden, dass der Sachverhalt aus der Aktenlage eindeutig feststeht. Die relevanten weitergeleiteten Informationen waren entscheidungsrelevanter Teil eines zivilgerichtlichen Verfahrens in Österreich (36 R 121/21 vom 22.10.2021) und sind von daher den Verfahrensparteien bekannt. Die Bedeutung der Frage, warum der Beschwerdeführer (überhaupt) ein Spielerkonto eröffnen konnte, wird im einschlägigen Antrag auf Zeugenbefragung nicht näher begründet und weist auch keinen inhaltlichen Zusammenhang mit dem gegenständlichen Verfahren auf.

Soweit der Beschwerdeführer eine ausdrückliche Verständigung vom Entfall einer mündlichen Verhandlung wünscht, gibt es diesbezüglich keinen Rechtsanspruch. Im Übrigen ist eine Beschwerde grundsätzlich schon bei Einbringung vollständig zu begründen. Es wäre dem Beschwerdeführer aber auch freigestanden, jederzeit weitere Stellungnahmen/Schriftsätze dem Bundesverwaltungsgericht zu übermitteln.

Das Bundesverwaltungsgericht hat im gegenständlichen Verfahren ausschließlich über eine Rechtsfrage zu erkennen vergleiche EGMR 20.06.2013, Appl. Nr. 24510/06, Abdulgadirov/AZE, Rz 34ff). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.06.2012, B 155/12).

Von der Durchführung einer mündlichen Verhandlung war folglich gemäß Paragraph 24, Absatz 4, VwGVG abzusehen.

Zu B) Zulässigkeit der Revision:

Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.

European Case Law Identifier

ECLI:AT:BVWG:2023:W137.2259819.1.00