Bundesverwaltungsgericht
20.12.2023
W211 2261679-1
W211 2261679-1/26E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch die Richterin Mag.a Barbara SIMMA, LL.M., als Vorsitzende und die fachkundige Laienrichterin Margareta MAYER-HAINZ und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde von römisch 40 römisch 40 gegen den Bescheid der Datenschutzbehörde vom römisch 40 römisch 40 , nach Durchführung einer mündlichen Verhandlung zu Recht:
A)
Die Beschwerde wird als unbegründet abgewiesen.
B)
Die Revision ist gemäß Artikel 133, Absatz 4, B-VG unzulässig.
Entscheidungsgründe:
römisch eins. Verfahrensgang:
1. Mit verfahrenseinleitender Eingabe vom römisch 40 2021 an die Datenschutzbehörde, in der Fassung DSB, brachte die Beschwerdeführerin, in der Fassung BF, zusammengefasst vor, dass die nunmehrige mitbeteiligte Partei, in der Fassung mP, ein international tätiges Transportunternehmen sei. Die BF sei bis römisch 40 2021 in einem Arbeitsverhältnis mit der mP gestanden, das einvernehmlich gelöst worden sei. Mit Beendigung des Arbeitsverhältnisses sei die berufliche Emailadresse der BF, die diese auch privat genutzt habe, gesperrt worden. Die personalisierte Emailadresse sei von der mP aber nicht deaktiviert worden. Auf diese Emailadresse würden nach wie vor nicht nur berufliche, sondern auch private Emails an die BF eingehen. Die Emails der BF würden ohne Zustimmung der BF an Ditte weitergeleitet werden, was sich aus einem der BF zufällig bekannt gewordenen Email vom römisch 40 2021 ergeben würde. Dadurch entstehe der Eindruck, dass die BF immer noch bei der mP tätig sei. Bis dato sei keine automatische Antwort bei diesem Account eingerichtet worden, sodass insbesondere private Kontakte immer noch nicht darüber informiert seien, dass ihre Emails die BF nicht mehr erreichen würden.
Die mP habe während des Arbeitsverhältnisses und auch danach laufend personenbezogene Daten der BF erhoben und verarbeitet, ohne ihrer Informationspflicht nach Artikel 13 und 14 DSGVO nachzukommen.
Aus diesem Grund habe die BF am römisch 40 2021 ein Auskunftsersuchen an die mP gestellt und gleichzeitig darauf hingewiesen, dass Gründe für die Verarbeitung von personenbezogenen Daten der BF iZm der personalisierten Emailadresse mit Beendigung des Arbeitsverhältnisses weggefallen seien, und eine allfällige Einwilligung widerrufen werde. Auch sei die mP aufgefordert worden, die personenbezogenen Daten der BF, insbesondere ihre Korrespondenz (privat und beruflich), die auf dem Emailaccount gespeichert sei, in einem strukturierten, gängigen und von der BF maschinenlesbaren Format zu übermitteln; nach der Datenübertragung sollten sämtliche gespeicherten und verarbeiteten Daten der BF gelöscht werden. In Bezug auf die Emailadresse sei die mP aufgefordert worden, eine weitere unbeschränkte Nutzung einzustellen, ein auto reply mit näher genanntem Inhalt einzurichten und die Emailadresse sobald wie möglich, spätestens bis römisch 40 2021, zu löschen. Eine auto reply Nachricht sei immer noch nicht eingerichtet worden.
Damit würden Verstöße gegen die Informationspflichten gemäß Artikel 13, DSGVO, gegen die Rechte auf Auskunft, Datenübertragbarkeit, Löschung und Einschränkung der Verarbeitung sowie gegen Paragraph eins, Absatz eins, DSG und Artikel 8, der GRC vorliegen.
Beigelegt waren ein teilweise geschwärztes Schreiben der BF an die mP vom römisch 40 2021, ein Antwortschreiben der mP vom römisch 40 2021 und der Ausdruck eines Emails vom römisch 40 2021.
2. Mit Schreiben vom römisch 40 2021 replizierte die mP auf die Beschwerde zusammengefasst wie folgt: Die BF sei von 2001 bis zu ihrer Kündigung mit Schreiben vom römisch 40 2020 im Unternehmen der mP angestellt gewesen. Mit der Kündigung habe die BF zugleich Resturlaub und Überstunden in Anspruch genommen und sei nicht mehr im Unternehmen der mP erschienen. Der Ehemann der BF sei bis zu seiner fristlosen Entlassung aus dem Unternehmen der mP am römisch 40 2020 handels- und gewerberechtlicher Geschäftsführer der mP gewesen und habe sich mit einem eigenen Unternehmen im gleichen Bereich wie die mP selbständig gemacht.
Der BF seien die angefragten Informationen (Artikel 13, Absatz 4 und 14 Absatz 5 a, DSGVO) bereits bekannt gewesen; trotzdem werde der Aufforderung im gegenständlichen Schreiben erneut nachgekommen. Ergänzend werde vorgebracht, dass die private Nutzung des Emailaccounts durch die BF der mP nicht bekannt gewesen sei. Nach Beendigung des Arbeitsverhältnisses seien von Kundinnen und Kunden der mP aufgrund der langjährigen Zusammenarbeit mit der BF noch laufend Emails im personalisierten Account der BF eingelangt. Private Emails an die BF seien der mP nicht bekannt. Insoweit, einer Dienstanweisung zuwider, tatsächlich auf dem beruflichen Account private Emails vorhanden sein sollten, würden diese übermittelt und danach gelöscht werden. Die berufliche Korrespondenz könne nicht an die BF weitergeleitet werden, da diese nun im Konkurrenzunternehmen ihres Mannes beschäftigt sei. Eine Löschung der beruflichen Korrespondenz werde nach Ablauf der gesetzlich vorgesehenen Aufbewahrungsfristen erfolgen, daher würden die beruflichen Emails der BF sieben Jahre gespeichert werden. Sonstige persönliche Daten der BF, mit Ausnahme der arbeitsvertragsbezogenen Daten, würden weder gespeichert, noch verarbeitet. Auto reply Einrichtungen könnten aufgrund der anmeldedatenbezogenen Veränderung nur von dem:der jeweiligen Nutzer:in eingegeben werden. Der Emailaccount wurde bereits im April [2021] deaktiviert. Zustellungen an diesen Account seien daher bereits seit ca. Mitte April 2021 nicht mehr möglich. Eine Mailbox sei eingerichtet worden, in dieser seien keine zusätzlichen lesbaren Daten gespeichert oder verarbeitet worden. Emails seien von diesem Account seit der Kündigung nicht mehr versendet worden.
3. Mit Schreiben vom römisch 40 2021 teilte die mP weiter mit, dass der BF mit beigelegtem Schreiben die Auskünfte nach Artikel 15, DSGVO erteilt worden seien. Weiter könne bekannt gegeben werden, dass der gesamte Emailverkehr unter der beruflichen Emailadresse der BF bei der mP mit römisch 40 2021 automatisch und vollständig gelöscht werde, da die passwortgeschützten Emailaccounts auf „disabled“ gesetzt worden seien, damit sich dort niemand mehr anmelden könne. Nach Auskunft des IT Dienstleisters würde dieses Konto einen Monat nach Einrichtung der disabled-Eingabe automatisch und vollständig gelöscht werden. Beigelegt war eine Beauskunftung an die BF vom römisch 40 2021.
4. Mit Stellungnahme vom römisch 40 2021 führte die BF replizierend und soweit wesentlich ergänzend aus wie folgt: Es hätte keine dienstliche Anweisung der mP bestanden, wonach eine private Nutzung der Emailadresse untersagt gewesen sei. Dass eine private Nutzung durch die Mitarbeiter:innen erfolgt sei, sei der mP bekannt gewesen.
Die mP habe offensichtlich vollständigen Zugriff auf ihr eigenes EDV System. Es sei auch ein Email aus dem Account am römisch 40 2021 weitergeleitet worden. An die BF seien auf diese Emailadresse am römisch 40 2021 und am römisch 40 2021 private Emails übermittelt worden, welche der mP wegen der Sichtung des Accounts bekannt gewesen sein müssen. Das Email vom römisch 40 2021 sei sogar im Betreff „Privat“ genannt worden.
Die Vermutung der mP, dass der BF die Informationen nach Artikel 13 und 14 DSGVO bekannt seien, erfülle die Informationsverpflichtung nicht. Die BF habe über den Namen und die Kontaktdaten der Verantwortlichen Bescheid gewusst; die sonstigen Informationen aus dem Schreiben der mP seien ihr aber neu. Die mP habe sich dabei nur auf die Emailadresse bezogen, jedoch keine Informationen über die sonstigen Datenverarbeitungen erteilt; solche würden sich aus dem Schreiben der mP vom römisch 40 und römisch 40 05.2021 ergeben. Die Informationen ließen nicht erkennen, inwieweit die Verarbeitung der personenbezogenen Daten der BF in Bezug auf die private Korrespondenz und sonstige für den genannten Zweck erforderlich gewesen sein soll. Offensichtlich würden die Daten auch für andere Zwecke verarbeitet werden. Die BF habe der mP keine Einwilligung (Artikel 6, Absatz eins, Litera a, DSGVO) erteilt, bereits deshalb, weil sie über die Datenverarbeitung nicht ausreichend informiert gewesen sei. Die Vorgaben aus gesetzlichen Verpflichtungen (Artikel 6, Absatz eins, Litera c, DSGVO) seien von der mP nur ansatzweise bezüglich des Emailverkehrs thematisiert und nicht konkretisiert worden. Die Aufbewahrung der Korrespondenz der BF könne für den von der mP angeführten Zweck nicht auf Paragraph 212, Absatz eins, UGB gestützt werden. Für private Korrespondenz käme diese Rechtsgrundlage jedenfalls nicht zur Anwendung. Von einem behaupteten berechtigten Interesse der mP (Artikel 6, Absatz eins, Litera f, DSGVO) habe die BF keine Kenntnis gehabt. Die Interessen der BF würden diese iZm der Emailadresse überwiegen. Der BF sei nicht ersichtlich, warum im Sinne des angegeben Zwecks von der Bearbeitung von Kundenaufträgen die verbundenen Gesellschaften, Steuerberater:innen, Lohnverrechnung, Rechtsanwält:innen die personenbezogenen Daten der BF und insbesondere ihre private Emailkorrespondenz erhalten haben. Ob eine Übermittlung an ein Drittland stattgefunden habe, ergebe sich nicht aus der Stellungnahme. Die Angaben zur Speicherdauer würden nicht Artikel 13, Absatz 2, Litera a, DSGVO entsprechen. Und zu den Betroffenenrechten sei keine präzise, transparente und verständliche Information erteilt worden. Die BF verfüge demnach immer noch nicht über die Information zu sämtlichen Zwecken der Verarbeitung, konkrete Informationen über Empfänger:innen, eine allfällige Übermittlung an ein Drittland und zur tatsächlichen Speicherdauer.
Die beantragte Geltendmachung der Betroffenenrechte gemäß Artikel 15,, 17, 18 und 20 DSGVO sei weiter verspätet beantwortet worden.
Im Zusammenhang mit der Datenübertragbarkeit habe die mP unbeschränkten Zugriff auf den Emailaccount und die Korrespondenz. Die mP würde sich in ihren Stellungnahmen dazu widersprechen.
Im Zusammenhang mit der Löschung sei unklar, welche Daten wann gelöscht worden seien. Es sei auch unklar, ob die Daten bei Dritten gelöscht worden seien. Für eine Löschung der Emaildaten wegen des „disabled“ Status gebe es keine Nachweise. Die BF habe die Löschung sämtlicher ihrer Daten begehrt, nicht nur jene betreffend den Emailaccount.
Die Verarbeitung der Daten der BF sei nicht gemäß Artikel 18, DSGVO eingeschränkt worden. Die mP sei auch ihrer Mitteilungspflicht dazu gegenüber Dritten und Konzernunternehmen nicht nachgekommen.
Die Auskunft nach Artikel 15, DSGVO sei mangelhaft erfolgt.
Der Stellungnahme beigelegt war ein Email vom römisch 40 2021 mit dem Betreff „Privat“ ua an die Emailadresse der BF bei der mP, indem nachgefragt wurde, wie es der BF gehe, man habe schon lange nichts mehr von ihr gehört. Ein weiteres Email vom gleichen Absender an ua die BF mit dem Betreff „Rückmeldung“ ersuchte um Rückruf.
Die BF, ihr Mann und eine dritte Person gaben außerdem eidesstattliche Erklärungen ab, wonach es keine Dienstanweisung dagegen gegeben habe, die Emailadresse der mP auch privat zu nützen.
5. Ein Testemail der DSB an die Emailadresse der BF bei der mP blieb erfolglos; das Email vom römisch 40 2022 wurde nicht zugestellt; die Empfängerin sei nicht gefunden worden.
6. Mit dem angefochtenen Bescheid wies die DSB die Beschwerde der BF gegen die mP wegen Verletzung im Recht auf Geheimhaltung, im Recht auf Information, im Recht aus Auskunft, im Recht auf Datenübertragbarkeit, im Recht auf Löschung und im Recht auf Einschränkung der Verarbeitung als unbegründet ab.
Als Beschwerdegegenstand definierte die DSB die Fragen,
- ob die mP die BF durch Einsicht in den Emailaccount bei der mP sowie durch Weiterleitung von an diesen Account adressierten Emails in ihrem Recht auf Geheimhaltung verletzt habe;
- ob die mP die BF im Recht auf Information verletzt habe, indem sie ihr keine Information über die Datenverarbeitung erteilt habe;
- ob die mP die BF im Recht auf Auskunft verletzt habe und
- ob die mP die BF im Recht auf Datenübertragbarkeit, Löschung, Einschränkung der Verarbeitung verletzt habe.
Begründend führte die DSB zusammengefasst aus, dass die Verarbeitung der Daten hinsichtlich der erfolgten Weiterleitung und Einsichtnahme in die verfahrensgegenständlichen Emails iSd Artikel 6, Absatz eins, Litera f, DSGVO zulässig gewesen sei. Es habe ein Interesse der mP bestanden, in die Emails Einsicht zu nehmen, um nach dem Ausscheiden der BF die Aufrechterhaltung des ungestörten Geschäftsablaufes sicherzustellen und die beruflichen Emails weiterzuleiten. Bei dem vorgelegten und weitergeleiteten Email vom römisch 40 2023 habe es sich um ein berufliches Email gehandelt, das iZm der Tätigkeit der mP gestanden habe. Es sei nicht in jedes Email Einsicht genommen und eine Weiterleitung veranlasst worden. Es sei festgestellt worden, dass es eine dienstliche Anweisung gegeben habe, berufliche Emailaccounts nicht für private Emails zu nutzen. Daher habe die mP davon ausgehen können, dass die nach Ausscheiden der BF eingetroffenen Emails einen beruflichen Kontext gehabt haben. Die mP habe keine Kenntnis von privaten Emails gehabt. Selbst wenn die BF keine Kenntnis von einer Dienstanweisung gehabt habe, hätte sie damit rechnen müssen, dass private Emails auf ihre berufliche Emailadresse versendet würden und hätte sie selbst dies verhindern können. Außerdem sei auch dann ein Interesse der mP an der reibungslosen Weiterführung ihrer Geschäfte gegeben gewesen – wozu die Einsichtnahme in die und allfällige Weiterleitung von Emails gehöre.
Es sei weiter eine Auskunft nach Artikel 15, DSGVO beantragt worden; diese Auskunft sei durch die mP während des laufenden Verfahrens erteilt worden. Die Eingaben der BF dazu, dass die Auskunft mangelhaft gewesen sei, stelle eine neue Eingabe in einem separat zu erledigenden Datenschutzverfahren dar. Eine Beschwerde wegen nicht erteilter Auskunft sei von einer solchen wegen einer mangelhaften Auskunft zu unterscheiden.
Das Recht auf Datenübertragbarkeit betreffe jene Daten, die eine betroffene Person einem:einer Verantwortlichen bereitgestellt habe: dazu würden keine Daten zählen, die von anderen Nutzer:innen eines Dienstes bereitgestellt worden seien. Deswegen würden empfangene Emails nicht unter den Anspruch aus Artikel 20, DSGVO fallen. Darüber hinaus dürften bei Ausübung dieses Rechts die Rechte und Freiheiten anderer nicht beeinträchtigt werden, was insbesondere dort von Bedeutung sei, wo ein automatisationsunterstützter Datenbestand zwar einer Person, zB Inhaber:in einer Mailbox, zugeordnet werden könne und zu einem Großteil auch von dieser Person bereitgestellt worden sei, aber inhaltlich auch personenbezogene Daten anderer enthalte. Die Übermittlung der beruflichen Emails würde die mP schwer und unzulässig beeinträchtigen. Die Übermittlung privater Emails würde ebenfalls Rechte und Freiheiten Dritter beeinträchtigen, und zwar betreffend die Absender:innen. Auch könnte der Inhalt der Emails sich auf Dritte beziehen.
Die BF habe weiter vorgebracht, dass die im Verfahren erteilten Informationen nach Artikel 13, DSGVO nicht vollständig gewesen seien. Die mP habe der BF bereits vor gegenständlicher Beschwerdeerhebung eine datenschutzrechtliche Auskunft nach Artikel 15, DSGVO übermittelt, womit die Metainformationen, die nach Artikel 13 und 14 DSGVO zur Verfügung zu stellen seien, bereits bekannt gegeben worden seien. Es bestehe keine Informationspflicht, wenn die betroffene Person über die relevanten Informationen verfüge. Es liege diesbezüglich keine konkrete Beschwer zum Zeitpunkt der behördlichen Entscheidung vor. Die mP habe über ihre Website über die Verarbeitung von personenbezogenen Daten informiert und der BF Auskunft ua über die Speicherdauer und die Kategorie von Empfänger:innen erteilt. Die BF habe ihre Betroffenenrechte bereits vor Beschwerdeeinbringung geltend gemacht, womit ihr das Bestehen derselben bekannt gewesen sei. Wenn ein:e Verantwortliche:r keine Absicht habe, Daten an ein Drittland zu übermitteln, bestehe dazu keine Informationsverpflichtung. Mutmaßungen der BF über eine allfällige Übermittlung von Daten in ein Drittland durch die mP würden nicht ausreichen.
In Bezug auf das Recht auf Löschung unterliege die mP gemäß Paragraph 132, BAO der Verpflichtung, Bücher und Aufzeichnungen sowie Belege 7 Jahre aufzubewahren, so auch für die Lohnsteuer uä. Ähnliches gelte für Paragraph 42, Absatz eins, ASVG, womit eine rechtliche Verpflichtung gemäß Artikel 17, Absatz 3, Litera b, DSGVO zur Speicherung der beruflichen Emails der BF sowie der für die Lohnsteuer und für Versicherungszwecke relevanten Arbeitnehmer:innendaten bestehe. Es sei der mP auch nicht entgegen zu treten, wenn sie Aufbewahrungspflichten auch auf Paragraph 212, Absatz eins, UGB stütze. Zwischen der BF und der mP seien eine Reihe von Verfahren am Landesgericht römisch XXXXX anhängig, weshalb auch Artikel 17, Absatz 3, Litera e, DSGVO (Verteidigung von Rechtsansprüchen) schlagend würde. Dem Antrag der BF sei die mP weiter in Bezug auf die privaten Emails nachgekommen, indem sie den gesamten Account gelöscht habe.
Zum Recht auf Beschränkung der Verarbeitung führte die DSB schließlich aus, dass dieses Recht einer:einem Betroffenen vorläufigen Rechtschutz gewähren solle, wenn die Löschung von Daten abgelehnt würde, und ihre Verarbeitung als rechtswidrig erachtet werde. Es genüge aber nicht, die Unrechtmäßigkeit nur zu behaupten, sondern es bestehe dafür eine Belegungslast. Die Verarbeitung müsse demnach objektiv rechtswidrig sein. Die Verarbeitung der Daten sei aber gegenständlich rechtmäßig gewesen.
7. Mit Beschwerde vom römisch 40 2022 richtete sich die BF gegen den Bescheid und führte dazu zusammengefasst und soweit wesentlich aus, dass Verfahrensvorschriften verletzt und unrichtige Feststellungen getroffen worden seien. Die DSB habe das gesamte Ermittlungsverfahren einseitig geführt und sich mit für die BF positiven Sachverhaltselementen nicht auseinandergesetzt. Sie habe außerdem den Beschwerdegegenstand zu eng gefasst. Zur rechtlichen Beurteilung führte die BF zusammengefasst aus, dass spätestens mit dem römisch 40 2021 [Ende des Dienstverhältnisses] die Erforderlichkeit der Verarbeitung der personenbezogenen Daten der BF durch Einsichtnahme und Weiterleitung der an sie gerichteten Korrespondenz, welche danach auf dem personalisierten Emailaccount eingelangt sei, weggefallen sei; die mP hätte durch eine auto reply Nachricht zum selben Ergebnis kommen können, wie mit einer Einsicht in die Emails. Bei den privaten Emails habe zu keiner Zeit ein berechtigtes Interesse der mP bestanden, Einsicht in die Emails zu nehmen.
Es sei nicht nachvollziehbar, dass die BF damit hätte rechnen müssen, dass auch private Emails einlangen würden; sie habe diesbezüglich auch keine Handlungsmöglichkeiten gehabt, da sie nur bis römisch 40 2021 Zugang zum EDV System der mP gehabt habe.
Die BF habe eine verspätete und anschließend keine ausreichende Auskunft nach Artikel 15, DSGVO erhalten. Weiter sei nicht nur eine Übermittlung der Email-Korrespondenz, sondern auch die Datenübertragung sämtlicher Daten gefordert worden. Die Bereitstellung der privaten Emails hätte keine Rechte und Freiheiten Dritter betroffen.
Zur Informationspflicht werde gesagt, dass die BF nicht auf die Datenschutzerklärung der mP hingewiesen worden sei. Dabei sei auch unklar, wann die Datenschutzerklärung veröffentlicht worden sei. Die BF sei nicht oder unrichtig über die Betroffenenrechte informiert worden. IZm der Drittlandübermittlung würde die Einschätzung der DSB im Bescheid dazu führen, dass die BF beweisen müsste, dass ein:e Verantwortliche Daten übermittle. Aus der Datenschutzerklärung ginge außerdem eine Übermittlung von Daten an Google und Facebook hervor.
Zur Löschung habe die DSB keine Feststellungen dazu getroffen, ob Arbeitnehmer:innendaten der BF verarbeitet würden. Dass die Daten gelöscht worden seien, habe die mP nicht bewiesen. Die BF sei schon 20 Jahre beschäftigt gewesen; die mP müsse daher über Datenbestände verfügen, die nicht mehr von einer 7-jährigen Aufbewahrungsfrist umfasst wären, was von der DSB nicht berücksichtigt worden sei. Die mP habe nicht nachgewiesen, dass sie Emails der BF für die Verteidigung von Rechtsansprüchen benötige. Die DSB habe nicht festgestellt, dass die mP die Emails gelöscht habe. Der Emailaccount sei nicht gleichzusetzen mit der darin befindlichen Korrespondenz. Es sei der BF nicht bekannt, welche Daten der BF die mP noch verarbeiten würde, sie könne deshalb nicht ausschließen, dass auch noch andere Daten als solche in der Emailkorrespondenz oder relevante Arbeitnehmer:innendaten verarbeitet würden.
Im Zusammenhang mit der Einschränkung der Verarbeitung stütze sich die BF weiter auf Artikel 18, Absatz eins, Litera d, DSGVO; die Daten der BF seien nicht rechtmäßig verarbeitet worden.
In Hinblick auf die Artikel 5 und 6 DSGVO werde erneut ausgeführt, dass die Emailadresse der BF ein personenbezogenes Datum darstelle. Die mP hätte diese nicht benötigt, um ihre geschäftlichen Interessen zu wahren. Die Einrichtung einer auto reply Nachricht hätte diese Zwecke auch erfüllt.
8. Mit Stellungnahme vom römisch 40 2023 führt die mP zur Beschwerde der BF replizierend und soweit nicht wiederholend und auf das Wesentliche zusammengefasst aus, dass von einer Ausfolgung der gesamten Mailkorrespondenz relevante geschäftliche Informationen über Kundinnen und Kunden uä betroffen seien. Die mP habe bekannt gegeben, dass der Account auf disabled gestellt worden und später gelöscht worden sei. Eine Auskunft sei vollständig erteilt worden. Aufgrund der jahrelangen Tätigkeit der BF bei der mP seien ihr außerdem viele Informationen sowieso bekannt, wie zB der IT Dienstleister und die verbundenen Gesellschaften. Der BF sei weiter bekannt, dass mit Inkrafttreten der DSGVO, teilweise davor, eine umfangreiche Datenschutzerklärung auf die Website der mP gestellt worden sei. Ein Interesse der mP an der Sichtung der beruflichen Korrespondenz der BF erlösche nicht mit Ende des Dienstverhältnisses, sondern gehe darüber hinaus, was sich ua aus dem vorgelegten (beruflichen) Email vom römisch 40 2021 ergeben würde. Der Emailaccount der BF sei im April 2021 deaktiviert und im Mai 2021 gelöscht worden. Die BF hätte noch während ihres Urlaubs die Emailadresse auf auto reply stellen und private Emails sichern können.
9. Mit Stellungnahme vom römisch 40 2023 replizierte die BF wiederum soweit wesentlich, nicht wiederholend und zusammengefasst, dass es der BF nicht um berufliche, sondern nur um ihre privaten Emails gehe. Die Löschung des Emailaccounts sei nicht nachgewiesen worden. Seit römisch 40 2021 bestehe für die mP an der Verarbeitung (Emails) kein berechtigtes Interesse mehr. Die BF hätte nach dem römisch 40 2020 keinen Zugang mehr zu ihrem Emailaccount gehabt.
10. Am römisch 40 2023 fand am Bundesverwaltungsgericht eine mündliche Beschwerdeverhandlung statt, im Zuge derer der Sachverhalt weiter ermittelt und relevante Rechtsfragen erörtert wurden. In der mündlichen Verhandlung stellte sich heraus, dass der für die mP erschienene Geschäftsführer diese Funktion nicht mehr ausübt, weshalb er in weiterer Folge als Zeuge einvernommen wurde.
11. Am römisch 40 2023 brachte schließlich noch die BF Protokolleinwendungen ein sowie eine Stellungnahme zum in der Verhandlung vorgelegten Brief der IT Abteilung der mP soweit wesentlich dahingehend, dass es sich bei der Angabe, dass die Daten der BF im Rahmen einer Datenmigration gelöscht worden seien, um eine reine Schutzbehauptung handle. Weiter würde darin bestätigt werden, dass die IT Abteilung Zugriff zu den Emailaccounts von ausgeschiedenen Mitarbeiter:innen habe.
römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Die BF war von 2001 bis römisch 40 2021 bei der mP, einem Transportunternehmen, beschäftigt. Sie sprach am römisch 40 2020 ihre Kündigung aus; das Dienstverhältnis endete nach Ablauf der Kündigungsfrist am römisch 40 2021. Die BF konsumierte nach dem römisch 40 2020 Resturlaub und Zeitausgleich für Überstunden und erschien nicht mehr im Unternehmen der mP.
1.2. Die BF verfügte bei der mP als Dienstgeberin über die berufliche Emailadresse römisch 40 . Über diese Emailadresse wickelte die BF auch private Emailkorrespondenz ab.
a) Am römisch 40 2021 (und damit während der Kündigungsfrist) langte auf dem beruflichen Emailaccount der BF ein Email von römisch 40 .at mit dem Betreffen „Privat“ ein, aus dem hervorgeht, dass der Absender lange nichts von der BF und ihrer Familie gehört habe und sich über eine Rückmeldung freuen würde.
b) Am römisch 40 2021 (und damit nach Beendigung des Dienstverhältnisses) langte ein weiteres Email des gleichen Absenders auf der beruflichen Emailadresse der BF bei der mP mit dem Betreff „Rückmeldung“ ein, wonach der Absender um Rückruf ersuche.
c) Am römisch 40 2021 (und damit nach Beendigung des Dienstverhältnisses) langte ein Email eines Absenders der römisch 40 auf dem Emailaccount der BF bei der mP ein mit dem Betreff „CMR Urgently“ und dem Inhalt, dass die Absenderin dringend das CMR „ römisch 40 “ benötige.
Dieses Email c) wurde am selben Tag von einer Person im Unternehmen der mP an eine andere Person weitergeleitet mit dem Inhalt, ob die Empfängerin ein Bild schicken lassen könne.
Diese Emailnachricht c) betrifft einen beruflichen Kontext, nämlich die Information über einen Frachtvertrag (CMR). Die römisch 40 ist ein römisch 40 Transportunternehmen, das im gleichen Bereich tätig ist wie die mP.
Der Emailaccount der BF wurde im April 2021 deaktiviert und am römisch 40 2021 gänzlich gelöscht.
Üblicherweise setzt die IT-Abteilung der mP (der Muttergesellschaft der mP) Accounts ehemaliger Dienstnehmer:innen auf „nicht verfügbar“; danach kann sich ein:e ehemalige:r Dienstnehmer:in nicht mehr auf diesen Account einloggen. Einmal im Quartal werden die Accounts gelöscht, die länger als drei Monate auf „nicht verfügbar“ gesetzt waren. Der Grund dafür ist, Accounts für den Fall noch zur Verfügung zu haben, sollten ehemalige Dienstnehmer:innen nach kurzer Zeit wieder ins Unternehmen zurückkehren. Wenn ein:e ehemalige:r Dienstnehmer:in gelöscht wurde und keine Microsoft-Lizenz mehr vorhanden ist, wird der Account bei Microsoft in den Papierkorb verschoben und nach 90 Tagen endgültig gelöscht. In Bezug auf die mP wurde im Jahr 2022 eine andere Software Umgebung eingerichtet und verschwand demnach die gesamte Cloud Umgebung der mP. Es fand dabei eine Migration der Daten aller damals bei der mP beschäftigten Dienstnehmer:innen statt.
Die mP sichtete ab Kündigung der BF und auch zwischen dem römisch 40 2021 und römisch 40 2021 den Eingang der Emails auf dem personalisierten Emailaccount der BF bei der mP, und zwar zum Zweck der ordnungsgemäßen Abwicklung von Kundenaufträgen auch nach dem Ausscheiden der langjährigen Sachbearbeiterin. In diesem Zusammenhang wurde das Email vom römisch 40 2021 (oben c)) im Emailaccount der BF bei der mP aufgefunden und weitergeleitet.
1.3. In Bezug auf das Vorbringen, die mP habe eine mangelhafte Auskunft nach Artikel 15, DSGVO erteilt, eröffnete die DSB ein weiteres Beschwerdeverfahren unter der GZ römisch 40 . Das Beschwerdeverfahren zu dieser GZ ist noch anhängig.
1.4. Mit Schreiben vom römisch 40 2021 gab die mP wörtlich bekannt wie folgt:
„Prinzipiell waren / sind der Beschwerdeführerin alle angefragten Informationen (Artikel 13/4, 14/5a DSGVO) bereits bekannt, sodass ihre Aufforderung zu dieser (neuerlichen) Bekanntgabe wohl nur im Zusammenhang mit den Ausführungen zu „Allgemeines“ wie vor zu sehen sind.
Trotzdem kommt die Beschwerdegegnerin diesen Forderungen noch einmal wie folgt nach:
Verantwortlicher: römisch 40
Zweck der Verarbeitung von personenbezogenen Daten der Beschwerdeführerin ist die korrekte Abwicklung von Kundenaufträgen, welche sich aufgrund und / oder im Zusammenhang mit dem E-Mail-Verkehr der Beschwerdeführerin unter der E-Mail.Adresse römisch 40 ergeben haben bzw. soweit dies laufende Abwicklungen betrifft, ergeben.
Die Beschwerdegegnerin verarbeitet die personenbezogenen Daten der Beschwerdeführerin aufgrund ihrer Einwilligung gemäß Artikel 6/1 Litera a, DSGVO, aber auch auf Grundlage des überwiegenden berechtigten Interesses der Beschwerdegegnerin (Artikel 6/1 Litera f, DSGVO), welches darin besteht, vollständige und ordnungsgemäße Abwicklungen von Kundenaufträgen mit der Beschwerdegegnerin zu gewährleisten, sowie aufgrund der Einhaltung gesetzlicher Vorgaben (Artikel 6/1 Litera c, DSGVO).
Zu den oben genannten Zwecken wird die Beschwerdegegnerin die personenbezogenen Daten der Beschwerdeführerin – falls erforderlich – nur an folgende Empfänger übermitteln:
Von der Beschwerdegegnerin eingesetzte IT-Dienstleister; verbundene Gesellschaften, die zum Konzern der Beschwerdegegnerin gehören (eine aktuelle Liste aller Konzerngesellschaften liegt bei); Steuerberater / Lohnverrechner / Rechtsanwalt soweit auf Grundlage des Verwendungszweckes wie vor erforderlich.
Insofern Konzerngesellschaften sich außerhalb von Österreich befinden, handelt es sich um Mitgliedsstaaten der EU, deren Datenschutzniveau jenem von Österreich entspricht.
Die personenbezogenen Daten der Beschwerdeführerin werden von der Beschwerdegegnerin nur so lange aufbewahrt, wie dies vernünftigerweise notwendig ist, um die vorstehend genannten Zwecke zu erreichen und wie dies nach dem anwendbaren Recht auch zulässig ist.
Die Beschwerdegegnerin speichert die personenbezogenen Daten der Beschwerdeführerin jedenfalls so lange gesetzliche Aufbewahrungspflichten bestehen oder Verjährungsfristen potentieller Rechtsansprüche noch nicht abgelaufen sind. E-Mail-Verkehr muss gemäß Paragraph 212 /, eins, UGB grundsätzlich sieben Jahre aufbewahrt werden.
Nach geltendem Recht ist die Beschwerdeführerin unter anderem berechtigt (a) zu überprüfen, ob und welche personenbezogenen Daten die Beschwerdegegnerin über die Beschwerdeführerin gespeichert hat und Kopien dieser Daten zu erhalten; (b) die Berichtigung und Ergänzung oder das Löschen der personenbezogenen Daten, die falsch sind oder nicht rechtskonform verarbeitet werden zu verlangen; (c) von der Beschwerdegegnerin zu verlangen, die Verarbeitung der personenbezogenen Daten einzuschränken; (d) unter bestimmten Umständen der Verarbeitung der personenbezogenen Daten zu widersprechen oder die für das Verarbeiten zuvor gegebene Einwilligung zu widerrufen; (e) Datenübertragbarkeit zu verlangen; (f) die Identität von Dritten, an welche die personenbezogenen Daten übermittelt werden zu kennen und (g) bei der zuständigen Behörde Beschwerde zu erheben.
Für zusätzliche Fragen zur Verarbeitung der personenbezogenen Daten wird der hierfür Auskunftspflichtige wie folgt genannt: römisch 40
Mit Schreiben vom römisch 40 2021 wurde bezugnehmend auf das Auskunftsbegehren der BF noch wörtlich wie folgt geantwortet:
„Betreffend Ihrem Auskunftsbegehren laut Schreiben des römisch 40 vom römisch 40 2021 darf ich namens meiner Mandantschaft, der römisch 40 , dies wie folgt beantworten:
Meine Mandantschaft verarbeitet folgende personenbezogenen Daten zu Ihrer Person:
Arbeitsvertrag, Lohnkonto, Bankverbindung, Urlaubskonto, Zeiterfassungskonto, E-Mail-Account römisch 40
Zweck der Verarbeitung dieser personenbezogenen Daten ist / war die korrekte Abwicklung Ihres Arbeitsverhältnisses sowie von Kundenaufträgen, welche sich aufgrund und / oder im Zusammenhang mit dem geführten E-Mail-Verkehr unter der E-Mail-Adresse römisch 40 ergeben haben.
Meine Mandantschaft verarbeitet diese Daten aufgrund Ihrer Einwilligung gemäß Artikel 6/1 Litera a, DSGVO sowie auf Grundlage des überwiegenden berechtigten Interesses meiner Mandantschaft (Artikel 6/1 Litera f, DSGVO) sowie aufgrund der Einhaltung gesetzlicher Vorgaben (Artikel 6/1 Litera c, DSGVO).
Die Daten werden an folgende Empfänger übermittelt:
- Von meiner Mandantschaft eingesetzte IT-Dienstleister;
- Verbundene Gesellschaften, die zum Konzern meiner Mandantschaft gehören (die Liste wurde mit Schreiben vom römisch 40 2021 an die Österreichische Datenschutzbehörde vorgelegt und in Kopie auch Ihrem Rechtsvertreter übermittelt). Insofern Konzerngesellschaften sich außerhalb von Österreich befinden, handelt es sich um Mitgliedsstatten der EU deren Datenschutzniveau aufgrund identer Bestimmungen jenen von Österreich entspricht;
- Steuerberater / Lohnverrechner / Rechtsanwalt soweit auf Grundlage des Verwendungszweckes wie vor erforderlich.
Ihre Daten werden von meiner Mandantschaft nur so lange aufbewahrt, wie dies vernünftigerweise erforderlich ist, die vorstehend genannten Zwecke zu erreichen und nach dem anwendbaren Recht auch zulässig ist. So lange gesetzliche Aufbewahrungspflichten bestehen oder Verjährungsfristen potentieller Rechtsansprüche noch nicht abgelaufen sind, werden diese Daten gespeichert, der E-Mail-Verkehr muss nach den gesetzlichen Bestimmungen des Paragraph 212, (1) UGB grundsätzlich sieben Jahre aufbewahrt werden.
Eine Weitergabe der Daten / Korrespondenz (privat und beruflich), welche auf dem E-Mail-Account römisch 40 gespeichert ist, ist – ungeachtet des Umstands, dass private E-Mail-Korrespondenz auf dem Firmenaccount meiner Mandantschaft nicht gestattet war – deshalb nicht möglich, da nach Mitteilung des verantwortlichen Systemadministrators ein solcher nachträglicher Zugriff auf den E-Mail-Account nur mit einem Zurücksetzen des vom ursprünglichen Benutzer eingegebenen Kennwortes durch ein temporäres Kennwort möglich ist, dies jedoch beim ersten Anmelden durch den Benutzer selbst zu geschehen hat. Dies ist gegenständlich nicht umgesetzt worden, die E-Mail-Adresse römisch 40 wurde Mitte April daher auf „disabled“ gesetzt, damit sich niemand mehr bei dieser Adresse anmelden kann. Einen Monat nach der Eingabe der „Disabling“ Funktion eines Benutzers wird das E-Mail-Konto automatisch und vollständig gelöscht. Damit gibt es weder die Möglichkeit auf das Konto zuzugreifen, noch Weiterleitungen hieraus vorzunehmen.
Ihnen stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu.
Für zusätzliche Fragen zur Verarbeitung der personenbezogenen Daten wie vor, wird der hierfür Auskunftspflichtige wie folgt genannt römisch 40
1.5. Eine Verarbeitung von personenbezogenen Daten der BF auf der Facebook Seite der mP kann nicht festgestellt werden.
1.6. Im Übrigen nimmt die mP zu Zwecken der Abwicklung des Beschäftigungsverhältnisses und im Zusammenhang mit entsprechenden Aufbewahrungspflichten aus dem Beschäftigungsverhältnis und der Tätigkeit des Unternehmens Verarbeitungen der personenbezogenen Daten der BF, so insbesondere die Speicherung, vor.
1.7. Im Lichte des Beschwerdevorbringens zur Datenübertragbarkeit wird festgestellt, dass die BF gegenüber der mP am römisch 40 2021 folgendes geltend machte:
„Des Weiteren fordere ich deine Mandantin auf, die personenbezogenen Daten meiner Mandanten, insbesondere deren Korrespondenz (privat und beruflich), welche auf den vorerwähnten Emailaccounts gespeichert sind, in einem strukturierten, gängigen und von meinen Mandanten maschinenlesbaren Format, an mich zu übermitteln.“
1.8. Im Lichte des Beschwerdevorbringens der BF zur Einschränkung der Verarbeitung und zum Widerspruchrecht wird festgestellt, dass die BF in ihrer Stellungnahme im verwaltungsbehördlichen Verfahren am römisch 40 2021 ausführte wie folgt:
„Bislang hatte die Beschwerdeführerin keine Kenntnis vom behaupteten „berechtigten Interesse“ der Beschwerdegegnerin. Gegen dieses wird Widerspruch eingelegt. Die Interessen, Grundrechte und Grundfreiheiten der Beschwerdeführerin überwiegen das Interesse der Beschwerdegegnerin an der Verarbeitung der personenbezogenen Daten der Beschwerdeführerin im Zusammenhang mit der personalisierten Emailadresse […]. Um die vollständige und ordnungsgemäße Abwicklung von Kundenaufträgen mit der Beschwerdegegnerin zu gewährleisten, welche sich aufgrund und/oder im Zusammenhang mit dem Emailverkehr der Beschwerdeführerin auf der oben angeführten Emailadresse ergeben haben, sind keinesfalls sämtliche personenbezogenen Daten der Beschwerdeführerin notwendig. Ein solches berechtigtes Interesse besteht jedenfalls nicht für die Korrespondenz, die nach dem römisch 40 2021 auf der personalisierten Emailadresse […] eingelangt ist, insbesondere nicht für die private Korrespondenz der Beschwerdeführerin. Die Beschwerdegegnerin hätte diesbezüglich ein auto reply setzen können und auch müssen. An der beruflichen Korrespondenz, die vor diesem Zeitpunkt auf der vorerwähnten Emailadresse eingelangt ist, mag vielleicht das von der Beschwerdegegnerin angeführte berechtigte Interesse zum damaligen Zeitpunkt bestanden haben, jedoch besteht dieses aufgrund der seither vergangenen Zeit nicht mehr. Sämtliche Kundenaufträge, welche auf der damaligen Korrespondenz beruhen, sind mittlerweile abgewickelt bzw. in das System der Beschwerdegegnerin eingespeist worden. Die personenbezogenen Daten der Beschwerdeführerin sind daher für die Abwicklung nicht mehr notwendig.“
2. Beweiswürdigung:
2.1. Die Feststellungen unter 1.1. gründen sich auf die diesbezüglich nicht strittigen Angaben der Parteien im Zuge des Verfahrens.
2.2. Die Feststellungen unter 1.2. basieren auf den Angaben der Parteien und dem Verwaltungs- und Gerichtsakt sowie den diesbezüglichen Eingaben der Parteien:
Die Emails, die unter 1.2.a) – c) dargestellt wurden, wurden von der BF im Laufe des verwaltungsbehördlichen Verfahrens vorgelegt, um zu belegen, dass die mP den Emailaccount der BF sichten und entsprechende Daten verarbeiten würde. Insoferne sind diese Feststellungen nicht weiter strittig.
Dass es sich bei der Emailnachricht unter 1.2.c) um eine solche in einem beruflichen Kontext handelt, und nicht um eine solche aus einem privaten Kontext der BF, wie die Emails 1.2. a) und b), ergibt sich aus dem Inhalt des Emails vom römisch 40 2021. Die Feststellung zum Absender des Emails vom römisch 40 2021 beruht auf einer Nachschau des erkennenden Senats auf der Website der römisch 40 .
Die Feststellung, dass der Emailaccount der BF durch die mP Ende April 2021 deaktiviert und am römisch 40 2021 gelöscht wurde, ergibt sich aus den diesbezüglich gleichbleibenden und nachvollziehbaren Angaben der mP im Laufe des Verfahrens. Hinweise darauf, dass der Emailaccount mit römisch 40 2021 nicht gelöscht worden sein soll, haben sich im Verfahren nicht ergeben. Dass der Account und die Inhalte gelöscht wurden, findet auch Bestätigung in der Darstellung über die übliche Vorgehensweise der IT Abteilung des (Mutter-) Unternehmens. Diesbezügliche wiederholte Zweifel der BF im Laufe des Verfahrens bleiben unsubstantiierte Mutmaßungen.
Die Feststellungen zum üblichen Vorgehen der mP bzw. der IT Abteilung ihrer Muttergesellschaft in Bezug auf Emailaccounts von ehemaligen Dienstnehmer:innen beruht auf einem Schreiben aus der IT Abteilung der römisch 40 (ohne Datum), das im Rahmen der mündlichen Beschwerdeverhandlung am römisch 40 2023 vorgelegt und in deutscher Übersetzung den Parteien zugekommen ist. Zweifel am Inhalt des Schreibens haben sich nicht ergeben. Insoweit aus der Stellungnahme der BF vom römisch 40 2023 Zweifel daran hervorgehen, ob bei einer Migration im Jahr 2022 tatsächlich alle Daten gelöscht wurden, wird darauf hingewiesen, dass davon ausgegangen wird, dass der Emailaccount mit den entsprechenden Daten die BF betreffend bereits am römisch 40 2021 gelöscht wurde, weshalb es keine Rolle spielt, ob bei einer Änderung der Serverumgebung jedenfalls die Daten gelöscht worden wären.
Die Feststellungen dazu, dass die mP den Eingang in den Emailaccount der BF sichtete, zu welchen Zwecken dies geschah, und zur Weiterleitung des Emails vom römisch 40 2021 beruht auf den diesbezüglich glaubhaften und nachvollziehbaren Angaben insbesondere der mP im Verfahren. Insoweit die BF der mP eine darüberhinausgehende Nutzung des Emailaccounts, auch zu anderen, nicht näher konkretisierten, Zwecken vorwirft, bleiben diese Vorbringen unbegründet und nicht nachvollziehbar. Konkrete Hinweise darauf, dass die mP im Namen der BF Emails von dem Account verschickt haben soll, sich in sonstiger Weise Daten und Inhalte zu eigen gemacht haben soll oder ungebührlich private Nachrichten gesichtet haben soll, kamen im Verfahren nicht hervor. Belege dafür, dass die mP nach Ende des Dienstverhältnisses private Nachrichten der BF über das Notwendige hinaus, um festzustellen, ob es sich um berufliche oder andere Nachrichten handelt, durchgesehen und zB an Dritte weitergeleitet hat, wurden nicht eingebracht. Bei den von der BF im Verfahren vorgelegten privaten Emails an sie handelte es sich um zwei vom gleichen Absender, die im Jänner und im März 2021 an den Account gesendet wurden. Auch in der mündlichen Verhandlung bleibt die BF zu sonstigen privaten Emails unkonkret.
2.3. Eine Feststellung zur Frage, ob es eine Dienstanweisung gegen die private Nutzung des beruflichen Emailaccounts gab oder nicht, erfolgt nicht, da sie für die datenschutzrechtliche Einschätzung im Endeffekt unerheblich ist. Demnach waren auch die zu diesem Beweisthema angebotenen Zeugen nicht einzuvernehmen.
2.4. Die Feststellung zu oben 1.3. beruht auf der Aktenvorlage der DSB zur GZ römisch 40 .
2.5. Die Feststellungen zu oben 1.4. gründen sich auf die Eingaben der mP im verwaltungsbehördlichen Verfahren, die im Verwaltungsakt aufliegen und den Parteien bekannt sind.
2.6. Die Feststellung zu oben 1.5. ergibt sich aus den Angaben der BF im Verfahren, die zwar darauf verweist, dass die mP auf ihrer Facebook Seite auch Mitarbeiter:innen abbilden würde und dazu auch mit der Beschwerde einen Screenshot vorlegte; dass aber Daten der BF derart verarbeitet worden sein sollen, bringt die BF selbst nicht vor und ergibt sich auch nicht aus den vorgelegten Unterlagen.
2.7. Die Feststellung zu 1.6. ergibt sich aus den Vorbringen der Parteien, insbesondere der mP. Wenn die BF vorbringt, die mP würde „offensichtlich“ Daten auch für andere als die genannten Zwecke verarbeiten, so bleibt dies eine nicht nachvollziehbare und nicht weiter begründete Mutmaßung der BF, die nicht in der Lage ist, das entsprechende Vorbringen der mP zu erschüttern.
2.8. Die Feststellung unter oben 1.7. beruht auf dem Verwaltungsakt und dem dort befindlichen Schreiben der BF an die mP vom römisch 40 2021. Sie ist nicht strittig.
2.9. Die Feststellung unter oben 1.8. beruht auf dem Verwaltungsakt und der dort befindlichen Stellungnahme der BF vom römisch 40 2021. Sie ist nicht strittig.
2.10. Die BF übermittelte mit Schriftsatz vom römisch 40 2023 drei Einwendungen zum Langprotokoll der Verhandlung vom römisch 40 2023, wonach in drei Formulierungen sinnentstellende Grammatik- und/oder Übertragungsfehler bestünden, die zu berichtigen seien.
Die gerügten Passagen im Langprotokoll (auf Sitzung 6., 2. Absatz, Sitzung 11, 4 Absatz und (richtig) Sitzung 15, 6. Absatz) spielen allerdings weder für die Sachverhaltsfeststellungen noch für die rechtliche Beurteilung eine Rolle, weswegen von einer allfälligen Berichtigung Abstand genommen wurde.
Nur ergänzend wird ausgeführt, dass eine nochmalige Kontrolle der Tonbandaufzeichnung der Verhandlung am römisch 40 2023 zu den Passagen im Langprotokoll auf Sitzung 6., 2. Absatz, Sitzung 11, 4. Absatz und (richtig) Sitzung 15, 6. Absatz durch die vorsitzende Richterin bestätigt hat, dass die Aufzeichnung richtig übertragen wurde.
3. Rechtliche Beurteilung:
Zu A)
Das vorliegende Beschwerdeverfahren betrifft die Frage der Weiterverarbeitung von personenbezogenen Daten der BF durch ihre ehemalige Dienstgeberin nach dem Ausspruch der Kündigung und nach Beendigung des Dienstverhältnisses, wobei es zwar allgemein um personenbezogene Daten der BF geht, aber in erster Linie um solche, die im Kontext ihres beruflichen Emailaccounts verwendet wurden.
Die BF rügt in ihrer Datenschutzbeschwerde dazu eine
- Verletzung von Informationspflichten nach Artikel 13, DSGVO,
- Verletzung in den Rechten auf Auskunft (Artikel 15, DSGVO), Datenübertragbarkeit (Artikel 20, DSGVO), Löschung (Artikel 17, DSGVO) und Einschränkung der Verarbeitung (Artikel 18, DSGVO),
- eine Verletzung im Recht auf Geheimhaltung (Paragraph eins, DSG), insbesondere im Lichte des Artikel 5, Absatz eins, Litera a, DSGVO (Rechtmäßigkeit der Verarbeitung) und des Artikel 5, Absatz eins, Litera c, DSGVO (Datenminimierung) in Bezug auf die Weiternutzung des beruflichen Emailaccounts durch die mP und im Lichte von privaten Emails der BF in diesem Account, nach Beendigung des Dienstverhältnisses.
Dazu führt der erkennende Senat aus wie folgt:
3.1. Verletzung von Informationspflichten:
Artikel 13 und 14 DSGVO sehen vor wie folgt:
Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.
Artikel 14: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) die Kategorien personenbezogener Daten, die verarbeitet werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
a) die betroffene Person bereits über die Informationen verfügt,
b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
Die BF bringt in ihrer Beschwerde zum Recht auf Information vor, bereits nach dem Schreiben der mP im Mai 2021 mitgeteilt zu haben, dass sie weiterhin über keine Informationen gemäß Artikel 13, Absatz eins, Litera c,, Litera e,, Litera f,, Absatz 2, Litera a,, Litera b und Litera f, DSGVO verfüge.
Den Feststellungen ist allerdings zu entnehmen, dass die mP in ihren Schreiben vom römisch 40 und römisch 40 2021 über die Zwecke der Verarbeitung (Artikel 13, Absatz eins, Litera c, DSGVO), die Empfänger:innen bzw. Kategorien von Empfänger:innen (Artikel 13, Absatz eins, Litera e, DSGVO), die geplante Speicherdauer (Artikel 13, Absatz 2, Litera a, DSGVO) und die Betroffenenrechte (Artikel 13, Absatz 2, Litera b, DSGVO) informierte.
Wie die DSB richtig feststellt, gibt es keine Hinweise darauf, dass die mP eine Datenübermittlung im Sinne des Artikel 13, Absatz eins, Litera f, DSGVO (an Empfänger:innen in einem Drittland oder an eine internationale Organisation) beabsichtigte oder beabsichtigt. Falls der:die Verantwortliche die personenbezogenen Daten an eine:n Empfänger:in in einem Drittland oder eine internationale Organisation übermitteln möchte, ist die betroffene Person hierüber aufzuklären vergleiche auch Illibauer in Knyrim, DatKomm Artikel 13, DSGVO (Stand 1.12.2021, rdb.at), RZ 38). Das Fehlen einer entsprechenden Information kann gegenständlich damit erklärt werden, dass eine solche Absicht der mP nicht vorliegt.
Dass die mP Fotos oder andere Daten der BF über Facebook veröffentlichen oder in sonstiger Form Google zur Verfügung stellen würde, wurde weder konkretisiert vorgebracht, noch ergab es sich sonst aus dem Verfahren. Eine Informationspflicht der mP zu einer diesbezüglichen Übermittlung von Daten in ein Drittland kann daher gegenständlich nicht angenommen werden. Insoweit die BF dazu eine Datenschutzerklärung der mP von deren Website mit Stand römisch 40 2022 vorlegt, beziehen sich die darin vorkommenden Absätze zu Google Analytics, Youtube und Facebook auf die mit diesen Anbietern verknüpften Komponenten auf der Website der mP. Eine Verarbeitung personenbezogener Daten der BF durch die mP auf der Website der mP wird nicht vorgebracht und ist auch nicht im Verfahren hervorgekommen.
Gemäß Artikel 13, Absatz 2, Litera f, DSGVO ist über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22, Absatz eins und 4 zu informieren, also dann, wenn diese gegenüber der betroffenen Person eine rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt bzw. wenn sich diese auf besondere Kategorien personenbezogener Daten gemäß Artikel 9, Absatz eins, stützt vergleiche Illibauer in Knyrim, DatKomm Artikel 13, DSGVO (Stand 1.12.2021, rdb.at), RZ 54). Hinweise darauf, dass die mP personenbezogene Daten der BF für eine automatisierte Entscheidungsfindung im obigen Sinne heranziehen würde, haben sich im Verfahren nicht ergeben und werden auch von der BF nicht behauptet. Eine Verpflichtung für eine entsprechende Information besteht daher nicht.
Demnach wurden auch die Informationen gemäß Artikel 13, Absatz eins, Litera c,, Litera e,, Absatz 2, Litera a und Litera b, DSGVO durch die mP erteilt bzw. mussten durch die mP in Bezug auf Artikel 13, Absatz eins, Litera f,, Absatz 2, Litera f, DSGVO nicht erteilt werden.
In sinngemäßer Anwendung der Rechtsprechung des BVwG zum Auskunftsrecht dazu, dass ein Recht auf Feststellung, dass gewisse Informationen womöglich außerhalb der (Regel-) Frist von Artikel 12, Absatz 3, DSGVO beauskunftet wurden, aus der DSGVO nicht ableitbar ist vergleiche BVwG 31.01.2020, GZ: W258 2226305-1, vergleiche BVwG 11.07.2022, GZ W214 2251176), ist die Beschwerde zu diesem Punkt abzuweisen vergleiche BVwG 07.09.2023, GZ W287 2256190).
3.2. Verletzung im Recht auf a) Auskunft (Artikel 15, DSGVO), b) Datenübertragbarkeit (Artikel 20, DSGVO), c) Löschung (Artikel 17, DSGVO) und d) Einschränkung der Verarbeitung (Artikel 18, DSGVO)
a) Auskunft (Artikel 15, DSGVO):
Mit Schreiben vom römisch 40 2021 beantragte die BF eine datenschutzrechtliche Auskunft nach Artikel 15, DSGVO von der mP. Mit Schreiben vom römisch 40 2021 erteilte die mP in Antwort auf das Auskunftsbegehren vom römisch 40 2021 eine Auskunft. Die BF rügt, dass die erteilte Auskunft mangelhaft ist. Zu dieser Rüge – demnach zur Frage, ob die Auskunft ausreichend und mängelfrei erteilt wurde – eröffnete die DSB ein eigenes Beschwerdeverfahren zur GZ römisch 40 , zu dem es noch keine Entscheidung der Behörde gibt.
Die DSB wertete die inhaltliche Rüge der BF zur erteilten Auskunft als eine neue Eingabe, weil sich damit das Wesen der Beschwerde von „eine Auskunft wurde nicht erteilt“ zu „eine Auskunft wurde mangelhaft erteilt“ geändert hat, weshalb sie diesen Teil der Beschwerde im gegenständlichen Verfahren mit Verweis auf das neue Verfahren dazu abwies.
Die BF bringt in ihrer Beschwerde vor, die DSB hätte die Auskunftserteilung rechtlich würdigen und der Beschwerde wegen verspäteter, mangelhafter und unvollständiger Auskunftserteilung stattgeben müssen. Mit diesem Vorbringen geht aber die BF über die Sache des gegenständlichen Beschwerdeverfahrens hinaus: gegenständlich wies die DSB die Beschwerde in Bezug auf die Nichterteilung der Auskunft nach Artikel 15, DSGVO unter Berücksichtigung des Paragraph 24, Absatz 6, DSG ab, womit sich aber die „Sache“ der dem BVwG zugewiesenen Beschwerdeangelegenheit diesbezüglich abgrenzt. Dem Vorgehen der DSB, die Beschwerde zur Nichterteilung der Auskunft wegen einer Nachholung im behördlichen Verfahren abzuweisen, ist seitens des erkennenden Senats nicht entgegen zu treten. Die BF ist aber trotzdem nicht in ihren Beschwerderechten und ihrem Rechtsschutzinteresse eingeschränkt, da ihre Rügen zur Mangelhaftigkeit der erteilten Auskunft nach wie vor behördlich anhängig sind und gegen eine allfällige nicht oder nur teilweise stattgebende Entscheidung der DSB noch ein Rechtsmittel an das BVwG offen steht.
b) Datenübertragbarkeit:
Artikel 20, DSGVO lautet:
Artikel 20: Recht auf Datenübertragbarkeit
(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
(2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
(3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
(4) Das Recht gemäß Absatz 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Mit dem neu eingeführten Recht auf Datenübertragbarkeit (auch Datenportabilität genannt) verschafft die DSGVO der betroffenen Person eine bessere Kontrolle über ihre durch eine:n Verantwortliche:n mit automatischen Mitteln verarbeiteten Daten, und zwar dadurch, dass sie selbst Zugriff auf die Daten bekommt vergleiche ErwGr 68 S 1). Voraussetzung ist, dass die Daten auf Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden. Das Recht beinhaltet, selbst bereit gestellte Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und allenfalls einem:einer anderen Verantwortlichen zu übermitteln sowie auch eine direkte Übermittlung an eine:n andere:n Verantwortliche:n zu verlangen. Streng genommen räumt Artikel 20, kein Recht auf Übertragung der Daten, sondern auf Herausgabe ein. Dies hat das Recht auf Datenübertragbarkeit mit dem Auskunftsrecht gemein, allerdings ist bei Letzterem die betroffene Person an das vom:von der Verantwortlichen gewählte Format gebunden und es erfasst außerdem nicht nur jene Daten, welche die betroffene Person bereitgestellt hat (s Artikel 15, Rz 3). Auskunftsrecht und Recht auf Datenübertragbarkeit stehen selbständig nebeneinander. Ein weiterer Aspekt des Rechts auf Datenübertragbarkeit ist, den:die Diensteanbieter:in leicht wechseln zu können (also etwa von E-Mail-Anbieter:in A zu E-Mail-Anbieter:in B zu wechseln, ohne auf alte Mails verzichten zu müssen, oder von Bank A zu Bank B unter Mitnahme der Überweisungsvorlagen). Dies soll auch wettbewerbsfördernd wirken und „Lock-in-Effekte“ vermeiden. Der DS-GVO-E(KOM) hatte die Sozialen Netzwerke als primären Adressaten der Bestimmung vor Augen.
Die betroffene Person hat die Daten selbst bereitgestellt. Darunter sind zunächst jene Daten zu verstehen, welche die betroffene Person aktiv und wissentlich dem:der Verantwortlichen übermittelt hat (zB Daten, die bei der Kontoeröffnung angegeben werden, hochgeladene Bilder in sozialen Medien, Kontaktlisten des Webmail-Kontos). Nach Auffassung der Artikel-29-Datenschutzgruppe umfasst das Recht aber auch jene Daten, die durch Nutzung des Dienstes des:der Verantwortlichen oder durch Beobachtung angefallen bzw generiert worden sind. Anders formuliert: Erforderlich ist ein von der betroffenen Person wissentlich gesetztes Verhalten, welches zu den Daten führt; zB Rohdaten von Smart Metern, Logfiles, Standort- und Verkehrsdaten bei Telefonie, Bankverbindungsdaten eingehender Überweisungen, Suchverläufe, Musik-Wiedergabelisten eines Streaming-Diensts, Bestellverläufe, Daten, die von Fitnesstracker oder einem vernetzten Fahrzeug aufgezeichnet werden udgl. Im Beschäftigungskontext könnten dies etwa Bewerbungsunterlagen, dienstliche E-Mails und elektronische Zeitaufzeichnungen sein vergleiche zu den beiden obigen Absätzen Haidinger in Knyrim, DatKomm Artikel 20, DSGVO (Stand 1.12.2022, rdb.at).
Aus der gerade dargestellten Kommentierung ergibt sich demnach, dass der eigentliche Anwendungsbereich des Rechts auf Datenübertragbarkeit die die betroffene Person betreffenden Daten sind, die sie einem:einer Verantwortlichen bereitgestellt hat, und zwar mit ihrer Einwilligung oder auf Vertrag beruhend. Diese soll sie im Sinne der Ermöglichung und Erleichterung eines Anbieterwechsels übermittelt bekommen können.
In Hinblick auf die Emailkorrespondenz richtet sich das ursprüngliche Begehren der BF vom römisch 40 2021 auf die Korrespondenz (privat und beruflich), die auf dem Emailaccount gespeichert ist. Die DSB führte im angefochtenen Bescheid insbesondere zu den beruflichen Emails aus, dass die Übermittlung der beruflichen Emails die Rechte der mP, zB iZm Geschäftskontakten und Rechnungsdaten, insbesondere vor dem Hintergrund, dass die BF nunmehr in einem Konkurrenzunternehmen zur mP tätig ist, iSd Artikel 20, Absatz 4, DSGVO schwer beeinträchtigen würde. In ihrer Beschwerde gegen den Bescheid gab die BF an, diese Argumentation nachvollziehen zu können; sie treffe aber nicht auf private, insbesondere jene privaten von der BF verfassten, Emails zu: diese würden Rechte und Freiheiten der mP, aber auch jene der Emailempfänger:innen, nicht beeinträchtigen.
Dabei übersieht die BF aber, dass in Bezug auf die von ihr auf der personalisierten Emailadresse bei der mP verfassten privaten Emails nicht davon ausgegangen werden kann, dass die BF diese im Sinne der Bestimmung der mP als Verantwortliche „bereitgestellt“ hat: wenngleich rein technisch durch die Nutzung des Emailaccounts der mP eine quasi automatische Bereitstellung der Daten an die mP erfolgte, handelt es sich dabei um keine Daten, die die mP in irgendeiner sonstigen Weise verarbeitet noch verarbeiten will, noch der BF diesbezüglich einen Dienst zu Verfügung stellt, noch im eigentlichen Sinne einen solchen Dienst – für private Emails – zur Verfügung stellen will: die BF nutzte für private Emails die technische Infrastruktur der mP; dass damit die mP aber zur Verantwortlichen für diese privaten Daten wird, die ihr durch die BF im Sinne des Artikel 20, DSGVO „bereitgestellt“ worden sein sollen, kann nicht angenommen werden.
Ein Recht auf Datenübertragbarkeit der von der BF verfassten privaten Emails aus dem Emailaccount bei der mP besteht demnach nicht.
Die BF bringt in ihrer Beschwerde aber außerdem vor, dass sie nicht nur eine Datenübertragung von (privaten und beruflichen) Emails beantragt habe, sondern sich ihr diesbezügliches Begehren grundsätzlich auf die personenbezogenen Daten der BF beziehen würde.
Beim Recht auf Datenübertragung gemäß Artikel 20, DSGVO handelt es sich um ein antragsbedürftiges Recht, der:die Betroffene muss also einen Antrag an den:die Verantwortliche:n richten, um dieses Recht ausüben zu können. Aus Artikel 20, in Verbindung mit Artikel 12, DSGVO lässt sich keine selbständige Verpflichtung der mP, Daten unaufgefordert zur Verfügung zu stellen, ableiten (so auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Artikel 77, DSGVO (Stand 1.12.2020, rdb.at) Rz 15 und 16). Die betroffene Person wird zur Geltendmachung ihres Begehrens darlegen müssen, dass die Daten, die sie übertragen lassen möchte, von ihr bereitgestellt wurden und sie betreffen, dass ihre Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und dass sie automatisch verarbeitet werden vergleiche Kamann/Braun in Ehmann/Selmayr, DS-GVO, 2018, Artikel 20,, RZ 41).
Der BF ist im Lichte der gerade dargestellten Kommentierung zu diesem Beschwerdepunkt zu sagen, dass ihr diesbezüglicher Antrag vom römisch 40 2021 kein ausreichend konkretisiertes Begehren auf Datenübertragbarkeit nach Artikel 20, DSGVO für andere Daten als die Emails enthält. Dieser Antrag vom römisch 40 2021 führt nur aus, dass die personenbezogenen Daten der BF, insbesondere deren Korrespondenz (privat und beruflich), welche auf den vorerwähnten Emailaccounts gespeichert sind, in einem strukturierten, gängigen und maschinelesbaren Format zu übermitteln sind. Abgesehen von der Korrespondenz über den Emailaccount werden die Daten, die übermittelt werden sollen, nicht dahingehend konkretisiert, dass entweder von der BF angegeben wird oder für die mP feststellbar ist, dass es sich dabei um die BF betreffende und von ihr bereitgestellte, auf Grundlage eines Vertrags oder einer Einwilligung automatisch verarbeitete Daten handeln würde. Dass dem diesbezüglich nicht ausreichend präzisierten Begehren der BF durch die mP nicht nachgekommen wurde, und auch die DSB sich dieser Frage nicht näher zugewandt hat, ist daher nachvollziehbar und kann weder der mP noch der DSB zum Vorwurf gemacht werden.
c) Löschung:
Artikel 17, DSGVO lautet:
Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden“)
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zum Emailaccount: Wie den Feststellungen zu entnehmen ist, wurde der personalisierte Emailaccount bei der mP, den die BF nutzte, bereits mit römisch 40 2021 gelöscht. Dem diesbezüglichen Begehren der BF, die im Übrigen selbst in ihrem Schreiben an die mP vom römisch 40 2021 ausführte, die Emailadresse sei bis zum römisch 40 2021 zu löschen, wurde daher, was den Emailaccount angeht, entsprochen.
Zu den sonstigen Daten: In Bezug auf die sonstigen, das Arbeitsverhältnis der BF bei der mP betreffenden personenbezogenen Daten ist der Beurteilung der DSB im angefochtenen Bescheid nicht entgegenzutreten, dass einer Löschung aller personenbezogenen Daten der BF Aufbewahrungspflichten der mP nach Paragraph 132, BAO und Pflichten der Gewährung von Einsicht gemäß Paragraph 42, Absatz eins, ASVG, und damit rechtliche Verpflichtungen iSv Artikel 17, Absatz 3, Litera b, DSGVO entgegenstehen. Demnach muss zum aktuellen Zeitpunkt auf weitere Gründe, die einer Löschung sonstiger Daten der BF entgegenstehen können, wie zB die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen iSd Artikel 17, Absatz 3, Litera e, DSGVO, nicht weiter eingegangen werden.
d) Einschränkung der Verarbeitung:
Artikel 18: Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
Die BF stützte ihr Begehren einer Einschränkung der Verarbeitung in ihrem Schreiben vom römisch 40 2021 an die mP auf allgemein Artikel 18, DSGVO. In ihrer Behandlung dieses Beschwerdepunktes konzentrierte sich die DSB im angefochtenen Bescheid auf den Tatbestand der Litera b, des Absatz eins, der Bestimmung, wonach eine Einschränkung der Verarbeitung dann verlangt werden kann, wenn die Verarbeitung unrechtmäßig ist, und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt. Der DSB ist im Ergebnis nicht entgegenzutreten, wenn sie ausführt, dass gegenständlich die monierte Verarbeitung nicht objektiv unrechtmäßig war, wie auch gleich weiter unten noch näher ausgeführt wird, und daher ein entsprechender Anspruch der BF gegenüber der mP nicht bestand.
In der Beschwerde moniert die BF in diesem Zusammenhang allerdings weiter, dass sie sich außerdem auf den Tatbestand der Litera d, des Absatz eins, des Artikel 18, DSGVO berufen habe, nämlich auf den Fall, dass eine betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21, Absatz eins, DSGVO eingelegt habe, solange noch nicht feststehe, ob die berechtigten Gründe des:der Verantwortlichen gegenüber denen der betroffenen Person überwiegen würden:
Artikel 21, DSGVO lautet:
Widerspruchsrecht
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
(4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
(5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
(6) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Zu diesem Vorbringen der BF ist zu sagen, dass das Widerspruchsrecht des Artikel 21, DSGVO die betroffene Person in die Lage versetzen soll, eine grundsätzlich rechtmäßige Datenverarbeitung aufgrund bestimmter persönlicher Umstände dennoch zu untersagen (ErwGr 69 S 1), sofern der:die Verantwortliche nicht überwiegende (zwingende) Interessen geltend machen kann. Das Widerspruchsrecht soll der Auflösung des Gegensatzes zwischen unterschiedlichen Interessen dienen und spielt daher insbesondere dort eine Rolle, wo der:die Verantwortliche Daten aufgrund berechtigter Interessen iSd Artikel 6, Absatz eins, Litera f, DSGVO verarbeitet. Folge des Widerspruchs ist, dass der:die Verantwortliche die Daten der betroffenen Person im jeweiligen Umfang nicht mehr verarbeiten darf und somit löschen muss.
Artikel 21, kennt grundsätzlich zwei Typen des Widerspruchs: den relativen nach Absatz eins und Absatz 6, sowie den absoluten nach Absatz 2, gegen Direktwerbung.
Das relative Widerspruchsrecht nach Absatz eins, besteht grundsätzlich nur dann, wenn die Daten der betroffenen Person zur Wahrung berechtigter Interessen des:der Verantwortlichen (Artikel 6, Absatz eins, Litera f,) verarbeitet werden. Die betroffene Person muss besondere persönliche Gründe nachweisen, warum die Verarbeitung unzulässig ist. Der:die Verantwortliche kann den Widerspruch ablehnen, wenn er:sie nachweist, dass zwingende schutzwürdige Gründe für die Verarbeitung vorliegen, welche die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Letztere begründen offenbar eo ipso überwiegende zwingende schutzwürde Interessen.
Die betroffene Person muss ihren Anspruch auf Einschränkung dem:der Verantwortlichen gegenüber geltend machen.
Das relative Widerspruchsrecht steht der betroffenen Person unter folgenden Voraussetzungen zu: 1. Es liegen Gründe vor, die sich aus der besonderen Situation der betroffenen Person ergeben und 2. die Verarbeitung (oder das Profiling) erfolgt a) für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Artikel 6, Absatz eins, Litera e,), oder b) zur Wahrung berechtigter Interessen des:der Verantwortlichen oder eines:einer Dritten, sofern nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Artikel 6, Absatz eins, Litera f,).
Die Behauptungs- und Beweislast für das Vorliegen der Voraussetzungen liegt beim:bei der Antragsteller:in. Dementsprechend hat sein:ihr Antrag eine qualifizierte Darlegung zu enthalten, die es dem:der Verantwortlichen ermöglicht, die Voraussetzungen zu prüfen. Zwar gilt auch hier der Erleichterungsgrundsatz, der jedoch nicht dazu führt, dass den:die Verantwortliche:n eine Nachforschungspflicht über noch nicht dargelegte Sondersituationen der betroffenen Person trifft vergleiche zu vorstehenden sieben Absätzen Haidinger in Knyrim, DatKomm Artikel 21, DSGVO (Stand 1.12.2022, rdb.at)).
Demnach ist ein Widerspruch gegen die (rechtmäßige) Verarbeitung iSd Artikel 18, Absatz eins, Litera d, DSGVO grundsätzlich begründet an den:die Verantwortliche:n zu richten, damit diese:r in die Lage versetzt wird, sich damit auseinanderzusetzen und gegebenenfalls die (rechtmäßige) Verarbeitung einzuschränken. Dies ist gegenständlich nicht geschehen: in der Stellungnahme der BF im verwaltungsbehördlichen Verfahren vom römisch 40 2021 findet sich dazu der folgende Passus (siehe auch oben die Feststellung unter 1.8.):
„Bislang hatte die Beschwerdeführerin keine Kenntnis vom behaupteten „berechtigten Interesse“ der Beschwerdegegnerin. Gegen dieses wird Widerspruch eingelegt. Die Interessen, Grundrechte und Grundfreiheiten der Beschwerdeführerin überwiegen das Interesse der Beschwerdegegnerin an der Verarbeitung der personenbezogenen Daten der Beschwerdeführerin im Zusammenhang mit der personalisierten Emailadresse […]. Um die vollständige und ordnungsgemäße Abwicklung von Kundenaufträgen mit der Beschwerdegegnerin zu gewährleisten, welche sich aufgrund und/oder im Zusammenhang mit dem Emailverkehr der Beschwerdeführerin auf der oben angeführten Emailadresse ergeben haben, sind keinesfalls sämtliche personenbezogenen Daten der Beschwerdeführerin notwendig. Ein solches berechtigtes Interesse besteht jedenfalls nicht für die Korrespondenz, die nach dem römisch 40 2021 auf der personalisierten Emailadresse […] eingelangt ist, insbesondere nicht für die private Korrespondenz der Beschwerdeführerin. Die Beschwerdegegnerin hätte diesbezüglich ein auto reply setzen können und auch müssen. An der beruflichen Korrespondenz, die vor diesem Zeitpunkt auf der vorerwähnten Emailadresse eingelangt ist, mag vielleicht das von der Beschwerdegegnerin angeführte berechtigte Interesse zum damaligen Zeitpunkt bestanden haben, jedoch besteht dieses aufgrund der seither vergangenen Zeit nicht mehr. Sämtliche Kundenaufträge, welche auf der damaligen Korrespondenz beruhen, sind mittlerweile abgewickelt bzw. in das System der Beschwerdegegnerin eingespeist worden. Die personenbezogenen Daten der Beschwerdeführerin sind daher für die Abwicklung nicht mehr notwendig.“
Ein entsprechender Widerspruch iSd Artikel 21, DSGVO wurde demnach bereits nicht, wie vorgesehen, an die mP als Verantwortliche gerichtet, um diese überhaupt in die Lage zu versetzen, ihm gegebenenfalls Folge zu leisten. Einen solchen Widerspruch im verwaltungsbehördlichen Verfahren im Wege einer Replik am römisch 40 2021 nachzuholen, kann schon deshalb nicht zum Erfolg führen, da die im Widerspruch explizit als davon betroffen genannte Emailkorrespondenz zu diesem Zeitpunkt bereits gelöscht war, weshalb ein Widerspruch gegen eine Verarbeitung im Kontext der Emailkorrespondenz nicht mehr zielführend iSd Betroffenenrechte sein konnte.
Darüber hinaus stellt die im Schriftsatz weiter vorgenommene Begründung für den Widerspruch keine Darlegung der besonderen Umstände der BF dar, die gegen eine rechtmäßige Verarbeitung durch die mP sprechen würden, sondern richten sich allgemein gegen die Einstufung der Interessen der mP an einer Verarbeitung als „berechtigte“, womit den Anforderungen eines Antrags nach Artikel 21, Absatz eins, DSGVO auch deshalb nicht Genüge getan wurde.
Da aber kein Widerspruch nach Artikel 21, DSGVO eingelegt wurde, geht eine Berufung auf eine Einschränkung einer Verarbeitung nach Artikel 18, Absatz eins, Litera d, DSGVO fehl.
Im Ergebnis sind daher die Beschwerdepunkte zu einer gerügten Verletzung im Recht auf Auskunft, im Recht auf Datenübertragbarkeit, im Recht auf Löschung und im Recht auf Einschränkung der Verarbeitung abzuweisen.
3.3. Verletzung im Recht auf Geheimhaltung:
Paragraph eins, DSG lautet:
Grundrecht auf Datenschutz
Paragraph eins, (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
(4) Beschränkungen der Rechte nach Absatz 3, sind nur unter den in Absatz 2, genannten Voraussetzungen zulässig.
Artikel 6, DSGVO lautet soweit wesentlich:
Artikel 6 Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; […]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. […]
Zum Emailaccount und zu den Emailnachrichten:
Aus allen ihren Eingaben erkennbar geht es der BF in erster Linie in diesem Beschwerdeverfahren um die Frage der Verarbeitung von personenbezogenen Daten im Zusammenhang mit ihrem personalisierten Emailaccount bei der mP.
Die mP stellte der BF eine personalisierte Emailadresse zur Verfügung, die diese während ihres Dienstverhältnisses bei der mP für berufliche und private Zwecke nutzte. Das Dienstverhältnis endete mit dem römisch 40 2021. Der Emailaccount wurde bis April 2021 deaktiviert, und am römisch 40 2021 gelöscht.
Verarbeitungsvorgänge durch die mP in der Zeit nach dem Ende des Dienstverhältnisses waren die Sichtung des Eingangs des Emailaccounts, der auf die BF personalisiert war, sowie die Weiterleitung von zumindest einem Email, das einen beruflichen Kontext aufwies, am römisch 40 2021. Es wurde für diesen Account keine auto reply oder Abwesenheitsmitteilung eingerichtet. Es gingen jedenfalls zwei private Emails der BF auf die Emailadresse ein, eines im Jänner 2021 und eines am römisch 40 2021.
Dass seitens der mP als Dienstgeberin, die ein Transportunternehmen führt und mit Kundenkontakten zu tun hat sowie Kundenaufträge abwickelt, ein Interesse daran besteht, wichtige Kommunikation und Korrespondenz iZm der Abwicklung von Kundenaufträgen nicht zu verpassen, wenn eine langjährige Dienstnehmerin das Unternehmen verlässt, steht für den erkennenden Senat nicht in Frage.
Es handelt sich dabei auch um ein jedenfalls berechtigtes Interesse der mP iSd Artikel 6, Absatz eins, Litera f, DSGVO: Der OGH führt in einer einschlägigen rezenten Entscheidung vom 28.06.2023, 6 ObA 1/22y, dazu aus, dass die Verarbeitung personenbezogener Daten nach Artikel 6, Absatz eins, Litera f, DSGVO unter drei kumulativen Voraussetzungen zulässig ist. Erstens muss von dem:der für die Verarbeitung Verantwortlichen oder von einem:einer Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Ein Indiz für das Überwiegen der Interessen, Grundrechte und Grundfreiheiten des:der Betroffenen gegenüber dem Verarbeitungsinteresse des:der Verantwortlichen kann insbesondere darin zu erkennen sein, dass die Datenverarbeitung in einem Kontext erfolgt, in dem ein:e Betroffene:r vernünftigerweise nicht mit einer Verarbeitung rechnen muss (6 Ob 87/21v [ErwGr 4.3.]).
Zur der Entscheidung konkret zugrundeliegenden Sache führte der OGH weiter aus:
„Das Berufungsgericht sah das berechtigte (wirtschaftliche) Interesse und die Erforderlichkeit der Einsichtnahme in das E-Mail-Konto der Zweitklägerin darin, dass diese zur Aufrechterhaltung des Unternehmensbetriebs der Beklagten nach dem Ausscheiden der Zweitklägerin notwendig war, weil darin Kunden- und Vertragspartnerkommunikation enthalten war. Das diese Auffassung unvertretbar wäre, ist nicht erkennbar. Auch die Revisionen enthalten dazu keine Ausführungen.
Bei der Interessensabwägung ist das Berufungsgericht ohnehin im Sinne der Revisionsausführungen davon ausgegangen, dass die Beklagte ab Erkennbarkeit, dass es sich um private Korrespondenz handle, die weitere Einsicht abbrechen habe müssen. Es erwog jedoch, dass aus der – zunächst als Indiz heranzuziehenden – Absender-E-Mail-Adresse bzw der Person der Absenderin, hier der Erstklägerin, im Falle zweier miteinander kommunizierender Assistentinnen der Geschäftsführung nicht auf den privaten Charakter der Nachrichten zu schließen, sondern im Gegenteil von einer dienstlichen Kommunikation auszugehen gewesen sei. Weder aus dem Vorbringen noch aus den Feststellungen ergebe sich, dass der Geschäftsführer der Beklagten vor Kenntnisnahme des Inhalts der streitgegenständlichen Kommunikation von deren privaten Charakter ausgehen hätte müssen. Gegenteiliges legen auch die Revisionen nicht dar. Soweit deren Argumentation darauf aufbaut, der Geschäftsführer der Beklagten habe in sämtliche private Korrespondenz der Klägerinnen oder in einen von der Zweitklägerin als „privat“ gekennzeichneten E-Mail-Ordner Einsicht genommen, entfernen sie sich von den Feststellungen.
Ausgehend davon, dass im Betrieb der Beklagten Assistentinnen der Geschäftsführung Zugriff auf die E-Mail-Konten ihrer Vorgängerinnen bekamen, weil darin Kommunikation mit Kunden enthalten war und dies auch den Klägerinnen bekannt war, leitete das Berufungsgericht ab, dass diese vernünftigerweise mit einer Einsichtnahme in das E-Mail-Konto der Zweitklägerin zum Zwecke der Fortführung der betrieblichen Kommunikation rechnen hätten müssen, soweit Nachrichten nicht als privat erkennbar gewesen seien.“
In Bezug auf den gegenständlichen Sachverhalt bringt die BF im Verfahren vor, das entsprechende berechtigte Interesse, nämlich die Aufrechterhaltung des Unternehmensbetriebs in Bezug auf Kundeaufträge, hätte auch durch die Einrichtung eines auto replys, wonach Kundinnen und Kunden darüber informiert werden könnten, dass sie sich nunmehr an eine andere Emailadresse zu wenden haben, erfüllt werden können. Diesem Argument wird im gegenständlichen Kontext und Sachverhalt nicht gefolgt: hier geht es im Endeffekt um eine von der Dienstgeberin der Dienstnehmerin in erster Linie zur Abwicklung ihrer dienstlichen Aufgaben zur Verfügung gestellten Emailadresse, die diese auch privat nutzte. Das Interesse der mP besteht darin, bestmöglich den Unternehmensbetrieb und den Kundenkontakt weiter aufrecht zu erhalten und trotz der personellen Veränderung insbesondere für die Kundinnen und Kunden eine möglichst friktionsfreie Auftragsabwicklung zu ermöglichen. Das Interesse der BF liegt iZm der Sichtung des Emailaccounts bis römisch 40 2021 darin, dass ihre personenbezogenen Daten in Form eines Namens in der Emailadresse nicht mehr verwendet und allfällige einlangende private Emails nicht durch die mP datenschutzrechtlich verarbeitet werden. In dieser Konstellation scheint eine kurzfristige Verpflichtung für die mP, besondere Maßnahmen in Form einer durch diese einzurichtende auto reply zu treffen, die einen zusätzlichen Aufwand für Kundinnen und Kunden bedeuten würde, nur um Absender:innen von einlangenden Emails darüber zu informieren, dass die BF nicht mehr in dem Unternehmen tätig ist, unverhältnismäßig. Darüber hinaus kann nach den Feststellungen auch nicht davon ausgegangen werden, dass die weitere Sichtung der Emails über das Ende des Dienstverhältnisses hinaus bis längstens römisch 40 2021 tatsächlich private Emails an die BF betroffen haben. Festgestellt werden konnten nur zwei Eingänge, einer davon explizit als privat betitelt, weshalb bereits eine Sichtung durch die mP nicht mehr angenommen wird. Und auch ein Vorgehen mit Einrichtung einer auto reply hätte den Namen der BF im Rahmen der personalisierten Emailadresse weiter verwendet. Demnach ist für den erkennenden Senat tatsächlich ein berechtigtes Interesse der mP daran, den Emailaccount bis römisch 40 2021 sichten zu können, um Korrespondenz mit Kundinnen und Kunden zu sehen und Kundenaufträge abwickeln zu können, gegeben.
Die Frage ist weiter, wie lange das entsprechende Interesse der mP jenes der BF überwogen hat: war also die datenschutzrechtliche Verarbeitung über das Ende des Dienstverhältnisses hinaus bis römisch 40 2021 noch verhältnismäßig? Dabei handelt es sich um einen Zeitraum von vier Monaten über das Ende des Dienstverhältnisses hinaus, bis der Emailaccount gelöscht wurde; drei Monate, bis er deaktiviert wurde. Für den erkennenden Senat scheint dieser Zeitraum nicht überschießend: dass ein berechtigtes Interesse der mP an der Sichtung der eingehenden Emails auch über die Kündigungsfrist hinaus bestanden hat, ist nachvollziehbar und lässt sich auch dadurch begründen, dass das vorgelegte berufliche Email, das durch die mP weitergeleitet wurde, am römisch 40 2021, und damit nach Ende des Dienstverhältnisses einlangte.
Vor dem Hintergrund der anerkannten und über ein aufgelöstes Vertragsverhältnis nachwirkenden Fürsorge- und Treuepflichten im Arbeitsverhältnis (siehe zB OGH 9ObA 70/15g vom 24.06.2015) lassen sich gegenständlich auch für die Zeit kurz nach Ende eines Dienstverhältnisses hinausgehende berechtigte Interessen der mP, die eine Verarbeitung rechtfertigen können, nicht absprechen. Genauso wie mit zunehmender zeitlicher Entfernung auch nachvertragliche Treuepflichten abnehmen (mutatis mutandis OGH 9Oba 56/11t vom 30.04.2019), nimmt auch ein diesbezügliches berechtigtes Interesse der mP an der weiteren Verarbeitung des Emailaccounts ab, und gewinnen die datenschutzrechtlichen Interessen der betroffenen BF an der Einstellung der Sichtung und Verwendung des Emailaccounts an Bedeutung. Gegenständlich wurden der Emailaccount und die darin enthaltenen personenbezogenen Daten nach ca. drei Monaten nach Ende des Dienstverhältnisses deaktiviert und vier Monate danach gelöscht. In diesen Fristen, drei bis vier Monate nach Ende des Dienstverhältnisses, sieht der erkennende Senat keine unverhältnismäßig lange Wahrnehmung betrieblicher Interessen der mP, die geeignet wäre, aus den berechtigten und überwiegenden Interessen der mP solche zu machen, denen gegenüber jene der BF überwiegen. Dass die mP im Zeitraum nach der Kündigung und nach dem Ende des Dienstverhältnisses bis zur Löschung des Emailaccounts eine ungebührliche und über das Notwendige hinausgehende Sichtung privater Nachrichten der BF vorgenommen hätte, kam im Verfahren nicht hervor.
Schließlich wird hier auch nicht übersehen, dass die BF selbst der mP gegenüber mit ihrem Schreiben vom römisch 40 2021 eine Frist bis spätestens römisch 40 2021 zur Löschung des Emailaccounts bzw. der Emailadresse vortrug. Diese Frist scheint damit aber auch für die BF nicht jedenfalls unverhältnismäßig gewesen zu sein.
Im Übrigen ist der DSB dahingehend beizupflichten, dass die BF grundsätzlich damit rechnen musste, dass ihre ehemalige Dienstgeberin für die weitere Abwicklung von Geschäftsinteressen in den durch sie der BF zur Verfügung gestellten Emailaccount Einsicht nehmen würde, auch über die Kündigungsfrist von vier Wochen hinaus. Die BF war außerdem nicht daran gehindert, während der Kündigungsfrist auf ihren Emailaccount zuzugreifen und private Kontakte zu informieren, private Nachrichten zB an einen privaten Emailaccount weiterzuleiten und dann gegebenenfalls zu löschen. Dass der mP aus dem Faktum, dass die BF dies nicht getan hat, die Verpflichtung übertragen werden soll, möglicherweise für Kundenbeziehungen abträgliche Maßnahmen in der Kommunikation zu setzen, um private Emailkorrespondenzen der BF datenschutzrechtlich zu schützen, scheint nicht statthaft.
Zu den sonstigen Datenverarbeitungen iZm der Abwicklung des Arbeitsverhältnisses und von Aufbewahrungspflichten:
Insoweit die mP sonstige Daten der BF für die Abwicklung des Dienstverhältnisses und im Zuge von Aufbewahrungspflichten speichert und verarbeitet, kann sie sich einerseits auf den Rechtfertigungstatbestand des Artikel 6, Absatz eins, Litera c, DSGVO berufen: Als Beispiele für das Vorliegen einer rechtlichen Verpflichtung führt die Artikel-29-Datenschutzgruppe ua folgende auf: Vorschriften, wonach Arbeitgeber:innen den Sozialversicherungs- oder Steuerbehörden Angaben zu den Löhnen und Gehältern ihrer Beschäftigten mitteilen müssen; Verpflichtung von Finanzinstitutionen, den zuständigen Behörden gegenüber im Rahmen der Vorschriften zur Bekämpfung von Geldwäsche bestimmte verdächtige Transaktionen zu melden; Erhebung von Daten durch eine Behörde im Rahmen der Verhängung von Geldstrafen für Falschparken. Auch gesetzlich normierte Buchhaltungspflichten, Aufzeichnungs- und Aufbewahrungspflichten fallen darunter vergleiche Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Artikel 6, DSGVO (Stand 7.5.2020, rdb.at), RZ 42).
Darüber hinaus bestehen auch Rechtfertigungsgründe iZm der Abwicklung des Dienstverhältnisses aus dem Vertragsverhältnis heraus und demnach gemäß Artikel 6, Absatz , Litera b, DSGVO: Stellt man auf den telos dieses Erlaubnistatbestandes ab, ist davon richtigerweise der gesamte „Lebenszyklus“ eines Vertragsverhältnisses, von der Begründung (zu den vorvertraglichen Maßnahmen) über die Erfüllung bis hin zur Vertragsabwicklung, erfasst vergleiche Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Artikel 6, DSGVO (Stand 7.5.2020, rdb.at), RZ 34).
Ergebnis: Demnach liegt eine Verletzung im Recht auf Geheimhaltung des Paragraph eins, Absatz eins, DSG aufgrund überwiegender berechtigter Interessen der mP an der Verarbeitung in Bezug auf den Emailaccount (Sichtung der Emails und gegebenenfalls Weiterleitung von beruflichen Emails bis längstens römisch 40 2021) sowie in Bezug auf sonstige Daten der BF zum Zwecke der Abwicklung des Arbeitsverhältnisses und aufgrund von Aufbewahrungspflichten nicht vor. Nach der DSGVO sind bzw. waren diese Verarbeitungen auf Basis der Artikel 6, Absatz eins, Litera b,, c und f rechtmäßig.
Zu B) Unzulässigkeit der Revision:
Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
Im Übrigen war eine Beurteilung des Einzelfalls vorzunehmen.
Es war daher spruchgemäß zu entscheiden.
ECLI:AT:BVWG:2023:W211.2261679.1.00