Datenschutzbehörde
25.05.2020
2020-0.191.240
Dieser Bescheid ist rechtskräftig.
GZ: 2020-0.191.240 vom 25.5.2020 (Verfahrenszahl: DSB-D124.1182)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der A***pharma GmbH (Beschwerdeführerin) aus **** U***, vertreten durch die L*** B*** Rechtsanwälte GmbH & Co KG in **** H***, vom 1. August 2019 gegen das Bundesamt für Sicherheit im Gesundheitswesen (Beschwerdegegner, in weiterer Folge auch BASG) wegen Verletzung im Recht auf Geheimhaltung (Paragraph eins, Absatz eins, DSG) wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen.
Rechtsgrundlagen: Artikel 51, Absatz eins,, Artikel 57, Absatz eins, Litera f, sowie Artikel 77, Absatz eins, der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 Sitzung 1; Artikel 16, des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), ABl. Nr. C 202 vom 7.6.2016, Sitzung 1; Artikel 8, der Charta der Grundrechte der Europäischen Union (EU-GRC), ABl. Nr. C 202 vom 7.6.2016, Sitzung 389; Paragraphen eins,, 18 Absatz eins, sowie 24 Absatz eins und Absatz 5, des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF; Paragraphen 62, ff des Arzneimittelgesetzes (AMG), Bundesgesetzblatt Nr. 185 aus 1983, idgF; Paragraphen eins, ff der Arzneimittelbetriebsordnung 2009 (AMBO 2009), Bundesgesetzblatt Teil 2, Nr. 324 aus 2008, idgF; Paragraph 6 a, des Gesundheits- und Ernährungssicherheitsgesetzes (GESG), Bundesgesetzblatt Teil eins, Nr. 63 aus 2002, idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
Vorbringen der Beschwerdeführerin:
1. In ihrer vom 1. August 2019 datierenden und am selben Tag per E-Mail bei der Datenschutzbehörde eingelangten Beschwerde hat die rechtsfreundlich vertretene Beschwerdeführerin (unter Vorlage der Dokumente Beilagen ./A bis ./C) Folgendes vorgebracht: Sie erachte sich durch rechtswidrige Erhebung, Verarbeitung und Offenlegung sowie unterlassene amtswegige Löschung ihrer personenbezogenen Daten durch den Beschwerdegegner seit dem 14. März 2019 in ihrem Recht auf Geheimhaltung personenbezogener Daten gemäß § 1 Abs. 1 DSG verletzt.
2. Die Beschwerdeführerin verfüge über die gewerberechtliche Befugnis gemäß § 116 Abs. 1 Z 5 GewO 1994 zum Großhandel mit Arzneimitteln und Giften sowie über die Bewilligung gemäß § 63 AMG für die Ausübung der Tätigkeit als Arzneimittel-Großhändler. Der Beschwerdegegner habe am 14. März 2019 amtswegig ein außerordentliches - daher unangekündigtes - Betriebsprüfungsverfahren eingeleitet, und sich dabei auf § 68 AMG gestützt. Die Betriebsprüfung habe in den Räumlichkeiten der Beschwerdeführerin stattgefunden. Die behördenseitige Definition des Zwecks der Amtshandlung habe „Überprüfung der Lieferanten- und Kundenqualifizierung, sowie der aktuellen Liste der gehandelten Arzneimittel“ gelautet. Die Inspektoren des Beschwerdegegners hätten jedoch auch eine Begehung der Räumlichkeiten der Beschwerdeführerin durchgeführt, Lichtbilder von Packungen des Arzneimittels „P***“ angefertigt und grundlos angedroht, das Lager der Beschwerdeführerin zu schließen. Der anwesende Prokurist der Beschwerdeführerin, Herr Alfred O***, MSc, sei befragt und unter Verweis auf den Zweck „Kunden- und Lieferantenqualifizierung“ dazu aufgefordert worden, Lieferantenlisten, Kundenlisten und insbesondere verschiedenste Rechnungsunterlagen vorzulegen und dem BASG davon Kopien zu erstellen. Insgesamt habe dies fünf Aktenordner voll mit Unterlagen, welche zum wesentlichen Teil aus Rechnungen bestanden, betroffen. Angesichts der bestehenden „Drucksituation“ seien diese Unterlagen auch an den Beschwerdegegner übergeben worden. Diese Unterlagen seien im Protokoll der Amtshandlung als Anlagen 1 bis 12 verzeichnet worden.
3. Die entsprechenden Angaben seien jedoch tlw. unzutreffend, da auch Rechnungsunterlagen über die E*** Apotheke mitgenommen worden seien, welche nicht aus dem Jahr 2019, sondern bereits aus Dezember 2018 stammten. Schon eine oberflächliche Prüfung, die nicht erfolgt sei, hätte den Inspektoren des Beschwerdegegners gezeigt, dass diese Geschäftsunterlagen (a) nicht im Zusammenhang mit einer arzneimittelrechtlichen Verpflichtung geführt werden und (b) nicht im Rahmen einer § 68 AMG-Betriebsprüfung mitgenommen und ihr Dateninhalt nicht für diesen Zweck verarbeitet hätte werden dürfen. Rechtlich liege eine Missachtung von Parteienrechten der Beschwerdeführerin vor. Die Mitnahme der Geschäftsunterlagen wie auch die Anfertigung von Lichtbildern finde in § 68 AMG keine Deckung. Der eigentliche Zweck der Amtshandlung sei der Beschwerdeführerin bis heute unbekannt, eine entsprechende schriftliche Anfrage habe der Beschwerdegegner nicht beantwortet.
4. Der Beschwerdegegner habe es ferner unterlassen, unmittelbar im Anschluss an die Mitnahme der Geschäftsunterlagen zu prüfen, ob diese Mitnahme vom Zweck der Amtshandlung gedeckt war und gegebenenfalls jene Geschäftsunterlagen zu löschen, für welche dies nicht zutreffe. Diese Verpflichtung ergeben sich aus dem Grundrecht auf Datenschutz selbst, wäre dieses in seiner vertikalen Wirkung doch uneffektiv, wenn eine amtswegige Verpflichtung zur Löschung von nicht erforderlichen sowie rechtsgrundlos verarbeiteten personenbezogenen Daten bestünde.
5. Nach Kenntnisstand der Beschwerdeführerin seien die Geschäftsunterlagen auch Dritten rechtsgrundlos offengelegt bzw. übermittelt worden. Konkret sei eine Übermittlung mittels automatisationsunterstützten Datenverkehrs unter anderem an die Österreichische Apothekerkammer erfolgt. Aus Sicht der Beschwerdeführerin habe der Beschwerdegegner auch hinsichtlich dieser Datenübermittlung ihre Rechte verletzt, da Daten, welche die Behörde nicht verarbeiten durfte, auch nicht an Dritte übermittelt werden dürfen.
6. Seit der Betriebsprüfung vom 14. März 2019 würden Inspektoren des Beschwerdegegners weiters mit bestehenden und potentiellen Geschäftspartnern der Beschwerdeführerin in Kontakt treten (drei konkrete Fälle wurden geschildert) und unter Hinweis auf den „informellen“ Charakter des Gesprächs vor „Problemen“ warnen, die durch Geschäftsbeziehungen mit der Beschwerdeführerin entstehen könnten. Im Zuge dieser Gespräche seien auch personenbezogene Daten der Beschwerdeführerin rechtswidrig übermittelt worden.
7. Die Beschwerdeführerin werde in ihrem Grundrecht auf Datenschutz gemäß § 1 Abs. 1 DSG verletzt (i) durch Anfertigung und anschließende Verarbeitung der Fotos; (ii) durch die Verarbeitung (Mitnahme und Speicherung bzw. Einpflegung in das Aktensystem der Behörde) der Geschäftsunterlagen; (iii) durch die rechtsgrundlose Offenlegung der Geschäftsunterlagen an die Österreichische Apothekerkammer (und allfällige weitere Entitäten); (iv) durch die rechtsgrundlose Offenlegung der Geschäftsunterlagen gegenüber bestehenden sowie potentiell zukünftigen Geschäftspartnern der Beschwerdeführerin; (v) durch die rechtswidrige Mitteilung unrichtiger personenbezogener Daten gegenüber bestehenden als auch potentiellen zukünftigen Geschäftspartnern der Beschwerdeführerin im Zusammenhang mit einer angeblichen Ermittlung gegen die Beschwerdeführerin und des in diesem Zusammenhang zumindest angedeuteten Führens von verwaltungsstrafrechtlichen und/oder strafrechtlichen Verfahren, welche die Beschwerdeführerin betreffen und die Androhung von „Ärger" für die Beschwerdeführerin und/oder deren Geschäftspartner; (vi) durch Unterlassung der Löschung all jener personenbezogene Daten, welche sich - wenn auch erst nach der Amtshandlung vom 14.3.2019 - als unrechtmäßig verarbeitet herausstellten.
8. Die Beschwerdeführerin sei als juristische Person zur Rechtsdurchsetzung ihres subjektiven Rechts auf Datenschutz gemäß § 1 DSG aktivlegitimiert. Bei den Geschäftsunterlagen, die vom Beschwerdegegner verarbeitet würden, handle es sich um personenbezogene Daten der Beschwerdeführerin. Diese werde darin einerseits direkt durch ihre Firma individuell bestimmt und andererseits durch sie indirekt kennzeichnende Merkmale (z.B. Rechnungsnummer, Abkürzungen) bestimmbar. Durch Zuordnung zu einem Akt oder einer eindeutigen elektronischen Nummer werden auch Fotografien zu personenbezogenen Daten der Beschwerdeführerin. Ob auf einer Fotografie eine natürliche Person oder die Firma der Beschwerdeführerin erkennbar ist, sei in diesem Zusammenhang unerheblich.
9. Bei einem Unternehmen wie der Beschwerdeführerin bestehe ein schutzwürdiges Geheimhaltungsinteresse an Geschäftsgeheimnissen, wobei auch Geschäftsunterlagen, welche zwei andere (juristische) Personen untereinander ausgestellt haben, bereits aufgrund der die Beschwerdeführerin treffenden Verpflichtung zur Geheimhaltung derartiger Geschäftsunterlagen schutzwürdig seien.
10. Das Datenschutz-Deregulierungs-Gesetz 2018 habe den einfachgesetzlichen Teil des DSG nicht auf den Schutz natürlicher Personen beschränkt. Selbst wenn dies so wäre, läge eine planwidrige Lücke vor, welche durch Analogieschluss geschlossen werden müsste, da eine Bestimmung, welche die subjektiven Rechte eines Betroffenen im Verfassungsrang schützt, nie ohne Möglichkeit der Durchsetzung verbleiben dürfe.
11. Die Amtshandlung des Beschwerdegegners vom 14. März 2019 sei rechtswidrig gewesen, da eine außerordentliche Betriebsprüfung primär auf die Inspektion von Einrichtungen und Beförderungsmitteln, der Art und Weise der Lagerung und des Transports, wie z.B. der Einhaltung der Kühlkette von Arzneimitteln, abziele. Das Verfahren gemäß § 68 AMG sei kein Verwaltungsstrafverfahren und habe nicht den Zweck, unter Umgehung von Parteirechten eines Verwaltungsstrafverfahrens zusätzliche - sonst nicht erzielbare - Erkundungsbeweise zu ermöglichen. Die Einsichtnahme und das Kopieren sei gesetzlich nur hinsichtlich von Unterlagen zulässig, die nach arzneimittelrechtlichen Bestimmungen zu führen seien. Untere letzteren seien der VII. Abschnitt (§§ 62 bis 71a) des AMG sowie die AMBO 2009 zu verstehen. Bei einer Betriebsprüfung gemäß AMBO 2009 sei insbesondere die Qualitätssicherung bei Lagerung und Vertrieb von Arzneimitteln Gegenstand der Sache. Die Leitlinien der Europäischen Kommission vom 5.11.2013 für die gute Vertriebspraxis von Humanarzneimitteln, welche auf Art. 84 und 85b Abs. 3 der Richtlinie 2001/83 /EG beruhen (GDP-Leitlinien), seien dabei keine direkt anwendbare Rechtsgrundlage. Hinsichtlich des Fotografierens und anderer Beweismittelerhebungen sei außerdem eine Erforderlichkeitsprüfung geboten und wäre datenschutzrechtlich der Grundsatz des gelindesten Mittels anzuwenden gewesen.
12. Es könne anhand arzneimittelrechtlicher Vorschriften, in Hinblick auf Kundenqualifizierungen als auch Lieferantenqualifizierungen sowie den Zweck „Liste der gehandelten Arzneimittel“ seitens des Beschwerdegegners, ausschließlich Einsicht in Unterlagen genommen werden, welche (i) die Identität von Geschäftspartnern wie auch die (ii) gehandelten Arzneimittel mit diesen (jedoch keine Mengenangaben) erfassen. Keinesfalls bestehe eine Berechtigung darüber hinaus. Daher seien Umsatz, das konkrete Geschäftsmodell sowie andere Betriebsinterna, auch innerhalb des Verfahrens gemäß § 68 AMG, vom Grundrecht auf Datenschutz erfasst und geschützt und stelle deren Verarbeitung durch den Beschwerdegegner somit einen rechtswidrigen Eingriff dar.
13. Dies betreffe jedenfalls folgende, für eine § 68 AMG-Betriebsüberprüfung der Beschwerdeführerin (Zweckbindung: „Überprüfung der Lieferanten- und Kundenqualifizierung, sowie der aktuellen Liste der gehandelten Arzneimittel“) nicht notwendige Daten:
a. Anlage 2: Gesamte Inventarliste A***pharma Stichtag 14.3.2019;
b. Anlage 4: Bsp. für die Belieferung aus der F***apotheke (Großhandel) an die A***pharma;
c. Anlage 5: Transportauftragsschreiben für die Abholung bei Apotheken im Namen der E*** Apotheke (Großhandel), 24 Stück *R.1*848*47.1 1*;
d. Anlage 6: Auflistung der Lieferquellen der E*** und der F*** sowie der A***pharma Direkt- Belieferung;
e. Anlage 7: Kopie Logistikvertrag mit F*** Apotheke KG;
f. Anlage 8: Kopie Logistikvertrag mit E*** Apotheke KG;
g. Anlage 9: Kopie Geschäftsvereinbarungen mit E*** Apotheke KG;
h. Anlage 11: Kopie der Unterlagen aller von der E*** Apotheke großhandelsbezogenen Arzneimittel (Jänner bis März 2019);
i. Anlage 12: Kopien der Unterlagen aller von der F*** Apotheke Großhandel bezogenen Arzneimittel (Jänner bis März aus 2019).
14. Wie bereits ausgeführt, habe der Beschwerdegegner die spätestens nach erfolgter Sichtung dieser Unterlagen gebotene amtswegige Datenlöschung rechtswidrig unterlassen.
15. Da § 80 Abs. 1 AMG nur zwecks Gewährleistung der Arzneimittelsicherheit die Übermittlung personenbezogener Daten der Beschwerdeführerin an die in Abs. 3 leg. cit. genannten Empfänger zulasse, trage diese Bestimmung nicht die Übermittlung von Geschäftsinterna der Beschwerdeführerin an die Apothekerkammer.
16. Das Geheimhaltungsrecht gemäß § 1 Abs. 1 DSG würde die Beschwerdeführerin auch vor einer mündlichen Übermittlung ihrer Daten schützen. Daher wären auch die Gespräche von Inspektoren des Beschwerdegegners mit verschiedenen Dritten, unabhängig von der Frage der Richtigkeit oder Unrichtigkeit des Inhalts, Datenübermittlungen, die einer Rechtsgrundlage bedürften, die der Beschwerdegegner darzulegen habe.
17. Die Beschwerdeführerin stellte die Anträge, die Datenschutzbehörde möge „gemäß § 24 DSG per analogiam“ wegen Verletzung des Rechts auf Datenschutz gemäß § 1 DSG,
a. ein Beschwerdeverfahren durchführen,
b. die Rechtswidrigkeit der Verarbeitung der genannten personenbezogenen Daten feststellen, insbesondere die Rechtswidrigkeit der
- Erhebung der Geschäftsunterlagen und deren weiterer Verarbeitung im Zuge der Amtshandlung der Beschwerdegegnerin am 14.3.2019 (in Punkt 5.1.7 der Beschwerde aufgezählt);
- Erhebung im Zuge der Amtshandlung der Beschwerdegegnerin am 14.3.2019 der in Punkt 2.1 genannten Fotos und deren weiterer Verarbeitung; sowie
- Offenlegung personenbezogener Daten aus oder im Zusammenhang mit der Amtshandlung vom 14.3.2019, wie insbesondere durch mündliche Mitteilung oder Vorhalt von Geschäftsunterlagen oder der Andeutung von verwaltungsstrafrechtlichen und /oder strafrechtlichen Sachverhalten im Zusammenhang mit der Androhung von „Ärger“ und unter Namhaftmachung der Firma der Beschwerdeführerin oder ihres vertretungsbefugten Organs gegenüber dritten Datenempfängern wie insbesondere bestehender Geschäftspartner der Beschwerdeführerin;
- Offenlegung personenbezogener Daten aus oder im Zusammenhang mit der Amtshandlung vom 14.3.2019, wie insbesondere durch Behauptung oder Andeutung von verwaltungsstrafrechtlichen und/oder strafrechtlichen Sachverhalten unter Namhaftmachung der Firma der Beschwerdeführerin oder ihres vertretungsbefugten Organs gegenüber dritten Datenempfängern wie insbesondere bestehenden Geschäftspartnern der Beschwerdeführerin.
18. Weiters hat die Beschwerdeführerin angeregt, dem Beschwerdegegner das in Beschwerde gezogene „Verhalten“, insbesondere die Übermittlung der Geschäftsunterlagen, Fotos sowie die vom Punkt b. ihrer Anträge umfassten mündlichen Datenübermittlungen, „gemäß §§ 25 Abs. 1 iVm 22 Abs. 4 erster Fall DSG per analogiam“ zu untersagen.
Vorbringen des Beschwerdegegners:
19. Der Beschwerdegegner, von der Datenschutzbehörde mit Verfahrensanordnung vom 2. August 2019, GZ: DSB-D124.1182/0001-DSB/2019, entsprechend aufgefordert, hielt dem in seiner Stellungnahme vom 30. August 2019 Folgendes entgegen:
20. Der Beschwerdegegner bestritt zunächst die Zulässigkeit des Beschwerdewegs. Die einfachgesetzlichen Bestimmungen des DSG, insbesondere jene, die das Beschwerdeverfahren regeln würden, seien, wie auch die DSGVO selbst, auf den Rechtsschutz natürlicher Personen beschränkt. Daran vermöge auch das Begehren der Beschwerdeführerin, die Bestimmungen des DSG, insbesondere die §§ 24 f DSG, „per analogiam“ anzuwenden, nichts zu ändern.
21. Der Beschwerdegegner sei die gemäß § 6a GESG für die Vollziehung des AMG zuständige Behörde, verantwortlich für die Zulassung, die Verbesserung der Sicherheit von Arzneimitteln, deren Risikoerfassung und -bewertung und die Überwachung des Verkehrs mit diesen. Zur Erreichung der Ziele der Arzneimittelsicherheit sei es dem Beschwerdegegner nicht nur gestattet, sondern sei er auch dazu verpflichtet, personenbezogene Daten zu verarbeiten und Betriebe, die Arzneimittel in Verkehr bringen, darauf zu überprüfen, ob diese die für sie geltenden gesetzlichen Bestimmungen einhalten würden.
22. Ein besonderes Problem der Arzneimittelsicherheit in der Europäischen Union und weltweit würden derzeit in Verkehr gebrachte gefälschte Arzneimittel darstellen. Solche würden minderwertige oder gefälschte oder überhaupt keine Inhaltsstoffe enthalten, oder Inhaltsstoffe, einschließlich Wirkstoffen, die falsch dosiert sind, so dass sie eine erhebliche Bedrohung für die öffentliche Gesundheit darstellen würden. Die bisherige Erfahrung zeige, dass solche gefälschten Arzneimittel nicht nur auf illegalen Wegen, sondern auch über die legale Lieferkette zu den Patienten gelangen würden.
23. Die Verarbeitung von personenbezogenen Daten durch den Beschwerdegegner sei gemäß § 9 Abs. 7 GESG rechtmäßig, sofern die Verarbeitung im Zuge der Vollziehung von gesetzlichen Aufgaben gemäß § 6a GESG erfolge. Datenverarbeitungen zum Zwecke von Betriebsprüfungen seien gemäß § 9 Abs. 7 iVm § 6a Abs. 1 Z 1 GESG iVm § 67 ff iVm § 80 Abs. 1 AMG rechtmäßig. Hinsichtlich solcher Verarbeitungen seien gemäß § 9 Abs. 8 GESG die Rechte und Pflichten gemäß den Art. 13, 14, 18 und 21 DSGVO ausgeschlossen. Gemäß Art. 9 Abs. 2 lit. i DSGVO sei der Beschwerdegegner berechtigt, rechtmäßig personenbezogene Daten (besonderer Kategorien) natürlicher Personen zu verarbeiten, da die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, insbesondere zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei Arzneimitteln, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats erforderlich sei. Dies müsse, aus gleichheitsrechtlichen Erwägungen und ebenfalls „per analogiam“, auch für die Daten einer juristischen Person gelten. Weiters bestehe unter Anwendung der gleichen Erwägungen gemäß Art. 17 Abs. 3 lit. c iVm Art. 9 Abs. 2 lit. i DSGVO eine Ausnahme von der Löschverpflichtung, sofern dies aus den oben genannten Gründen erforderlich sei.
24. Gemäß § 67 AMG habe der Beschwerdegegner das Recht und die Pflicht, Betriebe gemäß § 62 Abs. 1 AMG vor Erteilung einer Bewilligung gemäß § 63 Abs. 1 AMG oder erforderlichenfalls vor Erteilung einer Bewilligung gemäß § 65 Abs. 1 AMG und in der Folge auf Grund einer Risikobewertung periodisch daraufhin zu überprüfen, ob den Bestimmungen des VII. Abschnitts des AMG oder der auf Grund dieses Abschnitts erlassenen Verordnungen entsprochen werde, und die für die Gesundheit und das Leben von Mensch oder Tier erforderliche Beschaffenheit der Arzneimittel oder Wirkstoffe gewährleistet sei. Alle vom Beschwerdegegner verarbeiteten Daten seien zur Beurteilung, ob die Einhaltung hoher Qualitäts- und Sicherheitsstandards bei Arzneimitteln gegeben und die Arzneimittelsicherheit gewährleistet sei, erforderlich gewesen und sohin, im Hinblick auf das öffentliche Interesse an diesen Zielen, rechtmäßig verarbeitet worden.
25. Die Beschwerdeführerin mache zu einem Großteil keine vermeintlichen datenschutzrechtlichen Verstöße geltend macht, sondern moniere (behauptete) Verstöße gegen Verfahrensvorschriften und Sorgfaltspflichten des Beschwerdegegners (gemäß AVG, GESG und AMG, sowie den anwendbaren Verordnungen).
26. Während der von der Beschwerdeführerin in ihrer Beschwerde unter 1. geschilderten Sachverhalt aus Sicht des Beschwerdegegners als zutreffend bestätigt werde, müsse das nachstehende Vorbringen, ausdrücklich bestritten werden:
27. Die Behauptung, wonach der Beschwerdeführerin vor Beginn der Inspektion am 14.3.2019 grundlos angedroht worden wäre, ihr Lager zu schließen, werde ausdrücklich bestritten. Richtig sei, dass von Seiten des Beschwerdegegners Organe des öffentlichen Sicherheitsdienstes verständigt wurden. Dies deshalb, weil die Abklärung der Frage, ob ein Tatbestand der Arzneimittelfälschung iSd § 1 Abs. 25 AMG vorliege, wegen der gerichtlichen Strafbarkeit dieser Handlung in die Zuständigkeit der Sicherheitsbehörde falle. Eine datenschutzrechtliche Relevanz dieser Beiziehung sei jedoch nicht erkennbar.
28. Die Behauptung, der Beschwerdegegner habe die Bediensteten der Beschwerdeführerin in eine „Drucksituation“ gebracht, und dadurch die Herausgabe von Geschäftsunterlagen bewirkt, werde ausdrücklich bestritten. Wie bei einer Betriebsüberprüfung üblich und zulässig (siehe §§ 62 ff AMG, §§ 15, 22, 29 und 30 AMBO), seien zum Beweis für das Einhalten der gesetzlich geforderten Voraussetzungen, Unterlagen – jedoch nur solche, die aufgrund gesetzlicher Verpflichtungen aus dem Vollzugsbereich des Beschwerdegegners von der Beschwerdeführerin zu führen seien – erfragt worden. Dass die Übergabe von Unterlagen zulässig sei, ließ sich der vor Ort anwesende Mitarbeiter der Beschwerdeführerin telefonisch von seinem Geschäftsführer bestätigen. Anschließend sei die Übergabe freiwillig und ohne jegliches, wie auch immer geartetes Zutun der Organe des Beschwerdegegners erfolgt.
29. Es sei weiters nicht richtig, dass Geschäftsunterlagen und die darin enthaltenen Daten ohne jede Prüfung im Hinblick auf den Zweck des Verfahrens und in großer Zahl („fünf Aktenordner“) kopiert, mitgenommen und verarbeitet worden seien. Die Beschwerdeführerin würden Verarbeitungs- im Sinne von Aufzeichnungspflichten treffen. Es handle sich bei der Lieferantenliste der Beschwerdeführerin (Anlage 1 zur Niederschrift) um Daten, welche gemäß §§ 3 Abs. 8 und 9, 15 Abs. 3, 22, 29 und 30 AMBO zu verarbeiten seien. Bei der Inventurliste der Beschwerdeführerin (Anlage 2 zur Niederschrift) handle sich um Daten, welche gem. §§ 15, 22 und 30 AMBO zu verarbeiten seien. Bei der Lieferantenqualifizierung (Anlage 3 zur Niederschrift) handle sich um Daten, welche gemäß §§ 3, 15, 22, 29 und 30 AMBO zu verarbeiten seien. Bei der Rechnung betreffend eine Lieferung von Arzneimitteln an die Beschwerdeführerin (Anlage 4 zur Niederschrift) handle sich um Daten, welche gemäß §§ 3, 15, 22, 29, 30 AMBO zu verarbeiten seien. Beim Transportauftragsschreiben (Anlage 5 zur Niederschrift) handle es sich um Daten, welche gemäß §§ 3, 15, 22, 30 AMBO zu verarbeiten seien. Bei der Lieferantenliste (Anlage 6 zur Niederschrift) handle es sich um Daten, welche gemäß §§ 3 Abs. 8 und 9, 15 Abs. 3, 22, 29 und 30 AMBO zu verarbeiten seien. Beim Logistikvertrag (Anlagen 7 und 8 zur Niederschrift) handle es sich um Daten, welche gemäß §§ 3, 15, 22, 29 und 30 AMBO zu verarbeiten seien. Bei der Geschäftsvereinbarung (Anlage 9 zur Niederschrift) handle es sich um Daten, welche gemäß §§ 3, 15, 22, 29 und 30 AMBO zu verarbeiten seien. Bei den Eingängen von Arzneimitteln (Anlage 10 zur Niederschrift) handle es sich um Daten, welche gemäß §§ 3, 15, 22, 29 und 30 AMBO zu verarbeiten seien. Bei den Rechnungen betreffend bezogener Arzneimittel (Anlagen 11 und 12 zur Niederschrift) handle es sich um Daten, welche gemäß §§ 3, 15, 22, 29 und 30 AMBO zu verarbeiten seien. Die Ermittlung und weitere Verarbeitung durch den Beschwerdegegner sei zunächst mit Einwilligung der Beschwerdeführerin, jedenfalls aber gedeckt durch gesetzliche Ermächtigungen und öffentliche Interessen (Arzneimittelaufsicht, Arzneimittelsicherheit) und in rechtmäßiger Ausübung dem Beschwerdegegner gemäß §§ 63 ff AMG übertragener öffentlicher Gewalt erfolgt.
30. Bei rascher Durchsicht des Dezember-Ordners kurz vor Inspektionsende und nach Nachfrage, ob denn die Arzneimittel im Dezember bei anderen Apotheken als im Jahr 2019 ihren Ursprung hatten, habe diese Frage nicht konkret beantwortet werden können. Es sei korrekt, dass diese weiterführende Datenerfassung keinen Eingang in das Protokoll fand.
31. Es sei jedoch in (analoger) Anwendung der DSGVO grundsätzlich festzuhalten, dass der Beschwerdegegner gemäß Art. 9 Abs. 2 lit. i DSGVO rechtmäßig personenbezogene Daten (besonderer Kategorien) verarbeiten dürfe und diese, sofern für den konkreten Zweck notwendig (öffentliches Interesse im Bereich der öffentlichen Gesundheit), keiner Löschverpflichtung unterliege (vgl. Art. 17 Abs. 3 lit. c iVm Art. 9 Abs. 2 lit. i DSGVO). Die Behauptung, wonach der Beschwerdegegner es unterlassen habe, ex post zu prüfen, ob die Mitnahme - und Verarbeitung - der kopierten Geschäftsunterlagen vom Zweck der Amtshandlung gedeckt sei, werde bestritten. Eine diesbezügliche Prüfung sei umgehend erfolgt.
32. Ergebnis dieser Prüfung sei, wie vom Beschwerdegegner näher dargelegt (Stellungnahme vom 30. August 2019, Seiten 11 bis 15) gewesen, dass die ermittelten Daten und Dokumente in ihrer Mehrheit für den Zweck der laufenden Amtshandlung benötigt wurden. Hinsichtlich der übrigen (Anlagen 2, 11 und 12 zur Niederschrift sowie der Lichtbilder) sei die Löschung verfügt und vollzogen worden.
33. Die Behauptung der Beschwerdeführerin, wonach die Geschäftsunterlagen auch Dritten, u.a. der Österreichischen Apothekerkammer, rechtsgrundlos offengelegt bzw. übermittelt wurden, werde vollinhaltlich bestritten. Das diesbezügliche Vorbringen der Beschwerdeführerin sei weder ausreichend substantiiert, da insbesondere nicht angeführt werde, welche Daten konkret, wann und an wen übermittelt worden sein sollen, noch würden entsprechende Beweise vorgelegt, weshalb eine inhaltliche Stellungnahme dazu nicht möglich sei.
34. Die Behauptung, wonach die Organe des Beschwerdegegners mit potentiellen Geschäftspartnern der Beschwerdeführerin in Kontakt getreten seien, sei nicht nur unrichtig, sondern auch logisch denkunmöglich. Mangels Kenntnis „potentieller“ Geschäftspartner, könne und konnte mit diesen in keiner Art und Weise in Kontakt getreten werden. Zutreffend sei, dass Organe des Beschwerdegegners mit von der Beschwerdeführerin im Zuge der Inspektion vom 14. März 2019 bekannt gegebenen bzw. sich aus den Geschäftsunterlagen ergebenden Geschäftspartnern Kontakt aufgenommen hätten. Diese Kontaktaufnahmen in Form von Inspektionen würden auf der im gesetzlichen Vollzugsbereich des Beschwerdegegners liegenden (weiteren) Pflicht zur Überprüfung beruhen, ob die Beschwerdeführerin oder auch eventuell deren Vertragspartner, eventuell auch durch Anstiftung oder Beihilfe gemäß § 7 VStG, gegen Bestimmungen der AMBO oder des AMG verstoßen und damit Verwaltungsübertretungen begangen hätten. Betreffend den Vorhalt, dass im Zuge der Befragungen die Beschwerdeführerin und deren Organe namhaft gemacht worden seien, und diese „Offenlegung“ ihr (behauptetes) Recht auf Geheimhaltung verletzte, werde erklärt, dass diese Offenlegung tatsächlich erfolgt sei.
35. Die entsprechende Offenlegung habe einerseits nur Daten betroffen, die öffentlich zugänglich seien (z.B. die Firma der Beschwerdeführerin oder der Name ihres Geschäftsführers), zum anderen sei die Offenlegung zur Wahrheitserforschung sowie zur Wahrung der Rechte der an den entsprechenden Amtshandlungen Beteiligten erforderlich gewesen. Die Verarbeitung der Daten der Beschwerdeführerin sei somit zur Erfüllung der rechtlichen Verpflichtungen, der der Beschwerdegegner unterliege, erforderlich gewesen und sei in Ausübung öffentlicher Gewalt erfolgt, die dem Beschwerdegegner übertragen sei. Damit sei sie rechtmäßig erfolgt.
36. Gegen die Beschwerdeführerin werde nach wie vor ein Verfahren nach § 68 AMG geführt. Es bestehe der Verdacht des unzulässigen Verkaufes von Arzneimitteln von einer Apotheke an einen Arzneimittel-Großhändler, was gegen arzneimittelrechtliche Vorschriften verstoße. Es sei daher festzustellen gewesen, inwieweit eine Täterschaft gemäß § 7 VStG vorliege, um gegebenenfalls Anzeige an die zuständige Verwaltungsstrafbehörde zu erstatten. Die Übermittlung einer Anzeige setzte naturgemäß die Schilderung eines konkreten Sachverhaltes voraus.
37. Die Antragslegitimation der Beschwerdeführer als juristische Person werde bestritten, da die DSGVO juristische Personen nicht schütze und eine analoge Anwendung der unionsrechtlichen Vorschriften auf juristische Personen ausscheide. Es werde aber nicht bestritten, dass Geschäftsunterlagen und Fotos personenbezogene Daten darstellen können, jedoch sei deren Verarbeitung rechtmäßig gewesen.
38. Eine Inspektion nach § 68 AMG diene der Überprüfung der Einhaltung sämtlicher arzneimittelrechtlicher Vorschriften und sei nicht auf die Einhaltung der AMBO beschränkt. § 3 Abs. 9 AMBO 2009 verlange, dass jeder Arzneimittel-Großhändler im Fall der Beschaffung eines Arzneimittels bei einem anderen Arzneimittel-Großhändler zu überprüfen habe, ob dieser die gute Vertriebspraxis einhalte. Dies umfasse auch die Überprüfung, ob der liefernde Arzneimittel-Großhändler über eine entsprechende Bewilligung gemäß § 63 Abs. 1 AMG oder über eine entsprechende Bewilligung einer zuständigen Behörde eines anderen EWR-Staates verfüge. Demnach sehe bereits die AMBO 2009 vor, dass nicht nur zu prüfen sei, ob der Liefernde eine entsprechende Bewilligung besitzt, sondern dass auch zu prüfen sei, ob die gute Vertriebspraxis eingehalten werde. Daher gehe die Prüfpflicht über eine bloße Einschau in Register hinaus. Es dürfe, zu Überprüfung der Einhaltung der AMBO 2009, auch Einsicht in alle Unterlagen genommen werden, die Auskunft darüber geben, ob insbesondere §§ 15, 22, 29 und 30 AMBO 2009 eingehalten würden.
39. Eine Datenübermittlung an die Apothekerkammer bzw. an Apotheker sei durch § 80 Abs. 3 Z 4 bzw. Abs. 4 Z 1 AMG gedeckt. Da die Beschwerdeführerin eine derartige Datenübermittlung jedoch nur als Mutmaßung geäußert habe, könne dazu nicht Stellung genommen werden.
Vorbringen der Beschwerdeführerin:
40. Die Beschwerdeführerin replizierte darauf in ihrer Stellungnahme vom 18. November 2019 wie folgt:
41. Der Umfang der ermittelten Daten sei von § 68 AMG nicht gedeckt. Der Beschwerdegegner sei für die Führung von Verwaltungsstrafverfahren nach dem AMG nicht zuständig, habe aber selbst zugegeben, Daten für Zwecke eines Verwaltungsstrafverfahrens ermittelt zu haben. Dies stelle eine Rechtsverletzung dar, weil Daten unzulässigerweise ermittelt worden seien.
42. Der Beschwerdegegner habe angeführt, mehrere Unterlagen amtswegig gelöscht zu haben, womit er zugestanden habe, dass für die Verarbeitung dieser Daten keine Rechtsgrundlage bestehe.
43. Es sei unrichtig, dass ein offenes Verfahren nach § 68 AMG anhängig sei. § 68 Abs. 5 AMG sehe vor, dass der Beschwerdegegner nach Abschluss einer Prüfung ein Zertifikat ausstelle. Derartiges sei bis dato nicht erfolgt, sodass das Verfahren als beendet anzusehen sei.
B. Beschwerdegegenstand
44. Beschwerdegegenstand ist die Frage, ob der Beschwerdegegner die Beschwerdeführerin dadurch im Recht auf Geheimhaltung verletzt hat, indem im Zuge einer Betriebsprüfung vor Ort am 14. März 2019 Unterlagen eingesehen und vervielfältigt wurden, ohne dass es hiefür eine Rechtsgrundlage gab, und Teile dieser Unterlagen nach wie vor verarbeitet werden.
Beschwerdegegenstand ist weiters die Frage, ob die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung verletzt wurde, indem der Beschwerdegegner Daten der Beschwerdeführerin gegenüber Dritten offenlegte.
Vorab ist jedoch zu prüfen, ob die Beschwerdeführerin als juristische Person überhaupt antragslegitimiert ist.
C. Sachverhaltsfeststellungen
45. Bei der Beschwerdeführerin [Anmerkung Bearbeiter: im Original in Folge eines offenkundigen Redaktionsversehens „Beschwerdegegnerin“] handelt es sich um eine Gesellschaft mit beschränkter Haftung, eingetragen im Firmenbuch zu FN *3*8*14 h, mit Sitz in **** U***, K***straße *6. Sie besitzt eine Gewerbeberechtigung für die Herstellung von Arzneimitteln und Giften und Großhandel mit Arzneimitteln und Giften, beschränkt auf den Großhandel mit Arzneimitteln und Giften nach § 116 Abs. 1 Z 5 GewO 1994 (eingetragen zur GISA-Zahl *7*4*22*5) und verfügt über eine Bewilligung gemäß § 63 AMG für die Ausübung der Tätigkeit als Arzneimittelgroßhändler.
Beweiswürdigung: Diese Feststellungen ergeben sich einerseits aus dem unbestrittenen Vorbringen der Beschwerdeführerin sowie andererseits aus einer amtswegigen Einsicht in das Firmenbuch (durchgeführt am 25. Mai 2020) sowie in das GISA (ebenfalls durchgeführt am 25. Mai 2020).
46. Am 14. März 2019 kam es am Sitz der Beschwerdeführerin zwischen 11:30 und 18:45 Uhr zu einer Betriebsprüfung nach § 68 AMG, welche durch Organe des Beschwerdegegners, teilweise unter Zuziehung von Organen des öffentlichen Sicherheitsdienstes, durchgeführt wurde. Gegenstand der Amtshandlung war die „Überprüfung der Lieferanten- und Kundenqualifizierung, sowie der aktuellen Liste der Arzneimittel“ mit Schwergewicht auf Eingänge des Arzneimittels „P***“. Im Zuge der Amtshandlung wurde seitens des Beschwerdegegners nach Durchsicht von Unterlagen darauf hingewiesen, dass der Verdacht bestehe, dass Arzneimittel von nicht berechtigten Abgebern (Apotheken ohne Großhandelsbewilligung) an den Großhandel abgegeben wurden. Weiters, dass Arzneimittel, die aufgrund einer ärztlichen Verordnung zur Abgabe an Privatpersonen bestimmt waren, nicht an diese, sondern unmittelbar oder mittelbar wieder an Apotheken und/oder den Großhandel abgegeben wurden. Es wurde darauf hingewiesen, dass ein weiteres Inverkehrbringen von Arzneimitteln entgegen den gesetzlichen Bestimmungen eine Verwaltungsübertretung darstellt und es wurde auf die Haftung als Beitragstäter gemäß § 7 VStG hingewiesen.
Der Beschwerdeführerin wurde im Zuge der Amtshandlung die Möglichkeit eingeräumt, dazu Stellung zu nehmen, wovon diese jedoch Abstand nahm.
Der Beschwerdeführerin wurde aufgetragen, bis 15. März, 10:00 Uhr, jede Kontaktaufnahme mit der E*** Apotheke und der F*** Apotheke und deren Großhandel in Bezug auf die laufenden Erhebungen zu unterlassen.
Sowohl im Lager als auch im Büro wurden mehrere Lichtbilder angefertigt.
Folgende Unterlagen der Beschwerdeführerin wurden seitens des Beschwerdegegners mitgenommen:
a) Anlage 1: Lieferantenliste der A***pharma (19 Lieferanten)
b) Anlage 2: Gesamte Inventurliste A***pharma, Stichtag 14. März 2019
c) Anlage 3: E*** Apotheke GDP Zertifikat (Lieferantenqualifizierung)
d) Anlage 4: Bsp. für die Belieferung der F***-Apotheke (Großhandel) an die A***pharma
e) Anlage 5: Transportauftragsschreiben für die Abholung bei Apotheken im Namen der E*** Apotheke (Großhandel), 24 Stück
f) Anlage 6: Auflistung der Lieferquellen der E*** und F*** sowie der A***pharma Direkt-Belieferung
g) Anlage 7: Kopie Logistikvertrag mit F*** Apotheke KG
h) Anlage 8: Kopie Logistikvertrag mit E*** Apotheke KG
i) Anlage 10: Eingänge P*** ab 1. Jänner 2019
j) Anlage 11: Kopien der Unterlagen aller von der E*** Apotheke Großhandel bezogenen Arzneimittel (Jänner bis März 2019)
k) Anlage 12: Kopien der Unterlagen aller von der F*** Apotheke Großhandel bezogenen Arzneimittel (Jänner bis März 2019)
Weiters wurden Lichtbilder von Rechnungen einer Apotheke an die E*** Apotheke angefertigt.
Ebenfalls mitgenommen wurden Rechnungsunterlagen über die E*** Apotheke Großhandel, welche aus Dezember 2018 stammen.
Beweiswürdigung: Diese Feststellungen ergeben sich aus der der Datenschutzbehörde seitens der Beschwerdeführerin vorgelegten Niederschrift über die Amtshandlung am 14. März 2019.
Die Feststellung, dass auch Rechnungsunterlagen über die E*** Apotheke Großhandel vom Dezember 2018 – und nicht nur, wie in der Niederschrift angeführt, vom Zeitraum Jänner bis März 2019 – mitgenommen wurden, ergibt sich einerseits aus dem Beschwerdevorbringen, andererseits auch aus der Stellungnahme des Beschwerdegegners vom 30. August 2019, in welcher dieser einräumte, dass diese Datenerfassung keinen Eingang in die Niederschrift fand.
47. Die Daten gemäß Anlage 10, Anlage 9, Anlage 2, Anlage 11 und Anlage 12 sowie die angefertigten Lichtbilder wurden nach einer tiefergehenden Prüfung durch den Beschwerdegegner als für den Prüfungszweck als nicht erforderlich erachtet und gelöscht.
Beweiswürdigung: Diese Feststellungen ergeben sich aus der unbestrittenen Stellungnahme des Beschwerdegegners vom 30. August 2019.
48. Nach der Amtshandlung am 14. März 2019 wurden personenbezogene Daten der Beschwerdeführerin – nämlich zumindest die Firma, der Umstand, dass ermittelt wird und die Andeutung, dass sich die Beschwerdeführerin rechtswidrig verhalte – durch den Beschwerdegegner zumindest folgenden Dritten offengelegt:
a) Mag. Elsa V***, E*** Apotheke
b) Mag. W***, F*** Apotheke
c) Mag. Roberta G***, L*** Apotheke T***
Die E*** Apotheke, die F*** Apotheke und die L*** Apotheke T*** sind öffentliche Apotheken.
Weiters wurden diese Daten anderen, jedoch namentlich nicht bekannten, im Zuge der Amtshandlung am 14. März 2019 erhobenen Geschäftspartnern der Beschwerdeführerin offengelegt.
Es kann nicht festgestellt werden, dass Daten der Beschwerdeführerin durch den Beschwerdegegner an sonstige Dritte, insbesondere die Apothekerkammer, übermittelt wurden.
Beweiswürdigung: Die Datenschutzbehörde folgt hier einerseits den nachvollziehbaren Ausführungen in der Beschwerde. Die Nachvollziehbarkeit ergibt sich daraus, dass die von der Beschwerdeführerin genannten Empfänger in weiterer Folge die Geschäftsbeziehung zur Beschwerdeführerin wesentlich reduzierten oder zumindest ankündigten, die Geschäftsbeziehung zu überdenken. Für die Datenschutzbehörde ist daher evident, dass diese Schritte in unmittelbarem Zusammenhang mit der Amtshandlung am 14. März 2019 stehen, bei welcher zumindest zwei der genannten Empfänger (E*** und F*** Apotheke) eine Rolle spielten.
Weiters ergeben sich diese Feststellungen aus der Stellungnahme des Beschwerdegegners vom 30. August 2019, in welcher dieser zugestand, mit jenen Geschäftspartnern der Beschwerdeführerin Kontakt aufgenommen zu haben, die aus den Geschäftsunterlagen der Beschwerdeführerin festgestellt werden konnten, ohne diese jedoch namentlich zu nennen.
Die Feststellung hinsichtlich der E***, F*** und L*** Apotheke T*** gründet auf eine amtswegige Nachschau auf der Website der Österreichischen Apothekerkammer.
Die Negativfeststellung beruht darauf, dass in der Beschwerde zwar auch andere als die genannten Empfänger global genannt werden (potentiell zukünftige Geschäftspartner), ebenso wie die Apothekerkammer, jedoch ist die Beschwerdeführerin jeglichen Beweis dafür schuldig geblieben, dass derartige Datenübermittlungen stattfanden. Auch lässt sich der Stellungnahme des Beschwerdegegners vom 30. August 2019 nichts Derartiges entnehmen.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zum Verhältnis zwischen Paragraph eins, DSG und Artikel 8, EU-GRC sowie zur Antragslegitimation der Beschwerdeführerin
49. Die Beschwerdeführerin bejaht ihre Beschwerdelegitimation als juristische Person und verweist diesbezüglich auf § 1 DSG, der juristische Personen nach wie vor schütze.
50. Der Beschwerdegegner bestreitet die Beschwerdelegitimation und beruft sich auf die DSGVO, die ausdrücklich nur natürliche Personen schütze.
51. Die Datenschutzbehörde hat bereits in ihrer Entscheidung vom 13. September 2018, GZ: DSB-D216.713/0006-DSB/2018, die Antragslegitimation einer juristischen Person bei einer behaupteten Verletzung im Recht auf Geheimhaltung bejaht. Aufgrund der Tatsache, dass die Antragslegitimation nunmehr – anders als in jenem Sachverhalt, der der zitierten Entscheidung zugrunde lag – ausdrücklich bestritten wird, sieht sich die Datenschutzbehörde veranlasst, ihre Rechtsansicht ausführlicher darzulegen:
52. Die Frage, ob sich juristische Personen auf Rechte nach dem DSG und der DSGVO berufen und diese auch durchsetzen können, ist in der Literatur umstritten (ablehnend Anderl/Hörlsberger/Müller, Kein einfachgesetzlicher Schutz für Daten juristischer Personen, in ÖJZ 3/2018, S 7 ff; Kriegner, Anmerkungen zu § 1 DSG nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), wbl 2019, S 79 ff.; zustimmend Lachmayer in Knyrim, DatKomm Art. 1 DSGVO (Stand 1.12.2018, rdb.at); Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 1 (Stand 12.6.2018, rdb.at); Gamper in Gantschacher†/Jelinek/Schmidl/Spanberger, Kommentar zum Datenschutzgesetz [2018], § 1).
53. Zunächst ist festzuhalten, dass die Aussage, Art. 8 EU-GRC und die DSGVO würden juristische Personen nicht schützen, in dieser Allgemeinheit nicht zutrifft. So hat der EuGH bereits ausgesprochen, dass der Schutzbereich von Art. 8 EU-GRC juristische Personen sehr wohl umfasst, jedoch nur sehr eingeschränkt. Im Urteil vom 9. November 2010, C-92/09 und C-93/09, hielt er in Rz 53 fest, dass der Schutzbereich jedenfalls dann eröffnet ist, wenn in der Firma der juristischen Person der Name einer natürlichen Person verwendet wird. Diese Rechtsansicht wurde im Beschluss vom 22. November 2017, T-670/16, aufrechterhalten.
54. Im vorliegenden Fall enthält die Firma der Beschwerdeführerin (A***pharma) nicht den Namen einer natürlichen Person, weshalb die Rechtsprechung des EuGH nicht einschlägig ist.
55. § 1 DSG schützt – dies wird auch von Gegnern des Schutzes juristischer Personen nicht bestritten – auch juristische Personen. Insoweit geht der Schutzbereich von § 1 DSG über jenen von Art. 8 EU-GRC (und damit auch über die DSGVO) hinaus. Fraglich ist jedoch, ob angesichts der erfolgten Vollharmonisierung des Schutzes personenbezogener Daten dieser „Überhang“ zur Anwendung gelangt. Weiters ist fraglich, ob – sollte die erste Frage bejaht werden – der einfachgesetzliche Teil des DSG, insbesondere die Regelungen über das Beschwerdeverfahren vor der Datenschutzbehörde, juristischen Personen offenstehen.
a) Zur Möglichkeit, auch juristische Personen in das Grundrecht auf Datenschutz einzubeziehen
56. Nach Art. 16 Abs. 2 AEUV besteht eine Unionskompetenz zur Erlassung von Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen.
57. Auch nach Art. 8 EU-GRC können sich – der dargestellten Rechtsprechung des EuGH folgend – im Anwendungsbereich des Unionsrechts grundsätzlich nur natürliche Personen auf den Schutzumfang dieser Norm berufen.
58. Soweit daher ein Sachverhalt in den Anwendungsbereich von Art. 8 EU-GRC fällt, haben einerseits allfällige verfassungsgesetzliche Bestimmungen, die dieselbe Garantie bieten, im Umfang dieser Übereinstimmung „ruhend in Kraft“ zu bleiben und richtet sich die Beurteilung ausschließlich nach der unionsrechtlichen Bestimmung (vgl. dazu jüngst den Beschluss des deutschen Bundesverfassungsgerichts vom 6. November 2019, GZ 1 BvR 276/17, Rz 47 ff; vgl. dazu weiters VfSlg. 19.632/2012, wo der Verfassungsgerichtshof bereits ausgesprochen hat, dass er im Falle der Übereinstimmung von verfassungsgesetzlich gewährleisteten Rechten mit der EU-GRC letztere als Kontrollmaßstab heranzieht).
59. Andererseits bedeutet dies aber auch, dass die Kompetenz zur Erlassung von Vorschriften der Union auf den Schutz natürlicher Personen begrenzt ist, sodass es den Mitgliedstaaten nicht verwehrt ist, einen darüber hinausgehenden Schutz – wie etwa für juristische Personen – zu gewährleisten (siehe dazu im Detail Lachmayer, aaO, Rz 79 f).
60. Dass ein über die Vorgaben der EU-GRC hinausgehender Schutz durch verfassungsgesetzlich gewährleistete Rechte der Mitgliedstaaten möglich ist, ergibt sich darüber hinaus aus Art. 53 EU-GRC, wonach keine Bestimmung der EU-GRC als eine Einschränkung oder Verletzung der Menschenrechte und Grundfreiheiten auszulegen ist, die – soweit hier relevant – durch die Verfassungen der Mitgliedstaaten anerkannt werden.
61. Nach der Rechtsprechung des EuGH zu Art. 53 EU-GRC darf ein durch die Verfassung eines Mitgliedstaates gewährleisteter weitergehender Schutz jedoch nicht dazu führen, dass durch diese Anwendung entweder das Schutzniveau der EU-GRC, wie sie vom EuGH ausgelegt wird, oder der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtigt werden (Urteil vom 26. Februar 2013, C-399/11, Rz 60 ff).
62. Für den vorliegenden Fall ergibt sich daraus Folgendes:
Die Beschwerdeführerin als juristische Person kann sich auf den Schutzumfang des Paragraph eins, DSG in seiner Gesamtheit berufen, weil einerseits die Kompetenz der Mitgliedstaaten, einen über die EU-GRC hinausreichenden Schutz zu gewährleisten, besteht und andererseits durch die Einbeziehung des Schutzes juristischer Personen in das Grundrecht auf Datenschutz nach Paragraph eins, DSG weder das Schutzniveau der EU-GRC, noch der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtigt werden.
b) Zur Frage, ob sich juristische Personen auf die einfachgesetzlichen Durchführungsbestimmungen des DSG berufen können
63. Gemäß § 4 Abs. 1 DSG gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach Paragraph 24, DSG, daher auf den Schutz natürlicher Personen beschränkt.
64. § 1 DSG schützt allerdings auch – wie oben dargelegt – juristische Personen. Eine Auslegung der einfachgesetzlichen Bestimmungen, insbesondere der §§ 4 und 24 DSG, dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln zu wollen als natürliche Personen (so im Ergebnis auch Lachmayer, aaO, Rz 82 ff; Dopplinger, aaO, Rz 7).
65. Im Ergebnis ist daher festzuhalten, dass die Beschwerdeführerin als juristische Person aktiv legitimiert ist, eine Beschwerde nach § 24 DSG vor der Datenschutzbehörde zu erheben, sofern sie eine Verletzung der durch § 1 DSG gewährleisteten Rechte behauptet.
D.2. In der Sache
Die Beschwerde erweist sich zwar als zulässig, jedoch als unbegründet.
a) Zum Umfang der im Rahmen der Amtshandlung am 14. März 2019 erhobenen Daten
66. Die Beschwerdeführerin rügt, dass im Rahmen der Amtshandlung personenbezogene Daten, nämlich Geschäftsunterlagen, durch den Beschwerdegegner überschießend, das heißt über das erforderliche Maß hinaus, verarbeitet wurden.
67. Dazu ist zunächst festzuhalten, dass Geschäftsunterlagen udgl. insofern als personenbezogene Daten qualifiziert werden können, sofern sie sich auf eine bestimmte oder bestimmbare Person – hier die Beschwerdeführerin – beziehen (vgl. dazu per analogiam Art. 4 Z 1 DSGVO; siehe dazu weiters das zitierte Urteil des EuGH vom 9. November 2010, in welchem Förderungen an (juristische) Personen als personenbezogene Daten qualifiziert wurden). Anders als der Beschwerdegegner vermeint, handelt es sich jedoch nicht um „sensible“ Daten im Sinne des Art. 9 Abs. 1 DSGVO, weil auf diese Daten einer juristischen Person keiner der dort genannten Tatbestände zutrifft.
68. Die im Zuge der Amtshandlung eingesehenen und letztlich vervielfältigten Unterlagen geben Auskunft über die Geschäftsbeziehungen der Beschwerdeführerin, über ihr Inventar und über den Lagerbestand. Sie beziehen sich auf die Geschäftstätigkeit der Beschwerdeführerin als zugelassenes Arzneimittel-Großhandelsunternehmen. Damit stellen sie personenbezogene Daten im obigen Sinn dar.
69. Wie festgestellt, wurden die als Anlage 1 bis 12 bezeichneten Daten, sowie Lichtbilder und weitere Rechnungen seitens des Beschwerdegegners erhoben. Teile dieser Daten wurden – wie festgestellt – nach einer eingehenderen Überprüfung durch den Beschwerdegegner als nicht verfahrensrelevant erkannt und gelöscht.
70. In diesem Zusammenhang stellt sich daher die Frage, ob die am 14. März 2019 erfolgte Datenverarbeitung verhältnismäßig und damit rechtmäßig war.
71. Dazu ist zunächst festzuhalten, dass die Rechtswidrigkeit behördlichen Handelns, welches in Ausübung unmittelbarer behördlicher Befehls- und Zwangsgewalt – wie etwa bei Durchsuchungen udgl. – erfolgt, im Rahmen einer Beschwerde nach Art. 130 Abs. 1 Z 2 B-VG an das zuständige Verwaltungsgericht gerügt werden kann. Dies betrifft vor allem die behauptete Verletzung der einer solchen Amtshandlung zugrundeliegenden materienspezifischen Rechtsvorschriften.
72. Dies gilt jedoch nicht, wenn eine Verletzung in Datenschutzrechten behauptet wird. Diesfalls besteht nämlich eine ausschließliche Zuständigkeit der Datenschutzbehörde gemäß §§ 1 und 24 DSG. Ein gemäß Art. 130 Abs. 1 Z 2 B-VG angerufenes Verwaltungsgericht hat sich diesfalls für unzuständig zu erklären (siehe VwSlg. 19.098 A/2015).
73. Die Datenschutzbehörde ist daher – im Rahmen des § 1 DSG – für die Behandlung der aufgeworfenen Rechtsverletzung zuständig.
74. Allerdings sind der Überprüfungsbefugnis der Datenschutzbehörde Grenzen gesetzt, die durch das so genannte „Übermaßverbot“ bestimmt werden. Nach der ständigen Rechtsprechung der Datenschutzkommission/Datenschutzbehörde würde ein „[B]eschwerdebegehren, der zuständigen Behörde die Ermittlung von Daten oder Verwendung von Beweismitteln zu verbieten, die sie zur Feststellung eines von ihr zu ermittelnden Sachverhalts zu benötigen glaubt, bewirken, dass die Datenschutzkommission - zumindest teilweise - an die Stelle der sachlich zuständigen Behörde tritt und im Umwege über den Abspruch über die Zulässigkeit von Sachverhaltsermittlungen eine sachliche Allzuständigkeit arrogiert. Dass dies angesichts des Grundsatzes der festen Zuständigkeitsverteilung zwischen staatlichen Organen und dem Grundrecht auf ein Verfahren vor dem gesetzlichen Richter nicht zulässig sein kann, ist evident. Die Datenschutzkommission geht daher davon aus, dass ihre Zuständigkeit zur Beurteilung der Zulässigkeit der Datenermittlung in Verwaltungsverfahren auf das Übermaßverbot beschränkt ist: Wenn es denkmöglich ist, dass die von einer in der Sache zuständigen Behörde ermittelten Daten nach Art und Inhalt für die Feststellung des relevanten Sachverhalts geeignet sind, ist die Zulässigkeit der Ermittlung aus datenschutzrechtlicher Sicht gegeben. Die Inanspruchnahme einer tiefer gehenden Beurteilung der Eignung der von der sachlich zuständigen Behörde gewählten Ermittlungsschritte würde einen Eingriff in die sachliche Zuständigkeit der ermittelnden Behörde bewirken, der gegen das aus dem Recht auf ein Verfahren vor dem gesetzlichen Richter abzuleitende Prinzip der präzisen Abgrenzung der Behördenzuständigkeit nach objektiven Kriterien (VfSlg. 3156, 8349), in exakter (VfSlg. 9937, 10.311) und eindeutigen Weise (VfSlg. 11.288, 13.029, 13.816) verstößt (vgl. dazu bspw. den Bescheid vom 7. März 2019, GZ: DSB-D123.154/0004-DSB/2019). Dies wird auch vom Bundesverwaltungsgericht anerkannt (vgl. dazu bspw. das Erkenntnis vom 11. Juli 2018, GZ: W214 2183935-1
75. Ein Eingriff einer Behörde in das Grundrecht auf Datenschutz ist nur auf Basis einer qualifizierten gesetzlichen Grundlage gestattet (§ 1 Abs. 2 DSG).
76. Nach § 67 Abs. 1 AMG hat der Beschwerdegegner Betriebe gemäß § 62 Abs. 1 leg. cit. vor Erteilung einer Bewilligung gemäß § 63 Abs. 1 leg. cit. oder erforderlichenfalls vor Erteilung einer Bewilligung gemäß § 65 Abs. 1 leg. cit. und in der Folge auf Grund einer Risikobewertung periodisch daraufhin zu überprüfen, ob den Bestimmungen dieses Abschnitts oder der auf Grund dieses Abschnitts erlassenen Verordnungen entsprochen wird und die für die Gesundheit und das Leben von Mensch oder Tier erforderliche Beschaffenheit der Arzneimittel oder Wirkstoffe gewährleistet ist. Zu diesem Zweck sind gemäß § 68 Abs. 1 AMG Organe des Beschwerdegegners berechtigt, Betriebe gemäß § 62 Abs. 1 leg. cit. und Einrichtungen und Beförderungsmittel solcher Betriebe, die von Betrieben gemäß § 62 Abs. 1 leg. cit. mit der Lagerung oder dem Transport beauftragt worden sind, sofern diese zur Lagerung oder zum Transport von Arzneimitteln oder Wirkstoffen dienen können, zu betreten, zu besichtigen, zu überprüfen sowie Proben in der für eine Untersuchung erforderlichen Menge und Einsicht in die Aufzeichnungen des Betriebes zu nehmen, die nach arzneimittelrechtlichen Bestimmungen zu führen sind, und hievon Kopien sowie Fotografien und Videoaufzeichnungen im Betrieb anzufertigen, sofern dies zur Beweissicherung erforderlich ist. Dabei kann auch Einsicht in die Urkunde über die gegebenenfalls erforderliche Gewerbeberechtigung gemäß der GewO 1994 genommen werden. Diese Amtshandlungen sind, außer bei Gefahr im Verzug, während der Betriebszeiten durchzuführen.
77. §§ 67 und 68 AMG bieten daher eine Rechtsgrundlage im Sinne des § 1 Abs. 2 DSG für die Verarbeitung bestimmter Daten, sodass es hiefür im Übrigen keiner Einwilligung des Betroffenen bedarf. Es kann daher nicht gesagt werden, dass es für die verfahrensgegenständliche Datenverarbeitung überhaupt keine Rechtsgrundlage gibt.
78. Abschnitt VII des AMG, auf welchen § 67 Abs. 1 AMG Bezug nimmt, lautet „Betriebsvorschriften“. § 62 AMG regelt die näheren Voraussetzungen für die Erlassung der AMBO 2009, welche von den Arzneimittel-Betrieben einzuhalten ist. Darunter befindet sich auch die Anordnung, dass Arzneimittel nur von bestimmten Herstellern oder Importeuren bezogen werden dürfen, nämlich von solchen, die über eine Bewilligung nach § 63 AMG oder über eine entsprechende Bewilligung einer zuständigen Behörde einer anderen Vertragspartei des EWR verfügen. Bei der Überprüfung am 14. März 2019 ergab sich der Verdacht, dass die Beschwerdeführerin u.a. gegen die Bestimmung verstoßen hat, indem Arzneimittel von öffentlichen Apotheken bezogen wurden.
79. Unter Zugrundelegung der obigen Ausführungen zum Übermaßverbot können daher die im Zuge der Amtshandlung am 14. März 2019 durch den Beschwerdegegner verarbeiteten Daten nicht als § 1 DSG widersprechend angesehen werden. Der Beschwerdegegner hat in seiner Stellungnahme vom 30. August 2019 anschaulich nachgewiesen, dass diese Unterlagen zumindest denkmöglich im Rahmen einer Prüfung gemäß §§ 67 und 68 AMG von Relevanz sein können. Dies vor allem vor dem Hintergrund, dass dem Beschwerdegegner nicht nur die Bewilligung der Tätigkeit von Arzneimittelbetrieben nach § 63 AMG obliegt, sondern auch die nachträgliche Vorschreibung von Auflagen nach § 66 AMG bzw. die Rücknahme einer Bewilligung nach § 66a AMG oder auch die Verhängung einstweiliger Maßnahmen im Falle drohender Gefahr für die Gesundheit von Mensch oder Tier durch Arzneimittel gemäß § 69 AMG. Für all diese Verfahren können Daten, die im Zuge einer Betriebsprüfung erhoben werden, entscheidungsrelevant sein.
80. Dass in weiterer Folge mehrere Datenbestände amtswegig gelöscht wurden, weil sie sich nach eigehender Durchsicht nicht als verfahrensrelevant herausstellen, ändert daran nichts: Es ist nämlich zu berücksichtigen, dass im Rahmen einer unangekündigten Amtshandlung, wie jener vom 14. März 2019, nur begrenzt Zeit zur Verfügung steht, Unterlagen durchzusehen und allfällig verfahrensrelevante Beweisstücke zu sichern. Ähnlich wie bei einer Hausdurchsuchung ist es für das Wesen derartiger Amtshandlung daher charakteristisch, dass nach Gegenständen gesucht wird, von denen unbekannt ist, wo sie sich befinden (vgl. dazu nochmals VwSlg. 19.098 A/2015). Dies bedingt, dass unter Umständen Daten – zumindest anfänglich – in überschießender Weise verarbeitet werden. Dies begegnet jedoch dann keinen Bedenken, wenn eine Durchsicht zeitnahe erfolgt und nicht relevante Daten gelöscht werden.
81. Die Beschwerde erweist sich daher in diesem Punkt als unbegründet.
b) Zu den übermittelten Daten
82. Die Beschwerdeführerin erachtet sich weiters dadurch in ihrem Recht auf Geheimhaltung verletzt, weil der Beschwerdegegner personenbezogene Daten, die aus der Amtshandlung vom 14. März 2019 stammen, Dritten gegenüber offengelegt hat.
83. Wie festgestellt, konnte nur ein Teil der monierten Datenübermittlungen festgestellt werden. Im Umfang dieser Feststellungen erweist sich die Beschwerde jedoch teilweise als berechtigt:
84. Zuerst ist festzuhalten, dass es für eine Verletzung im Recht auf Geheimhaltung auf bestimmte Übermittlungsformen nicht ankommt. Elektronische Datenübermittlungen sind ebenso von § 1 Abs. 1 DSG umfasst wie mündliche Mitteilungen (vgl. dazu das Erkenntnis des Verwaltungsgerichtshofes vom 28. Februar 2018, Ra 2015/04/0087 mwN).
85. Wie festgestellt, wurden Daten der Beschwerdeführerin nachweislich Vertretern der E*** Apotheke, der F*** Apotheke und der L*** Apotheke T*** offengelegt. Der Beschwerdegegner bestreitet dies auch nicht und führt dazu aus, dass es seine Aufgabe sei, zu überprüfen, ob es sich bei den Lieferanten der Vertragspartner der Beschwerdeführerin um Betriebe gemäß § 62 AMG handelt, ob die Vertragspartner der Beschwerdeführerin die Bestimmungen der AMBO 2009 einhalten und ob die Beschwerdeführerin als Haupt- oder Beitragstäter gemäß § 7 VStG verstößt. Insbesondere stehe der Verdacht im Raum, dass Arzneimittel rechtswidrig von nicht berechtigten Apotheken (ohne eine Bewilligung für Arzneimittel-Großhandel) an den Großhandel – und damit an die Beschwerdeführerin – abgegeben wurden.
86. Soweit der Beschwerdegegner vorbringt, auch Ermittlungen hinsichtlich einer möglichen Haupt- und Beitragstäterschaft durchgeführt zu haben, ist ihm Folgendes zu entgegnen:
87. Die Ermittlung eines Sachverhaltes aus verwaltungsstrafrechtlicher Sicht ist keine Aufgabe des Beschwerdegegners, sondern der zuständigen Bezirksverwaltungsbehörden (vgl. zu strafrechtlichen Ermittlungen eines Bundesministeriums anstelle der Staatsanwaltschaft den Bescheid vom 26. November 2018, GZ: DSB-D216.697/0011-DSB/2018), da die Führung derartiger Verfahren und die Verhängung von Verwaltungsstrafen nach dem AMG – und damit zusammenhängend die Befugnis zur Verarbeitung personenbezogener Daten – nicht in die Kompetenz des Beschwerdegegners fällt.
88. Ungeachtet dessen, erweisen sich die festgestellten Übermittlungen dennoch als nicht rechtswidrig:
89. Wie bereits oben festgehalten, stand der Verdacht des unzulässigen Bezugs von Arzneimitteln von öffentlichen Apotheken im Raum. Es kann daher, zwecks Ermittlung des maßgebenden Sachverhaltes, zu welchem der Beschwerdegegner gemäß § 6a Abs. 3 GESG iVm § 39 AVG verpflichtet ist, nicht als rechtswidrig erkannt werden, wenn Erhebungen bei jenen Apotheken bzw. Geschäftspartnern erfolgen, von welchen vermuteterweise Arzneimittel entgegen den Vorgaben des AMG und der AMBO 2009 bezogen wurden. Derartige Ermittlungsschritte können denkmöglich brauchbare Ermittlungsergebnisse liefern, die in einem Verfahren des Beschwerdegegners – vor allem nach §§ 66 ff AMG – von Relevanz sein können. Ob im Zuge dessen „Ärger“ angedroht wurde oder sonstige unsachliche Äußerungen getätigt wurden, ist nicht Gegenstand eines Beschwerdeverfahrens nach § 24 DSG.
90. Die Beschwerde erweist sich daher auch in diesem Punkt als unbegründet.
c) Zur Speicherdauer der ermittelten Daten und zur unterlassenen Löschung
91. Die Beschwerdeführerin rügt zuletzt, dass die Unterlassung der Löschung all jener personenbezogenen Daten, welche sich – wenn auch erst nach der Amtshandlung vom 14. März 2019 – als unrechtmäßig verarbeitet herausstellten, eine Verletzung im Recht auf Geheimhaltung begründet.
92. Diesem Einwand kommt keine Berechtigung zu:
93. Zunächst hat zwar die Beschwerdeführerin am 8. Juli 2019 ein Löschungsbegehren an den Beschwerdegegner gerichtet und darin die Löschung von Daten beantragt. Allerdings wurde in der verfahrenseinleitenden Beschwerde ausdrücklich nur das Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG als verletzt erachtetes Recht angeführt. Dadurch ist Sache des Verfahrens im Sinne des § 13 Abs. 8 AVG nur die Prüfung, ob eine Verletzung in diesem Recht vorliegt. Eine Verletzung im Recht auf Löschung, welches gemäß § 1 Abs. 3 Z 2 DSG juristischen Personen auch offensteht, ist daher nicht zu prüfen. Im Übrigen besteht ein subjektives Recht auf Löschung nur aufgrund eines Antrags des Betroffenen an den Verantwortlichen. Die Verpflichtung des Verantwortlichen, aus eigenem Daten zu löschen, begründet hingegen kein subjektives Recht des Betroffenen und eine allfällige Verletzung dieser Pflicht kann daher in einem Verfahren nach § 24 DSG nicht geltend gemacht werden kann (vgl. dazu bereits den Bescheid vom 25. Juli 2014, GZ: DSB-D122.106/0008-DSB/2014 mwN).
94. Allerdings kann die Unterlassung einer Löschung bzw. einer Vernichtung dann eine Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG bewirken, wenn Daten länger als notwendig aufbewahrt werden (vgl. in Bezug auf nicht strukturierte Papierakten VfSlg. 19.937/2014). Das GESG enthält keine Bestimmung hinsichtlich der Dauer, für welche der Beschwerdegegner ermittelte Daten speichern kann. Sofern keine ausdrückliche Frist vorgesehen ist, ist es nach der Rechtsprechung der Datenschutzbehörde zulässig, ermittelte Daten für jenen begrenzten Zeitraum aufzubewahren, der erforderlich ist, um die Rechtmäßigkeit des behördlichen Handelns nachprüfen zu können. Allerdings muss die weitere Aufbewahrung von Daten durch ein sich konkret abzeichnendes Verfahren gerechtfertigt sein. Die bloße Möglichkeit, dass ein Verfahren (irgendwann) eingeleitet wird, reicht hingegen nicht aus (siehe dazu den Bescheid vom 28. Mai 2018, GZ: DSB-D216.471/0001-DSB/2018, mHa das Erkenntnis des Verfassungsgerichtshofes vom 12. Dezember 2017, GZ: E 3249/2016).
95. Im vorliegenden Fall wurden die Daten am 14. März 2019 vom Beschwerdegegner ermittelt. Die Beschwerdeführerin hat in weiterer Folge diverse Anträge an den Beschwerdegegner (Löschung, Auskunft nach dem AuskPflG) gestellt. Am 1. August 2019 wurde die gegenständliche Beschwerde erhoben.
96. Unter Zugrundelegung der obigen Erwägung erscheint daher der bisher verstrichene Zeitraum – auch angesichts der gestellten Anträge bzw. des angestrengten Verfahrens vor der Datenschutzbehörde – nicht derart lange, dass durch die nicht erfolgte Löschung eine Verletzung im Recht auf Geheimhaltung vorläge. Dies vor allem deshalb, weil die ermittelten Daten im Rahmen der gestellten Anträge bzw. Verfahren eine Rolle spielen.
97. Die Beschwerde war daher in diesem Punkt abzuweisen.
D.3. Zusammenfassung
98. Die Beschwerde erweist sich daher insgesamt als unbegründet, weshalb sie gemäß § 24 Abs. 5 letzter Satz DSG abzuweisen war.
ECLI:AT:DSB:2020:2020.0.191.240