Bundesverwaltungsgericht (BVwG)

Rechtssätze

Hinweis: Es wurden keine Rechtssätze für das Dokument 'BVWGT_20200527_W214_2228346_1_00' im RIS-Datenbestand gefunden.

Entscheidungstext W214 2228346-1

Begleitende Dokumente

Hauptdokument

Gericht

Bundesverwaltungsgericht

Dokumenttyp

Entscheidungstext

Entscheidungsart

Erkenntnis

Geschäftszahl

W214 2228346-1

Entscheidungsdatum

27.05.2020

Norm

B-VG Art133 Abs4
DSG 2000 §24 Abs5
DSGVO Art12
DSGVO Art15
DSGVO Art4 Z1
DSGVO Art4 Z2
DSGVO Art57
DSGVO Art58
VwGVG §28 Abs2
  1. B-VG Art. 133 heute
  2. B-VG Art. 133 gültig von 01.01.2019 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 138/2017
  3. B-VG Art. 133 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 22/2018
  4. B-VG Art. 133 gültig von 25.05.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 22/2018
  5. B-VG Art. 133 gültig von 01.08.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 164/2013
  6. B-VG Art. 133 gültig von 01.01.2014 bis 31.07.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
  7. B-VG Art. 133 gültig von 01.01.2004 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 100/2003
  8. B-VG Art. 133 gültig von 01.01.1975 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 444/1974
  9. B-VG Art. 133 gültig von 25.12.1946 bis 31.12.1974 zuletzt geändert durch BGBl. Nr. 211/1946
  10. B-VG Art. 133 gültig von 19.12.1945 bis 24.12.1946 zuletzt geändert durch StGBl. Nr. 4/1945
  11. B-VG Art. 133 gültig von 03.01.1930 bis 30.06.1934

Spruch

W214 2228346-1/16E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende und die fachkundigen Laienrichterinnen Mag. Viktoria HAIDINGER, LLM, und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde der römisch 40 , gegen den Bescheid der Datenschutzbehörde vom 05.12.2019, Zl DSB-D124.630/0004-DSB/2019, zu Recht erkannt:

A)

Die Beschwerde wird gemäß Paragraph 28, Absatz 2, VwGVG als unbegründet abgewiesen und der Spruch des angefochtenen Bescheides mit der Maßgabe bestätigt, dass

- Im Spruchkopf die Beschwerdegegnerin als "Stadt römisch 40 , vertreten durch den Magistrat der Stadt römisch 40 " bezeichnet wird;

- Spruchpunkt 2. des angefochtenen Bescheides lautet:

"2. Der Beschwerdegegnerin wird aufgetragen, innerhalb einer Frist von zwei Wochen dem Antrag des Beschwerdeführers auf Auskunft zu entsprechen."

B)

Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

Text

ENTSCHEIDUNGSGRÜNDE:

römisch eins. Verfahrensgang

1. In seiner an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 13.04.2019 (verbessert mit 19.06.2019) machte der Mitbeteiligte (ursprünglicher Beschwerdeführer vor der belangten Behörde) römisch 40 eine Verletzung im Recht auf Auskunft geltend. Dazu wurde zusammengefasst vorgebracht, dass der Mitbeteiligte am 19.02.2019 ein Auskunftsbegehren nach Artikel 15, DSGVO an die römisch 40 gestellt habe und dieses mit einer elektronischen Signatur digital signiert habe. Der Magistrat der Stadt römisch 40 habe den Mitbeteiligten daraufhin mit Schreiben vom 22.02.2019 darüber informiert, dass sein Ansuchen auf Auskunft nur dann weiterbearbeitet werden könne, wenn der Mitbeteiligte seine Identität mittels Vorlage eines geeigneten Identitätsnachweises nachweise. Eine qualifizierte elektronische Signatur erfülle das rechtliche Erfordernis der Schriftlichkeit iSd Paragraph 886, ABGB, sei jedoch zur Durchführung einer Identitätsprüfung nicht ausreichend. Nach weiterer Korrespondenz habe der Magistrat der Stadt römisch 40 am 03.04.2019 mitgeteilt, dass von einer Auskunftserteilung gemäß Artikel 11, Absatz 2, DSGVO Abstand genommen werden müsse, da der Mitbeteiligte der Aufforderung iSd Artikel 12, Absatz 6, DSGVO, binnen Frist von vier Wochen einen Identitätsnachweis vorzulegen, nicht nachgekommen sei. Nach Ansicht des Mitbeteiligten gebe es jedoch keine Gründe für Zweifel an seiner Identität, da sein voller Name in der elektronischen Signatur, gemeinsam mit den bei römisch 40 gespeicherten Daten und den Angaben in seinem Begehren eine eindeutige Identifikation zulasse. Es seien auch keine Gründe glaubhaft gemacht worden, weshalb der Magistrat nicht in der Lage sei, ihn zu identifizieren. Die Verweigerung der Beauskunftung sei daher nicht nachvollziehbar.

2. Über Aufforderung der belangten Behörde erstattete die Stadt römisch 40 (Beschwerdeführerin im Verfahren vor dem Bundesverwaltungsgericht), vertreten durch den Magistrat der römisch 40 , am 12.07.2019 eine Stellungnahme, in welcher sie zunächst festhielt, dass die römisch 40 nach der Geschäftseinteilung des römisch 40 für die Vertretung der römisch 40 in Angelegenheiten des Datenschutzes, insbesondere vor der belangten Behörde zuständig sei. Weiters wurde (nach Wiederholung des Sachverhaltes) ausgeführt, dass die elektronische Signatur gemäß Paragraph 4, Absatz eins, SVG lediglich der Identifikation des Erklärenden diene, nicht jedoch dessen Identität nachweise. Es handle sich um nicht mehr als eine elektronisch geleistete Unterschrift, der Nachweis der Identität könne hingegen nur durch bestimmte Ausweisdokumente erbracht werden. Zum Zeitpunkt der Einbringung sei sohin die Identität des Mitbeteiligten nicht zweifelsfrei festgestanden, weshalb gemäß Artikel 12, Absatz 6, DSGVO vom Mitbeteiligten zusätzliche Informationen zur Bestätigung der Identität anzufordern gewesen seien. Entgegen den Ausführungen des Mitbeteiligten könne auch aus der reinen Kombination eines Namens und einer Adresse keine zweifelsfreie Identifikation einer Person erfolgen. Die Beschwerdeführerin habe dem Mitbeteiligten zudem mehrere Möglichkeiten eingeräumt, ihre Identität nachzuweisen (persönliche Vorsprache oder Übermittlung einer Kopie eines Ausweisdokumentes) weshalb auch Artikel 12, Absatz 2, DSGVO nicht verletzt sei.

3. Die belangte Behörde übermittelte dem Mitbeteiligten am 24.07.2019 die Stellungnahme der Beschwerdeführerin vom 12.07.2019 und gab ihm Gelegenheit, binnen Frist eine Stellungnahme abzugeben.

4. Der Mitbeteiligte erstattete am 26.08.2019 eine Stellungnahme und brachte vor, dass keineswegs zwingend und im Voraus ein Identitätsnachweis erbracht werden müsse, sofern keine Zweifel an der Person des Einbringers bestünden. Er hätte die verlangte Ausweiskopie angeboten, wenn begründete Zweifel genannt und begründet worden wären, dies sei jedoch nicht geschehen. Ein Missbrauch des Auskunftsrechts zur Informationsbeschaffung durch einen Unbefugten sei angesichts der beim Magistrat und römisch 40 gespeicherten Daten und der zwischen dem Mitbeteiligten und der Beschwerdeführerin stattgefundenen Kommunikation (eingeschriebener Brief, bekannte E-Mail-Adresse) wenig realistisch.

5. Mit dem angefochtenen Bescheid gab die belangte Behörde der Beschwerde des Mitbeteiligten Folge und stellte fest, dass der Magistrat römisch 40 (richtig: die römisch 40 vertreten durch den Magistrat der Stadt römisch 40 ) den Mitbeteiligten dadurch in seinem Recht auf Auskunft verletzt habe, indem er seinem Auskunftsbegehren nicht entsprochen habe (Spruchpunkt 1.). Der Beschwerdeführerin wurde aufgetragen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution dem Antrag des Mitbeteiligten auf Auskunft zu entsprechen (Spruchpunkt 2.).

Begründend führte die belangte Behörde zunächst aus, dass Beschwerdegegenstand die Frage sei, ob die Beschwerdeführerin den Mitbeteiligten dadurch im Recht auf Auskunft verletzt habe, indem er den Anträgen auf Auskunft vom 19.02.2019 nicht entsprochen habe.

Rechtlich sei auszuführen, dass gemäß Artikel 15, DSGVO die betroffene Person das Recht habe, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet würden und soweit dies der Fall sei, Auskunft über diese personenbezogenen Daten zu erhalten sowie Anspruch auf die Information gemäß Litera a bis h leg. cit.

Die Entstehung eines datenschutzrechtlichen Auskunftsanspruches setze gemäß Artikel 12, DSGVO unter anderem voraus, dass die Identität des Auskunftswerbers feststehe. Bei begründeten Zweifeln an der Identität könne der Verantwortliche gemäß Artikel 12, Absatz 6, DSGVO zusätzliche Informationen anzufordern, die zur Bestätigung der Identität erforderlich seien, es werde jedoch keine routinemäßige Identitätsprüfung ermöglicht, ein Verantwortlicher dürfe daher nicht generell die Vorlage eines Identitätsnachweises verlangen.

Eine konkrete Form der Identifizierung sehe Artikel 12, DSGVO nicht vor, Erwägungsgrund 64 zur DSGVO führe in diesem Zusammenhang aus, dass der Verantwortliche alle vertretbaren Mittel nutzen solle, um die Identität einer Auskunft suchenden Person zu überprüfen. Der Nachweis der Identität könne beispielweise mittels Pass oder eines Personalausweises, eines elektronischen Identitätsnachweises, eines Identitätsbestätigungsdienstes, einer qualifizierten elektronischen Signatur, eines anderen elektronischen Nachweisverfahrens oder auch in anderer Form erfolgen, sofern die Identität hinreichend nachgewiesen werde.

Im vorliegenden Fall sei das Auskunftsbegehren des Mitbeteiligten mit einer qualifizierten elektronischen Signatur versehen gewesen. Ein wesentliches Merkmal dieser sei, dass die Identität der natürlichen Person im Zuge der Ausstellung des Zertifikats von einer Zertifizierungsstelle geprüft werde.

Angesichts der Tatsache, dass der Mitbeteiligte in seinem Auskunftsbegehren neben der qualifizierten elektronischen Signatur auch seine Adresse, seine ehemalige Adresse sowie seine E-Mail-Adresse angegeben habe, wäre es der Beschwerdeführerin ohne weiteres möglich gewesen, den Auskunftswerber zweifelsfrei zu identifizieren. Weiters sei festzuhalten, dass die Beschwerdeführerin keine begründeten Zweifel vorgebracht habe, sondern sich lediglich auf die allgemeine Aussage beschränkt habe, dass begründete Zweifel bereits dann vorliegen würden, wenn die Authentizität der Eingabe nicht hinreichend sichergestellt sei.

Die Weigerung, dem Auskunftsbegehren zu entsprechen, sei somit nicht gerechtfertigt gewesen und sei spruchgemäß zu entscheiden gewesen. Der Leistungsumfang in Spruchpunkt 2. stütze sich auf Artikel 58, Absatz 2, Litera c, DSGVO in Verbindung mit Paragraph 24, Absatz 5, DSG, wobei die in Paragraph 24, Absatz 5, DSG normierte Einschränkungen auf Verantwortliche des privaten Bereiches aufgrund des unmittelbaren Vorranges des Unionsrechts unangewendet zu bleiben habe.

6. Gegen diesen Bescheid erhob die Beschwerdeführerin mit Schriftsatz vom 07.01.2020 eine Beschwerde an das Bundesverwaltungsgericht.

Darin wurde (nach Wiederholung des Sachverhaltes) zunächst ausgeführt, dass es sich bei der Beschwerdeführerin um einen Verantwortlichen des öffentlichen Bereiches iSd Paragraph 26, Absatz eins, Ziffer eins, DSG handle, weshalb diesem nach Absatz 3, leg. cit. die Legitimation zur Erhebung einer Beschwerde gegen einen Bescheid der Datenschutzbehörde an das Bundesverwaltungsgericht zukomme.

Weiters wurde ausgeführt, dass der Bescheid der Datenschutzbehörde inhaltlich rechtswidrig sei. Ein Leistungsauftrag, wie er in Spruchpunkt 2. des angefochtenen Bescheides enthalten sei, könne gemäß Paragraph 24, Absatz 5, DSG nur gegen Verantwortliche des privaten Bereiches ergehen, gegenüber Verantwortlichen des öffentlichen Bereiches sei nur ein Feststellungsbescheid zulässig.

Hinsichtlich Spruchpunkt 1. des angefochtenen Bescheides sei auszuführen, dass zwar richtig sei, dass Artikel 12, Absatz 6, DSGVO keine routinemäßige Identitätsprüfung ermögliche, die Zweifel an der Identität könnten jedoch nicht durch bloße Bekanntgabe einer E-Mail-Adresse oder Postanschrift zerstreut werden, da vor allem bei E-Mail-Adressen die Problematik eines widerrechtlichen Zugriffes bestehe. Artikel 12, Absatz 6, DSGVO gestatte es dem Verantwortlichen demgemäß auch, Kopien von Ausweisdokumenten oder anderen Identitätspapieren vom Auskunftswerber zu verlangen. Der Beschwerdeführerin kämen auch nicht die rechtlichen Möglichkeiten zu, um verschiedene Register (ZMR etc.) zur näheren Verifizierung und zum Abgleich von Personendaten abzufragen, sodass im Zweifelsfall vom Auskunftswerber ergänzende Nachweise zur Bestätigung seiner Identität angefordert werden müssten. Im Übrigen schreibe Artikel 12, Absatz 6, DSGVO weder eine begrenze Anzahl an Nachweisen vor, die ein Verantwortlicher vom Auskunftswerber zum Nachweis seiner Identität verlangen könne, noch sei ein bestimmtes Prozedere oder eine bestimmte Reihenfolge festgelegt.

Eine qualifizierte elektronische Signatur sei - entgegen der Ansicht der belangten Behörde - nicht mit einem Pass, Personalausweis oder einer E-ID gleichzusetzen, da die elektronische Signatur nur einen Zurechnungszusammenhang zwischen Inhalt und Unterfertiger herstelle, womit aber noch nichts über die Identität des Unterfertigenden selbst gesagt sei. Anders verhalte es sich demgegenüber mit der E-ID im Sinne des Paragraph 4, Absatz eins, E-GovG, da diese dem Nachweis der Identität diene und auch die Funktion eines Ausweisdokuments erfülle. Vom Mitbeteiligten sei jedoch keine E-ID, sondern nur eine elektronische Signatur eingesetzt worden, weshalb dessen Identifikation ex-ante nicht möglich gewesen sei, weshalb der Mitbeteiligte in weiterer Folge, da seine Identität nicht zweifelsfrei festgestanden sei, zur Erbringung eines Identitätsnachweises aufgefordert worden sei.

Auch die von der belangten Behörde ins Treffen geführte Argumentation, dass nach Paragraph 8, Absatz eins, SVG ein qualifizierter Vertrauensdiensteanbieter oder eine in seinem Auftrag tätige Stelle die Identität von persönlich anwesenden natürlichen Personen, denen ein qualifiziertes Zertifikat iSd Paragraph 4, Absatz eins, leg. cit. ausgestellt werden solle, anhand eines amtlichen Lichtbildausweises oder durch einen anderen in seiner Zuverlässigkeit gleichwertigen Nachweis festzustellen habe, vermöge die elektronische Signatur nicht in den Rang eines Ausweisdokumentes zu heben, da auch ein Notariatsakt, bei welchem die Identität der Partei gegenüber dem Notar nachgewiesen worden sei, keinen amtlichen Lichtbildausweis ersetze. Sohin sei nicht ersichtlich, wie durch einen Identitätsnachweis gegenüber einem elektronischen Vertrauensdiensteanbieter, der mit der Stelle, an die das Auskunftsbegehren gestellt worden sei, in keinerlei Konnex stehe, ein Identitätsnachweis gegenüber dem Verantwortlichen, an den das Auskunftsbegehren gerichtet sei, ersetzen solle. Die elektronische Signatur falle auch nicht unter den Begriff eines amtlichen Lichtbildausweises gemäß Paragraph 36 b, Absatz 2, 2. Satz NO, Paragraph 365 p, Absatz eins, 1 Ziffer eins, Litera a, GewO1 1994, Paragraph 6, Absatz 2, Ziffer eins, Finanzmarkt-Geldwäschegesetz, Paragraph 2, Ziffer 2, Online-Identifikationsverordnung oder Paragraph 23, Absatz 6, Verbraucherzahlungskontogesetz, letztere seien in Umsetzung von Unionsrecht ergangen. Es könne daher weder nach nationalem noch nach Unionsrecht davon ausgegangen werden, dass eine elektronische Signatur einen Identitätsnachweis darstelle, weshalb der angefochtene Bescheid auch hinsichtlich Spruchpunkt 1. mit inhaltlicher Rechtswidrigkeit belastet sei.

7. Mit Schreiben vom 30.01.2020 wurde von der belangten Behörde die Beschwerde samt Verwaltungsakt dem Bundesverwaltungsgericht vorgelegt und eine Stellungnahme abgegeben. In dieser führte die belangte Behörde in Ergänzung zu ihren Ausführungen im angefochtenen Bescheid aus, dass eine elektronische Signatur sehr wohl ein geeignetes Mittel zum Nachweis der Identität darstelle und verwies auf ihren Bescheid vom 31.07.2019, DSB-D123.901/0002-DSB/2019. Weiters sei anzumerken, dass im Auskunftsbegehren auch der Name und die alte sowie die aktuelle Adresse des Auskunftswerbers angegeben gewesen seien bzw. in weiterer Folge eine Korrespondenz über die E-Mail-Adresse stattgefunden habe und jedenfalls davon auszugehen sei, dass diese Daten von der Beschwerdeführerin in einer Datenbank gespeichert gewesen seien. Es wäre der Beschwerdeführerin daher anhand der übermittelten Angaben ohne Probleme möglich gewesen, den Auskunftswerber zu identifizieren. Zu Spruchpunkt 2. führte die belangte Behörde abermals aus, dass Paragraph 24, Absatz 5, DSG, der die Erteilung von Leistungsaufträgen nur für Verantwortliche des privaten Bereiches vorsehe, hinsichtlich dieser Einschränkung aufgrund des unmittelbaren Vorranges des Unionsrechtes (Artikel 58, Absatz 2, DSGVO sehe eine solche Einschränkung nicht vor), unangewendet zu bleiben habe. Der Beschwerdeführerin sei jedoch zuzugestehen, dass die Wortfolge "bei sonstiger Exekution" keinen Bestand haben könne, weil eine Exekution gegen die Beschwerdeführerin nicht möglich sei.

Zudem scheine die Einschränkung des Paragraph 24, Absatz 5, DSG unsystematisch, da in Paragraph 33, Absatz 2, Ziffer 2, DSG, welcher sich im 3. Hauptstück des DSG befinde, welches per defintionem nur für Verantwortliche des öffentlichen Bereiches gelten könne, Leistungsaufträge durch die belangte Behörde vorgesehen seien.

8. Mit Schreiben vom 09.04.2020 nahm die Beschwerdeführerin zur Stellungnahme der belangten Behörde Stellung und behauptete, dass eine routinemäßige Anforderung von Identitätsnachweisen seitens des Magistrats römisch 40 nicht durchgeführt werde. Begründete Zweifel lägen insbesondere dann vor, wenn vom Auskunftswerber neben seinem Namen lediglich eine E-Mail-Adresse oder Postadresse bekannt sei. Vom Mitbeteiligten sei nur eine qualifizierte elektronische Signatur und keine E-ID im Sinne des Paragraph 4, Absatz eins, E-GovG eingesetzt worden. Zwar werde zugestanden, dass eine qualifizierte elektronische Signatur eine feste Personenbindung aufweise, d.h. eine qualifizierte elektronische Signatur zweifelsohne einer eindeutig identifizierten Person zugeordnet sei. Die Rückführung der qualifizierten elektronischen Signatur auf die eindeutig identifizierte Person sei jedoch nicht jeder Person möglich. Aus der Angabe einer E-Mail-Adresse und/oder einer Postanschrift könne noch nicht in jedem Fall klar und erkennbar auf die Identität einer bestimmten Person geschlossen werden. Die Beschwerdeführerin dürfe im gegenständlichen Fall auch keine ZMR--Abfrage durchführen, weil es sich bei der Anwendung der Betroffenenrechte nach der DSGVO um keine gesetzlich übertragene Aufgabe, sondern um eine rechtliche Verpflichtung, der jeder Verantwortliche im Sinne der DSGVO unterliege, handle.

Weiters sei bezüglich der Erlassung eines Leistungsauftrages an die Beschwerdeführerin kein Fall der Vorrangwirkung des Unionsrechts gegeben, weil es sich um eine verfahrensrechtliche Sonderregelung des DSG handle.

9. Der Mitbeteiligte gab eine Stellungnahme zur Beschwerde der Beschwerdeführerin ab, die am 29.04.2020 beim Bundesverwaltungsgericht einlangte. Darin führte er aus, dass der Sachverhalt verkürzt dargestellt worden sei. Weiters verwies er auf einen Link zur Webseite des Magistrats der Stadt römisch 40 , wonach bei der Geltendmachung von Betroffenenrechten die betroffene Person ihre Identität dem Verantwortlichen gegenüber nachweisen müsse, zum Beispiel mit der Kopie eines Reisepasses oder Führerscheins.

Weiters habe der Mitbeteiligte seine E-Mail-Adresse nicht "bloß bekannt" gegeben, sondern sei diese von beiden Seiten zur aktiven Kommunikation genutzt worden, deren Inhalt sich auf eine zuvor an die ebenfalls bekannte Postanschrift gesendete eingeschriebene Briefsendung der römisch 40 bezog. Beide Daten seien schon vor dem Auskunftsbegehren der römisch 40 hinterlegt und daher mit den vorhandenen Datensätzen vergleichbar gewesen.

Wie bereits ausgeführt worden sei, hätte ein Unbefugter somit auch Zugriff auf diese eingeschriebene Briefsendung erlangen müssen, um anschließend deren Inhalt über das unbefugt genutzte E-Mail-Konto zu diskutieren. Ein Angreifer mit diesen Möglichkeiten dürfte problemlos Zugriff auf eine mehr oder minder geeignete Ausweiskopie erlangen können, deren Echtheit ohnehin kaum geprüft werden könnte.

10. Dazu nahm die Beschwerdeführerin in einer Stellungnahme vom 19.05.2020 Stellung. Darin führt sie aus, dass die Formulierung auf der Homepage der römisch 40 nicht in Widerspruch zur im Rahmen der Beschwerde vertretenen Rechtsauffassung stehe, wonach nicht in jedem Fall und standardisiert ein Identitätsnachweis gefordert werde. Was die Problematik der Verifizierbarkeit von Personen rein über eine Kopie eines Ausweisdokuments anbelange, so sei hierzu auszuführen, dass in diesen Fällen die Wahrscheinlichkeit einer Fälschung oder eines Identitätsbetruges im Vergleich zur reinen Übermittlung einer Postanschrift oder einer Unterschrift wesentlich verringert sei und eine vergleichsweise sichere Form der Identitätsüberprüfung darstellte. Aus dem Hinweis des Mitbeteiligten, dass die Kommunikation mit ihm sowohl über die von ihm angegebene E-Mail-Adresse, als auch über die von ihm angegebene Postanschrift geführt wurde, sei im gegenständlichen Fall nichts zu gewinnen, da dies nur den Rückschluss zulasse, dass beide Parameter vermutlich bei einer Person lägen, nicht jedoch, dass diese Person auch diejenige sei, über deren Daten Auskunft begehrt werde.

Es sei festzuhalten, dass es sich bei römisch 40 um eine Unternehmung nach römisch 40 handle, die als solche nicht selbstständig rechtsfähig römisch 40 ), sondern Bestandteil des Magistrats sei. Zugleich sei römisch 40 , wie auch die anderen Unternehmungen oder Dienststellen des Magistrats, selbständiger Verantwortlicher der von Seiten von römisch 40 geführten Datenverarbeitungen. Der römisch 40 komme daher auch nicht die Stellung eines Auftragsverarbeiters nach Artikel 28, DSGVO zu, da die römisch 40 keine Datenverarbeitungen im Auftrag und auf Weisung von römisch 40 durchführt, sondern diese übernehme nach der Geschäftseinteilung für den Magistrat der Stadt römisch 40 , die Koordination bei der Wahrnehmung der datenschutzrechtlichen Verpflichtungen, die den verantwortlichen Stellen nach der DSGVO obliegen, die Fachaufsicht in Angelegenheiten des Datenschutzes im Magistrat der Stadt römisch 40 sowie insbesondere auch die Vertretung der Stadt römisch 40 in Angelegenheiten des Datenschutzes. Das Tätigwerden der römisch 40 im gegenständlichen Fall sowie auch das Ersuchen der römisch 40 im Rahmen des ursprünglichen Auskunftsverfahrens des Beschwerdeführers würden dabei aus der zuvor genannten Zuständigkeit der römisch 40 zur Koordinierung der datenschutzrechtlichen Verpflichtungen der verantwortlichen Stellen resultieren, da hierzu insbesondere auch die Wahrnehmung der Betroffenenrechte nach der DSGVO zähle.

römisch II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Der unter Punkt römisch eins. angeführte Verfahrensgang wird den Feststellungen zugrunde gelegt.

Der Mitbeteiligte stellte am 19.02.2019 ein Auskunftsbegehren an die römisch 40 in welcher er Auskünfte gemäß Artikel 15, DSGVO über die Art, den Inhalt, die Herkunft, die Verwendungszwecke, die Übermittlungsempfänger und die Speicherdauer der Daten, welche über ihn gespeichert würden, begehrte. Weiters begehrte er Auskunft, aufgrund welcher Rechtsgrundlage die Verwendung der Daten erfolge und welche Daten im Zuge der automatisierten Entscheidungsfindung einschließlich Profiling verarbeitet würden. Er ersuchte auch (mit Verweis auf Artikel 4, DSGVO) um Auskunft aller anfallenden Daten, die sich in anderen Dateien befinden würden, jedoch über Schlüssel-, Such- und Referenzbegriffe mit seinen personenbezogenen Daten direkt oder indirekt verknüpft werden könnten. Sollten die Daten gemäß Artikel 28, DSGVO verarbeitet werden, begehrte der Mitbeteiligte auch die Angabe von Name und Anschrift des Auftragsverarbeiters.

Der Mitbeteiligte begründete sein Begehren auf Auskunft auch dahingehend, dass er Grund zur Annahme habe, dass der Schutz seiner personenbezogenen Daten verletzt worden sei, da er von Marktforschern im Auftrag von römisch 40 kontaktiert worden sei.

Weiters ersuchte der Mitbeteiligte um eine Kopie seiner verarbeiteten personenbezogenen Daten. Das Auskunftsbegehren war mit einer digitalen Signatur versehen. Der Mitbeteiligte wies zum Nachweis seiner Identität auf diese digitale Signatur seines Auskunftsbegehrens hin. Die Identität des Unterzeichners könne unter https://www.a-trust.at/de/sicherheit/pdf-verifizieren/ geprüft werden. Alternativ könne ihm die Auskunft von der Beschwerdeführerin mit Rsa oder eingeschrieben, eigenhändig mit Rückschein zugestellt werden. Zweifel an der Identität könnten nicht bestehen, da nur bei identen Namen/Adressen Daten feststellbar seien.

Die Beschwerdeführerin informierte den Mitbeteiligten daraufhin mit Schreiben vom 22.02.2019 zunächst darüber, dass sein Ansuchen auf Auskunft an die römisch 40 als gemäß der Geschäftseinteilung des römisch 40 für die Koordinierung der Beantwortung von Auskunftsbegehren nach Artikel 15, DSGVO zuständige Stelle weitergeleitet worden sei. Das Anliegen des Mitbeteiligten könne nur dann weiterbearbeitet werden, wenn der Mitbeteiligte seine Identität mittels Vorlage eines geeigneten Identitätsnachweises nachweise. Eine qualifizierte elektronische Signatur erfülle das rechtliche Erfordernis der Schriftlichkeit iSd Paragraph 886, ABGB, sei jedoch zur Durchführung einer Identitätsprüfung nicht ausreichend.

Der Mitbeteiligte übermittelte in der Folge keinen (weiteren) Identitätsnachweis.

Die Beschwerdeführerin gab mit Schreiben vom 03.04.2019 bekannt, mangels fristgerechter Vorlage eines Identitätsnachweises von der Auskunftserteilung gemäß Artikel 11, Absatz 2, DSGVO Abstand zu nehmen und kam auch im weiteren Verfahren dem Auskunftsbegehren des Mitbeteiligten nicht nach. Die Beschwerdeführerin hat dem Mitbeteiligten auch keine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt.

Die E-Mail-Adresse des Mitbeteiligten wurde von ihm und der Beschwerdeführerin zur aktiven Kommunikation genutzt, deren Inhalt sich auf eine zuvor an die ebenfalls bekannte Postanschrift gesendete eingeschriebene Briefsendung der römisch 40 bezogen hat. Beide Daten waren schon vor dem Auskunftsbegehren bei römisch 40 hinterlegt.

Die belangte Behörde hat im angefochtenen Bescheid der Beschwerde des Mitbeteiligten stattgegeben und festgestellt, dass "der Magistrat römisch 40 " (richtig: die Stadt römisch 40 , vertreten durch den Magistrat der Stadt römisch 40 , Anmerkung den Mitbeteiligten dadurch in seinem Recht auf Auskunft verletzt hat indem er seinem Auskunftsbegehren nicht entsprochen hat (Spruchpunkt 1.). Dem Beschwerdegegner wurde aufgetragen, innerhalb einer Frist von zwei Wochen bei sonstiger Exekution dem Antrag des Mitbeteiligten auf Auskunft zu entsprechen (Spruchpunkt 2.).

Die Stadt römisch 40 ist eine Gebietskörperschaft und damit eine Körperschaft öffentlichen Rechts. Wiener Wohnen ist eine unselbständige Unternehmung der Stadt römisch 40 . Der Magistrat (die römisch 40 ) vertritt die Stadt römisch 40 in Angelegenheiten des Datenschutzes, insbesondere vor der Datenschutzbehörde.

Auf der Webseite des Magistrats der Stadt römisch 40 ist ersichtlich, dass die betroffene Person bei Auskunftsbegehren ihre Identität dem Verantwortlichen gegenüber nachweisen muss (zum Beispiel mit der Kopie eines Reisepasses oder Führerscheins), damit sichergestellt sei, dass es sich um Daten der betroffenen Person handle.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Verwaltungsakt und aus dem Gerichtsakt. Dass auf der Webseite des Magistrats der römisch 40 der Nachweis der Identität gefordert wird, ist unter dem auch vom Mitbeteiligten zitierten Link https://www.wien.gv.at/info/datenschutz/magistrat/ (abgerufen am 26.05.2020) ersichtlich (Unterstreichungen durch das Bundesverwaltungsgericht):

"Auskunftsrecht der betroffenen Person

Jede betroffene Person hat ein Recht darauf zu erfahren, ob ihre eigenen personenbezogenen Daten von einer beziehungsweise einem Verantwortlichen verarbeitet werden. Werden große Mengen an Informationen über die betroffene Person verarbeitet, kann die oder der Verantwortliche verlangen, dass die Antragstellerin beziehungsweise der Antragsteller präzisiert, auf welche Informationen oder Verarbeitungsvorgänge sich der Antrag konkret bezieht (Mitwirkungspflicht).

Zudem muss die betroffene Person ihre Identität der beziehungsweise dem Verantwortlichen gegenüber nachweisen (zum Beispiel mit der Kopie eines Reisepasses oder Führerscheins), damit sichergestellt werden kann, dass es sich um ihre Daten handelt.

[...]"

3. Rechtliche Beurteilung:

Zu A)

3.1. Gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß Paragraph 6, Bundesverwaltungsgerichtsgesetz (BVwGG) entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß Paragraph 27, Datenschutzgesetz (DSG) idgF (welcher im Wesentlichen dem bis 24.05.2018 in Geltung gestandenen Paragraph 39, DSG 2000 entspricht) entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das Verwaltungsgerichtsverfahrensgesetz (VwGVG) geregelt (Paragraph eins, leg.cit.). Gemäß Paragraph 58, Absatz 2, VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkraftretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß Paragraph 17, VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Artikel 130, Absatz eins, B-VG die Bestimmungen des AVG mit Ausnahme der Paragraphen eins bis 5 sowie des römisch IV. Teiles sowie andere näher genannte (im vorliegenden Fall nicht relevante) Gesetze und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß Paragraph 28, Absatz eins, VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß Paragraph 31, Absatz eins, VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß Paragraph 28, Absatz 2, VwGVG hat über Beschwerden gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG das Verwaltungsgericht dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.2. Zu den Prozessvoraussetzungen:

Die Beschwerde wurde gemäß Paragraph 7, Absatz 4, VwGVG fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.

3.3. Zu Spruchteil A):

3.3.1. Rechtslage:

Die belangte Behörde hat ihrem Bescheid folgende Rechtsgrundlagen zugrunde gelegt:

Artikel 12,, Artikel 15,, Artikel 57, Absatz eins, Litera f,, Artikel 58, Absatz 2, Litera c, sowie Artikel 77, Absatz eins, der Datenschutz-Grundverordnung (DSGVO), ABl. Nr. L 119 vom 04.05.2016 und Paragraph 24, Absatz 5, des Datenschutzgesetzes (DSG, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF. Diese Bestimmungen sind auch im gegenständlichen Beschwerdeverfahren vor dem Bundesverwaltungsgericht heranzuziehen. Darüber hinaus sind auch Artikel 4, der der Datenschutz-Grundverordnung (DSGVO), ABl. Nr. L 119 vom 04.05.2016, Artikel 3, Ziffer 10 bis 12 und 19 sowie Artikel 26, der Verordnung (EU) Nr. 910/2014 vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-VO), sowie Paragraph 8, Absatz eins, des Bundesgesetzes über elektronische Signaturen und Vertrauensdienste für elektronische Transaktionen (Signatur- und Vertrauensdienstegesetz - SVG) anzuwenden. Weiters ist auch die Geschäftseinteilung des Magistrats der römisch 40 , relevant.

Artikel 4, Ziffer eins und 2 DSGVO lauten:

"Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;"

Artikel 12, DSGVO lautet:

"Artikel 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

(5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder

b) sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

(7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.

(8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen."

Artikel 15, DSGVO lautet:

"Artikel 15

Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen."

Artikel 57, Absatz eins, Litera f, DSGVO lautet:

"Artikel 57

Aufgaben

(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;"

Artikel 58, Absatz 2, Litera c, DSGVO lautet:

Artikel 58 Befugnisse

(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,"

Artikel 77, Absatz eins, DSGVO lautet:

"Artikel 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt."

Artikel 3, Ziffer 10,, 11, 12 und 19 eIDAS-VO lauten:

"Artikel 3

Begriffsbestimmungen

10. "Elektronische Signatur" sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet

11. "Fortgeschrittene elektronische Signatur" ist eine elektronische Signatur, die die Anforderungen des Artikels 26 erfüllt.

12. "Qualifizierte elektronische Signatur" ist eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht

19. "Vertrauensdiensteanbieter" ist eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste als qualifizierter oder nichtqualifizierter Vertrauensdiensteanbieter erbringt."

Artikel 26, eIDAS-VO lautet:

"Artikel 26

Anforderungen an fortgeschrittene elektronische Signaturen

Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:

a) Sie ist eindeutig dem Unterzeichner zugeordnet

b) Sie ermöglicht die Identifizierung des Unterzeichners.

c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann."

Paragraph 8, Absatz eins, SVG lautet:

"Ausstellung qualifizierter Zertifikate für einen Vertrauensdienst

Paragraph 8, (1) Ein qualifizierter VDA oder eine in seinem Auftrag tätige Stelle hat die Identität von persönlich anwesenden natürlichen Personen oder Vertretern einer juristischen Person, denen ein qualifiziertes Zertifikat ausgestellt werden soll, anhand eines amtlichen Lichtbildausweises oder durch einen anderen in seiner Zuverlässigkeit gleichwertigen, dokumentierten oder zu dokumentierenden Nachweis festzustellen (Artikel 24, Absatz eins, Litera a, eIDAS-VO). Vertreter von juristischen Personen haben darüber hinaus einen Nachweis über das Bestehen der Vertretungsbefugnis vorzulegen."

3.3.2. Auf den konkreten Fall umgelegt bedeute dies Folgendes:

Zur Beschwerdeführerin (Beschwerdegegnerin im Verfahren vor der belangten Behörde):

Zunächst ist zur Frage der Parteibezeichnung festzuhalten, dass sich aus der oben zitierten Geschäftsverteilung ergibt, dass die Magistratsabteilung römisch 40 für die "Vertretung der Stadt römisch 40 in Angelegenheiten des Datenschutzes, insbesondere vor der Datenschutzbehörde" zuständig ist. Aus der Stellungnahme der Beschwerdeführerin vom 19.05.2020 ergibt sich, dass römisch 40 ein unselbständiges Unternehmen ist.

Insofern steht daher fest, dass die ursprüngliche Beschwerdegegnerin im Verfahren der belangten Behörde und Beschwerdeführerin vor dem Bundesverwaltungsgericht die "Stadt römisch 40 , vertreten durch den Magistrat der Stadt römisch 40 ist. Die Unschärfe der Bezeichnung des ursprünglichen Beschwerdegegners ist aber dem Mitbeteiligten nicht zur Last zu legen.

Zu Spruchpunkt 1. des angefochtenen Bescheides: Stattgabe der Beschwerde und Feststellung der Verletzung des Rechtes auf Auskunft:

Die Beschwerdeführerin hat dem Auskunftsbegehren des Mitbeteiligten vom 19.02.2019 nicht Folge geleistet und dies mit der mangelnden Vorlage eines Identitätsnachweises durch den Mitbeteiligten begründet. Eine qualifizierte elektronische Signatur ersetze das Erfordernis eines Identitätsnachweises nicht.

Die Beschwerdeführerin war mit dieser Vorgangsweise nicht im Recht:

Gemäß Artikel 15, Absatz eins, DSGVO hat eine betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und soweit dies der Fall ist, Auskunft über diese personenbezogenen Daten zu erhalten sowie Anspruch auf die Information gemäß Litera a bis h leg. cit.

Die Entstehung eines solchen datenschutzrechtlichen Auskunftsanspruches setzt gemäß Artikel 12, DSGVO, wie von der belangten Behörde zutreffend ausgeführt, unter anderem voraus, dass die Identität des Auskunftswerbers feststeht. Bei begründeten Zweifeln an der Identität kann der Verantwortliche gemäß Artikel 12, Absatz 6, DSGVO zusätzliche Informationen anzufordern, die zur Bestätigung der Identität erforderlich sind. Dass dadurch jedoch keine routinemäßige Identitätsprüfung ermöglicht wird und ein Verantwortlicher daher nicht generell die Vorlage eines Identitätsnachweises verlangen darf, wird in der Beschwerde von der Beschwerdeführerin ausdrücklich zugestanden.

Die Beschwerdeführerin vermeint jedoch, dass Zweifel an der Identität nicht durch die bloße Bekanntgabe einer E-Mail-Adresse oder Postanschrift zerstreut werden könnten.

In ihrer Argumentation übersieht die Beschwerdeführerin jedoch, dass sie im Verfahren zu keinem Zeitpunkt - weder in der Kommunikation mit dem Mitbeteiligten, noch im Verfahren vor der belangten Behörde oder in ihrer Beschwerde - dargelegt hat, aus welchem Grund sie an der Identität des Mitbeteiligten zweifelt. Der Mitbeteiligte hat ausdrücklich nachgefragt, ob derartige begründete Zweifel gegeben seien und bejahendenfalls, worin diese bestünden, bekam aber keine diesbezügliche Antwort. In seiner Stellungnahme an die belangte Behörde vom 12.07.2019 hat die Beschwerdeführerin lediglich (und in Widerspruch zu ihrem an den Mitbeteiligten gerichteten Schreiben vom 11.03.2019, in dem sie ausführt, dass die qualifizierte elektronische Signatur im PDF-Dokument [...] als Garant für die [...] [Authentizität] des Dokuments diene), dass die "Authentizität" der Eingabe des Mitbeteiligten nicht hinreichend sichergestellt gewesen sei (gemeint war offenbar die "Identität", Anm.), ohne dies jedoch konkret aufzuzeigen. Aus den Ausführungen geht vielmehr hervor, dass die Beschwerdeführerin vor jeder Auskunftserteilung die Identität des Auskunftswerbers prüft, auch wenn dies in der Stellungnahme vom 09.04.2020 in Abrede gestellt wird. Dies geht auch aus der Website des Magistrats der römisch 40 https://www.wien.gv.at/info/datenschutz/magistrat/ hervor. Eine solche Vorgehensweise, die einer routinemäßigen Identitätsprüfung gleichkommt, widerspricht jedoch - wie oben ausgeführt - dem Wortlaut des Artikel 12, Absatz 6, DSGVO, wonach die zusätzliche Anforderung von Informationen begründete Zweifel an der Identität des Antragstellers voraussetzt. Wenn die Beschwerdeführerin in ihrer Stellungnahme vom 19.05.2020 argumentiert, dass nicht unbedingt eine Ausweiskopie beigebracht werden muss, sondern auch ein anderer Nachweis der Identität möglich sei, so ändert das nichts daran, dass stets ein Identitätsnachweis gefordert wird.

Wie die belangte Behörde und der Mitbeteiligte zutreffend ausgeführt haben, sind der Beschwerdeführerin der vollständige Name, die Adresse und E-Mail-Adresse des Mitbeteiligten bekannt und hat der Mitbeteiligte sein Auskunftsbegehren auch mit einer qualifizierten elektronischen Signatur versehen.

Aus dem Erwägungsgrund 64 zur DSGVO ergibt sich auch, dass die Beschwerdeführerin alle vertretbaren Mittel zu nutzen hat, um die Identität einer Auskunft suchenden betroffenen Person zu ermitteln. Selbst wenn daher davon auszugehen wäre, dass der Mitbeteiligte der römisch 40 vor Stellen eines Auskunftsbegehrens gänzlich unbekannt war, hätte sie dem Erwägungsgrund 64 folgend, zumindest bei römisch 40 nachzufragen gehabt, ob der Name des Mitbeteiligte dort mit der genannten Wohn- und E-Mail-Adresse verknüpft ist.

Für das Bundesverwaltungsgericht ist aus den vorgelegten Verwaltungsakten, die den Ablauf des Verfahrens sowie den Kommunikationsablauf zwischen dem Mitbeteiligten und der Beschwerdeführerin hinreichend genau skizzieren, jedenfalls kein Grund ersichtlich, weshalb die Beschwerdeführerin an der Identität des Mitbeteiligten gezweifelt hat oder zweifeln hätte müssen.

Davon abgesehen ist dem Mitbeteiligten beizupflichten, dass es erfahrungsgemäß wesentlich einfacher ist, missbräuchlicher Weise eine Ausweiskopie zu besorgen als Zugangsdaten für die elektronische Signatur zu beschaffen. Wenn die Beschwerdeführerin in ihrer Stellungnahme vom 19.05.2020 die Meinung vertritt, dass im Falle der Vorlage einer Ausweiskopie die Wahrscheinlichkeit einer Fälschung oder eines Identitätsbetruges im Vergleich zur reinen Übermittlung einer Postanschrift oder einer Unterschrift wesentlich verringert sei und eine vergleichsweise sichere Form der Identitätsüberprüfung darstelle, so mag dies vielleicht für die Übermittlung einer Postanschrift gelten, nicht jedoch für den Fall der Verwendung einer qualifizierten elektronischen Signatur.

Die Beschwerde war hinsichtlich Spruchpunkt 1. des angefochtenen Bescheides schon aus diesem Grund abzuweisen.

Darüber hinaus hat der Mitbeteiligte in seiner Stellungnahme vom 22.04.2020 ausdrücklich ausgeführt, dass die E-Mail-Adresse nicht "bloß "bekanntgegeben" wurde, sondern von beiden Seiten zur aktiven Kommunikation genutzt wurde, deren Inhalt sich auf eine zuvor an die ebenfalls bekannte Postanschrift gesendete eingeschriebene Briefsendung der römisch 40 bezogen habe. Beide Daten seien schon vor dem Auskunftsbegehren bei römisch 40 hinterlegt gewesen und daher mit den vorhandenen Datensätzen vergleichbar gewesen. In diesem Zusammenhang verweist das Bundesverwaltungsgericht auf die Rechtsprechung des Verwaltungsgerichtshofes, wonach die Identität auch aus der Situation heraus klar sein kann. Dies kann z.B. der Fall sein, wenn sich der Auftraggeber (nunmehr Verantwortliche, Anmerkung - ohne an der Identität des Betroffenen zu zweifeln - nach einem unmittelbar vorangegangenen Rechtsstreit bereits auf eine längere Korrespondenz mit diesem eingelassen hat (VwGH 04.07.2016, Ra 2016/04/0014; siehe auch OGH vom 25.02.1993, 6 Ob 6/93). Soweit sich also die Beschwerdeführerin im Vorfeld des Auskunftsbegehrens bereits auf eine Korrespondenz mit dem Mitbeteiligten eingelassen hat, ohne an dessen Identität zu zweifeln, wäre auch aus diesem Grund kein gesonderter Identitätsnachweis notwendig.

Das Bundesverwaltungsgericht teilt jedoch auch die Ansicht der belangten Behörde, dass die elektronische Signatur im vorliegenden Fall ein geeignetes Mittel zum Nachweis der Identität darstellt:

Artikel 3, Ziffer 10, der eIDAS-VO (auf den Paragraph 3, Absatz 2, SVG verweist) definiert eine elektronische Signatur als "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet."; eine fortgeschrittene elektronische Signatur gemäß Ziffer 11, als "eine elektronische Signatur, die die Anforderungen des Artikels 26 erfüllt", d.h. eindeutig dem Unterzeichner zugeordnet ist, die Identifizierung des Unterzeichners ermöglicht, unter Verwendung elektronischer Signaturerstellungsdaten erstellt wird, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann und mit den auf diese Weise unterzeichneten Daten so verbunden ist, dass eine nachträgliche Veränderung der Daten erkannt werden kann.; und eine qualifizierte elektronische Signatur gemäß Ziffer 12, als "eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht."

Gemäß Paragraph 8, Absatz eins, SiG hat ein VDA (Vertrauensdiensteanbieter, das ist eine natürliche oder juristische Person oder eine sonstige rechtsfähige Einrichtung, die Zertifikate ausstellt oder andere Signatur- und Zertifizierungsdienste erbringt; vergleiche Paragraph 2, Ziffer 10, SiG) oder eine in seinem Auftrag tätige Stelle die Identität von Personen, denen ein qualifiziertes Zertifikat ausgestellt werden soll, anhand eines amtlichen Lichtbildausweises oder durch einen anderen in seiner Zuverlässigkeit gleichwertigen, dokumentierten oder zu dokumentierenden Nachweis, festzustellen. Der VDA hat die Zuordnung bestimmter Signaturprüfdaten zu dieser Person durch ein qualifiziertes Zertifikat zu bestätigen.

Daraus folgt, dass die Identität des Mitbeteiligten bereits bei Ausstellung des qualifizierten Zertifikates festgestellt worden sein muss, ansonsten hätte eine solche Ausstellung nicht erfolgen dürfen. Es gibt keine Hinweise darauf, dass das qualifizierte Zertifikat ohne Identitätsnachweis und somit rechtswidrig an den Mitbeteiligten ausgestellt worden ist, weshalb jedenfalls davon auszugehen ist, dass seine Identität ordnungsgemäß von einem VDA oder einer in seinem Auftrag tätigen Stelle überprüft worden ist.

Bei dem von der Beschwerdeführerin in ihrer Stellungnahme vom 09.04.2020 anstrengten Beispiel, wonach ein unterzeichneter Kaufvertrag, der bei Einsicht in einen Betriebsanlagenakt vorgelegt werde, keinen Nachweis der Identität belege, übersieht die Beschwerdeführerin, dass bei der Unterfertigung des Kaufvertrages - im Unterschied zum Vorgang bei der Ausstellung des qualifizierten Zertifikates - die Identität nicht bzw. nicht von einem qualifizierten Vertrauensdienstanbieter, wie etwa der A-Trust GmbH, die in der Liste der Aufsichtsbehörde RTR (Rundfunk und Telekom Regulierungs-GmbH) eingetragen ist und regelmäßigen Kontrollen durch diese unterliegt, geprüft wurde.

Auch den Ausführungen zur "Identität für elektronische Geschäfte" auf der Rechtsinformationsseite des Bundes (https://www.oesterreich.gv.at/themen/dokumente_und_recht/handy_signatur_und_kartenbasierte_buergerkarte/1/Seite.2821106.html, abgerufen am 26.05.2020) zufolge, können sich die Nutzer der qualifizierten elektronischen Signatur (Bürgerkarte/Handy-Signatur) bei Webseiten, die die Verwendung einer solchen unterstützen, ausweisen. Zusätzlich zur Ausweisfunktion biete die Bürgerkarte/Handy-Signatur auch die Möglichkeit, Dokumente einfach und sicher elektronisch zu unterschreiben.

Der von der Beschwerdeführerin angeführte "Elektronischen Identitätsnachweis (E-ID)" ist eine Erweiterung der qualifizierten elektronischen Signatur, jedoch kann auch - wie oben ausgeführt - bereits die qualifizierte elektronische Signatur Ausweisfunktion haben.

Die Ausführungen der Beschwerdeführerin, dass die qualifizierte elektronische Signatur keinen Lichtbildausweis zu ersetzen vermöge, gehen ins Leere, da - wie die belangte Behörde zutreffend ausgeführt hat - der Nachweis der Identität auch auf andere Weise, als durch einen Lichtbildausweis, nämlich durch einen elektronischen Identitätsnachweis, einen Identitätsbestätigungsdienst, eines anderen elektronischen Nachweisverfahrens oder eben durch eine qualifizierte elektronische Signatur erfolgen kann vergleiche Greve in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung (Handkommentar) Artikel 12, Rz 19).

Die Beschwerdeführerin gestand in ihrer Stellungnahme vom 09.04.2020 selbst zu, dass eine qualifizierte elektronische Signatur eine feste Personenbindung aufweise, d.h. eine qualifizierte elektronische Signatur zweifelsohne einer eindeutig identifizierten Person zugeordnet sei. Soweit die Beschwerdeführerin geltend macht, dass die Rückführung der qualifizierten elektronischen Signatur auf die eindeutig identifizierte Person jedoch nicht jeder Person möglich sei, so ändert dies nichts daran, dass diese Identitätsprüfung von einer den gesetzlichen Vorschriften entsprechend eingerichteten vertrauenswürdigen Stelle vorgenommen wurde.

Die belangte Behörde hat daher zu Recht festgestellt, dass die Beschwerdeführerin den Mitbeteiligten in seinem Recht auf Auskunft verletzt hat.

3.3.2.2. Zu Spruchpunkt 2. des angefochtenen Bescheides: Auftrag, dem Antrag der Beschwerdeführerin binnen einer Frist von zwei Wochen bei sonstiger Exekution zu entsprechen:

Die Beschwerdeführerin bringt in ihrer Beschwerde vor, dass gemäß Paragraph 24, Absatz 5, DSG die Erteilung eines Leistungsauftrages an Verantwortliche des öffentlichen Bereiches nicht zulässig sei.

Dabei verkennt sie, dass die belangte Behörde bereits im angefochtenen Bescheid festgehalten hat, dass die Einschränkung des Paragraph 24, Absatz 5, DSG auf Verantwortliche des privaten Bereiches aufgrund des Anwendungsvorranges des Artikel 58, Absatz 2, Litera c, DSGVO, der eine solche Einschränkung nicht vorsehe, unangewendet zu bleiben hat.

Die belangte Behörde ist mit dieser Ansicht auch im Recht:

Gemäß Artikel 58, Absatz 2, Litera c, DSGVO verfügt jede Aufsichtsbehörde über sämtliche Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen.

Gemäß Artikel 288, Absatz 2, des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) sind die Verordnungen diejenigen Rechtsakte, welche allgemeine Geltung haben, in allen ihren Teilen verbindlich sind und unmittelbar in jedem Mitgliedstaat gelten.

Im Konfliktfall zwischen nationalem Recht und unmittelbar anwendbarem Unionsrecht, hat nach der ständigen Rechtsprechung des EuGH die Anwendung der innerstaatlichen Vorschrift zu unterbleiben vergleiche Urteil vom 15.07.1964, C-6/64; VwGH 06.09.2012, 2012/09/0105).

Wenn hier die Beschwerdeführerin vermeint, es handle es sich um eine "verfahrensrechtliche Sonderregelung", so ist dem entgegenzuhalten, dass diese dem Unionsrechts entgegensteht, zumal dieses diesbezüglich keinen Raum für Sonderregelungen einräumt.

Auch in der wissenschaftlichen Literatur wird die Auffassung vertreten, dass die in der DSGVO normierten Aufgaben und Befugnisse der Aufsichtsbehörden auch gegenüber der öffentlichen Verwaltung zur Anwendung kommen. "So sieht Artikel 57, Absatz eins, Litera a, DSGVO vor, dass die DSB ‚die Anwendung dieser Verordnung' - auch gegenüber der öffentlichen Verwaltung - ‚überwachen und durchsetzen soll'. Die DSB hat insoweit auch gegenüber der öffentlichen Verwaltung die breiten Untersuchungsbefugnisse gemäß Artikel 58, Absatz eins, DSGVO, aber auch die sog. "Abhilfebefugnisse" gemäß Artikel 58, Absatz 2, DSGVO. Dabei handelt es sich um Anordnungen, die als Bescheid oder als Akt unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt gedeutet werden können." vergleiche Konrad Lachmayer, Die DSGVO im öffentlichen Bereich, ÖJZ 2018/17, 112 ff, 118). Die DSB kann daher auch gegenüber Verantwortlichen des öffentlichen Bereiches einen Leistungsbescheid erlassen (Thiele/Wagner, Kommentar zum DSG (2020) Paragraph 24, Rz 246).

Die belangte Behörde war daher berechtigt, der Beschwerdeführerin auch als Verantwortlichen des öffentlichen Bereiches aufzutragen, dem Antrag des Mitbeteiligten auf Auskunft zu entsprechen.

Schließlich erschließt sich dem Bundesverwaltungsgericht auch nicht, worin diesbezüglich die Beschwer der Beschwerdeführerin gegeben sein soll, da sie jedenfalls angehalten wäre, den der Rechtsanschauung der belangten Behörde entsprechenden Zustand durch Erbringung einer Leistung, nämlich der Auskunftserteilung, herzustellen, wenn die belangte Behörde eine Verletzung des Auskunftsrechts festgestellt hat. In diesem Zusammenhang ist auch auf den im DSG 2000 bis zur DSG-Novelle 2014 Bundesgesetzblatt Teil eins, Nr. 83 aus 2013,) enthaltenen Paragraph 40, Absatz 4, zu verweisen, der ebenfalls normierte, dass ein Auftraggeber "[...] mit den ihm zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung der (damals noch) Datenschutzkommission entsprechenden Zustand herzustellen" hat. Es besteht keinerlei Anhaltspunkt, dass der Gesetzgeber diese Bestimmung deswegen entfallen ließ, weil er die Meinung vertrat, dass eine derartige Verpflichtung nicht mehr bestünde, sondern vielmehr, dass er - anlässlich grundlegender Neuregelungen - die Beibehaltung der Bestimmung offenbar für entbehrlich hielt und davon ausging, dass ein rechtskonformes Vorgehen von Behörden selbstverständlich sei.

Vom Leistungsauftrag zu unterscheiden ist die Frage der Vollstreckung nach dem VVG: Bei der Auskunftserteilung handelt es sich um eine unvertretbare Handlung, zu deren Durchsetzung grundsätzlich Geldstrafen verhängt werden dürfen. Gemäß Paragraph 5, Absatz 4, VVG ist die Vollstreckung durch Geldstrafen als Zwangsmittel auch gegen juristische Personen mit Ausnahme der Körperschaften des öffentlichen Rechts und eingetragene Personengesellschaften zulässig. Wie die belangte Behörde in ihrer Stellungnahme vom 30.01.2020 auch selbst eingeräumt hat, ist eine "Exekution" gegen die Beschwerdeführerin nicht möglich. Auch eine Erzwingung durch die Verhängung von Geldbußen iSd DSGVO ist gegen Behörden und öffentliche Stellen gemäß Paragraph 30, DSG nicht möglich.

Festzuhalten ist in diesem Zusammenhang, dass diese Ausnahmeregelung nicht als "Freibrief" für die öffentliche Verwaltung verstanden werden kann, sich nicht an die DSGVO zu halten (siehe Konrad Lachmayer, aaO). Insbesondere bleiben allfällige Schadenersatz-/Haftungsansprüche gegenüber der Beschwerdeführerin unberührt und könnte ein Zuwiderhandeln gegen den Bescheid der belangten Behörde auch disziplinäre und/oder strafrechtliche Konsequenzen mit sich ziehen.

Es war daher spruchgemäß zu entscheiden und die Beschwerde nach Maßgabe des Entfalls der Worte "bei sonstiger Exekution" abzuweisen.

Zum Entfall einer mündlichen Verhandlung:

Gemäß Paragraph 24, Absatz eins, VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Gemäß Paragraph 24, Absatz 4, VwGVG kann - soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist - das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Artikel 6, Absatz eins, EMRK noch Artikel 47, GRC entgegenstehen.

Im gegenständlichen Fall wurde von der Beschwerdeführerin keine mündliche Verhandlung beantragt und war der Sachverhalt aus der Aktenlage geklärt. Die Heranziehung weiterer Beweismittel war zur Klärung des Sachverhaltes nicht notwendig.

Das Bundesverwaltungsgericht hat vorliegend ausschließlich über eine Rechtsfrage zu erkennen vergleiche EGMR 20.06.2013, Appl. Nr. 24510/06, Abdulgadirov/AZE, Rz 34 ff.). Auch nach der Rechtsprechung des Verfassungsgerichtshofes kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.06.2012, B 155/12).

Die Durchführung einer mündlichen Verhandlung war daher nicht erforderlich.

Zu B) Unzulässigkeit der Revision:

Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Das Bundesverwaltungsgericht kann sich bei allen erheblichen Rechtsfragen auf eine ständige Rechtsprechung des Verwaltungsgerichtshofes bzw. auf eine ohnehin klare Rechtslage stützen. Ausgehend davon kann eine Rechtsfrage im Sinn des Artikel 133, Absatz 4, B-VG von grundsätzlicher Bedeutung auch insofern nicht bejaht werden vergleiche etwa VwGH 25.09.2015, Ra 2015/16/0085, mwN). Es war daher auszusprechen, dass die Revision gemäß Artikel 133, Absatz 4, B-VG nicht zulässig ist.

Schlagworte

Auskunfterteilung Auskunftsbegehren Auskunftsrecht begründete Zweifel Datenschutzbehörde elektronische Signatur Gebietskörperschaft Identität Identitätsfeststellung Verantwortlicher

European Case Law Identifier (ECLI)

ECLI:AT:BVWG:2020:W214.2228346.1.00

Im RIS seit

30.07.2020

Zuletzt aktualisiert am

30.07.2020

Dokumentnummer

BVWGT_20200527_W214_2228346_1_00