Entscheidungsdatum
10.09.2018Norm
B-VG Art.130 Abs1Spruch
W258 2134678-1/10E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerde von XXXX , mitbeteiligte Partei vor dem Bundesverwaltungsgericht XXXX , gegen den Bescheid der Datenschutzbehörde vom XXXX , GZ XXXX , in nichtöffentlicher SitzungDas Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerde von römisch 40 , mitbeteiligte Partei vor dem Bundesverwaltungsgericht römisch 40 , gegen den Bescheid der Datenschutzbehörde vom römisch 40 , GZ römisch 40 , in nichtöffentlicher Sitzung
A1) zu Recht erkannt:
Die Beschwerde wird als unbegründet abgewiesen.
A2) beschlossen:
Die darüber hinaus gerichteten Anträge, das erkennende Gericht möge
a) die Befugnisse gemäß § 30 Abs 2, 4, 6 und 6a DSG 2000 ausüben,a) die Befugnisse gemäß Paragraph 30, Absatz 2, 4, 6 und 6 a DSG 2000 ausüben,
b) die belangte Behörde auffordern, die Empfehlung vom XXXX GZ XXXX öffentlich zu widerrufen, gänzlich zurückzunehmen und einem neuen Ermittlungsverfahren unterziehen,b) die belangte Behörde auffordern, die Empfehlung vom römisch 40 GZ römisch 40 öffentlich zu widerrufen, gänzlich zurückzunehmen und einem neuen Ermittlungsverfahren unterziehen,
c) Rechtsbelehrungen an die mitbeteiligte Partei und ihren berufsmäßigen Parteienvertreter erteilten und
d) dem Verwaltungsdirektor der mitbeteiligten Partei zu untersagen, von extern mittels VPN auf Krankendaten und extramurale Bereiche wie auf die Drogenambulanz in XXXX und auf die Psychiatrie Tagesklinik zuzugreifend) dem Verwaltungsdirektor der mitbeteiligten Partei zu untersagen, von extern mittels VPN auf Krankendaten und extramurale Bereiche wie auf die Drogenambulanz in römisch 40 und auf die Psychiatrie Tagesklinik zuzugreifen
werden mangels Zuständigkeit zurückgewiesen.
B) Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig.B) Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
ENTSCHEIDUNGSGRÜNDE:
I. Verfahrensgang:römisch eins. Verfahrensgang:
Mit Beschwerde vom 09.06.2016, über Mangelbehebungsauftrag vom 13.06.2016 verbessert mittels Schreiben vom 01.07.2016, erhob die Beschwerdeführerin (in Folge kurz "BF") gemäß § 31 DSG 2000 Beschwerde gegen die mitbeteiligte Partei wegen Verletzung ihres Rechts auf Geheimhaltung schutzwürdiger personenbezogener Daten.Mit Beschwerde vom 09.06.2016, über Mangelbehebungsauftrag vom 13.06.2016 verbessert mittels Schreiben vom 01.07.2016, erhob die Beschwerdeführerin (in Folge kurz "BF") gemäß Paragraph 31, DSG 2000 Beschwerde gegen die mitbeteiligte Partei wegen Verletzung ihres Rechts auf Geheimhaltung schutzwürdiger personenbezogener Daten.
Die BF brachte sinngemäß vor, sie führe gegen die mitbeteiligte Partei wegen datenschutzrechtlicher Verstöße mehrere Verfahren vor der belangten Behörde und dem Bundesverwaltungsgericht (in Folge kurz "Verfahren"). Die mitbeteiligte Partei habe Korrespondenzen und Verfahrensinhalte der Verfahren rechtswidrig an den hierzu nicht berechtigten Verwaltungsdirektor des XXXX weitergeleitet, der diese Informationen wiederum rechtswidrig an seine Kanzleikraft, den Datenschutzbeauftragen und von den Verfahren betroffene Mitarbeiter des XXXX weitergeleitet habe. Der Kompetenzbereich eines Verwaltungsdirektors umfasse nämlich ausschließlich die Wirtschaftsführung, zur Führung von Verwaltungsverfahren sei er nicht befugt. Die Weiterleitung der Verfahrensdaten an den Verwaltungsdirektor, der auch ihr weisungsbefugter personalverantwortlicher Vorgesetzter sei, verletze daher ebenso ihr Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten, wie die durch ihn veranlasste Weiterleitung der Verfahrensdaten an Dritte. Richtigerweise hätte der Gemeindeverband für Verwaltungsverfahrensangelegenheiten einen beruflichen Parteienvertreter bevollmächtigen müssen. Die BF beantragte sinngemäß die Feststellung dieser Rechtsverletzung.Die BF brachte sinngemäß vor, sie führe gegen die mitbeteiligte Partei wegen datenschutzrechtlicher Verstöße mehrere Verfahren vor der belangten Behörde und dem Bundesverwaltungsgericht (in Folge kurz "Verfahren"). Die mitbeteiligte Partei habe Korrespondenzen und Verfahrensinhalte der Verfahren rechtswidrig an den hierzu nicht berechtigten Verwaltungsdirektor des römisch 40 weitergeleitet, der diese Informationen wiederum rechtswidrig an seine Kanzleikraft, den Datenschutzbeauftragen und von den Verfahren betroffene Mitarbeiter des römisch 40 weitergeleitet habe. Der Kompetenzbereich eines Verwaltungsdirektors umfasse nämlich ausschließlich die Wirtschaftsführung, zur Führung von Verwaltungsverfahren sei er nicht befugt. Die Weiterleitung der Verfahrensdaten an den Verwaltungsdirektor, der auch ihr weisungsbefugter personalverantwortlicher Vorgesetzter sei, verletze daher ebenso ihr Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten, wie die durch ihn veranlasste Weiterleitung der Verfahrensdaten an Dritte. Richtigerweise hätte der Gemeindeverband für Verwaltungsverfahrensangelegenheiten einen beruflichen Parteienvertreter bevollmächtigen müssen. Die BF beantragte sinngemäß die Feststellung dieser Rechtsverletzung.
Die BF stellte darüber hinaus ua die Anträge, die belangte Behörde möge die mitbeteiligte Partei auftragen, Datenverwendungen durch Unbefugte zu unterlassen, die Weiterführung der Datenverwendung von Amts wegen untersagen und hinsichtlich der erfolgten Weiterleitungen von Verfahrensdaten Sanktionen aussprechen.
Mit Schreiben vom 04.07.2016 übermittelte die belangte Behörde der mittbeteiligten Partei die Schreiben der BF und forderte sie auf, binnen vier Wochen dazu Stellung zu nehmen. Mit Stellungnahme vom 11.07.2016 brachte der Verwaltungsdirektor im Wesentlichen vor, die Vorwürfe seien unberechtigt. Angelegenheiten des Datenschutzes seien jedenfalls Verwaltungsangelegenheiten und würden daher in seinen Kompetenzbereich fallen. Da seine Sekretärin den Korrespondenzakt führe, benötige sie die Korrespondenz. Ebenso nehme seine Sekretärin die Post entgegen und leite sie weiter. Auch der Datenschutzbeauftragte benötige Kenntnis über den Beschwerdegegenstand, zumal er dem Verwaltungsdirektor beratend und unterstützend zur Seite stehe. Weiters sei es eine Selbstverständlichkeit, einem Mitarbeiter, dem ein regelwidriges Verhalten unterstellt werde, Informationen über diesen Vorwurf zu geben. Darüber hinaus sei die Beschwerde mutwillig.
Mit Schreiben vom 08.08.2016 brachte die BF zur Stellungnahme des Verwaltungsdirektors im Wesentlichen vor wie bisher und führte ergänzend zusammengefasst aus, die Stellungnahme stamme nicht vom Beschwerdegegner. Abermals seien Verfahrensinhalte an ihre Arbeitskollegen weitergeleitet worden. Weiters greife der Verwaltungsdirektor völlig unzulässig in den Kompetenzbereich des Datenschutzbeauftragten ein und die Information des Datenschutzbeauftragten über den Verlauf anhängiger Verwaltungsverfahren sei unzulässig.
Mit Bescheid vom 12.08.2016 wies die belangte Behörde die Beschwerde soweit begehrt wurde, "entsprechende Sanktionen" auszusprechen, "eine Unterlassung der Datenverwendung durch Unbefugte zu erwirken" sowie "wegen Gefahr in Verzug und wegen wesentlicher unmittelbarer Gefährdung meiner schutzwürdigen Geheimhaltungsinteressen die Weiterführung der Datenverwendung vorläufig von Amts wegen anhand eines Mandatsbescheides zu untersagen", zurück und im Übrigen ab. Die Zurückweisung erfolge mangels gesetzlicher Grundlage. Begründend führte die belangte Behörde zum abweisenden Spruchteil aus, der Verwaltungsdirektor sei vom Obmann des Beschwerdegegners ermächtigt, sachliche Stellungnahmen in Angelegenheiten des Datenschutzes abzugeben und diese Befugnis sei auch in § 16 Tir KAG enthalten, wonach dem Verwaltungsdirektor die Behandlung wirtschaftlicher, administrativer, technischer und personeller Angelegenheiten obliege. Die Beiziehung von Mitarbeitern des Verwaltungsdirektors für die Erledigung dieser Angelegenheiten sei zulässig und nicht überschießend; ebenso die Befassung der Personen, die Gegenstand von Beschuldigungen seien.Mit Bescheid vom 12.08.2016 wies die belangte Behörde die Beschwerde soweit begehrt wurde, "entsprechende Sanktionen" auszusprechen, "eine Unterlassung der Datenverwendung durch Unbefugte zu erwirken" sowie "wegen Gefahr in Verzug und wegen wesentlicher unmittelbarer Gefährdung meiner schutzwürdigen Geheimhaltungsinteressen die Weiterführung der Datenverwendung vorläufig von Amts wegen anhand eines Mandatsbescheides zu untersagen", zurück und im Übrigen ab. Die Zurückweisung erfolge mangels gesetzlicher Grundlage. Begründend führte die belangte Behörde zum abweisenden Spruchteil aus, der Verwaltungsdirektor sei vom Obmann des Beschwerdegegners ermächtigt, sachliche Stellungnahmen in Angelegenheiten des Datenschutzes abzugeben und diese Befugnis sei auch in Paragraph 16, Tir KAG enthalten, wonach dem Verwaltungsdirektor die Behandlung wirtschaftlicher, administrativer, technischer und personeller Angelegenheiten obliege. Die Beiziehung von Mitarbeitern des Verwaltungsdirektors für die Erledigung dieser Angelegenheiten sei zulässig und nicht überschießend; ebenso die Befassung der Personen, die Gegenstand von Beschuldigungen seien.
Dagegen richtet sich die gegenständliche Beschwerde der BF vom 02.09.2016, hg eingelangt am 05.09.2016, in der sie im Wesentlichen Mangelhaftigkeit des Verfahrens, unrichtige Tatsachenfeststellung infolge unrichtiger Beweiswürdigung sowie unrichtige rechtliche Beurteilung geltend macht. Begründend führte die BF auf das Wesentlichste zusammengefasst aus:
Der Verwaltungsdirektor der mitbeteiligten Partei dürfe für sie datenschutzrechtliche behördliche und verwaltungsgerichtliche Verfahren weder bearbeiten noch führen. Erstens dürfe sich die mitbeteiligte Partei nur durch ihre Organe oder durch berufsmäßige Parteienvertreter vertreten lassen. Zweitens bestehe hierfür keine rechtliche Grundlage, insbesondere auch nicht in § 16 Tir KAG. Drittens gäbe es hierfür keine gültige Ermächtigung der mitbeteiligten Partei, weil die Ermächtigung vom 11.01.2016 erst nachträglich ausgestellt worden sei und daher keine Wirkung auf den Zeitraum vor ihrer Erstellung entfalten könne, sie lediglich zu sachlichen Stellungnahmen in Angelegenheiten des Datenschutzes, nicht aber zur Führung oder Bearbeitung von behördlichen oder gerichtlichen Verfahren berechtige, sie die Anforderungen an eine gültige Vollmacht nicht erfülle und die mitbeteiligte Partei ohnehin nicht befugt sei, eine solche Berechtigung auszustellen. Dies zeige auch die - ebenfalls unzulässige - erweiterte Ermächtigung der mitbeteiligten Partei vom 27.04.2016, die offenbar nur deswegen als erforderlich worden sei, weil die Ermächtigung vom 11.01.2016 nicht ausreichend gewesen sei. Letztens sei für die Einsicht in Gesundheitsdaten auch für die Zwecke der Verteidigung von Rechtsansprüchen das gelindeste Mittel zu wählen; Einsicht wäre daher beispielsweise durch den Datenschutzbeauftragen oder einen Arzt zu nehmen, der die Befunddaten bereits kenne, der die verfahrensrelevanten Informationen aus den Gesundheitsdaten herausfiltern und an einen beruflichen Parteienvertreter weitergeben könnte; dies müsse auch für die Führung der datenschutzrechtlichen Verwaltungs- und Verwaltungsgerichtlichen Verfahren gelten.Der Verwaltungsdirektor der mitbeteiligten Partei dürfe für sie datenschutzrechtliche behördliche und verwaltungsgerichtliche Verfahren weder bearbeiten noch führen. Erstens dürfe sich die mitbeteiligte Partei nur durch ihre Organe oder durch berufsmäßige Parteienvertreter vertreten lassen. Zweitens bestehe hierfür keine rechtliche Grundlage, insbesondere auch nicht in Paragraph 16, Tir KAG. Drittens gäbe es hierfür keine gültige Ermächtigung der mitbeteiligten Partei, weil die Ermächtigung vom 11.01.2016 erst nachträglich ausgestellt worden sei und daher keine Wirkung auf den Zeitraum vor ihrer Erstellung entfalten könne, sie lediglich zu sachlichen Stellungnahmen in Angelegenheiten des Datenschutzes, nicht aber zur Führung oder Bearbeitung von behördlichen oder gerichtlichen Verfahren berechtige, sie die Anforderungen an eine gültige Vollmacht nicht erfülle und die mitbeteiligte Partei ohnehin nicht befugt sei, eine solche Berechtigung auszustellen. Dies zeige auch die - ebenfalls unzulässige - erweiterte Ermächtigung der mitbeteiligten Partei vom 27.04.2016, die offenbar nur deswegen als erforderlich worden sei, weil die Ermächtigung vom 11.01.2016 nicht ausreichend gewesen sei. Letztens sei für die Einsicht in Gesundheitsdaten auch für die Zwecke der Verteidigung von Rechtsansprüchen das gelindeste Mittel zu wählen; Einsicht wäre daher beispielsweise durch den Datenschutzbeauftragen oder einen Arzt zu nehmen, der die Befunddaten bereits kenne, der die verfahrensrelevanten Informationen aus den Gesundheitsdaten herausfiltern und an einen beruflichen Parteienvertreter weitergeben könnte; dies müsse auch für die Führung der datenschutzrechtlichen Verwaltungs- und Verwaltungsgerichtlichen Verfahren gelten.
Auch der Datenschutzbeauftragter der mitbeteiligten Partei wäre nicht zu befassen gewesen. Erstens dürfe er nur in seinem Fachgebiet handeln, eine Einsicht in Verfahrensunterlagen sei hierfür nicht erforderlich. Zweitens dürfe er den Verwaltungsdirektor in datenschutzrechtlichen Verwaltungs- und Verwaltungsgerichtsverfahren auch nicht beraten, weil der Verwaltungsdirektor diese Verfahren weder bearbeiten noch führen dürfe. Letzens, weil die belangte Behörde auch selbst - obwohl sie von dem Datenschutzbeauftragten der mitbeteiligten Partei gewusst habe - den Datenschutzbeauftragten umgangen habe, indem sie in anderen Verwaltungsverfahren den Verwaltungsdirektor und nicht den Datenschutzbeauftragten zu Stellungnahmen aufgefordert habe.
Auch die Sekretärin des Verwaltungsdirektors wäre mangels Rechtsgrundlage ebenso wenig zu befassen gewesen, wie die von den von ihr angestrengten Verwaltungs- und Verwaltungsgerichtsverfahren betroffen Ärzte. Die Befragung der Ärzte als Zeugen rechtfertige auch nicht eine Besprechung zwischen ua dem Verwaltungsdirektor, dem Datenschutzbeauftragen und den Zeugen oder die Weiterleitung von Verhandlungsprotokollen an die Zeugen.
Die Zurückweisung der Anträge der BF sei unzulässig, weil die belangte Behörde diesbezüglich von Amts wegen einschreiten hätte müssen.
Die BF beantrage ua das Bundesverwaltungsgericht möge den bekämpften Bescheid aufheben und zur neuerlichen Entscheidung an die belangte Behörde zurückverweisen, in eventu der Beschwerde stattzugeben, die Befugnisse gemäß § 30 Abs 2, 4, 6 und 6a DSG 2000, dh ua Datenanwendungen zu prüfen, eine Hausdurchsuchung durchzuführen, Empfehlungen abzugeben und die Weiterführung mit Bescheid untersagen, ausüben sowie der belangten Behörde auftragen, ihre Empfehlung vom XXXX zur GZ XXXX öffentlich zu widerrufen, gänzlich zurückzunehmen und einem neuen Ermittlungsverfahren unterziehen.Die BF beantrage ua das Bundesverwaltungsgericht möge den bekämpften Bescheid aufheben und zur neuerlichen Entscheidung an die belangte Behörde zurückverweisen, in eventu der Beschwerde stattzugeben, die Befugnisse gemäß Paragraph 30, Absatz 2, 4, 6 und 6 a DSG 2000, dh ua Datenanwendungen zu prüfen, eine Hausdurchsuchung durchzuführen, Empfehlungen abzugeben und die Weiterführung mit Bescheid untersagen, ausüben sowie der belangten Behörde auftragen, ihre Empfehlung vom römisch 40 zur GZ römisch 40 öffentlich zu widerrufen, gänzlich zurückzunehmen und einem neuen Ermittlungsverfahren unterziehen.
Mit Schriftsatz vom 12.09.2016 legte die belangte Behörde die Beschwerde samt Verwaltungsakt dem erkennenden Gericht vor und führte zur Beschwerde im Wesentlichen aus, ein Verfahren nach § 31 DSG 2000 sei antragsgebunden und der Beschwerdegegenstand könne daher nicht beliebig erweitert werden. Einige der Anträge würden nicht in die Zuständigkeit der belangten Behörde und des erkennenden Gerichts fallen. Verfahrenspartei sei immer der XXXX gewesen, der Verwaltungsdirektor sei - in Hinblick auf das Schreiben vom 11.01.2016 - befugt, behördliche Schreiben für ihn zu beantworten. Mangels Übermittlungen gemäß § 4 Z 12 DSG 2000 erfolgte keine Verletzung im Recht auf Geheimhaltung. Im Übrigen werde auf die Begründung des bekämpften Bescheids verwiesen.Mit Schriftsatz vom 12.09.2016 legte die belangte Behörde die Beschwerde samt Verwaltungsakt dem erkennenden Gericht vor und führte zur Beschwerde im Wesentlichen aus, ein Verfahren nach Paragraph 31, DSG 2000 sei antragsgebunden und der Beschwerdegegenstand könne daher nicht beliebig erweitert werden. Einige der Anträge würden nicht in die Zuständigkeit der belangten Behörde und des erkennenden Gerichts fallen. Verfahrenspartei sei immer der römisch 40 gewesen, der Verwaltungsdirektor sei - in Hinblick auf das Schreiben vom 11.01.2016 - befugt, behördliche Schreiben für ihn zu beantworten. Mangels Übermittlungen gemäß Paragraph 4, Ziffer 12, DSG 2000 erfolgte keine Verletzung im Recht auf Geheimhaltung. Im Übrigen werde auf die Begründung des bekämpften Bescheids verwiesen.
Mit Schriftsatz vom 22.12.2016, eingelangt am 27.12.2016, ersuchte die BF vom 08.02.2017 bis einschließlich 23.03.2017 keine Schriftstücke zuzustellen oder mündliche Verhandlungen auszuschreiben, weil sie sich in diesem Zeitraum in Rehabilitation befinden würde.
Mit einem weiteren Schriftsatz vom selben Tag brachte die BF vor, entgegen der Angabe der belangten Behörde sei die mitbeteiligte Partei nicht Verfahrenspartei gewesen und seien Schriftstücke der Behörde nicht ausschließlich an sie adressiert worden, weil im Verwaltungsverfahren keine Stellungnahmen der mitbeteiligten Partei, sondern nur vom Verwaltungsdirektor eingelangt seien. Auch aus der Anstaltsordnung des XXXX ergebe sich, dass dem Verwaltungsdirektor keine Vertretungsbefugnis oder Parteienrechte zukommen würden. Der Verwaltungsdirektor nehme überdies auch außerhalb des Krankenhauses mittels VPN-Zugriff auf sensible Krankendaten Einsicht. Schließlich beantragte die BF ergänzend, das erkennende Gericht möge die mitbeteiligte Partei und ihren Rechtsvertreter belehren, dass Verfahrensteile nicht dem Verwaltungsdirektor weiterzuleiten sind und dem Verwaltungsdirektor untersagen, auf sensible Daten und Verfahrenskorrespondenzen der BF zuzugreifen und mittels externem VPN-Zugriff ua auf Krankendaten zuzugreifen.Mit einem weiteren Schriftsatz vom selben Tag brachte die BF vor, entgegen der Angabe der belangten Behörde sei die mitbeteiligte Partei nicht Verfahrenspartei gewesen und seien Schriftstücke der Behörde nicht ausschließlich an sie adressiert worden, weil im Verwaltungsverfahren keine Stellungnahmen der mitbeteiligten Partei, sondern nur vom Verwaltungsdirektor eingelangt seien. Auch aus der Anstaltsordnung des römisch 40 ergebe sich, dass dem Verwaltungsdirektor keine Vertretungsbefugnis oder Parteienrechte zukommen würden. Der Verwaltungsdirektor nehme überdies auch außerhalb des Krankenhauses mittels VPN-Zugriff auf sensible Krankendaten Einsicht. Schließlich beantragte die BF ergänzend, das erkennende Gericht möge die mitbeteiligte Partei und ihren Rechtsvertreter belehren, dass Verfahrensteile nicht dem Verwaltungsdirektor weiterzuleiten sind und dem Verwaltungsdirektor untersagen, auf sensible Daten und Verfahrenskorrespondenzen der BF zuzugreifen und mittels externem VPN-Zugriff ua auf Krankendaten zuzugreifen.
Mit Schriftsatz vom 19.05.2017 beantragte die BF ua in Hinblick auf das hg Erkenntnis zum Parallelverfahren zur AZ W214 2129442-1, in dem die belangte Behörde unvollständige Verfahrensakten vorgelegt habe, den Verwaltungsakt auf Vollständigkeit zu prüfen und (erstmals) die Durchführung einer mündlichen Verhandlung.
Mit Schriftsatz vom 15.09.2017 stellte die BF ua diverse Beweis- und verfahrensleitende Anträge.
Mit Verfügung des hg Geschäftsverteilungsausschusses vom 27.06.2018 wurde die Rechtssache der hg Gerichtsabteilung W227 abgenommen und neu zugewiesen.
Beweise wurden aufgenommen durch Einsicht in den Verwaltungsakt, den hg Akt AZ W214 2007810-1 und einen Auszug der zur BF anhängigen hg datenschutzrechtlichen Verfahren.
II. Das Bundesverwaltungsgericht hat erwogen:römisch zwei. Das Bundesverwaltungsgericht hat erwogen:
1. Der folgende Sachverhalt steht fest:
XXXX ist Verwaltungsdirektor, die mitbeteiligte Partei ist Trägerin des XXXX . XXXX ist die Sekretärin des Verwaltungsdirektors. XXXX ist Leiter der IT-Abteilung und Datenschutzbeauftragter, Dr. XXXX ,römisch 40 ist Verwaltungsdirektor, die mitbeteiligte Partei ist Trägerin des römisch 40 . römisch 40 ist die Sekretärin des Verwaltungsdirektors. römisch 40 ist Leiter der IT-Abteilung und Datenschutzbeauftragter, Dr. römisch 40 ,
XXXX und XXXX sind Ärzte des XXXX .römisch 40 und römisch 40 sind Ärzte des römisch 40 .
Die BF hat mehrere datenschutzrechtliche Verfahren (in Folge kurz "Verfahren") gegen die mitbeteiligte Partei angestrengt, in welchen ua Dr. XXXX (vormals XXXX ), XXXX und XXXX , Ärzte des XXXX , vorgeworfen worden ist, unbefugt auf Gesundheitsdaten der BF zugegriffen zu haben.Die BF hat mehrere datenschutzrechtliche Verfahren (in Folge kurz "Verfahren") gegen die mitbeteiligte Partei angestrengt, in welchen ua Dr. römisch 40 (vormals römisch 40 ), römisch 40 und römisch 40 , Ärzte des römisch 40 , vorgeworfen worden ist, unbefugt auf Gesundheitsdaten der BF zugegriffen zu haben.
Die Verfahren werden vom Verwaltungsdirektor für und mit Wissen der mitbeteiligten Partei bearbeitet. Der Verwaltungsdirektor gibt in den Verfahren auch mit Wissen und Willen der mitbeteiligten Partei Stellungnahmen gegenüber der belangten Behörde ab. Sowohl der Verwaltungsdirektor als auch die mitbeteiligte Partei sind der Ansicht, dass die Aufgaben des Verwaltungsdirektors, als wirtschaftlicher Leiter, auch die Bearbeitung der datenschutzrechtlichen Agenden des XXXX umfassen.Die Verfahren werden vom Verwaltungsdirektor für und mit Wissen der mitbeteiligten Partei bearbeitet. Der Verwaltungsdirektor gibt in den Verfahren auch mit Wissen und Willen der mitbeteiligten Partei Stellungnahmen gegenüber der belangten Behörde ab. Sowohl der Verwaltungsdirektor als auch die mitbeteiligte Partei sind der Ansicht, dass die Aufgaben des Verwaltungsdirektors, als wirtschaftlicher Leiter, auch die Bearbeitung der datenschutzrechtlichen Agenden des römisch 40 umfassen.
Im Zuge der Bearbeitung der Verfahren übermittelt der Verwaltungsdirekt bezughabende E-Mails und Schriftstücke an seine Sekretärin zur Führung der Korrespondenzakten und -archive und die Sekretärin versendet und übernimmt bezughabende Postsendungen.
Der Datenschutzbeauftrage unterstützt und berät den Verwaltungsdirektor in Angelegenheiten des Datenschutzes im Allgemeinen und bei der Bearbeitung der Verfahren im Besonderen.
Insbesondere hat der Verwaltungsdirektor im Zuge der Bearbeitung der Verfahren
* am 08.05.2014 eine E-Mail an Dres XXXX und XXXX mit der Information gesendet, wonach die BF Beschwerde an die Datenschutzbehörde erhoben habe, weil mit den Benutzerkennungen der beiden Ärzte ungerechtfertigt auf ihre Krankenakte zugegriffen worden sei zusammen mit Überlegungen zu den möglichen Ursachen für diese Zugriffe und mit Bitte um Rückmeldung (./11 und ./12),* am 08.05.2014 eine E-Mail an Dres römisch 40 und römisch 40 mit der Information gesendet, wonach die BF Beschwerde an die Datenschutzbehörde erhoben habe, weil mit den Benutzerkennungen der beiden Ärzte ungerechtfertigt auf ihre Krankenakte zugegriffen worden sei zusammen mit Überlegungen zu den möglichen Ursachen für diese Zugriffe und mit Bitte um Rückmeldung (./11 und ./12),
* die Rückmeldung der Dres XXXX und XXXX , jeweils vom 09.05.2014, am selben Tag an seine Sekretärin weitergeleitet (./11 und ./12),* die Rückmeldung der Dres römisch 40 und römisch 40 , jeweils vom 09.05.2014, am selben Tag an seine Sekretärin weitergeleitet (./11 und ./12),
* am 09.05.2014 eine E-Mail an den Datenschutzbeauftragen gesendet, um ihn über die Rückmeldungen der Dres XXXX und XXXX zu informieren und die E-Mail in Kopie an seine Sekretärin gesendet (./13),* am 09.05.2014 eine E-Mail an den Datenschutzbeauftragen gesendet, um ihn über die Rückmeldungen der Dres römisch 40 und römisch 40 zu informieren und die E-Mail in Kopie an seine Sekretärin gesendet (./13),
* am 15.05.2014 eine E-Mail an XXXX mit einer Zusammenfassung des mit ihm in Sachen Datenschutzbeschwerdeverfahren der BF geführten Gesprächs gesendet und sie in Kopie an seine Sekretärin und den Datenschutzbeauftragen gesendet (./14),* am 15.05.2014 eine E-Mail an römisch 40 mit einer Zusammenfassung des mit ihm in Sachen Datenschutzbeschwerdeverfahren der BF geführten Gesprächs gesendet und sie in Kopie an seine Sekretärin und den Datenschutzbeauftragen gesendet (./14),
* am 15.05.2014 eine Zusammenfassung der Rückmeldung von XXXX an die Datenschutzbehörde und in Kopie an seine Sekretärin und an den Datenschutzbeauftragen gesendet (./15),* am 15.05.2014 eine Zusammenfassung der Rückmeldung von römisch 40 an die Datenschutzbehörde und in Kopie an seine Sekretärin und an den Datenschutzbeauftragen gesendet (./15),
* am 03.02.2016 eine E-Mail eine Äußerung bezüglich einer Stellungnahme der BF in einem hg anhängigen Datenschutz-Verfahren an die BF und in Kopie an seine Sekretärin, den Datenschutzbeauftragten und den Rechtsvertreter der mitbeteiligten Partei gesendet (in Folge kurz Rechtsvertreter) (./16),
* am 01.02.2016 eine Stellungnahme an die belangte Behörde und in Kopie an seine Sekretärin, den Datenschutzbeauftragten und den Rechtsvertreter gesendet (./17 und ./18) und
* am 04.08.2015 eine Stellungnahme an das Bundesverwaltungsgericht und in Kopie an seine Sekretärin, den Datenschutzbeauftragten und den Obmann der mitbeteiligten Partei gesendet (./19).
Die mitbeteiligte Partei hat im Zuge der Bearbeitung der Verfahren insbesondere
* datenschutzrechtliche Ansuchen der BF vom 04.05.2016 bzgl des XXXX zur Bearbeitung an den Verwaltungsdirektor weitergeleitet (./7 und ./8) und* datenschutzrechtliche Ansuchen der BF vom 04.05.2016 bzgl des römisch 40 zur Bearbeitung an den Verwaltungsdirektor weitergeleitet (./7 und ./8) und
* sämtliche Korrespondenz des hg Verfahrens, AZ W214 2007810-1 an den Verwaltungsdirektor weitergeleitet.
Darüber hinaus fand zur Vorbereitung der im Zuge des hg Verfahrens, AZ W214 2007810-1, am 27.04.2016 anberaumten Beschwerdeverhandlung, eine Besprechung mit dem Verwaltungsdirektor, dem Datenschutzbeauftragten, dem Rechtsvertreter und den Dres XXXX und XXXX statt. In dieser Besprechung wurde Organisatorisches zur Verhandlung, wie Anreisemodalitäten, und letzte Rückfragen hinsichtlich der gegenständlichen Vorwürfe erörtert.Darüber hinaus fand zur Vorbereitung der im Zuge des hg Verfahrens, AZ W214 2007810-1, am 27.04.2016 anberaumten Beschwerdeverhandlung, eine Besprechung mit dem Verwaltungsdirektor, dem Datenschutzbeauftragten, dem Rechtsvertreter und den Dres römisch 40 und römisch 40 statt. In dieser Besprechung wurde Organisatorisches zur Verhandlung, wie Anreisemodalitäten, und letzte Rückfragen hinsichtlich der gegenständlichen Vorwürfe erörtert.
Weiters wurde das Verhandlungsprotokoll der hg öffentlichen Beschwerdeverhandlung vom 27.04.2016, GZ W214 2007810-1/80Z, an den Zeugen Dr XXXX weitergeleitet, um seine darin enthaltene Zeugenaussage auf allfällige Unrichtigkeiten zu prüfen (./21 bis 33).Weiters wurde das Verhandlungsprotokoll der hg öffentlichen Beschwerdeverhandlung vom 27.04.2016, GZ W214 2007810-1/80Z, an den Zeugen Dr römisch 40 weitergeleitet, um seine darin enthaltene Zeugenaussage auf allfällige Unrichtigkeiten zu prüfen (./21 bis 33).
2. Die Feststellungen ergeben sich aus der folgenden Beweiswürdigung:
Die Feststellungen zu den einzelnen Funktionen und Funktionsträgern bei der mitbeteiligten Partei und dass die mitbeteiligte Partei Trägerin des XXXX ist, gründen auf dem Verwaltungsakt, insbesondere auf das Bestätigungsschreiben der mitbeteiligten Partei vom 11.01.2016 (./3) und der unbedenklichen und schlüssigen Stellungnahme des Verwaltungsdirektors vom 11.07.2016.Die Feststellungen zu den einzelnen Funktionen und Funktionsträgern bei der mitbeteiligten Partei und dass die mitbeteiligte Partei Trägerin des römisch 40 ist, gründen auf dem Verwaltungsakt, insbesondere auf das Bestätigungsschreiben der mitbeteiligten Partei vom 11.01.2016 (./3) und der unbedenklichen und schlüssigen Stellungnahme des Verwaltungsdirektors vom 11.07.2016.
Die Feststellungen zu den von der BF angestrengten Verwaltungsverfahren gründen sich auf einem Auszug der hg anhängigen Verfahren der BF und dem Verwaltungsakt; hinsichtlich des Inhalts der Vorwürfe auf den hg Akt AZ W214 2007810-1.
Dass der Verwaltungsdirektor mit Wissen und Willen der mitbeteiligten Partei die Verfahren geführt, Stellungnahmen ggü der belangten Behörde und dem Bundesverwaltungsgericht abgegeben hat und die mitbeteiligte Partei und der Verwaltungsdirektor der Meinung sind, dass zu den Aufgaben des Verwaltungsdirektors auch datenschutzrechtliche Agenden gehören, ergibt sich aus den Ausführungen des Rechtsvertreters der mitbeteiligten Partei in der hg Beschwerdeverhandlung vom 27.04.2016, GZ W214 2007810-1/80Z (Seite 7 des Verhandlungsprotokolls), dem Bestätigungsschreiben der mitbeteiligten Partei vom 11.01.2016 (./3) und der Stellungnahme des Verwaltungsdirektors vom 11.07.2016 zur GZ DSB-D122.542/0004-DSB/2016. Entgegen der Ansicht der BF, räumt die mitbeteiligte Partei in ihrem Schreiben vom 11.01.2016 (Beilage ./3) dem Verwaltungsdirektor nicht (erst) mit 11.01.2016 eine Befugnis ein, für die mitbeteiligte Partei datenschutzrechtliche Stellungnahmen abzugeben, sondern legt ihre Rechtsanschauung dar, wonach die Funktion des Verwaltungsdirektors eines Bezirkskrankenhauses die Abgabe datenschutzrechtlicher Stellungnahmen - und damit implizit auch die Bearbeitung datenschutzrechtlicher Agenden - beinhaltet; die mitbeteiligte Partei geht in diesem Schreiben daher davon aus, dass der Verwaltungsdirektor seit seiner Bestellung am 01.01.2005 befugt war, datenschutzrechtliche Stellungnahmen abzugeben und datenschutzrechtliche Agenden zu bearbeiten, ohne dass es hierfür einer gesonderten Vollmacht bedurft hätte.
Die Feststellungen zu den Aufgaben des Datenschutzbeauftragten und der Sekretärin des Verwaltungsdirektors gründen auf der unbedenklichen und schlüssigen Stellungnahme des Verwaltungsdirektors im Verwaltungsverfahren vom 11.07.2016.
Die Feststellungen zu den einzelnen Korrespondenzen in den Verfahren und ihrer Weiterleitungen gründen auf die von der BF vorgelegten - jeweils mit Beilagennummer zitierten - unbedenklichen Urkunden.
Die Feststellungen zur Besprechung zur Vorbereitung auf die mündliche Beschwerdeverhandlung am 27.04.2016 zur hg AZ W214 2007810-1 gründen auf das Protokoll dieser Verhandlung GZ W214 2007810-1/80Z.
Die Weiterleitung des Verhandlungsprotokolls an den Zeugen gründet auf seine zur hg GZ W214 2007810-1/91Z eingebrachten Korrekturvorschläge.
Die Öffentlichkeit der hg Beschwerdeverhandlung zur AZ W214 2007810-1, am 27.04.2016 gründet in Seite 2 ihres Verhandlungsprotokolls.
Da aus den genannten Überlegungen und Beweismitteln der Sachverhalt geklärt werden konnte, war auf die weiteren Anträge der BF, die auf die Beischaffung weiterer Beweismittel gezielt haben, nicht weiter einzugehen.
3. Rechtlich folgt daraus:
Zu A):
Die Beschwerde ist zum Teil unzulässig und zum Teil nicht berechtigt.
Zu A1) Abweisung der (Bescheid-)Beschwerde:
3.1. Zur Zulässigkeit der (Bescheid-)Beschwerde:
Gemäß § 9 Abs 1 VwGVG hat eine Beschwerde ua die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt, und ein Begehren zu enthalten. Das Vorliegen dieser Voraussetzungen ist nicht streng formal zu interpretieren, sofern der Gegenstand des Verfahrens - wenn auch nach Auslegung des Vorbringens iSd §§ 6 und 7 ABGB - zweifelsfrei, also ohne Möglichkeit einer Verwechslung, zu erkennen ist (VwGH 13.11.2014, Ra 2014/12/0010). Es genügt, wenn das Rechtsmittel der Partei vor dem Verwaltungsgericht erkennen lässt, was die Partei anstrebt und womit sie ihren Standpunkt vertreten zu können glaubt (VwGH 24.05.2016, Ra 2016/03/0037).Gemäß Paragraph 9, Absatz eins, VwGVG hat eine Beschwerde ua die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt, und ein Begehren zu enthalten. Das Vorliegen dieser Voraussetzungen ist nicht streng formal zu interpretieren, sofern der Gegenstand des Verfahrens - wenn auch nach Auslegung des Vorbringens iSd Paragraphen 6 und 7 ABGB - zweifelsfrei, also ohne Möglichkeit einer Verwechslung, zu erkennen ist (VwGH 13.11.2014, Ra 2014/12/0010). Es genügt, wenn das Rechtsmittel der Partei vor dem Verwaltungsgericht erkennen lässt, was die Partei anstrebt und womit sie ihren Standpunkt vertreten zu können glaubt (VwGH 24.05.2016, Ra 2016/03/0037).
Die BF wiederholt in ihrer (Bescheid-)Beschwerde vom 05.09.2016 im Wesentlichen den bereits in der (Administrativ-)Beschwerde vorgebrachten Sachverhalt und bringt Argumente gegen die Begründung des bekämpften Bescheids vor. Aus diesem Vorbringen ist eindeutig erkennbar, dass sich die BF gegen die Ab- bzw Zurückweisung ihrer (Administrativ-)Beschwerde ausspricht und eine inhaltliche Entscheidung durch das erkennende Gericht im Sinne der Anträge in ihrer (Administrativ-)Beschwerde anstrebt.
Die rechtzeitig eingebrachte Beschwerde erweist sich somit - in Bezug auf diesen interpretativ ermittelten Hauptantrag - als zulässig.
3.2. Zur anwendbaren Rechtslage:
Seit der Entscheidung der belangten Behörde am 12.08.2016 hat sich die Rechtslage durch die VO (EU) 679/2016 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (in Folge kurz "DSGVO") und das DSG 2000 idF BGBl I 24/2018 (in Folge kurz "DSG 2000") geändert.Seit der Entscheidung der belangten Behörde am 12.08.2016 hat sich die Rechtslage durch die VO (EU) 679/2016 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (in Folge kurz "DSGVO") und das DSG 2000 in der Fassung Bundesgesetzblatt Teil eins, 24 aus 2018, (in Folge kurz "DSG 2000") geändert.
Hinsichtlich des DSG 2000 finden sich Übergangsbestimmungen für anhängige Verfahren in den §§ 69 Abs 4 und 5 DSG 2000, wonach "(4) zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren [...] nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen [sind], mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt." und "(5) Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes noch nicht anhängig gemacht wurden, [...] nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen [sind]."Hinsichtlich des DSG 2000 finden sich Übergangsbestimmungen für anhängige Verfahren in den Paragraphen 69, Absatz 4 und 5 DSG 2000, wonach "(4) zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren [...] nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen [sind], mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt." und "(5) Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes noch nicht anhängig gemacht wurden, [...] nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen [sind]."
Nicht ausdrücklich geregelt ist demnach, welches Recht für Verfahren anzuwenden ist, die - wie in diesem Fall - zum Zeitpunkt der geänderten Rechtslage vor dem Bundesverwaltungsgericht anhängig waren.
Auch wenn die Gesetzesmaterialien diesbezüglich keine weiteren Interpretationshilfen enthalten, wollte der Gesetzgeber offenbar die neue Rechtslage - mit Ausnahme der Regelungen zur Zuständigkeit - auf sämtliche Sachverhalte, anwenden. So ist die neue Rechtslage sowohl auf anhängige Verfahren vor der Datenschutzbehörde und vor den ordentlichen Gerichten als auch auf Verfahren, die sich auf Verletzungen des Datenschutzgesetzes 2000 beziehen, die zum Zeitpunkt des Inkrafttretens des DSG 2000 noch nicht anhängig gemacht
