TE Bvwg Erkenntnis 2018/12/10 W211 2179560-1

W211 2179560-1/4E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht erkennt durch die Richterin Mag.a Barbara SIMMA LL.M. als Vorsitzende und die fachkundige Laienrichterin Mag.a Gerda HEILEGGER und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde der XXXX, vertreten durch XXXX, gegen den Bescheid der Datenschutzbehörde vom XXXX, in nichtöffentlicher Sitzung zu Recht:

A)

Die Beschwerde wird als unbegründet abgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

ENTSCHEIDUNGSGRÜNDE:

I. Verfahrensgang:

1. Am XXXX.2017 brachte die mitbeteiligte Partei eine Beschwerde nach § 31 Abs. 2 DSG 2000 ein, worin zusammengefasst vorgebracht wurde, sie sei in ihrem Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten verletzt worden, indem die Beschwerdeführerin in einem sie nicht betreffenden Bescheid ihre personenbezogenen Daten, wie konkrete Einkommensverhältnisse, an die im Spruch des Bescheides genannten Personen übermittelt habe. Auch werde die Person der mitbeteiligten Partei im Bescheids beschrieben. Der Beschwerde angeschlossen waren eine Kopie des betreffenden Bescheides der Beschwerdeführerin, eine Liste der Personen an die dieser zugestellt wurde und ein Bescheid der Datenschutzbehörde betreffend einen verwandten Fall.

2. Am XXXX.2017 erteilte die belangte Behörde einen Mangelbehebungsauftrag und führte darin aus, die mitbeteiligte Partei behaupte in ihrer Beschwerde eine Verletzung in ihrem Recht auf Geheimhaltung, erkläre aber nicht, welche Daten genau (etwa Name, etc.) an wen konkret weitergegeben worden sein sollen. Die belangte Behörde forderte die mitbeteiligte Partei auf, den datenschutzrechtlichen Sachverhalt diesbezüglich zu ergänzen.

3. Mit Schreiben vom XXXX teilte die mitbeteiligte Partei mit, Gegenstand der Beschwerde sei ein Bescheid der Beschwerdeführerin vom XXXX.2016 und die Übermittlung der darin enthaltenen geheimhaltungspflichtigen Daten. Mit der Beschwerde sei eine Liste jener Personen vorgelegt worden, denen der Bescheid zugestellt worden sei. Sie verwies darüber hinaus auf die Ausführungen in ihrer Beschwerde.

4. Mit Schreiben der Datenschutzbehörde vom XXXX.2017 wurde die Beschwerdeführerin aufgefordert zur Beschwerde der mitbeteiligten Partei Stellung zu nehmen und gegebenenfalls zum Beweis des Vorbringens geeignete Beweismittel vorzulegen.

5. Mit Schreiben vom XXXX2017 teilte die Beschwerdeführerin der belangten Behörde mit, dass, obwohl die mitbeteiligte Partei nicht unmittelbar vom Bescheid vom XXXX betroffen sei, die Beschwerdeführerin rechtlich gehalten gewesen sei, für die betroffenen Personen ein umfassendes Ermittlungsverfahren durchzuführen und anschließend den maßgeblichen Sachverhalt festzustellen. Dazu sei es geboten gewesen die Unternehmensstruktur und die Einflussnahme der übergeordneten Ebenen auf die untergeordnete Ebene der XXXX aufgrund des Systems von Subprovisionen des Unternehmens darzustellen, für das die mitbeteiligte Partei tätig sei. Da die mitbeteiligte Partei zweifellos zur übergeordneten Ebene zähle und somit einen bedeuteten Teil im Organisationsgefüge des Unternehmens ausmache, sei die Darstellung der Berechnungsmethode der Einkünfte der mitbeteiligten Partei unabdingbar für die Darstellung der Betriebsstruktur und das Merkmal der Weisungsgebundenheit im Hinblick auf die betreffenden

XXXX. Dabei solle dargestellt werden, in welchem Ausmaß die Einkünfte der übergeordneten Ebenen von den Umsätzen der untergeordneten XXXX abhängen würden. Um ein schlüssiges und anschauliches Bild dieses Provisionssystems darstellen zu können, seien sohin auch die in Prozenten ausgedrückten Provisionen der mitbeteiligten Partei anzuführen gewesen. Ein gelinderes Mittel gebe es nicht. Eine vorgebrachte Schwärzung der betreffenden Daten würde den Bescheid dem Vorwurf massiver Begründungmängel aussetzen und eine Rechtsverfolgung der betroffenen Personen erschweren.

6. Mit Schreiben der Datenschutzbehörde vom XXXX2017 wurde die mitbeteiligte Partei aufgefordert zum Schreiben der Beschwerdeführerin vom XXXX2017 Stellung zu nehmen.

7. Mit Schreiben vom 05.07.2017 teilte die mitbeteiligte Partei der belangten Behörde mit, die Übermittlung der im Bescheid der Beschwerdeführerin enthaltenen Daten seien vom Rechtfertigungstatbestand des § 8 DSG 2000 nicht gedeckt, und es hätte die Beschwerdeführerin gemäß § 7 Abs. 3 DSG 2000 das gelindere Mittel der abstrakten Darstellung der Unternehmensstruktur und des Provisionssystems wählen müssen.

8. Mit dem angefochtenen Bescheid vom XXXX2017 wurde der Beschwerde stattgegeben und festgestellt, dass die Beschwerdeführerin die mitbeteiligte Partei dadurch in ihrem Recht auf Geheimhaltung verletzt hat, dass sie die im Bescheid vom XXXX2016 enthaltenen, in der Begründung genannten Daten (Name und Tätigkeit) der mitbeteiligten Partei sowie die in diesem Zusammenhang dargestellte Höhe ihres Honorars an die im Spruch des zitierten Bescheides genannten Personen übermittelt hat.

Dabei wurde begründend festgehalten, dass die Befugnisse der Datenschutzbehörde sich auf die Prüfung des datenschutzrechtlich relevanten Handelns von Staatsorganen aus dem Bereich der Verwaltung in ihrer Rolle als datenschutzrechtliche Auftraggeber, nicht jedoch auf eine Überprüfung der Verfahrensführung und der Entscheidung anderer Verwaltungsbehörden erstrecken würden. Sofern die Beschwerdeführerin ausführe, die Darstellung der Tätigkeit der mitbeteiligten Partei und ihrer Bezahlung in Form einer Provision sei für die Darstellung der Betriebsstruktur sowie Weisungsgebundenheit und infolge dessen für die Beurteilung der Versicherungspflicht der Beschäftigten wesentlich und damit unabdingbar, könne ihr zwar insofern beigepflichtet werden, als die allgemeine Darstellung des Tätigkeitsablaufes und der Form der Bezahlung, z.B. auf Provisionsbasis, der mitbeteiligten Partei für die Beurteilung der Versicherungspflicht der Beschäftigten allfällig denkmöglich von Relevanz sein könne. Inwiefern die Anführung des Namens der mitbeteiligten Partei im Zusammenhang mit der Beschreibung ihrer Tätigkeit sowie die erfolgte zahlenmäßige Nennung des Honorars (auch) für die Versicherungspflicht der anderen Beschäftigten denkmöglich wesentlich sein soll, sei hingegen nicht aufgezeigt worden, und sei eine solche denkmögliche Wesentlichkeit für die Datenschutzbehörde auch nicht erkennbar.

Verfahrensökonomische Erwägungen bzw. die gesetzlichen Vorgaben über die gebotene Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis der Verfahrensführung gemäß § 18 Abs. 1 und § 39 Abs. 2 AVG könnten dem Grundrecht auf Datenschutz gemäß § 1 Abs. 1 DSG 2000 jedenfalls nicht vorgehen. Vor diesem Hintergrund sei eine Grundlage für die Übermittlung der im Bescheid enthaltenen Daten weder in § 62 AVG, noch im ASVG oder im Rechtfertigungstatbestand des § 8 DSG 2000 zu erkennen.

9. In ihrer Beschwerde vom XXXX2017 führte die Beschwerdeführerin aus, dass die Organisation des Unternehmens, in dem die mitbeteiligte Partei tätig sei, sehr vielschichtig und differenziert sei. Die mitbeteiligte Partei werde zwar vom Spruch des Bescheides nicht mitumfasst, jedoch handle es sich um einen Gründer des Unternehmens. Auch sei sie von den Mitarbeitern als Teil der Geschäftsführung bzw. "Chef" wahrgenommen worden. Aus der faktischen Mitsprache in den Leitungsangelegenheiten und der Tatsache, dass ihre Einkünfte direkt von den Umsätzen der XXXX abhängig seien, ergebe sich, dass die mitbeteiligte Partei eine wesentliche Information für den Sachverhalt darstelle. Sowohl die Betriebsstruktur als auch die Weisungsfreiheit ließe sich daraus ablesen. Auch wäre im Falle einer Einzelzustellung an die vom Bescheid betroffenen Personen für die mitbeteiligte Partei nichts gewonnen, da jede Partei jederzeit umfassende Akteneinsicht nehmen könne. Außerdem unterliege die Entscheidung, ob ein einheitlicher Bescheid oder Einzelbescheide auszustellen seien, der Dispositionsbefugnis der Behörde. Auch sei zu erwähnen, dass gemäß § 41a ASVG der Dienstgeber und nicht einzelne Versicherungsverhältnisse zu prüfen seien.

10. Mit Schreiben vom XXXX2017 legte die belangte Behörde den Akt vor und führte aus, dass sich die Datenschutzbehörde in ihrem Bescheid nicht gegen die Darstellung der Betriebsstruktur sowie Weisungsgebundenheit anhand näherer Beschreibung des Provisionssystems mit prozentuellen Angaben zum Einkommen der Beteiligten richte, sondern einzig und allein gegen die Verwendung personenbezogener Daten, welche Rückschlüsse auf eine nicht am Verfahren beteiligte Person sowie auf deren konkretes Einkommen zulasse. Ein behaupteter unzulässiger Eingriff in die Ermittlungstätigkeit der Beschwerdeführerin sei vor diesem Hintergrund nicht erkennbar. Davon zu unterscheidende verfahrensökonomische Erwägungen bzw. die gesetzlichen Vorgaben über die gebotene Zweckmäßigkeit, Raschheit, Einfachheit und Kostenersparnis der Verfahrensführung gemäß § 18 Abs. 1 und § 39 Abs. 2 AVG könnten dem Grundrecht auf Datenschutz gemäß § 1 Abs. 1 DSG 2000 jedenfalls nicht vorgehen.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Festgestellt wird, dass die Beschwerdeführerin die im Bescheid vom XXXX2016 enthaltenen, die mitbeteiligte Partei betreffenden Daten wie Name, Tätigkeit im Unternehmen, sowie die in diesem Zusammenhang auf den Seiten 24 und 68 des Bescheids dargestellte Höhe des Honorars an die im Spruch des Bescheides genannten Personen übermittelt hat.

Am XXXX2017 brachte die mitbeteiligte Partei eine Beschwerde nach § 31 Abs. 2 DSG 2000 bei der belangten Behörde ein.

Mit dem angefochtenen Bescheid vom XXXX2017 wurde der Beschwerde stattgegeben und festgestellt, dass die Beschwerdeführerin die mitbeteiligte Partei dadurch in ihrem Recht auf Geheimhaltung verletzt hat, indem sie die in ihrem Bescheid enthaltenen, in der Begründung genannten Daten (Name und Tätigkeit) der mitbeteiligten Partei sowie die in diesem Zusammenhang dargestellte Höhe ihres Honorars an die im Spruch des zitierten Bescheides genannten Personen übermittelt hat.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Akt in Verbindung mit dem Vorbringen des Beschwerdeführers.

3. Rechtliche Beurteilung:

Zu A)

Rechtsgrundlagen:

1. § 1 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) lautet:

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.

Die maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), lauten:

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

3. - 26. [...]

Artikel 6 Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) - b) [...]

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) [...]

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) [...]

Die maßgeblichen Bestimmungen des Allgemeinen Sozialversicherungsgesetzes (ASVG), lauten:

Sozialversicherungsprüfung

§ 41a. (1) Die Krankenversicherungsträger (§ 23 Abs. 1) haben die Einhaltung aller für das Versicherungsverhältnis maßgebenden Tatsachen zu prüfen (Sozialversicherungsprüfung). Hiezu gehört insbesondere

-

die Prüfung der Einhaltung der Meldeverpflichtungen in allen Versicherungs- und Beitragsangelegenheiten und der Beitragsabrechnung,

-

die Prüfung der Grundlagen von Geldleistungen (Krankengeld, Wochengeld, Arbeitslosengeld usw.),

-

die Beratung in Fragen von Melde-, Versicherungs- und Beitragsangelegenheiten.

(2) - (3) [...]

(4) Für die Sozialversicherungsprüfung gelten die für Außenprüfungen (§ 147 der Bundesabgabenordnung) maßgeblichen Vorschriften der Bundesabgabenordnung. Bei der Durchführung der Lohnsteuerprüfung (§ 86 EStG 1988) ist das Prüforgan des Krankenversicherungsträgers als Organ des für die Lohnsteuerprüfung zuständigen Finanzamtes tätig. Das Finanzamt ist von der Prüfung und vom Inhalt des Prüfungsberichtes oder der aufgenommenen Niederschrift zu verständigen.

(5) Die Krankenversicherungsträger (§ 23 Abs. 1) haben den Finanzämtern der Betriebsstätte (§ 81 EStG 1988) und den Gemeinden alle für das Versicherungsverhältnis und die Beitragsentrichtung bedeutsamen Daten zur Verfügung zu stellen. Diese Daten dürfen nur in der Art und dem Umfang verarbeitet werden, als dies zur Wahrnehmung der gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung ist. Die Verarbeitung nicht notwendiger personenbezogener Daten (Ballastwissen, Überschusswissen) ist unzulässig. Personenbezogene Daten, die mit an Sicherheit grenzender Wahrscheinlichkeit nicht mehr benötigt werden, sind möglichst rasch zu löschen.

2. Anwendung der Rechtsgrundlagen auf die gegenständliche Beschwerde:

2.1. Entsprechend der ab 25.05.2018 geltenden Rechtslage war das bisher nach § 31 DSG 2000, geführte Verfahren als Beschwerdeverfahren nach § 24 DSG, fortzuführen (vgl. dazu § 69 Abs. 4 DSG). § 69 DSG enthält keine Übergangsbestimmungen bezüglich des Verfahrens in Datenschutzangelegenheiten vor dem Bundesverwaltungsgericht. Damit ist die zum Zeitpunkt der Entscheidung geltende Rechtslage anzuwenden (VwG 2015/07/0074, 19.02.2018; VwGH 2017/22/0125, 22.02.2018 uva).

2.2. Zunächst gilt es festzuhalten, dass die verarbeiteten Daten der mitbeteiligten Partei ohne Zweifel personenbezogene Daten im Sinne des Art. 4 Z 1 DSGVO darstellen, an denen die mitbeteiligte Partei ein schutzwürdiges Geheimhaltungsinteresse hat.

Gemäß Art. 6 Abs. 1 lit. e DSGVO ist eine Verarbeitung dann rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Der Erwägungsgrund 45 besagt hierzu: "Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche Zwecke die Daten verarbeitet werden dürfen. [...]"

Im vorliegenden Fall kommt der Beschwerdeführerin die Befugnis zu, im Rahmen des Sozialversicherungsprüfungsverfahren gemäß § 41a iVm § 410 Abs. 1 Z 7 ASVG Daten über das untersuchte Unternehmen bzw. der darin tätigen Personen zu ermitteln.

Jedoch ist darüber hinaus zu prüfen, ob konkret hinsichtlich der verarbeiteten Daten der mitbeteiligten Partei, der in Art. 6 Abs. 1 lit. e DSGVO enthaltene Grundsatz der "Erforderlichkeit" erfüllt ist:

Der Grundsatz der Erforderlichkeit besagt, dass eine Verarbeitung personenbezogener Daten nur so weit zulässig ist, als dies für die Erreichung des damit verfolgten Zwecks erforderlich (notwendig [siehe den ehemaligen § 7 Abs. 3 DSG 2000: "nur im erforderlichen Ausmaß"]),40 Vgl Wolff in Schantz/Wolff, Datenschutzrecht Rz 429. Schulz in Gola, DS-GVO Art 6 Rz 36 lehnt zu Art 6 Abs 1 lit b eine Überinterpretation auf "das absolut zwingende Notwendige" ab, idS auch Wolff in Schantz/Wolff, Datenschutzrecht Rz 576. also nicht nur förderlich bzw. dienlich ist. 41 Buchner/Petri in Kühling/Buchner, DS-GVO Art 6 Rz 15.Dort, wo es sich um privatautonome Entscheidungen handelt, 42 Vgl Assion/Nolte/Veil in Gierschmann/Schlender/Stentzel/Veil, DS-GVO Art 6 Rz 88.kann die Erforderlichkeit aber flexibler gehandhabt werden als dort, wo Verantwortliche (öffentliche Stellen) Gesetze, die gemäß Art. 8 Abs. 2 EMRK notwendig sein müssen, vollziehen. 43 Wohl idS Frenzel in Paal/Pauly, DS-GVO/BDSG2 Art 6 Rz 9, 14. Zur strengen Prüfung des Erforderlichkeitsgebots im Fall eines staatlichen Ausländerzentralregisters EuGH 16. 12. 2008, C-524/06, Huber, Rz 53 ff.Es handelt sich hierbei um ein "übergreifendes Prinzip", welches das Verbotsprinzip ergänzt. 48 Zu Letzterem Frenzel in Paal/Pauly, DS-GVO/BDSG2 Art 6 Rz 9. Zu berücksichtigen ist, dass es sich bei der "Erforderlichkeit" um einen autonomen Begriff des Unionsrechts handelt, 49 EuGH 16. 12. 2008, C-524/06, Huber, Rz 52: "Angesichts des Zieles der Gewährleistung eines gleichwertigen Schutzniveaus in allen Mitgliedstaaten kann daher der Begriff der Erforderlichkeit im Sinne von Art. 7 Buchst. e der Richtlinie 95/46, mit dem gerade einer der Fälle abgegrenzt werden soll, in denen die Verarbeitung personenbezogener Daten zulässig ist, in den einzelnen Mitgliedstaaten keinen variablen Inhalt haben. Es handelt sich somit um einen autonomen Begriff des Gemeinschaftsrechts, der so auszulegen ist, dass er in vollem Umfang dem Ziel dieser Richtlinie, so wie es in ihrem Art. 1 Abs. 1 definiert wird, entspricht."der auch über die Verarbeitung von personenbezogenen Daten als solche entscheiden kann (die Erforderlichkeit ist nicht gegeben, wenn der Zweck auch mit anonymisierten Daten erzielbar ist) (siehe Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO).

Die belangte Behörde hat im angefochtenen Bescheid hinsichtlich der Zulässigkeit der Datenverarbeitung zutreffenderweise auf die Rechtsprechung der ehemaligen Datenschutzkommission verwiesen, wonach datenschutzrechtliche Beschwerden nicht geeignet sind, in der Sache vor andere Behörden gehörende Rechtsfragen prüfen zu lassen. Grundsätzlich besteht ein - im Fall von Verwaltungsübertretungen insbesondere durch § 25 Abs. 1 iVm § 26 Abs. 1 VStG, im allgemeinen Verwaltungsverfahren durch die §§ 37 und 39 Abs. 2 AVG sowie besondere Zuständigkeitsbestimmungen zum Ausdruck kommendes - berechtigtes Interesse der zuständigen Behörde an der Verwendung personenbezogener Daten, insbesondere deren Ermittlung, für Zwecke eines Verwaltungs(straf)verfahrens, welches das Interesse der Betroffenen an der Geheimhaltung ihrer personenbezogenen Daten überwiegt, sodass eine Verletzung von bestehenden schutzwürdigen Geheimhaltungsinteressen nicht vorliegt. Als Maßstab für eine Beurteilung der Zulässigkeit der Datenermittlung in solchen Verfahren verbleibt das Übermaßverbot als Ausdruck des Verhältnismäßigkeitsgrundsatzes: Wenn es denkmöglich ist, dass die von einer in der Sache zuständigen Behörde ermittelten Daten nach Art und Inhalt für die Feststellung des relevanten Sachverhalts geeignet sind, ist die Zulässigkeit der Ermittlung aus datenschutzrechtlicher Sicht gegeben (vgl. Bescheid der Datenschutzkommission vom 29.11.2005, K121.046/0016-DSK/2005).

Verfahrensgegenständlich vermeint die Beschwerdeführerin, die Nennung des Namens, der Tätigkeit und des teils zahlenmäßig, teils in Prozentsätzen ausgedrückten Honorars der mitbeteiligten Partei in einem Bescheid, der die mitbeteiligte Partei nicht mitumfasst, sei erforderlich gewesen, um die vielschichtige und differenzierte Organisation (Provisionssystem und Weisungsgebundenheit) eines überprüften Unternehmens darzustellen.

Zwar kann es aus Sicht des Bundesverwaltungsgerichts - wie schon der belangten Behörde - durchaus erforderlich (bzw. "denkmöglich von Relevanz") sein, die Unternehmensstruktur bzw. das Entlohnungssystem auf Provisionsbasis des untersuchten Unternehmens in allgemeiner Form darzustellen. Jedoch gelang es der Beschwerdeführerin im Laufe des Verfahrens nicht, aufzuzeigen, inwiefern die zahlenmäßige Angabe des Honorars und die Nennung des Namens der mitbeteiligten Partei für die in § 41a ASVG normierten Zwecke tatsächlich erforderlich (oder "denkmöglich wesentlich") gewesen sein soll bzw. die damit verfolgten Zwecke nicht auch mit anonymisierten Daten erreicht hätten werden können. Daran kann auch ein Hinweis auf die Ermittlungs- und Begründungserfordernisse der Bescheide der Beschwerdeführerin nichts ändern.

Es ist daher der Rechtsansicht der belangten Behörde zu folgen, und die Beschwerde abzuweisen.

3. Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Gemäß § 24 Abs. 4 VwGVG kann - soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist - das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 EMRK noch Art. 47 GRC entgegenstehen.

Im gegenständlichen Fall kann das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt zur Beurteilung der Beschwerde aus der Aktenlage in Verbindung mit der Beschwerde geklärt ist. Weder war der Sachverhalt in wesentlichen Punkten ergänzungsbedürftig noch erschien er in entscheidenden Punkten als unrichtig. Das Bundesverwaltungsgericht hat vorliegend daher ausschließlich über eine Rechtsfrage zu erkennen (vgl. EGMR 05.09.2002, Appl. Nr. 42057/98, Speil/Österreich). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.6.2012, B 155/12).

Zu B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Die gegenständliche Entscheidung weicht nicht von der Rechtsprechung des Verwaltungsgerichtshofes ab. Es fehlt auch nicht an einer Rechtsprechung und die zu lösende Rechtsfrage wird in der Rechtsprechung auch nicht uneinheitlich beantwortet.