TE Bvwg Erkenntnis 2020/4/30 W274 2224543-1

W274 2224543-1/3E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht erkennt durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundigen Laienrichter Prof. KommR POLLIRER und Dr. GOGOLA als Beisitzer über die Beschwerde des XXXX , gegen den Bescheid der Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, vom 07.08.2019, GZ: DSB-D123.941/0006-DSB/2019, Beschwerdegegner XXXX , wegen Verletzung im Recht auf Auskunft, in nichtöffentlicher Sitzung zu Recht:

Der Beschwerde wird nicht Folge gegeben.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

ENTSCHEIDUNGSGRÜNDE:

Mit Schreiben vom 26.09.2018 an das XXXX (im Folgenden Beschwerdegegnerin - BG) begehrte der Beschwerdeführer (im Folgenden Beschwerdeführer - BF) "Auskunft gemäß Art. 15 DSGVO" mit folgendem Ersuchen:

"I. Gemäß Art. 15 DSGVO haben sie mir folgende Informationen zu meinen personenbezogenen Daten bekanntzugeben:

- Verarbeitungszwecke;

- Kategorien personenbezogener Daten, die verarbeitet werden;

- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

- falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Dauer;

- das Bestehen eines Rechts auf Berichtigung oder Löschung meiner personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch Sie als Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

- wenn die personenbezogenen Informationen nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;

- über geeignete Garantien gemäß Art. 46 DSGVO iZm der Übermittlung von Daten, wenn meine personenbezogenen Daten an ein Drittland oder eine internationalen Organisation übermittelt wurden.

II. Gemäß Art. 12 Abs. 1 DSGVO haben sie geeignete Maßnahmen zu treffen, um mir alle Informationen ... in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Dies bedeutet insbesondere, dass Abkürzungen und Daten-Kennzeichnungen zu erläutern sind, damit die Daten für mich auch verständlich werden.

III. Gemäß Art. 15 Abs. 3 DSGVO haben sie mir eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

IV. Gemäß Art. 12 Abs. 3 DSGVO sind Sie verpflichtet, die gewünschten Informationen unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang dieses Antrags zur Verfügung zu stellen".

Mit Schreiben vom 05.10.2018 übermittelte die BG dem BF eine Datenauskunft bestehend aus zwei Teilen, einem Teil betreffend "Beratung und Vermittlung", umfassend 146 Seiten, einen zweiten Teil zu "Leistungen aus dem Bereich der Arbeitslosenversicherung, Daten über Auszahlung von Arbeitslosengeld, Notstandshilfe etc.", bestehend aus 9 Seiten.

Am 05.11.2018 erfolgte vor dem XXXX eine Akteneinsicht des BF, wobei ihm Einsicht bis zum "aktuellen vorliegenden Blatt/Seite Nr. 278" gewährt wurde.

Mit Beschwerde an die Datenschutzbehörde (im Folgenden: belangte Behörde) vom 17.12.2018 "wegen Verletzung des Rechts auf Auskunft gemäß Art. 15 DSGVO" beantragte der BF die Feststellung der Verletzung seiner Rechte und brachte vor, er habe am 26.09.2018 einen Antrag auf Auskunft an das XXXX gestellt. Daraufhin sei ihm per Schreiben vom 05.10.2018 ein Konvolut an Aktenvermerken und Dokumenten übermittelt worden. Bei der Prüfung der Inhalte habe er festgestellt, dass der allergrößte Teil der Daten nicht bei ihm erhoben worden sei. Dies treffe insbesondere zu für Einträge (Aktenvermerke im Sinne des AVG), welche mit einer Datumsangabe plus einem Zusatzwortlaut betitelt seien (der häufigste Zusatzwortlaut sei "Informationen/Gesprächsnotizen/Vermerke"). Bei all den Daten in diesen Einträgen ("Aktenvermerken") fehlte die Angabe über die Herkunft (Name des Amtsorgans des XXXX , welches den Aktenvermerk verfasst habe). Art. 15 DSGVO besage unmissverständlich, dass alle verfügbaren Informationen über die Herkunft der Daten zur Verfügung zu stellen seien, wenn die personenbezogenen Informationen nicht bei ihm erhoben worden seien. Mit der Zurückhaltung der Informationen über die Herkunft der nicht bei ihm erhobenen Daten an (Aktenvermerke) sei sein Recht auf Auskunft gemäß Art. 15 DSGVO verletzt. Darüber hinaus sei sein Recht auf Auskunft auch verletzt, weil in dem Übermittlungskonvolut zumindest ein Dokument fehle, auf das in einem Aktenvermerk verwiesen werden (siehe Beilage 2: Eintrag vom 08.01.2018 "s.txt.6.12."). Dieses Dokument existiere in dem übermittelten Konvolut nicht, ebensowenig sei es in seinem Papierakt enthalten, in den er am 05.11.2018 Einsicht genommen habe. Das Fehlen dieses Dokuments sei besonders schwerwiegend, denn gerade dieses Dokument sei die Basis für eine unrechtmäßige Bezugssperre gewesen.

Angeschlossen war der Antrag vom 26.09.2018, die Seite 82 der übermittelten Datenauskunft sowie eine niederschriftliche Bestätigung der Akteneinsicht.

Über Aufforderung der belangten Behörde legte die BG nach neueren Fristerstreckungsersuchen die Stellungnahme vom 27.02.2019 vor, in der sie zusammengefasst ausführt:

Dem BF sei auf sein Schreiben vom 26.09.2018 hin am 05.10.2018 eine umfassende Datenauskunft übermittelt worden, bestehend aus zwei Teilen (erster Teil "Beratung und Vermittlung", umfassend 146 Seiten, zweiter Teil "Leistungen aus dem Bereich der Arbeitslosenversicherung", 9 Seiten). Für des XXXX sei es derzeit nicht möglich, in automatisierter Form eine komplette Datenauskunft zu schicken. Die zuständige XXXX könne nur für einen bestimmten Datenbereich in automatisierter Form (per Knopfdruck) eine Auskunft erstellen. Dieser Datenbereich sei sehr umfassend und enthalte alle persönlichen Daten wie die Anschrift, Telefonnummer, Daten zur familiären Situation, Berufslaufbahn, zu Ausbildungen, Berufswünschen, vermittlungsrelevante Daten, Vermittlungsvorschläge, Daten zum Betreuungsverlauf und einiges mehr. Für die Daten aus dem Leistungsbereich der Arbeitslosenversicherung (Arbeitslosengeld, Notstandshilfe etc.) werde die Unterstützung durch die XXXX benötigt. Diese erstelle manuell für ganz Österreich die Auskunft bezüglich der Leistungsdaten und schicke sie anschließend der XXXX . Diese füge die restliche Datenauskunft hinzu und übermittle sie als Einheit an den Auskunftswerber. Dies sei die derzeitige Vorgehensweise. Ein Projekt für eine komplette Auskunft in automatisierter Form sei gestartet worden.

Der BF wende in seiner Beschwerde ein, die Auskunft sei nicht vollständig und Art. 15 Abs. 1 lit. g DSGVO verletzt. Danach seien alle verfügbaren Informationen über die Herkunft der Daten anzugeben, wenn diese nicht bei der betroffenen Person erhoben würden. Diese Bestimmung ziele auf die Erhebung der Daten bei Dritten ab. Tatsächlich würden im XXXX einige Daten, nicht aber wie in der Beschwerde behauptet, der allergrößte Teil "nicht bei den arbeitslosen Personen, sondern bei Dritten erhoben". Eine diesbezügliche Information erfolge durch das Informationsschreiben "Information zur Datenschutz-Grundverordnung - DSGVO", das der BF nach Inkrafttreten der DSGVO erhalten habe. Darin finde sich unter anderem der Hinweis, dass Daten vom Hauptverband der Österreichischen Sozialversicherungsträger über Beschäftigungsverhältnisse und Versicherungszeiten, aus dem zentralen Melderegister, von den Finanzämtern über Einkommens- und Umsatzsteuerdaten bei parallel ausgeübter Erwerbstätigkeit sowie vom Pensionsversicherungsträger erhoben würden. Zudem enthalte die Datenauskunft Angaben zur Herkunft der Daten (auch im Bereich der Beauskunftung von Leistungen aus der Arbeitslosenversicherung).

Der BF beziehe die Unvollständigkeit und Verletzung des Art. 15 Abs. 1 lit. g DSGVO insbesondere auf die in der Datenauskunft unter "Datum Informationen/Gesprächsnotizen/Vermerke" enthaltenen Angaben. Bei diesen handle es sich - soweit ersichtlich - nicht um Daten, die bei Dritten erhoben worden seien, sondern überwiegend um solche, die ohnehin beim BF bzw. im Informationsaustausch mit ihm erhoben worden seien, unter anderem zur Dokumentation von Vorsprachen oder sonstigen Kontaktaufnahmen (E-Mail, Fax, Telefon etc.) mit dem XXXX . Teilweise handle es sich auch um Dokumentationen interner Arbeitsschritte, z. B. über die Zusendung bestimmter Unterlagen an den Kunden (z.B. "16.03.2018 - in Kopie an den KD mit RSa zugesendet"), bei denen sich das XXXX die Frage stellt, ob deren Beauskunftung überhaupt erforderlich ist, da die Information darüber für die arbeitslose Person keinen Mehrwert darstelle. Offenbar gehe der BF davon aus, dass ihm auch die Daten der jeweiligen XXXX Mitarbeiter, welche den konkreten Eintrag erfasst haben, zu beauskunften seien. Dieser Ansicht trete das XXXX entschieden entgegen, weil bei Anwendung des Art. 15 Abs. 1 lit. g DSGVO auf die Sphäre, aus der die Daten stammen (Hauptverband der Sozialversicherungsträger), abzustellen sei. Eine konkrete Rückverfolgung auf natürliche Personen, zumal diese ja im Auftrag und im Hoheitsbereich auf Weisung ihres Arbeitgebers handelten, sei eine überschießende Interpretation der Norm. Dieser Ansicht folge auch die Entscheidung der Datenschutzkommission vom 02.08.2005, K121.038/0006-DSK/2005. Dem könne auch nach Inkrafttreten der DSGVO gefolgt werden. Der jeweilige XXXX -Mitarbeiter sei dem Verantwortlichen, also dem XXXX , zuzurechnen. Er handle im Namen und im Auftrag des XXXX . Datenschutzrechtliche Ansprüche (zB Anspruch auf Berichtigung, Löschung etc.) bestünden gegenüber dem XXXX und nicht gegenüber dem konkreten XXXX -Mitarbeiter. Ein besonderes Interesse an der Bekanntgabe der Daten des jeweiligen Mitarbeiters für Zwecke der Rechtsverfolgung, die dessen Geheimhaltungsinteressen überwiegen, lägen aus Sicht des XXXX nicht vor bzw. sei in der Beschwerde auch nicht dargelegt.

Betreffend das behauptetermaßen fehlende Dokument zu "Informationen/Gesprächsnotizen/Vermerke":

Am 06.12.2017 sei beim XXXX Wien eine Meldung (kein Dokument) eines Arbeitskräfte suchenden Unternehmens zur Bewerbung des BF eingelangt, was in einem Aktenvermerk festgehalten worden sei. Darauf beziehe sich die behauptete Information. Aufgrund dieser Meldung sei seitens des XXXX der Leistungsbezug des BF faktisch eingestellt worden und ein behördliches Ermittlungsverfahren im Hinblick auf das Vorliegen der Voraussetzungen nach § 10 AlVG zur Prüfung des Verlusts der Gebührlichkeit der Notstandshilfe eingeleitet werden. Im Zuge dessen sei dem BF die Meldung vom 06.12.2017 zur Kenntnis gebracht worden (siehe übermittelte Datenauskunft unter "Informationen/Gesprächsnotizen/Vermerke" vom 31.01.2018 letzter Absatz, vom 06.03.2018 vorletzter und letzter Absatz, vom 12.03.2018 letzter Absatz und vom 16.05.2018 zweiter Absatz).

Gegen den Bescheid des XXXX vom 05.03.2018, mit dem die Leistungsbezugseinstellung ab 06.12.2017 verfügt worden sei, habe der BF am 15.03.2018 eine Beschwerde eingebracht. Im Rechtsmittelverfahren sei ihm in der Abteilung 3 der XXXX am 07.05.2018 im Rahmen einer Akteneinsicht der Texteintrag vom 06.12.2017 ausgefolgt worden. Mit rk Bescheid des XXXX vom 24.05.2018 sei der Beschwerde des BF im Rahmen einer Beschwerdevorentscheidung stattgegeben, die Einstellung seiner Notstandshilfe ab 06.12.2017 aufgehoben und ab 08.03.2018 die Notstandshilfe nachbezahlt worden.

Die Meldung vom 06.12.2017 an das XXXX sei der erste Teil bzw. Auslöser des gesetzlichen Ermittlungsverfahrens, das das XXXX als Verantwortlicher des öffentlichen Bereichs und sachlich zuständige Behörde für die Ansprüche aus der Arbeitslosenversicherung geführt habe. Das XXXX sei für Zwecke eines von ihm zu führenden Verwaltungsverfahrens zur Erlassung eines Bescheides tätig geworden. Akten von Behörden unterlägen keinem Auskunftsanspruch nach der DSGVO, auch wenn die Texte automationsunterstützt erstellt worden seien. Umfasst davon sei neben den Bescheid inkl. Spruch den Sachverhaltsfeststellungen und den anderen Teil der Bescheidbegründung auch das zugrunde liegende gesetzliche Ermittlungsverfahren. Es sei kein Grund ersichtlich, dass diese Einschränkung des Auskunftsrechts bezüglich des Bescheides einer Behörde und das zugrundeliegenden Ermittlungsverfahrens seit Anwendung der DSGVO nicht mehr gelten solle.

Demnach sei die Datenauskunft des XXXX an den BF vollständig erfolgt. Die Meldung an das XXXX vom 06.12.2017 als Auslöser sowie die weiteren Daten zum vom XXXX abgewickelten Verwaltung- und Ermittlungsverfahren nach dem AVG seien dem BF im Rahmen des Parteiengehörs, bei seinen Akteneinsichten gemäß § 17 AVG und sonstigen Vorsprachen beim XXXX mehrfach zur Kenntnis gebracht worden. Nicht vorgesehen dafür sei das datenschutzrechtliche Auskunftsrecht. Es liege daher keine Verletzung des Rechts auf Auskunft des BF gemäß Art. 15 DSGVO vor.

Mit Schreiben vom 27.03.2019 übermittelte die belangte Behörde dem BF die Stellungnahme der BG und führte aus, im Sinne des § 24 Abs. 6 DSG betrachte die belangte Behörde durch die Reaktion der BG die Beschwerde als gegenstandslos. Sollte der BF nicht binnen einer 14-tägigen Frist begründen, warum er die behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachte, werde die belangte Behörde das Verfahren formlos einstellen.

Mit Schreiben vom 22.03.2019 an die belangte Behörde fragte der BF nach, ob die belangte Behörde bereits zu einem Ergebnis gekommen sei (dies unter Bezugnahme auf § 27 Abs. 7 DSG).

Mit Schreiben vom 16.04.2019 nahm der BF im Rahmen des Parteiengehörs zum oben genannten Schreiben der belangten Behörde wie folgt Stellung:

Die ursprünglich behauptete Rechtsverletzung sei offenkundig teilweise nach wie vor nicht beseitigt. Es sei offenkundig, dass die betroffenen Daten (nicht beim Beschwerdeführer erhobene Daten) nicht vom Hauptverband der Sozialversicherungsträger, dem zentralen Melderegister, von Finanzämtern, von Pensionsversicherungsträgern oder dem BMI stammten und somit von keinem der im XXXX -Informationsschreiben genannten legitimen Herkunftsmöglichkeiten. Die Dateneinträge, unter denen sich auch die die Rechtsverletzung begründenden befänden, seien erkennbar jene zu "Informationen/Gesprächsnotizen/Vermerke". Bei all diesen Dateneinträgen fehle die Angabe des Namens des Amtsorgans, das den Dateneintrag erfasst habe. Die Behauptung, dass die betroffenen Daten "überwiegend" beim BF oder im Informationsaustausch mit ihm erhoben worden seien, sei sachlich unrichtig, wie sich beispielhaft aus der mitübermittelten "Statistik über die Dateneinträge aus der Datenauskunft vom 05.10.2018, Seiten 74 bis 98", ergäbe. Das Recht auf alle verfügbaren Informationen nach Art. 15 Abs. 1 lit. g DSG VO hänge nicht davon ab, ob die Informationen für die betroffene Person einen "Mehrwert" hätten. Unrichtig sei es, dass bei Erfassung von Daten im Hoheitsbereich der staatlichen Verwaltung eine Rückverfolgung auf natürliche Personen nicht notwendig oder zulässig wäre. Im Verwaltungsverfahren seien Verwaltungshandlungen, die nicht formgebunden als Niederschrift beurkundet würden, durch Aktenvermerke zu beurkunden. Gemäß § 16 Abs. 2 AVG seien solche Aktenvermerke vom Amtsorgan unter Beisetzung des Datums zu unterschreiben. Gemäß Art. 15 Abs. 1 lit. g DSGVO bestehe ein Recht auf alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben werden. Die Behauptung der BG, es sei auf die Sphäre abzustellen, aus der die Daten stammten, stelle eine unzulässige Einschränkung des Sinngehalts zur Formulierung "alle verfügbaren Informationen" dar. Die BG habe unvollständige Informationen zur Verfügung gestellt. Folge man der Betrachtungsweise, dass die betroffenen Dateneinträge im Rahmen des Hoheitsbereichs verfasst worden seien, habe die BG die Rechtsvorschriften betreffend Aktenvermerke verletzt. Gehe man davon aus, dass die Dateneinträge der Privatwirtschaftsverwaltung entstammen, so sei das Auskunftsrecht nach Art. 15 Abs. 1 lit. g DSGVO verletzt.

Mit dem bekämpften Bescheid wies die belangte Behörde die Datenschutzbeschwerde ab und traf folgende Feststellungen:

"Mit Schreiben vom 26.09.2019 verlangte der Beschwerdeführer Auskunft über eigene Daten."

Im Folgenden gab die belangte Behörde das im Wesentlichen oben wiedergegebene verfahrenseinleitende Schreiben des BF vom 26.09.2018 wieder.

"Die Beschwerdegegnerin beantwortete die Auskunft mit Schreiben vom 05.10.2019, beauskunftete für die Datenarten "Informationen/Gesprächsnotizen/Vermerke" aber nicht, wer die Urheber dieser Dokumente sind."

Rechtlich führte die belangte Behörde aus, durch Art. 15 DSGVO habe sich der Umfang des Auskunftsrechts nach der Richtlinie 95/ 46/EG Art. 12 und der damaligen Umsetzung in § 26 DSG 2000 nicht verändert. Es genüge zur Wahrung des Auskunftsrechts, dass der BF eine vollständige Übersicht über seine Daten in einer verständlichen Form erhalte, die es ermögliche, von den Daten Kenntnis zu erlangen und zu prüfen, ob diese richtig seien. In Anlehnung dazu habe die Datenschutzbehörde zu Art. 15 Abs. 1 lit. c DSGVO ausgesprochen, dass es darauf ankomme, ob insgesamt eine nachvollziehbare Auskunft erteilt und die Verarbeitung für die betroffene Person möglichst transparent offengelegt worden sei. Ein Anrecht zu erfahren, welche Person für den Verantwortlichen Daten eines Betroffenen erhoben habe, könne der DSGVO nicht entnommen werden. Die Auskunft der BG sei daher auch ohne Bekanntgabe, welche Sachbearbeiter einen Aktenvermerk erstellt hätten, als vollständig zu betrachten.

Gegen diesen Bescheid richtet sich die Beschwerde des BF wegen Rechtswidrigkeit des Inhalts mit dem primären Antrag, den angefochtenen Bescheid dahingehend abzuändern, dass die Verletzung des Rechts auf Auskunft gemäß Art. 15 DSGVO festgestellt werde. Hilfsweise werde ein Aufhebungsantrag gestellt.

Die belangte Behörde legte die Beschwerde mit dem elektronischen Verwaltungsakt mit dem Antrag vor, die Beschwerde abzuweisen. Dem Beschwerdeführer sei es an einer Auskunft über Mitarbeiter des auskunftspflichtigen Verantwortlichen des XXXX gelegen. Die Namen von Bediensteten des XXXX könnten aber nicht "als Daten zur Person eines Auskunftswerbers" gesehen werden. Diese Daten unterlägen daher nicht dem Recht auf Auskunft.

Die Beschwerde ist nicht berechtigt:

Vorauszuschicken ist, dass der BF allein Auskunft gemäß Art 15 DSGVO von der BG begehrte und lediglich die Frage der Verletzung des Rechts auf Auskunft verfahrensgegenständlich ist. Die primäre Auskunftsgewährung durch die BG, das Schreiben vom 5.10.2018 im Umfang von 146 bzw 9 Seiten, ist im elektronischen Akt nicht ersichtlich. Der nähere Inhalt dieses Schreibens wurde durch die belangte Behörde auch nicht festgestellt. Nach der Datenschutzbeschwerde beanstandet der BF zwei Unvollständigkeiten der erhaltenen Auskunft: Einerseits seien bei jenen Daten, die nicht bei ihm erhoben worden seien (Aktenvermerke mit den Titeln "Informationen/Gesprächsnotizen/Vermerke"), die Namen der Amtsorgane, die die Aktenvermerke verfasst hätten, nicht enthalten (bezeichnet nun als "Beschwerdepunkt 1. der Datenschutzbeschwerde"). Weiters fehle ein näher bezeichnetes Dokument, auf das in einem Aktenvermerk verwiesen werde: "Beilage 2, Eintrag vom 8.1.2018, s. Txt 6.12." ("Beschwerdepunkt 2. der Datenschutzbeschwerde").

Gemäß § 27 VwGVG hat das Verwaltungsgericht den angefochtenen Bescheid auf Grund der Beschwerde (§ 9 Abs 1 Z 3 und 4) oder auf Grund der Erklärung über den Umfang der Anfechtung (§ 9 Abs 3) zu überprüfen.

Nach der Judikatur ist das VwG bei der Prüfung der ihm vorliegenden Sache auf Grund der Beschwerde in seiner rechtlichen Beurteilung an das Beschwerdevorbringen nicht gebunden. Wenn allerdings der Beschwerdeführer eine bestimmte Behauptungslast trägt, dann begrenzen die entsprechenden Sachverhaltsbehauptungen den festzustellenden Sachverhalt und damit die Prüfbefugnis des VwG (Fister/Fuchs/Sachs, Verwaltungsgerichtsverfahren² (2018) § 27 VwGVG S 190).

Der BF bezieht sich in der Beschwerde vor dem BVwG nicht mehr auf den behaupteten Auskunftsmangel betreffend "Beilage 2, Eintrag vom 8.1.2018, s. Txt 6.12.". Die BG ist auf diesen Umstand in ihrer Stellungnahme vom 27.2.2019 ausführlich eingegangen (S 4). Danach wurde nachvollziehbar dargetan, dass dem BF am 7.5.2018 im Rahmen einer Akteneinsicht der Texteintrag vom 6.12.2017 (Meldung an SFU) ausgefolgt wurde. Im Übrigen sei diese Meldung Teil eines hoheitlichen Ermittlungsverfahrens, das keinem Auskunftsanspruch nach der DSGVO unterliege.

Betreffend diesen vom BF in der Beschwerde an das BVwG nicht mehr relevierten "Beschwerdepunkt 2. der Datenschutzbeschwerde" sieht der erkennende Senat im Ergebnis keine Fehlbeurteilung, wenn die Beschwerde insgesamt abgewiesen wurde, wenngleich dem Bescheid eine diesbezüglich gesonderte Begründung nicht zu entnehmen ist, insbesondere zumal Akten von Behörden (Bescheid inkl. Spruch, Sachverhaltsfeststellungen, andere Teile der Bescheidbegründung sowie das diesem zugrunde liegende gesetzliche Ermittlungsverfahren) keinem Auskunftsanspruch unterliegen, auch wenn der entsprechende Text - wovon auszugehen ist - mit Hilfe automationsunterstützter Datenverarbeitung erstellt worden ist (siehe dazu unten).

Zum "Beschwerdepunkt 1. der Datenschutzbeschwerde":

Hier führte der BF in der Beschwerde an das BVwG aus, die Auskunft der Verantwortlichen sei insofern unvollständig gewesen, als bei allen gespeicherten personenbezogenen Daten, die offenkundig nicht beim Betroffenen erhoben worden seien, die Informationen über den Urheber fehlten. Auf diese Informationen habe er aber nach Art. 15 Abs. 1 lit. g DSGVO ein Recht auf Auskunft. Da die BG eine Behörde sei, seien die gegenständlichen Daten, zu denen bisweilen Information über die Herkunft verweigert werde, elektronische Aktenvermerke. Gemäß § 16 Abs. 2 AVG seien diese vom Amtsorgan zu unterschreiben oder elektronisch zu authentifizieren. Unbestritten sei, dass im IT-System der BG die jeweiligen Urheber der Dateneinträge verfügbar seien sowie, welches konkrete Amtsorgan Daten wann verfasst und gegebenenfalls geändert habe. Die Verweigerung der Offenlegung der Informationen über die Urheber von Aktenvermerken durch eine Behörde bedeute auch eine Verletzung von Art. 6 Z. 3 EMRK, wenn es sich "inhaltlich um anschuldigende Aussagen" handle.

Die DSGVO enthält diesbezüglich folgende relevante Bestimmungen:

Art 1 Abs 1: Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

Abs 2: Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Der Schutz personenbezogener Daten setzt bei Tätigkeiten an, bei denen personenbezogene Daten verwendet werden. Dem diesbezüglich in der DSGVO gewählten Begriff des "Verarbeitens" kommt insoweit zentrale Bedeutung zu, als die DSGVO den Schutz des Einzelnen ebenso wie die Pflichten der Verantwortlichen von der Verarbeitung personenbezogener Daten abhängig macht. Kann ein Vorgang nicht als Verarbeitung qualifiziert werden, so bestehen weder Rechte noch Pflichten. Unter Verarbeitung wird jeder "mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung" verstanden (Lachmayer in Knyrim, DatKomm (Stand 1.12.2018), rdb.at, Art 1, Rz 31).

§ 1 Abs 3 Z 1 DSG konkretisiert das Recht auf Auskunft im Hinblick auf bestimmte zu beauskunftende Informationen. Diese beinhalten die verarbeiteten Daten, ihre Herkunft, den Zweck der Verarbeitung, die durchgeführten Verarbeitungsarten und die Weiterübermittlung der Daten (wie oben, Rz 139).

Im Anwendungsbereich der DSGVO geht diese den grundrechtlichen Vorgaben des Rechts auf Auskunft vor (wie oben, Rz 120).

Gemäß Art 4 bezeichnet der Ausdruck 1. "personenbezogenen Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen.

Das Vorliegen personenbezogener Daten bestimmt den sachlichen Anwendungsbereich der DSGVO. Personenbezogene Daten sind das Schutzziel der Verordnung (Hödl in Knyrim, DatKomm (Stand 1.12.2018, rdb.at) Art 4, Rz 6).

Der in der Definition enthaltene Begriff der Informationen umfasst ohne Einschränkung "alle Informationen", die sich auf eine Person beziehen, womit sich zeigt, dass der Begriff weit zu verstehen ist. Sohin sind persönliche Informatiken wie Identifikationsmerkmale, äußere Merkmale, innere Zustände genauso gemeint wie sachliche Informationen, also Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen sowie sonstige Beziehungen der betroffenen Person, zu Dritten und ihrer Umwelt (wie oben, Rz 9).

Die Begriffsdefinition der personenbezogenen Daten enthält drei Komponenten: Eine Verarbeitungskomponente, die sich auf die Daten bezieht, eine Inhaltskomponente, die sich auf Menschen bezieht und die Identitätskomponente, mit der die Identifizierbarkeit einer Person angesprochen ist (wie oben, Rz 10)

Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von den Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das Auskunftsrecht bezieht sich auf personenbezogene Daten der betroffenen Person, die der Verantwortliche verarbeitet. Papierakten sind keine manuellen Dateisysteme und damit nach Art 2 Abs 1 vom Anwendungsbereich der DSGVO ausgenommen (s bei Art 2). Sie unterliegen damit auch nicht dem datenschutzrechtlichen Auskunftsrecht. Dies gilt ebenso ganz allgemein für den Austausch von Informationen und Kommunikationsinhalte im menschlichen Sozialleben, etwa den Inhalt von Gesprächen oder Telefonaten, der nicht Teil einer Datenverarbeitung geworden worden ist.

Als Dateisysteme zu qualifizieren sind jedoch Protokollbücher und Indexkarteien, welche die Akten auffindbar machen. Akten von Behörden (Bescheid inkl Spruch, Sachverhaltsfeststellungen, andere Teile der Bescheidbegründung sowie das diesem zugrunde liegende gesetzliche Ermittlungsverfahren) unterliegen keinem Auskunftsanspruch, auch wenn der entsprechende Text - wovon auszugehen ist - mit Hilfe automationsunterstützter Datenverarbeitung erstellt worden ist. Generell kann laut EuGH das Auskunftsrecht nur dazu herangezogen werden, um die Privatsphäre zu schützen, nicht aber um sich Zugang zu Verwaltungsdokumenten zu sichern, wie dies etwa bei rechtlichen Analysen in einem Asylbescheid der Fall ist. Diese sind keine personenbezogenen Daten (Haidinger in Knyrim, DatKomm (Stand 1.10.2018, rdb.at, Art 15, Rz 30).

Das Auskunftsrecht kann sich grds auf Daten erstrecken, die auch andere betroffene Personen betreffen ("auch sie betreffende Daten"). Zugangsprotokolle, aus denen hervorgeht, welche Mitarbeiter des Verantwortlichen wann welche Daten verarbeitet haben, gelten im Allgemeinen nicht als zur betroffenen Person verarbeitete Daten und sind damit vom Auskunftsrecht nicht erfasst. Der betroffenen Person verschafft es keinen Vorteil, wenn sie die Namen der Personen kennt, welche ihre Daten eingegeben haben, denn das Auskunftsrecht als Begleitgrundrecht kann nur gegenüber dem Verantwortlichen durchgesetzt werden. Hiervon wäre eine Ausnahme zu machen, wenn die betroffene Person ein besonderes Interesse an einer Benennung der konkreten Personen für Zwecke der Verfolgung ihrer Rechte darlegen kann (wie oben, Rz 31).

Falls die Daten nicht bei der betroffenen Person selbst erhoben worden sind, hat der Verantwortliche Auskunft über alle verfügbaren Informationen, über die Herkunft der Daten, einschließlich Gegenstand und Mittel der Datenerhebung, zu erteilen. Erfasst sind nur verfügbare Informationen, dh es besteht keine Pflicht zur Dokumentationen von Datenquellen (wie oben, Rz 43).

Zu diesem Beschwerdepunkt sieht sich der BF ausdrücklich lediglich dadurch in seinem Auskunftsrecht verletzt, als er Informationen über die Urheber von Aktenvermerken begehrt. § 16 AVG regelt, wann und wie durch Organe Aktenvermerke anzufertigen sind. Diese Bestimmung richtet sich an die Verwaltungsorgane. Unter dem Aspekt des Datenschutzes, insbesondere des Rechts auf Auskunft nach der DSGVO, lässt sich für den BF daraus nichts gewinnen. Nach der Darstellung der allgemeinen Normen der DSGVO (Schutz personenbezogener Daten) sowie jener zum Auskunftsrecht im Speziellen sind "personenbezogene Daten" das datenschutzrechtliche Schutzziel. Insoferne gelten, wie oben dargestellt, Zugangsprotokolle, aus denen hervorgeht, welche Mitarbeiter des Verantwortlichen wann welche Daten verarbeitet haben, im Allgemeinen nicht als zur betroffenen Person verarbeitete Daten und sind damit vom Auskunftsrecht daher nicht erfasst. Dies muß auch für "Informationen über die Urheber", also Personen gelten, die Aktenvermerke verfassen, in denen allenfalls zu beauskunftende Daten enthalten sind, da Daten über diese dem Verantwortlichen zuzurechnenden Personen nicht als personenbezogene Daten des Betroffenen zu qualifizieren sind. Selbst wenn die Rechtsprechung hievon Ausnahmen machen wollte, wäre ein besonderes Interesse an der ausnahmsweisen Benennung der Person darzulegen. Gerade eine solche Ausnahme behauptet der BF nicht, sondern sieht generell die Offenlegung dieser Informationen als vom datenschutzrechtlichen Auskunftsrecht gedeckt. Wenn er sich schließlich auf Art 6 Z 3 EMRK beruft "wenn es sich inhaltlich um anschuldigende Aussagen handle", so ist ihm entgegenzuhalten, dass dem Recht auf ein fair trial nicht mit datenschutzrechtlichen Bestimmungen zum Durchbruch zu verhelfen ist. Umstände, weshalb im Einzelfall ein datenschutzrechtliches Interesse an der Benennung von Personen im Bereich der BG bestehen soll, sind im gesamten Verfahren jedenfalls nicht hervorgekommen.

Der belangten Behörde ist daher insgesamt keine Fehlbeurteilung bei der Abweisung der Beschwerde unterlaufen.

Da letztlich eine Rechtsfrage zu beurteilen war und die diesbezüglich zu Grunde liegenden Sachverhaltsfragen unstrittig waren, bedurfte es keiner mündlichen Verhandlung. Eine solche wurde durch den BF auch nicht beantragt.

Der Ausspruch der Unzulässigkeit der Revision folgt dem Umstand, dass ausgehend von der Bestimmung des Art 15 DSGVO Einzelfallumstände zu klären waren.