Index
L00155 LVerwaltungsgericht SalzburgNorm
B-VG Art130 Abs2aBetreff
Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Handstanger, Hofrat Dr. Mayr, Hofrätin Mag. Hainz-Sator und die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung der Schriftführerin Mag.a Sowa-Janovsky, über die Revision des Landesverwaltungsgerichts Salzburg gegen das Erkenntnis des Bundesverwaltungsgerichts vom 10. Juli 2019, Zl. W101 2140606-1/12E, betreffend Beschwerde nach dem Datenschutzgesetz 2000 (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; mitbeteiligte Partei: S H in S), zu Recht erkannt:
Spruch
Der Revision wird Folge gegeben und das angefochtene Erkenntnis gemäß § 42 Abs. 1 und 4 VwGG dahin abgeändert, dass sein Spruchpunkt A) lautet:Der Revision wird Folge gegeben und das angefochtene Erkenntnis gemäß Paragraph 42, Absatz eins, und 4 VwGG dahin abgeändert, dass sein Spruchpunkt A) lautet:
„Der Beschwerde wird gemäß § 28 Abs. 2 VwGVG Folge gegeben und der Teilbescheid der Datenschutzbehörde vom 6. September 2016, GZ. DSB-D122.454/0010-DSB/206, dahin abgeändert, dass sein Spruch lautet:„Der Beschwerde wird gemäß Paragraph 28, Absatz 2, VwGVG Folge gegeben und der Teilbescheid der Datenschutzbehörde vom 6. September 2016, GZ. DSB-D122.454/0010-DSB/206, dahin abgeändert, dass sein Spruch lautet:
‚Die gegen das Landesverwaltungsgericht Salzburg (Drittbeschwerdegegner) gerichtete Beschwerde nach § 31 Abs. 2 DSG 2000 wird wegen Unzuständigkeit zurückgewiesen.‘“‚Die gegen das Landesverwaltungsgericht Salzburg (Drittbeschwerdegegner) gerichtete Beschwerde nach Paragraph 31, Absatz 2, DSG 2000 wird wegen Unzuständigkeit zurückgewiesen.‘“
Begründung
1 Unstrittig hat das Landesverwaltungsgericht Salzburg mit Erkenntnis vom 17. Juli 2015 über die Beschwerde des Mitbeteiligten gegen einen Bescheid des Bürgermeisters der Landeshauptstadt Salzburg in einer Angelegenheit des Mitbeteiligten nach dem Salzburger Mindestsicherungsgesetz entschieden und den Text dieses Erkenntnisses einschließlich der darin wiedergegebenen und unter anderem das Geburtsdatum des Mitbeteiligten enthaltenden Geschäftszahl des Aktes des Magistrats der Stadt Salzburg vom 16. November 2015 bis 19. April 2016 auf der Website des Landesverwaltungsgerichtes zum Download bereitgehalten.
2 Der Mitbeteiligte brachte in seiner mit 5. Jänner 2016 datierten und am 7. Jänner 2016 bei der Datenschutzbehörde eingelangten, zunächst nur gegen die Stadt Salzburg und das Land Salzburg gerichteten Datenschutzbeschwerde nach § 31 Abs. 2 Datenschutzgesetz 2000 (DSG 2000) im Wesentlichen vor: Durch das Anführen seines Geburtsdatums in der seinem Verfahren betreffend Gewährung von Mindestsicherung von Amts wegen zugewiesenen Aktenzahl durch den Magistrat der Stadt Salzburg als Verwaltungsbehörde bzw. das Amt der Salzburger Landesregierung als Oberbehörde sowie durch die Veröffentlichung näher bezeichneter Entscheidung des Landesverwaltungsgerichts Salzburg über seine Beschwerde gegen näher bezeichneten Bescheid des Magistrats der Stadt Salzburg auf der Website des Landesverwaltungsgerichtes unter Wiedergabe der Aktenzahl des angefochtenen Bescheides, woraus Rückschlüsse auf seine Person möglich seien, sei er in seinem Recht auf Geheimhaltung verletzt worden. Mit Schreiben vom 3. Februar 2016 dehnte der Mitbeteiligte die Datenschutzbeschwerde auf das Landesverwaltungsgericht Salzburg als Beschwerdegegnerin im Hinblick auf die Veröffentlichung des ihn betreffenden Erkenntnisses des Landesverwaltungsgerichtes vom 17. Juli 2015 aus.Der Mitbeteiligte brachte in seiner mit 5. Jänner 2016 datierten und am 7. Jänner 2016 bei der Datenschutzbehörde eingelangten, zunächst nur gegen die Stadt Salzburg und das Land Salzburg gerichteten Datenschutzbeschwerde nach Paragraph 31, Absatz 2, Datenschutzgesetz 2000 (DSG 2000) im Wesentlichen vor: Durch das Anführen seines Geburtsdatums in der seinem Verfahren betreffend Gewährung von Mindestsicherung von Amts wegen zugewiesenen Aktenzahl durch den Magistrat der Stadt Salzburg als Verwaltungsbehörde bzw. das Amt der Salzburger Landesregierung als Oberbehörde sowie durch die Veröffentlichung näher bezeichneter Entscheidung des Landesverwaltungsgerichts Salzburg über seine Beschwerde gegen näher bezeichneten Bescheid des Magistrats der Stadt Salzburg auf der Website des Landesverwaltungsgerichtes unter Wiedergabe der Aktenzahl des angefochtenen Bescheides, woraus Rückschlüsse auf seine Person möglich seien, sei er in seinem Recht auf Geheimhaltung verletzt worden. Mit Schreiben vom 3. Februar 2016 dehnte der Mitbeteiligte die Datenschutzbeschwerde auf das Landesverwaltungsgericht Salzburg als Beschwerdegegnerin im Hinblick auf die Veröffentlichung des ihn betreffenden Erkenntnisses des Landesverwaltungsgerichtes vom 17. Juli 2015 aus.
3 Mit Teilbescheid vom 6. September 2016 gab die Datenschutzbehörde der Datenschutzbeschwerde des Mitbeteiligten Folge und stellte fest, dass die Präsidentin des Landesverwaltungsgerichtes Salzburg als Justizverwaltungsorgan den Mitbeteiligten dadurch in seinem Grundrecht auf Geheimhaltung schutzwürdiger personenbezogener Daten verletzt habe, dass vom 16. November 2015 bis 19. April 2016 der Text des näher bezeichneten Erkenntnisses des Landesverwaltungsgerichtes Salzburg vom 17. Juli 2015, enthaltend die wiedergegebene Geschäftszahl des Aktes des Magistrats der Stadt Salzburg und damit das Geburtsdatum des Mitbeteiligten, auf der Website des Verwaltungsgerichtes zum Download bereitgehalten und an eine nicht mehr feststellbare Zahl von Empfängern übermittelt worden sei.
4 Begründend führte die Datenschutzbehörde aus, gemäß § 31 Abs. 2 DSG 2000 sei sie nicht zur Entscheidung über Beschwerden wegen behaupteter Verletzungen des Rechts auf Geheimhaltung personenbezogener Daten zuständig, wenn sich die Beschwerde gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richte. Unbestritten sei, dass nach dieser Bestimmung die Datenschutzbehörde nicht für die Beurteilung von Akten der Datenverwendung zuständig sei, die von Richtern (oder Rechtspflegern) in Ausübung ihres Richteramts gesetzt würden bzw. die der Vornahme solcher Amtsgeschäfte zuzurechnen seien.Begründend führte die Datenschutzbehörde aus, gemäß Paragraph 31, Absatz 2, DSG 2000 sei sie nicht zur Entscheidung über Beschwerden wegen behaupteter Verletzungen des Rechts auf Geheimhaltung personenbezogener Daten zuständig, wenn sich die Beschwerde gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richte. Unbestritten sei, dass nach dieser Bestimmung die Datenschutzbehörde nicht für die Beurteilung von Akten der Datenverwendung zuständig sei, die von Richtern (oder Rechtspflegern) in Ausübung ihres Richteramts gesetzt würden bzw. die der Vornahme solcher Amtsgeschäfte zuzurechnen seien.
Während in §§ 83 bis 85 GOG für die ordentliche Gerichtsbarkeit ein (subsidiäres) Verfahren zur Geltendmachung von Datenschutzrechten bestehe, gebe es, soweit absehbar, im Bereich der Verwaltungs- und Verfassungsgerichtsbarkeit des Bundes und der Länder keine entsprechenden gesetzlichen Regelungen. Die vom DSG 2000 gewährten Rechte würden unzweifelhaft auch für den Bereich der Gerichtsbarkeit gelten. Es bestehe daher ein Bedarf nach einem entsprechenden Rechtsschutzinstrumentarium und somit eine Rechtsschutzlücke. § 31 DSG 2000 sei daher verfassungskonform so auszulegen, dass diese Rechtsschutzlücke auf den durch zwingende Bestimmungen des Verfassungsrechts wie etwa den Grundsatz der Trennung zwischen Gerichtsbarkeit und Verwaltung in Art. 94 Abs. 1 B-VG bedingten „Kernbereich“ beschränkt bleibe.Während in Paragraphen 83, bis 85 GOG für die ordentliche Gerichtsbarkeit ein (subsidiäres) Verfahren zur Geltendmachung von Datenschutzrechten bestehe, gebe es, soweit absehbar, im Bereich der Verwaltungs- und Verfassungsgerichtsbarkeit des Bundes und der Länder keine entsprechenden gesetzlichen Regelungen. Die vom DSG 2000 gewährten Rechte würden unzweifelhaft auch für den Bereich der Gerichtsbarkeit gelten. Es bestehe daher ein Bedarf nach einem entsprechenden Rechtsschutzinstrumentarium und somit eine Rechtsschutzlücke. Paragraph 31, DSG 2000 sei daher verfassungskonform so auszulegen, dass diese Rechtsschutzlücke auf den durch zwingende Bestimmungen des Verfassungsrechts wie etwa den Grundsatz der Trennung zwischen Gerichtsbarkeit und Verwaltung in Artikel 94, Absatz eins, B-VG bedingten „Kernbereich“ beschränkt bleibe.
Aus § 8 Abs. 2 und 4 sowie § 20 Salzburger Landesverwaltungsgerichtsgesetz (S. LVwGG) folge rechtlich zwingend, dass es sich bei der in § 20 leg. cit. geregelten Entscheidungsdokumentation um eine Tätigkeit handle, die der Justizverwaltung zuzurechnen sei. Anders als in § 15 OGHG komme dem in der Sache erkennenden Richter (Einzelrichter oder Richtersenat) gesetzlich keine Mitwirkung bei der Entscheidungsdokumentation zu. Das Gesetz weise diese Aufgabe vielmehr klar der Präsidentin des Landesverwaltungsgerichtes als Justizverwaltungsorgan und den ihr unterstehenden, weisungsgebundenen Bediensteten der Evidenzstelle zu.Aus Paragraph 8, Absatz 2, und 4 sowie Paragraph 20, Salzburger Landesverwaltungsgerichtsgesetz Sitzung , LVwGG) folge rechtlich zwingend, dass es sich bei der in Paragraph 20, leg. cit. geregelten Entscheidungsdokumentation um eine Tätigkeit handle, die der Justizverwaltung zuzurechnen sei. Anders als in Paragraph 15, OGHG komme dem in der Sache erkennenden Richter (Einzelrichter oder Richtersenat) gesetzlich keine Mitwirkung bei der Entscheidungsdokumentation zu. Das Gesetz weise diese Aufgabe vielmehr klar der Präsidentin des Landesverwaltungsgerichtes als Justizverwaltungsorgan und den ihr unterstehenden, weisungsgebundenen Bediensteten der Evidenzstelle zu.
In weiterer Folge sei die Frage, ob das Landesverwaltungsgericht durch seine Präsidentin vorliegend nicht zumindest als „Organ im Dienste der Gerichtsbarkeit“ tätig geworden sei, zu verneinen. Mit Organen im Dienste der Gerichtsbarkeit seien gesetzlich Verwaltungsbehörden und deren Bedienstete gemeint, die hinsichtlich bestimmter Aufgaben von Gesetzes wegen unter der Leitung von Gerichten oder Staatsanwaltschaften stünden. Insbesondere treffe dies auf die Sicherheitsbehörden im kriminalpolizeilichen Ermittlungsverfahren zu. Zwischen den durch die Richter des Landesverwaltungsgerichts in Ausübung ihres Richteramtes vollzogenen Aufgaben der Gerichtsbarkeit und der durch die Präsidentin des Landesverwaltungsgerichts ausgeübten Justizverwaltung, vorliegend der Entscheidungsdokumentation, gebe es hingegen eine klare durch Art. 87 Abs. 2 B-VG auch verfassungsrechtlich gebotene Trennung und keine gesetzlich geregelte Über- oder Unterordnung oder die Ermächtigung zu einer „Indienstnahme“. Die „Letztverantwortung“ liege hier gerade nicht beim erkennenden Richter oder Richtersenat, weil Weisungen an die Bediensteten der Evidenzstelle gemäß § 20 Abs. 1 und 2 S. LVwGG von der Präsidentin zu erteilen seien.In weiterer Folge sei die Frage, ob das Landesverwaltungsgericht durch seine Präsidentin vorliegend nicht zumindest als „Organ im Dienste der Gerichtsbarkeit“ tätig geworden sei, zu verneinen. Mit Organen im Dienste der Gerichtsbarkeit seien gesetzlich Verwaltungsbehörden und deren Bedienstete gemeint, die hinsichtlich bestimmter Aufgaben von Gesetzes wegen unter der Leitung von Gerichten oder Staatsanwaltschaften stünden. Insbesondere treffe dies auf die Sicherheitsbehörden im kriminalpolizeilichen Ermittlungsverfahren zu. Zwischen den durch die Richter des Landesverwaltungsgerichts in Ausübung ihres Richteramtes vollzogenen Aufgaben der Gerichtsbarkeit und der durch die Präsidentin des Landesverwaltungsgerichts ausgeübten Justizverwaltung, vorliegend der Entscheidungsdokumentation, gebe es hingegen eine klare durch Artikel 87, Absatz 2, B-VG auch verfassungsrechtlich gebotene Trennung und keine gesetzlich geregelte Über- oder Unterordnung oder die Ermächtigung zu einer „Indienstnahme“. Die „Letztverantwortung“ liege hier gerade nicht beim erkennenden Richter oder Richtersenat, weil Weisungen an die Bediensteten der Evidenzstelle gemäß Paragraph 20, Absatz eins, und 2 Sitzung , LVwGG von der Präsidentin zu erteilen seien.
Die Datenschutzbehörde sei insofern für die das Landesverwaltungsgericht Salzburg betreffende Datenschutzbeschwerde mit der Maßgabe (§ 31 Abs. 3 Z 2 DSG 2000) zuständig, „dass die ‚Präsidentin des Landesverwaltungsgerichts Salzburg als Justizverwaltungsorgan‘ als datenschutzrechtlich Verantwortliche“ und das Landesverwaltungsgericht Salzburg vorliegend bloß als deren „Geschäftsapparat (§ 4 Z 1 5. Fall DSG 2000)“ zu gelten habe.Die Datenschutzbehörde sei insofern für die das Landesverwaltungsgericht Salzburg betreffende Datenschutzbeschwerde mit der Maßgabe (Paragraph 31, Absatz 3, Ziffer 2, DSG 2000) zuständig, „dass die ‚Präsidentin des Landesverwaltungsgerichts Salzburg als Justizverwaltungsorgan‘ als datenschutzrechtlich Verantwortliche“ und das Landesverwaltungsgericht Salzburg vorliegend bloß als deren „Geschäftsapparat (Paragraph 4, Ziffer eins, 5. Fall DSG 2000)“ zu gelten habe.
5 Das Geburtsdatum sei gemäß § 4 Z 1 DSG 2000 ein schutzwürdiges personenbezogenes Datum und Angabe über den Mitbeteiligten als Betroffenen. Dass das Geburtsdatum als Bestandteil einer Aktenzahl hier nicht auf den ersten Blick und nur mit entsprechendem Zusatzwissen erkannt habe werden können und eine sichere Identifizierung des Mitbeteiligten nicht in jedem Fall möglich gewesen sei, ändere daran nichts.Das Geburtsdatum sei gemäß Paragraph 4, Ziffer eins, DSG 2000 ein schutzwürdiges personenbezogenes Datum und Angabe über den Mitbeteiligten als Betroffenen. Dass das Geburtsdatum als Bestandteil einer Aktenzahl hier nicht auf den ersten Blick und nur mit entsprechendem Zusatzwissen erkannt habe werden können und eine sichere Identifizierung des Mitbeteiligten nicht in jedem Fall möglich gewesen sei, ändere daran nichts.
§ 20 Abs. 2 S. LVwGG, wonach Entscheidungen, soweit sich diese für eine Veröffentlichung eignen würden, „in anonymisierter Form“ zu veröffentlichen seien, sei so zu verstehen, dass eine Pseudonymisierung (vgl. Art. 4 Z 5 DSGVO) geboten sei. Die Entscheidung müsse so bearbeitet werden, dass aus ihr bei Wahrung der Verständlichkeit des Inhalts schutzwürdige personenbezogene Daten, insbesondere solche natürlicher Personen, die nicht in Ausübung einer öffentlichen Funktion tätig gewesen seien (§ 8 Abs. 3 Z 6 DSG 2000), zu entfernen oder durch Platzhalter (Initialen, Abkürzungen o.ä.) zu ersetzen seien, sodass der Empfänger der Daten, so sie nicht über ein außergewöhnlich dichtes Insiderwissen verfügten, keinen Bezug zu den Betroffenen herstellen und diese insbesondere nicht ohne weitere Hilfsmittel identifizieren könnten. Zu pseudonymisieren seien insbesondere Namen, Geburtsdaten, Personenkennzeichen sowie Adressen. Entscheidungen, die bei der Erhaltung der Verständlichkeit nicht in diesem Umfang pseudonymisiert werden könnten, würden sich gemäß § 20 Abs. 2 S. LVwGG nicht zur Veröffentlichung eignen.Paragraph 20, Absatz 2, Sitzung , LVwGG, wonach Entscheidungen, soweit sich diese für eine Veröffentlichung eignen würden, „in anonymisierter Form“ zu veröffentlichen seien, sei so zu verstehen, dass eine Pseudonymisierung vergleiche , Artikel 4, Ziffer 5, DSGVO) geboten sei. Die Entscheidung müsse so bearbeitet werden, dass aus ihr bei Wahrung der Verständlichkeit des Inhalts schutzwürdige personenbezogene Daten, insbesondere solche natürlicher Personen, die nicht in Ausübung einer öffentlichen Funktion tätig gewesen seien (Paragraph 8, Absatz 3, Ziffer 6, DSG 2000), zu entfernen oder durch Platzhalter (Initialen, Abkürzungen o.ä.) zu ersetzen seien, sodass der Empfänger der Daten, so sie nicht über ein außergewöhnlich dichtes Insiderwissen verfügten, keinen Bezug zu den Betroffenen herstellen und diese insbesondere nicht ohne weitere Hilfsmittel identifizieren könnten. Zu pseudonymisieren seien insbesondere Namen, Geburtsdaten, Personenkennzeichen sowie Adressen. Entscheidungen, die bei der Erhaltung der Verständlichkeit nicht in diesem Umfang pseudonymisiert werden könnten, würden sich gemäß Paragraph 20, Absatz 2, Sitzung , LVwGG nicht zur Veröffentlichung eignen.
Das Landesverwaltungsgericht Salzburg habe die durch § 20 Abs. 2 S. LVwGG gesetzlich gebotene „Anonymisierung“ nicht vollständig vorgenommen. Damit sei die Verwendung des Geburtsdatums nicht nur überschießend (§ 6 Abs. 1 Z 3 DSG 2000), sondern gemäß § 7 Abs. 1 bis 3 DSG 2000 dem Inhalt nach nicht mehr von den gesetzlichen Befugnissen des Landesverwaltungsgerichtes Salzburg gedeckt gewesen. Das Landesverwaltungsgericht Salzburg habe daher den Mitbeteiligten im spruchgemäßen Zeitraum im Recht auf Geheimhaltung verletzt. Der Datenschutzbeschwerde sei somit hinsichtlich des Landesverwaltungsgerichts Folge zu geben und es sei gemäß § 31 Abs. 7 DSG 2000 ein Eingriff in das Grundrecht auf Geheimhaltung gemäß § 1 Abs. 1 DSG 2000 festzustellen gewesen.Das Landesverwaltungsgericht Salzburg habe die durch Paragraph 20, Absatz 2, Sitzung , LVwGG gesetzlich gebotene „Anonymisierung“ nicht vollständig vorgenommen. Damit sei die Verwendung des Geburtsdatums nicht nur überschießend (Paragraph 6, Absatz eins, Ziffer 3, DSG 2000), sondern gemäß Paragraph 7, Absatz eins, bis 3 DSG 2000 dem Inhalt nach nicht mehr von den gesetzlichen Befugnissen des Landesverwaltungsgerichtes Salzburg gedeckt gewesen. Das Landesverwaltungsgericht Salzburg habe daher den Mitbeteiligten im spruchgemäßen Zeitraum im Recht auf Geheimhaltung verletzt. Der Datenschutzbeschwerde sei somit hinsichtlich des Landesverwaltungsgerichts Folge zu geben und es sei gemäß Paragraph 31, Absatz 7, DSG 2000 ein Eingriff in das Grundrecht auf Geheimhaltung gemäß Paragraph eins, Absatz eins, DSG 2000 festzustellen gewesen.
6 Dagegen richtete sich die Beschwerde der Präsidentin des Landesverwaltungsgerichtes Salzburg.
7 Mit dem angefochtenen Erkenntnis entschied das Bundesverwaltungsgericht (BVwG) über „die Beschwerde des Landesverwaltungsgerichtes Salzburg, vertreten durch die Präsidentin“, wies die Beschwerde als unbegründet ab und sprach aus, dass die Revision nicht zulässig sei.
8 Ausgehend vom unstrittigen Sachverhalt führte das BVwG begründend aus, dass zum Zeitpunkt der Erlassung des Teilbescheides „die Präsidentin des Landesverwaltungsgerichtes Salzburg als Leiterin der Evidenzstelle (= Justizverwaltungsorgan)“ gemäß § 20 Abs. 1 S. LVwGG idF LGBl. Nr. 18/2016 dafür zuständig gewesen sei, Entscheidungen des Landesverwaltungsgerichtes „in anonymisierter Form im Rechtsinformationssystem des Bundes (RIS) oder im Rahmen des Internetauftrittes des Landesverwaltungsgerichtes“ veröffentlichen zu können. In der (seit 23. November 2018) geltenden Fassung des § 20 Abs. 1 S. LVwGG, LGBl. Nr. 82/2018, sei die Präsidentin „zur Leiterin der Evidenzstelle (= Justizverwaltungsorgan)“ bestimmt. In § 21a Abs. 3 S. LVwGG, LGBl. Nr. 82/2018, werde die Möglichkeit der Veröffentlichung von Entscheidungen „in anonymisierter Form, insbesondere im Rechtsinformationssystem des Bundes (RIS) oder im Rahmen des Internetauftrittes des Landesverwaltungsgerichtes“ festgeschrieben.Ausgehend vom unstrittigen Sachverhalt führte das BVwG begründend aus, dass zum Zeitpunkt der Erlassung des Teilbescheides „die Präsidentin des Landesverwaltungsgerichtes Salzburg als Leiterin der Evidenzstelle (= Justizverwaltungsorgan)“ gemäß Paragraph 20, Absatz eins, Sitzung , LVwGG in der Fassung Landesgesetzblatt Nr. 18 aus 2016, dafür zuständig gewesen sei, Entscheidungen des Landesverwaltungsgerichtes „in anonymisierter Form im Rechtsinformationssystem des Bundes (RIS) oder im Rahmen des Internetauftrittes des Landesverwaltungsgerichtes“ veröffentlichen zu können. In der (seit 23. November 2018) geltenden Fassung des Paragraph 20, Absatz eins, Sitzung , LVwGG, Landesgesetzblatt Nr. 82 aus 2018,, sei die Präsidentin „zur Leiterin der Evidenzstelle (= Justizverwaltungsorgan)“ bestimmt. In Paragraph 21 a, Absatz 3, Sitzung , LVwGG, Landesgesetzblatt Nr. 82 aus 2018,, werde die Möglichkeit der Veröffentlichung von Entscheidungen „in anonymisierter Form, insbesondere im Rechtsinformationssystem des Bundes (RIS) oder im Rahmen des Internetauftrittes des Landesverwaltungsgerichtes“ festgeschrieben.
Die Bestimmung des § 15 OGHG finde nur auf den OGH bzw. auf dessen erkennende Senate selbst, aber nicht auf Gerichte bzw. Verwaltungsgerichte im Allgemeinen Anwendung.Die Bestimmung des Paragraph 15, OGHG finde nur auf den OGH bzw. auf dessen erkennende Senate selbst, aber nicht auf Gerichte bzw. Verwaltungsgerichte im Allgemeinen Anwendung.
Die Datenschutzbehörde sei daher sowohl zum Zeitpunkt der Erlassung des angefochtenen Teilbescheides gemäß § 31 DSG 2000 idF BGBl. Nr. I 83/2013, als auch zum Zeitpunkt der Entscheidung des BVwG gemäß § 18 DSG idgF iVm Art. 51 und Art. 55 DSGVO für die inhaltliche Behandlung der Datenschutzbeschwerde zuständig.Die Datenschutzbehörde sei daher sowohl zum Zeitpunkt der Erlassung des angefochtenen Teilbescheides gemäß Paragraph 31, DSG 2000 in der Fassung Bundesgesetzblatt Nr. römisch eins 83 aus 2013,, als auch zum Zeitpunkt der Entscheidung des BVwG gemäß Paragraph 18, DSG idgF in Verbindung mit Artikel 51 und Artikel 55, DSGVO für die inhaltliche Behandlung der Datenschutzbeschwerde zuständig.
§ 69 Abs. 4 DSG enthalte keine Übergangsbestimmungen bezüglich vor dem BVwG anhängiger datenschutzrechtlicher Verfahren. Damit sei die zum Zeitpunkt der Entscheidung geltende Rechtslage anzuwenden.Paragraph 69, Absatz 4, DSG enthalte keine Übergangsbestimmungen bezüglich vor dem BVwG anhängiger datenschutzrechtlicher Verfahren. Damit sei die zum Zeitpunkt der Entscheidung geltende Rechtslage anzuwenden.
Zentraler Anknüpfungspunkt, ob ein Grundrechtsanspruch gemäß § 1 Abs. 1 DSG bestehe, sei das Vorliegen von „schutzwürdigen“ Interessen. Die allgemeine Verfügbarkeit oder die mangelnde Rückführbarkeit der Daten auf den Betroffenen würden schutzwürdige Interessen ausschließen. Mangelnde Rückführbarkeit liege dann vor, wenn die Herstellung eines Personenbezuges nicht machbar sei. Das in § 1 Abs. 1 DSG normierte schutzwürdige Geheimhaltungsinteresse setze voraus, dass Daten betroffen seien, die auf eine in ihrer Identität bestimmte oder zumindest bestimmbare Person zurückgeführt werden könnten, und dass diese Daten geheim gehalten werden könnten.Zentraler Anknüpfungspunkt, ob ein Grundrechtsanspruch gemäß Paragraph eins, Absatz eins, DSG bestehe, sei das Vorliegen von „schutzwürdigen“ Interessen. Die allgemeine Verfügbarkeit oder die mangelnde Rückführbarkeit der Daten auf den Betroffenen würden schutzwürdige Interessen ausschließen. Mangelnde Rückführbarkeit liege dann vor, wenn die Herstellung eines Personenbezuges nicht machbar sei. Das in Paragraph eins, Absatz eins, DSG normierte schutzwürdige Geheimhaltungsinteresse setze voraus, dass Daten betroffen seien, die auf eine in ihrer Identität bestimmte oder zumindest bestimmbare Person zurückgeführt werden könnten, und dass diese Daten geheim gehalten werden könnten.
Dadurch, dass im Zuge der Veröffentlichung der den Mitbeteiligten betreffenden Entscheidung des Landesverwaltungsgerichtes Salzburg eine Anonymisierung des Geburtsdatums des Mitbeteiligten in der Aktenzahl des Magistrats der Stadt Salzburg unterlassen worden sei, habe die Präsidentin des Landesverwaltungsgerichtes bzw. die ihr zurechenbaren Bediensteten bei der Anonymisierung der Entscheidung die gebotene Sorgfalt außer Acht gelassen. Bei dem in der Aktenzahl enthaltenen Geburtsdatum sei der Personenbezug zum Mitbeteiligten jedenfalls für jene Empfänger, die Kenntnis von einem oder mehrerer Details seines in der veröffentlichten Entscheidung wiedergegebenen Bildungsweges oder seiner Krankengeschichte hätten, bestimm- und damit rückführbar.
§ 21a Abs. 3 S. LVwGG biete nach Art. 6 Abs. 1 lit. c und Abs. 3 DSGVO keine Rechtsgrundlage für die nicht ausreichende Anonymisierung des Geburtsdatums des Mitbeteiligten (in der Aktenzahl). Die unterlassene Anonymisierung könne auch nicht nach Art. 6 Abs. 1 lit. e und Abs. 3 DSGVO für die Wahrnehmung der Aufgabe des Landesverwaltungsgerichtes im öffentlichen Interesse als erforderlich angesehen werden, weil der eindeutige Wortlaut des § 21a Abs. 3 S. LVwGG dafür keinen Ermessensspielraum offen lasse.Paragraph 21 a, Absatz 3, Sitzung , LVwGG biete nach Artikel 6, Absatz eins, Litera c und Absatz 3, DSGVO keine Rechtsgrundlage für die nicht ausreichende Anonymisierung des Geburtsdatums des Mitbeteiligten (in der Aktenzahl). Die unterlassene Anonymisierung könne auch nicht nach Artikel 6, Absatz eins, Litera e und Absatz 3, DSGVO für die Wahrnehmung der Aufgabe des Landesverwaltungsgerichtes im öffentlichen Interesse als erforderlich angesehen werden, weil der eindeutige Wortlaut des Paragraph 21 a, Absatz 3, Sitzung , LVwGG dafür keinen Ermessensspielraum offen lasse.
Der Mitbeteiligte sei daher durch die Veröffentlichung der ihn betreffenden Entscheidung des Landesverwaltungsgerichtes im besagten Zeitraum in seinem Recht auf Geheimhaltung verletzt worden.
9 Dagegen richtet sich die vorliegende außerordentliche Revision. Die Datenschutzbehörde als belangte Behörde beantragte in ihrer nach Einleitung des Vorverfahrens eingebrachten Revisionsbeantwortung die Zurück- in eventu Abweisung der Revision gegen Aufwandersatz an den Bund. Der Mitbeteiligte erstattete keine Revisionsbeantwortung.
Der Verwaltungsgerichtshof hat erwogen:
Zulässigkeit
10 Die Revision ist zu der im Zulässigkeitsvorbringen dargelegten Rechtsfrage, ob der Anonymisierungs- (bzw. Pseudonymisierungs)-prozess von verwaltungsgerichtlichen Entscheidungen der Rechtsprechung oder der Justizverwaltung zuzuordnen sei und die Datenschutzbehörde für in diesem Zusammenhang erhobene Datenschutzbeschwerden zuständig sei, zulässig; sie ist auch berechtigt.
Maßgebliche Rechtslage
11 Das BVwG ist von einer Maßgeblichkeit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung [im Folgenden: DSGVO]) sowie des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 in der Fassung BGBl. I Nr. 24/2018, ausgegangen und hat dies mit der Übergangsbestimmung des § 69 Abs. 4 DSG begründet.Das BVwG ist von einer Maßgeblichkeit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung [im Folgenden: DSGVO]) sowie des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 24 aus 2018,, ausgegangen und hat dies mit der Übergangsbestimmung des Paragraph 69, Absatz 4, DSG begründet.
12 Sowohl die revisionswerbende Partei als auch die Datenschutzbehörde haben Bedenken gegen die vom BVwG vorgenommene Auslegung des § 69 Abs. 4 DSG.Sowohl die revisionswerbende Partei als auch die Datenschutzbehörde haben Bedenken gegen die vom BVwG vorgenommene Auslegung des Paragraph 69, Absatz 4, DSG.
13 Dem angefochtenen Erkenntnis liegt eine datenschutzrechtliche Beschwerde des Mitbeteiligten betreffend eine behauptete Verletzung im Recht auf Geheimhaltung wegen des Vorwurfs der Veröffentlichung des ihn betreffenden und unzureichend anonymisierten Erkenntnisses des Landesverwaltungsgerichts Salzburg vom 17. Juli 2015 auf deren Website während des Zeitraums vom 16. November 2015 bis 19. April 2016, also mehr als zwei Jahre vor Inkrafttreten der DSGVO und des DSG, zugrunde. Die datenschutzrechtliche Beschwerde des Mitbeteiligten vom 5. Jänner 2016 langte bei der Datenschutzbehörde am 7. Jänner 2016 ein. Die gegen den Teilbescheid der Datenschutzbehörde vom 6. September 2016 erhobene Beschwerde stammt vom 4. Oktober 2016.
14 Ausgehend von diesen Verfahrensdaten kann zur Rechtsfrage, ob für die in Beschwerde gezogene Veröffentlichung die während der Veröffentlichung geltende Rechtslage, also das Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, oder die Rechtslage zum Zeitpunkt der Entscheidung durch das BVwG, also nach Inkrafttreten der DSGVO und des DSG, maßgeblich ist, gemäß § 43 Abs. 2 VwGG auf die Ausführungen im Erkenntnis VwGH vom 23. Februar 2021, Ra 2019/04/0054, Rn. 23 bis 29, verwiesen werden. Demnach ist in einem Fall, in dem wie vorliegend darüber abzusprechen ist, was in einem konkreten vor Inkrafttreten der DSGVO und des DSG bereits abgeschlossenen Zeitraum rechtens ist, die während dieses Zeitraums geltende Rechtslage, also das DSG 2000 idF BGBl. I Nr. 83/2013 bzw. das Salzburger Landesverwaltungsgerichtsgesetz (S. LVwGG) idF LGBl. Nr. 16/2013 bzw. ab 1. März 2016 idF LGBl. Nr. 18/2016, anzuwenden.Ausgehend von diesen Verfahrensdaten kann zur Rechtsfrage, ob für die in Beschwerde gezogene Veröffentlichung die während der Veröffentlichung geltende Rechtslage, also das Datenschutzgesetz 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 83 aus 2013,, oder die Rechtslage zum Zeitpunkt der Entscheidung durch das BVwG, also nach Inkrafttreten der DSGVO und des DSG, maßgeblich ist, gemäß Paragraph 43, Absatz 2, VwGG auf die Ausführungen im Erkenntnis VwGH vom 23. Februar 2021, Ra 2019/04/0054, Rn. 23 bis 29, verwiesen werden. Demnach ist in einem Fall, in dem wie vorliegend darüber abzusprechen ist, was in einem konkreten vor Inkrafttreten der DSGVO und des DSG bereits abgeschlossenen Zeitraum rechtens ist, die während dieses Zeitraums geltende Rechtslage, also das DSG 2000 in der Fassung Bundesgesetzblatt Teil eins, Nr. 83 aus 2013, bzw. das Salzburger Landesverwaltungsgerichtsgesetz Sitzung , LVwGG) in der Fassung Landesgesetzblatt Nr. 16 aus 2013, bzw. ab 1. März 2016 in der Fassung Landesgesetzblatt Nr. 18 aus 2016,, anzuwenden.
15 § 4 Z 4 und 5 des Bundesgesetzes über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 133/2009 sowie § 5, § 31 Abs. 2 und Abs. 3 Z 2, § 38 Abs. 1 und 3 sowie § 40 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, lauteten:Paragraph 4, Ziffer 4 und 5 des Bundesgesetzes über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 133 aus 2009, sowie Paragraph 5,, Paragraph 31, Absatz 2 und Absatz 3, Ziffer 2,, Paragraph 38, Absatz eins, und 3 sowie Paragraph 40, DSG 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung Bundesgesetzblatt Teil eins, Nr. 83 aus 2013,, lauteten:
„Definitionen
§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:Paragraph 4, Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
...
4. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Ziffer 8,), unabhängig davon, ob sie die Daten selbst verwenden (Ziffer 8,) oder damit einen Dienstleister (Ziffer 5,) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Ziffer 5,) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Ziffer 8,), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;
5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Ziffer 8,);
...
Öffentlicher und privater Bereich
§ 5. (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs. 2) durchgeführt werden.Paragraph 5, (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Absatz 2,) durchgeführt werden.
(2) Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,
1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder
2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind.
(3) Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.(3) Die dem Absatz 2, nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.
(4) Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzbehörde zur Entscheidung zuständig, es sei denn, dass Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.
...
Beschwerde an die Datenschutzbehörde
§ 31. ...Paragraph 31, ...
(2) Die Datenschutzbehörde erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.(2) Die Datenschutzbehörde erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (Paragraph eins, Absatz eins,) oder in ihrem Recht auf Richtigstellung oder auf Löschung (Paragraphen 27, und 28) verletzt zu sein, sofern der Anspruch nicht nach Paragraph 32, Absatz eins, vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.
(3) Die Beschwerde hat zu enthalten:
...
2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
...
Bescheide der Datenschutzbehörde
§ 38. (1) Partei in Verfahren vor der Datenschutzbehörde sind auch die Auftraggeber des öffentlichen Bereichs.Paragraph 38, (1) Partei in Verfahren vor der Datenschutzbehörde sind auch die Auftraggeber des öffentlichen Bereichs.
...
(3) Parteien gemäß Abs. 1 können Beschwerde an das Bundesverwaltungsgericht erheben.(3) Parteien gemäß Absatz eins, können Beschwerde an da
