TE Bvwg Erkenntnis 2026/1/22 W256 2285187-1

1. B-VG Art. 133 heute
2. B-VG Art. 133 gültig von 01.01.2019 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 138/2017
3. B-VG Art. 133 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 22/2018
4. B-VG Art. 133 gültig von 25.05.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 22/2018
5. B-VG Art. 133 gültig von 01.08.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 164/2013
6. B-VG Art. 133 gültig von 01.01.2014 bis 31.07.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
7. B-VG Art. 133 gültig von 01.01.2004 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 100/2003
8. B-VG Art. 133 gültig von 01.01.1975 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 444/1974
9. B-VG Art. 133 gültig von 25.12.1946 bis 31.12.1974 zuletzt geändert durch BGBl. Nr. 211/1946
10. B-VG Art. 133 gültig von 19.12.1945 bis 24.12.1946 zuletzt geändert durch StGBl. Nr. 4/1945
11. B-VG Art. 133 gültig von 03.01.1930 bis 30.06.1934

1. DSG Art. 2 § 24 heute
2. DSG Art. 2 § 24 gültig ab 15.07.2024 zuletzt geändert durch BGBl. I Nr. 70/2024
3. DSG Art. 2 § 24 gültig von 25.05.2018 bis 14.07.2024 zuletzt geändert durch BGBl. I Nr. 120/2017
4. DSG Art. 2 § 24 gültig von 01.01.2010 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 133/2009
5. DSG Art. 2 § 24 gültig von 01.01.2000 bis 31.12.2009

1. VwGVG § 34 heute
2. VwGVG § 34 gültig ab 21.07.2023 zuletzt geändert durch BGBl. I Nr. 88/2023
3. VwGVG § 34 gültig von 01.07.2021 bis 20.07.2023 zuletzt geändert durch BGBl. I Nr. 109/2021
4. VwGVG § 34 gültig von 01.01.2017 bis 30.06.2021 zuletzt geändert durch BGBl. I Nr. 24/2017
5. VwGVG § 34 gültig von 01.01.2014 bis 31.12.2016

,

W256 2285187-1/6E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende, die fachkundige Laienrichterin Dr. Claudia ROSENMAYR-KLEMENZ und die fachkundige Laienrichterin Mag. Adriana MANDL als Beisitzerinnen über die Beschwerde der XXXX GmbH (vormals: XXXX GmbH), vertreten durch Schönherr Rechtsanwälte GmbH, gegen die Spruchpunkte 1., 2. und 3. des Bescheides der Datenschutzbehörde vom 20.12.2023, Zl. D124.1108/23 2023-0.825.779, betreffend eine datenschutzrechtliche Angelegenheit (mitbeteiligte Partei: XXXX ) Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende, die fachkundige Laienrichterin Dr. Claudia ROSENMAYR-KLEMENZ und die fachkundige Laienrichterin Mag. Adriana MANDL als Beisitzerinnen über die Beschwerde der römisch 40 GmbH (vormals: römisch 40 GmbH), vertreten durch Schönherr Rechtsanwälte GmbH, gegen die Spruchpunkte 1., 2. und 3. des Bescheides der Datenschutzbehörde vom 20.12.2023, Zl. D124.1108/23 2023-0.825.779, betreffend eine datenschutzrechtliche Angelegenheit (mitbeteiligte Partei: römisch 40 )

A) I.) beschlossen: Das Beschwerdeverfahren wird im Umfang der Beschwerde gegen Spruchpunkt 1. des angefochtenen Bescheides gemäß § 34 Abs. 3 VwGVG bis zur Entscheidung durch den Verwaltungsgerichtshof über die außerordentliche Revision vom 16.08.2024 gegen das Erkenntnis des Bundesverwaltungsgerichts vom 05.07.2024, GZ W292 2284228-1/49E, ausgesetzt.A) römisch eins.) beschlossen: Das Beschwerdeverfahren wird im Umfang der Beschwerde gegen Spruchpunkt 1. des angefochtenen Bescheides gemäß Paragraph 34, Absatz 3, VwGVG bis zur Entscheidung durch den Verwaltungsgerichtshof über die außerordentliche Revision vom 16.08.2024 gegen das Erkenntnis des Bundesverwaltungsgerichts vom 05.07.2024, GZ W292 2284228-1/49E, ausgesetzt.

II.) zu Recht erkannt: Soweit sich die Beschwerde gegen die Spruchpunkte 2. und 3. des angefochtenen Bescheides richtet, wird ihr Folge gegeben und der angefochtene Bescheid dahingehend abgeändert, dass die genannten Spruchpunkte entfallen und Spruchpunkt 4. („Im Übrigen wird die Beschwerde abgewiesen.“) in Spruchpunkt 2. umbenannt wird.römisch zwei.) zu Recht erkannt: Soweit sich die Beschwerde gegen die Spruchpunkte 2. und 3. des angefochtenen Bescheides richtet, wird ihr Folge gegeben und der angefochtene Bescheid dahingehend abgeändert, dass die genannten Spruchpunkte entfallen und Spruchpunkt 4. („Im Übrigen wird die Beschwerde abgewiesen.“) in Spruchpunkt 2. umbenannt wird.

B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.B) Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

,

,

Entscheidungsgründe:

I. Verfahrensgang und Sachverhalt:römisch eins. Verfahrensgang und Sachverhalt:

In ihrer an die belangte Behörde gerichteten Datenschutzbeschwerde vom 14. Mai 2023 behauptete die mitbeteiligte Partei zum einen eine Verletzung im Recht auf Geheimhaltung durch die Beschwerdeführerin, weil diese ihre Verpflichtung, geeignete technische und organisatorische Maßnahmen zu treffen, verletzt habe, weshalb es zu einem Datenleck gekommen sei. Außerdem habe die Beschwerdeführerin sie auch in ihrem Recht auf Auskunft nach Art 15 DSGVO verletzt, weil in der erteilten Auskunft unter anderem das in den Vorfall involvierte IT-Unternehmen nicht als Empfänger genannt gewesen sei.In ihrer an die belangte Behörde gerichteten Datenschutzbeschwerde vom 14. Mai 2023 behauptete die mitbeteiligte Partei zum einen eine Verletzung im Recht auf Geheimhaltung durch die Beschwerdeführerin, weil diese ihre Verpflichtung, geeignete technische und organisatorische Maßnahmen zu treffen, verletzt habe, weshalb es zu einem Datenleck gekommen sei. Außerdem habe die Beschwerdeführerin sie auch in ihrem Recht auf Auskunft nach Artikel 15, DSGVO verletzt, weil in der erteilten Auskunft unter anderem das in den Vorfall involvierte IT-Unternehmen nicht als Empfänger genannt gewesen sei.

Mit Spruchpunkt 1. des angefochtenen Bescheides entschied die belangte Behörde über die Datenschutzbeschwerde der mitbeteiligten Partei wegen Verletzung im Recht auf Geheimhaltung wie folgt (Formatierung nicht 1:1 wiedergegeben):

„Der Beschwerde wird hinsichtlich Beschwerdepunkt A) Folge gegeben und es wird festgestellt, dass die [Beschwerdeführerin] die [mitbeteiligte] Partei im Recht auf Geheimhaltung verletzt hat, indem die [Beschwerdeführerin] es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass personenbezogene Daten der [mitbeteiligten] Partei (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden.“„Der Beschwerde wird hinsichtlich Beschwerdepunkt A) Folge gegeben und es wird festgestellt, dass die [Beschwerdeführerin] die [mitbeteiligte] Partei im Recht auf Geheimhaltung verletzt hat, indem die [Beschwerdeführerin] es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Artikel 32, DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass personenbezogene Daten der [mitbeteiligten] Partei (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden.“

Mit Spruchpunkt 2. stellte die belangte Behörde fest, dass die Beschwerdeführerin die mitbeteiligte Partei in ihrem Recht auf Auskunft verletzt habe, indem sie keine vollständige Auskunft darüber erteilt habe, an welches IT-Unternehmen die Daten der mitbeteiligten Partei zwecks (Neu-)Konstruktion von Datenbanken übermittelt wurden. Mit Spruchpunkt 3. wurde der Beschwerdeführerin aufgetragen, binnen zwei Wochen die betreffende Auskunft zu erteilen. Im Übrigen wurde die Beschwerde abgewiesen (Spruchpunkt 4.).

Gegen die Spruchpunkte 1., 2. und 3. richtet sich die vorliegende Beschwerde der Beschwerdeführerin. In dieser bezeichnet sie die in den seinerzeitigen Vorfall involvierte IT-Dienstleisterin konkret („ XXXX “, Beschwerde S. 36).Gegen die Spruchpunkte 1., 2. und 3. richtet sich die vorliegende Beschwerde der Beschwerdeführerin. In dieser bezeichnet sie die in den seinerzeitigen Vorfall involvierte IT-Dienstleisterin konkret („ römisch 40 “, Beschwerde Sitzung 36).

Die belangte Behörde legte die Beschwerde samt den Akten des Verwaltungsverfahrens dem Bundesverwaltungsgericht zur Entscheidung vor.

Mit Erkenntnis des Bundesverwaltungsgerichtes vom 5. Juli 2024, Zl. W292 2284228-1/49E, wurde in einem Parallelverfahren die Bescheidbeschwerde der Beschwerdeführerin gemäß § 28 Abs. 2 VwGVG, § 1 und 24 DSG in Verbindung mit Art. 5, 6, 32 und 77 DSGVO, als unbegründet abgewiesen. Rechtlich hielt das Bundesverwaltungsgericht fest, dass die Beschwerdeführerin die datenschutzrechtliche Verantwortung für von der XXXX GmbH vorgenommene Verarbeitungsvorgänge treffe und aufgrund eines vorhandenen Informationsdefizits der betroffenen Personen keine Präklusion des Beschwerderechts gemäß § 24 Abs. 4 DSG eingetreten sei, wiewohl es der Beschwerdeführerin möglich gewesen wäre, in den Wochen und Monaten nach dem widerrechtlichen Zugriff vom 8. Mai 2020 die betroffenen Personen auf wirksame Weise zum Hergang und den Folgen des Vorfalles im Sinne von Art. 34 Abs. 1 und Abs. 2 DSGVO zu informieren. Zur Zurechnung des Verhaltens des Auftragsverarbeiters zur Beschwerdeführerin als Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO wurde ausgeführt, dass der Auftragsverarbeiter der verlängerte Arm des Verantwortlichen sei, weshalb im gegenständlichen Fall sämtliche Verarbeitungsvorgänge, die im Auftrag der XXXX GmbH im Rahmen des gegenständlichen IT-Projektes vorgenommen worden seien, so zu behandeln seien, als ob diese von der XXXX GmbH als Verantwortlicher selbst (etwa im Rahmen der hauseigenen IT-Abteilung) vorgenommen worden wären. Die Beschwerdeführerin habe als Verantwortliche im Sinne von Art. 4 Z 7 DSGVO dadurch gegen ihre Pflichten nach Art. 5 Abs. 1 lit. f und Art. 32 DSGVO verstoßen, indem sie insgesamt keine wirksamen technischen und organisatorischen Maßnahmen in Gestalt eines Projektmanagements etabliert habe, welche eine regelmäßige Kontrolle und Überwachung der Einhaltung eines angemessenen Schutzniveaus durch den Auftragsverarbeiter umfasst hätten. Durch diese Vorgangsweise habe die Beschwerdeführerin ein erhebliches Risiko geschaffen, das sich im Zuge des unberechtigten Zugriffes vom Mai 2020 – und der damit einhergehenden Verletzung des Schutzes personenbezogener Daten – auch verwirklicht habe.Mit Erkenntnis des Bundesverwaltungsgerichtes vom 5. Juli 2024, Zl. W292 2284228-1/49E, wurde in einem Parallelverfahren die Bescheidbeschwerde der Beschwerdeführerin gemäß Paragraph 28, Absatz 2, VwGVG, Paragraph eins und 24 DSG in Verbindung mit Artikel 5, 6, 32 und 77 DSGVO, als unbegründet abgewiesen. Rechtlich hielt das Bundesverwaltungsgericht fest, dass die Beschwerdeführerin die datenschutzrechtliche Verantwortung für von der römisch 40 GmbH vorgenommene Verarbeitungsvorgänge treffe und aufgrund eines vorhandenen Informationsdefizits der betroffenen Personen keine Präklusion des Beschwerderechts gemäß Paragraph 24, Absatz 4, DSG eingetreten sei, wiewohl es der Beschwerdeführerin möglich gewesen wäre, in den Wochen und Monaten nach dem widerrechtlichen Zugriff vom 8. Mai 2020 die betroffenen Personen auf wirksame Weise zum Hergang und den Folgen des Vorfalles im Sinne von Artikel 34, Absatz eins und Absatz 2, DSGVO zu informieren. Zur Zurechnung des Verhaltens des Auftragsverarbeiters zur Beschwerdeführerin als Verantwortlicher im Sinne von Artikel 4, Ziffer 7, DSGVO wurde ausgeführt, dass der Auftragsverarbeiter der verlängerte Arm des Verantwortlichen sei, weshalb im gegenständlichen Fall sämtliche Verarbeitungsvorgänge, die im Auftrag der römisch 40 GmbH im Rahmen des gegenständlichen IT-Projektes vorgenommen worden seien, so zu behandeln seien, als ob diese von der römisch 40 GmbH als Verantwortlicher selbst (etwa im Rahmen der hauseigenen IT-Abteilung) vorgenommen worden wären. Die Beschwerdeführerin habe als Verantwortliche im Sinne von Artikel 4, Ziffer 7, DSGVO dadurch gegen ihre Pflichten nach Artikel 5, Absatz eins, Litera f und Artikel 32, DSGVO verstoßen, indem sie insgesamt keine wirksamen technischen und organisatorischen Maßnahmen in Gestalt eines Projektmanagements etabliert habe, welche eine regelmäßige Kontrolle und Überwachung der Einhaltung eines angemessenen Schutzniveaus durch den Auftragsverarbeiter umfasst hätten. Durch diese Vorgangsweise habe die Beschwerdeführerin ein erhebliches Risiko geschaffen, das sich im Zuge des unberechtigten Zugriffes vom Mai 2020 – und der damit einhergehenden Verletzung des Schutzes personenbezogener Daten – auch verwirklicht habe.

Dagegen erhob die Beschwerdeführerin eine außerordentliche Revision an den Verwaltungsgerichtshof.

Über Aufforderung zur Stellungnahme teilte die mitbeteiligte Partei mit Schriftsatz vom 23. Dezember 2025 mit, dass die Beschwerdeführerin mit der Bescheidbeschwerde die Auskunft hinsichtlich des IT-Unternehmens gemäß Spruchpunkt 3. des angefochtenen Bescheides erteilt habe. Da die ursprüngliche Auskunft aber unvollständig gewesen sei, obwohl die IT-Dienstleisterin der Beschwerdeführerin damals schon bekannt gewesen sei, liege dennoch eine Verletzung im Recht auf Auskunft vor.

II. Das Bundesverwaltungsgericht hat erwogen:römisch zwei. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Der unter Punkt I. dargestellte Verfahrensgang wird als Sachverhalt zu Grunde gelegt.Der unter Punkt römisch eins. dargestellte Verfahrensgang wird als Sachverhalt zu Grunde gelegt.

Dem verfahrensgegenständlichen Fall liegt im Wesentlichen derselbe Sachverhalt im Zusammenhang mit der Zugänglichmachung personenbezogener (Melde-)Daten an einen Hacker wie im hg. Verfahren W292 2284228-1 zugrunde.

Am Bundesverwaltungsgericht sind diesbezüglich rund 100 Verfahren anhängig.

Die mitbeteiligte Partei wandte sich mit E-Mail vom 4. Februar 2023 an die Beschwerdeführerin und ersuchte um Auskunft über sämtliche personenbezogenen Daten. Unter anderem sollten die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt bzw. übermittelt worden sind oder noch offengelegt werden, mitgeteilt werden.

Mit der mitbeteiligten Partei übermitteltem Schreiben vom 17. Jänner 2024 bezeichnete die Beschwerdeführerin die IT-Dienstleisterin, an welche die Daten der mitbeteiligten Partei zwecks (Neu-)Konstruktion von Datenbanken übermittelt wurden („ XXXX “, Beschwerde S. 36).Mit der mitbeteiligten Partei übermitteltem Schreiben vom 17. Jänner 2024 bezeichnete die Beschwerdeführerin die IT-Dienstleisterin, an welche die Daten der mitbeteiligten Partei zwecks (Neu-)Konstruktion von Datenbanken übermittelt wurden („ römisch 40 “, Beschwerde Sitzung 36).

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus den vorgelegten Verwaltungsakten und dem gegenständlichen Gerichtsakt sowie – hinsichtlich des Verfahrens W292 2284228-1 und der Anzahl der beim Bundesverwaltungsgericht anhängigen gleichartigen Verfahren – aus der Einsichtnahme in die elektronische Verfahrensadministration des Bundesverwaltungsgerichts eVA+.

3. Rechtliche Beurteilung:

Zu A) I.)Zu A) römisch eins.)

Gemäß § 34 Abs. 3 VwGVG kann das Verwaltungsgericht ein Verfahren über eine Beschwerde gemäß Art. 130 Abs. 1 Z 1 B-VG mit Beschluss aussetzen, wenn Gemäß Paragraph 34, Absatz 3, VwGVG kann das Verwaltungsgericht ein Verfahren über eine Beschwerde gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG mit Beschluss aussetzen, wenn

1. vom Verwaltungsgericht in einer erheblichen Anzahl von anhängigen oder in naher Zukunft zu erwartenden Verfahren eine Rechtsfrage zu lösen ist und gleichzeitig beim Verwaltungsgerichtshof ein Verfahren über eine Revision gegen ein Erkenntnis oder einen Beschluss eines Verwaltungsgerichtes anhängig ist, in welchem dieselbe Rechtsfrage zu lösen ist, und

2. eine Rechtsprechung des Verwaltungsgerichtshofes zur Lösung dieser Rechtsfrage fehlt oder die zu lösende Rechtsfrage in der bisherigen Rechtsprechung des Verwaltungsgerichtshofes nicht einheitlich beantwortet wird.

Gleichzeitig hat das Verwaltungsgericht dem Verwaltungsgerichtshof das Aussetzen des Verfahrens unter Bezeichnung des beim Verwaltungsgerichtshof anhängigen Verfahrens mitzuteilen. Eine solche Mitteilung hat zu entfallen, wenn das Verwaltungsgericht in der Mitteilung ein Verfahren vor dem Verwaltungsgerichtshof zu bezeichnen hätte, das es in einer früheren Mitteilung schon einmal bezeichnet hat. Mit der Zustellung des Erkenntnisses oder Beschlusses des Verwaltungsgerichtshofes an das Verwaltungsgericht gemäß § 44 Abs. 2 des Verwaltungsgerichtshofgesetzes 1985 – VwGG, BGBl. Nr. 10/1985, ist das Verfahren fortzusetzen. Das Verwaltungsgericht hat den Parteien die Fortsetzung des Verfahrens mitzuteilen.Gleichzeitig hat das Verwaltungsgericht dem Verwaltungsgerichtshof das Aussetzen des Verfahrens unter Bezeichnung des beim Verwaltungsgerichtshof anhängigen Verfahrens mitzuteilen. Eine solche Mitteilung hat zu entfallen, wenn das Verwaltungsgericht in der Mitteilung ein Verfahren vor dem Verwaltungsgerichtshof zu bezeichnen hätte, das es in einer früheren Mitteilung schon einmal bezeichnet hat. Mit der Zustellung des Erkenntnisses oder Beschlusses des Verwaltungsgerichtshofes an das Verwaltungsgericht gemäß Paragraph 44, Absatz 2, des Verwaltungsgerichtshofgesetzes 1985 – VwGG, Bundesgesetzblatt Nr. 10 aus 1985,, ist das Verfahren fortzusetzen. Das Verwaltungsgericht hat den Parteien die Fortsetzung des Verfahrens mitzuteilen.

Aus den Erläuterungen (vgl. RV 2009 BlgNR 24. GP, 8) zu § 34 VwGVG geht hervor, dass ein Verfahren ausgesetzt werden kann, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die in einem – gleichzeitig anhängigen – Verfahren vor dem Verwaltungsgerichtshof zu lösen ist. Zweck dieser Bestimmung ist daher, aus Gründen der Prozessökonomie zu vermeiden, dass die gleiche Rechtsfrage nebeneinander in mehreren Verfahren erörtert werden muss (vgl. zu den entsprechenden Bestimmungen der BAO: VwGH 18.04.1990, 89/16/0200; 21.12.2011, 2009/13/0159 sowie Ritz, BAO5 § 271).Aus den Erläuterungen vergleiche Regierungsvorlage 2009 BlgNR 24. GP, 8) zu Paragraph 34, VwGVG geht hervor, dass ein Verfahren ausgesetzt werden kann, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die in einem – gleichzeitig anhängigen – Verfahren vor dem Verwaltungsgerichtshof zu lösen ist. Zweck dieser Bestimmung ist daher, aus Gründen der Prozessökonomie zu vermeiden, dass die gleiche Rechtsfrage nebeneinander in mehreren Verfahren erörtert werden muss vergleiche zu den entsprechenden Bestimmungen der BAO: VwGH 18.04.1990, 89/16/0200; 21.12.2011, 2009/13/0159 sowie Ritz, BAO5 Paragraph 271,).

Wenn daher ein Verwaltungsgericht, während vor dem Verwaltungsgerichtshof ein Verfahren zur Klärung einer bestimmten Rechtsfrage anhängig ist, Verfahren, bei denen die gleiche Rechtsfrage strittig ist, aussetzt (und nicht durch Erlassung weiterer Entscheidungen mehrfache Revisionen an den Verwaltungsgerichtshof „verursacht“), dient die Aussetzung auch Parteiinteressen (Wegfall des Kostenrisikos in Bezug auf allfällig zu ergreifende Rechtsmittel an den Verwaltungsgerichtshof).

Zudem soll durch die Aussetzung eines Verfahrens die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden gewährleistet sein, indem auf einen beim Verwaltungsgerichtshof anhängigen „leading case“ gewartet und so dessen Rechtsansicht eingeholt werden kann. Darüber hinaus wird der Verwaltungsgerichtshof selbst vor einer potentiell massenhaften Revisionseinbringung geschützt (Fister/Fuchs/Sachs, Anm 14 zu § 34 VwGVG, s. auch Ra 2017/17/0722).Zudem soll durch die Aussetzung eines Verfahrens die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden gewährleistet sein, indem auf einen beim Verwaltungsgerichtshof anhängigen „leading case“ gewartet und so dessen Rechtsansicht eingeholt werden kann. Darüber hinaus wird der Verwaltungsgerichtshof selbst vor einer potentiell massenhaften Revisionseinbringung geschützt (Fister/Fuchs/Sachs, Anmerkung 14 zu Paragraph 34, VwGVG, s. auch Ra 2017/17/0722).

Für den vorliegenden Fall ergibt sich daraus Folgendes:

Beim Bundesverwaltungsgericht sind zum Themenkomplex des sog. „ XXXX “ etwa 100 Bescheidbeschwerden der Beschwerdeführerin in unterschiedlichen Gerichtsabteilungen anhängig. Damit liegt jedenfalls eine erhebliche Anzahl an Verfahren im Sinne des § 34 Abs. 3 VwGVG vor (vgl. Bumberger/Lampert/Larcher/Weber [Hrsg] VwGVG § 34 Rz 42 mit Verweis auf Reisner in Götzl/Gruber/Reisner/Winkler, Verfahrensrecht2 § 34 Rz 28; Fister/Fuchs/Sachs, Verwaltungsgerichtsverfahren2 § 34 Anm 15 mwN). Das gegenständliche Verfahren ist eines dieser Verfahren.Beim Bundesverwaltungsgericht sind zum Themenkomplex des sog. „ römisch 40 “ etwa 100 Bescheidbeschwerden der Beschwerdeführerin in unterschiedlichen Gerichtsabteilungen anhängig. Damit liegt jedenfalls eine erhebliche Anzahl an Verfahren im Sinne des Paragraph 34, Absatz 3, VwGVG vor vergleiche Bumberger/Lampert/Larcher/Weber [Hrsg] VwGVG Paragraph 34, Rz 42 mit Verweis auf Reisner in Götzl/Gruber/Reisner/Winkler, Verfahrensrecht2 Paragraph 34, Rz 28; Fister/Fuchs/Sachs, Verwaltungsgerichtsverfahren2 Paragraph 34, Anmerkung 15 mwN). Das gegenständliche Verfahren ist eines dieser Verfahren.

Beschwerdegegenständlich ist jeweils grundsätzlich die Frage, ob die Beschwerdeführerin die jeweils betroffene Person im Recht auf Geheimhaltung verletzt hat, indem die Beschwerdeführerin es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass personenbezogene Daten der betroffenen Person (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden. Diese Frage ist (unter anderem) auch Gegenstand der Revision der Beschwerdeführerin. Zudem macht die Beschwerdeführerin in ihrer Revision u.a. ihre mangelnde datenschutzrechtliche Verantwortlichkeit, eine Präklusion des Beschwerderechts aufgrund der vorgenommenen öffentliche Bekanntmachung iSd Art. 34 Abs. 3 lit. c DSGVO sowie die Unzulässigkeit der Zurechnung des rechtswidrigen Verhaltens des Auftragsverarbeiters an den Verantwortlichen mangels Überwachungsverschuldens geltend.Beschwerdegegenständlich ist jeweils grundsätzlich die Frage, ob die Beschwerdeführerin die jeweils betroffene Person im Recht auf Geheimhaltung verletzt hat, indem die Beschwerdeführerin es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Artikel 32, DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass personenbezogene Daten der betroffenen Person (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden. Diese Frage ist (unter anderem) auch Gegenstand der Revision der Beschwerdeführerin. Zudem macht die Beschwerdeführerin in ihrer Revision u.a. ihre mangelnde datenschutzrechtliche Verantwortlichkeit, eine Präklusion des Beschwerderechts aufgrund der vorgenommenen öffentliche Bekanntmachung iSd Artikel 34, Absatz 3, Litera c, DSGVO sowie die Unzulässigkeit der Zurechnung des rechtswidrigen Verhaltens des Auftragsverarbeiters an den Verantwortlichen mangels Überwachungsverschuldens geltend.

Zu diesen Rechtsfragen fehlt eine Rechtsprechung des Verwaltungsgerichtshofs und diese sind wesentliche Gegenstände der beim Verwaltungsgerichtshof anhängigen außerordentlichen Revision gegen das Erkenntnis vom 05.07.2024, Zl. W292 2284228-1/49E.

Das Beschwerdeverfahren war daher im Umfang der Beschwerde gegen Spruchpunkt 1. des angefochtenen Bescheides bis zur Entscheidung durch den Verwaltungsgerichtshof über die außerordentliche Revision vom 16.08.2024 gegen das Erkenntnis des Bundesverwaltungsgerichts vom 05.07.2024, GZ W292 2284228-1/49E, auszusetzen.

Zu A) II.)Zu A) römisch zwei.)

Die hier maßgeblichen Rechtsvorschriften der seit 25. Mai 2018 unmittelbar anwendbaren Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, in der Folge kurz "DSGVO") lauten wie folgt:

„Artikel 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1)      Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln: dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

(2)      [..]

(3)      Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

(4)      [..]

Artikel 15

Auskunftsrecht der betroffenen Person

(1)      Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Die mitbeteiligte Partei behauptete in ihrer verfahrenseinleitenden Eingabe unter anderem eine Verletzung im Recht auf Auskunft durch die Beschwerdeführerin, weil in der von dieser erteilten Auskunft das in den Vorfall involvierte IT-Unternehmen nicht als Empfänger genannt gewesen sei.

Die mitbeteiligte Partei hat über Aufforderung des Bundesverwaltungsgerichts in ihrer Stellungnahme vom 23. Dezember 2025 eingeräumt, dass die Beschwerdeführerin im Rahmen ihres Beschwerdeschriftsatzes Auskunft über diesen, die Spruchpunkte 2. und 3. des angefochtenen Bescheides betreffenden Gegenstand (die in das Datenleck involvierte IT-Dienstleisterin, an welche die Daten der mitbeteiligten Partei von der Beschwerdeführerin übermittelt wurden) erteilt hat und wurde dies im Übrigen von der mitbeteiligten Partei auch bestätigt.

Angesichts der insofern erfolgten Auskunftserteilung ist das Rechtsschutzbegehren der mitbeteiligten Partei zum Entscheidungszeitpunkt als erfüllt anzusehen, weshalb der Beschwerde insoweit Folge zu geben und die Datenschutzbeschwerde abzuweisen war.

Was eine allenfalls vorliegende Verspätung der Auskunftserteilung betrifft, ist auf das Erkenntnis des Verwaltungsgerichtshofes vom 6. März 2024 zu Ro 2021/04/0027 zu verweisen: Dort entschied der Gerichtshof, dass das Bundesverwaltungsgericht, nachdem die begehrte Auskunft im Verfahren vor der belangten Behörde – wenngleich verspätet – erteilt und die Datenschutzbeschwerde abgewiesen wurde, die dagegen gerichtete Bescheidbeschwerde zu Recht abgewiesen habe. Wenn das Rechtsschutzbegehren auf die Erlangung einer bestimmten Leistung gerichtet sei, die zum Entscheidungszeitpunkt als vom Verpflichteten erfüllt anzusehen ist, sei vielmehr davon auszugehen, dass der Betroffene sein Rechtsschutzziel erreicht habe. Die Frage der Verspätung werde in dem Verfahren über das Begehren auf Auskunftserteilung selbst nicht geklärt, ein Recht auf Feststellung der Verspätung bestehe daher nicht.

Nichts anderes kann im vorliegenden Fall gelten, in dem die Auskunftserteilung erst im Verfahren vor dem Bundesverwaltungsgericht stattfand, zumal das Bundesverwaltungsgericht nach der Sach- und Rechtslage zum Zeitpunkt seiner Entscheidung erkennt (siehe dazu zuletzt VwGH, 29.01.2025, Ro 2023/04/0026). Eine von der mitbeteiligten Partei offenbar begehrte Feststellung, wonach die Beschwerdeführerin rechtswidrig ihrer Auskunftspflicht ursprünglich nicht nachgekommen sei, ist daher nicht zu treffen.

Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.Gemäß Paragraph 24, Absatz eins, VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Gemäß § 24 Abs. 4 VwGVG kann – soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist – das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 EMRK noch Art. 47 GRC entgegenstehen.Gemäß Paragraph 24, Absatz 4, VwGVG kann – soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist – das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Artikel 6, Absatz eins, EMRK noch Artikel 47, GRC entgegenstehen.

Im gegenständlichen Fall war der Sachverhalt aus der Aktenlage geklärt. Die Heranziehung weiterer Beweismittel war zur Klärung des Sachverhaltes nicht notwendig. Das Bundesverwaltungsgericht hatte in erster Linie die oben behandelten Rechtsfragen zu klären, sodass sich die Durchführung einer mündlichen Verhandlung nicht als notwendig erwies.

Zu B)

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Es ist auch nicht ersichtlich, dass sich in den konkreten Fällen eine Rechtsfrage stellt, die über den (hier vorliegenden konkreten) Einzelfall hinaus Bedeutung entfaltet. Ausgehend davon kann eine Rechtsfrage von grundsätzlicher Bedeutung auch insofern nicht bejaht werden. Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG nicht zulässig ist.Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Es ist auch nicht ersichtlich, dass sich in den konkreten Fällen eine Rechtsfrage stellt, die über den (hier vorliegenden konkreten) Einzelfall hinaus Bedeutung entfaltet. Ausgehend davon kann eine Rechtsfrage von grundsätzlicher Bedeutung auch insofern nicht bejaht werden. Es war daher auszusprechen, dass die Revision gemäß Artikel 133, Absatz 4, B-VG nicht zulässig ist.