Entscheidungsdatum
15.01.2026Norm
AVG §73 Abs1Anmerkung
VfGH-Beschluss: E 634/2026-7 vom 18.03.2026 I. Die Behandlung der Beschwerde wird abgelehnt. II. Die Beschwerde wird dem Verwaltungsgerichtshof zur Entscheidung abgetreten.Spruch
,
W298 2301242-1/21E
Im namen der republik!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Mathias VEIGL als Vorsitzenden und die fachkundige Laienrichterin Mag. Gerda Ferch-Fischer und den fachkundigen Laienrichter Dr. Wolfgang Goricnik als Beisitzerin und Beisitzer über die Beschwerde von XXXX , vertreten durch Rechtsanwalt MMag. Thomas BREUSS, Erdbergstraße 118/22-24, 1030 Wien, wegen Verletzung der Entscheidungspflicht durch die Datenschutzbehörde, nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:Das Bundesverwaltungsgericht hat durch den Richter Mag. Mathias VEIGL als Vorsitzenden und die fachkundige Laienrichterin Mag. Gerda Ferch-Fischer und den fachkundigen Laienrichter Dr. Wolfgang Goricnik als Beisitzerin und Beisitzer über die Beschwerde von römisch 40 , vertreten durch Rechtsanwalt MMag. Thomas BREUSS, Erdbergstraße 118/22-24, 1030 Wien, wegen Verletzung der Entscheidungspflicht durch die Datenschutzbehörde, nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:
A)
I. Der Beschwerde wird teilweise stattgegeben und festgestellt, dass die XXXX den Beschwerdeführer dadurch im Recht auf Auskunft gemäß Art 15 DSGVO verletzt hat, indem sie ihm, über seine Anfrage vom 01.02.2023, eine unvollständige Auskunft erteilt hat.römisch eins. Der Beschwerde wird teilweise stattgegeben und festgestellt, dass die römisch 40 den Beschwerdeführer dadurch im Recht auf Auskunft gemäß Artikel 15, DSGVO verletzt hat, indem sie ihm, über seine Anfrage vom 01.02.2023, eine unvollständige Auskunft erteilt hat.
Der XXXX wird binnen Frist von 6 Wochen aufgetragen eine vollständige Datenschutzauskunft über die personenbezogenen Daten des Beschwerdeführers an den Beschwerdeführer zu übermitteln und zusätzlich zu den bereits erfolgten Teilauskünften vom 28.02.2023, 28.08.2023, 15.05.2024 und 31.07.2025 insbesondere Folgendes zu beauskunften:Der römisch 40 wird binnen Frist von 6 Wochen aufgetragen eine vollständige Datenschutzauskunft über die personenbezogenen Daten des Beschwerdeführers an den Beschwerdeführer zu übermitteln und zusätzlich zu den bereits erfolgten Teilauskünften vom 28.02.2023, 28.08.2023, 15.05.2024 und 31.07.2025 insbesondere Folgendes zu beauskunften:
VOSI-Protokolle (Kreditreports, XXXX , Protokolle ÜBA, Protokolle XXXX ), sofern sie personenbezogene Daten des Beschwerdeführers zum Inhalt haben; die den Beschwerdeführer betreffende fehlende FMA-Korrespondenz; jegliche weitere Korrespondenz und Unterlagen (aus dem Personalakt), welche personenbezogene Daten des Beschwerdeführers zum Inhalt haben. VOSI-Protokolle (Kreditreports, römisch 40 , Protokolle ÜBA, Protokolle römisch 40 ), sofern sie personenbezogene Daten des Beschwerdeführers zum Inhalt haben; die den Beschwerdeführer betreffende fehlende FMA-Korrespondenz; jegliche weitere Korrespondenz und Unterlagen (aus dem Personalakt), welche personenbezogene Daten des Beschwerdeführers zum Inhalt haben.
II. Im Übrigen wird die Beschwerde abgewiesen. römisch zwei. Im Übrigen wird die Beschwerde abgewiesen.
B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.B) Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang: römisch eins. Verfahrensgang:
1. Mit Schreiben vom 23.05.2023 erhob der Beschwerdeführer eine Beschwerde aufgrund Verletzung des Rechts auf Auskunft und Berichtigung und regte ein amtswegiges Prüfverfahren an. Der Beschwerdeführer erachte sich in seinem Recht auf Auskunft (Art 15 DSGVO) und Berichtigung (Art 16 DSGVO) durch seine frühere Arbeitgeberin XXXX (in weiterer der Folge: „Beschwerdegegnerin“) verletzt. Der Beschwerdeführer sei aufgrund unhaltbarer Vorwürfe fristlos entlassen worden. Im Zuge des arbeitsrechtlichen Verfahrens des Beschwerdeführers am Landesgericht XXXX zur Geschäftszahl XXXX gegen die Beschwerdegegnerin sei es zu einer wohl absichtlichen unrichtigen Verarbeitung gekommen. Die Beschwerdegegnerin habe im Zivilprozess nicht nur gegen einen fundamentalen zivilprozessrechtlichen Grundsatz verstoßen, indem sie dem Sachverständigen am Gericht vorbei Unterlagen geschickt habe. Sie habe außerdem nur „sorgfältig“ ausgewählte Unterlagen geliefert – nämlich nur solche, welche isoliert betrachtet den Eindruck erwecken würden, der Beschwerdeführer wäre im Unrecht, und nicht die, welche sein sorgfältiges Verhalten belegen würden. Das Gericht untersuche aktuell diese Umtriebe. Die datenschutzrechtliche Seite sei der absichtliche Verstoß gegen den Grundsatz der Datenrichtigkeit. Der Beschwerdeführer habe angesichts der Fülle der Unterlagen nach so langer Tätigkeit bei der Beschwerdegegnerin sich zu einer Priorisierung entschieden. Die Beschwerdegegnerin sollte demnach Informationen zu vier Kreditengagements vorlegen, die Gegenstand des zivilgerichtlichen Verfahrens seien und daher ohnehin aufbereitet sein müssten. Darüber hinaus habe er die Protokolle von XXXX und XXXX sowie Schreiben an die Behörden wie Finanzmarktaufsicht und OeNB, in welchen er genannt werde verlangt. Als Bankenaufsichtsrechtler und Datenschutzrechtler gehe er angesichts ähnlicher Beratungsfälle davon aus, dass letztere Unterlagen selbst ohne externe Beratung in zwei Wochen gefunden und aufbereitet werden könnten. Alle übrigen Unterlagen wolle der Beschwerdeführer ebenso. Am 28.02.2023 habe die Datenschutzbeauftragte der Beschwerdegegnerin ein vom Vorstand der Bank unterzeichnetes Schreiben sowie einen Link zu einem Downloadbereich übermittelt. Über diesem Link finde man neben einem Auszug aus dem Verarbeitungsverzeichnis im Excel-Format im Wesentlichen Depot- und Kontoauszüge des Beschwerdeführers als Bankkunden, zahlreiche Fehlermeldungen wegen nicht aktueller Software, die anscheinend ins PDF-Format kopiert worden wären, und zahlreiche vollständig leere Dokumente. Zu diesen leeren Dokumenten gebe es jeweils keine Erklärung, um welche Art Dokument es sich handle, oder warum es überhaupt keinen Inhalt habe. Insgesamt seien von 847 zur Verfügung gestellten Dokumenten 406 unbrauchbar, weil sie nicht leserlich, leer oder nur die Kopie einer Fehlermeldung seien. Alle Dokumente, die mit der beschriebenen fehlerhaften Verarbeitung zu tun hätten, würden fehlen. Insgesamt sei die Auskunft nicht nur bewusst rechtswidrig, sondern auch absolut unbrauchbar. Der Beschwerdeführer mache nun vom Recht auf Auskunft gemäß Art 15 DSGVO Gebrauch, um im nächsten Schritt präzise und informiert nachvollziehen zu können, ob die Beschwerdegegnerin seinem Recht auf Berichtigung der Daten gemäß Art 16 DSGVO Genüge tue und dem Sachverständigen korrekte Daten liefere – und damit die Verarbeitung richtigstelle. Von einem exzessiven Auskunftsbegehren könne nicht die Rede sein. Der Beschwerdeführer gehe davon aus, dass die Beschwerdegegnerin seine Daten absichtlich grob fehlerhaft verarbeite, weshalb es ihm zustehe, alle Daten und Datenverarbeitungen zu überprüfen, die ihn betreffen würden. Der Beschwerdeführer sowie das Gericht hätten die Beschwerdegegnerin aufgefordert, die Daten zu vervollständigen. Diese Berichtigung sei aktuell noch nicht erfolgt. Der Beschwerdeführer erachte sich daher auch in diesem Recht als verletzt. 1. Mit Schreiben vom 23.05.2023 erhob der Beschwerdeführer eine Beschwerde aufgrund Verletzung des Rechts auf Auskunft und Berichtigung und regte ein amtswegiges Prüfverfahren an. Der Beschwerdeführer erachte sich in seinem Recht auf Auskunft (Artikel 15, DSGVO) und Berichtigung (Artikel 16, DSGVO) durch seine frühere Arbeitgeberin römisch 40 (in weiterer der Folge: „Beschwerdegegnerin“) verletzt. Der Beschwerdeführer sei aufgrund unhaltbarer Vorwürfe fristlos entlassen worden. Im Zuge des arbeitsrechtlichen Verfahrens des Beschwerdeführers am Landesgericht römisch 40 zur Geschäftszahl römisch 40 gegen die Beschwerdegegnerin sei es zu einer wohl absichtlichen unrichtigen Verarbeitung gekommen. Die Beschwerdegegnerin habe im Zivilprozess nicht nur gegen einen fundamentalen zivilprozessrechtlichen Grundsatz verstoßen, indem sie dem Sachverständigen am Gericht vorbei Unterlagen geschickt habe. Sie habe außerdem nur „sorgfältig“ ausgewählte Unterlagen geliefert – nämlich nur solche, welche isoliert betrachtet den Eindruck erwecken würden, der Beschwerdeführer wäre im Unrecht, und nicht die, welche sein sorgfältiges Verhalten belegen würden. Das Gericht untersuche aktuell diese Umtriebe. Die datenschutzrechtliche Seite sei der absichtliche Verstoß gegen den Grundsatz der Datenrichtigkeit. Der Beschwerdeführer habe angesichts der Fülle der Unterlagen nach so langer Tätigkeit bei der Beschwerdegegnerin sich zu einer Priorisierung entschieden. Die Beschwerdegegnerin sollte demnach Informationen zu vier Kreditengagements vorlegen, die Gegenstand des zivilgerichtlichen Verfahrens seien und daher ohnehin aufbereitet sein müssten. Darüber hinaus habe er die Protokolle von römisch 40 und römisch 40 sowie Schreiben an die Behörden wie Finanzmarktaufsicht und OeNB, in welchen er genannt werde verlangt. Als Bankenaufsichtsrechtler und Datenschutzrechtler gehe er angesichts ähnlicher Beratungsfälle davon aus, dass letztere Unterlagen selbst ohne externe Beratung in zwei Wochen gefunden und aufbereitet werden könnten. Alle übrigen Unterlagen wolle der Beschwerdeführer ebenso. Am 28.02.2023 habe die Datenschutzbeauftragte der Beschwerdegegnerin ein vom Vorstand der Bank unterzeichnetes Schreiben sowie einen Link zu einem Downloadbereich übermittelt. Über diesem Link finde man neben einem Auszug aus dem Verarbeitungsverzeichnis im Excel-Format im Wesentlichen Depot- und Kontoauszüge des Beschwerdeführers als Bankkunden, zahlreiche Fehlermeldungen wegen nicht aktueller Software, die anscheinend ins PDF-Format kopiert worden wären, und zahlreiche vollständig leere Dokumente. Zu diesen leeren Dokumenten gebe es jeweils keine Erklärung, um welche Art Dokument es sich handle, oder warum es überhaupt keinen Inhalt habe. Insgesamt seien von 847 zur Verfügung gestellten Dokumenten 406 unbrauchbar, weil sie nicht leserlich, leer oder nur die Kopie einer Fehlermeldung seien. Alle Dokumente, die mit der beschriebenen fehlerhaften Verarbeitung zu tun hätten, würden fehlen. Insgesamt sei die Auskunft nicht nur bewusst rechtswidrig, sondern auch absolut unbrauchbar. Der Beschwerdeführer mache nun vom Recht auf Auskunft gemäß Artikel 15, DSGVO Gebrauch, um im nächsten Schritt präzise und informiert nachvollziehen zu können, ob die Beschwerdegegnerin seinem Recht auf Berichtigung der Daten gemäß Artikel 16, DSGVO Genüge tue und dem Sachverständigen korrekte Daten liefere – und damit die Verarbeitung richtigstelle. Von einem exzessiven Auskunftsbegehren könne nicht die Rede sein. Der Beschwerdeführer gehe davon aus, dass die Beschwerdegegnerin seine Daten absichtlich grob fehlerhaft verarbeite, weshalb es ihm zustehe, alle Daten und Datenverarbeitungen zu überprüfen, die ihn betreffen würden. Der Beschwerdeführer sowie das Gericht hätten die Beschwerdegegnerin aufgefordert, die Daten zu vervollständigen. Diese Berichtigung sei aktuell noch nicht erfolgt. Der Beschwerdeführer erachte sich daher auch in diesem Recht als verletzt.
2. Mit Mangelbehebungsauftrag vom 19.07.2023 wurde der Beschwerdeführer darauf hingewiesen, dass betreffend eine behauptete Verletzung im Recht auf Berichtigung von Daten der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners fehle.
3. Mit E-Mail vom 01.08.2023 zog der Beschwerdeführer die Beschwerde gemäß Art 16 DSGVO zurück und änderte seine Beschwerde dahingehend ab, dass er sich nunmehr gegen die Verletzung des Rechts auf Auskunft beschwerte und ein amtswegiges Prüfverfahren anregte. Der Beschwerdeführer mache nun vom Recht auf Auskunft gemäß Art 15 DSGVO Gebrauch, um im nächsten Schritt präzise und informiert nachvollziehen zu können, ob die Verantwortliche seinem Recht auf Berichtigung der Daten gemäß Art 16 DSGVO Genüge tue und dem Sachverständigen korrekte Daten liefere – und damit die Verarbeitung richtigstelle. Von einem exzessiven Auskunftsbegehren könne nicht die Rede sein. Die Beschwerdegegnerin scheine fast nur Daten liefern zu können, bei der das Allgemeine Rechenzentrum die Systeme betreibe und als Dienstleisterin zahlreicher Banken entsprechende Services zur Verfügung stelle. Die Beschwerdegegnerin habe völlig leere Seiten, Fehlermeldungen und im Übrigen nur Daten aus der Kundenrolle geschickt, was eine bewusste sowie demonstrative Missachtung des Datenschutzrechts sei.3. Mit E-Mail vom 01.08.2023 zog der Beschwerdeführer die Beschwerde gemäß Artikel 16, DSGVO zurück und änderte seine Beschwerde dahingehend ab, dass er sich nunmehr gegen die Verletzung des Rechts auf Auskunft beschwerte und ein amtswegiges Prüfverfahren anregte. Der Beschwerdeführer mache nun vom Recht auf Auskunft gemäß Artikel 15, DSGVO Gebrauch, um im nächsten Schritt präzise und informiert nachvollziehen zu können, ob die Verantwortliche seinem Recht auf Berichtigung der Daten gemäß Artikel 16, DSGVO Genüge tue und dem Sachverständigen korrekte Daten liefere – und damit die Verarbeitung richtigstelle. Von einem exzessiven Auskunftsbegehren könne nicht die Rede sein. Die Beschwerdegegnerin scheine fast nur Daten liefern zu können, bei der das Allgemeine Rechenzentrum die Systeme betreibe und als Dienstleisterin zahlreicher Banken entsprechende Services zur Verfügung stelle. Die Beschwerdegegnerin habe völlig leere Seiten, Fehlermeldungen und im Übrigen nur Daten aus der Kundenrolle geschickt, was eine bewusste sowie demonstrative Missachtung des Datenschutzrechts sei.
4. Die Beschwerdegegnerin brachte mit Schreiben vom 25.08.2023 eine Stellungnahme ein und führte darin - für das gegenständliche Verfahren relevant - aus, dem Beschwerdeführer gehe es ausschließlich darum, sich Unterlagen für den Arbeitsrechtsprozess zu verschaffen. Er versuche die Bestimmungen der Zivilprozessordnung über den Auskunftsanspruch nach der DSGVO auszuhebeln. Das Auskunftsbegehren des Beschwerdeführers sei nicht nur unbegründet, sondern auch exzessiv. Es sei zu beachten, dass sämtliche Unterlagen mit personenbezogenen Daten des langjährigen Geschäftsstellenleiters nicht nur dahingehend zu sichten wären, ob durch die beantragte Auskunftserteilung Rechte Dritter oder Eigeninteressen gefährdet und gegebenenfalls entsprechende Vorkehrungen zu treffen wären, sondern dass die Verantwortliche hierbei auch die Einhaltung des strafbewehrten Bankgeheimnisses sicherzustellen hätte. Der zur Erfüllung des Auskunftsersuchens notwendige Aufwand stehe in keinem vernünftigen Verhältnis zur Wahrung der durch die DSGVO geschützten Interessen des Betroffenen. Die Übermittlung sämtlicher Urkunden mit personenbezogenen Daten eines ehemaligen Geschäftsstellenleiters würde jedoch unweigerlich dazu führen, dass damit auch in das Recht auf Datenschutz, das Recht auf Achtung des Privatlebens und das Recht auf Achtung der Kommunikation anderer Personen eingegriffen werden würde. Dessen ungeachtet habe die Beschwerdegegnerin dem Beschwerdeführer eine Aufstellung betreffend die Verarbeitung seiner personenbezogenen Daten bekannt gegeben und einzelne Datenkopien zur Verfügung gestellt. Es sei richtig, dass der Inhalt bei einigen der übermittelten Datenkopien aufgrund eines Problems mit dem Datenexport nicht, oder nicht leserlich angezeigt worden wären. Mittlerweile seien dem Beschwerdeführer sämtliche Datenkopien, deren Inhalte gemäß der Aufstellung des Beschwerdeführers fehlerhaft oder gar nicht angezeigt werden könnten, in fehlerfreier und leserlicher Form zur Verfügung gestellt worden.
5. Mit Eingabe vom 28.08.2023 übermittelte die Beschwerdegegnerin in Ergänzung zu ihrer Stellungnahme, die dem Beschwerdeführer mit E-Mail vom 18.08.2023 übermittelten Datenkopien, deren Inhalt nun fehlerfrei und leserlich sei.
6. Mit Eingabe vom 19.09.2023 brachte der Beschwerdeführer vor, dass die geltend gemachte Rechtsverletzung nach wie vor bestehe. Mit der ursprünglichen Auskunft vom 28.02.2023 habe die Beschwerdegegnerin 847 Dokumente zur Verfügung gestellt, von denen 406 nicht leserlich, leer oder eine Kopie einer Fehlermeldung gewesen seien. Am 18.08.2023 habe die Beschwerdegegnerin ein kurzes Schreiben übermittelt, das einen Link zu einem Downloadbereich und in einer eigenen E-Mail ein Passwort enthalte. Mit diesem Schreiben habe die Verantwortliche auch jene fehlenden 406 Dokumente in lesbarer Form zur Verfügung gestellt. Diese nun insgesamt 847 Dokumente würden jedoch ausschließlich die Kundenbeziehung zur Beschwerdegegnerin betreffen, aber nicht die Daten des Beschwerdeführers als früherer Angestellter. Die begehrten Kopien über die Tätigkeit als Angestellter insbesondere in Bezug auf einige Kreditengagements sowie die Erwähnungen des Beschwerdeführers in XXXX Protokollen, XXXX Protokollen sowie Schreiben und Beilagen an die Behörden (FMA, OeNB etc) habe die Beschwerdegegnerin nicht zur Verfügung gestellt, was sie auch in ihrem Schreiben vom 25.08.2023 an die Datenschutzbehörde nicht bestreite. Die Beschwerdegegnerin müsse alle relevanten Dokumente dem Gerichtsachverständigen vorgelegen, aber dürfte tatsächlich zahlreiche, für den Beschwerdeführer günstige Dokumente „unterschlagen“ haben, denn der Beschwerdeführer könne sich an zahlreiche Dokumente und Informationen erinnern, die nicht vorgelegt worden wären, aber stark für ihn sprechen würden. Die Sammlung und Übermittlung der vollständigen Daten zu diesem Fall sei völlig unabhängig von zivilprozessualen oder strafrechtlichen Qualifikationen – aus datenschutzrechtlicher Perspektive – eine Verarbeitung. Es sei falsch, dass der Beschwerdeführer sich Unterlagen für das Verfahren verschaffen wolle. Es gehe ihm darum, die Verarbeitung der Unterlagen durch die XXXX überprüfen zu können. Dass es Reflexwirkungen auf die zivilgerichtlichen Verfahren haben würde, könne das Datenschutzrecht des Beschwerdeführers nicht einschränken. Die Beschwerdegegnerin habe entsprechende Schwärzungen vorzunehmen. Es gehe hier in erster Linie um Daten, die ohnehin dem gemeinsamen gerichtlichen Sachverständigen offengelegt werden oder werden müssten, und die dem Beschwerdeführer weitestgehend bekannt seien, weil er sie als Angestellter selbst erzeugt habe. 6. Mit Eingabe vom 19.09.2023 brachte der Beschwerdeführer vor, dass die geltend gemachte Rechtsverletzung nach wie vor bestehe. Mit der ursprünglichen Auskunft vom 28.02.2023 habe die Beschwerdegegnerin 847 Dokumente zur Verfügung gestellt, von denen 406 nicht leserlich, leer oder eine Kopie einer Fehlermeldung gewesen seien. Am 18.08.2023 habe die Beschwerdegegnerin ein kurzes Schreiben übermittelt, das einen Link zu einem Downloadbereich und in einer eigenen E-Mail ein Passwort enthalte. Mit diesem Schreiben habe die Verantwortliche auch jene fehlenden 406 Dokumente in lesbarer Form zur Verfügung gestellt. Diese nun insgesamt 847 Dokumente würden jedoch ausschließlich die Kundenbeziehung zur Beschwerdegegnerin betreffen, aber nicht die Daten des Beschwerdeführers als früherer Angestellter. Die begehrten Kopien über die Tätigkeit als Angestellter insbesondere in Bezug auf einige Kreditengagements sowie die Erwähnungen des Beschwerdeführers in römisch 40 Protokollen, römisch 40 Protokollen sowie Schreiben und Beilagen an die Behörden (FMA, OeNB etc) habe die Beschwerdegegnerin nicht zur Verfügung gestellt, was sie auch in ihrem Schreiben vom 25.08.2023 an die Datenschutzbehörde nicht bestreite. Die Beschwerdegegnerin müsse alle relevanten Dokumente dem Gerichtsachverständigen vorgelegen, aber dürfte tatsächlich zahlreiche, für den Beschwerdeführer günstige Dokumente „unterschlagen“ haben, denn der Beschwerdeführer könne sich an zahlreiche Dokumente und Informationen erinnern, die nicht vorgelegt worden wären, aber stark für ihn sprechen würden. Die Sammlung und Übermittlung der vollständigen Daten zu diesem Fall sei völlig unabhängig von zivilprozessualen oder strafrechtlichen Qualifikationen – aus datenschutzrechtlicher Perspektive – eine Verarbeitung. Es sei falsch, dass der Beschwerdeführer sich Unterlagen für das Verfahren verschaffen wolle. Es gehe ihm darum, die Verarbeitung der Unterlagen durch die römisch 40 überprüfen zu können. Dass es Reflexwirkungen auf die zivilgerichtlichen Verfahren haben würde, könne das Datenschutzrecht des Beschwerdeführers nicht einschränken. Die Beschwerdegegnerin habe entsprechende Schwärzungen vorzunehmen. Es gehe hier in erster Linie um Daten, die ohnehin dem gemeinsamen gerichtlichen Sachverständigen offengelegt werden oder werden müssten, und die dem Beschwerdeführer weitestgehend bekannt seien, weil er sie als Angestellter selbst erzeugt habe.
7. Die Beschwerdegegnerin replizierte mit Stellungahme vom 17.04.2024, das Verarbeitungsverzeichnis, welches dem Beschwerdeführer im Rahmen der Auskunftsbeantwortung übermittelt worden wäre, beinhalte unter anderem auch Informationen zu Datenverarbeitungen, welche der „Tätigkeit als Angestellter“ zuordenbar sei. Konkret handle es sich dabei um die Verarbeitungskategorien „Urlaubs-und Reisekostenabrechnung“, „Zeiterfassung“, „Personal“, „Telefonaufzeichnung § 33 WAG 2018“, „E-Mail“, „Kundendaten/Kundenunterlagen“ und „Protokolle“. Der Beschwerdeführer führe nicht aus, welche „Dokumente und Information“ er konkret meine. Die Beschwerdegegnerin sei bereit, im Rahmen des rechtlich zulässigen, jene Dokumente beziehungsweise Dokumentenbestandteile, allenfalls geschwärzt beziehungsweise anonymisiert, zu liefern, die es dem Beschwerdeführer ermöglichen würden zu beurteilen, ob dem Sachverständigen alle für seine Befundaufnahme relevanten Dokumente, die personenbezogene Daten des Beschwerdeführers enthalten würden, übermittelt worden wären. Die Beschwerdegegnerin ersuchte die Datenschutzbehörde um Erstreckung der Frist bis längstens zum 30.06.2024 zur Abgabe der ergänzenden Stellungnahme, insbesondere im Hinblick auf die Auswertung der E-Mails. Es sei geplant, Unterlagen zu XXXX und XXXX protokollen sowie Kontendispositionen binnen zwei Wochen, und zu Kundenakten binnen einem Monat allenfalls auch dem Beschwerdeführer zur Verfügung zu stellen. 7. Die Beschwerdegegnerin replizierte mit Stellungahme vom 17.04.2024, das Verarbeitungsverzeichnis, welches dem Beschwerdeführer im Rahmen der Auskunftsbeantwortung übermittelt worden wäre, beinhalte unter anderem auch Informationen zu Datenverarbeitungen, welche der „Tätigkeit als Angestellter“ zuordenbar sei. Konkret handle es sich dabei um die Verarbeitungskategorien „Urlaubs-und Reisekostenabrechnung“, „Zeiterfassung“, „Personal“, „Telefonaufzeichnung Paragraph 33, WAG 2018“, „E-Mail“, „Kundendaten/Kundenunterlagen“ und „Protokolle“. Der Beschwerdeführer führe nicht aus, welche „Dokumente und Information“ er konkret meine. Die Beschwerdegegnerin sei bereit, im Rahmen des rechtlich zulässigen, jene Dokumente beziehungsweise Dokumentenbestandteile, allenfalls geschwärzt beziehungsweise anonymisiert, zu liefern, die es dem Beschwerdeführer ermöglichen würden zu beurteilen, ob dem Sachverständigen alle für seine Befundaufnahme relevanten Dokumente, die personenbezogene Daten des Beschwerdeführers enthalten würden, übermittelt worden wären. Die Beschwerdegegnerin ersuchte die Datenschutzbehörde um Erstreckung der Frist bis längstens zum 30.06.2024 zur Abgabe der ergänzenden Stellungnahme, insbesondere im Hinblick auf die Auswertung der E-Mails. Es sei geplant, Unterlagen zu römisch 40 und römisch 40 protokollen sowie Kontendispositionen binnen zwei Wochen, und zu Kundenakten binnen einem Monat allenfalls auch dem Beschwerdeführer zur Verfügung zu stellen.
8. Mit Verfahrensanordnung vom 23.04.2024 wurde die Frist zur Beibringung einer ergänzenden Stellungnahme bis zum 15.05.2024 erstreckt.
9. Mit Eingabe vom 15.05.2024 übermittelte die Beschwerdegegnerin eine ergänzende Stellungnahme und führte darin aus, um den Beschwerdeführer beschwerdefrei zu stellen, habe die Beschwerdegegnerin versucht, aus dem Auskunftsbegehren und der Beschwerde jene Dokumente und Dokumentenbestandteile herauszufiltern, um die es dem Beschwerdeführer erkennbar gehe. Dem Beschwerdeführer würden nunmehr sämtliche Dokumente bzw. Dokumentenbestandteile – geschwärzt bzw. anonymisiert – zur Verfügung gestellt werden, die es ihm ermöglichen würden, zu beurteilen, ob dem Sachverständigen im Zuge des streitanhängigen Gerichtsverfahrens alle für seine Befundaufnahme relevanten Dokumente mit personenbezogenen Daten übermittelt worden wären. Dem Beschwerdeführer würden Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung gestellt werden, die bis zur Beendigung des Arbeitsverhältnisses generiert worden wären. Die in den übermittelten Dokumenten vorgenommenen Schwärzungen bzw. Anonymisierungen seien insbesondere darin begründet, dass es sich dabei um personenbezogene Daten Dritter handle, zu deren Schutz die Beschwerdegegnerin verpflichtet sei, oder die weitere Kontextualisierung der verarbeiteten Daten im Sinne der Rechtsprechung des EuGH zu C-487/21 nicht erforderlich gewesen sei, um ihre Verständlichkeit zu gewährleisten. Insofern der Beschwerdeführer – trotz der vorgenommenen Konkretisierung - weiterhin alle Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung seien, sohin Datenbankauszüge, E-Mails, Briefe (bankintern oder an Dritte wie die FMA), Leistungsbeurteilungen, Auszüge von XXXX protokollen, Telefonaufzeichnungen und Telefonprotokolle, Gesprächsnotizen, Kreditanträge, Listen usw, verlange, werde einmal mehr darauf verwiesen, dass der Beschwerdeführer bereits umfassende Kopien erhalten habe und erachte die Beschwerdegegnerin unter Aufrechterhaltung ihrer bisherigen Begründungen diese Verlangen als rechtmissbräuchlich und exzessiv. Die Beschwerdegegnerin führte weiters aus, welche Kopien der konkret angeforderten Unterlagen nicht übermittelt werden. Dem Beschwerdeführer würden - mangels konkreter Anforderung - Datenkopien nach der Beendigung des Dienstverhältnisses nicht mehr zur Verfügung gestellt werden, doch könne dazu allgemein festgehalten werden, dass die diesbezüglichen Verarbeitungen von personenbezogenen Daten des Beschwerdeführers nur erfolgt wären, sofern die FMA Berichterstattungen zu den laufenden Gerichtsverfahren angefordert habe. Bezüglich dieser dem Beschwerdeführer nicht direkt übermittelten, jedoch der belangten Behörde zur Verfügung gestellten Datenkopien, beantragte die Beschwerdegegenerin, die belangte Behörde möge diese aus der Akteneinsicht ausnehmen. Sowohl bei den unter Pkt. 6.a. angeführten E-Mails wie auch bei den unter Pkt. 6.b. und 6.c. angeführten Protokollen bzw. der Protokollbeilage handle es sich unzweifelhaft um unternehmensinterne Informationen im Zusammenhang mit den laufenden Rechtsstreitigkeiten. Diese stünden insbesondere im Zusammenhang mit dem Arbeitsgerichtsverfahren, welches derzeit zwischen dem Beschwerdeführer, als ehemaliger Führungskraft, und der Beschwerdegegnerin vor dem Landesgericht XXXX anhängig sei. 9. Mit Eingabe vom 15.05.2024 übermittelte die Beschwerdegegnerin eine ergänzende Stellungnahme und führte darin aus, um den Beschwerdeführer beschwerdefrei zu stellen, habe die Beschwerdegegnerin versucht, aus dem Auskunftsbegehren und der Beschwerde jene Dokumente und Dokumentenbestandteile herauszufiltern, um die es dem Beschwerdeführer erkennbar gehe. Dem Beschwerdeführer würden nunmehr sämtliche Dokumente bzw. Dokumentenbestandteile – geschwärzt bzw. anonymisiert – zur Verfügung gestellt werden, die es ihm ermöglichen würden, zu beurteilen, ob dem Sachverständigen im Zuge des streitanhängigen Gerichtsverfahrens alle für seine Befundaufnahme relevanten Dokumente mit personenbezogenen Daten übermittelt worden wären. Dem Beschwerdeführer würden Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung gestellt werden, die bis zur Beendigung des Arbeitsverhältnisses generiert worden wären. Die in den übermittelten Dokumenten vorgenommenen Schwärzungen bzw. Anonymisierungen seien insbesondere darin begründet, dass es sich dabei um personenbezogene Daten Dritter handle, zu deren Schutz die Beschwerdegegnerin verpflichtet sei, oder die weitere Kontextualisierung der verarbeiteten Daten im Sinne der Rechtsprechung des EuGH zu C-487/21 nicht erforderlich gewesen sei, um ihre Verständlichkeit zu gewährleisten. Insofern der Beschwerdeführer – trotz der vorgenommenen Konkretisierung - weiterhin alle Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung seien, sohin Datenbankauszüge, E-Mails, Briefe (bankintern oder an Dritte wie die FMA), Leistungsbeurteilungen, Auszüge von römisch 40 protokollen, Telefonaufzeichnungen und Telefonprotokolle, Gesprächsnotizen, Kreditanträge, Listen usw, verlange, werde einmal mehr darauf verwiesen, dass der Beschwerdeführer bereits umfassende Kopien erhalten habe und erachte die Beschwerdegegnerin unter Aufrechterhaltung ihrer bisherigen Begründungen diese Verlangen als rechtmissbräuchlich und exzessiv. Die Beschwerdegegnerin führte weiters aus, welche Kopien der konkret angeforderten Unterlagen nicht übermittelt werden. Dem Beschwerdeführer würden - mangels konkreter Anforderung - Datenkopien nach der Beendigung des Dienstverhältnisses nicht mehr zur Verfügung gestellt werden, doch könne dazu allgemein festgehalten werden, dass die diesbezüglichen Verarbeitungen von personenbezogenen Daten des Beschwerdeführers nur erfolgt wären, sofern die FMA Berichterstattungen zu den laufenden Gerichtsverfahren angefordert habe. Bezüglich dieser dem Beschwerdeführer nicht direkt übermittelten, jedoch der belangten Behörde zur Verfügung gestellten Datenkopien, beantragte die Beschwerdegegenerin, die belangte Behörde möge diese aus der Akteneinsicht ausnehmen. Sowohl bei den unter Pkt. 6.a. angeführten E-Mails wie auch bei den unter Pkt. 6.b. und 6.c. angeführten Protokollen bzw. der Protokollbeilage handle es sich unzweifelhaft um unternehmensinterne Informationen im Zusammenhang mit den laufenden Rechtsstreitigkeiten. Diese stünden insbesondere im Zusammenhang mit dem Arbeitsgerichtsverfahren, welches derzeit zwischen dem Beschwerdeführer, als ehemaliger Führungskraft, und der Beschwerdegegnerin vor dem Landesgericht römisch 40 anhängig sei.
10. Der Beschwerdeführer führte mit Schriftsatz vom 11.06.2024 aus, dass die geltende gemachte Rechtsverletzung nach wie vor bestehe, trotz des neuerlichen Nachtrages. Der Beschwerdeführer fordere alle seine Daten und Informationen zu den Kreditengagements XXXX , XXXX , XXXX und XXXX . Die Auskunft sei in allen vier Fällen eindeutig und offensichtlich unvollständig. Der Beschwerdeführer bemängle, dass die Beschwerdegegnerin nicht alle VOSI-Protokolle bzw Kreditreports (Watchlist etc) vorgelegt habe. Gerade auch die Protokolle vor dem Zeitraum 2020 seien in den Gerichtsverfahren relevant und müssten dem Sachverständigen vorgelegt werden. Die Beschwerdegegnerin habe die IR-Berichte XXXX /2021 und XXXX /2021 im arbeitsrechtlichen Prozess gegen den Beschwerdeführer vorgelegt. Die Beschwerdegegnerin habe die im IR-Bericht XXXX /2021 unter den Unterpunkten je Kreditengagement angeführten „Überziehungsanweisungen“ bzw Entscheidungen bis heute nicht vorgelegt. Die Beschwerdegegnerin führe dazu in ihrem Schreiben an den Rechtsvertreter des Beschwerdeführers vom 15.05.2024 unter Punkt 2.f) aus, dass diese Daten nicht mehr vorlägen. Wenn diese Daten tatsächlich nicht mehr vorlägen, wie die Verantwortliche auch in einem Schreiben vom 29.05.2024 noch einmal behauptet habe (Beilage ./D), läge ein Gesetzesverstoß gegen die Aufbewahrungspflichten und ein Bruch des Löschkonzepts vor, welcher aufklärungsbedürftig sei. Es seien auch jene Daten zu beauskunften, welche die Beschwerdegegnerin in Bezug auf die Verfahren über den Beschwerdeführer an die FMA weitergebe. Es würden umfangreiche Daten des Beschwerdeführers fehlen, die ihm ganz oder teilweise vorliegen würden. Bezüglich der von der Akteneinsicht ausgenommene Aktenbestandteile werde die Beschränkung akzeptiert. 10. Der Beschwerdeführer führte mit Schriftsatz vom 11.06.2024 aus, dass die geltende gemachte Rechtsverletzung nach wie vor bestehe, trotz des neuerlichen Nachtrages. Der Beschwerdeführer fordere alle seine Daten und Informationen zu den Kreditengagements römisch 40 , römisch 40 , römisch 40 und römisch 40 . Die Auskunft sei in allen vier Fällen eindeutig und offensichtlich unvollständig. Der Beschwerdeführer bemängle, dass die Beschwerdegegnerin nicht alle VOSI-Protokolle bzw Kreditreports (Watchlist etc) vorgelegt habe. Gerade auch die Protokolle vor dem Zeitraum 2020 seien in den Gerichtsverfahren relevant und müssten dem Sachverständigen vorgelegt werden. Die Beschwerdegegnerin habe die IR-Berichte römisch 40 /2021 und römisch 40 /2021 im arbeitsrechtlichen Prozess gegen den Beschwerdeführer vorgelegt. Die Beschwerdegegnerin habe die im IR-Bericht römisch 40 /2021 unter den Unterpunkten je Kreditengagement angeführten „Überziehungsanweisungen“ bzw Entscheidungen bis heute nicht vorgelegt. Die Beschwerdegegnerin führe dazu in ihrem Schreiben an den Rechtsvertreter des Beschwerdeführers vom 15.05.2024 unter Punkt 2.f) aus, dass diese Daten nicht mehr vorlägen. Wenn diese Daten tatsächlich nicht mehr vorlägen, wie die Verantwortliche auch in einem Schreiben vom 29.05.2024 noch einmal behauptet habe (Beilage ./D), läge ein Gesetzesverstoß gegen die Aufbewahrungspflichten und ein Bruch des Löschkonzepts vor, welcher aufklärungsbedürftig sei. Es seien auch jene Daten zu beauskunften, welche die Beschwerdegegnerin in Bezug auf die Verfahren über den Beschwerdeführer an die FMA weitergebe. Es würden umfangreiche Daten des Beschwerdeführers fehlen, die ihm ganz oder teilweise vorliegen würden. Bezüglich der von der Akteneinsicht ausgenommene Aktenbestandteile werde die Beschränkung akzeptiert.
11. Mit Schriftsatz vom 09.07.2024 brachte der Beschwerdeführer vor, dass die Rechtsverletzung nach wie vor vorliege. Die Beschwerdegegnerin habe dem Beschwerdeführer mit Schreiben vom 29.05.2024 mitgeteilt, dass das Rechenzentrum der Bank final bestätigt habe, dass die für den Gerichtssachverständigen sehr kritischen Daten zu den ARCTIS Überziehungsanweisungen nicht mehr existiere, und es keine Verarbeitung dazu gebe. Der Rechtsvertreter des Beschwerdeführers kenne das Löschkonzept des Rechenzentrums sowie die technischen Grundlagen und Gegebenheiten des Kernbankensystems im Detail. Eine solche Löschung widerspräche nicht nur den technischen Gegebenheiten und dem Löschkonzept diametral, sondern wäre im Übrigen auch ein Bruch gesetzlicher Aufbewahrungspflichten und regulatorischer Bestimmungen. Am 11.06.2024 habe die Verantwortliche auf Nachfragen des Beschwerdeführers mit einem Schreiben reagiert, demzufolge sie doch noch einen Auftrag an das Rechenzentrum gestellt habe. Dies stelle einen Widerspruch zu ihrem Schreiben vom 29.05.2024 dar, wonach das Rechenzentrum bereits eine finale Erklärung abgegeben habe, dass es keine Daten gebe. Diesen Widerspruch habe die Beschwerdegegnerin nicht auflösen können. Die Beschwerdegegnerin habe am 13.06.2024 einen Teil der Daten, welche laut Vorkorrespondenz vom Rechenzentrum gelöscht worden seien, übermittelt. Diese übertrieben stark geschwärzten Unterlagen der Teilauskunft 4 seien unvollständig, denn sie würden nur eine von vier Kreditakten betreffen, nämlich XXXX . Dass es mehr geben müsse, ergebe sich aus dem von der Beschwerdegegnerin im zivilgerichtlichen Verfahren vor dem Landesgericht XXXX , XXXX vorgelegten Bericht. Die in diesem Bericht unter den Punkten 1.3, 2.3.und 3.3. zu den jeweiligen Kredit-Engagements angeführten Überziehungsanweisungen habe die Beschwerdegegnerin bis heute nicht vorgelegt. Diese Überziehungsanweisungen würden im Übrigen den gleichen Zeitraum wie das Kreditengagement XXXX betreffen. Das Rechenzentrum lösche nicht individuell auf Kundenebene, sondern auf Zeitebene, und zwar frühestens sieben Jahre, nachdem ein Engagement geschlossen worden seien. Alle vier Kreditengagements seien aber offen. Jedenfalls sei die Auskunft vom 29.05.2024 falsch. Der Beschwerdeführer wisse mit Sicherheit, dass die Beschwerdegegnerin umfangreiche Daten verarbeite, aber nicht beauskunftet habe, aber er habe naturgemäß kein vollständiges Bild von den fehlenden Daten. Es sei vielmehr die Verpflichtung der Verantwortlichen, eine vollständige Auskunft zu liefern. 11. Mit Schriftsatz vom 09.07.2024 brachte der Beschwerdeführer vor, dass die Rechtsverletzung nach wie vor vorliege. Die Beschwerdegegnerin habe dem Beschwerdeführer mit Schreiben vom 29.05.2024 mitgeteilt, dass das Rechenzentrum der Bank final bestätigt habe, dass die für den Gerichtssachverständigen sehr kritischen Daten zu den ARCTIS Überziehungsanweisungen nicht mehr existiere, und es keine Verarbeitung dazu gebe. Der Rechtsvertreter des Beschwerdeführers kenne das Löschkonzept des Rechenzentrums sowie die technischen Grundlagen und Gegebenheiten des Kernbankensystems im Detail. Eine solche Löschung widerspräche nicht nur den technischen Gegebenheiten und dem Löschkonzept diametral, sondern wäre im Übrigen auch ein Bruch gesetzlicher Aufbewahrungspflichten und regulatorischer Bestimmungen. Am 11.06.2024 habe die Verantwortliche auf Nachfragen des Beschwerdeführers mit einem Schreiben reagiert, demzufolge sie doch noch einen Auftrag an das Rechenzentrum gestellt habe. Dies stelle einen Widerspruch zu ihrem Schreiben vom 29.05.2024 dar, wonach das Rechenzentrum bereits eine finale Erklärung abgegeben habe, dass es keine Daten gebe. Diesen Widerspruch habe die Beschwerdegegnerin nicht auflösen können. Die Beschwerdegegnerin habe am 13.06.2024 einen Teil der Daten, welche laut Vorkorrespondenz vom Rechenzentrum gelöscht worden seien, übermittelt. Diese übertrieben stark geschwärzten Unterlagen der Teilauskunft 4 seien unvollständig, denn sie würden nur eine von vier Kreditakten betreffen, nämlich römisch 40 . Dass es mehr geben müsse, ergebe sich aus dem von der Beschwerdegegnerin im zivilgerichtlichen Verfahren vor dem Landesgericht römisch 40 , römisch 40 vorgelegten Bericht. Die in diesem Bericht unter den Punkten 1.3, 2.3.und 3.3. zu den jeweiligen Kredit-Engagements angeführten Überziehungsanweisungen habe die Beschwerdegegnerin bis heute nicht vorgelegt. Diese Überziehungsanweisungen würden im Übrigen den gleichen Zeitraum wie das Kreditengagement römisch 40 betreffen. Das Rechenzentrum lösche nicht individuell auf Kundenebene, sondern auf Zeitebene, und zwar frühestens sieben Jahre, nachdem ein Engagement geschlossen worden seien. Alle vier Kreditengagements seien aber offen. Jedenfalls sei die Auskunft vom 29.05.2024 falsch. Der Beschwerdeführer wisse mit Sicherheit, dass die Beschwerdegegnerin umfangreiche Daten verarbeite, aber nicht beauskunftet habe, aber er habe naturgemäß kein vollständiges Bild von den fehlenden Daten. Es sei vielmehr die Verpflichtung der Verantwortlichen, eine vollständige Auskunft zu liefern.
12. Mit Schriftsatz vom 15.07.2024 erhob der Beschwerdeführer eine Säumnisbeschwerde und brachte darin im Wesentlichen vor, im Zuge des arbeitsrechtlichen Verfahrens am Landesgericht XXXX zur Geschäftszahl XXXX gegen die Verantwortliche sei es zu einer (absichtlichen) unrichtigen Verarbeitung gekommen, als die Verantwortliche dem Sachverständigen (am Gericht vorbei) nur ausgewählte Unterlagen geliefert habe – nämlich nur solche, welche isoliert betrachtet den Eindruck erwecken würden, der Beschwerdeführer wäre im Unrecht, und nicht jene, welche sein sorgfältiges Verhalten belegen würden. Der Beschwerdeführer habe ein umfassendes datenschutzrechtliches Auskunftsbegehren an die Verantwortliche gerichtet. Mit Schreiben vom 28.02.2023 habe der Datenschutzbeauftragte der Beschwerdegegnerin ein vom Vorstand der Bank unterzeichnetes Schreiben sowie einen Link zu einem Downloadbereich mit der Teilauskunft 1. übermittelt. Die Teilauskunft 1 habe nahezu keine Daten der Priorität 1 beinhaltet (Informationen zu vier Kreditengagements, die Gegenstand des zivilgerichtlichen Verfahrens sind und daher ohnehin aufbereitet waren; Protokolle von XXXX und XXXX sowie Schreiben an die Behörden wie Finanzmarktaufsicht und OeNB, in welchen der Beschwerdeführer genannt werde). Die Beschwerdegegnerin habe am 18.08.2023 einen neuen Downloadlink mit der Teilauskunft 2 übermittelt. Die Teilauskunft 2 habe im Wesentlichen die ursprünglich nicht lesbaren 406 Kopien zur Teilauskunft 1 beinhaltet, welche fast ausschließlich die Rolle des Beschwerdeführers als Kunden, aber nicht als Mitarbeiter betrfoffen hätten. Mit 15.05.2024 habe die Beschwerdegegnerin der belangten Behörde eine neuerliche Stellungnahme vorgelegt und tatsächlich im Rahmen der Teilauskunft 3 eine größere Menge von Daten/Kopien der Priorität 1 zur Verfügung gestellt. Zwar habe die Verantwortliche nun eine große Zahl von Kopien zur Verfügung gestellt, nach wie vor würden aber kritische Dokumente fehlen. Darüberhinaus habe der Beschwerdeführer der Beschwerdegegnerin über seinen Rechtsvertreter erklärt, dass die Behauptung, dass im Rechenzentrum bestimmte für den Prozess zentrale Daten zerstört worden seien, nicht stimmen könne, weil dies nicht nur gegen das seinem Rechtsvertreter im Detail bekannte Löschkonzept sowie den technischen Gegebenheiten widerspräche, sondern im Übrigen auch ein Bruch gesetzlicher Aufbewahrungspflichten und regulatorischer Bestimmungen sei. Zwei Tage später – am 13.06.2024 - habe die Beschwerdegegnerin ohne den Versuch irgendeiner Erklärung einen Teil der in der Vorkorrespondenz von der Beschwerdegegnerin als gelöscht bezeichneten Daten übermittelt. Diese Daten der Teilauskunft 4 seien allerdings wieder unvollständig, denn sie betreffen nur einen von vier (Kredit)Akten der laufenden zivilgerichtlichen Verfahren am Landesgericht XXXX . Die sechsmonatige Entscheidungsfrist der belangten Behörde sei am 23.11.2023 abgelaufen. 12. Mit Schriftsatz vom 15.07.2024 erhob der Beschwerdeführer eine Säumnisbeschwerde und brachte darin im Wesentlichen vor, im Zuge des arbeitsrechtlichen Verfahrens am Landesgericht römisch 40 zur Geschäftszahl römisch 40 gegen die Verantwortliche sei es zu einer (absichtlichen) unrichtigen Verarbeitung gekommen, als die Verantwortliche dem Sachverständigen (am Gericht vorbei) nur ausgewählte Unterlagen geliefert habe – nämlich nur solche, welche isoliert betrachtet den Eindruck erwecken würden, der Beschwerdeführer wäre im Unrecht, und nicht jene, welche sein sorgfältiges Verhalten belegen würden. Der Beschwerdeführer habe ein umfassendes datenschutzrechtliches Auskunftsbegehren an die Verantwortliche gerichtet. Mit Schreiben vom 28.02.2023 habe der Datenschutzbeauftragte der Beschwerdegegnerin ein vom Vorstand der Bank unterzeichnetes Schreiben sowie einen Link zu einem Downloadbereich mit der Teilauskunft 1. übermittelt. Die Teilauskunft 1 habe nahezu keine Daten der Priorität 1 beinhaltet (Informationen zu vier Kreditengagements, die Gegenstand des zivilgerichtlichen Verfahrens sind und daher ohnehin aufbereitet waren; Protokolle von römisch 40 und römisch 40 sowie Schreiben an die Behörden wie Finanzmarktaufsicht und OeNB, in welchen der Beschwerdeführer genannt werde). Die Beschwerdegegnerin habe am 18.08.2023 einen neuen Downloadlink mit der Teilauskunft 2 übermittelt. Die Teilauskunft 2 habe im Wesentlichen die ursprünglich nicht lesbaren 406 Kopien zur Teilauskunft 1 beinhaltet, welche fast ausschließlich die Rolle des Beschwerdeführers als Kunden, aber nicht als Mitarbeiter betrfoffen hätten. Mit 15.05.2024 habe die Beschwerdegegnerin der belangten Behörde eine neuerliche Stellungnahme vorgelegt und tatsächlich im Rahmen der Teilauskunft 3 eine größere Menge von Daten/Kopien der Priorität 1 zur Verfügung gestellt. Zwar habe die Verantwortliche nun eine große Zahl von Kopien zur Verfügung gestellt, nach wie vor würden aber kritische Dokumente fehlen. Darüberhinaus habe der Beschwerdeführer der Beschwerdegegnerin über seinen Rechtsvertreter erklärt, dass die Behauptung, dass im Rechenzentrum bestimmte für den Prozess zentrale Daten zerstört worden seien, nicht stimmen könne, weil dies nicht nur gegen das seinem Rechtsvertreter im Detail bekannte Löschkonzept sowie den technischen Gegebenheiten widerspräche, sondern im Übrigen auch ein Bruch gesetzlicher Aufbewahrungspflichten und regulatorischer Bestimmungen sei. Zwei Tage später – am 13.06.2024 - habe die Beschwerdegegnerin ohne den Versuch irgendeiner Erklärung einen Teil der in der Vorkorrespondenz von der Beschwerdegegnerin als gelöscht bezeichneten Daten übermittelt. Diese Daten der Teilauskunft 4 seien allerdings wieder unvollständig, denn sie betreffen nur einen von vier (Kredit)Akten der laufenden zivilgerichtlichen Verfahren am Landesgericht römisch 40 . Die sechsmonatige Entscheidungsfrist der belangten Behörde sei am 23.11.2023 abgelaufen.
13. Die belangte Behörde legte mit Schreiben vom 11.10.2024 die Säumnisbeschwerde des Beschwerdeführers samt den bezughabenden Verwaltungsakt vor und beantragte, das Bundesverwaltungsgericht möge gemäß § 28 Abs. 7 VwGVG in der Sache selbst entscheiden, da der maßgebliche Sachverhalt feststehe.13. Die belangte Behörde legte mit Schreiben vom 11.10.2024 die Säumnisbeschwerde des Beschwerdeführers samt den bezughabenden Verwaltungsakt vor und beantragte, das Bundesverwaltungsgericht möge gemäß Paragraph 28, Absatz 7, VwGVG in der Sache selbst entscheiden, da der maßgebliche Sachverhalt feststehe.
14. Am 18.06.2025 fand eine mündliche Verhandlung statt, bei welcher der Beschwerdeführer zu seinen Beschwerdegründen befragt wurde und der Inhalt der einzelnen im Verfahren vor der belangten Behörde erstatteten Auskünfte erörtert wurde. Der Beschwerdegegnerin wurde eine Frist von vier Wochen zur vollständigen Erteilung der Auskunft gegeben.
15. Mit Schreiben vom 31.07.2025 erteilte die Beschwerdegegnerin eine ergänzende Stellungnahme. Bezüglich der ARCTIS Unterlagen führte sie aus, sie habe ergänzende Überziehungsanweisungen von Seiten des Rechenzentrums erhalten und diese umgehend an den Beschwerdeführer weitergeleitet. Weder für Anweisungen zu Anträgen für Überziehungen, noch zu Kreditanträgen sind Vorstandssitzungen (VoSi) im Prozess der Entscheidungsfindung vorgesehen. Es würden also keine VoSi-Protokolle zur Genehmigung der Kreditanträge oder Überziehungsanweisungen zu den gegenständlichen Kreditengagements, die dem Beschwerdeführer zur Verfügung gestellt werden könnten, existieren. Die Informationen an Kunden im Zusammenhang mit der Entlassung des Beschwerdeführers sowie die nachfolgende Korrespondenz würden dem Beschwerdeführer nunmehr zur Verfügung gestellt werden. Die Mitarbeiter der Beschwerdegegnerin seien per Mailnachricht darüber informiert worden, dass man sich vom Beschwerdeführer getrennt habe. Auch diese Nachricht werde hiermit übermittelt. Die ,,Sachverhaltsdarstellung“ in einem XXXX protokoll unterliege einem Geheimhaltungsinteresse. Die FMA-Korrespondenz werde mit entsprechenden Schwärzungen direkt zur Verfügung gestellt. 15. Mit Schreiben vom 31.07.2025 erte
