Entscheidungsdatum
12.12.2025Norm
BDG 1979 §280Spruch
,
W258 2247977-1/7E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundige Laienrichterin Mag.a Julia WEISS als Beisitzerin und den fachkundigen Laienrichter Gerhard RAUB als Beisitzer über die Beschwerde von XXXX , vertreten durch Dr. Hanspeter FEIX, Dr. Renate PALMA, Rechtsanwälte in 6020 Innsbruck, Anichstraße 17/III, (mitbeteiligte Partei vor dem Verwaltungsgericht: XXXX ), gegen den Bescheid der Datenschutzbehörde vom 27.09.2021, GZ XXXX , im Umlaufwege in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundige Laienrichterin Mag.a Julia WEISS als Beisitzerin und den fachkundigen Laienrichter Gerhard RAUB als Beisitzer über die Beschwerde von römisch 40 , vertreten durch Dr. Hanspeter FEIX, Dr. Renate PALMA, Rechtsanwälte in 6020 Innsbruck, Anichstraße 17/III, (mitbeteiligte Partei vor dem Verwaltungsgericht: römisch 40 ), gegen den Bescheid der Datenschutzbehörde vom 27.09.2021, GZ römisch 40 , im Umlaufwege in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:
A)
Der Beschwerde wird Folge gegeben und der Bescheid ersatzlos behoben.
B)
Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
1. Mit Eingabe vom 10.10.2019, verbessert mit Eingabe vom 04.12.2019, erhob die Beschwerdeführerin eine Datenschutzbeschwerde an die belangte Behörde und brachte zusammengefasst vor, die mitbeteiligte Partei habe sie in den Rechten auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie im Recht auf Geheimhaltung verletzt, indem diese diverse (unrichtige) Daten in ihrem Personalakt verarbeitet bzw nicht gelöscht habe.
2. Nach der Gewährung von Parteiengehör an die mitbeteiligte Partei und die Beschwerdeführerin wies die belangte Behörde die Datenschutzbeschwerde als gegen die mitbeteiligte Partei gerichtet mit Bescheid vom 27.09.2021 ab. Begründend führte sie aus, die Datenrichtigkeit sei bezogen auf den Verwendungszweck zu sehen. Die Dokumentation von Meinungen und Beurteilungen sei „richtig“, wenn sie die Meinung bzw Beurteilung korrekt wiedergebe. Die geltend gemachten Verletzungen in den Rechten auf Berichtigung, Löschung, Einschränkung der Verarbeitung liegen daher nicht vor. Im Übrigen liege die geltend gemachte Verletzung Recht auf Geheimhaltung aufgrund mangelhafter Datensicherheitsmaßnahmen nicht vor, weil die Beschwerdeführerin kein subjektives Recht habe, spezifische Datensicherheitsmaßnahmen von einem Verantwortlichen einzufordern.
3. Dagegen richtet sich die gegenständliche Beschwerde der Beschwerdeführerin vom 27.10.2021 wegen der Verletzung von Verfahrensvorschriften, Aktenwidrigkeit, unrichtiger rechtlicher Beurteilung und (verfassungs-)gesetzwidriger Anwendung des § 5 Abs 5 Bundesarchivgutverordnung. Die Beschwerdeführerin beantragte die Feststellung, in ihrem Grundrecht auf Datenschutz verletzt worden zu sein (lit a), die Feststellung, die mitbeteiligte Partei sei zur sofortigen Löschung der in Anhang 1 näher genannter Daten verpflichtet (lit b) und die Löschung dieser Daten (lit c), die Feststellung, die mitbeteiligte Partei sei zur Ergänzung des Personalakts um die in Anhang 2 genannte Daten zu ergänzen (lit d) und der mitbeteiligte Partei die Ergänzung des Personalaktes um diese Daten aufzutragen (lit e) und hinsichtlich der in Anhang 1 genannten Daten zumindest bis zu ihrer endgültigen Löschung der mitbeteiligten Partei die Einschränkung ihre Verarbeitung aufzutragen, bzw falls das aus technischen Gründen nicht möglich sein sollte, die Anbringung eines Bestreitungsvermerks aufzutragen. In eventu begehrte sie, den Bescheid gemäß Art 28 Abs 3 VwGVG aufzuheben und an die belangte Behörde zurückzuverweisen.3. Dagegen richtet sich die gegenständliche Beschwerde der Beschwerdeführerin vom 27.10.2021 wegen der Verletzung von Verfahrensvorschriften, Aktenwidrigkeit, unrichtiger rechtlicher Beurteilung und (verfassungs-)gesetzwidriger Anwendung des Paragraph 5, Absatz 5, Bundesarchivgutverordnung. Die Beschwerdeführerin beantragte die Feststellung, in ihrem Grundrecht auf Datenschutz verletzt worden zu sein (Litera a,), die Feststellung, die mitbeteiligte Partei sei zur sofortigen Löschung der in Anhang 1 näher genannter Daten verpflichtet (Litera b,) und die Löschung dieser Daten (Litera c,), die Feststellung, die mitbeteiligte Partei sei zur Ergänzung des Personalakts um die in Anhang 2 genannte Daten zu ergänzen (Litera d,) und der mitbeteiligte Partei die Ergänzung des Personalaktes um diese Daten aufzutragen (Litera e,) und hinsichtlich der in Anhang 1 genannten Daten zumindest bis zu ihrer endgültigen Löschung der mitbeteiligten Partei die Einschränkung ihre Verarbeitung aufzutragen, bzw falls das aus technischen Gründen nicht möglich sein sollte, die Anbringung eines Bestreitungsvermerks aufzutragen. In eventu begehrte sie, den Bescheid gemäß Artikel 28, Absatz 3, VwGVG aufzuheben und an die belangte Behörde zurückzuverweisen.
Begründend führte sie zusammengefasst aus, Personalakten hätten den Zweck, ein möglichst vollständiges, wahrheitsgemäßes und sorgfältiges Bild über das Dienstverhältnis zu geben. Eine bloße Dokumentation von E-Mailverkehr greife zu kurz, weil daraus ein unrichtiges Bild über die Person der Beschwerdeführerin, deren Charakter, Arbeitseinstellung und berufliche Qualifikation entstehen könne. Da das Dienstverhältnis bereits seit vielen Jahren beendet sei, gebe es keine Rechtfertigung für eine weitere Verarbeitung.
4. Die belangte Behörde legte die Beschwerde unter Anschluss des Verwaltungsakts mit Schriftsatz vom 29.10.2021, hg eingelangt am 05.11.2021, vor und beantragte die Beschwerde abzuweisen.
Beweis wurde erhoben durch Einsichtnahme in den Verwaltungsakt.
II. Das Bundesverwaltungsgericht hat erwogen:römisch zwei. Das Bundesverwaltungsgericht hat erwogen:
1. Der folgende Sachverhalt steht fest:
1.1. Das folgende Vorbringen der Beschwerdeführerin wird als wahr unterstellt und dem Sachverhalt zu Grunde gelegt (Schreiben vom 04.12.2019, S 2 f; Verwaltungsakt, OZ 1, S 214 f):
„Die Beschwerdeführerin war vom XXXX bis XXXX als Vertragsbedienstete als Lehrerin an der Bundeshandelsakademie und Bundeshandelsschule XXXX tätig. […]„Die Beschwerdeführerin war vom römisch 40 bis römisch 40 als Vertragsbedienstete als Lehrerin an der Bundeshandelsakademie und Bundeshandelsschule römisch 40 tätig. […]
Mit Schreiben des XXXX vom 27.04.2018 wurde der Beschwerdeführerin ein Dauervertrag angeboten.Mit Schreiben des römisch 40 vom 27.04.2018 wurde der Beschwerdeführerin ein Dauervertrag angeboten.
[…]
8. Sie verzichtete auf diesen Dauervertrag und schied mit Ablauf des befristeten Dienstverhältnisses aus dem Dienstverhältnis aus.“
1.2. Die anwaltlich vertretene Beschwerdeführerin forderte die mitbeteiligte Partei mit Schreiben vom 23.01.2019 auf, ihren Personalakt zu bereinigen (Schreiben vom 23.01.2019, Verwaltungsakt, OZ 1, S 23 ff), was die mitbeteiligte Partei mit Schreiben vom 12.02.2019 aus inhaltlichen Gründen abgelehnt hat. Das Schreiben wies als Absender die XXXX aus und war für den XXXX gezeichnet (Schreiben vom 12.02.2019, Verwaltungsakt, OZ 1, S 27 f).1.2. Die anwaltlich vertretene Beschwerdeführerin forderte die mitbeteiligte Partei mit Schreiben vom 23.01.2019 auf, ihren Personalakt zu bereinigen (Schreiben vom 23.01.2019, Verwaltungsakt, OZ 1, S 23 ff), was die mitbeteiligte Partei mit Schreiben vom 12.02.2019 aus inhaltlichen Gründen abgelehnt hat. Das Schreiben wies als Absender die römisch 40 aus und war für den römisch 40 gezeichnet (Schreiben vom 12.02.2019, Verwaltungsakt, OZ 1, S 27 f).
Mit Schreiben der Beschwerdeführerin an die XXXX vom 29.07.2019, beantragte die Beschwerdeführerin ua, bestimmte Teile aus ihrem Personalakt zu löschen und sie einschränkend zu bearbeiten, erhob hinsichtlich dieser Teile Widerspruch zu Datenverarbeitung und beantragte, den Personalakt um weitere Teile zu ergänzen. Die Aktenteile datieren dabei zum Teil vor dem 25.05.2018 (Schreiben vom 29.07.2019, Verwaltungsakt, OZ 1, S 29 ff).Mit Schreiben der Beschwerdeführerin an die römisch 40 vom 29.07.2019, beantragte die Beschwerdeführerin ua, bestimmte Teile aus ihrem Personalakt zu löschen und sie einschränkend zu bearbeiten, erhob hinsichtlich dieser Teile Widerspruch zu Datenverarbeitung und beantragte, den Personalakt um weitere Teile zu ergänzen. Die Aktenteile datieren dabei zum Teil vor dem 25.05.2018 (Schreiben vom 29.07.2019, Verwaltungsakt, OZ 1, S 29 ff).
1.3. Mit Datenschutzbeschwerde an die Datenschutzbehörde vom 10.10.2019 brachte die anwaltlich vertretene Beschwerdeführerin vor wie folgt (Datenschutzbeschwerde vom 10.10.2019, Verwaltungsakt, OZ 1, S 7 ff):
„[…]
Beschwerdegegnerin: XXXX Beschwerdegegnerin: römisch 40
XXXX römisch 40
wegen: Säumnis und Verletzung von Grundrechten
Beschwerde
[…]
II. Beschwerderömisch zwei. Beschwerde
Die Beschwerdeführerin erhebt gegen die XXXX wegen Säumnis der XXXX bei der Behandlung der Anträge laut Schreiben vom 29.7.2019 sowie gemäß Art 77 DSGVO bzw § 24 DSG wegen mehrerer Verletzungen im Grundrecht auf Geheimhaltung gemäß § 1 Abs 1 DSG Die Beschwerdeführerin erhebt gegen die römisch 40 wegen Säumnis der römisch 40 bei der Behandlung der Anträge laut Schreiben vom 29.7.2019 sowie gemäß Artikel 77, DSGVO bzw Paragraph 24, DSG wegen mehrerer Verletzungen im Grundrecht auf Geheimhaltung gemäß Paragraph eins, Absatz eins, DSG
Beschwerde
an die Datenschutzbehörde.
Die Beschwerdegegnerin hat bei der Verarbeitung der personenbezogenen Daten der Beschwerdeführerin, insbesondere der in Anhang l angeführten Daten, gegen das Grundrecht der Beschwerdeführerin auf Geheimhaltung gemäß § 1 Abs 1 DSGVO verstoßen, indem sie insbesondere Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art 5 DSGVO und die Rechtmäßigkeit der Verarbeitung gemäß Art 6 bzw 9 DSGVO nicht beachtet hat. Weiters hat die Beschwerdegegnerin insbesondere auch gegen die Rechte der Beschwerdeführerin auf Berichtigung der sie betreffenden unrichtigen personenbezogenen Daten (Art 16 DSGVO), auf Löschung der gegen ihren Willen verarbeiteten und auch unrichtigen Daten (Art 17 DSGVO), auf Einschränkung der Verarbeitung der in „Anhang 1“ genannten Daten (Art 18 DSGVO) sowie auf Berücksichtigung des Widerspruchrechts der Beschwerdeführerin (Art 21 DSGVO) verstoßen.Die Beschwerdegegnerin hat bei der Verarbeitung der personenbezogenen Daten der Beschwerdeführerin, insbesondere der in Anhang l angeführten Daten, gegen das Grundrecht der Beschwerdeführerin auf Geheimhaltung gemäß Paragraph eins, Absatz eins, DSGVO verstoßen, indem sie insbesondere Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5, DSGVO und die Rechtmäßigkeit der Verarbeitung gemäß Artikel 6, bzw 9 DSGVO nicht beachtet hat. Weiters hat die Beschwerdegegnerin insbesondere auch gegen die Rechte der Beschwerdeführerin auf Berichtigung der sie betreffenden unrichtigen personenbezogenen Daten (Artikel 16, DSGVO), auf Löschung der gegen ihren Willen verarbeiteten und auch unrichtigen Daten (Artikel 17, DSGVO), auf Einschränkung der Verarbeitung der in „Anhang 1“ genannten Daten (Artikel 18, DSGVO) sowie auf Berücksichtigung des Widerspruchrechts der Beschwerdeführerin (Artikel 21, DSGVO) verstoßen.
[…]
III. Sachverhaltrömisch drei. Sachverhalt
Die Beschwerdeführerin stand bis 9. 9.2018 als Vertragsbedienstete in einem privatrechtlichen Dienstverhältnis zum XXXX (seit 1. 1.2019 XXXX ). Nach Beendigung des Dienstverhältnisses hat die Beschwerdeführerin ihren ehemaligen Arbeitgeber zur Durchführung einer Akteneinsicht um Übermittlung ihres Personalaktes gebeten. Daraufhin wurden der Beschwerdeführerin Teile des Personalaktes samt Schreiben vom 29. 10. 2018 per Post übermittelt. Diese Schriftstücke hat die Beschwerdeführerin am 2. 11.2018 erhalten. Mit Schreiben vom 23. 1.2019 samt Anhang l forderte die Beschwerdeführerin durch die aus-gewiesenen Rechtsvertreter erstmals die Löschung unrichtiger und nicht mehr nötiger Daten aus dem Personalakt. Die XXXX erklärte sich jedoch laut Schreiben vom 12. 2. 2019 nicht bereit, die Daten der Beschwerdeführerin zu löschen. Mit Schreiben vom 29.7.2019 samt Anhang l und Anhang 2, der XXXX zugestellt mit E-Mail vom 1.8.2019, hat die Beschwerdeführerin ausdrücklich Widerspruch zur Verarbeitung der in Anhang l genannten personenbezogenen Daten erklärt und die XXXX nochmals zur Löschung der in Anhang l zu diesem Schreiben angeführten Daten, zur Ergänzung um die in Anhang 2 zu diesem Schreiben angeführten Daten bis zur endgültigen Löschung und zur eingeschränkten Verarbeitung dieser Daten bis zur endgültigen Löschung aufgefordert, sowie um Auskunft gebeten, falls keine sofortige Löschung durchgeführt wird, warum dies nicht gemacht wird und wann mit der endgültigen Löschung der Daten zu rechnen ist. Bis dato hat die XXXX auf das Schreiben vom 29. 7.2019 nicht reagiert und ist damit säumig,Die Beschwerdeführerin stand bis 9. 9.2018 als Vertragsbedienstete in einem privatrechtlichen Dienstverhältnis zum römisch 40 (seit 1. 1.2019 römisch 40 ). Nach Beendigung des Dienstverhältnisses hat die Beschwerdeführerin ihren ehemaligen Arbeitgeber zur Durchführung einer Akteneinsicht um Übermittlung ihres Personalaktes gebeten. Daraufhin wurden der Beschwerdeführerin Teile des Personalaktes samt Schreiben vom 29. 10. 2018 per Post übermittelt. Diese Schriftstücke hat die Beschwerdeführerin am 2. 11.2018 erhalten. Mit Schreiben vom 23. 1.2019 samt Anhang l forderte die Beschwerdeführerin durch die aus-gewiesenen Rechtsvertreter erstmals die Löschung unrichtiger und nicht mehr nötiger Daten aus dem Personalakt. Die römisch 40 erklärte sich jedoch laut Schreiben vom 12. 2. 2019 nicht bereit, die Daten der Beschwerdeführerin zu löschen. Mit Schreiben vom 29.7.2019 samt Anhang l und Anhang 2, der römisch 40 zugestellt mit E-Mail vom 1.8.2019, hat die Beschwerdeführerin ausdrücklich Widerspruch zur Verarbeitung der in Anhang l genannten personenbezogenen Daten erklärt und die römisch 40 nochmals zur Löschung der in Anhang l zu diesem Schreiben angeführten Daten, zur Ergänzung um die in Anhang 2 zu diesem Schreiben angeführten Daten bis zur endgültigen Löschung und zur eingeschränkten Verarbeitung dieser Daten bis zur endgültigen Löschung aufgefordert, sowie um Auskunft gebeten, falls keine sofortige Löschung durchgeführt wird, warum dies nicht gemacht wird und wann mit der endgültigen Löschung der Daten zu rechnen ist. Bis dato hat die römisch 40 auf das Schreiben vom 29. 7.2019 nicht reagiert und ist damit säumig,
[…]“
1.4. Mit Schreiben vom 04.12.2019 führte sie ergänzend aus (Schreiben vom 04.12.2019, Verwaltungsakt, OZ 1, S 213 ff):
„I.1. Hintergrund des Konfliktes an der Schule:
1. Die Beschwerdeführerin unterrichtete während ihres privatrechtlichen Dienstverhältnisses zum XXXX seit XXXX (nunmehr XXXX ) an der Bundeshandelsakademie und der Bundeshandelsschule XXXX . Ihr Dienstvertrag war bis XXXX befristet. […]1. Die Beschwerdeführerin unterrichtete während ihres privatrechtlichen Dienstverhältnisses zum römisch 40 seit römisch 40 (nunmehr römisch 40 ) an der Bundeshandelsakademie und der Bundeshandelsschule römisch 40 . Ihr Dienstvertrag war bis römisch 40 befristet. […]
I.2. Die Rechtsverletzung wird insbesondere aus folgenden Sachverhalten abgeleitet:römisch eins.2. Die Rechtsverletzung wird insbesondere aus folgenden Sachverhalten abgeleitet:
? Zum einen wurden von der Beschwerdegegnerin Aktenstücke zum Personalakt genommen, die nicht in den Personalakt aufgenommen werden hätten dürfen, weil diese personenbezogene Daten der Beschwerdeführerin enthalten, die nicht richtig sind und den guten Ruf und das berufliche Fortkommen der Beschwerdeführerin als Lehrerin schädigen. Diese sind in Anhang 1 aufgelistet. […]
Weiters enthalten die in Anhang I angeführten Aktenstücke […] konkrete – aber falsche – Informationen und Daten über den von der Beschwerdeführerin geführten Unterricht, über ihre Persönlichkeit und über ihr Verhalten gegenüber Vorgesetzten und Schülern. […]Weiters enthalten die in Anhang römisch eins angeführten Aktenstücke […] konkrete – aber falsche – Informationen und Daten über den von der Beschwerdeführerin geführten Unterricht, über ihre Persönlichkeit und über ihr Verhalten gegenüber Vorgesetzten und Schülern. […]
? Zum anderen hätten die in Anhang I angeführten Aktenstücke […] spätestens bei Beendigung des Dienstverhältnisses aus dem Personalakt entfernt werden müssen. […]“? Zum anderen hätten die in Anhang römisch eins angeführten Aktenstücke […] spätestens bei Beendigung des Dienstverhältnisses aus dem Personalakt entfernt werden müssen. […]“
1.5. Das Vorbringen in der Datenschutzbeschwerde vom 10.10.2019 in der Fassung vom 04.12.2019 bezieht sich ausschließlich auf behauptete Datenschutzverletzungen durch die mitbeteiligte Partei (Datenschutzbeschwerde vom 10.10.2019, Verwaltungsakt, OZ 1, S 7 ff; Schreiben vom 04.12.2019, Verwaltungsakt, OZ 1, S 213 ff).
1.6. Der unter Punkt I.2. geschilderte Verfahrensgang zum gegenständlichen Bescheid steht fest (Parteiengehöre (Verwaltungsakt, OZ 1, S 3, etwa S 339 ff) und Bescheid vom 27.09.2021, Verwaltungsakt, OZ 1, S 643 ff).1.6. Der unter Punkt römisch eins.2. geschilderte Verfahrensgang zum gegenständlichen Bescheid steht fest (Parteiengehöre (Verwaltungsakt, OZ 1, S 3, etwa S 339 ff) und Bescheid vom 27.09.2021, Verwaltungsakt, OZ 1, S 643 ff).
2. Die Feststellungen gründen in der folgenden Beweiswürdigung:
2.1. Die Wahrunterstellung gründet in den zitierten Stellen des Verwaltungsakts.
2.2. Die Feststellungen zu den Schreiben der Beschwerdeführerin bzw. der mitbeteiligten Partei und dem Bescheid (1.2. bis 1.6.) gründen in den jeweils zitierten Stellen des Verwaltungsakts.
3. Rechtlich folgt daraus:
Zu A)
Die Beschwerde ist zulässig. Sie ist allerdings nicht berechtigt.
Die Beschwerdeführerin erachtet sich dadurch in ihren Rechten auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Geheimhaltung verletzt, weil die mitbeteiligte Partei sie betreffende Informationen in ihrem Personalakt, nämlich diverse E-Mails, Schriftverkehr und Aktenvermerke des Direktors bzw des Landesschulinspektors sowie Schülerbeschwerden, in ihrem Personalakt archiviert, nicht berichtigt, nicht löscht, nicht ergänzt, keinen Bestreitungsvermerk anbringt, die Verarbeitung nicht einschränkt und keine entsprechenden Datensicherheitsmaßnahmen ergriffen hat.
3.1. Zur anwendbaren Rechtslage:
Der Sachverhalt bezieht sich in Bezug auf die Behauptung, wonach die Beschwerdeführerin dadurch vom Beschwerdegegner in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt worden ist, indem er Urkunden zum Personalakt der Beschwerdeführerin genommen habe, die unrichtig seien, auf Urkunden, die vor dem 25.05.2018 entstanden sind. Soweit sich die Datenschutzbeschwerde auf die Speicherung dieser Daten, nicht ausreichende Datenschutz- und Datensicherheitsmaßnahmen sowie auf die nicht erfolgte Löschung bzw. den nicht berücksichtigten Widerspruch zur Datenverarbeitung bezieht, dauert die behauptete Rechtsverletzung noch an.Der Sachverhalt bezieht sich in Bezug auf die Behauptung, wonach die Beschwerdeführerin dadurch vom Beschwerdegegner in seinem Recht auf Geheimhaltung gemäß Paragraph eins, DSG verletzt worden ist, indem er Urkunden zum Personalakt der Beschwerdeführerin genommen habe, die unrichtig seien, auf Urkunden, die vor dem 25.05.2018 entstanden sind. Soweit sich die Datenschutzbeschwerde auf die Speicherung dieser Daten, nicht ausreichende Datenschutz- und Datensicherheitsmaßnahmen sowie auf die nicht erfolgte Löschung bzw. den nicht berücksichtigten Widerspruch zur Datenverarbeitung bezieht, dauert die behauptete Rechtsverletzung noch an.
Es ist daher in einem ersten Schritt zu prüfen, welche Rechtslage auf die jeweiligen Sachverhalte anzuwenden ist:
Seit der Erstellung diversen Urkunden die zu Unrecht in den Personalakt der Beschwerdeführerin aufgenommen worden sein sollen, hat sich die Rechtslage durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (in Folge „DSGVO“) und das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I. Nr. 120/2017, zuletzt geändert durch BGBl. I. Nr. 70/2024, geändert. Übergangsbestimmungen finden sich unter anderem in § 69 Abs 5 DSG, wonach Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens des DSG noch nicht anhängig gemacht wurden, nach der Rechtslage nach Inkrafttreten des DSG zu beurteilen sind (vgl. VwGH 27.03.2025, Ro 2022/04/0023, 5.1. f).Seit der Erstellung diversen Urkunden die zu Unrecht in den Personalakt der Beschwerdeführerin aufgenommen worden sein sollen, hat sich die Rechtslage durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (in Folge „DSGVO“) und das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), Bundesgesetzblatt römisch eins. Nr. 120 aus 2017,, zuletzt geändert durch Bundesgesetzblatt römisch eins. Nr. 70 aus 2024,, geändert. Übergangsbestimmungen finden sich unter anderem in Paragraph 69, Absatz 5, DSG, wonach Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens des DSG noch nicht anhängig gemacht wurden, nach der Rechtslage nach Inkrafttreten des DSG zu beurteilen sind vergleiche VwGH 27.03.2025, Ro 2022/04/0023, 5.1. f).
Zwar geht aus den Feststellungen nicht hervor, ob die Urkunden, die bereits vor dem 25.05.2018 erstellt worden sind, auch vor dem 25.05.2018 in den Personalakt aufgenommen worden sind. Darauf kommt es aber nicht an, weil das Beschwerdeverfahren bei der Datenschutzbehörde frühestens am 10.10.2019 anhängig geworden ist, dh nachdem das DSG idF BGBl. I. Nr. 120/2017 in Geltung getreten ist. Sie hatte daher hinsichtlich aller Verarbeitungsvorgänge gemäß § 69 Abs 5 DSG die neue Rechtslage, das heißt die DSGVO und das DSG, anzuwenden, weshalb auch das erkennende Gericht die neue Rechtslage anzuwenden hat.Zwar geht aus den Feststellungen nicht hervor, ob die Urkunden, die bereits vor dem 25.05.2018 erstellt worden sind, auch vor dem 25.05.2018 in den Personalakt aufgenommen worden sind. Darauf kommt es aber nicht an, weil das Beschwerdeverfahren bei der Datenschutzbehörde frühestens am 10.10.2019 anhängig geworden ist, dh nachdem das DSG in der Fassung Bundesgesetzblatt römisch eins. Nr. 120 aus 2017, in Geltung getreten ist. Sie hatte daher hinsichtlich aller Verarbeitungsvorgänge gemäß Paragraph 69, Absatz 5, DSG die neue Rechtslage, das heißt die DSGVO und das DSG, anzuwenden, weshalb auch das erkennende Gericht die neue Rechtslage anzuwenden hat.
3.2. Zur Verantwortlichkeit nach Art 4 Z 7 DSGVO:3.2. Zur Verantwortlichkeit nach Artikel 4, Ziffer 7, DSGVO:
Etwaige Verletzungen in den Rechten auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Geheimhaltung haben aber nur jene Personen zu vertreten, die für die Datenverarbeitung Verantwortliche iSd Art 4 Z 7 DSGVO sind.Etwaige Verletzungen in den Rechten auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Geheimhaltung haben aber nur jene Personen zu vertreten, die für die Datenverarbeitung Verantwortliche iSd Artikel 4, Ziffer 7, DSGVO sind.
Es ist daher in einem zweiten Schritt zu prüfen, ob die von der Beschwerdeführerin bezeichnete Beschwerdegegnerin auch für die beschwerdegegenständlichen Datenverarbeitungen verantwortlich ist:
Gemäß Art 4 Z 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.Gemäß Artikel 4, Ziffer 7, DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Wird ein Verantwortlicher durch nationales Recht vorgegeben, so ist er alleine verantwortlich, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen (in Bezug auf eine Verantwortlichkeit für die Einhaltung der in Art 5 Abs 1 DSGVO genannten Grundsätze ausdrücklich EuGH 11.01.2024, C-231/22, Belgischer Staat, Rz 52).Wird ein Verantwortlicher durch nationales Recht vorgegeben, so ist er alleine verantwortlich, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen (in Bezug auf eine Verantwortlichkeit für die Einhaltung der in Artikel 5, Absatz eins, DSGVO genannten Grundsätze ausdrücklich EuGH 11.01.2024, C-231/22, Belgischer Staat, Rz 52).
3.2.1. Zur Benennung des Verantwortlichen nach nationalem Recht:
Gemäß § 280 Abs 1 Z 1 BDG sind die Leiterinnen und Leiter der Zentralstellen als jeweils Verantwortlicher gemäß Art 4 Z 7 DSGVO für den Wirkungsbereich des jeweiligen Ressorts ermächtigt, die dienstrechtlichen, arbeits- und sozialrechtlichen, haushaltsrechtlichen, besoldungsrechtlichen, pensionsrechtlichen, organisationsbezogenen, ausbildungsbezogenen und sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden personenbezogenen Daten von Personen, die ua in einem Dienstverhältnis zum Bund stehen, gestanden sind oder die Aufnahme in ein solches Rechtsverhältnis anstreben, im Sinne des Art 4 Z 2 DSGVO zu verarbeiten.Gemäß Paragraph 280, Absatz eins, Ziffer eins, BDG sind die Leiterinnen und Leiter der Zentralstellen als jeweils Verantwortlicher gemäß Artikel 4, Ziffer 7, DSGVO für den Wirkungsbereich des jeweiligen Ressorts ermächtigt, die dienstrechtlichen, arbeits- und sozialrechtlichen, haushaltsrechtlichen, besoldungsrechtlichen, pensionsrechtlichen, organisationsbezogenen, ausbildungsbezogenen und sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden personenbezogenen Daten von Personen, die ua in einem Dienstverhältnis zum Bund stehen, gestanden sind oder die Aufnahme in ein solches Rechtsverhältnis anstreben, im Sinne des Artikel 4, Ziffer 2, DSGVO zu verarbeiten.
Der Anwendungsbereich von § 280 BDG erstreckt sich abweichend von § 1 BDG auf alle in § 280 Abs 1 genannten betroffenen Personen (siehe § 280 Abs 8 BDG; bzw ErläutRV 65 BlgNR 26. GP 14), das sind ua (alle) Personen, die in einem Dienstverhältnis zum Bund stehen oder gestanden sind, und damit auch auf aktuelle und ehemalige Vertragsbedienstete.Der Anwendungsbereich von Paragraph 280, BDG erstreckt sich abweichend von Paragraph eins, BDG auf alle in Paragraph 280, Absatz eins, genannten betroffenen Personen (siehe Paragraph 280, Absatz 8, BDG; bzw ErläutRV 65 BlgNR 26. Gesetzgebungsperiode 14), das sind ua (alle) Personen, die in einem Dienstverhältnis zum Bund stehen oder gestanden sind, und damit auch auf aktuelle und ehemalige Vertragsbedienstete.
Für den vorliegenden Fall bedeutet das:
Die Beschwerdeführerin war Vertragsbedienstete an der Bundes XXXX XXXX , eine berufsbildende mittlere (§ 64 Abs 2 3. Fall SchOG) bzw. berufsbildende höhere Bundesschule (§ 82 Abs 2 4. Fall SchOG). Die Beschwerdeführerin stand damit als Vertragslehrerin an einer Bundesschule in einem Dienstverhältnis zum Bund. Gegenständlich sind Datenverarbeitungen, die die XXXX auf Grund des Dienstverhältnisses des Bundes mit der Beschwerdeführerin vorgenommen hat, nämlich die Aufnahme von diversen Anschuldigungen, Schülerbeschwerden und den damit im Zusammenhang stehenden Schriftverkehr ihres Dienstvorgesetzten und die Nichtaufnahme von der Beschwerdeführerin begehrte Urkunden in ihren Personalakt.Die Beschwerdeführerin war Vertragsbedienstete an der Bundes römisch 40 römisch 40 , eine berufsbildende mittlere (Paragraph 64, Absatz 2, 3. Fall SchOG) bzw. berufsbildende höhere Bundesschule (Paragraph 82, Absatz 2, 4. Fall SchOG). Die Beschwerdeführerin stand damit als Vertragslehrerin an einer Bundesschule in einem Dienstverhältnis zum Bund. Gegenständlich sind Datenverarbeitungen, die die römisch 40 auf Grund des Dienstverhältnisses des Bundes mit der Beschwerdeführerin vorgenommen hat, nämlich die Aufnahme von diversen Anschuldigungen, Schülerbeschwerden und den damit im Zusammenhang stehenden Schriftverkehr ihres Dienstvorgesetzten und die Nichtaufnahme von der Beschwerdeführerin begehrte Urkunden in ihren Personalakt.
Damit ist auf Verarbeitungen sie betreffender personenbezogener Daten, die im Zusammenhang mit ihrem Dienstverhältnis stehen, § 280 BDG einschlägig. Nach dieser Bestimmung sind die Leiterinnen und Leiter der Zentralstellen Verantwortliche iSd Art 4 Z 7 DSGVO in Bezug auf die Verarbeitung der dienstrechtlichen und sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden personenbezogenen Daten von Personen, die ua in einem Dienstverhältnis zum Bund stehen, gestanden sind. Das ist der Bundesminister für Bildung (Anlage zu § 2 Teil 1 Z 3 und 9 iVm Teil 2 E. Z 2. Bundesministeriengesetz 1986).Damit ist auf Verarbeitungen sie betreffender personenbezogener Daten, die im Zusammenhang mit ihrem Dienstverhältnis stehen, Paragraph 280, BDG einschlägig. Nach dieser Bestimmung sind die Leiterinnen und Leiter der Zentralstellen Verantwortliche iSd Artikel 4, Ziffer 7, DSGVO in Bezug auf die Verarbeitung der dienstrechtlichen und sonstigen mit dem Rechtsverhältnis in unmittelbarem Zusammenhang stehenden personenbezogenen Daten von Personen, die ua in einem Dienstverhältnis zum Bund stehen, gestanden sind. Das ist der Bundesminister für Bildung (Anlage zu Paragraph 2, Teil 1 Ziffer 3 und 9 in Verbindung mit Teil 2 E. Ziffer 2, Bundesministeriengesetz 1986).
Eine gemeinsame Verantwortlichkeit iSd Art 26 Abs 1 DSGVO des Leiters der Zentralstelle mit der XXXX lässt sich aus dem Gesetz nicht ableiten. Eine gemeinsame Verantwortlichkeit iSd Artikel 26, Absatz eins, DSGVO des Leiters der Zentralstelle mit der römisch 40 lässt sich aus dem Gesetz nicht ableiten.
Zwischenergebnis: Der Bundesminister für Bildung ist für die von der Beschwerdeführerin in ihrer Datenschutzbeschwerde vorgebrachte Verarbeitung alleiniger Verantwortlicher iSd Art 4 Z 7 DSGVO.Zwischenergebnis: Der Bundesminister für Bildung ist für die von der Beschwerdeführerin in ihrer Datenschutzbeschwerde vorgebrachte Verarbeitung alleiniger Verantwortlicher iSd Artikel 4, Ziffer 7, DSGVO.
3.2.2. Zur Auswirkung einer unrichtigen Bezeichnung des Beschwerdegegners:
Die Beschwerdeführerin hat damit in ihrer Datenschutzbeschwerde mit der XXXX einen Beschwerdegegner bezeichnet, der für die geltend gemachte Verarbeitung nicht Verantwortlicher ist.Die Beschwerdeführerin hat damit in ihrer Datenschutzbeschwerde mit der römisch 40 einen Beschwerdegegner bezeichnet, der für die geltend gemachte Verarbeitung nicht Verantwortlicher ist.
Der Verwaltungsgerichtshof hat sich bereits mehrfach mit der Frage auseinandergesetzt, wie vorzugehen ist, wenn der Beschwerdeführer in einer Datenschutzbeschwerde jemanden als Beschwerdegegner benennt, der tatsächlich nicht Verantwortlicher für die Datenverarbeitungen ist. So hat er in VwGH 05.06.2025, Ra 2024/04/0008, Rn 26 ff – die möglichen Fallvarianten abdeckend – ausgeführt:
„26 Das aufgrund einer Datenschutzbeschwerde geführte Verfahren ist ein antragsgebundenes Verfahren. Grundsätzlich liegt die Benennung des Beschwerdegegners (somit der Person, die Adressat des beantragten Bescheides der DSB sein soll) in der Disposition des Antragstellers (somit der betroffenen Person, die eine Datenschutzbeschwerde erhebt). In den Fällen, in denen die betroffene Person in ihrem Antrag unmissverständlich bzw. unzweifelhaft eine bestimmte Person als Verantwortlichen benennt, besteht für die DSB daher keine Möglichkeit, das Verfahren gegen eine andere Person zu führen. Eine solche Konstellation liegt auch dann vor, wenn der Antragsteller auf Vorhalt einer missverständlichen Bezeichnung des datenschutzrechtlich Verantwortlichen durch die DSB auf der Verfahrensführung gegen einen bestimmten Beschwerdegegner beharrt.
27 Von der allgemeinen Grundregel der Antragsgebundenheit normiert § 24 Abs. 2 Z 2 DSG insofern eine Abweichung, als die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (somit des Beschwerdegegners), in der Datenschutzbeschwerde nur zu erfolgen hat, „soweit dies zumutbar ist“. Da diese Abweichung an die „Unzumutbarkeit der Benennung“ anknüpft, hat die DSB zu beurteilen, ob dem Antragsteller die Benennung des Beschwerdegegners zumutbar ist. Wird dies bejaht, dann ist dieser Fall der in Rn. 26 dargestellten Konstellation gleichzuhalten. Auch in diesem Fall hat die DSB daher das Verfahren gegen den in der Datenschutzbeschwerde benannten Beschwerdegegner zu führen bzw. - sollte die Benennung des Beschwerdegegners fehlen oder unklar sein - den Antragsteller zur Behebung dieses Mangels auffordern (siehe zu Letzterem auch VwGH 3.9.2024, Ra 2023/04/0092, Rn. 37).27 Von der allgemeinen Grundregel der Antragsgebundenheit normiert Paragraph 24, Absatz 2, Ziffer 2, DSG insofern eine Abweichung, als die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (somit des Beschwerdegegners), in der Datenschutzbeschwerde nur zu erfolgen hat, „soweit dies zumutbar ist“. Da diese Abweichung an die „Unzumutbarkeit der Benennung“ anknüpft, hat die DSB zu beurteilen, ob dem Antragsteller die Benennung des Beschwerdegegners zumutbar ist. Wird dies bejaht, dann ist dieser Fall der in Rn. 26 dargestellten Konstellation gleichzuhalten. Auch in diesem Fall hat die DSB daher das Verfahren gegen den in der Datenschutzbeschwerde benannten Beschwerdegegner zu führen bzw. - sollte die Benennung des Beschwerdegegners fehlen oder unklar sein - den Antragsteller zur Behebung dieses Mangels auffordern (siehe zu Letzterem auch VwGH 3.9.2024, Ra 2023/04/0092, Rn. 37).
28 Ausweislich der dargestellten Regelung des § 24 Abs. 2 Z 2 DSG kann es aber Konstellationen geben, in denen dem Antragsteller die Benennung des Verantwortlichen nicht zumutbar ist. Im Fall einer solchen Unzumutbarkeit hat die DSB eine berichtigende Auslegung der Bezeichnung des Beschwerdegegners vorzunehmen bzw. den datenschutzrechtlich Verantwortlichen - somit den ihrer Ansicht nach „richtigen“ Beschwerdegegner - nach entsprechenden Ermittlungen selbst ausfindig zu machen (siehe dazu VwGH 3.9.2024, Ra 2023/04/0092, Rn. 24 f, 36).28 Ausweislich der dargestellten Regelung des Paragraph 24, Absatz 2, Ziffer 2, DSG kann es aber Konstellationen geben, in denen dem Antragsteller die Benennung des Verantwortlichen nicht zumutbar ist. Im Fall einer solchen Unzumutbarkeit hat die DSB eine berichtigende Auslegung der Bezeichnung des Beschwerdegegners vorzunehmen bzw. den datenschutzrechtlich Verantwortlichen - somit den ihrer Ansicht nach „richtigen“ Beschwerdegegner - nach entsprechenden Ermittlungen selbst ausfindig zu machen (siehe dazu VwGH 3.9.2024, Ra 2023/04/0092, Rn. 24 f, 36).
29 Grundsätzlich ist daher wie folgt vorzugehen: Die DSB hat zu beurteilen, ob die Benennung des Beschwerdegegners in der Datenschutzbeschwerde unmissverständlich erfolgt ist bzw. ob sie in der vorliegenden Konstellation grundsätzlich zumutbar war. Werden beide Fragen verneint, hat die DSB in der in Rn. 28 skizzierten Weise vorzugehen. Da die Benennung des Beschwerdegegners aber letztlich in der Disposition des Antragstellers liegt, hat die DSB diesem ihre Ermittlungsergebnisse und ihre Rechtsansicht vorzuhalten. Wenn die DSB nämlich an eine unmissverständliche Benennung des Beschwerdegegners gebunden ist, dann muss dem Antragsteller die Möglichkeit zustehen, auf einer Verfahrensführung gegen die von ihm namhaft gemachte Person zu beharren. Alternativ dazu steht dem Antragsteller aber die Möglichkeit offen, den „Austausch“ der Person des Verantwortlichen zu akzeptieren oder seine Datenschutzbeschwerde aufgrund eines derartigen Vorhaltes auf die von der DSB ins Treffen geführte Person auszuweiten und somit gegen zwei (potentielle) datenschutzrechtlich Verantwortliche zu richten.
30 Im Hinblick auf diese unterschiedlichen Gestaltungsmöglichkeiten muss der Entscheidung der DSB zu entnehmen sein, ob die Datenschutzbeschwerde der betroffenen Person damit als vollständig erledigt anzusehen ist.“
3.2.3. Für den konkreten Fall bedeutet das:
Zur eindeutigen Bezeichnung des Beschwerdegegners:
Die Beschwerdeführerin nennt in der Datenschutzbeschwerde ausdrücklich die XXXX als Beschwerdegegnerin. Auch der in der Datenschutzbeschwerde vorgebrachte Sachverhalt bezieht sich ausschließlich auf Datenverarbeitungen durch die XXXX . Weiters waren die Aufforderungsschreiben der Beschwerdeführerin an die XXXX gerichtet. Das ließe auf eine eindeutige Bezeichnung der XXXX als Beschwerdegegnerin schließen.Die Beschwerdeführerin nennt in der Datenschutzbeschwerde ausdrücklich die römisch 40 als Beschwerdegegnerin. Auch der in der Datenschutzbeschwerde vorgebrachte Sachverhalt bezieht sich ausschließlich auf Datenverarbeitungen durch die römisch 40 . Weiters waren die Aufforderungsschreiben der Beschwerdeführerin an die römisch 40 gerichtet. Das ließe auf eine eindeutige Bezeichnung der römisch 40 als Beschwerdegegnerin schließen.
Zu berücksichtigen ist aber § 280 Abs 1 Z 1 BDG, wonach der Verantwortliche für die Führung des Personalaktes nicht die XXXX , sondern der jeweilige Leiter der Zentralstelle ist, sich die Beschwerdeführerin gegen Eintragungen in ihrem Personalakt wendet und die Benennung eines Beschwerdegegners, der tatsächlich nicht Verantwortlicher für die Datenverarbeitung ist, zu einer Abweisung der Datenschutzbeschwerde führen muss. Es bleibt daher unklar, ob sich die Beschwerdegegnerin im Ausdruck vergriffen hat (vergleichbar mit VwGH 18.3.2022, Ro 2020/04/0027, Rn. 41, in der ein Vorgehen der Datenschutzbehörde dahingehend, dass eine Datenschutzbeschwerde in der ein namentlich genannter Polizeibeamter als Beschwerdegegner angeführt war, als gegen die Landespolizeidirektion gerichtet angesehen wurde, nicht beanstandet wurde), oder, ob sie, von einer alleinigen oder gemeinsamen Verantwortlichkeit der XXXX für die gegenständlichen Datenverarbeitungen ausgegangen ist.Zu berücksichtigen ist aber Paragraph 280, Absatz eins, Ziffer eins, BDG, wonach der Verantwortliche für die Führung des Personalaktes nicht die römisch 40 , sondern der jeweilige Leiter der Zentralstelle ist, sich die Beschwerdeführerin gegen Eintragungen in ihrem Personalakt wendet und die Benennung eines Beschwerdegegners, der tatsächlich nicht Verantwortlicher für die Datenverarbeitung ist, zu einer Abweisung der Datenschutzbeschwerde führen muss. Es bleibt daher unklar, ob sich die Beschwerdegegnerin im Ausdruck vergriffen hat (vergleichbar mit VwGH 18.3.2022, Ro 2020/04/0027, Rn. 41, in der ein Vorgehen der Datenschutzbehörde dahingehend, dass eine Datenschutzbeschwerde in der ein namentlich genannter Polizeibeamter als Beschwerdegegner angeführt war, als gegen die Landespolizeidirektion gerichtet angesehen wurde, nicht beanstandet wurde), oder, ob sie, von einer alleinigen oder gemeinsamen Verantwortlichkeit der römisch 40 für die gegenständlichen Datenverarbeitungen ausgegangen ist.
Vor diesem Hintergrund kann die Bezeichnung des Beschwerdegegners in der Datenschutzbeschwerde nicht als sich bewusst und unmissverständlich nur gegen die XXXX gerichtet angesehen werden.Vor diesem Hintergrund kann die Bezeichnung des Beschwerdegegners in der Datenschutzbeschwerde nicht als sich bewusst und unmissverständlich nur gegen die römisch 40 gerichtet angesehen werden.
Zur Zumutbarkeit der Benennung des Beschwerdegegners:
Die Unzumutbarkeit der Benennung des Beschwerdegegners kann sich aus dem Sachverhalt (VwGH 27.06.2023, Ro 2023/04/0013, Rz 36), aus der Rechtslage (VwGH 05.06.2025, Ra 2024/04/0008, Rn 29) oder einer Kombination aus beiden ergeben.
Im gegenständlichen Fall wird der Verantwortliche durch Gesetz bestimmt. Das wäre an sich ein Indiz dafür, dass die Benennung zumutbar ist, soll die Benennung eines Verantwortlichen im Gesetz gerade dazu dienen, dem Betroffenen dessen Benennung zu erleichtern (EuGH 27.02.2025, C-638/23, Amt der Tiroler Landesregierung, Rz 37-40).
Im gegenständlichen Fall ist aber zu berücksichtigen, dass es sich bei der Beschwerdeführerin um eine Vertragsbedienstete gehandelt hat, für die das BDG grundsätzlich nicht gelten würde (vgl §§ 1 und 1a, wonach das BDG – mit näher genannten Ausnahmen – für alle Bediensteten anzuwenden ist, die in einem öffentlich-rechtlichen Dienstverhältnis zum Bund stehen und bestimmte Paragraphen für ihre eingetragene Partnerinnen und Partner gelten). Dass dennoch in § 280 BDG eine Bestimmung enthalten ist, in der der datenschutzrechtlich Verantwortliche für die Führung von Personalakten (auch) von Vertragsbediensteten bestimmt wird, erleichtert den Betroffenen die Bestimmung des Verantwortlichen nicht. Hinzu kommt, dass zum Zeitpunkt der Einbringung der Datenschutzbeschwerde noch keine Rechtsprechung des EuGH zur Frage bestanden hat, ob und unter welchen Voraussetzungen neben der gesetzlich bestimmten Verantwortlichkeit auch eine gemeinsame Verantwortlichkeit mit der Stelle bestehen kann, die faktisch Zweck und Mittel der Datenverarbeitung bestimmt. Letztlich wurden – bevor die Datenschutzbeschwerde erhoben worden ist – die Aufforderungsschreiben der Beschwerdeführerin an die XXXX nicht vom Bildungsminister bearbeitet und beantwortet, sondern von der XXXX , was für die Beschwerdeführerin ein deutlicher Hinweis darauf gewesen sein musste, dass es sich bei der XXXX tatsächlich um die Verantwortliche der Datenverarbeitungen handelt.Im gegenständlichen Fall ist aber zu berücksichtigen, dass es sich bei der Beschwerdeführerin um eine Vertragsbedienstete gehandelt hat, für die das BDG grundsätzlich nicht gelten würde vergleiche Paragraphen eins und eins a, wonach das BDG – mit näher genannten Ausnahmen – für alle Bediensteten anzuwenden ist, die in einem öffentlich-rechtlichen Dienstverhältnis zum Bund stehen und bestimmte Paragraphen für ihre eingetragene Partnerinnen und Partner gelten). Dass dennoch in Paragraph 280, BDG eine Bestimmung enthalten ist, in der der datenschutzrechtlich Verantwortliche für die Führung von Personalakten (auch) von Vertragsbediensteten bestimmt wird, erleichtert den Betroffenen die Bestimmung des Verantwortlichen nicht. Hinzu kommt, dass zum Zeitpunkt der Einbringung der Datenschutzbeschwerde noch keine Rechtsprechung des EuGH zur Frage bestanden hat, ob und unter welchen Voraussetzungen neben der gesetzlich bestimmten Verantwortlichkeit auch eine gemeinsame Verantwortlichkeit mit der Stelle bestehen kann, die faktisch Zweck und Mittel der Datenverarbeitung bestimmt. Letztlich wurden – bevor die Datenschutzbeschwerde erhoben worden ist – die Aufforderungsschreiben der Beschwerdeführerin an die römisch 40 nicht vom Bildungsminister bearbeitet und beantwortet, sondern von der römisch 40 , was für die Beschwerdeführerin ein deutlicher Hinweis darauf gewesen sein musste, dass es sich bei der römisch 40 tatsächlich um die Verantwortliche der Datenverarbeitungen handelt.
Es ist daher davon auszugehen, dass der Beschwerdeführerin die Benennung des Verantwortlichen nicht zumutbar gewesen ist.
Zur gebotenen Vorgehensweise der Datenschutzbehörde, wenn der Beschwerdeführer den Beschwerdegegner missverständlich benennt und ihm dessen Benennung unzumutbar ist:
Da der Beschwerdegegner nicht eindeutig benannt worden ist und der Beschwerdeführerin dessen Benennung nicht zumutbar gewesen ist, hätte die DSB eine berichtigende Auslegung der Bezeichnung des Beschwerdegegners vorzunehmen gehabt bzw. den datenschutzrechtlich Verantwortlichen – somit den ihrer Ansicht nach „richtigen“ Beschwerdegegner – nach entsprechenden Ermittlungen selbst ausfindig zu machen gehabt und das Verfahren, nachdem sie der Beschwerdeführerin ihre Rechtansicht vorgehalten und sie der Annahme der Datenschutzbehörde nicht widersprochen hat, gegen die Bundesminister für Bildung zu führen gehabt.
Tatsächlich hat die Datenschutzbehörde das Verfahren gegen den „falschen“ Beschwerdeführer geführt und d
