BVwG W108 2263948-1

Spruch:

W108 2263948-1/4E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Mag. BRAUCHART als Vorsitzende sowie die fachkundige Laienrichterin Dr. FELLNER-RESCH und den fachkundigen Laienrichter Mag. KUNZ als Beisitzerin und Beisitzer über die Beschwerde gemäß Art. 130 Abs. 1 Z 3 B-VG (Säumnisbeschwerde) des XXXX wegen Verletzung der Entscheidungspflicht durch die Datenschutzbehörde betreffend die Datenschutzbeschwerde vom 09.03.2022 gegen die XXXX zu Recht erkannt:

A)

Die Datenschutzbeschwerde wird als unbegründet abgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang/Sachverhalt:

1. Der Beschwerdeführer brachte am 09.03.2022 bei der Datenschutzbehörde (belangte Behörde vor dem Bundesverwaltungsgericht) die verfahrensgegenständliche, auf Art. 77 Datenschutz-Grundverordnung (DSGVO) bzw. § 24 Datenschutzgesetz (DSG) gestützte, Datenschutzbeschwerde gegen die XXXX , ein Telekommunikationsdienstunternehmen (Beschwerdegegnerin) ein.

In seiner Datenschutzbeschwerde brachte der Beschwerdeführer (soweit verfahrensgegenständlich relevant) vor:

Er besitze eine Kamera, die den privaten Bereich vor seiner Haustüre überwache und eine Benachrichtungsmail an seine Frau und ihn versende, falls Personen das Haus betreten, verlassen oder sich an der Tür zu schaffen machen würden. Am 05.12.2021 habe er bemerkt, dass die Benachrichtigungsmails seiner Haustorkamera nicht mehr eingetroffen seien. Er habe daraufhin die Hotline der Beschwerdegegnerin angerufen und es sei ihm letztlich mitgeteilt worden, dass eine „Störung“ vorliege, an der gearbeitet werde. Ein oder zwei Tage später schien die „Störung“ behoben, die Mails hätten ihn wie gewohnt erreicht. Ca. zwei Monate später seien wieder keine Mails der Kamera eingetroffen, diesmal habe er die Beschwerdegegnerin über den Chatbot kontaktiert. Abermals sei ihm mitgeteilt worden, dass eine „Störung“ existiere und nicht klar sei, wie lange diese noch dauern würde. Am 18.02.2022 habe er ein Einschreiben an die Beschwerdegegnerin gesandt und den Verdacht geäußert, dass die „Störung“ eine (meldepflichtige) Ransomware-Attacke sei, wobei es zum Abfluss persönlicher Daten gekommen sei. Nach abermaliger Kontaktaufnahme mit der Beschwerdegegnerin via Chatbot habe er erstmals erfahren, dass eine Sicherheitssperre gesetzt worden sei. Ab 28.02.2022 seien die E-Mails der Kamera wieder normal eingetroffen, am 04.03.2022 habe er eine E-Mail von der Beschwerdegegnerin erhalten, in welcher von einem Verdacht gesprochen worden sei, der Account sei missbräuchlich verwendet worden. Dies lasse den Schluss zu, dass bei diesem Vorfall Dritte Zugang zu seinen Daten bekommen hätten, es sei von der Beschwerdegegnerin jedoch keine vorschriftsmäßige Meldung gemäß Art. 12 DSGVO an ihn erfolgt. Seiner Ansicht nach sei er in seinen Rechten nach Art. 1 DSGVO bzw. § 1 DSG, Art. 5 DSGVO bzw. § 37 DSG, Art. 12, 22 und 41 DSGVO sowie Art. 34 DSGVO bzw. § 56 DSG verletzt worden. Der Beschwerdeführer beantragte, dass die belangte Behörde die Verletzung seiner Rechte feststelle.

2. Die belangte Behörde protokollierte die Beschwerde unter der Geschäftszahl D124.0400/22 und übermittelte am 20.06.2022 die Datenschutzbeschwerde der Beschwerdegegnerin mit der Aufforderung zur Stellungnahme, wobei sie als verletzte Rechte das Recht auf Geheimhaltung sowie eine automatisierte Entscheidung im Einzelfall einschließlich Profiling anführte.

3. Mit Schreiben vom 20.06.2022 teilte die belangte Behörde dem Beschwerdeführer den Verfahrensstand dahin mit, dass seine Datenschutzbeschwerde der Beschwerdegegnerin zur Stellungnahme übermittelt worden sei, diese dem Beschwerdeführer übermittelt werde und er dann die Möglichkeit habe, eine abschließende Stellungnahme abzugeben. Danach sei die Bescheiderlassung vorgesehen.

4. Am 02.09.2022 wurde bei der belangten Behörde festgestellt, dass die (oben unter Punkt 2. angeführte) Aufforderung zur Stellungnahme an die Beschwerdegegnerin aufgrund eines Versendefehlers nicht abgesendet worden sei und dem Beschwerdeführer irrtümlich ein unrichtiger Verfahrensstand mitgeteilt worden sei (vgl. oben unter Punkt 3.).

Daraufhin übermittelte die belangte Behörde mit Schreiben jeweils vom 02.09.2022 die Datenschutzbeschwerde des Beschwerdeführers der Beschwerdegegnerin mit der Aufforderung zur Stellungnahme und dem Beschwerdeführer eine neuerliche Mitteilung zum Verfahrensstand.

5. Am 15.09.2022 erhob der Beschwerdeführer eine Säumnisbeschwerde gemäß Art. 130 Abs. 1 Z 3 B-VG wegen Verletzung der Entscheidungspflicht der belangten Behörde. Der Beschwerdeführer führte aus, dass die Datenschutzbeschwerde am 09.03.2022 an die belangte Behörde übermittelt worden sei, die Frist von sechs Monaten für die Entscheidung sei definitiv überschritten und die belangte Behörde somit säumig.

6. Die Beschwerdegegnerin erstattete am 20.09.2022 eine Stellungnahme zur Datenschutzbeschwerde und führte aus:

Der Beschwerdeführer zähle eine Reihe von verschiedenen Vorfällen auf, die zu vorübergehenden störungsbedingten Ausfällen des Services geführt hätten und bei denen er augenscheinlich mit der Problemlösung und der damit verbundenen Kommunikation nicht zufrieden gewesen sei. Ein vom Beschwerdeführer dazu angestrengtes RTR-Schlichtungsverfahren sei im Mai 2022 ohne Ergebnis eingestellt worden, weil dem Beschwerdeführer die von der Beschwerdegegnerin aus Kulanzgründen angebotene Gutschrift zu gering gewesen sei. Bedenken wegen eines möglichen unberechtigten Zugriffs auf seine Daten seien vom Beschwerdeführer im gesamten Schlichtungsverfahren nicht geäußert worden. Eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG sei nicht gegeben, zumal seitens der Beschwerdegegnerin der Schutz der den Beschwerdeführer betreffenden personenbezogenen Daten stets sichergestellt gewesen sei. In der Beschwerde werde ausgeführt, dass eine sogenannte „Ransomware-Attacke durchaus denkbar ist“. Dazu werde festgehalten, dass ein derartiger Cyberangriff nicht vorgelegen habe und daher nicht Ursache für die durch den Beschwerdeführer beschriebenen Störungen gewesen sei. Der Beschwerdeführer liefere – abgesehen von einer Reihe von Mutmaßungen – auch keinen einzigen nachvollziehbaren Hinweis dafür, warum er von einem (von der Beschwerdegegnerin verschuldeten) unberechtigten Zugriff auf seine Daten ausgehe. Was die Sperre des Email-Accounts betreffe, so seien Datensicherheits- bzw. Anti-Spam-Maßnahmen die Ursache dafür gewesen, weil in sehr kurzer Zeit eine sehr hohe Anzahl an Emails versandt worden seien. Solche Maßnahmen seien nach dem TKG zweifellos zulässig, wie auch die RTR in dem vom Beschwerdeführer beigelegten Schreiben vom 06.07.2017 ausführe. Dies verhindere zum einen eine Überlastung des Netzes, diene aber zum anderen nicht zuletzt auch dem Schutz des Betroffenen und anderer Personen vor missbräuchlicher Verwendung von Email-Accounts. Wie in den AGBs der Beschwerdegegnerin angegeben, sei sie zur Vermeidung von Störungen des Netzes und zur Aufrechterhaltung der Integrität des Netzes berechtigt, Leistungen vorübergehend nicht zu erbringen.

Es liege zudem kein Profiling im Sinne des Art. 4 Z 4 DSGVO vor. Es erfolge keine automatisierte Verarbeitung personenbezogener Daten zum Zweck der Bewertung persönlicher Aspekte des Beschwerdeführers. Bei Anti-Spam-Maßnahmen gehe es gerade nicht um eine Bewertung der Person, zumal Spam-Emails üblicherweise nicht von einer natürlichen Person (vom rechtmäßigen Nutzer des Accounts), sondern missbräuchlich und automatisiert durch Unberechtigte hervorgerufen würden. Sofern durch die Systeme der Beschwerdegegnerin festgestellt werde, dass über einen Account Spam versendet werde, würden interne Prozesse zur (vorübergehenden) automatischen Sperrung des betreffenden Accounts greifen. Darüber hinaus seien ebensowenig die Voraussetzungen des Art. 22 DSGVO erfüllt. Selbst wenn man unzutreffend von Profiling ausgehen würde, entfalteten die von der Beschwerdegegnerin getroffenen angemessenen technischen und organisatorischen Maßnahmen zum Zweck der Aufrechterhaltung der Datensicherheit keine rechtliche Wirkung, sondern lediglich eine faktische Wirkung gegenüber dem Beschwerdeführer. Lediglich der Vollständigkeit halber werde in Bezug auf Art. 22 DSGVO ausgeführt, dass die Maßnahmen zur Gewährleistung der Datensicherheit in Erfüllung des mit dem Beschwerdeführer geschlossenen Vertrages erfolgt seien. Dies habe zur Folge, dass selbst unter der Annahme des Vorliegens einer automatisierten Entscheidung eine solche jedoch nicht gegeben sei, weil die Entscheidung für die Vertragserfüllung zwischen der Beschwerdegegnerin und dem Beschwerdeführer erforderlich gewesen sei.

7. Der Beschwerdeführer äußerte sich im Rahmen des gewährten Parteiengehörs mit Schriftsatz vom 27.09.2022 zur Stellungnahme der Beschwerdegegnerin (soweit verfahrensgegenständlich relevant) wie folgt:

Die Beschwerdegegnerin betitle ein und dasselbe Ereignis einmal als Störung, einmal als Sperre, obwohl es nicht beides zugleich sein könne. Es bleibe weiterhin die Frage offen, was denn eigentlich das Problem gewesen und wie es gelöst worden sei. Art. 5 DSGVO verlange von der Beschwerdegegnerin transparent und nach Treu und Glauben zu agieren, Art. 12 DSGVO fordere transparent zu informieren und zu kommunizieren. Die Beschwerdegegnerin tätige jedoch widersprüchliche Aussagen. Seine Argumentation stütze sich auch auf die Aussagen der Beschwerdegegnerin selbst, dass der Account gehackt worden sei, was - falls dies zutreffe - als unberechtigter Zugriff zu interpretieren wäre. Mit einem funktionierenden Email-Account könne man vollkommen anonym in seinem Namen Zugänge zu allen möglichen Accounts einrichten (mit etwas Zusatzaufwand sogar ein Bankkonto in seinem Namen einrichten), andere erpressen oder bedrohen. Die Beschwerdegegnerin habe es dennoch nicht für notwendig erachtet, ihn darüber DSGVO-konform zu informieren, obwohl diese Benachrichtigung sogar gemäß den Richtlinien der Beschwerdegegnerin vorgesehen gewesen wäre. Der Sicherheitsverlust, der durch das Abschalten der Kameras einhergehe, sei sehr wohl eine Beeinträchtigung iSd Art. 22 DSGVO, insbesondere, wenn die Sperre nicht „vorübergehend“ sei, sondern auf der mangelhaften Implementierung eines derartigen Entscheidungsfindungsalorithmus beruhe. Der Vollständigkeit halber sei erwähnt, dass die Beschwerdegegnerin ihn „krimineller Spamaktivitäten“ bezichtigt habe, womit diese Entscheidungsfindung auch eine rechtliche Komponente habe.

8. In der Folge legte die belangte Behörde mit Schreiben vom 02.12.2022 die Säumnisbeschwerde samt den dazugehörigen Akten des Verwaltungsverfahrens dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme dahingehend ab, dass zum Zeitpunkt der Erhebung der Säumnisbeschwerde die Entscheidungsfrist von sechs Monaten bereits abgelaufen gewesen und die Säumnisbeschwerde damit berechtigt sei. Bei der Übermittlung der Beschwerde vom 09.03.2022 an die Beschwerdegegnerin sei es zu einem Versendefehler gekommen, wodurch die Beschwerde erst am 02.09.2022 übermittelt worden sei. Die belangte Behörde habe die Entscheidung binnen der in § 16 Abs. 1 VwGVG vorgesehenen Frist aufgrund des Versendefehlers, der dadurch entstandenen kurzen Entscheidungsfrist und der Komplexität des Falles nicht nachholen können, weswegen die Zuständigkeit ex lege auf das Bundesverwaltungsgericht übergegangen sei.

9. Das Bundesverwaltungsgericht übermittelte die Säumnisbeschwerde samt der von der belangten Behörde bei der Aktenvorlage abgegebenen Stellungnahme im Rahmen des Parteiengehörs der Beschwerdegegnerin zur Kenntnis- und Stellungnahme.

10. Die Beschwerdegegnerin erstattete jedoch keine weitere Stellungnahme.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Es wird von den Ausführungen oben unter Punkt I. zum Verfahrensgang (Verwaltungsgeschehen) und Sachverhalt ausgegangen.

Damit steht insbesondere fest:

Es kann nicht festgestellt werden, dass es – aufgrund eines Hackerangriffes auf die Systeme der Beschwerdegegnerin – zu einem Abfluss von personenbezogenen Daten des Beschwerdeführers bzw. zu einem unberechtigten Eingriff/Zugriff auf dessen Daten gekommen ist.

Aufgrund ungewöhnlich hoher Aktivität des E-Mail-Accounts des Beschwerdeführers wurde eine Sperre durch einen Algorithmus gesetzt.

2. Beweiswürdigung:

Diese Feststellungen ergeben sich aus den Verwaltungsakten.

Die Beschwerdegegnerin hat im behördlichen Verfahren glaubwürdig dargelegt, dass es im fallgegenständlichen Zeitraum zu keinem Hackerangriff auf ihre Systeme bzw. zu keinem Abfluss von personenbezogenen Daten (des Beschwerdeführers) bzw. keinem unberechtigten Zugriff auf dessen Daten gekommen ist. Demgegenüber erschöpft sich das diesbezügliche Vorbringen des Beschwerdeführers in bloß allgemeinen Ausführungen und Mutmaßungen, womit es nach der Rechtsprechung des Verwaltungsgerichtshofes auf einen unzulässigen Erkundungsbeweis hinausläuft, zu dessen Aufnahme das Verwaltungsgericht nicht verpflichtet ist (vgl. VwGH 19.07.2021, Ra 2021/14/0231, VwGH 18.03.2021, Ra 2020/20/0451, jeweils mwN). Es kann somit nicht festgestellt werden, dass ein (von den vertraglichen Beziehungen des Beschwerdeführers mit der Beschwerdegegnerin nicht gedeckter) unberechtigter Eingriff/Zugriff - etwa in Form einer Ermittlung und/oder Weitergabe der personenbezogenen Daten des Beschwerdeführers - stattgefunden hat.

Dass aufgrund einer ungewöhnlich hohen Aktivität des E-Mail-Accounts des Beschwerdeführers eine Sperre durch einen Algorithmus gesetzt wurde, ergibt sich aus der Stellungnahme der Beschwerdegegnerin und dem Schreiben der RTR vom 06.07.2017 über den Abschluss des Schlichtungsverfahrens.

Der entscheidungsrelevante Sachverhalt steht damit fest.

3. Rechtliche Beurteilung:

3.1. Gemäß Art. 130 Abs. 1 Z 3 B-VG erkennen die Verwaltungsgerichte über Beschwerden wegen Verletzung der Entscheidungspflicht durch eine Verwaltungsbehörde.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit .). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.

3.2. Zu A)

3.2.1. Zur Zulässigkeit der Beschwerde wegen Verletzung der Entscheidungspflicht (Säumnisbeschwerde) bzw. Zuständigkeit des Bundesverwaltungsgerichtes:

§ 24 DSG lautet auszugsweise:

„Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:1. die Bezeichnung des als verletzt erachteten Rechts,2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,5. das Begehren, die behauptete Rechtsverletzung festzustellen und6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

(3) Einer Beschwerde sind gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

(4) Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen.

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

(6) Ein Beschwerdegegner kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Erscheint der Datenschutzbehörde die Beschwerde insofern als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.

(7) Der Beschwerdeführer wird von der Datenschutzbehörde innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlung unterrichtet.

(8) Jede betroffene Person kann das Bundesverwaltungsgericht befassen, wenn die Datenschutzbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

(9) Die Datenschutzbehörde kann – soweit erforderlich – Amtssachverständige im Verfahren beiziehen.

(10) In die Entscheidungsfrist gemäß § 73 AVG werden nicht eingerechnet:1. die Zeit, während deren das Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage ausgesetzt ist;2. die Zeit während eines Verfahrens nach Art. 56, 60 und 63 DSGVO.“

Gemäß § 73 Abs. 1 AVG sind die Behörden verpflichtet, wenn in den Verwaltungsvorschriften nicht anderes bestimmt ist, über Anträge von Parteien (§ 8) und Berufungen ohne unnötigen Aufschub, spätestens aber sechs Monate nach deren Einlangen den Bescheid zu erlassen.

Nach § 8 Abs. 1 VwGVG kann eine Säumnisbeschwerde erst erhoben werden, wenn die Behörde die Sache nicht innerhalb von sechs Monaten, wenn gesetzlich eine kürzere oder längere Entscheidungsfrist vorgesehen ist, nicht innerhalb dieser entschieden hat. Die Frist beginnt mit dem Zeitpunkt, in dem der Antrag auf Sachentscheidung bei der gesetzlich vorgesehenen Stelle eingelangt ist. Die Beschwerde ist abzuweisen, wenn die Verzögerung nicht auf ein überwiegendes Verschulden der Behörde zurückzuführen ist.

Ein überwiegendes („objektives“) Verschulden der Behörde ist dann anzunehmen, wenn diese nicht durch schuldhaftes Verhalten der Partei oder durch unüberwindliche Hindernisse an der Entscheidung gehindert war (vgl. VwGH 24.11.2022, Ra 2022/01/0247, unter Hinweis auf VwGH 19.06.2018, Ra 2018/03/0021, mwN).

Im vorliegenden Fall hat die belangte Behörde nicht binnen der sechsmonatigen Entscheidungsfrist über diese Verwaltungssache entschieden und auch nicht aufgezeigt, dass sie durch schuldhaftes Verhalten der Partei oder durch unüberwindliche Hindernisse an der Entscheidung gehindert war, sondern gegenteilig ausgeführt, dass die Verzögerung auf einen (von der belangten Behörde verschuldeten) Versendungsfehler zurückzuführen ist.

Die am 15.09.2022 erhobene Säumnisbeschwerde erweist sich daher als zulässig, weshalb nunmehr das Bundesverwaltungsgericht zuständig war, über die Datenschutzbeschwerde zu entscheiden (vgl. VwGH 19.09.2017, Ro 2017/20/0001 mit Verweis auf VwGH 27.05.2015, Ra 2015/19/0075).

3.2.2. In der Sache:

3.2.2.1. Rechtslage:

3.2.2.1.1. Art. 4 DSGVO lautet auszugsweise:

„Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

​

3.2.2.1.2. Art. 5 DSGVO lautet:

„Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

​

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

3.2.2.1.3. Art. 22 DSGVO lautet:

„Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

3.2.2.1.4. Art. 34 DSGVO lautet:

„Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

(2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.

(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

a) der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;

b) der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;

c) die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

3.2.2.1.5. § 1 Abs. 1 und 2 DSG lauten:

„(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“

3.2.2.2. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:

3.2.2.2.1. Zur behaupteten Verletzung im Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG:

Das in § 1 Abs. 1 DSG normierte Grundrecht auf Datenschutz bewirkt einen Anspruch auf Geheimhaltung personenbezogener Daten. Darunter ist – von den gesetzlich anerkannten Einschränkungen abgesehen – der Schutz des Betroffenen vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen. Damit aus einem Eingriff eine Datenschutzgrundrechtsverletzung wird, muss der Eingriff unzulässig gewesen sein. Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz [DSG]2 § 1 Rz 12, 38f, Stand 1.2.2022, rdb.at).

Dazu ist zunächst festzuhalten, dass die Verarbeitung der personenbezogenen Daten des Beschwerdeführers grundsätzlich im Rahmen seiner Vertragsbeziehung zur Beschwerdegegnerin erfolgt. Es liegt daher gemäß § 1 Abs. 2 DSG eine Zustimmung des Beschwerdeführers zur Verarbeitung vor, eine diesbezügliche Verletzung des § 1 DSG wurde vom Beschwerdeführer auch nicht geltend gemacht.

Im vorliegenden Fall konnte jedoch nicht festgestellt werden, dass – abseits der Vertragsbeziehung - überhaupt ein unberechtigter Eingriff/Zugriff auf die personenbezogenen Daten des Beschwerdeführers - etwa in Form einer Ermittlung und/oder Weitergabe - erfolgt ist. Eine etwaige Unmöglichkeit, die anspruchsbegründenden Tatsachen (positiv) festzustellen („Beweisnotstand“ [VwGH 20.04.1995, 93/09/0408] geht zu Lasten des Antragstellers, der Antrag ist diesfalls abzuweisen [idS VwSlg 9721 A/1978; 12.559 A/1987; VwGH 21.11.1991, 89/08/0125 „Beweislast im materiellen Sinn“]; vgl. auch VwGH 23.06.1976, 2209/75; ferner Fasching Rz 879f; Rechberger in Rechberger ZPO § 266 Rz 9 ff).

Damit bleibt auch kein Raum für die vom Beschwerdeführer begehrte Feststellung einer Verletzung der Art. 5, 12 und 34 DSGVO. Im Übrigen ist dazu festzuhalten, dass sich der in Art. 12 DSGVO normierte Transparenzgrundsatz (lediglich) auf die Informationen nach Art. 13 und 14 DSGVO sowie die Mitteilungen gemäß den Art. 15 bis 22 DSGVO bezieht (vgl. Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 12 DSGVO Rz 1f. [Stand 1.12.2020, rdb.at]), nicht jedoch auf allfällige Informationen und/oder Mitteilungen, zu denen sich die Beschwerdegegnerin vertraglich verpflichtet hat.

Selbst wenn es jedoch zu einem Angriff unbekannter Dritter auf das persönliche E-Mail-Postfach des Beschwerdeführers gekommen wäre und Dritte damit Zugriff auf personenbezogene Daten des Beschwerdeführers erhalten hätten, wäre dieser Eingriff der Beschwerdegegnerin nicht als Verantwortliche iSd Art. 4 Z 7 DSGVO zurechenbar, zumal diese lediglich die Infrastruktur zur Verfügung stellt, jedoch die personenbezogenen Daten des Beschwerdeführers weder Dritten übermittelt noch (öffentlich) zugänglich gemacht hat. Es ist auch nicht hervorgekommen, dass die Beschwerdegegnerin nur ungenügende Datensicherheitsmaßnahmen zum Schutz der personenbezogenen Daten ihrer Kunden gesetzt hätte.

Es liegt sohin kein Eingriff der Beschwerdegegnerin in das Grundrecht auf Datenschutz des Beschwerdeführers vor. Die Datenschutzbeschwerde des Beschwerdeführers stellt sich daher diesbezüglich als unbegründet dar.

3.2.2.2.2. Zur behaupteten Verletzung im Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, gemäß Art. 22 DSGVO:

Gemäß Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Als Beispiele für eine rechtliche Wirkung werden von der Artikel-29-Datenschutzgruppe, deren Leitlinien zur automatisierten individuellen Entscheidungsfindung und zum Profiling für die Zwecke der Verordnung 2016/679 vom Europäischen Datenschutzausschuss gebilligt wurden, etwa die Auflösung eines Vertrages, die Genehmigung bzw. Ablehnung von Sozialleistungen, wie zum Beispiel Familien- oder Wohnbeihilfe, die Verweigerung der Einreise in ein Land oder die Ablehnung der Einbürgerung genannt, für eine erhebliche Beeinträchtigung Entscheidungen, die sich auf die finanzielle Lage einer Person auswirken, beispielsweise ihre Kreditwürdigkeit, Entscheidungen, die den Zugang zu Gesundheitsdienstleistungen betreffen, Entscheidungen, die den Zugang zu Arbeitsplätzen verwehren oder Personen ernsthaft benachteiligen oder Entscheidungen, die sich auf den Zugang zu Bildung auswirken, beispielsweise Hochschulzulassungen (WP251rev.01, 23).

Vor diesem Hintergrund wird deutlich, dass die gegenüber dem Beschwerdeführer getroffene automatisierte Entscheidung (Setzung einer Sperre durch einen Algorithmus aufgrund ungewöhnlich hoher Aktivität seines E-Mail Accounts) keine rechtliche Wirkung iSv Art. 22 Abs. 1 DSGVO oder - im Vergleich zu den oben dargestellten Beispielen vergleichbare - Beeinträchtigung des Beschwerdeführers darstellt, zumal es sich lediglich um eine vorübergehende Sperre beim Senden/Empfang von E-Mails handelt und diese auch nach Kontakt mit dem Kundensupport der Beschwerdegegnerin innerhalb einer relativ kurzen Zeitspanne auch wieder entfernt wurde. Die (kurzzeitige) Fehlfunktion seines E-Mail-Accounts mag den Beschwerdeführer zwar in seiner Sphäre berühren, stellt aber jedenfalls keine erhebliche Beeinträchtigung der Lage des Beschwerdeführers dar.

Darüber hinaus ist die automatisierte Einzelfallentscheidung auch gemäß Art 22 Abs. 2 lit. a DSGVO für die Erfüllung des Vertrags zwischen dem Beschwerdeführer und der Beschwerdegegnerin erforderlich, zumal die Beschwerdegegnerin gemäß den Vertragsbedingungen für Netzstabilität und Netzsicherheit und damit zusammenhängend den Schutz der personenbezogenen Daten (des Beschwerdeführers) zu sorgen hat, was durch das automatisierte Setzen einer Sperre bei ungewöhnlichen Aktivitäten gewährleistet wird. Für das Erreichen dieses Ziels wären auch keine anderen wirksameren und weniger eingreifenden Mittel verfügbar, zumal der Beschwerdegegnerin eine individuelle Beurteilung und ein manuelles Setzen einer Sperre aufgrund der Vielzahl der Kundenbeziehungen nicht zumutbar ist und dies wohl auch faktisch nicht umsetzbar wäre (vgl. dazu abermals WP251rev.01, 25).

Im vorliegenden Fall kommt das Verbot des Art. 22 Abs. 1 DSGVO sohin nicht zum Tragen, weshalb die Datenschutzbeschwerde auch insofern nicht begründet ist.

3.2.3. Die behauptete Verletzung in durch das DSG und die DSGVO gewährleisteten Rechten liegt daher nicht vor. Das Verfahren hat auch nicht ergeben, dass aus anderen, nicht geltend gemachten Gründen ein datenschutzrechtlicher Verstoß vorliegen würde. Da sich die Datenschutzbeschwerde als nicht berechtigt erweist, ist sie abzuweisen.

3.3. Die Durchführung einer mündlichen Verhandlung konnte gemäß § 24 Abs. 1 und 4 VwGVG entfallen. Im vorliegenden Fall liegt kein Parteiantrag auf Durchführung einer mündlichen Verhandlung vor und lässt die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten. Die Notwendigkeit der Durchführung einer Verhandlung ist auch im Hinblick auf Art. 6 Abs. 1 EMRK und Art. 47 GRC nicht ersichtlich. Der entscheidungsrelevante Sachverhalt ist hier geklärt. Zu einer Lösung von Rechtsfragen ist im Sinne der Judikatur des EGMR eine mündliche Verhandlung nicht geboten. Die EMRK und die GRC stehen der Abstandnahme von einer mündlichen Verhandlung hier nicht entgegen.

Zu B)

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor.

Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG nicht zulässig ist.