BVwG W214 2253225-1

Spruch:

W214 2253376-1/E

W214 2253225-1/E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Viktoria HAIDINGER, LL.M., und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerden 1) der XXXX (Erstbeschwerdeführerin), 2) der XXXX (Zweitbeschwerdeführerin), 3) der XXXX (Drittbeschwerdeführerin), 4) der XXXX (Viertbeschwerdeführerin), 5) der XXXX (Fünftbeschwerdeführerin), 6) der XXXX (Sechstbeschwerdeführerin), 7) der XXXX (Siebtbeschwerdeführerin), 8) der XXXX (Achtbeschwerdeführerin), 9) des XXXX (Neuntbeschwerdeführer), und 10) der XXXX (Zehntbeschwerdeführerin), alle vertreten durch die Rechtsanwältin Dr. Maria WINDHAGER, gegen die Spruchpunkte 1. und 3. des Bescheides der Datenschutzbehörde vom 09.02.2022, Zl. XXXX , sowie 11) des XXXX (Elftbeschwerdeführer) und 12) der XXXX (Zwölftbeschwerdeführerin), beide vertreten durch STANONIK Rechtsanwälte, gegen den Spruchpunkt 2. des genannten Bescheides nach Durchführung einer mündlichen Verhandlung,

A1) beschlossen:

Das Verfahren hinsichtlich der Achtbeschwerdeführerin wird wegen Zurückziehung der Beschwerde gemäß §§ 28 Abs. 1 iVm 31 Abs. Verwaltungsgerichtsverfahrensgesetz, BGBl. I Nr. 33/2013 idgF (VwGVG) eingestellt.

A2) zu Recht erkannt:

I. In Erledigung der Beschwerde des Elft- und Zwölftbeschwerdeführers wird der Spruchpunkt 2. des angefochtenen Bescheides ersatzlos behoben.

II. Der Beschwerde der Erst- bis Siebentbeschwerdeführer:innen sowie der Neunt- und Zehntbeschwerdführer:innen gegen die Spruchpunkte 1. und 3. des angefochtenen Bescheides wird gemäß § 28 Abs. 2 VwGVG mit der Maßgabe teilweise stattgegeben, dass diese Spruchpunkte dahingehend abgeändert werden, dass zum einen die Nummerierung des Spruchpunktes 3. auf „2.“zu lauten hat und zum anderen diese sohin wie folgt lauten:

„1. Der Beschwerde wird teilweise stattgegeben und festgestellt, dass die XXXX das Grundrecht der Erst- bis Sechtstbeschwerdeführer:innen auf Geheimhaltung durch Veröffentlichung ihrer Adressen sowie das Grundrecht der der Siebent- Neunt- und Zehntbeschwerdeführer:innen auf Geheimhaltung durch die Veröffentlichung der jeweiligen ZVR-Nummer der Erst- bis Sechstbeschwerdeführer:innen (wodurch eine Rückführung auf Privatadressen der Siebent-, der Neunt- und Zehntbeschwerdeführer:innen möglich ist) auf der Website XXXX im Rahmen des Projektes XXXX , verletzt hat.

2. Der Beschwerde wegen Verletzung „im Recht auf Information“ bzw. der Informationspflicht wird teilweise stattgegeben und festgestellt, dass die XXXX gegenüber den Siebent-, Neunt- und Zehntbeschwerdeführer:innen ihre Informationspflicht nach Art. 14 DSGVO verletzt hat.

Im Übrigen wird die Beschwerde abgewiesen.“

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. In ihrer an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Beschwerde vom 10.06.2021 behaupteten die rechtsanwaltlich vertretenen Erst- bis Zehntbeschwerdeführer:innen (in Folge für alle gemeinsam: BF[1 bis 10]) eine Verletzung im Recht auf Information sowie im Recht auf Geheimhaltung durch den Elftbeschwerdeführer, die Zwölftbeschwerdeführerin (Erst- bzw. Zweitbeschwerdegegnerin vor der belangten Behörde, nunmehr Elftbeschwerdeführer und Zwölftbeschwerdeführerin vor dem Bundesverwaltungsgericht, in Folge: BF11 und BF12) sowie den XXXX (Drittbeschwerdegegner vor der belangten Behörde, Mitbeteiligter vor dem Bundesverwaltungsgericht, in Folge: MB). Darin wurde im Wesentlichen vorgebracht, dass die BF am 27.05.2021 Kenntnis von der Website XXXX (in Folge: Y-Website) erlangt hätten, wobei bei dieser eine XXXX eingebettet gewesen sei. Auf der Fläche des österreichischen Bundesgebietes hätten sich zahlreiche XXXX befunden, die jeweils XXXX Vereins oder einer XXXX in Österreich XXXX hätten. Durch Anklicken eines solchen XXXX aufgerufen worden. Die Startseite habe eine XXXX Vereine und XXXX in Österreich enthalten, eine Suchfunktion erlaube die gezielte Suche nach Einrichtungen anhand vielfältiger Suchkriterien. Durch weiteres Anklicken des Namens der Einrichtung sei man zu einer der jeweiligen Einrichtung XXXX gelangt. Im Wege dessen seien Daten der BF auf der Website abrufbar gewesen, wobei es sich bei einigen Daten um Privatanschriften von Vereinsmitgliedern handle. Obwohl die BF12 in der Datenschutzerklärung der Y-Website als deren (datenschutzrechtlich) Verantwortliche präsentiert werde, gelte dies allein für die Website und nicht für die Datenverarbeitung. Der BF11 habe die inhaltliche Auswahl und Bewertung der Daten vorgenommen, die BF12 habe die Daten veröffentlicht und der MB habe die Daten für eigene Zwecke verwendet.

Bei der Sammlung von Namen, Anschriften und der ZVR-Zahl der BF1 bis 6, der Übermittlung an die MB und die Veröffentlichung auf der Y-Website handle es sich um eine Verarbeitung personenbezogener Daten. Überdies hätten die BF1 bis 6 ein besonderes Interesse an der Geheimhaltung ihrer Daten, da sie XXXX in der aktuellen gesellschaftlichen Situation in Österreich XXXX Anfeindungen ausgesetzt seien und daher eine reale Gefährdung in Form physischer Angriffe gegen ihre Einrichtungen bestehe. Die Anschriften der Einrichtungen der BF3 bis 6 würden keine Daten allgemeiner Verfügbarkeit darstellen. Weder die im Zentralen Vereinsregister (ZVR) eingetragenen vollen Namen der BF2 bis 6 noch die Anschriften der BF3 bis 6 seien im Rahmen des offiziellen Auftritts im Internet oder auf Social Media zu finden. Aufgrund der äußerst umständlichen Bedienung des ZVR, um die vollständigen Namen und Anschriften der BF3 bis 6 darin zu finden, seien diese Daten nicht für jedermann öffentlich zugänglich. Die Anschriften der BF1 und 2 seien zwar auf deren offiziellen Website zu finden, allerdings seien durch die Veröffentlichung und Verknüpfung der gesammelten Daten auf der Y-Website neue Daten generiert worden. Durch die wahllose Auflistung zahlreicher XXXX Einrichtungen mit der Präsentation als XXXX entstehe der Eindruck, dass alle auf der Y-Website präsentierten Einrichtungen Teil des XXXX seien. Es handle sich daher nicht bloß um die Reproduktion allgemein zugänglicher Daten, selbiges gelte für die ZVR-Zahlen der BF1 bis 6. Keinesfalls seien die Anschriften der aktuellen Wohnsitze der BF7 bis 10 allgemein verfügbar. Die Verarbeitung personenbezogener Daten der BF1bis 10 verstoße demnach gegen § 1 DSG.

Während die Sammlung der Daten durch die BF11 und BF12 zu wissenschaftlichen Zwecken iSd Wissenschaftsfreiheit unter Umständen im Einzelfall gerechtfertigt sein könnte, so gelte dies mangels Forschungszwecks weder für die weitere Übermittlung noch für die Veröffentlichung der Daten. Vielmehr habe die Veröffentlichung dazu geführt, dass nach Bekanntwerden XXXX Warntafeln durch Mitglieder der XXXX -Bewegung in XXXX aufgestellt worden seien, mit denen auf den XXXX von in der Datenbank erfassten Einrichtungen hingewiesen worden sei. Dieser politische Zweck sei ein anderer als die wissenschaftliche Forschung und mit diesem auch nicht vereinbar. Selbst bei gegenteiliger Annahme wären die Übermittlung und Veröffentlichung unzulässig, weil der Grundsatz der Datenminimierung verletzt worden sei. Die Verarbeitung entspreche auch nicht den Vorgaben zur Verarbeitung personenbezogener Daten zu Forschungszwecken, für die Übermittlung und Veröffentlichung sei das FOG als Rechtsgrundlage auch ungeeignet. Auch die Vereinsfreiheit der BF1 bis 10 sei von der Verarbeitung betroffen. Für die Verarbeitung der Daten sei auch Art. 9 DSGVO einschlägig.

Die BF11 und 12 sowie der MB unterlägen im Übrigen der Informationspflicht gemäß Art. 13 und 14 DSGVO. Obwohl die Y-Website bereits viel länger abrufbar sei, sei die darauf befindliche Datenschutzerklärung jedoch erst seit XXXX 2021 veröffentlicht worden, was ebenso einen Verstoß darstelle. Ebenfalls hätten sich die BF1 bis 10 mit Auskunfts- und Löschungsanträgen an das XXXX und den Datenschutzbeauftragten der BF12 gewandt, welche jedoch unbeantwortet geblieben seien.

Zudem sei ein entsprechender Antrag auf Erlassung eines Mandatsbescheides gestellt worden.

2. In ihrer Eingabe vom 15.06.2021 wiederholten die BF1 bis 10 ihren Antrag auf Erlassung eines Mandatsbescheides und legten Screenshots der Y-Website sowie zum Thema der XXXX (in Folge: Y-Projekt) ergangene Medienberichterstattung vor.

3. Mit Bescheid vom 16.06.2021 wies die belangte Behörde den Antrag der BF1 bis 10 auf Erlassung eines Mandatsbescheides ab.

4. Über Aufforderung der belangten Behörde erstatteten die BF11 und BF12 im Wege ihrer Rechtsvertretung am 28.07.2021 eine gemeinsame Stellungnahme, in welcher sie zusammengefasst vorbrachten, dass der BF11 Universitätsprofessor für XXXX am Institut für XXXX Studien der BF12 sei, welche ihrerseits eine Universität iSd Universitätsgesetzes und eine wissenschaftliche Einrichtung iSd Forschungsorganisationsgesetzes sei. Der MB sei ein Fonds iSd Stiftungs- und Fondsgesetzes 2015, sein Zweck sei die Förderung der wissenschaftlichen Erforschung des XXXX .

Zwischen der BF12 und dem MB sei am 05.03.2021 ein Fördervertrag (in Folge F&E-Vertrag) abgeschlossen worden, welcher zum Gegenstand habe, das Forschungsprojekt XXXX durchzuführen, um einen fundierten Überblick über alle in Österreich tätigen XXXX zu bieten, in welchem auch die jeweilige XXXX der einzelnen Vereine, ihrer Dachverbände, XXXX und Fachvereine online abzurufen seien. Diese XXXX sollten generelle Informationen XXXX der jeweiligen Institutionen und auch Hinweise zu deren XXXX Hintergrund, zu Fragen betreffend die XXXX der jeweiligen XXXX und zu deren Einstellung XXXX zur Verfügung stellen.

Die Verteilung der Aufgaben der Vertragspartner sei dabei solcherart definiert, dass der MB die Zurverfügungstellung von inhaltlichen Informationen, gesammelten XXXX und Datensätzen sowie die Prüfung und Aktualisierung von Daten in der Datenbank in Bezug auf XXXX übernehme sowie seit XXXX 2021 Fördergeber des Y-Projekts sei. Die BF12 übernehme die Überarbeitung der vorhandenen Daten zum Y-Projekt, die Beschreibung der XXXX Beziehungen und aktuellen XXXX , sowie die Erweiterung und Aktualisierung um Informationen in den sozialen Medien. Faktisch werde das Projekt vom BF11 geleitet und sei der MB nur als Fördergeber beteiligt. Das Forschungsprojekt bzw. dessen Ergebnisse würden über die Y-Website verarbeitet und veröffentlicht werden. Die Y-Website werde von der BF12 und dem BF11 betrieben und weise eine Datenschutzerklärung auf, welche über die Datenverarbeitung informiere. Sämtliche der verarbeiteten Daten seien jedoch öffentlich verfügbar und entstammten entweder dem ZVR oder der Internetpräsenz der entsprechenden Vereine. Eine Übermittlung außerhalb der Veröffentlichung der Y-Website an den MB finde nicht statt. Weiters sei unrichtig, dass eine Auflistung zahlreicher XXXX Einrichtungen mit der XXXX als XXXX veröffentlicht würde. Vielmehr handle es sich um sachliche und faktenbasierte Informationen zu den einzelnen Vereinen. Die datenschutzrechtliche Verantwortung liege ausschließlich bei der BF12, eine gemeinsame Verantwortlichkeit liege hingegen nicht vor. Die Zwecke der Datenverarbeitung im Zusammenhang mit Y-Projekt würden von der BF12 bzw. dem BF11 festgelegt, dieser sei jedoch als Universitätsprofessor – welcher im Rahmen seiner Professur an der BF12 forsche – der BF12 zuzurechnen. Der MB fördere zwar mit seinen Mitteln die festgelegten Forschungszwecke, nehme jedoch auf die damit in Zusammenhang stehenden Datenverarbeitungen keinerlei Einfluss.

Sämtliche der verarbeiteten und veröffentlichten Daten seien bereits zuvor im ZVR oder dem Internetauftritt des entsprechenden Vereins öffentlich verfügbar gewesen. Die Behauptung seitens der BF3 bis 6, wonach ihre Namen und Anschriften keine Daten allgemeiner Verfügbarkeit darstellen würden, sei unrichtig, da diese Daten im ZVR hinterlegt und ersichtlich seien und wohl von diesen in diesem Zusammenhang selbst veröffentlicht worden seien. Die umständliche Bedienung des ZVR ändere nichts an der öffentlichen Verfügbarkeit. § 1 DSG schütze die Geheimhaltung von personenbezogenen Daten nur insoweit, als daran ein schutzwürdiges Interesse bestehe. Das Bestehen eines solchen Interesses sei jedenfalls ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit einem Geheimhaltungsanspruch – wie im vorliegenden Fall – nicht zugänglich seien, zumal die Daten der BF1 bis 10 auch keiner Auskunftssperre iSd VerG unterlägen. Falls aber doch Daten verarbeitet würden, die nicht als öffentlich zugänglich zu qualifizieren seien, so sei die Zulässigkeit der Datenverarbeitung im Rahmen einer Interessensabwägung zu prüfen (§ 1 Abs. 2 DSG). Das Interesse der BF12 liege insbesondere in der Durchführung und Publikation des Forschungsprojekts sowie der damit im Zusammenhang stehenden Leistung eines Beitrags zur öffentlichen Debatte und Meinungsbildung bzw. das Interesse der Allgemeinheit an der Erlangung von sachlich fundierten und wissenschaftlichen Informationen zu einem im gesellschaftlichen und medialen Diskurs stehenden Thema. Die Veröffentlichung dieser sachlichen und fundierten Recherche- und Forschungsergebnisse bezwecke überdies, den gesellschaftlichen Diskurs auf ein faktenbasiertes Niveau zu heben und zahlreichen Falschinformationen entgegenzuwirken. Diese Interessen seien legitim und verfassungsrechtlich im Rahmen der Meinungsfreiheit und Wissenschaftsfreiheit abgesichert sowie zudem vom Unions- sowie vom österreichischen Gesetzgeber anerkannt. Ein Vorrang anderer tangierter Grundrechte wie etwa des Rechts auf Geheimhaltung gegenüber der gleichrangigen Wissenschafts- und Meinungsfreiheit bestehe dabei nicht, vielmehr sei eine Güterabwägung im Einzelfall vorzuzunehmen. Das Y-Projekt werde mit wissenschaftlicher Sorgfalt und wissenschaftlich anerkannten Methoden der Organisationsforschung erstellt und beruhe insbesondere auf einer XXXX und Diskursanalyse sowie zahlreichen, online und in gedruckter Form verfügbaren Veröffentlichungen sowie Webseiten in verschiedenen Sprachen, welche eine robuste Grundlage zur Beantwortung der definierten Forschungsfragen darstellen würden. Die wissenschaftliche Bedeutung des Y-Projekts sei aber einer rechtlich kontrollierenden Wertung entzogen.

Per se seien keine Daten von natürlichen Personen verarbeitet worden. Festzuhalten sei, dass es vorrangig die öffentlich einsehbaren Daten der Vereine seien, welche im Rahmen des betreffenden Forschungsprojekts untersucht würden, die grundsätzliche Anwendbarkeit der DSGVO werde aber nicht in Abrede gestellt. In Entsprechung des Art. 5 Abs. 1 lit. a DSGVO sei vor allem Art. 9 Abs. 2 XXXX DSGVO und – der in Umsetzung der Ermächtigungsklausel nach Art. 9 Abs. 2 lit. j DSGVO erlassene - § 7 DSG sowie das FOG als Rechtsgrundlage maßgeblich, da sich die XXXX Zugehörigkeit der Betroffenen aus dem Y-Projekt ergebe. Art. 85 DSGVO ermächtige zudem die Mitgliedstaaten, durch geeignete Rechtsvorschriften das Recht auf Schutz von personenbezogenen Daten nach der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu wissenschaftlichen Zwecken in Einklang zu bringen und insoweit umfassende Abweichungen und Ausnahmen von der DSGVO einschließlich ihres Kapitels II vorzusehen. Folglich finde nach § 9 Abs. 2 DSG Kapitel II der DSGVO auf Verarbeitungen keine Anwendungen, die zu wissenschaftlichen Zwecken erfolgen, soweit dies erforderlich sei, um das Datenschutzrecht mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Das Y-Projekt verfolge rein wissenschaftliche Ziele, die damit einhergehenden Datenverarbeitungen lägen daher im Anwendungsbereich von § 9 Abs. 2 DSG. Zudem sei das Y-Projekt als journalistische Tätigkeit iSd § 9 Abs. 1 DSG zu qualifizieren, da laut EuGH Tätigkeiten bereits dann journalistisch seien, wenn sie die Verbreitung von Informationen, Meinungen oder Ideen in der Öffentlichkeit bezwecken. Das Y-Projekt ziele in diesem Zusammenhang darauf ab, einen Beitrag zu einer Debatte von allgemeinem Interesse zu leisten. In Ansehung der Rechtsprechung des EuGH und des EGMR überwögen im konkreten Fall die (näher dargelegten) diesbezüglichen Interessen des BF12 die Interessen der BF1 bis 10. Das Grundrecht der Vereinsfreiheit entfalte keine Drittwirkung und sei daher einer Verletzung durch die BF11 bis 12 sowie den MB nicht zugänglich. Zudem bezöge sich der von den BF1 bis 10 angeführte § 17 Abs. 9 VerG nicht auf das hier gegenständliche ZVR, sondern auf das Lokale Vereinsregister. Bezüglich der behaupteten Verletzung im Recht auf Information seien die datenschutzrechtlich relevanten Informationen mit Veröffentlichung der Datenschutzerklärung gegenüber den BF1 bis 10 erteilt worden und würden laufend aktualisiert. Dass diese davon Kenntnis erlangt hätten, ergebe sich bereits aus deren Vorlage der Datenschutzerklärung.

5. Der ebenfalls rechtsanwaltlich vertretene MB brachte im Rahmen seiner Stellungnahme vom 28.07.2021 im Wesentlichen vor, dass soweit sich die Beschwerde gegen den MB richte, sie insoweit bereits verfehlt sei, als der MB im Rahmen des Y-Projekts keine personenbezogenen Daten verarbeitet habe und ihm für die in diesem Zusammenhang erfolgenden Verarbeitungstätigkeiten keine Verantwortlichenstellung zukomme, weswegen dieser von daher schon nicht gegen das Datenschutzrecht habe verstoßen können. Der MB fördere das Projekt aktuell auf Basis des F&E-Vertrages im Wege der Drittmittelfinanzierung, wobei der MB keinen Einfluss auf die Forschungsarbeit nehme, insbesondere die Methodik, den Forschungsgegenstand und die konkret verfolgten Forschungsfragen. Der MB entscheide auch nicht über die Mittel der konkreten Verarbeitung sowie die Art der Veröffentlichung in Form eines XXXX und mit Informationen angereicherten Y-Projekts. Dies zeige sich bereits daran, dass es sich bei dem Y-Projekt um kein auf Initiative der MB neu aufgesetztes Forschungsprojekt handle, sondern diese von der BF12 bereits seit 20 XXXX kontinuierlich betrieben und weiterentwickelt worden sei. Der MB bestimme daher auch nicht die Zwecke und Mittel der mit der Forschungstätigkeit einhergehenden Datenverarbeitungen, zumal sämtliche zusammenhängenden Entscheidungen bereits lange vor Beginn der Förderung durch den MB getroffen worden seien. Daher betreibe der BF11 die universitäre Forschung und sei in diesem Zusammenhang der BF12 zuzurechnen.

Würde man § 1 Abs. 1 DSG im gegenständlichen Fall so verstehen, dass die BF1 bis 10 tatsächlich in ihrem Geheimhaltungsrecht verletzt wären, wären Forschungsvorhaben wie das hier gegenständliche nicht mehr realisierbar. Ebensowenig könnten dann wissenschaftlich/zivilgesellschaftlich bzw. auch politisch höchst bedeutsame Projekte auf dem Gebiet der zeitgeschichtlichen und politikwissenschaftlichen Forschung, erstellt bzw. veröffentlicht werden. Im Übrigen bezog sich die MB hierzu im Wesentlichen auf jene Ausführungen, wie sie der BF11 und die BF12 tätigten.

6. Nach Einräumung eines Parteiengehörs zu den Ergebnissen des Ermittlungsverfahrens durch die belangte Behörde brachten die BF1 bis 10 in einer hierauf ergangenen Stellungnahme vom 21.09.2021 bzw. 22.09.2021 zusammengefasst vor, dass der Behauptung der BF11 bis 12, die Daten der BF1 bis 10 würden nicht als XXXX präsentiert, vielmehr handle es sich um sachliche und faktenbasierte Informationen, zu entgegnen sei, dass die Veröffentlichung der Daten auf der Y-Website nicht isoliert zu betrachten sei, sondern im Kontext XXXX . Zum Zeitpunkt der XXXX der Y-Website habe diese auch keine Datenschutzerklärung enthalten, sondern sei der Zweck der Y-Website bloß wie folgt beschrieben gewesen: XXXX Ein angeblicher Forschungszweck sei nicht genannt worden. Auch die Präsentation des Y-Projekts durch XXXX und den BF11, die sich beide wiederholt zum XXXX geäußert XXXX hätten, habe dazu beigetragen, dass sämtlichen im Y-Projekt angeführten Organisationen der Ruf anhafte, es handle sich um XXXX Vereinigungen. Obwohl die BF11 die datenschutzrechtliche Verantwortlichkeit allein für sich beanspruche, liege sie unzweifelhaft für alle drei bezeichneten Beschwerdegegner vor. Der BF11 möge im Rahmen einer Professur für die BF12 tätig sein, allerdings werde das Y-Projekt seit seiner ersten Erstellung in seinem Namen geführt und er sei durchgehend als dessen Verfasser aufgetreten. Ein allfälliges arbeits- oder verwaltungsrechtliches Verhältnis sei für die gemeinsame Verantwortlichkeit irrelevant. Darüber hinaus unterliege der BF11 im Rahmen seiner Forschungstätigkeit keiner Weisungsgebundenheit durch die BF12. Sofern der BF11 Forschung im Auftrag und auf Kosten des MB betreibe, wäre eine inhaltliche Einflussnahme der BF12 wegen des Grundrechts auf Forschungsfreiheit gar nicht zulässig. Auch würden Entscheidungen über Zwecke und Mittel der Verarbeitung personenbezogener Daten im Rahmen eines Forschungsvorhabens typischerweise inhaltliche Forschungsfragen darstellen. Daher müsse der BF11 als datenschutzrechtlich verantwortlich angesehen werden.

Ebenso sei der MB für die Datenverarbeitung verantwortlich, da die von ihr übernommene Zurverfügungstellung von Daten sowie die Sammlung und Organisation dieser in Datenbanken eine Verarbeitung personenbezogener Daten darstellen würden. Offensichtlich sei sohin der MB ganz wesentlich in das Y-Projekt involviert.

Weiters habe der BF1 ein Begehren auf Auskunft nach Art 15 DSGVO an den MB gerichtet, auf welches dieser mit Schreiben geantwortet habe. Darin sei angeführt gewesen, dass der MB Daten der BF1 zu Zwecken der Erstellung wissenschaftlicher Studien und Analysen sowie zur XXXX verarbeite und die Daten im Fall von Publikation an die Öffentlichkeit übermittle. Nach eigenen Angaben hätten die BF12 und der MB den F&E-Vertrag zum betreffenden Projekt miteinander abgeschlossen (dessen Vorlage angeregt wurde). Aus derartigen Verträgen zögen beide Seiten Vorteile. Die Weitergabe der Forschungsergebnisse gehöre dabei zum üblichen Vorgehen. Gegenständlich handle es sich wohl kaum um eine Finanzierung aus altruistischen Motiven und sei im Hinblick auf das unzweifelhafte Vorliegen eines gemeinsamen Forschungsziels davon auszugehen, dass auch ein Austausch von Forschungsergebnissen stattfinde.

§ 1 DSG schütze als verfassungsgesetzlich gewährleistetes Recht sowohl natürliche als auch juristische Personen. Juristischen Personen kämen sohin jedenfalls die in § 1 DSG normierten Rechte zu, nicht aber jene Rechte, die nur in der DSGVO, aber nicht in § 1 DSG Deckung fänden. Nur bei bloßer Reproduktion von „allgemein zugänglichen Daten“ ohne Generierung neuer Information könne eine mangelnde Schutzwürdigkeit iSd § 1 Abs. 1 DSG angenommen werden. Da im vorliegenden Fall aber gerade durch die Verknüpfung von Daten neue Daten entstanden seien, liege ein schutzwürdiges Geheimhaltungsinteresse vor.

Was die Frage der Zulässigkeit der Datenverwendung durch die BF11 bis 12 und dem MB anbelangt, würden deren Stellungnahmen nicht ausführen, worauf sich die Verwendung der personenbezogenen Daten der BF1 bis 10 eigentlich stütze. Auch unter der Annahme, dass die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken privilegiert sei, so würden doch weiterhin die Grundsätze der Datenminimierung (Art 5 Abs. 1 lit c DSGVO) sowie der Verhältnismäßigkeit (§ 1 Abs. 2 letzter Satz DSG; § 9 Abs. 2 DSG) gelten. § 7 Abs. 1 Z 1 DSG sei nicht einschlägig, weil nicht nur allgemein verfügbare Daten verwendet würden, sondern auch XXXX (Verweis auf die Stellungnahme des MB). Auch die Voraussetzungen des § 7 Abs. 2 und 3 DSG seien nicht gegeben. § 2d Abs. 2 FOG verweise auf Art 9 Abs. 2 lit g, i und j DSGVO, die wiederum das Gebot der Verhältnismäßigkeit statuierten. Laut § 2d Abs. 2 Z 1 FOG solle die Verarbeitung personenbezogener Daten grundsätzlich nur in pseudonymisierter Form erfolgen oder – im Fall von Veröffentlichungen – nur in anonymisierter/pseudonymisierter Form. Die Veröffentlichung der Adressdaten sowie der ZVR-Nummern entspreche weder dem Grundsatz der Datenminimierung noch dem Grundsatz der Verhältnismäßigkeit.

7. Den BF11 bis BF12 sowie dem MB wurde diese Stellungnahme der BF1 bis 10 von der belangten Behörde mit Schreiben vom 28.10.2021 zur Kenntnis gebracht. Darüber hinaus wurden sie zur Beantwortung ergänzender Fragen sowie zur Vorlage weiterer Unterlagen aufgefordert.

8. Die BF1 bis 10 brachten am 03.11.2021 eine weitere Eingabe ein, in welcher sie anführten, dass sich ausdrücklich auch die BF1 bis 6 auf die Verletzung im Recht auf Information beriefen, da sie nicht ausreichend iSd Art. 13 und 14 DSGVO über die Erhebung ihrer personenbezogenen Daten informiert worden seien.

9. Mit Verfahrensanordnung vom 22.11.2021 gab die belangte Behörde einem Antrag des MB auf Akteneinsicht unter Ausnahme bestimmter Aktenteile statt.

10. Die BF11 bis 12 sowie der MB replizierten auf die Aufforderung der belangten Behörde mit Stellungnahmen vom 25.11.2021. Im Folgenden wurde abermals in die Richtung argumentiert, dass die BF12 lediglich öffentlich verfügbare Daten verarbeite.

Zum Verhältnis zwischen BF11 und BF12 wurde im Wesentlichen wiederholend auf die bisherigen Ausführungen Bezug genommen sowie darauf verwiesen, dass Universitätsprofessor:innen – wie der BF11 – in ihrer Funktion immer für die Universität, sofern sie Forschungstätigkeiten im Rahmen ihrer dortigen Professur durchführten, handeln würden. Universitätsprofessor:innen seien nicht weisungsfrei, sondern im Rahmen ihres Dienstverhältnisses sehr wohl an Weisungen dienstrechtlicher Natur der Universität gebunden. Beispielsweise könne die Universität die Weisung erteilen, personenbezogene Daten nicht für die Forschungstätigkeit zu verarbeiten, wenn diese der Meinung sei, dass die Daten rechtswidrig verarbeitet würden. Universitätsprofessor:innen seien somit Arbeitnehmer:innen der Universität und es sei die Pflicht von Universitätsprofessor:innen, im Rahmen ihres Arbeitsverhältnisses zu forschen und zu lehren. In datenschutzrechtlicher Hinsicht bestehe aber betreffend deren Forschungstätigkeiten ebensowenig eine Verantwortlichkeit der leitenden Professor:innen wie betreffend Anwesenheitslisten im Rahmen von Lehrveranstaltungen, die unter deren Leitung abgehalten würden. Die Freiheit der Wissenschaft und Lehre ändere in diesem Zusammenhang nichts an der datenschutzrechtlichen Rollenverteilung. Ein an der Universität forschender oder lehrender Professor handle nicht im eigenen Namen oder auch im eignen Interesse, sondern stets für die Universität selbst. Konkret führe der BF11 das betreffende Forschungsprojekt eigenverantwortlich im Rahmen seines Anstellungsverhältnisses an der BF12 und zwar in deren Räumlichkeiten und mit deren Betriebsmittel und deren Arbeitnehmer:innen durch, dieses falle in seinen Forschungsbereich. Die BF12 habe die Forschungstätigkeit des BF11 nicht untersagt und diesbezüglich auch sonst keine Vorgaben gemacht. Der BF11 habe die gegenständlichen Daten der BF1 bis 10 erhoben bzw. erheben lassen und seine Recherche Ergebnisse zu den einzelnen Vereinen auf der Y-Webseite veröffentlicht. Somit übernehme er die Überarbeitung der vorhandenen Daten zum Y-Projekt, die Beschreibung der XXXX , der XXXX , einschließlich der Erweiterung und Aktualisierung um XXXX Informationen. In diesem Zusammenhang habe der BF11 – abhängig von deren Verfügbarkeit und Relevanz – jeweils XXXX erhoben und auf der Y-Website veröffentlicht sowie in einer bei der BF12 geführten Datenbank gespeichert. Seitens des XXXX der BF12 sei das Forschungsprojekt insofern zur Kenntnis genommen worden, als dass der zuständige Vizerektor den F&E-Vertrag unterfertigt habe. Die faktische Datenverarbeitung sei durch die BF12 erfolgt. Das Projekt sei aus Mitteln des MB als Fördergeber finanziert worden, Empfängerin der Fördermittel sei die BF12 gewesen, diese habe das Projekt durchgeführt und der BF11 sei vonseiten der BF12 als Projektkoordinator benannt worden. Es sei seitens der MB diesbezüglich zu gar keiner Einflussnahme gekommen.

Beim im Impressum zum Y-Projekt getätigten Hinweis, wonach diese ein Kooperationsprojekt zwischen dem BF11 und dem MB sei, werde der BF11 zwar namentlich genannt, aber sehr wohl seine Affiliation zur und Tätigkeit an der BF12 deutlich gemacht. Demnach werde der BF11 als Ansprechpartner an der BF12 und überhaupt für das gesamte Forschungsprojekt genannt. Auf die Kooperation sei auch gemäß dem F&E-Vertrag bei Veröffentlichungen hinzuweisen gewesen.

Der MB werde in diesem Zusammenhang lediglich im Hinblick auf seine finanzielle Unterstützung als Kooperationspartner genannt. Er organisiere, sammle, prüfe, aktualisiere oder stelle für das betreffende Projekt keine personenbezogenen Daten zu Verfügung. Zwar sei im F&E-Vertrag eine gewisse Einbindung des MB bei der Erstellung des Y-Projekts vereinbart und seien ihm etwa die Zurverfügungstellung von Informationen sowie die Prüfung und Aktualisierung von Daten übertragen. Dies sei allerdings nie so praktiziert worden, denn die Rolle des MB beschränke sich seit Abschluss des F&E-Vertrags darauf, die BF12 punktuell auf etwaige Änderungen im Y-Projekt hinzuweisen, etwa wenn ein Verein aufgelöst oder neu gegründet werde. Die Entscheidung, ob darin Inhalte verändert oder gelöscht würden, verbleibe allein bei der BF12. Abgesehen vom wissenschaftlichen Austausch zwischen Forschern bzw. wissenschaftlichen Einrichtungen sei der MB nicht in die Erstellung und Pflege des Y-Projekts eingebunden.

11. Mit dem nunmehr angefochtenen Bescheid wurde die Beschwerde der BF1 bis 10 wegen Verletzung im Recht auf Geheimhaltung wird als unbegründet abgewiesen (Spruchpunkt 1.). Den BF11 bis BF12 und dem MB wurde amtswegig aufgetragen, innerhalb einer Frist von sechs Wochen eine Vereinbarung gemäß Art. 26 DSGVO zum Y-Projekt abzuschließen (Spruchpunkt 2.). Die Beschwerde der BF1 bis 10 wegen Verletzung im Recht auf Information wurde als unbegründet abgewiesen (Spruchpunkt 3.).

Rechtlich führte die belangte Behörde (im Hinblick auf Spruchpunkt 2.) aus, dass es für eine gemeinsame Verantwortlichkeit iSd. Art. 4 Z 7 iVm. Art. 26 DSGVO nicht darauf ankomme, dass die BF11 bis 12 und der MB zu gleichen Maßen oder mit vergleichbarer Intensität auf die einzelnen Verarbeitungsvorgänge Einfluss nähmen oder diese selbst durchführen oder selbst gewonnene Datensätze (mit-)verwalten würden, bzw. diese Zugang zu den in Rede stehenden Datensätzen hätten. Auch das (bloße) Bereitstellen finanzieller Mittel, welche eine Datenverarbeitung durch andere erst möglich machen, könne eine (gemeinsame) datenschutzrechtliche Verantwortlichkeit begründen, wenn dadurch ein gewisser Grad an (Mit-)Entscheidung erreicht wird. Der BF11 sei als Universitätsprofessor selbst Träger des Grundrechts der Wissenschaftsfreiheit und als solcher in der Forschung und Lehre weitgehend von Weisungen freigestellt. Als Leiter des fallbezogenen (Forschungs-)Projekts lege er die wesentlichen Projektziele sowie deren Ausführung fest und bestimme über Zwecke und Mittel der zugehörigen Datenverarbeitung mit. Die Auswahl der konkreten Daten und das Einfließen von Informationen in das Projekt, sowie ihre weitere Aufbereitung und Veröffentlichung, obliege maßgeblich dem BF11. Somit würden seine Tätigkeiten in Bezug auf das betreffende Projekt die Voraussetzungen für eine gemeinsame Verantwortlichkeit erfüllen, weshalb dieser als (Mit-)Verantwortlicher zu qualifizieren sei. Dem Vorbringen des MB, wonach dieser lediglich als Geldgeber am Projekt beteiligt sei, stehe der F&E-Vertrag entgegen, wonach dem MB auch die Zurverfügungstellung von inhaltlichen Informationen sowie die Prüfung und Aktualisierung von Daten in Bezug auf XXXX obliege. Die vom MB zur Verfügung gestellten finanziellen Mittel seien letztendlich zweckgebunden und von ihm zur (weiteren) Realisierung des Y-Projekts bestimmt. Sohin vermöge das Argument des MB, keinerlei Entscheidungsgewalt hinsichtlich der Zwecke bzw. Ziele des Y-Projekts innezuhaben, nicht zu überzeugen, weswegen ebenso der MB als datenschutzrechtlich (Mit-)Verantwortlicher zu qualifizieren sei. Da insofern eine gemeinsame Verantwortung der BF11 bis 12 und des MB vorliege und sie keine Vereinbarung gemäß Art. 26 DSGVO abgeschlossen hätten, hätten sie untereinander eine derartige Vereinbarung abzuschließen und betroffenen Personen die Kernpunkte dieser Vereinbarung zur Verfügung zu stellen, wozu der der amtswegige Leistungsauftrag in Spruchpunkt 2. diene.

Zu Spruchpunkt 1. wurde ausgeführt, dass der Schutzbereich des § 1 DSG erfasse – im Unterschied zur DSGVO – sowohl natürliche, als auch juristische Personen. Sofern die BF7 bis 10 (als natürliche Personen) vorbrächten, einige der unter Y-Website veröffentlichten und aus dem ZVR erhobenen Anschriften hätten zum Teil ihre Privatadressen bzw. jene von Vereinsmitgliedern zum Gegenstand, so handle es sich bei jenen im ZVR öffentlich einsehbaren Anschriften um Daten der BF1 bis 6 (nämlich ihren jeweils eingetragenen Vereinssitz). Dass einige Vereinsanschriften gleichzeitig natürlichen Personen zuzuordnen seien, sei hierbei weder aus dem ZVR, noch aus den im Y-Projekt zur BF1 bis 6 bereitgestellten Informationen ersichtlich. Dieser Umstand könnte allenfalls nur nach weitergehender Recherche im ZMR im Wege einer Meldeauskunft gemäß § 18 MeldeG eruiert werden, wobei natürlichen Personen die Möglichkeit offenstehe, derartige Abfragen mittels Beantragung einer Auskunftssperre zu unterbinden. Im ZVR würden zu den BF1 bis 6 ausschließlich die Namen der BF7 bis 10 in ihrer Funktion als organschaftliche Vertreter verarbeitet. Weitere Merkmale, anhand derer die BF7 bis 10 bestimmt werden könnten, seien dem ZVR nicht zu entnehmen. Im Ergebnis müssten daher die BF11 bis 12 und der MB zu allen im ZVR angegebenen organschaftlichen Vertretern der BF1 bis 6 individuelle ZMR-Abfragen unter Verwendung der jeweiligen Namen und des im ZVR ersichtlichen Vereinssitzes tätigen. Zwar sei eine auf diesem Wege erfolgende Identifizierung der BF7 bis 10 nicht gänzlich denkunmöglich, nach Ansicht der belangten Behörde aber mit einem ungewöhnlich hohen Ermittlungsaufwand verbunden und übersteige eine vernünftigerweise zu erwartende Anstrengung. Es hätten sich keine Anhaltspunkte ergeben, dass die BF11 und 12 und der MB derartige ZMR-Abfragen zu den BF7 bis 10 getätigt hätten, denn auch im Rahmen der Y-K sei nicht ersichtlich, dass (anderweitige) Informationen über die BF7 bis 10 (wie bspw. Namen oder Geburtsdaten) verarbeitet würden. Sohin handle es sich bei den im Y-Projekt zur BF1 bis 6 bereitgestellten Informationen um keine personenbezogenen Daten der BF7 bis 10, weshalb diese bereits aus diesem Grund nicht in ihrem Recht auf Geheimhaltung verletzt worden sein könnten.

Hinsichtlich der BF1 bis 6 sei der Anwendungsbereich von § 1 Abs. 1 DSG jedenfalls eröffnet, da sich die in Rede stehenden Informationen – diese beträfen allgemeine „Stammdaten“ und ergänzende Informationen zu ihrer Vereinsorganisation und –tätigkeit – iSd Art. 4 Z 1 DSGVO auf diese bezögen und ihre Erhebung, Ordnung, Speicherung sowie Verbreitung im Internet unter der Y-Website durch die BF11 bis 12 sowie den MB zweifelsfrei eine (automatisierte) Verarbeitung iSd Art. 4 Z 1 DSGVO darstelle. Die Anwendbarkeit der XXXX iSd Art. 9 EMRK bzw. Art. 10 EU-GRC auf die BF1 bis 6 sei zu bejahen und würden im Rahmen des Y-Projekts zu einem kleinen Teil insofern auch Informationen iSd. Art. 9 Abs. 1 DSGVO über die BF1 bis 6 verarbeitet. Bezüglich der Stammdaten könne im Grundsatz von einer geringeren Schutzwürdigkeit ausgegangen werden, diese seien ausschließlich aus öffentlich zugänglichen Quellen recherchiert worden. Als weiteres Argument für die Annahme einer geringeren Schutzwürdigkeit ihrer Daten lasse sich der Umstand ins Treffen führen, wonach die BF1 bis 6 juristische Personen seien. Demgegenüber lasse sich aus dem Vorbringen der BF1 bis 6, dass das ZVR „umständlich“ zu bedienen und die darin veröffentlichten Daten schwer zu finden seien, für die Frage der allgemeinen Verfügbarkeit jener Daten nichts gewinnen.

Die Eingriffe der BF11 bis 12 sowie des MB in das Recht auf Geheimhaltung der BF1 bis 6 könnten auch auf ausreichende Rechtsfertigungstatbestände gestützt werden: Zwar sei zunächst die Ausnahme nach § 9 Abs. 1 DSG im vorliegenden Fall nicht einschlägig, gleichwohl würden die BF11 und 12 sowie der MB die im Rahmen des Y-Projekts durchgeführten Datenverarbeitungen im Weiteren auf die Freiheit der Meinungsäußerung sowie die Freiheit der Wissenschaft und Forschung stützen. § 1 Abs. 1 DSG sei im Lichte der unionsrechtlichen Vorgaben einschränkend zu interpretieren, sodass allgemein verfügbare Daten nicht ipso facto vom Geltungsbereich datenschutzrechtlicher Vorschriften ausgenommen seien. Vielmehr bedürfe es für die Verarbeitung auch dieser Daten eine entsprechende Rechtfertigung im Sinne des § 1 Abs. 2 DSG bzw. Art. 6 Abs. 1 DSGVO oder Art. 9 Abs. 2 DSGVO. Gegenständlich sei zu berücksichtigen, dass durch die Verknüpfung von (zulässigerweise veröffentlichten) personenbezogenen Daten zusammen mit der Anreicherung durch weitere, selbst recherchierte bzw. erstellte Informationen im Y-Projekt im Ergebnis neue Daten und Informationen generiert würden. Somit liege diesbezüglich eine neue Verwendung mit einem neuen Zweck vor, welche daher auf ihre Rechtmäßigkeit zu überprüfen sei. Das in § 1 DSG verfassungsrechtlich normierte Grundrecht auf Datenschutz gelte einerseits nicht absolut und könne andererseits nicht isoliert betrachtet werden, weil daneben andere, durch weitere Grundrechte geschützte Rechtsgüter zu berücksichtigen seien. In die Abwägung seien einerseits das Interesse der BF1 bis 6 an der Geheimhaltung ihrer personenbezogenen Daten und andererseits das Interesse der BF11 bis 12 sowie des MB an der Durchführung des betreffenden Projekts im Rahmen der Freiheit der Wissenschaft und Meinungsäußerung. Die im Rahmen des Y-Projekts durchgeführten Tätigkeiten würden den Wissenschaftsbegriff erfüllen und seien der Wissenschaftsfreiheit iSd Art. 17 StGG zugänglich. Folglich könnten sich die BF11 bis 12 und der MB auf geeignete Rechtsgrundlagen stützen und komme ihnen auch ein berechtigtes Interesse an der Ausübung jener Freiheiten zu. Dass lediglich der BF11 und die BF12, nicht aber auch der MB, dem „klassischen“ wissenschaftlichen Bereich zuzuordnen seien, schade nicht, da einerseits die Wissenschaftsfreiheit jedermann (also auch dem MB) zukomme und andererseits gegenständlich ein gewisser Grad an Arbeitsteilung vorliege und die BF11 bis 12 und der MB in unterschiedlichem Umfang und Ausmaß am Y-Projekt mitgewirkt hätten. Auch eine Prüfung am Maßstab des Art. 10 EMRK führe zu keinem anderen Ergebnis. Bei der Abwägung zwischen den Grundrechten nach § 1 DSG und Art. 17 StGG bzw. Art. 10 EMRK könne auf die in der Rechtsprechung des EGMR sowie des EuGH – für die Zwecke der Abwägung zwischen dem Recht auf Achtung des Privatlebens und dem Recht auf freie Meinungsäußerung – entwickelten Kriterien zurückgegriffen werden. Es liege ein Beitrag zu einer Debatte von allgemeinem Interesse vor, es könne auch davon ausgegangen werden, dass (zumindest) der Kern der über die BF1 bis 6 bereitgestellten Informationen richtig sei. Eine Darstellung der BF1 bis 6 als XXXX könne die belangte Behörde darin nicht erkennen. Zur Art und Weise sowie den Umständen, unter denen die Informationen erlangt worden seien, hätten die BF11 bis 12 und der MB nachvollziehbar dargelegt, dass die im Y-Projekt veröffentlichten Stammdaten auf Recherchen in öffentlich zugänglichen Quellen beruhen würden. Bezüglich der Art der betroffenen Information und ihrer Sensitivität für das Privatleben der Betroffenen hätten die BF1 bis 6 – abgesehen von der Vorlage allgemeiner Medienberichte – nicht dargelegt, inwiefern sie selbst von der Aktion betreffend die Aufstellung von Warntafeln vor XXXX Einrichtungen betroffen gewesen seien. Eine „Popularklage“ sei in Österreich nicht vorgesehen. In einer Gesamtschau dieser Überlegungen sei das von den BF11 bis 12 und vom MB in Anspruch genommene Grundrecht auf Wissenschafts- und Meinungsäußerungsfreiheit höher zu gewichten sei, als jenes der BF1 bis 6 auf Geheimhaltung ihrer personenbezogenen Daten.

Zu Spruchpunkt 3. erwog die belangte Behörde, dass die durch die DSGVO gewährleisteten Betroffenenrechte ausschließlich natürlichen Personen zukämen. Ein mit Art. 13 und 14 DSGVO vergleichbares Recht sei dem DSG dagegen fremd. Den BF1 bis 6 kämen die Rechte nach Art. 13 und 14 DSGVO daher schon grundsätzlich nicht zu, weil diese in § 1 DSG keine Ausdehnung auf juristische Personen fänden. In Bezug auf die BF7 bis 10 sei Art. 13 und 14 DSGVO gemein, dass ein „Erheben“ von personenbezogenen Daten einer betroffenen Person Voraussetzung für die Begründung der jeweiligen Informationspflicht sei. Bei den im Y-Projekt zur Verfügung gestellten Daten handle es sich jedoch ausschließlich um Daten der BF1 bis 6, personenbezogene Daten der BF7 bis 10 würden dagegen nicht verarbeitet. Mangels Erhebung ihrer personenbezogenen Daten durch die BF11 bis 12 sowie den MB hätten die BF7 bis 10 daher auch keinen Anspruch auf Informationen iSd Art. 13 und 14 DSGVO.

12. Mit Bescheid vom XXXX 2022, Zl. XXXX , wurde der Antrag auf Akteneinsicht vom XXXX 2022 der BF1 bis 10 für einen Teil der GZ: XXXX , nämlich für den zwischen der BF12 und dem MB abgeschlossenen F&E-Vertrag samt seinen Anlagen, gemäß § 17 Abs. 3 AVG abgewiesen (Spruchpunkt 1.). Weiters wurde die aufschiebende Wirkung einer allfällig rechtzeitig eingebrachten und zulässigen Beschwerde nach Art. 130 Abs. 1 Z 1 B-VG ausgeschlossen (Spruchpunkt 2.).

13. Gegen die Spruchpunkte 1. und 3. des unter Punkt 11. genannten verfahrensgegenständlichen Bescheides erhoben die BF1 bis 10 fristgerecht Beschwerde an das Bundesverwaltungsgericht. Darin brachten sie nach einer Darstellung des Verfahrensganges und Sachverhaltes im Wesentlichen vor, dass es sich bei den Vereinssitzen teils um Privatadressen der BF7 bis 10 handle, die allesamt organschaftliche Vertreter:innen der BF1 bzw. ihrer XXXX organisationen seien, bei der Anschrift handle es sich geradezu idealtypisch um persönliche Informationen iSd Art. 4 Z 1 DSGVO, die eine Identifikation zulassen würden. Insbesondere in Zusammenschau mit weiteren Informationen könne auch ein klarer Bezug zu den BF7 bis 9 hergestellt werden, so würden die Namen der BF7 bis 9 in ihrer Funktion als organschaftliche Vertreter im ZVR verarbeitet. Der BF9 sei überdies auf der Homepage der BF1 unter XXXX als Vorsitzender der XXXX organisation mit Namen und Fotografie leicht auffindbar. Folglich ergebe sich aus dem öffentlichen Register der Name der BF7 bis 10 und zusätzlich über Link, platziert auf der Y-Website, der Name des BF9. Die belangte Behörde führe an, eine Identifizierung mittels ZMR-Abfrage wäre „mit einem ungewöhnlich hohen Ermittlungsaufwand verbunden und [würde] […] eine vernünftigerweise zu erwartende Anstrengung“ (ebd) übersteigen, wobei die belangte Behörde den Auftrag des Y-Projekts, nämlich die Darstellung der XXXX sowie die XXXX Vereine, vollkommen außer Acht lasse. Somit erweise sich ein entsprechender Ermittlungsaufwand im Rahmen des vermeintlich wissenschaftlichen Projekts für die Verantwortlichen als vernünftigerweise erwartbar, dies sei insbesondere auch in Bezug auf einen mit den Informationen auf der Y-Website und diese in für die BF1 bis 10 schädlicher Weise verarbeiteten, erweiterten Personenkreis mit verfahrensmaßgeblicher Wahrscheinlichkeit zu erwarten. Die DSB verweise in diesem Zusammenhang auch selbst auf einschlägige Judikatur, wonach ein personenbezogenes Datum vorliege, wenn die Identifizierung natürlicher Personen mit einem „vertretbaren und rechtlich zulässigen Aufwand“ möglich sei. Für jeden Dritten sei es ohne weiteres möglich die jeweilige Adresse aufzusuchen und die Personen zu identifizieren, beim BF9 habe eine fremde Person auch tatsächlich dessen Wohnung aufgesucht. Dass es sich um Privatadressen der betroffenen Personen handle, sei sowohl für die Verantwortlichen wie auch Dritte im Rahmen zulässiger Möglichkeiten einer ZMR-Abfrage und durch ein Aufsuchen der jeweiligen Adressen auch rechtlich und faktisch eruierbar. Eine Auskunftssperre zu veranlassen, könne von den BF7 bis 10 nicht erwartet werden. Zudem beziehe sich die verarbeitete Information auf die BF7 bis 10. Folglich handle es sich um personenbezogene Daten natürlicher Personen, womit die Zulässigkeit und Rechtmäßigkeit der Verarbeitung nach der DSGVO zu prüfen gewesen wäre. Zudem seien im Rahmen des Y-Projekts nicht nur die Privatanschrift, sondern ebenso weitere personenbezogene Daten des BF9 verarbeitet worden. So enthielten die Kurzinformationen zur BF1 und den XXXX , neben Daten, welche klar die juristische Person beträfen (wie z.B. Mitgliederzahlen), auch die Darstellung der XXXX sowie ebenso die Wiedergabe von Vorwürfen betreffend eine angeblich bestehende Nähe zur XXXX . Der Begriff der personenbezogenen Daten iSd Art 4 Z 1 DSGVO – sei entsprechend der EuGH-Judikatur und Literatur - weit auszulegen und umfasse ebenso die auf der Y-Website angeführten Meinungen und Behauptungen. Die Informationen betreffend die XXXX der Vereinsmitglieder und einer dezidiert ausgeführten angeblichen XXXX behaupteten Nähe XXXX schlage überdies auf sämtliche BF7 bis 10 durch, womit es sich bei diesen Informationen ebenso um personenbezogene Daten handle. Folglich wäre die belangte Behörde verpflichtet gewesen, nicht nur hinsichtlich der Privatadressen der BF7 bis 10, sondern auch in Bezug auf die behaupteten Informationen zu deren XXXX (Art. 9 Abs. 1 DSGVO) die Rechtmäßigkeit der Verarbeitung nach der DSGVO zu überprüfen.

Selbst unter der Annahme, dass die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken privilegiert sein könnte, so würden doch weiterhin die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit c DSGVO) sowie der Verhältnismäßigkeit (§ 1 Abs. 2 letzter Satz DSG) gelten. Es sei in Bezug auf die BF7 bis 10 nicht offengelegt worden, dass es sich hierbei auch um personenbezogene Daten handle. Der behauptete wissenschaftliche Zweck der Datenverarbeitung erweise sich bei näherer Betrachtung als nicht vorliegend. Zudem seien die in Rede stehenden Daten überschießend verarbeitet worden. Die auch der DSGVO immanenten Verhältnismäßigkeitsprüfung falle klar zu Gunsten der BF7 bis 10 aus, insbesondere habe die belangte Behörde hierbei übersehen, dass durch die Privatanschriften in den höchstpersönlichen Lebensbereich der Betroffenen eingegriffen worden sei, der jedenfalls das Leben in und mit der Familie erfasse, was den Kernbereich der geschützten Privatsphäre darstelle. Die DSB differenziere hier auch nicht zwischen den einzelnen Verarbeitungen. Den grund- und unionsrechtlichen Vorgaben sei mit der Veröffentlichung auf der Website jedenfalls nicht entsprochen worden, weswegen durch die Verarbeitung der personenbezogenen Daten die Grundprinzipien der DSGVO und damit auch des Grundrechts auf Geheimhaltung verletzt worden seien, es sei auch kein Zulässigkeitstatbestand der DSGVO erfüllt. Die Privilegierung der Datenverarbeitung für die im öffentlichen Interesse gelegene wissenschaftliche Forschung, Statistik und Archivierung gemäß § 7 DSG sei gegenständlich aus mehreren – näher ausgeführten - Gründen nicht einschlägig. Die Veröffentlichung der Daten auf der Y-Website entspreche auch nicht den Vorgaben nach § 2d FOG. Im Rahmen des Y-Projekts seien jedenfalls personenbezogene Daten betreffend die BF1 bis 6 veröffentlicht und damit verarbeitet worden. Zudem seien durch die Verknüpfung von personenbezogenen Daten zusammen mit der Anreicherung durch weitere recherchierte Daten im Y-Projekt im Ergebnis neue Daten und Informationen generiert worden. Die auf Seite XXXX der Beschreibung des Projekts angeführten Argumente zur Erforderlichkeit der Veröffentlichung der Adressen seien nicht überzeugend. Der Mehrwert der Veröffentlichung der Daten der BF1 bis 10 sei auch am Maßstab eines in der Forschung verorteten objektiven Dritten nicht zu erkennen. Zudem zeige auch ein Blick in die Detailbeschreibungen im Y-Projekt die nur mangelhaft verwendeten wissenschaftlichen Standards auf. Der wesentliche Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO müsse auch auf juristische Personen angewendet werden, womit auch eine Information erfolgen müsse. Vor diesem Hintergrund könne somit der Eingriff auf Basis dieser Grundfreiheit nicht gerechtfertigt werden. Die Veröffentlichung sei auch in Bezug auf die Verletzung des Grundsatzes der Datenminimierung unzulässig. Ebenso wenig vermöge das behauptete Recht auf freie Meinungsäußerung nach Art 10 EMRK im gegebenen Fall zu überzeugen. Die Zuspitzung politischer Einschätzungen unter dem Deckmantel der Publikation von Forschungsergebnissen könne nicht als Beitrag zu einer Debatte von allgemeinem Interesse gewertet werden. Auch die Auswahl der Informationen und Herstellung einer Verbindung der BF1 bis 6 mit der XXXX sei geeignet, diese zu diskreditieren. Entgegen der Behauptung seitens der belangten Behörde, zeige sich bereits durch die infolge der Veröffentlichung auf der Y-Website gegen die dort angeführten Vereine deutlich das Gefährdungspotential für die BF1 bis 10 selbst. Davon abgesehen sei es aber notorisch, dass durch die Veröffentlichung der Behauptung einer Nähe zur XXXX bzw. auch allgemein XXXX durch die XXXX des Y-Projekts den Vereinsfunktionären und -mitgliedern unmittelbare gesellschaftliche, soziale und berufliche Nachteile drohen würden.

14. Gegen Spruchpunkt 2. des gegenständlichen Bescheides erhoben die BF11 und 12 im Wege ihrer rechtsanwaltlichen Vertretung fristgerecht Beschwerde an das Bundesverwaltungsgericht und brachten zusammengefasst vor, zunächst nicht weiter in Abrede zu stellen, dass der MB als auch die BF12 gemeinsame Verantwortliche für das Y-Projekt seien und Zwecke und Mittel der Verarbeitung im Rahmen der genannten Kooperation gemeinsam festlägen. Die belangte Behörde habe den von ihr festgestellten Sachverhalt in rechtlicher Hinsicht nicht richtig beurteilt, da sie den BF11 als Verantwortlichen iSd Art. 4 Z 7 DSGVO qualifiziert habe. Neben dem BF11 als Universitätsprofessor könne sich ebenso jede andere Person auf dieses Grundrecht berufen, welche wissenschaftliche Forschung betreibe. Gebunden werde durch Art. 17 StGG nämlich nur der Staat, d.h. der Gesetzgeber einerseits und die Vollziehung andererseits, Art 17 StGG schütze demnach nur vor staatlichen Eingriffen, aber nicht vor arbeitsrechtlichen Weisungen. Nach § 97 Universitätsgesetz (UG) stünden Universitätsprofessoren in einem Arbeitsverhältnis zur Universität, es liege somit auch zwischen dem BF11 und der BF12 eine privatrechtliche Beziehung vor. Wiewohl es sich bei der BF12 um eine öffentliche Universität handle, die in bestimmten Bereichen auch hoheitlich tätig werde, wäre es jedoch sachlich ungerechtfertigt deshalb der BF12 zu unterstellen, dass jede Arbeitsanweisung an ihre Mitarbeiter einen potenziell staatlichen Eingriff bedeuten würde. Eingriffe würden nur dann einen Verstoß gegen die Wissenschaftsfreiheit darstellen, wenn sie einzig in der Intention erlassen würden, die Wissenschaft zu beschränken. Dass Art. 17 StGG Drittwirkungen entfalten könne und somit, wie bspw. § 1 DSG, auch privatrechtliches Handeln beschränke, sei in der Judikatur so noch nicht bestätigt worden. Es könnten sehr wohl entsprechende Vorgaben für Datenverarbeitungen den Universitätsprofessoren auferlegt werden. Eine entsprechende Entwicklungsfreiheit für die Forschung sei historisch bedingt und der Entwicklung der Forschung zuträglich, jedoch stünde einzelnen Weisungen kein Grundrecht entgegen.

Soweit die belangte Behörde vermeine, dem BF11 könne keine „Privilegierung“ im Sinne des Art 29 DSGVO (2. HS) zukommen, da dieser die Datenverarbeitung auch nicht aufgrund einer gesetzlichen Verpflichtung ausübe, da eine solche aus § 97 UG nicht ableitbar sei, so bestehe für ihn eine entsprechende Weisungsgebundenheit bei der Datenverarbeitung. Fest stehe im Übrigen, dass eine konkrete Definition der Forschungsthematik oder Methodik und der damit einhergehenden Datenverarbeitungen Art 17 StGG widersprechen würden. Telos des Art 29 DSGVO (letzter HS) sei, die Weisung durch eine gesetzliche Verpflichtung zu ersetzen. Die belangte Behörde hätte feststellen müssen, dass der BF11 schlichtweg zu keinem Zeitpunkt im eigenen Namen oder auf eigene Rechnung im Zusammenhang mit der gegenständlichen Datenverarbeitung gehandelt habe. Er sei fest in die Strukturen der BF12 eingebunden und zwar sowohl in fachlicher als auch in organisatorischer Hinsicht, feststellungsgemäß habe er das Forschungsprojekt in seiner Rolle als Universitätsprofessor bei der BF12 betreut. Sodann hätte die belangte Behörde die Systematik des UG in ihre Beurteilung einfließen lassen müssen, insofern bestehe schon ex lege (§ 3 Z 1 UG) eine ausschließliche datenschutzrechtliche Verantwortlichkeit der BF2 für Forschungsprojekte, welche von dieser betrieben würden. Jegliche (an)leitende Tätigkeit der Universitätsprofessoren werde dabei in Vollziehung der gesetzlich übertragenen Aufgaben für die BF12 durchgeführt. Zusammengefasst liege jedenfalls eine Weisungsgebundenheit des BF11 gegenüber der BF12 vor. Selbst im Falle der Annahme, der BF11 sei nicht weisungsgebunden, liege dennoch eine gesetzliche Verpflichtung zur Datenverarbeitung vor, weshalb der BF11 der BF12 nach Art 29 DSGVO zuzurechnen sei und die BF12 (im Verhältnis zum BF11) alleinige datenschutzrechtliche Verantwortliche sei.

15. Die belangte Behörde legte die Beschwerden sowie den Verwaltungsakt dem Bundesverwaltungsgericht zur Entscheidung vor, ohne von der Möglichkeit einer Beschwerdevorentscheidung zu machen.

16. In Entsprechung diesbezüglicher Anträge übermittelte das Bundesverwaltungsgericht am 11.05.2022 bzw. 29.06.2022 die Beschwerde der BF11 bis 12 den BF1 bis 10 sowie die Beschwerde der BF1 bis 10, als auch jene der BF11 und 12, dem MB zur Kenntnis.

17. Der MB äußerte sich hierauf mit Schriftsatz vom 06.10.2022, worin zunächst Erläuterungen zum Hintergrund des Y-Projekts wiederholt wurden. Weiters wurde zur Rolle des MB auf das Wesentlichste zusammengefasst angeführt, dass dieser als Fördergeber das Forschungsvorhaben finanziell unterstütze, ohne aber in diesem Zusammenhang selbst Forschungstätigkeiten auszuüben oder die Forschung von den BF11 und 12 zu bestimmen. Insbesondere nehme der MB keinen Einfluss auf die Methodik, den Forschungsgegenstand und die konkret verfolgten Forschungsfragen. Im Anschluss wurden wiederum Ausführungen dazu getroffen, weshalb keine Verletzung im Recht auf Geheimhaltung und Information der BF1-10 vorliege.

18. Mit Erkenntnis des Bundesverwaltungsgerichtes vom XXXX 2023, GZ: XXXX , wurde die Beschwerde der BF1 bis 10 betreffend den Bescheid hinsichtlich des Antrages auf Akteneinsicht vom 22.02.2022, als unbegründet abgewiesen. Begründend wurde ausgeführt, dass das Interesse der BF11 und BF12 und des MB an der Geheimhaltung des F&E-Vertrages samt seinen Anlagen überwiege.

19. Aufgrund einer Verfügung des Geschäftsverteilungsausschusses vom 20.10.2023 wurde die gegenständliche Rechtssache in die nunmehr zuständige Gerichtsabteilung W214 zugewiesen, wo sie am 07.11.2023 einlangte.

20. Mit Eingabe vom 03.04.2024 stellte die BF10 einen Antrag auf Durchführung der Befragung unter Verwendung technischer Einrichtungen zur Wort- und Bildübertragung.

21. Mit Stellungnahme vom 04.04.2024 brachten die BF 1 bis 10 auf das das Wesentlichste zusammengefasst vor, dass sich die BF8 auf Dauer nicht in Österreich aufhalte und die BF7 mittlerweile auch die organschaftliche Vertretung der BF4 übernommen habe. Hinsichtlich der behaupteten Verletzung im Recht auf Geheimhaltung seien die Informationen zu den BF1 bis 6 sowohl in der XXXX als auch in der Detailbeschreibung adaptiert und ergänzt worden. Im Y-Projekt würden – neben anderen Datenkategorien – politische Bewertungen der BF1 bis 6 verarbeitet, indem eine Nähe zur XXXX und implizit eine Verbindung XXXX hergestellt werde. Durch die Veröffentlichung seien schutzwürdige Interessen der BF1 bis 6 verletzt worden, dies insbesondere vor dem Hintergrund des Anspruchs auf Datensparsamkeit. Es sei kein Grund ersichtlich, warum bei einem öffentlich zugänglichen Projekt der genaue XXXX und die ZVR-Nummer veröffentlicht werden müssen.

22. In einer Stellungnahme vom 08.04.2024 verwiesen die BF11 bis 12 zunächst auf den in der Regierungsvorlage vom 20.03.2024 beschlossenen und auf die Tagesordnung des Wissenschaftsausschusses des Nationalrats am 11.04.2024 aufgenommenen § 6 Abs 9 UG 2002, wonach zwecks „Klarstellung hinsichtlich der Verantwortlichkeit im Sinne des Art. 4 Z 7 DSGVO“ ausdrücklich festgehalten werde, dass hinsichtlich der Verarbeitung personenbezogener Daten durch die Universität und der universitären Organe die Universität alleiniger Verantwortlicher im Sinne des Art 4 Z 7 DSGVO sei. Der BF11 sei weder alleiniger noch gemeinsamer Verantwortlicher im Sinne der DSGVO. Dies vor allem deshalb, weil er als Angestellter der BF12 weisungsgebunden sei. Im Folgenden wurden insoweit weitere Ausführungen zur vorgebrachten fehlenden Verantwortlichenstellung des BF11 getätigt. Weiters wurden Ausführungen dazu getroffen, weshalb eine Verletzung des Rechts auf Geheimhaltung sowie des Rechts auf Information gegenständlich nicht vorliege. Darüber hinaus sei nach einer Entscheidung des BVwG das Recht auf Beschwerde gemäß § 24 DSG auf natürliche Personen beschränkt, die Geltendmachung des subjektiven Rechts einer juristischen Person im Wege des verwaltungsbehördlichen Administrativverfahrens sei nicht vorgesehen. Deshalb sei die Beschwerde der BF1 bis 6 hinsichtlich des Spruchpunkt 1. des gegenständlichen Bescheides mangels Beschwerdelegitimation zurückzuweisen.

23. Am XXXX 2024 fand eine mündliche Verhandlung vor dem Bundesverwaltungsgericht im Beisein von Beschwerdeführer:innen sowie ihrer rechtlichen Vertretungen, des MB sowie eines Vertreters der belangten Behörde statt. Im Rahmen der mündlichen Verhandlung wurde die Beschwerde der BF8, die sich im Ausland befindet, von deren Rechtsvertreter zurückgezogen.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1. Der unter Punkt I. angeführte Verfahrensgang wird den Feststellungen zugrunde gelegt.

2. Insbesondere wird folgender Sachverhalt festgestellt:

2.1. Die BF1 ist ein unter der ZVR-Zahl XXXX eingetragener Verein. Der BF9 ist ein organschaftlicher Vertreter ( XXXX vorsitzender) der BF1.

Die BF2 ist ein in XXXX unter der ZVR-Zahl XXXX eingetragener Verein. Die BF3 ist ein in XXXX unter der ZVR-Zahl XXXX eingetragener Verein, wobei die BF7 eine organschaftliche Vertreterin der BF3 ist. Die BF4 ist ein im XXXX unter der ZVR-Zahl XXXX eingetragener Verein. Die BF8 war bis zum XXXX 07.2021 eine organschaftliche Vertreterin der BF4, mittlerweile ist die BF8 ins Ausland verzogen. Seit dem XXXX 07.2021 wird diese Funktion von der BF7 wahrgenommen. Die BF5 ist ein in XXXX unter der ZVR-Zahl XXXX eingetragener Verein, wobei der BF9 deren organschaftlicher Vertreter (Vorsitzender) ist. Die BF6 ist ein in XXXX unter der ZVR-Zahl XXXX eingetragener Verein, deren organschaftliche Vertreterin ( XXXX vorsitzende) die BF10 ist. Die BF2 bis 6 sind Ableger der BF1 in den jeweiligen Bundesländern.

2.2. Der BF11 ist Professor für XXXX am Institut XXXX Studien der BF12. Die BF12 ist eine öffentliche Universität.

Der MB ist ein zur wissenschaftlichen Erforschung XXXX eingerichteter Fonds.

2.3. Die BF1 bis 10 haben am XXXX Kenntnis von der Y-Website erlangt.

2.4. In der Startseite dieser Website ist eine XXXX eingebettet, auf welcher XXXX angebracht sind, welche auf XXXX von XXXX Einrichtungen hinweisen. Beim XXXX , in welchem Informationen zur konkreten Adresse, dem XXXX bereitgestellt werden. Im unteren Bereich des XXXX ist ein XXXX angebracht, welcher einen Link XXXX enthält. Auf den XXXX sind XXXX abrufbar, wie (je nach Verfügbarkeit) XXXX , ihre Zuordnung zu einem XXXX , ihre XXXX , sowie ihre ZVR-Zahl. Des Weiteren wird auf der Website eine Suchfunktion für XXXX nach XXXX angeboten. Das Projekt wird seit 20 XXXX betrieben und es fanden seither auch Veröffentlichungen auf der Y-Website statt.

2.5. Ziel des Y-Projekts war und ist es, einen Überblick über die gegenwärtige XXXX Vereinslandschaft in Österreich zu geben, indem die jeweilige XXXX , die XXXX Vereine sowie deren XXXX abgerufen werden können. In weiterer Folge soll XXXX , der wissenschaftlichen Community, der XXXX sowie einer interessierten Öffentlichkeit ein Einblick in die XXXX Vereinslandschaft in Österreich geboten werden. Die Projektbeschreibung enthält in diesem Zusammenhang eine Beschreibung des Forschungsbedarfs, beinhaltet Forschungsfragen und legt Methoden zur empirischen Erforschung und Analyse der aufgeworfenen Fragestellungen auf.

2.6. Zu den BF1 bis 6 waren am XXXX bzw. XXXX unter der oben genannten Website unter anderem folgende Informationen abrufbar:

Zur BF1:

Adresse am XXXX

E-Mail: XXXX

Website: XXXX

ZVR-Zahl: XXXX

Bei der Adresse XXXX handelt es sich um eine Büroanschrift.

Zur BF2:

Adresse am XXXX

E-Mail: XXXX

Website: XXXX

ZVR-Zahl: XXXX

Bei der Adresse XXXX handelt es sich um eine Büroanschrift.

Zur BF3:

Adresse am XXXX

Adresse am XXXX

ZVR-Zahl: XXXX

Bei der Adresse XXXX handelt es sich zugleich um die Privatanschrift der BF7 seit XXXX 2017.

Bei der Adresse XXXX handelt es sich um die Privatanschrift der BF7 bis XXXX 2017.

Zur BF4:

Adresse am XXXX

Adresse am XXXX

Adresse spätestens seit 09.02.2022: XXXX

E-Mail: XXXX

Website: XXXX

ZVR-Zahl: XXXX

Die zum Zeitpunkt der Entscheidung der belangten Behörde vertretungsbefugte BF8 ist inzwischen im Ausland, am XXXX und am XXXX war im ZVR ihre Privatadresse ersichtlich.

Zur BF5:

Adresse am XXXX

Adresse am XXXX

E-Mail: XXXX

Website: XXXX

ZVR-Zahl: XXXX

Bei den Adresse XXXX handelt es sich zugleich um die Privatanschrift des BF9 bis XXXX 2021.

Bei der Adresse XXXX , handelt es sich zugleich um die Privatanschrift des BF9 bis XXXX 2017.

Zur BF6:

Adresse am XXXX

E-Mail: XXXX

Website: XXXX

ZVR-Zahl: XXXX

Bei der Adresse XXXX , handelt es sich zugleich um die Privatanschrift der BF10 seit XXXX 2006.

Spätestens seit 09.02.2022 sind die TOP-Nummern nicht mehr ersichtlich.

2.7. Der Umstand, dass es sich bei den genannten Adressen der BF3 bis 6 gleichzeitig um die Privatadressen der genannten Vereinsmitglieder handelt, lässt sich sowohl über eine (kostenlose) ZVR-Abfrage und eine mit den hieraus gewonnenen Informationen (Name der organschaftlichen Vertretung, Vereinssitz) anschließend durchgeführte ZMR-Abfrage, als auch durch ein direktes Aufsuchen der betreffenden Adressen eruieren.

2.8. In XXXX wurden im Zuge des Beginns der öffentlichen Diskussionen um das Y-Projekt im Jahr 2021 Warntafeln vor XXXX aufgestellt.

Im Jahr 2021 (ca. 5 bis 6 Tage, nachdem die öffentlichen Diskussionen um das Y-Projekt begannen) suchte eine fremde Person die damalige Adresse der BF5, welche zugleich die Privatadresse des BF9 war, auf, während der BF9 nicht anwesend war. Angesprochen vom Vermieter an der betreffenden Adresse, vermeinte die fremde Person sinngemäß, nur wissen zu wollen, ob die BF5 dort wirklich gemeldet sei.

2.9. Bei den BF1 bis 6 wurde unter der Website jedenfalls noch zum Entscheidungszeitpunkt der belangten Behörde jeweils folgender Zusatztext angezeigt (Wiedergabe wie im Original, Formatierung nicht 1:1 wiedergegeben):

XXXX

XXXX

XXXX

XXXX

XXXX

2.9. Der BF11 leitet das Projekt des Y-Projekts und ist wesentlich in die Erarbeitung der Beschreibung der dort präsentierten Einrichtungen, einschließlich deren Veröffentlichung im Y-Projekt, sowie deren laufende Überarbeitung eingebunden.

Der BF11 stellte am XXXX 04.2022 und XXXX 10.2022 Genehmigungsanträge im Hinblick auf das betreffende Projekt an die belangte Behörde.

2.10. Zwischen der BF12 und dem MB wurde im März 2021 ein Forschungs- und Entwicklungsvertrag über das Projekt des Y-Projekts abgeschlossen. Vertragsgegenstand ist im Wesentlichen die gemeinsame Durchführung des Y-Projekts. Im genannten Vertrag werden Aufgaben der BF12 und des MB festgelegt. Dem MB obliegt laut Vertragsinhalt neben der Finanzierung des Projekts die Zurverfügungstellung von inhaltlichen Informationen sowie die Prüfung und Aktualisierung der Datenbank in Bezug auf XXXX . Tatsächlich leistete der MB ausschließlich finanzielle Förderungen, ohne hierbei Einfluss auf Datenverarbeitungen im Zusammenhang mit dem Projekt gehabt zu haben, insbesondere die Veröffentlichungen im Y-Projekt. Der Vertrag lief am XXXX 03.2023 aus.

2.11. In der unter der Y-Website abrufbaren Datenschutzerklärung, welche am XXXX 2021 bereitgestellt wurde, wird die BF12 als alleinige Verantwortliche für das Y-Projekt genannt.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem vorgelegten Verwaltungs- sowie den gegenständlichen Gerichtsakten, insbesondere auch aus der Niederschrift über die mündliche Verhandlung vor dem Bundesverwaltungsgericht.

Im Besonderen ergeben sich die Feststellungen zu den Möglichkeiten der Eruierbarkeit der Privatadressen von Vereinsmitgliedern über die Adresse der BF3 bis 6 zum einen schon aus den Erwägungen der belangten Behörde im bekämpften Bescheid sowie den diesbezüglichen Ausführungen der BF1 bis 10 (siehe dazu weiter in der rechtlichen Beurteilung). Zur Kostenlosigkeit der ZVR-Abfrage ist auf die Internetanfrage des BMI unter der Website https://citizen.bmi.gv.at/at.gv.bmi.fnsweb-p/zvn/public/Registerauszug zu verweisen. Was die Feststellungen zum Aufstellen von Warntafeln in XXXX anbelangt, so ist auf die seitens der BF1 bis 10 vorgebrachten XXXX zu verweisen. Die Feststellungen zum Vorfall, wonach eine fremde Person die damalige Adresse des BF9 aufgesucht hat, beruht auf seinen Beschwerdeausführungen und seinen betreffenden Angaben in der mündlichen Verhandlung. Die Feststellungen zu den seitens des BF11 gestellten Genehmigungsanträgen im Hinblick auf das fallbezogene Projekt beruhen auf der Vorlage der betreffenden Anträge durch die belangte Behörde sowie den damit verbundenen Aussagen des BF11 in der mündlichen Verhandlung. Dass der MB in Zusammenhang mit dem gegenständlichen Projekt keinen Einfluss – entgegen dem Wortlaut des diesbezüglichen F&E-Vertrages mit der BF12 – auf damit zusammenhängende Datenverarbeitungen, insbesondere die Veröffentlichungen im Y-Projekt, hatte, sondern lediglich als Fördergeber involviert war, folgt aus seinen dementsprechenden plausiblen Ausführungen in der mündlichen Verhandlung sowie mit den damit korrespondierenden Angaben des BF11 und der BF12 (vgl. dazu weiter in der rechtlichen Beurteilung). Hinsichtlich des Ablaufs der Gültigkeitsdauer des F&E--Vertrages ist auf die entsprechende Bestimmung im Vertrag zu verweisen.

3. Rechtliche Beurteilung:

3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit .). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles sowie anderer näher genannte (im vorliegenden Fall nicht relevante) Gesetze und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.2. Zu den Prozessvoraussetzungen:

Die Beschwerde wurde gemäß § 7 Abs. 4 VwGVG fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.

3.3. In der Sache:

3.3.1. Rechtsgrundlagen:

Die relevanten Bestimmungen lauten:

Art. 4 Z 1 und Z 7 DSGVO:

Begriffsbestimmungen

Art. 4. Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Art. 5 DSGVO:

Grundsätze für die Verarbeitung personenbezogener Daten

Art. 5. (1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 9 DSGVO:

Art. 9. (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

​

​

​

​

​

​

​

​

​

​

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

Art. 13 DSGVO:

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Art. 13. (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Art. 14 DSGVO:

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Art. 14. (1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

​

​

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

​

(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2

​

(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit

​

Art. 29 DSGVO:

Verarbeitung unter Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Art. 29. Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Art. 51 Abs. 1 DSGVO:

Aufsichtsbehörde

Art. 51. (1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).

Art. 57 Abs. 1 lit. f DSGVO lautet:

Aufgaben

Art. 57. (1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

​

Art. 77 Abs. 1 DSGVO:

Recht auf Beschwerde bei einer Aufsichtsbehörde

Art. 77. (1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Art 85 DSGVO:

Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

Art. 85. (1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.

(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

(3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit.

§ 1 Abs. 1 und 2 DSG:

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

§ 7 DSG:

Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke

§ 7. (1) Für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Verantwortliche alle personenbezogenen Daten verarbeiten, die

1. öffentlich zugänglich sind,

2. er für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat oder

3. für ihn pseudonymisierte personenbezogene Daten sind und der Verantwortliche die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann.

(2) Bei Datenverarbeitungen für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, die nicht unter Abs. 1 fallen, dürfen personenbezogene Daten nur

1. gemäß besonderen gesetzlichen Vorschriften,

2. mit Einwilligung der betroffenen Person oder

3. mit Genehmigung der Datenschutzbehörde gemäß Abs. 3

verarbeitet werden.

(3) Eine Genehmigung der Datenschutzbehörde für die Verarbeitung von personenbezogenen Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke ist auf Antrag des Verantwortlichen der Untersuchung zu erteilen, wenn

1. die Einholung der Einwilligung der betroffenen Person mangels ihrer Erreichbarkeit unmöglich ist oder sonst einen unverhältnismäßigen Aufwand bedeutet,

2. ein öffentliches Interesse an der beantragten Verarbeitung besteht und

3. die fachliche Eignung des Verantwortlichen glaubhaft gemacht wird.

Sollen besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) ermittelt werden, muss ein wichtiges öffentliches Interesse an der Untersuchung vorliegen; weiters muss gewährleistet sein, dass die personenbezogenen Daten beim Verantwortlichen der Untersuchung nur von Personen verarbeitet werden, die hinsichtlich des Gegenstandes der Untersuchung einer gesetzlichen Verschwiegenheitspflicht unterliegen oder deren diesbezügliche Verlässlichkeit sonst glaubhaft ist. Die Datenschutzbehörde hat die Genehmigung an die Erfüllung von Bedingungen und Auflagen zu knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der betroffenen Person notwendig ist.

(4) Einem Antrag nach Abs. 3 ist jedenfalls eine vom Verfügungsbefugten über die Datenbestände, aus denen die personenbezogenen Daten ermittelt werden sollen, unterfertigte Erklärung anzuschließen, dass er dem Verantwortlichen die Datenbestände für die Untersuchung zur Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der Exekutionsordnung – EO, RGBl. Nr. 79/1896) vorgelegt werden.

(5) Auch in jenen Fällen, in welchen die Verarbeitung von personenbezogenen Daten für Zwecke der wissenschaftlichen Forschung oder Statistik in personenbezogener Form zulässig ist, ist der Personenbezug unverzüglich zu verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit mit personenbezogenen Daten gemäß Abs. 1 Z 3 das Auslangen gefunden werden kann. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personenbezug der Daten gänzlich zu beseitigen, sobald er für die wissenschaftliche oder statistische Arbeit nicht mehr notwendig ist.

(6) Rechtliche Beschränkungen der Zulässigkeit der Benützung von personenbezogenen Daten aus anderen, insbesondere urheberrechtlichen Gründen, bleiben unberührt.

§ 9 Abs. 1 DSG:

Freiheit der Meinungsäußerung und Informationsfreiheit

§ 9. (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl. Nr. 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§ 31 MedienG) zu beachten.

§ 24 Abs. 1 und 5 DSG:

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.

Art. 14 StGG:

Artikel 14. Die volle Glaubens- und Gewissensfreiheit ist Jedermann gewährleistet.

Der Genuß der bürgerlichen und politischen Rechte ist von dem Religionsbekenntnisse unabhängig; doch darf den staatsbürgerlichen Pflichten durch das Religionsbekenntniß kein Abbruch geschehen.

Niemand kann zu einer kirchlichen Handlung oder zur Theilnahme an einer kirchlichen Feierlichkeit gezwungen werden, in sofern er nicht der nach dem Gesetze hiezu berechtigten Gewalt eines Anderen untersteht.

Art. 17 StGG:

Artikel 17. Die Wissenschaft und ihre Lehre ist frei.

Unterrichts- und Erziehungsanstalten zu gründen und an solchen Unterricht zu ertheilen, ist jeder Staatsbürger berechtigt, der seine Befähigung hiezu in gesetzlicher Weise nachgewiesen hat.

Der häusliche Unterricht unterliegt keiner solchen Beschränkung.

Für den Religionsunterricht in den Schulen ist von der betreffenden Kirche oder Religionsgesellschaft Sorge zu tragen.

Dem Staate steht rücksichtlich des gesammten Unterrichts- und Erziehungswesens das Recht der obersten Leitung und Aufsicht zu.

Art. 81c B-VG:

6. Universitäten

Artikel 81c. (1) Die öffentlichen Universitäten sind Stätten freier wissenschaftlicher Forschung, Lehre und Erschließung der Künste. Sie handeln im Rahmen der Gesetze autonom und können Satzungen erlassen. Die Mitglieder universitärer Kollegialorgane sind weisungsfrei.

(2) Bundesgesetzlich kann vorgesehen werden, dass die Tätigkeit an der Universität sowie die Mitwirkung in Organen der Universität und der Studierendenvertretung von Personen, die nicht die österreichische Staatsbürgerschaft besitzen, zulässig ist.

§ 97 Abs. 1 UG:

Universitätsprofessorinnen und Universitätsprofessoren

§ 97. (1) Die Universitätsprofessorinnen und Universitätsprofessoren sind für die Forschung oder die Entwicklung und Erschließung der Künste sowie für die Lehre in ihrem Fachgebiet verantwortlich und stehen in einem befristeten oder unbefristeten Arbeitsverhältnis zur Universität. Sie sind Vollzeit- oder Teilzeitbeschäftigte.

§2d FOG:

Grundlegende Bestimmungen zum Schutz personenbezogener Daten

§ 2d. (1) Für Verarbeitungen nach diesem Abschnitt sind insbesondere folgende angemessene Maßnahmen, wie sie insbesondere in Art. 9 Abs. 2 Buchstabe j sowie Art. 89 Abs. 1 DSGVO vorgesehen sind, einzuhalten:1. über Zugriffe auf personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, ist Protokoll zu führen, damit tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können.2. Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten auf Grundlage dieses Abschnitts verarbeiten und ihre Mitarbeiterinnen und Mitarbeiter – das sind Arbeitnehmerinnen und Arbeitnehmer (Dienstnehmerinnen und Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten, die ihnen ausschließlich auf Grundlage dieses Abschnitts anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).3. Personenbezogene Daten, die auf Grundlage dieses Abschnitts automationsunterstützt verarbeitet werden, dürfen ausschließlich für Zwecke dieses Bundesgesetzes verarbeitet werden.4. Natürliche Personen, deren personenbezogene Daten auf Grundlage dieses Abschnitts verarbeitet werden, dürfen keine Nachteile aus der Verarbeitung erleiden, wobei die Verarbeitung in Übereinstimmung mit diesem Abschnitt keinen Nachteil darstellt.5. Verantwortliche, die Verarbeitungen auf Grundlage des Abs. 2 durchführen, habena) im Internet öffentlich einsehbar auf die Inanspruchnahme dieser Rechtsgrundlage hinzuweisen,b) bei Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen die Namensangaben sowie andere Personenkennzeichen gemäß Art. 87 DSGVO abgesehen von den bereichsspezifischen Personenkennzeichen „Forschung“ (bPK-BF-FO) und bereichsspezifischen Personenkennzeichen in verschlüsselter Form (vbPK) jedenfalls zu löschen,c) vor Heranziehung von Registern gemäß Abs. 2 Z 3 jedenfalls einen Datenschutzbeauftragten (Art. 37 DSGVO) zu bestellen,d) die Aufgabenverteilung bei der Verarbeitung der Daten (§ 2b Z 5) zwischen den Organisationseinheiten und zwischen den Mitarbeiterinnen und Mitarbeitern ausdrücklich festzulegen,e) die Verarbeitung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,f) jede Mitarbeiterin und jeden Mitarbeiter über ihre oder seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,g) die Zutrittsberechtigung zu den Räumlichkeiten, in denen die Verarbeitung der Daten (§ 2b Z 5) tatsächlich erfolgt, zu regeln,h) die Zugriffsberechtigung auf Daten (§ 2b Z 5) und Programme und den Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,i) die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,j) eine Dokumentation über die nach den lit. d bis i getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern,k) in ihrem Antrag auf Zugang zu Daten gemäß § 2d Abs. 2 Z 3 anzugeben:aa) die Gründe, warum das Forschungsvorhaben nur mittels des in § 2d Abs. 2 Z 3 vorgesehenen Zugangs durchgeführt werden kann,bb) die natürlichen Personen, die Zugang zu Daten gemäß § 2d Abs. 2 Z 3 erhalten sollen,cc) die Datensätze, zu denen Zugang benötigt wird, und die Methoden ihrer Analyse sowiedd) die angestrebten Ergebnisse des Forschungsvorhabens,l) bei Verarbeitung von Daten, zu denen gemäß § 2d Abs. 2 Z 3 Zugang gewährt wurde, vorzusehen, dass nur die im Antrag genannten natürlichen Personen auf diese Daten zugreifen dürfen.m) bei Übermittlung von Namensangaben gemäß Abs. 2 Z 3 sind diese nach Erreichung der Zwecke gemäß Art. 89 Abs. 1 DSGVO zu löschen.6. Die Veröffentlichung von Personenkennzeichen darf unter keinen Umständen erfolgen.6a. Bei Gewährung des Zugangs zu Daten (§ 2b Z 5) gemäß Abs. 2 Z 3 haben Verantwortliche, die bundesgesetzlich vorgesehene Register führena) die §§ 31a und 31b des Bundesstatistikgesetzes 2000, BGBl. I Nr. 163/1999, einzuhalten undb) andere Personenkennzeichen gemäß Art. 87 DSGVO als bereichsspezifische Personenkennzeichen zu entfernen.7. Die Bundesministerin oder der Bundesminister für Bildung, Wissenschaft und Forschung hat nach Anhörunga) von Vertreterinnen oder Vertretern, die von den zuständigen Bundesministerinnen und Bundesminister ernannt wurden, wobei jede Bundesministerin oder jeder Bundesminister eine Vertreterin oder einen Vertreter zu ernennen hat, undb) der Mitglieder der Delegiertenversammlung gemäß § 5a Abs. 1 und 2 Z 1 und 2 FTFG

dem Datenschutzrat (§ 14 DSG) in Abständen von fünf Jahren bis zum 1. Juni des jeweiligen Jahres einen Bericht über die Anwendung dieses Abschnitts vorzulegen.8. Soweit keine abweichenden Bestimmungen getroffen werden, haben Verarbeitungen nach diesem Abschnitt den Anforderungen des Abs. 2 Z 1 zu entsprechen.

(2) Zur Erleichterung der Identifikation im Tätigkeitsbereich „Forschung“ (BF-FO) gemäß § 9 Abs. 1 des E-Government-Gesetzes (E-GovG), BGBl. I Nr. 10/2004, sind die §§ 14 und 15 E-GovG im privaten Bereich nicht anzuwenden. Stattdessen sind die Bestimmungen des E-GovG, die für Verantwortliche des öffentlichen Bereichs gelten, wie insbesondere die §§ 8 bis 13 E-GovG, anzuwenden. Für Zwecke dieses Bundesgesetzes dürfen wissenschaftliche Einrichtungen (§ 2b Z 12), insbesondere auf Grundlage des Art. 9 Abs. 2 Buchstabe g, i und j DSGVO, somit1. sämtliche personenbezogene Daten jedenfalls verarbeiten, insbesondere im Rahmen von Big Data, personalisierter Medizin, biomedizinischer Forschung, Biobanken und der Übermittlung an andere wissenschaftliche Einrichtungen und Auftragsverarbeiter, wenna) anstelle des Namens, bereichsspezifische Personenkennzeichen oder andere eindeutige Identifikatoren zur Zuordnung herangezogen werden oderb) die Verarbeitung in pseudonymisierter Form (Art. 4 Nr. 5 DSGVO) erfolgt oderc) Veröffentlichungenaa) nicht oderbb) nur in anonymisierter oder pseudonymisierter Form

(Anm.: sublit. cc aufgehoben durch BGBl. I Nr. 205/2021)erfolgen oderd) die Verarbeitung ausschließlich zum Zweck der Anonymisierung oder Pseudonymisierung erfolgt und keine Offenlegung direkt personenbezogener Daten an Dritte (Art. 4 Nr. 10 DSGVO) damit verbunden ist,2. die Ausstattung ihrer Daten mit bereichsspezifischen Personenkennzeichen für den Tätigkeitsbereich „Forschung“ (bPK-BF-FO) sowie von verschlüsselten bPK gemäß § 13 Abs. 2 E-GovG innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist von der Stammzahlenregisterbehörde verlangen, wenna) die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß § 2c Abs. 1 ist oder über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügt,b) die Kosten für die Ausstattung mit bereichsspezifischen Personenkennzeichen ersetzt werden undc) die Antragstellerin oder der Antragsteller zumindest Vorname, Familienname und Geburtsdatum für jeden auszustattenden Datensatz bereitstellt

sowie3. von Verantwortlichen, die bundesgesetzlich vorgesehene Register – mit Ausnahme der in den Bereichen der Gerichtsbarkeit sowie der Rechtsanwälte und Notare im Rahmen des jeweiligen gesetzlichen Wirkungsbereichs geführten Register und des Strafregisters – führen, sowie im Falle von ELGA von der ELGA-Ombudsstelle, den Zugang zu Daten (§ 2b Z 5), bei denen keine Identifizierung von betroffenen Personen oder Unternehmen durch Namen, Anschrift oder anhand einer öffentlich zugänglichen Identifikationsnummer möglich ist, innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist aus diesen Registern in elektronischer Form verlangen, wenna) die Verarbeitungaa) ausschließlich für Zwecke der Lebens- und Sozialwissenschaften erfolgt undbb) auch einem öffentlichen Interesse dient, insbesondere eine Zielsetzung gemäß Art. 23 Abs. 1 DSGVO erfüllt,b) das Register in einer Verordnung gemäß § 38b angeführt ist,c) die Antragstellerin oder der Antragsteller eine wissenschaftliche Einrichtung gemäß § 2c Abs. 1 ist oder über eine gültige Bestätigung gemäß § 2c Abs. 2 verfügt,d) die Kosten für die Gewährung des Zugangs zu Daten (§ 2b Z 5) ersetzt werden unde) falls ein Abgleich mit vorhandenen Daten beantragt wird, beim Antrag auf Gewährung des Zugangs zu Daten (§ 2b Z 5) die entsprechenden bPK gemäß § 13 Abs. 2 E-GovG der betroffenen Personen zur Verfügung gestellt werden.

(3) Im Anwendungsbereich dieses Bundesgesetzes ist die Verarbeitung von Daten (§ 2b Z 5) gemäß Art. 9 Abs. 2 Buchstabe j DSGVO zulässig, wenn die betroffene Person freiwillig, in informierter Weise und unmissverständlich ihren Willen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung bekundet, mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden zu sein, wobei die Angabe eines Zweckes durch die Angabe1. eines Forschungsbereiches oder2. mehrerer Forschungsbereiche oder3. von Forschungsprojekten oder4. von Teilen von Forschungsprojekten

erfolgen darf („broad consent“).

(Anm.: Datenschutz-Folgenabschätzung zu Abs. 3 siehe Anlage 2)

(4) Hinsichtlich der Weiterverarbeitung gemäß Art. 5 Abs. 1 Buchstabe b DSGVO zu Zwecken gemäß Art. 89 Abs. 1 DSGVO stellen diese keine unzulässigen Zwecke im Sinne des § 62 Abs. 1 Z 2 DSG dar.

(5) Gemäß Art. 5 Abs. 1 Buchstabe e DSGVO dürfen personenbezogene Daten für Zwecke gemäß Art. 89 Abs. 1 DSGVO unbeschränkt gespeichert und gegebenenfalls sonst verarbeitet werden, soweit gesetzlich keine zeitlichen Begrenzungen vorgesehen sind.

(6) Die folgenden Rechte finden insoweit keine Anwendung, als dadurch die Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO voraussichtlich unmöglich gemacht oder ernsthaft beeinträchtigt wird:1. Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),2. Recht auf Berichtigung (Art. 16 DSGVO),3. Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17 DSGVO),4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie6. Widerspruchsrecht (Art. 21 DSGVO).(7) Auf Grundlage des Art. 9 Abs. 2 Buchstabe j DSGVO ist im Sinne des § 7 Abs. 2 Z 1 DSG die Einholung einer Genehmigung der Datenschutzbehörde gemäß § 7 Abs. 2 Z 3 DSG nicht erforderlich, wenn die Verarbeitung in Übereinstimmung mit diesem Abschnitt erfolgt.

(8) Abweichend von § 12 Abs. 4 Z 3 und 4 DSG ist im Anwendungsbereich dieses Bundesgesetzes und des § 44 KAKuG sowohl der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten als auch die Auswertung von mittels Bildaufnahmen gewonnen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium für Zwecke gemäß Art. 89 Abs. 1 DSGVO zulässig, vorausgesetzt1. die Verarbeitung erfolgt durch wissenschaftliche Einrichtungen und2. durch die Verarbeitung erfolgt keine Veröffentlichung personenbezogener Daten.

(9) Bereichsspezifische Personenkennzeichen (§ 9 E-GovG) dürfen für Zwecke dieses Bundesgesetzes in maschinenlesbarer Form an Forschungsmaterial (§ 2b Z 6) angebracht werden.

3.3.2 Auf den konkreten Fall umgelegt bedeutet dies Folgendes:

Zu Spruchpunkt A1):

In welchen Fällen das Verfahren einzustellen ist, regelt das VwGVG nicht. Die Einstellung steht nach allgemeinem Verständnis am Ende jener Verfahren, in denen ein Erledigungsanspruch nach Beschwerdeeinbringung verloren geht, worunter auch der Fall der Zurückziehung der Beschwerde zu subsumieren ist (vgl. Fister/Fuchs/Sachs, Verwaltungsgerichtsverfahren2 (2018) § 28 VwGVG, Anm. 5).

Die Einstellung des Verfahrens hat bei Zurückziehung der Beschwerde in Beschlussform zu ergehen (vgl. Eder/Martschin/Schmid, Das Verfahrensrecht der Verwaltungsgerichte2 (2017) § 28 VwGVG K3, und VwGH, 09.09.2016, Ra 2016/02/0137, zur unterschiedlichen Form der Einstellung in Fällen des § 45 Abs. 1 VStG und § 28 Abs. 1 VwGVG).

Die BF8 zog im Rahmen der mündlichen Verhandlung im Wege ihrer rechtsanwaltlichen Vertretung ihre Beschwerde zurück. Dadurch fiel ihr Rechtsschutzinteresse weg. Einer Sachentscheidung durch das Gericht ist demnach die Grundlage entzogen, weshalb das Verfahren im Hinblick auf die BF8 einzustellen ist.

Zu Spruchpunkt A2):

3.3.2.1. Zur datenschutzrechtlichen Rollenverteilung:

„Verantwortlicher“ ist nach Art. 4 Z 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Der EuGH hat entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher angesehen werden kann (vgl. EuGH 29.07.2019, C-40/17 [Fashion ID] Rz 68, mit Verweis auf das Urteil vom 10.07.2018, C-25/17 [Zeugen Jehovas]‚ Rz 68).

Zur datenschutzrechtlichen Rolle des BF11:

Vonseiten der belangten Behörde wird in Bezug auf den BF11 dessen Eingliederung in die Organisation der BF12 – im Hinblick auf die Bindung des BF12 an Weisungen arbeitsrechtlicher Natur der BF12 sowie auf § 97 Abs. 1 UG 2002 – nicht in Frage gestellt, wohl aber bestimme der BF11 als Leiter des fallgegenständlichen Projekts über Zwecke und Mittel der zugehörigen Datenverarbeitung mit. Die Argumentation des BF11 übersehe die besondere und – vor allem im Bereich der wissenschaftlichen Forschung – verfassungsrechtlich gewährleistete privilegierte Stellung des BF11 als Universitätsprofessor (iSd Art. 17 Abs. 1 StGG), aufgrund derer eine weitgehende Weisungsfreiheit in ihrer Forschung und Lehre bestehe. Demgemäß scheide eine Privilegierung nach Art. 29 DSGVO für den BF11 aus.

Der BF11 bestritt im Administrativverfahren ihre Verantwortlicheneigenschaft iSd Art. 4 Z 7 DSGVO.

Der BF11 monierte auch im Verfahren vor dem Bundesverwaltungsgericht (weiterhin), dass er kein datenschutzrechtlicher Verantwortlicher iSd Art. 4 Z 7 DSGVO sei. Begründend wird hierzu im Wesentlichen vorgebracht, dass die belangte Behörde dem BF11 unrichtigerweise die Privilegierung nach Art. 29 DSGVO verwehrt habe, da Art. 17 StGG einer arbeitsrechtlichen Weisung nicht entgegenstehe, Universitätsprofessoren könnten sehr wohl entsprechende Vorgaben für Datenverarbeitungen auferlegt werden. Der BF11 sei der BF12 nach Art. 29 DSGVO zuzurechnen und sei die BF12 im Verhältnis zum BF11 alleinige datenschutzrechtliche Verantwortliche.

Im Hinblick auf die Qualifizierung eines Verantwortlichen für eine Datenverarbeitung ist zunächst Folgendes zu berücksichtigen:

Bei der Ausrichtung der Definition als Verantwortlicher – als jene Person oder Stelle, die über Zweck(e) und Mittel der Verarbeitung entscheidet – handelt sich im Regelfall um eine funktionalistische Sichtweise, wonach die Verantwortlichkeit anhand des tatsächlichen Einflusses auf die Entscheidung zugewiesen wird (Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 87; in diesem Sinne auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 4 Z 7 DSGVO Rz 16). Wesentliches Kriterium ist somit stets die Bestimmung von Zweck und Mittel der Verarbeitung.

Der Verantwortliche kann sich nicht darauf beschränken, nur den Zweck zu bestimmen. Er muss auch Entscheidungen bezüglich der Mittel der Verarbeitung treffen. „Wesentliche Mittel“, d.h. Mittel, die in engem Zusammenhang mit dem Zweck und dem Umfang der Verarbeitung stehen, etwa die Bestimmung der Betroffenen, über die Daten verarbeitet werden, die über sie zu verarbeiteten Datenarten, ihre Speicherdauer und die Kategorien von Empfängern, sind in der Regel dem Verantwortlichen vorbehalten (vgl. dazu die Ausführungen in den EDSA-Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0 vom 07.07.2021).

Der DSGVO liegt im Hinblick auf die Verantwortlicheneigenschaft das Prinzip der rechtlichen Einheit zu Grunde, wonach das Handeln von in einer Einheit beschäftigten Personen, die unter der potenziellen Kontrolle der rechtlichen Einheit stehen, auch dieser zuzurechnen ist (vgl. Arning/Rothkegel in Taeger/Gabel, DSGVO – BDSG – TTDSG, Art. 4 Z 7, Rz 177).

Dem Verantwortlichen sind „sämtliche Personen und Stellen funktional zuzurechnen, die unter seiner Aufsicht bzw. Anweisung Schritte einer Datenverarbeitung vornehmen (Hilfsorgane)“ (vgl. Hödl in Knyrim, DatKomm Art 4 DSGVO, Rz 83).

Art. 29 DSGVO richtet sich an den Auftragsverarbeiter sowie jeder dem Verantwortlichen oder dem Auftragsverarbeiter unterstellten Person. Aus dem Begriff „unterstellt“ wird man auf eine gewisse engere („hierarchische“) Ein- oder Anbindung in die Organisation des Verantwortlichen oder Auftragsverarbeiters schließen dürfen (vgl. Bogendorfer in Knyrim, DatKomm, Art 29 DSGVO [1.12.2022, rdb.at] Rz 17; in diesem Sinne auch Jahnel, Kommentar zur Datenschutz-Grundverordnung, Art. 29 DSGVO [1.12.2020, rdb.at] Rz 4).

Die Datenverarbeitung durch eine „unterstellte Person“ erfolgt auch im Interesse des Verantwortlichen oder Auftragsverarbeiters, unter dessen Verantwortung die Person agiert. Basis dafür ist eine Vertragsbeziehung, aus der durch eine Weisungsgebundenheit des Verantwortlichen oder Auftragsverarbeiters eine Eingriffsmöglichkeit in die Datenverarbeitung und damit eine Zurechnung der Datenverarbeitung zum jeweiligen Verantwortlichen oder Auftragsverarbeiter ableitbar ist. Dazu gehören Arbeitnehmer, Personen in einem arbeitnehmerähnlichen Dienstverhältnis, Personen in einem öffentlich-rechtlichen Dienstverhältnis oder in einem Ausbildungsverhältnis und auch Leiharbeitsverhältnis. Doch muss dies nicht auf ein Dienstverhältnis eingeschränkt sein. Auch Personen, die in keinem Arbeits-, Dienst- oder Ausbildungsverhältnis zum Verantwortlichen oder Auftragsverarbeiter stehen, aber anderweitig unter der „Aufsicht“ und Kontrolle des Verantwortlichen/Auftragsverarbeiters stehen, können als „unterstellte Personen“ iSd Art 29 qualifiziert werden (vgl. Bogendorfer in Knyrim, DatKomm, Art 29 DSGVO [1.12.2022, rdb.at] Rz 17 mwN). Darüber hinaus spricht vieles dafür, auch freie Mitarbeiter und Berater, die auf der Grundlage eines Werk- oder Dienstvertrages tätig werden, unter den Begriff zu fassen (so etwa auch Lutz/Gabel in Taeger/Gabel, DSGVO – BDSG – TTDSG, Art. 29, Rz 9 mit Verweis auf Hartung in Kühling/​Buchner, DS-GVO/BDSG3 Art 29 Rz 13; vgl. dazu wiederum Bogendorfer in Knyrim, DatKomm, Art 29 DSGVO [1.12.2022, rdb.at] Rz 17).

Zur Wissenschafts- und Lehrefreiheit gemäß Art. 17 Abs. 1 StGG wird in wissenschaftlichen Kommentaren Folgendes angeführt:

Grundrechtsträger der Wissenschafts- und Lehrefreiheit ist jedermann, dh inländische und ausländische natürliche Personen. Nach hL können auch inländische und ausländische juristische Personen (zB wissenschaftliche Vereine) Grundrechtsträger sein, uU sogar wissenschaftliche Institutionen und Organe ohne (sonstige) Rechtspersönlichkeit als funktionelle Grundrechtsträger (vgl. Gamper in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B-VG und Grundrechte Art. 17 StGG Rz 5 mwN [Stand 1.1.2021, rdb.at]). Es richtet sich gegen den hoheitlich handelnden Staat; dieser darf Forschung und Lehre weder durch Gesetz noch durch Maßnahmen der Vollziehung intentional beschränken (vgl. Muzak, B-VG6 Art 17 StGG Rz 3 [Stand 1.10.2020, rdb.at], mit Verweis auf VfSlg 8136, 13.978).

Art. 17 Abs. 1 StGG verbietet intentionale Eingriffe, also Maßnahmen, die spezifisch darauf abzielen, die Wissenschaftsfreiheit zu beschränken (zB eine Meldepflicht für Lehrveranstaltungen oder Forschungsvorhaben). Im Übrigen jedoch ist die Wissenschaftsfreiheit nur innerhalb der Schranken der allgemeinen Gesetze gewährleistet („immanente Grundrechtsschranken“); zulässig sind aber nur solche Beschränkungen, die zum Schutz eines anderen Rechtsgutes notwendig (verhältnismäßig) sind (vgl. Grabenwarter/Frank, B-VG Art 17 StGG Rz 4 [Stand 20.6.2020, rdb.at], mit Verweis auf VfSlg 13.978/1994).

Durch spezifische, intentional auf die Einengung dieser Freiheit gerichtete (vgl zB VfSlg 8136/1977, 13.978/1994, 18.559/2008, 18.763/2009) Eingriffe, wie z.B. Vorgaben, Anzeige- oder Genehmigungspflichten hinsichtlich Gegenstand, Methoden oder Inhalten von Wissenschaft, darf das Grundrecht gar nicht und durch nichtintentionale Eingriffe nur innerhalb der immanenten Schranken der allgemeinen (nicht nur im Verfassungsrang stehende) Gesetze (vgl. z.B. VfSlg 13.978/1994, 14.485/1996) eingeschränkt werden. Allgemeine dienst-, arbeits-, organisations- und studienrechtliche Vorschriften, auch wenn sie sich einschlägig an das wissenschaftliche Universitätspersonal und nicht irgendwelche Personengruppen in irgendwelchen Lebensbereichen richten, stellen keine intentionalen Eingriffe dar (vgl. Gamper in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B-VG und Grundrechte Art. 17 StGG Rz 13 mwN [Stand 1.1.2021, rdb.at]). Der VwGH verneinte unter Berufung auf Art. 17 StGG auch eine Verpflichtung zur Veröffentlichung wissenschaftlicher Arbeiten; dies bezieht sich wohl auf einzelne konkrete Arbeiten; eine generelle dienstrechtliche Publikationsverpflichtung erscheint dagegen zulässig. Art 17 Abs. 1 StGG gebietet somit insb eine Universitätsorganisation, die eine intentionale Beschränkung von Forschung und Lehre durch den Staat ausschließt. Darin erschöpft sich der institutionelle Bezug des Art 17 Abs. 1 StGG. Eine weitergehende institutionelle Bedeutung hat diese Bestimmung nicht (vgl. Muzak, B-VG6 Art 17 StGG Rz 6, mwN [Stand 1.10.2020, rdb.at] und insbesondere mit Verweis auf VwGH 27.06.2012, 2011/12/0172).

Unmittelbare Drittwirkung kommt dem Grundrecht nach hL nicht zu, wohl aber bindet es den Gesetzgeber auch dann, wenn er privates Arbeitsrecht für Wissenschaftler an öffentlichen Universitäten schafft (vgl. Gamper in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B-VG und Grundrechte Art. 17 StGG Rz 10 mwN [Stand 1.1.2021, rdb.at]).

Wie oben auch festgestellt, verkennt das Bundesverwaltungsgericht in Ansehung dieser Ausführungen zunächst nicht, dass der BF11 – als Leiter – im Rahmen des fallbezogenen Projektes federführend in die Erarbeitung der Beschreibung der dort präsentierten Einrichtungen sowie ihre laufende Überarbeitung eingebunden und ihm somit maßgeblich Einfluss auf die Bestimmung über Zwecke und Mittel der zugehörigen Datenverarbeitung zukommt. Der BF11 führte demgemäß in der Beschwerdeverhandlung unmissverständlich an, dass er im gegebenen Zusammenhang über die Auswahl der Forschungsgegenstände, die Methodik ihrer Aufarbeitung und die Veröffentlichung der Forschungsergebnisse entscheidet.

Dennoch ist zu berücksichtigen, dass nach § 3 Z 1 UG die Universitäten im Rahmen ihres Wirkungsbereiches die Entwicklung der Wissenschaften (Forschung und Lehre), die Entwicklung und Erschließung der Kunst sowie die Lehre der Kunst als Aufgabe erfüllen.

Die §§ 97 - 99a UG regeln die Aufnahme von Universitätsprofessorinnen und -professoren in privatrechtliche Arbeitsverhältnisse zur vollrechtsfähigen Universität und grundsätzliche Aufgaben der in einem solchen Verfahren aufgenommenen Universitätsprofessoren (vgl. Kucsko-Stadlmayer/Haslinger in Perthold-Stoitzner, UG3.01 § 97 Rz 1 [Stand 1.12.2018, rdb.at]). Sohin sind gemäß § 97 Abs. 1 UG Universitätsprofessorinnen und Universitätsprofessoren für die Forschung oder die Entwicklung und Erschließung der Künste sowie für die Lehre in ihrem Fachgebiet verantwortlich und stehen in einem befristeten oder unbefristeten Arbeitsverhältnis zur Universität.

§ 97 UG Abs. 1 regelt das Verwendungsbild der Universitätsprofessorinnen und -professoren relativ knapp iS einer „Verantwortlichkeit“ für Forschung (Entwicklung und Erschließung der Künste) und Lehre. Die Bestimmung des Abs. 1 ist in Zusammenhang mit § 2 Z 2 UG zu lesen, der die Verbindung von Forschung und Lehre (bzw. Verbindung der Entwicklung und Erschließung der Künste und ihrer Lehre, Verbindung von Wissenschaft und Kunst) zum leitenden Grundsatz der Universitäten erklärt (vgl. erneut Perthold-Stoitzner, UG3.01 § 97 Rz 6, 7 [Stand 1.12.2018, rdb.at]).

In diesem Sinne ist in Anbetracht der hier vorliegenden Konstellation festzuhalten, dass der BF11 – soweit es die fallbezogenen Datenverarbeitungen betrifft – zu keiner Zeit in eigener datenschutzrechtlicher Verantwortung agierte, sondern vielmehr stets in seiner Funktion und Anstellung als Universitätsprofessor für die BF12 tätig war bzw. ist. Wie der BF11 zutreffend aufzeigt, wurde der betreffende Vertrag zwischen der BF12 und dem MB insofern auch ausschließlich von der BF12 abgeschlossen. Nicht zuletzt unter Berücksichtigung dessen, dass ausschließlich Ressourcen der BF12 oder der MB genutzt wurden, war bzw. ist der BF11 im gegebenen Kontext stets in die Organisation der BF12 eingebunden, wenngleich er für diese als Leiter am gegenständlichen Projekt beteiligt ist. Im Sinne des oben angesprochenen Prinzips der rechtlichen Einheit ist dieser somit der BF12 zuzurechnen.

Das Bundesverwaltungsgericht verkennt keineswegs die iSd Art. 17 StGG privilegierte Stellung des BF11 – wiewohl dieses Grundrecht grundsätzlich jedermann zusteht. Ungeachtet dessen kann nicht erkannt werden, inwiefern Art. 17 StGG und das damit verbundene Verbot von Maßnahmen, die spezifisch darauf abzielen, die Wissenschaftsfreiheit zu beschränken, eine Verantwortlicheneigenschaft des BF11 gemäß Art. 4 Z 7 (iVm Art 26) DSGVO im vorliegenden Fall gebietet. Anzufügen ist, dass allgemeine dienst-, arbeits-, organisations- und studienrechtliche Vorschriften, auch wenn sie sich einschlägig an das wissenschaftliche Universitätspersonal richten, keine intentionalen Eingriffe darstellen. Dass das Verbot von Eingriffen, wie z. B. Vorgaben, Anzeige- oder Genehmigungspflichten hinsichtlich Gegenstand, Methoden oder Inhalten von Wissenschaft, vorliegend für eine Verantwortlichenstellung des BF11 ausschlaggebend wäre, ist nicht nachvollziehbar. Zwar hob der BF11 im Rahmen der mündlichen Verhandlung einerseits sinngemäß hervor, dass er einen Eingriff in die fallbezogene Forschung und in die damit einhergehende Publikation nicht dulden würde und andererseits die BF12 anführte, sich generell inhaltlich oder in die Forschungsmethode ihrer Professorenschaft nicht einzumischen. Demgegenüber achtet die BF12 unter Zuhilfenahme diverser Maßnahmen auf die Einhaltung des Datenschutzrechtes durch ihre Mitarbeiter:innen. Es ist nicht ersichtlich, dass diesbezüglich Art. 17 StGG allgemeinen Vorgaben bzw. Weisungen, wonach bei etwaigen Verstößen ein datenschutzrechtskonformes Verhalten sicherzustellen ist, entgegensteht.

Es mag zwar zutreffen, dass der BF11 Genehmigungsanträge im Zusammenhang mit der Forschungstätigkeit in Bezug auf das gegenständliche Projekt an die belangte Behörde gestellt hat, dennoch hat dies keine Auswirkungen auf die (alleinige) Verantwortlicheneigenschaft der BF12, da diese Rechtsträgerin des Projektes ist und der BF11 dieser im oben beschriebenen Sinn zuzurechnen ist. Im Übrigen können die Anträge, welche der BF11 unter Bezugnahme auf das Institut, welchem er vorsteht, stellte, genauso dahingehend interpretiert werden, dass er sie im Namen der BF12 stellen wollte.

Als maßgeblich ist nochmals darauf hinzuweisen, dass der BF11 im Rahmen des gegenständlichen Projektes aus datenschutzrechtlicher Perspektive stets sowohl fachlich als auch organisatorisch in die Struktur der BF12 einbezogen ist. Einer solchen datenschutzrechtlichen Beurteilung steht auch die Forschungs- und Wissenschaftsfreiheit gemäß Art. 17 StGG nicht entgegen.

Vor diesem Hintergrund hätte die belangte Behörde die Datenschutzbeschwerde der BF1 bis 10 betreffend den BF11 mangels Verantwortlicheneigenschaft abzuweisen gehabt (vgl. VwGH 18.03.2022, Ro 2020/04/0027).

Zur datenschutzrechtlichen Rolle der MB:

Zur Rolle des MB führte die belangte Behörde zwar zunächst insoweit richtig aus, dass diesem gemäß dem F&E- -Vertrages grundsätzlich – neben der vorgebrachten Finanzierung – die Zurverfügungstellung von inhaltlichen Informationen sowie die Prüfung und Aktualisierung von Daten in Bezug auf XXXX obliegt. Der F&E-Vertrag zwischen der BF12 und dem MB statuiert dahingehend auch die gemeinsame Durchführung des fallgegenständlichen Projekts.

Für die Beurteilung der Fähigkeit, wer über Zwecke und Mittel einer Verarbeitung entscheiden kann, sind die tatsächlichen und faktischen Umstände einer bestimmten Verarbeitungssituation ausschlaggebend (funktionelles Konzept). Es kommt daher ausschließlich auf den tatsächlichen Einfluss an. Eine nicht der tatsächlichen Entscheidungssituation entsprechende Zuweisung der Rollen (zB in einem Vertrag) entfaltet keine Rechtswirkung (vgl. Wyrobek in Knyrim, DatKomm Art 26 DSGVO Rz 14, 15 mwN [Stand 1.6.2021, rdb.at]).

Im verwaltungsgerichtlichen Verfahren hat sich im Hinblick auf das Wirken des MB im Zusammenhang mit dem Y-Projekt ergeben, dass – konträr zum Vertragsinhalt – der F&E-Vertrag tatsächlich als Forschungsförderung „gelebt“ wurde, sohin sich die Rolle des MB ausschließlich auf die Beistellung von finanziellen Mitteln beschränkte, ohne einen Einfluss auf die Zwecke und Mittel der fallbezogenen Datenverarbeitungen, allen voran die Veröffentlichungen im Y-Projekt, gehabt zu haben. Wie die MB ausführte, fanden Veröffentlichungen auf der Y-Website schon seit 20 XXXX statt und ist daher nicht davon auszugehen, dass sie über die Mittel und Zwecke der Datenverarbeitung, insbesondere im Hinblick auf eine Veröffentlichung, entschied.

Im Lichte dieser Erwägungen ist sohin auch der MB nicht als Verantwortlicher iSd Art. 4 Z 7 DSGVO für die fallgegenständlichen Datenverarbeitungen, insbesondere die Publikation auf der Y-Website, anzusehen. Anknüpfend daran wäre die Datenschutzbeschwerde ebenso betreffend den MB schon mangels Verantwortlicheneigenschaft abzuweisen gewesen (vgl. erneut VwGH 18.03.2022, Ro 2020/04/0027).

Folglich ist im gegebenen Fall einzig die BF12 als Verantwortliche zu qualifizieren, weshalb – zusätzlich unter Berücksichtigung des mittlerweile eingetretenen Gültigkeitsablaufs des F&E-Vertrages – dem Spruchpunkt 2. des bekämpften Bescheides insofern die Grundlage entzogen ist und dieser daher in Erledigung der Beschwerde des BF11 und der BF12 ersatzlos zu beheben war.

3.3.2.2. Zur behaupteten Verletzung im Recht auf Geheimhaltung:

Zum Vorliegen personenbezogener Daten der juristischen Personen (BF1 bis 6):

§ 1 Abs. 1 DSG legt fest, dass jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Eine Beschränkung dieses Anspruchs ergibt sich grundsätzlich aus Abs. 2 leg. cit., die DSGVO und insbesondere auch die darin verankerten Grundsätze sind jedoch zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen (vgl. den Bescheid der DSB vom 31.10.2018, GZ DSB-D123.076/0003-DSB/2018, RIS). Unter schutzwürdigen personenbezogenen Daten sind in diesem Zusammenhang nicht nur unschwer als personenbezogene erkennbare Angaben, wie etwa Name, Geschlecht, Adresse oder der Wohnort einer Person zu verstehen, sondern beispielsweise Werturteile und damit schlechthin personenbezogene Informationen. Sämtliche personenbezogene Daten – d.h. sowohl automationsunterstützt verarbeitete Daten als auch manuelle Daten – sind, sofern ein schutzwürdiges Geheimhaltungsinteresse besteht, geheim zu halten bzw. ist eine Verarbeitung dieser Daten unzulässig. (vgl. VfSlg. 12.228/1989, 12.880/1991, 16.369/2001).

Der zentrale Anknüpfungspunkt, ob ein Grundrechtsanspruch gemäß § 1 Abs. 1 DSG überhaupt besteht, ist das Vorliegen von „schutzwürdigen“ Interessen. Bei deren Prüfung ist eine Interessenabwägung vorzunehmen. Hier gilt es insbesondere die datenschutzrechtlichen Grundsätze der Rechtmäßigkeit und der Verhältnismäßigkeit zu berücksichtigen.

Im Hinblick darauf, dass es sich bei den BF1 bis 6 um juristische Personen handelt, ist zunächst Folgendes zu berücksichtigen:

Kern des Grundrechts auf Datenschutz nach Abs. 1 bildet die Achtung von schutzwürdigen Geheimhaltungsinteressen des Betroffenen. Grundrechtsträger können sowohl natürliche als auch juristische Personen sein. Ziel des Datenschutzrechts ist es, den Rechtsschutz der natürlichen oder juristischen Person oder Personengemeinschaft zu gewährleisten, deren Daten verwendet werden. Das DSG ist allein auf den Schutz des Betroffenen ausgerichtet (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 1 Rz 9 [Stand 1.2.2022, rdb.at] mit Verweis auf OGH 29.06.2006, 6 Ob A 1/06z, [Crew Management System]).

In einer rezenten Entscheidung vom 12.03.2024, Zl. E 3436/2023-16 (Rz 26), führte der VfGH Folgendes aus:

„Der Verfassungsgerichtshof hat keine Zweifel, dass die Grundrechtsbestimmung in § 1 DSG nicht nur natürliche Personen, sondern auch juristische Personen als Grundrechtsträger erfassen (zB VfSlg. 19.673/2021). Daran hat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016 L 119, 1 (aber auch das im Gefolge erlassene Datenschutz-Anpassungsgesetz 2018, BGBl. I 120/2017) nichts geändert.“

Zwar schützt die DSGVO selbst nur natürliche Personen, jedoch ist in verfassungskonformer Interpretation davon auszugehen, dass die in § 1 normierten Rechte auch juristischen Personen zukommen und diese sich folglich darauf berufen können (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 24 Rz 4 [Stand 1.2.2022, rdb.at] mit Verweis auf DSB 13.09.2018, DSB-D216.713/0006-DSB/2018 [Chalet-Dependance]).

Insofern geht auch der erkennende Senat – in Übereinstimmung mit der belangten Behörde – davon aus, dass § 1 DSG juristische Personen als Grundrechtsträger erfasst und diese – in verfassungskonformer Auslegung des § 24 Abs. 1 DSG – die in § 1 normierten Rechte im Administrativweg geltend machen können. Der in der mündlichen Verhandlung vorgebrachten Anregung der belangten Behörde, das Verfahren bis zu einer Entscheidung des VwGH über eine Amtsrevision der belangten Behörde gegen das Erkenntnis des BVwG vom 19.09.2023 zur Zl. W298 2261568-1 auszusetzen, war daher nicht nachzukommen.

Im gegenständlichen Fall handelt es sich bei den BF1 bis 6 um Vereine, deren personenbezogene Daten u.a. in Form von Adressen und ZVR-Zahlen im Rahmen des Y-Projekts veröffentlicht wurden. Hiermit handelt es sich um personenbezogene Daten iSd § 1 Abs. 1 DSG. Die Tatsache, dass inzwischen die TOP-Nummern bei den Adressen nicht mehr angegeben werden, ändert nichts an der grundsätzlichen Rückführbarkeit der Daten. Überdies wurden die TOP-Nummern erst im Laufe des Verfahrens vor der belangten Behörde entfernt.

Zum Vorliegen (allenfalls sensibler) personenbezogener Daten natürlicher Personen (BF7 bis 10):

Hinsichtlich der BF7 bis 10 ging die belangte Behörde in ihrer rechtlichen Beurteilung davon aus, dass es sich bei den im Y-Projekt zu den BF1 bis 6 bereitgestellten Informationen um keine personenbezogenen Daten der BF7 bis 10 handle. Begründend wurde zusammengefasst darauf verwiesen, dass es sich bei jenen im Zentralen Vereinsregister (ZVR) öffentlich einsehbaren Anschriften um Daten der BF1 bis 7 (nämlich ihren jeweils eingetragenen Vereinssitz) handle. Dass einige Vereinsanschriften gleichzeitig natürlichen Personen zuzuordnen sind, sei hierbei weder aus dem ZVR noch aus den in der Y-Website zur BF1 bis 6 bereitgestellten Informationen ersichtlich. Dieser Umstand könnte allenfalls im Wege einer weitergehenden Recherche im ZMR über eine Meldeauskunft – auf Basis von § 16 Abs. 1 MeldeG, wenn die anfragende Person den gesuchten Hauptwohnsitz eines Menschen durch Vor- und Familiennamen sowie zumindest ein weiteres Merkmal im Hinblick auf alle im ZMR verarbeiteten Gesamtdatensätze eindeutig bestimmen könne – eruiert werden.

Dazu wird in der wissenschaftlichen Literatur Folgendes ausgeführt:

„Nach Art 4 Z 1 DSGVO sind unter personenbezogenen Daten »alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen«, zu verstehen. Aus dieser Definition folgt, dass der Begriff der personenbezogenen Daten in seinem Kern zwei Elemente aufweist. Er verlangt einerseits einen bestimmten Informationsgehalt über eine individuelle Person sowie andererseits dessen Zuordnung oder Zuordenbarkeit zum Betroffenen“ (siehe etwa Ennöckl in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B-VG und Grundrechte Art. 1 DSG Rz 3 [Stand 1.1.2021, rdb.at]).

Selbst Daten, deren Inhalt nicht per se personenbezogen ist, können über Meta-Informationen (Verarbeiter, Absender, Speicherort usw.) oder sonstigem Zusatzwissen mit einer Person in Verbindung gebracht werden, was zur Folge hat, dass alle diese für sich nicht personenbezogenen Daten durch ihre Verknüpfung nun einen Personenbezug aufweisen und daher insgesamt personenbezogene Daten iSd DSGVO darstellen (vgl. Bergauer in Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 4 Z 1 DSGVO Rz 7 [Stand 1.12.2020, rdb.at], mit Hinweis auf EuGH 19.10.2016, C-582/14 [Breyer]).

„Der EuGH hat in den Rechtssachen Novak (20.12.2017, C-434/16 Rz 31) und Breyer (19.10.2016, C-582/14 Rz 43) darauf hingewiesen, dass es für die Frage, ob personenbezogene Daten vorliegen, nicht erforderlich ist, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden. So reicht es für eine Identifizierbarkeit und das Vorliegen personenbezogener Daten bereits aus, dass zwar nicht der konkrete Verarbeiter (wie etwa der Beurteiler einer [verblindeten] schriftlichen Prüfung in der Rs Novak) einen Personenbezug herstellen kann, sehr wohl aber jemand anderes (zB die Prüfungsinstitution). Auch aus ErwGr 26 ergibt sich, dass es für eine Identifizierbarkeit nicht ausschließlich auf die diesbezüglichen Möglichkeiten und Absichten des Verantwortlichen, sondern auch einer »anderen Person« ankommt. Es ist daher von einer objektiven Beurteilung auszugehen“ (wie oben, Rz 20).

„Standortdaten, wie Adressen, GPS-Koordinaten, GSM-Ortungsdaten uÄ, ermöglichen ebenso die Identifizierung einer Person, wie Online-Kennungen (Benutzernamen, Nicknames, Cookies, IP-Adressen usw). Gerade digitale Spuren ermöglichen es, insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen, Profile der natürlichen Personen zu erstellen und sie zu identifizieren (vgl ErwGr 30)“ (wiederum wie oben, Rz 21). Angaben zur Identifizierung von betroffenen Personen sind zB Name, Geburtsdatum, Adresse, Sozialversicherungsnummer, KFZ-Kennzeichen, körperliche Merkmale der betroffenen Person, Verhaltensweisen, Freizeitverhalten, Werturteile, Charaktereigenschaften (vgl. Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 9 mwN [Stand 1.12.2018, rdb.at]).

Wie schon aus den Feststellungen ersichtlich ist, handelt es sich bei den Vereinssitzen teilweise um die Privatadressen der BF7 bis 10. Auf der Y-Website ist unter anderem ein Link zur Website der BF1 sowie die jeweiligen ZVR-Nummern der BF1 bis 6 abrufbar. Überdies scheint der BF9 auf der zugänglichen Homepage der BF1 unter XXXX als Vorsitzender der XXXX organisation mit Namen und Fotografie auf. Weitergehend hält die belangte Behörde selbst fest, dass die Namen der BF7 bis 10 in ihrer Funktion als organschaftliche Vertreter im ZVR verarbeitet werden. Die belangte Behörde weist in ihrer Begründung unter Bezugnahme auf das Urteil des EuGH in der Rechtssache Breyer vom 19.10.2016 (C-582/14, Rz 49) selbst darauf hin, dass die Privatadressen der BF7 bis 10 für die BF12 dann personenbezogen sein könnte, wenn diese über rechtliche Mittel verfügt, mittels derer sie die BF7 und 10 unter Verwendung von Zusatzinformationen anhand einer ZMR-Abfrage identifizieren kann.

Die belangte Behörde erwägt des Weiteren, dass man zu allen im ZVR angegebenen organschaftlichen Vertreter der BF1 bis 6 individuelle ZMR-Abfragen unter Verwendung der jeweiligen Namen und des im ZVR ersichtlichen Vereinssitzes tätigen müsste. Aus Sicht der Behörde sei eine solche Identifizierung „aber mit einem ungewöhnlich hohen Ermittlungsaufwand verbunden und übersteigt eine vernünftigerweise zu erwartende Anstrengung“.

Dieser Schlussfolgerung seitens der belangten Behörde kann aus folgenden Gründen nicht gefolgt werden:

Um festzustellen, ob eine natürliche Person identifizierbar ist, sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren (ErwG 26, 3. Satz). Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (ErwG 26, 4. Satz).

Entsprechend der Rechtsprechung des EuGH ist hierfür ein faktisches Risiko der Herstellung eines Personenbezugs erforderlich (EuGH 19.10.2016, C-582/14 [Breyer], Rz 38). Zur Bestimmung, ob ein solches Risiko gegeben ist, ist – neben den in ErwG 26, 3. Satz ausdrücklich genannten Faktoren – auch zu berücksichtigen, ob der Zweck der Verarbeitung eine Identifizierung erfordert, ob die Identifizierung zu einer Nutzungssteigerung führt und ob der Identifizierung vertragliche und/oder organisatorische Hemmnisse (zB Vertragsstrafen) entgegenstehen (vgl. Arning/Rothkegel in Taeger/Gabel, DSGVO·BDSG·TTDSG4, Art. 4, Rz 31 mwN).

Unter Berücksichtigung dessen kommt es zunächst für eine Identifizierbarkeit nicht ausschließlich auf die diesbezüglichen Möglichkeiten und Absichten der BF12, sondern auch einer “anderen Person“ an, weswegen von einer objektiven Beurteilung auszugehen ist (siehe dazu nochmals Bergauer in Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 4 Z 1 DSGVO Rz 20 [Stand 1.12.2020, rdb.at]). In diesem Sinne verwiesen auch die BF1 bis 10 zutreffenderweise auf eine Entscheidung der belangten Behörde, wonach es vielmehr ausreichend ist, dass „irgendjemand – mit rechtlich zulässigen Mittel und vertretbarem Aufwand – diesen Personenbezug herstellen kann“ (DSB 22.12.2021, GZ 2021-0.586.257 [DSB-D155.027]; vgl. hierzu im Übrigen auch BVwG 12.05.2023, W245 2252208-1/36E, W245 2252221-1/30E).

Auch wenn im gegebenen Zusammenhang keine entsprechenden ZMR-Abfragen getätigt worden sein sollten, ist dennoch zu festzuhalten, dass ein solches Vorgehen aus Sicht des Bundesverwaltungsgerichts keinen „ungewöhnlich hohen Ermittlungsaufwand“ darstellt. Im Hinblick auf die Beschreibung des Y-Projekts, die XXXX sowie die XXXX Vereine darzustellen, scheint eine dahingehend erfolgende Identifizierung zumindest aus Sicht jener, die sich für die Vereinsfunktionäre und deren Adresse näher interessieren, wahrscheinlich. Dies auch unter dem Blickpunkt, dass der mit der Herstellung eines Personenbezugs verbundene Kosten- und Zeitaufwand nicht übermäßig groß ist. Hierbei darf zudem nicht außer Acht gelassen werden, dass eine Abfrage im ZVR kostenlos über das Internet möglich ist.

Auch ist es ebenso nach allgemeinem Ermessen als wahrscheinlich anzusehen, dass ein an der betreffenden Thematik einschlägig interessierter Personenkreis – insbesondere ein solcher der diesbezügliche Informationen zwecks XXXX verwenden will – mit rechtlich zulässigen Mittel, nämlich ZMR-Abfragen, und daher vertretbarem Aufwand den beschriebenen Personenbezug herstellen kann.

Richtig ist, dass gem. § 16 Abs. 1 MeldeG für eine ZMR-Abfrage neben den aus der Y-Website ersichtlichen Angaben Vor- und Nachname ein weiteres Merkmal anzugeben ist, so unter anderem Geburtsdatum, Geburtsort oder einen bisherigen Wohnsitz. In der Praxis kann auch die Staatsangehörigkeit angegeben werden. Zweifellos kann die auf der Y-Website angegebene Adresse als bisheriger Wohnsitz vermutet werden, wenn der Anfragende eine Bestätigung sucht, ob die gesuchte Person an dieser Adresse gemeldet ist. Auch die österreichische Staatsbürgerschaft kann als Abfragemerkmal versucht werden.

Wie insoweit zutreffend von den BF7 bis 10 angeführt wurde, ist es zudem jedem Dritten ohne weiteres möglich, die jeweilige Adresse aufzusuchen. Im Lichte des Vorbringens der BF7 bis 10 zu den Medienberichten betreffend das Aufstellen von Warntafeln sowie zum Umstand, dass eine fremde Person die Wohnung des BF9 aufgesucht hat, ist insofern auch das faktische Risiko der Herstellung eines Personenbezugs jedenfalls als gegeben anzusehen.

Der Umstand, dass eine Auskunftssperre im ZVR (§ 17 Abs. 4 VereinsG) bzw. im ZMR (§ 18 MeldeG) seitens der BF7 bis 10 unterlassen wurde, vermag in diesem Kontext die soeben aufgezeigte Herstellung eines Personenbezuges nicht aufzuheben.

Sohin handelt es sich im vorliegenden Fall bei den (Privat-)Anschriften (in Kombination mit den oben beschriebenen Registerabfragen bzw. dem direkten Aufsuchen) um personenbezogene Daten der BF7 bis 10 iSd § 1 DSG und Art. 4 Z 1 DSGVO und wurden diese zweifellos im Sinne des Art. 4 Z 2 DSGVO verarbeitet.

Hinsichtlich der Streichung der TOP-Angaben ist auf die obenstehenden Ausführungen zum Datenschutz juristischer Personen zu verweisen.

Des Weiteren ist in diesem Zusammenhang darüber hinaus zu beachten, dass bei einer entsprechenden Abfrage im ZVR, die wie oben ausgeführt jedenfalls nach allgemeinem Ermessen wahrscheinlich genutzt wird, die BF7 bis 10 als organschaftliche Vertreter der betreffenden Vereine darin aufscheinen, womit – alleine schon angesichts des jeweiligen Vereinsnamens der BF1 bis 6 – Rückschlüsse auf die XXXX der BF7 bis 10 getroffen werden können.

XXXX

Ausgehend davon liegen fallbezogen hinsichtlich der BF7 bis 10 ebenso Daten vor, aus denen deren XXXX Überzeugung hervorgeht, womit insofern im Falle der BF7 bis 10 besondere Kategorien personenbezogener Daten (wiederum in Kombination) nach Art. 9 Abs. 1 DSGVO einer Verarbeitung zugeführt werden.

Hinsichtlich der BF1 bis 6 hatte schon die belangte Behörde richtigerweise angeführt, dass deren allgemeine „Stammdaten“ sowie ergänzende Informationen zu ihrer Vereinsorganisation und –tätigkeit, somit Informationen iSd Art. 4 Z 1 DSGVO, einer (automatisierten) Verarbeitung iSd Art. 4 Z 2 DSGVO zugeführt wurden. Der belangten Behörde ist in diesem Zusammenhang auch dahingehend beizupflichten, dass betreffend die BF1 bis 6 im Rahmen des Y-Projekts auch Informationen iSd Art. 9 Abs. 1 DSGVO verarbeitet werden (wenngleich Art 9 DSGVO nicht auf juristische Personen anzuwenden ist).

3.3.2.3. Zur Frage der „allgemeinen Verfügbarkeit“ der Daten:

Zunächst heben die BF11 und BF12 hervor, dass sämtliche der verarbeiteten und veröffentlichten Daten zuvor öffentlich verfügbar gewesen seien und entweder aus dem ZVR oder dem Internetauftritt der betreffenden Vereine stammten.

Hinsichtlich des Datenschutz natürlicher Personen ist Folgendes auszuführen:

In der wissenschaftlichen Literatur wird zur „allgemeinen Verfügbarkeit“ von Daten Folgendes angeführt:

„§ 1 Abs 1 Satz 2 schließt die Verletzung eines schutzwürdigen Geheimhaltungsinteresses der Betroffenen bei »allgemein verfügbaren Daten« ausdrücklich aus“ (Thiele/Wagner, Praxiskommentar zum DSG § 1 Rz 114 [Stand 1.1.2020, rdb.at]).

„Die generelle Annahme des Nichtvorliegens einer Verletzung schutzwürdiger Geheimhaltungsinteressen für zulässigerweise veröffentlichte Daten ist mit den Bestimmungen der DSGVO nicht vereinbar […]. Die Tatsache, dass diese personenbezogenen Daten bereits zum Teil öffentlich zugänglich sind, bedeutet nicht, dass das Datenschutzregime dafür nicht gelten würde. Die Rsp […] hat klargestellt, dass sich der Datenschutz für bereits veröffentlichte Daten grundsätzlich nicht vom Schutzumfang von sonstigen personenbezogener Daten unterscheidet.“ (wie oben, Rz 115 mwN).

„Es ist daher zu berücksichtigen, dass die ganz generelle Annahme des Nichtvorliegens einer Verletzung schutzwürdiger Geheimhaltungsinteressen für zulässigerweise veröffentlichte Daten nicht mit den Bestimmungen der DSGVO vereinbar ist […]. Dies bedeutet, dass nicht alle Daten, die veröffentlicht werden oder öffentlich zugänglich sind, von einem Verantwortlichen für beliebige eigene Zwecke verwendet werden dürfen“ (wie oben, Rz 116 mwN).

„Sofern zulässigerweise veröffentlichte Daten nicht bloß reproduziert werden, sondern ein neues Element mit diesen Daten verknüpft wird – wie etwa die Schaffung eines informationellen Mehrwerts […] zur Schaffung einer „Ärzte-Bewertungsplattform“ oder die Verwendung der Daten zur möglichen Akquise von Liegenschaften im Rahmen des Gewerbes als Immobilientreuhänder –, handelt es sich bei dieser Verknüpfung um eine Verarbeitung gemäß Art 4 Z 2 DSGVO. Eine solche Verknüpfung bedarf stets eines Erlaubnistatbestandes nach Art 6, 9 oder 10[…]“ (wie oben, Rz 117 mwN).

„Die verfassungsrechtliche Ausnahme für veröffentlichte Daten im § 1 Abs. 1 hat daher unionsrechtlich zurückzutreten […]. Diese Sichtweise ist auch in Einklang mit den Vorgaben von § 107 Abs 1 TKG 2003 (nunmehr § 174 TKG 2021, Anm. d. BVwG), wonach eine auf einer Homepage zur Verfügung gestellte Handynummer zu Beratungszwecken gerade nicht als Rechtsgrundlage für die Durchführung von Werbezwecken ausreichend ist, sondern ausdrücklich eine Einwilligung des Teilnehmers (bzw in der datenschutzrechtlichen Terminologie: der betroffenen Person) verlangt wird […]. Verwendet daher die Beschwerdegegnerin die auf einer Verbandswebsite zur Verfügung gestellte Handynummer des Beschwerdeführers zweckwidrig für Werbemaßnahmen, ist darin eine Verletzung im Recht auf Geheimhaltung festzustellen.“ (wie oben, Rz 118 mwN).

„Der Umstand, dass die von einem Beschwerdegegner veröffentlichten personenbezogenen Daten des Beschwerdeführers (Funktion, Name, postalische Anschrift, E-Mail-Adresse) ohnehin auf der Webseite […] ersichtlich sind, kann nicht schon dazu führen, dass diese personenbezogenen Daten als allgemein verfügbar im Sinne des § 1 Abs. 1 gelten. Würde dies bejaht werden, wäre ein schutzwürdiges Interesse an der Geheimhaltung von Daten – bloß, weil sich diese auch an beliebiger Stelle im Internet finden lassen – stets ausgeschlossen und zwar selbst dann, wenn die verfügbaren Daten mit anderen – nicht allgemein verfügbaren – verknüpft werden“ (wie oben, Rz 119 mwN).

„Die Tatsache, dass es sich beim Grundbuch um ein öffentliches Register handelt, bedeutet nach der ständigen Rechtsprechung des OGH nur, dass jeder darin – gegen Kostenersatz – Einsicht nehmen und daraus Abschriften erhalten kann. Es bedeutet aber nicht, dass die dem Register zu entnehmenden Tatsachen allgemein bekannt oder auch nur gerichtskundig (iSv § 269 ZPO) sind (vgl OGH 4.11.2010 8 Ob 11/10s). Insofern kann schon aus diesem Grund nicht schlichtweg von allgemein verfügbaren Daten iSd § 1 Abs 1 gesprochen werden […]“ (wie oben, Rz 121).

„Grundsätzlich ist daher im Rahmen der unmittelbaren Anwendbarkeit der DSGVO eine unionsrechtskonforme Interpretation des § 1 Abs. 1 DSG geboten. Nur soweit eine Kollision zwischen § 1 und den Bestimmungen der DSGVO vorliegt, wird § 1 durch die sekundärrechtlichen Vorschriften verdrängt“ (vgl. Lachmayer in Knyrim, DatKomm Art. 1 DSGVO Rz 70 [Stand 01.12.2018, rdb.at]).

Der VwGH führte in einer rezenten Entscheidung vom 01.02.2024, Zl. Ro 2021/04/0016, Folgendes hinsichtlich der allgemeinen Verfügbarkeit von Daten an:

„Anders als die Verfassungsbestimmung des § 1 Abs. 1 zweiter Satz DSG enthalten weder Art. 8 GRC (Schutz personenbezogener Daten) noch die DSGVO eine Ausnahme für Daten, die allgemein verfügbar bzw. öffentlich zugänglich sind. Der EuGH hat - zu der dem Grunde nach vergleichbaren unionsrechtlichen Rechtslage vor der DSGVO - eine allgemeine Ausnahme von der Anwendung der (damals noch) Richtlinie 95/46/EG zugunsten veröffentlichter Daten ausdrücklich abgelehnt, weil dies die Richtlinie weitgehend leerlaufen lassen würde (siehe EuGH 16.12.2008, C-73/07, Satakunnan Markkinapörssi und Satamedia, Rn. 48 f). Dies kann für die DSGVO nicht anders beurteilt werden (siehe zur Vergleichbarkeit der jeweiligen Bestimmungen über den Anwendungsbereich EuGH 20.10.2022, C-306/21, Koalitsia "Demokratichna Bulgaria - Obedinenie", Rz. 37). Im Hinblick auf den Anwendungsvorrang des Unionsrechts ist somit in einem Fall, der in den Anwendungsbereich der DSGVO und daher des Unionsrechts fällt, eine Datenverarbeitung auch dann nicht vom Recht auf Schutz personenbezogener Daten ausgenommen, wenn es sich um allgemein verfügbare Daten im Sinn des § 1 Abs. 1 zweiter Satz DSG handeln sollte.“

Vor diesem Hintergrund kam insoweit schon die belangte Behörde korrekterweise zu dem Schluss, dass durch die Verknüpfung von personenbezogenen Daten zusammen mit der Anreicherung durch weitere, selbst recherchierte bzw. erstellte Informationen im Y-Projekt im Ergebnis neue (auch personenbezogene) Daten und Informationen generiert werden. Es handelt sich bei dieser Verknüpfung daher um eine Verarbeitung gemäß Art. 4 Z 2 DSGVO, die stets eines Erlaubnistatbestandes nach Art. 6, 9 oder 10 DSGVO bzw. § 1 Abs. 2 DSG bedarf.

Darüber hinaus ist davon auszugehen, dass auch bezüglich der Daten juristischer Personen, auf die grundsätzlich die DSGVO keine Anwendung findet, keine „allgemein verfügbaren Daten“ vorlagen, da diese nicht 1:1 aus öffentlichen Quellen zusammengeführt wurden, sondern mit anderen Daten kombiniert wurden und somit eine neue Datenverarbeitung vorliegt.

Somit ist nicht von einer „allgemeinen Verfügbarkeit“ der Daten auszugehen und bedarf auch die Datenverarbeitung der BF1 bis 6 einer rechtlichen Grundlage iSd § 1 Abs. 2 DSG.

3.3.2.4. Zu den Rechtsgrundlagen:

Nach § 1 Abs. 2 DSG sind Beschränkungen des Geheimhaltungsanspruchs nur zulässig, wenn die Verwendung personenbezogener Daten im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, bei überwiegenden berechtigten Interessen eines anderen oder bei Vorhandensein einer qualifizierten gesetzlichen Grundlage.

Gegenständlich ist es zunächst unstrittig, dass weder eine Verwendung personenbezogener Daten im lebenswichtigen Interesse der BF1 bis 10, noch eine Zustimmung der BF1 bis 10 zur Verarbeitung der gegenständlichen personenbezogenen Daten vorliegt.

Die BF12 beruft sich dahingehend insbesondere auf die Forschungs- und Wissenschaftsfreiheit gemäß Art. 17 StGG sowie auf die Freiheit der Meinungsäußerung nach Art. 10 EMRK als Rechtfertigungstatbestände für die gegenständlichen Datenverarbeitungen. Anzumerken ist, dass die ebenso vorgebrachte Ausnahme nach § 9 Abs. 1 DSG – wie richtigerweise von der belangten Behörde ausgeführt – im vorliegenden Fall nicht greift, was von der BF12 insoweit auch im verwaltungsgerichtlichen Verfahren nicht weiter beanstandet wurde.

Es ist insofern eine Abwägung anhand des Art. 17 StGG sowie des Art. 10 EMRK mit dem Recht auf Geheimhaltung iSd § 1 Abs. 1 DSG dahingehend vorzunehmen, ob das Interesse der BF1 bis 10 an der Geheimhaltung ihrer (personenbezogenen) Daten das Interesse der BF12 sowie des MB an der Durchführung des fallgegenständlichen Projektes unter dem Blickwinkel der Freiheit der Wissenschaft und Meinungsäußerung überwiegt:

Die durch Art. 17 Abs. 1 StGG gewährleistete Wissenschaftsfreiheit umfasst zwei verschiedene Tatbestände: einerseits die Freiheit der Forschung und anderseits die Freiheit der Lehre. Es handelt sich um einen Anwendungsfall des Rechts auf Freiheit der Meinungsäußerung; auch wissenschaftliche Äußerungen unterliegen dem Schutz des Art. 10 EMRK (vgl. Grabenwarter/Frank, B-VG Art. 17 StGG Rz 1 [Stand 20.6.2020, rdb.at], mit Verweis auf VfSlg 13.978/1994; 18.763/2009 und EGMR 28.10.1999 [GK], 28396/95, Wille).

Geschützt sind die Wissenschaft selbst wie auch die Lehre der Wissenschaft, also sowohl Inhalt, Methoden, Durchführung und Veröffentlichung von Forschung als auch deren mündliche oder schriftliche Verbreitung und Vermittlung inner- oder außerhalb von Lehreinrichtungen. Eingriffe in die Wissenschafts- und Lehrefreiheit stellen die Untersagung der Durchführung wissenschaftlicher Untersuchungen oder der Aufzeichnung bzw. Veröffentlichung ihrer Ergebnisse, die Beanstandung oder Untersagung einer wissenschaftlichen Publikation, die dauernde oder vorübergehende Unterdrückung einer wissenschaftlichen Lehrmeinung, die gerichtliche oder behördliche Verfolgung einer Person wegen der Aufstellung eines wissenschaftlichen Lehrsatzes oder damit in Zusammenhang stehende individuelle dienstrechtliche Maßnahmen dar (vgl. Gamper in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B-VG und Grundrechte Art. 17 StGG Rz 7 mwN [Stand 1.1.2021, rdb.at]).

Der mit der B-VG-Novelle BGBl I 2008/2 eingefügte Art 81c Abs 1 B-VG ergänzt allerdings Art. 17 Abs. 1 StGG um eine institutionelle Freiheit: Art 81c Abs. 1 Satz 1 B-VG garantiert die öffentlichen Universitäten als Stätten freier wissenschaftlicher Forschung, Lehre und Erschließung der Künste. Die öffentlichen Universitäten handeln gem. Art. 81c Abs. 1 Satz 2 B-VG im Rahmen der Gesetze autonom und können Satzungen erlassen. Dem VfGH zufolge ist die Auslegung des Art 81c B-VG im Lichte des Art 17 StGG durchzuführen (VfSlg 19.775/2013, ähnlich VfSlg 20.143/2017) (vgl. wie oben, Rz 9 mwN).

Sofern gesetzliche Eingriffe in die Wissenschafts- und Lehrefreiheit anderen verfassungsrechtlichen Schutzgütern dienen, ist eine Verhältnismäßigkeitsabwägung zwischen dem Grundrecht und diesen anderen Schutzgütern vorzunehmen (vgl. wie oben, Rz 14 mwN).

Im Übrigen kann hinsichtlich des Art. 17 StGG auf die schon getroffenen Ausführungen aus wissenschaftlichen Kommentaren unter Punkt 3.3.2.1. verwiesen werden.

In Bezug auf die BF1 bis 6 ist der belangten Behörde zunächst insoweit zuzustimmen, als nach der Rechtsprechung des EuGH, die Verletzung des Rechts auf Schutz der personenbezogenen Daten bei juristischen Personen ein anderes Gewicht als bei natürlichen Personen hat (vgl. EuGH 09.11.2021, C-92/09 [Schecke und Eifert] Rz 87). Im Übrigen ist laut EuGH der persönliche Anwendungsbereich des Art. 8 GRC so zu interpretieren, dass juristische Personen vom Schutzbereich des europäischen Grundrechts auf Datenschutz grundsätzlich nicht umfasst sind, außer es findet sich in der Firma der juristischen Person der Name einer natürlichen Person.

Nach Jahnel lässt sich – unter Bezugnahme auf das Urteil vom EuGH in der Rechtssache Google Spain vom 13.05.2014 (C-131/12, Rz 81) – kein allgemeiner Vorrang des Grundrechts auf Datenschutz vor den Grundrechten auf Informationsfreiheit ableiten. Vielmehr ist auf das in der Rs Buivids (EuGH 14.02.2019, C-345/17) bestätigte Gebot eines Ausgleichs der beiden widerstreitenden Grundrechte im konkreten Einzelfall abzustellen (vgl. Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 85 DSGVO Rz 11 [Stand 1.12.2020, rdb.at]).

Der XXXX folgend besteht der Zweck des Y-Projekts in der wissenschaftlichen Untersuchung von XXXX in Österreich sowie in der Verschaffung eines umfassenden Überblicks über die gegenwärtige XXXX Vereins XXXX für XXXX und die interessierte Öffentlichkeit. Hierbei wird das Y-Projekt ausdrücklich als wissenschaftliches Forschungsprojekt bezeichnet und wird wiederum in der Projektbeschreibung ein Forschungsbedarf und Forschungszweck festgelegt. Dahingehend gestalten sich auch die Angaben der BF11 und 12, wonach rein wissenschaftliche Ziele verfolgt werden. Wie die belangte Behörde diesbezüglich ausführte, wird zum einen ein konkreter Forschungsbedarf in Zusammenhang mit XXXX Organisationen samt Forschungszweck und –ziel aufgezeigt und werden zum anderen wissenschaftliche Methoden zur empirischen Erforschung und Analyse von XXXX Fragen XXXX festgelegt. Hinzu kommt, dass das fallbezogene Projekt von der BF12 im Rahmen ihres universitären Betriebes als Stätte freier wissenschaftlicher Forschung und Lehre betrieben wird.

Zwar ist es richtig, dass das gegenständliche Forschungsprojekt offenbar auch XXXX wurde. Es obliegt dem Bundesverwaltungsgericht im Rahmen seiner datenschutzrechtlichen Prüfung aber nicht, das Ausmaß der „Wissenschaftlichkeit“ eines Forschungsprojekts zu beurteilen, sofern diese dem Grunde nach vorliegt, wovon aufgrund der Durchführung durch eine Universität nach dem Universitätsgesetz auszugehen ist. Sehr wohl aber obliegt es dem Bundesverwaltungsgericht, eine Abwägung der einander gegenüberstehenden Grundrechte durchzuführen.

Sohin vermag die BF12 sich grundsätzlich auf Art. 17 StGG zu berufen, folglich kommt ihr auch ein berechtigtes Interesse an der Ausübung eben jener Freiheit zu, nicht zuletzt im Hinblick auf ihre Eigenschaft als öffentliche Universität und ihrer damit verbundenen ergänzenden institutionellen Freiheit nach Art 81c Abs. 1 B-VG.

Soweit die oben beschriebenen Daten iSd Art. 9 Abs. 1 DSGVO der BF7 bis 10 betroffen sind, ist auf Art. 9 Abs. 2 lit. j DSGVO hinzuweisen, wonach Abs. 1 nicht gilt, wenn die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erforderlich ist.

Dazu wird in der wissenschaftlichen Literatur ausgeführt:

„Die Verarbeitung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung sollte nach ErwGr 159 weit ausgelegt werden und umfasst beispielsweise die technologische Entwicklung, die Grundlagenforschung und die angewandte Forschung. Auch rein privat finanzierte Forschung, die uU vor ihrer Veröffentlichung rein privaten Interessen und keinem öffentlichen Interesse dient, unterfällt dem Begriff der wissenschaftlichen Forschung im Sinne dieser Verordnung. Des Weiteren sollen insbesondere auch Studien, die aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit stattfinden, zu Zwecken der wissenschaftlichen Forschung erlaubt sein“ (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 9 DSGVO Rz 120 [Stand 1.12.2020, rdb.at]).

Allerdings ist Art. 89 Abs. 1 DSGVO zu entnehmen, dass technisch und organisatorische Maßnahmen zu bestehen haben, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet ist. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung nicht personenbezogener Daten erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.

Eine solche Grundlage nach Art. 9 Abs. 2 lit. j DSGVO besteht etwa in § 7 DSG, dessen Abs. 5 grundsätzlich von der Beseitigung des Personenbezuges (bei Veröffentlichung des Forschungsergebnisses) ausgeht.

Die datenschutzrechtliche Privilegierung der Verarbeitung personenbezogener Daten für Forschungszwecke besteht nämlich vor dem Hintergrund, dass Forschungsergebnisse grundsätzlich in anonymisierter (oder zumindest pseudonymisierter) Form erfolgen.„Im Kern zielen die Vorgaben des § 7 auf eine Privilegierung der Datenverarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke. Diese Privilegierung manifestiert sich insb darin, dass die Verarbeitung personenbezogener Daten betroffener Personen weitgehend ohne deren Einbeziehung (Information, Einwilligung) ermöglicht werden soll. Zu beachten ist, dass § 7 die datenschutzrechtliche Zulässigkeit des Zugangs zu Daten und deren Verarbeitung, nicht aber die Zulässigkeit der Veröffentlichung allfälliger personenbezogener Ergebnisse regelt“ (Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 7 Rz 1 [Stand 12.6.2018, rdb.at], mit Hinweis auf die Vorgängerbestimmung § 46 DSG 2000 sowie DSK 31.05.2006, K202.048/0008-DSK/2006).

„Unabhängig von der jeweiligen Datenart, die Gegenstand von Verarbeitungen für Zwecke des § 7 wird, statuiert § 7 Abs 5, dass personenbezogene Daten grundsätzlich stets zu pseudonymisieren sind, sobald dies mit dem konkreten Forschungs- bzw Statistikzweck vereinbar ist. Die damit verbundenen Schritte der Datenermittlung und -auswertung sind insofern jeweils getrennt zu betrachten und dahingehend zu hinterfragen, ob nicht für einzelne von ihnen auch mit pseudonymisierten Daten das Auslangen gefunden werden kann. Zu beachten ist, dass § 7 Abs 5 nicht ausdrücklich von pseudonymen Daten spricht, sondern diese als personenbezogene Daten iSd § 7 Abs 1 Z 3 umschreibt. Im Ergebnis bedeutet dies, dass § 7 Abs 5 nach Möglichkeit eine „qualifizierte“ Pseudonymiserung verlangt, die nur dann vorliegt, wenn die mit der Datenauswertung befasste Person/Stelle selbst keine Möglichkeit (mehr) hat, auf legalem Wege einen direkten Personenbezug herzustellen“ (Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 7 Rz 29 [Stand 12.6.2018, rdb.at]). § 7 Abs 5 letzter Satz DSG bezweckt die Minimierung der personenbezogenen Verwendungsdauer der Daten (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 7 [Stand 1.2.2022, rdb.at] Rz 57 mit Verweis auf DSK 22.10.2008, K202.067/0006-DSK/2008 [KZ-Gedenkbuch]).

Als „leges speciales“ – und ausdrücklich in § 7 Abs. 2 Z 1 DSG geregelt – gehen die Bestimmungen des 2. Abschnitts des FOG dem § 7 DSG vor. Der Anwendungsbereich des § 7 DSG beschränkt sich daher im Wesentlichen auf Datenverarbeitungen durch Verantwortliche, die nicht als wissenschaftliche Einrichtungen iSv § 2b Z 12 FOG zu qualifizieren sind oder die nicht die strikten Datensicherheitsvorschriften gemäß § 2d Abs. 1 FOG erfüllen. Diese Datensicherheitsmaßnahmen entsprechen jenen nach Art 9 Abs. 1 lit j und Art 89 Abs. 1 DSGVO (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 7 Rz 12 [Stand 1.2.2022, rdb.at]).

Auch § 2d Abs. 2 Z 1 dritter Satz FOG sieht vor, dass für Zwecke dieses Bundesgesetzes wissenschaftliche Einrichtungen im Sinne des § 2b Z 12 FOG, insbesondere auf Grundlage des Art. 9 Abs. 2 lit. g, i und j, somit sämtliche personenbezogene Daten, jedenfalls verarbeiten dürfen, insbesondere im Rahmen von Big Data, personalisierter Medizin, biomedizinischer Forschung, Biobanken und der Übermittlung an andere wissenschaftliche Einrichtungen und Auftragsverarbeiter, wenn nach lit. a anstelle des Namens, bereichsspezifische Personenkennzeichen oder andere eindeutige Identifikatoren zur Zuordnung herangezogen werden oder gemäß lit. b die Verarbeitung in pseudonymisierter Form (Art. 4 Z 5 DSGVO) erfolgt oder nach lit c. Veröffentlichungen nicht (sublit. aa) oder nur in anonymisierter oder pseudonymisierter Form (sublit. bb) erfolgen oder gemäß lit. d die Verarbeitung ausschließlich zum Zweck der Anonymisierung oder Pseudonymisierung erfolgt, und keine Offenlegung direkt personenbezogener Daten an Dritte (Art. 4 Z 10 DSGVO) damit verbunden ist.

„Den Gesetzesmaterialien zufolge bedeutet die Wortwahl „sämtliche personenbezogene Daten“, dass damit ebenso sensible Daten iSv Art 9 DSGVO mitgemeint sind, was für wissenschaftliche Einrichtungen de facto nichts anderes als eine Privilegierung zur erleichterten Datenverarbeitung bedeutet“ (siehe Maier in Jahnel (Hrsg), Datenschutzrecht: Jahrbuch (2023) Ausgewählte Aspekte des Forschungsprivilegs, 301 mwN).„Die einzelnen Zulässigkeitsbedingungen sind durch "oder" verbunden und an keine weiteren Bedingungen geknüpft, sodass es sich um gleichwertige Vorgangsweisen handelt, die nach Wahl des verantwortlichen Forschers bei allen Verarbeitungstypen alternativ einsetzbar sind. § 2d Abs 2 Z 1 enthält keine Bestimmung, die im Sinne des Art 89 Abs 1 DSGVO verpflichtend vorschreibt, dass für wissenschaftliche Forschungsverarbeitungen anonymisierte oder pseudonymisierte Daten zu verwenden sind, wenn der Zweck der Verarbeitung mit solchen Daten erreicht werden kann“ (siehe Kotschy, Die Zulässigkeitsvoraussetzungen für Forschungsdatenverarbeitungen nach dem FOG – eine kritische Analyse, Jahrbuch Datenschutzrecht 2020, 281, Kap 2.2.2.2. lit. a).

„§ 2d Abs 2 Z 1 FOG enthält keine Regelung über die Zulässigkeit von Verarbeitungen, die keine der Voraussetzungen der lit a - c erfüllen, dh insbesondere für den Fall, dass eine Veröffentlichung mit Namen erfolgen soll“ (wie oben, Kap 2.2.2.2. lit. e, sublit. cc).

Es kann daher festgestellt werden, dass zwar grundsätzlich Rechtsgrundlagen Art. 17 StGG iVm Art. 9 Abs 2 lit. j DSGVO iVm § 7 DSG bzw. § 2 d FOG vorhanden sind, was jedoch die Daten natürlicher Personen angeht, ist auf § 2d Abs. 2 Z 1 dritter Satz lit. c sublit. bb FOG hinzuweisen, wonach sämtliche personenbezogene Daten von wissenschaftlichen Einrichtungen (jedenfalls) verarbeitet werden dürfen, wenn Veröffentlichungen nur in anonymisierter oder pseudonymisierter Form erfolgen. Selbst im Hinblick auf diese Privilegierung für wissenschaftliche Einrichtungen zur erleichterten Datenverarbeitung wäre es somit an der BF12 gelegen, in Bezug auf die Daten der BF7 bis 10 bei der Veröffentlichung der genannten Bestimmung aus dem FOG entsprechend Rechnung zu tragen. Auch § 7 Abs. 4 geht von einer grundsätzlichen Anonymisierung der Forschungsergebnisse aus. Ein (ausnahmsweiser) Personenbezug darf dann bestehen, sofern er für die wissenschaftliche Tätigkeit (im gegebenen Fall: bei der Veröffentlichung eines Forschungsergebnisses) notwendig ist.

Wenngleich der grundsätzlichen Beurteilung der belangten Behörde, wonach die von der BF12 in Anspruch genommenen Grundrechte auf Wissenschaftsfreiheit das Recht der BF1 bis 10 auf Geheimhaltung ihrer personenbezogenen Daten überwiegen, nicht entgegengetreten wird, so gilt dies jedoch nicht für die in diesem Rahmen veröffentlichten Adressen der BF1 bis 10 sowie die ZVR-Nummern der BF1 bis 6, da diese Daten zum einen nicht notwendig sind um dem Zweck des Projekts Rechnung zu tragen, andererseits eine Interessenabwägung mit dem Grundrecht auf Geheimhaltung der BF1 bis 6 zu ihren Gunsten ausgeht. Was die Identifizierbarkeit natürlicher Personen, wie die BF7 bis 10, anlangt, geht eine Interessenabwägung ebenfalls eindeutig zu ihren Gunsten aus und stellt eine derartige Zugänglichmachung auch einen Verstoß gegen das Prinzip der in Art. 5 Abs. 1 lit. c DSGVO normierten Datenminimierung dar und widerspricht auch den Vorgaben des FOG und des DSG.

Soweit in Forschungstätigkeit auch eine Ausübung des Rechts auf freie Meinungsäußerung zu erblicken ist, ist dazu Folgendes auszuführen:

Nach der Rechtsprechung des EGMR ist für die Zwecke der Abwägung zwischen dem Grundrecht auf Geheimhaltung (Art. 8 EU-GRC) und der Freiheit der Meinungsäußerung (Art. 11 EU-GRC) insbesondere auf den Beitrag zu einer Debatte von allgemeinem Interesse, den Bekanntheitsgrad der betroffenen Person, den Gegenstand der Berichterstattung, Inhalt, Form und Auswirkungen der Veröffentlichung, die Art und Weise sowie die Umstände, unter denen die Informationen erlangt worden seien, und deren Richtigkeit abzustellen (EGMR 14.02.2019, C-345/17, Rz 66). Ebenso muss die Möglichkeit berücksichtigt werden, dass der für die Verarbeitung Verantwortliche Maßnahmen ergreift, die es ermöglichen, das Ausmaß des Eingriffs in das Recht auf Privatsphäre zu verringern (siehe abermals EuGH 14.02.2019, C-345/17).

Fallgegenständlich sind folgende Kriterien von besonderer Relevanz:

Wie sich schon aufgrund der XXXX des Y-Projekts XXXX ergibt, ist im gegenständlichen Fall von einem öffentlichen Interesse auszugehen.

Hinsichtlich der sachlichen Richtigkeit verwies die belangte Behörde darauf, dass die bereitgestellten Informationen zu keinem Zeitpunkt, was die sachliche Richtigkeit bzw. deren Wahrheitsgehalt anbelangt, von den BF1 bis 6 bestritten wurden. Überdies brachte ein Vertreter der BF1, der BF9, in der mündlichen Verhandlung zum Ausdruck, dass sich die BF1 durch die Publikation der Adresse und ZVR-Nummer beschwert sehen, ansonsten aber „das Recht freie Meinungsäußerung“ zu respektieren sei. Eine sachliche Unrichtigkeit wurde weder konkret vorgebracht, noch ist sie evident.

In Bezug auf die Art der betroffenen Information und ihrer Sensitivität für das Privatleben der Betroffenen ist hingegen festzuhalten, dass grundsätzlich keine Anhaltspunkte vorliegen, dass es sich bei den BF1 bis 10 – abgesehen vielleicht von der XXXX organisation – um der breiten Öffentlichkeit bekannte Personen handelt. Auch wird bei der Interessenabwägung übersehen, dass – selbst wenn den genannten Kriterien grundsätzlich entsprochen würde – der Eingriff in das Recht auf Privatsphäre möglichst geringgehalten werden muss. Dies ergibt sich bereits aus § 1 Abs. 2 letzter Satz DSG, wonach ein Eingriff selbst bei zulässigen Eingriffen nur in der gelindesten zum Ziel führenden Art vorgenommen werden darf.

Was die Veröffentlichung der Adressen der BF1 bis 6 bzw. der Privatadressen der BF7 bis 10 im Rahmen des Y-Projekts anlangt, ist Folgendes zu berücksichtigen:

Werden personenbezogene Daten natürlicher Personen verarbeitet, muss diese Verarbeitung gemäß Art. 5 Abs. 1 lit. c DSGVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Der Grundsatz der Datenminimierung beschränkt generell die Eingriffstiefe und damit die Art der Daten, den Personenbezug der Daten, die Menge der Daten, den Detailgrad der Daten, die Speicherdauer der Daten, die Anzahl der Nutzungen und den Kreis der Zugriffsberechtigten. Die Minimierung der Datenmenge bedeutet sowohl die Minimierung der Anzahl der Betroffenen als auch die Minimierung der Datenmenge pro Betroffenem. Die Minimierung des Personenbezugs bedeutet insbesondere zu prüfen, ob der Zweck der Verarbeitung auch mit pseudonymisierten, aggregierten, oder anonymisierten Daten erreicht werden kann. (vgl. Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art 5 DSGVO Rz 39 [Stand 1.10.2020, rdb.at]).

Wie oben erwähnt, enthält auch § 1 DSG, welcher auch auf juristische Personen anwendbar ist, eine Verpflichtung zur Datenminimierung:

„Schließlich enthält § 1 Abs 2 letzter Satz DSG den sog Grundsatz der Datensparsamkeit, wonach alle Grundrechtseingriffe – unabhängig vom Eingriffssubjekt – nur in der jeweils gelindesten zielführenden Art erfolgen dürfen und damit einer Verhältnismäßigkeitsprüfung unterliegen“ (Ennöckl in Kahl/Khakzadeh/Schmid, Kommentar zum Bundesverfassungsrecht B-VG und Grundrechte Art. 1 DSG Rz 31 [Stand 1.1.2021, rdb.at]).

Die BF1 bis 10 haben in diesem Lichte plausibel dargelegt, dass infolge der Veröffentlichung Warntafeln vor XXXX Einrichtungen aufgestellt wurden. Darüber hinaus hat eine fremde Person die Wohnung des BF9 aufgesucht. Nicht zuletzt unter dem Gesichtspunkt der Wahrscheinlichkeit oder des tatsächlichen Eintritts eines materiellen bzw. immateriellen Schadens durch die Datenverarbeitung, kommt den angeführten Begebenheiten besondere Bedeutung zu.

Es ist kein sachlicher Aspekt ersichtlich, der die im Rahmen des Projektes solcherart erfolgte Veröffentlichung der Adressen bzw. ZVR-Nummern und die damit die Möglichkeit einer Rückführung auf die betroffenen Personen massiv erleichtert hat, rechtfertigt: Eine wie im Rahmen des betreffenden Projektes vorgenommene Veröffentlichung der Adressen kann diesbezüglich nicht als der in der gelindesten zielführenden Art vorgenommene Grundrechtseingriff erkannt werden.

Das Argument der belangten Behörde, wonach die BF1 bis 6 keine Auskunftssperre im ZVR veranlasst haben, vermag in diesem Kontext auch insoweit nicht zu überzeugen, da infolge der verspäteten Datenschutzerklärung der BF12 betreffend das Y-Projekt den BF1 bis 6 die rechtzeitige Beantragung einer Auskunftssperre gar nicht möglich gewesen wäre – selbst wenn sie dies gewollt hätten (siehe zur verspäteten Datenschutzerklärung weiter unter Punkt 3.3.2.5.). Zwar gaben die BF1 bis 6 in dieser Hinsicht im Rahmen der Beschwerdeverhandlung an, durchaus für etwaige interessierte Kreise wahrnehmbar sein zu wollen, dennoch fügten sie hierbei nachvollziehbar an, dass dies nicht im Kontext des Y-Projekts gilt. Das Bundesverwaltungsgericht verkennt nicht, dass entsprechend der Projektbeschreibung zum Y-Projekt unter anderem XXXX Vereine XXXX werden soll. Jedoch stellt sich auch unter diesem Blickwinkel die vorliegende Veröffentlichung als nicht verhältnismäßig dar, beispielsweise wäre es möglich gewesen, insoweit nur die XXXX in den betreffenden Bundesländern anzugeben, ohne die exakte Adresse anzuführen, womit dem Zweck der XXXX ebenfalls hinreichend entsprochen worden wäre.

Der BF11 hat zur Notwendigkeit der XXXX in der mündlichen Verhandlung mehrfach angegeben, XXXX Einrichtungen bzw. XXXX Leben „sichtbar“ machen zu wollen. Dies ist bei Vereinen – wie auch fallgegenständlich ersichtlich – nicht der Fall, wenn der Verein über kein Vereinslokal oder dergleichen verfügt. Ebenso wenig beschränkt sich der Wirkungsbereich der BF1 als XXXX organisation auf die unmittelbare Umgebung ihres Vereinssitzes. Die mangelnde Eignung der Adresse des Vereinssitzes der BF1 bis 6 für den festgelegten Zweck der „Sichtbarmachung“ wiegt im Rahmen der Verhältnismäßigkeitsprüfung zu Ungunsten der BF12.

Demnach ist auch im Lichte der oben beschriebenen Wissenschaftsfreiheit nach Art. 17 StGG kein anderer Schluss zu ziehen, als dass die Veröffentlichung der Adressen bzw. der Privatadressen im Rahmen des fallgegenständlichen Projektes dem Grundsatz der Datenminimierung bzw. der Datensparsamkeit widerspricht.

Dass der BF10 der Umstand, dass die Adressen der BF1bis 6 gleichzeitig Privatadressen der BF7bis 10 waren, unbekannt waren, ist unerheblich. Denn ein Verschulden des Verantwortlichen ist keine Voraussetzung für eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG (VwGH 27.01.2020, Ro 2018/04/0007; BVwG 13.12.2022, W214 2239687-1)

Im Sinne einer Maßgabeentscheidung war daher im Umfang der veröffentlichten Informationen betreffend die Adressen der BF1 bis 10 deren Beschwerde gegen Spruchpunkt 1. des bekämpften Bescheides stattzugeben, die entsprechende Feststellung der Verletzung der Geheimhaltungspflicht zu treffen, im Übrigen aber abzuweisen.

3.3.2.5. Zur behaupteten Verletzung im „Recht auf Information“ bzw. der Informationspflicht:

Der VwGH führte in einer rezenten Entscheidung vom 06.03.2024, Ro 2021/04/0030, zur Informationspflicht (in diesem Fall nach Art. 14 DSGVO) Folgendes an:

„79 Insofern ist diese Rechtsverletzung in dieser Hinsicht mit der durch das Erkenntnis VwGH Ro 2022/04/0001 klargestellten Rechtslage im Fall der Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG vergleichbar. Auch § 24 Abs. 5 zweiter Satz DSG sieht einen (an Verantwortliche des privaten Bereichs gerichteten) Auftrag nur bezüglich der Anträge des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung vor. Eine nachträgliche Beseitigung der Rechtsverletzung bzw. ein darauf gerichteter Auftrag an den Verantwortlichen im Zusammenhang mit dem Recht auf Erfüllung der Informationspflicht nach Art. 14 DSGVO wird hingegen nicht angesprochen. Somit lässt sich auch aus der von der Zweitrevisionswerberin ins Treffen geführten (noch zum DSG 2000 ergangenen) Rechtsprechung des Verwaltungsgerichtshofes (siehe etwa VwGH 27.9.2007, 2006/06/0330) zu den Rechten auf Auskunft bzw. Löschung für den vorliegenden Fall nichts ableiten.

80 An diesem Ergebnis vermag auch die von den revisionswerbenden Parteien ins Treffen geführte Regelung des Art. 14 Abs. 5 DSGVO, wonach Art. 14 Abs. 1 bis 4 DSGVO keine Anwendung findet, wenn die betroffene Person bereits über die Informationen verfügt, nichts zu ändern. Eine derartige Regelung betreffend eine Ausnahme von einer Informationspflicht kann sich nämlich nur auf den Zeitpunkt beziehen, zu dem die Informationspflicht zu erfüllen gewesen wäre; die betroffene Person muss somit zu dem Zeitpunkt über die Informationen verfügen, zu dem sie der Verantwortliche mitteilen müsste (vgl. zudem dazu, dass Ausnahmen nach [dort: Art. 2] der DSGVO nach der Rechtsprechung des EuGH eng auszulegen sind, EuGH 16.1.2024, C-33/22, Österreichische Datenschutzbehörde, Rn. 37). […]“

Die belangte Behörde geht in ihrer Spruchpraxis davon aus, dass juristischen Personen jedenfalls die in § 1 DSG normierten Rechte zukommen, nicht aber jene Rechte, die nur in der DSGVO, nicht aber in § 1 DSG Deckung finden (vgl. den Bescheid DSB 13.09.2018, DSB-D216.713/0006-DSB/2018).

Soweit seitens der BF1 bis 6 vorgebracht wird, dass dem Recht auf Auskunft gemäß § 1 Abs. 2 DSG das Recht auf Information immanent sei, folglich auch ein entsprechendes Recht für juristische Personen anzunehmen sei, ist im Lichte des zitierten Erkenntnisses des VwGH zu entgegnen, dass es sich beim Recht auf Information um kein „Leistungsrecht“ handelt, das im Recht auf Auskunft inkludiert ist. Art. 13 und 14 DSGVO sind ausschließlich auf natürliche Personen anzuwenden. Sohin kommt im Sinne der insofern nicht zu beanstandenden Spruchpraxis der belangten Behörde juristischen Personen kein Recht auf Information zu.

Anders ist die Rechtslage bezüglich natürlicher Personen:

Zunächst ist in Ansehung dessen, dass die BF12 nach eigenem Vorbringen sämtliche Daten aus öffentlich zugänglichen Quellen (Dritter) bezieht (vgl. Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 14 DSGVO Rz 1 [Stand 1.12.2020]), dem Grunde nach von einer aus Art. 14 DSGVO erwachsenen Informationspflicht natürlicher Personen auszugehen.

Daher kommt den BF7 bis 10, deren personenbezogene Daten fallgegenständlich verarbeitet werden, weshalb ihnen – entgegen der Beurteilung der belangten Behörde – ein „Recht auf Information“ in Form einer Informationspflicht des Verantwortlichen zu. Hinzuzufügen ist, dass die Datenschutzerklärung erst am XXXX 2021 auf der Y-Website bereitgestellt wurde, die BF7 bis 10 hingegen schon am XXXX 05.2021 – aufgrund XXXX – Kenntnis über die Verarbeitung ihrer personenbezogenen Daten erlangten. Insoweit hat die BF12 im Rahmen der Beschwerdeverhandlung auch eingeräumt, die Datenschutzerklärung verspätet eingerichtet zu haben. Demgemäß ist unstrittig, dass zum Erhebungszeitpunkt keine Informationen erteilt wurden. Dies umso mehr, als das Y-Projekt bereits seit 20 XXXX betrieben wird.

Grundsätzlich trifft aber aufgrund der erfolgten Datenverarbeitung die BF12 auch die Pflicht zur Information bei Erhebung von personenbezogenen Daten nach der DSGVO.

Beim Betroffenenrecht der Informationspflicht des Verantwortlichen besteht eine Ausnahme u.a. zugunsten von Forschungszwecken, wenn personenbezogene Daten nicht bei den betroffenen Personen erhoben wurden. Es besteht bei vier alternativen Varianten gemäß Art 14 Abs. 5 DSGVO keine Informationspflicht wie sie in den Abs. 1 bis 4 vorgesehen wäre. Wenn die Informationserteilung bspw. unmöglich ist oder einen unverhältnismäßigen Aufwand darstellen würde (Abs. 5 lit b), was laut der Norm insbes. für privilegierte Verarbeitungszwecke iSv Art. 89 Abs. 1 DSGVO gilt, so ist der Verantwortliche von der Informationspflicht ausgenommen, wobei es sich nach herrschender Meinung um keine generelle Ausnahme der Informationspflicht handelt, vielmehr ist von einer Einzelfallbetrachtung auszugehen (vgl. Maier in Jahnel (Hrsg), Datenschutzrecht: Jahrbuch (2023) Ausgewählte Aspekte des Forschungsprivilegs, 292 f mwN).

„Zur Unmöglichkeit, über die Datenquelle zu informieren führt ErwGr 61 Folgendes aus: »Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.« Dies ist nach der Art 29-Datenschutzgruppe so zu verstehen, dass das Faktum alleine, dass eine Datenbank mit personenbezogenen Daten vieler Betroffener vom Verantwortlichen aus mehreren Quellen zusammengestellt wurde nicht genügt, um von dieser Informationspflicht zu befreien, wenn es möglich (wenn auch zeitaufwändig und mühsam) ist, die Quellen zu identifizieren, aus denen die personenbezogenen Daten der einzelnen Betroffenen stammen. Zudem folgt aus der Verpflichtung zu »Privacy by Design« und »Privacy by Default« gemäß Art 25, dass von Beginn an Transparenzmechanismen in Verarbeitungssysteme eingebaut werden sollten, mit denen alle personenbezogenen Daten, die von der Organisation empfangen werden, jederzeit zu ihrer Quelle zurückverfolgt werden können (WP 260 rev.01, Rz 60)“ (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 14 DSGVO Rz 7 [Stand 1.12.2020]).

„Auch ein unverhältnismäßig hoher Aufwand kann die Informationspflicht entfallen lassen. Anhaltspunkte für einen unverhältnismäßigen Aufwand sollen nach ErwGr 62 die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien liefern. Der Aufwand bestimmt sich dabei idR anhand der zu erbringenden Zeit und Kosten. So könnte die Informationserteilung an zB tausend betroffene Personen einen unverhältnismäßig hohen Aufwand für den Verantwortlichen bedeuten, wenn dem Verantwortlichen neben dem Namen einer betroffenen Person, den dieser aus einer öffentlich zugänglichen Datenquelle bezogen hat, keine Kontaktdaten bekannt sind. Der Aufwand für den Verantwortlichen bemisst sich in einem solchen Fall an der zu erwarteten Dauer der Eruierung der Kontaktdaten der betroffenen Personen (unter Einbeziehung technischer und rechtlich zulässiger Möglichkeiten) sowie an den diesbezüglichen Kosten. Dem Aufwand stehen beispielsweise die Zahl der betroffenen Personen, die Art und Umstände sowie die Zwecke der Verarbeitung, die Aktualität der Daten sowie das Risiko für die betroffenen Personen bezüglich der Nichtinformation gegenüber“ (wie oben, Rz 8).

Wie vom BF11 vorgebracht, hat die BF12 im Zuge des fallbezogenen Projektes zumindest alle großen XXXX angeschrieben, jedoch nicht die hier am Verfahren beteiligten BF7 bis 10. Dabei ist weiters zu beachten, dass die BF12 über die Adressen und Kontaktdaten der Betroffenen bereits vor der Einrichtung der Datenschutzerklärung verfügte. Vor dem Hintergrund der der BF12 zur Verfügung stehenden Ressourcen (iVm den Förderungen des MB) sowie der schon langen Laufzeit des Y-Projekts, ist daher nicht ersichtlich, dass sich im gegebenen Fall die Informationserteilung an die BF7 bis 10 – auch unter dem Gesichtspunkt des wissenschaftlichen Forschungszweckes – als unmöglich erwiesen oder einen unverhältnismäßigen Aufwand erfordert hätte (vgl. dazu Maier in Jahnel (Hrsg), Datenschutzrecht: Jahrbuch (2023) Ausgewählte Aspekte des Forschungsprivilegs, 293 mwN). Demnach ist der Ausnahmetatbestand nach Art. 14 Abs. 5 lit. b DSGVO als nicht erfüllt zu betrachten.

(Andere) Ausnahmegründe nach Art.14 abs. 3 DSGVO liegen ebenfalls nicht vor.

Die BF7 bis 10 mögen zwar (spätestens) im Rahmen des verwaltungsgerichtlichen Verfahrens iSd Art. 14 Abs. 5 lit. a DSGVO über alle Informationen verfügen, dennoch hat eine Information der BF7 bis 10 durch die BF12 iSd obigen Ausführungen jedenfalls nicht stattgefunden. Sohin liegt eine Verletzung der Informationspflicht nach Art 14 DSGVO durch die BF12 vor (vgl. VwGH 06.03.2024, Ro 2021/04/0030, Rz 80).

Die BF7 bis 10 begehrten neben der Nachreichung bestimmter Informationen insoweit auch explizit die Feststellung einer Verletzung im Recht auf Information.

Gemäß § 24 Abs. 2 Z 5 DSG hat die Beschwerde das Begehren zu enthalten, die behauptete Rechtsverletzung festzustellen. Soweit sich eine Beschwerde als berechtigt erweist, ist ihr nach § 24 Abs. 5 erster Satz DSG Folge zu geben. Das Gesetz sieht demnach als Rechtsbehelf im Fall einer datenschutzrechtlichen Rechtsverletzung explizit einen Feststellungsantrag im Rahmen der Beschwerde vor, der gemäß § 24 Abs. 5 DSG Folge zu geben ist, sofern sie sich als berechtigt erweist (vgl. VwGH 19.10.2022, Ro 2022/04/0001; siehe etwa auch VwGH 01.09.2022, Ra 2022/04/0066).

Es war daher im Ergebnis der Beschwerde – soweit sie sich auf die BF7 bis 10 – bezieht stattzugeben und die im Spruch ersichtliche Feststellung zu treffen, jedoch hinsichtlich der BF1 bis 6 die Beschwerde als unbegründet abzuweisen. Aufgrund der Aufhebung des Spruchpunktes 2. des angefochtenen Bescheides war zudem die Nummerierung des Spruchpunktes 3. zu ändern.

3.4. Zu Spruchpunkt B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor.