BVwG W258 2247028-1

Spruch:

W258 2247028-1/11E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerde der XXXX , vertreten durch CERHA HEMPEL Rechtsanwälte GmbH, 1010 Wien, gegen den Bescheid der Datenschutzbehörde vom 29.07.2021, GZ DSB-D213.1303 2021-0.412.072, in einer datenschutzrechtlichen Angelegenheit im Umlaufwege zu Recht erkannt:

A) Der Beschwerde wird Folge gegeben und der Bescheid ersatzlos behoben.

B) Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Auf Grund von Medienberichten, wonach die Beschwerdeführerin (im Verfahren vor der Datenschutzbehörde „Verantwortliche“) Diensthandys und dienstliche E-Mail-Accounts einiger ihrer Mitarbeiter überwacht haben soll, hat die belangte Behörde am 31.03.2021 ein amtswegiges Prüfverfahren gegen die Beschwerdeführerin eingeleitet und sie aufgefordert, binnen drei Wochen diverse Fragen über den Ablauf und das Ausmaß der Überwachung sowie über eine eingeholte Einwilligung zu beantworten und bezughabende Urkunden vorzulegen.

2. Mit Schreiben vom 28.04.2021 legte die Beschwerdeführerin diverse Unterlagen zu Einwilligungserklärungen und Geheimhaltungsklauseln vor und beantwortete die Fragen zusammengefasst wie folgt: Im Zuge des Verkaufs eines Geschäftsbereichs habe ein mehrmonatiges kompetitives Bieterverfahren stattgefunden. Kurz vor Abschluss der Verhandlungen habe es ein „Leak“ gegeben, bei dem streng vertrauliche Informationen des Bieterverfahrens öffentlich geworden seien, wodurch der Beschwerdeführerin ein Schaden in Millionenhöhe entstanden sei. Der Vorstand der Beschwerdeführerin habe daraufhin eine interne Untersuchung eingeleitet. Zweck der Untersuchung sei die Sachverhaltsklärung sowie die Entlastung der unter Verdacht stehenden Mitarbeiter gewesen. Hierzu seien die dienstlichen E-Mail-Accounts – nach Einholung einer Einwilligung der Betroffenen – nach bestimmten Schlüsselwörtern durchsucht, sowie in die teilanonymisierten Einzelgesprächsnachweise der involvierten Mitarbeiter Einsicht genommen worden. Die Beschwerdeführerin sei gesellschaftsrechtlich zu einer Untersuchung des Sachverhalts verpflichtet gewesen, die sie unter Einhaltung der datenschutzrechtlichen Vorgaben durchgeführt habe.

3. Mit Bescheid vom 29.07.2021 sprach die belangte Behörde aus, „das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass die Verarbeitung personenbezogener Daten von 73 Personen zwischen Jänner und März 2021 für Zwecke interner Ermittlungen auf Basis der angegebenen Rechtfertigungstatbestände (§ 1 Abs. 2 DSG, Art. 6 Abs. 1 lit. a und ersatzweise lit. f DSGVO) unrechtmäßig war.“

Begründend führte die belangte Behörde zusammengefasst aus, die eingeholte Einwilligung sei auf Grund des Ungleichgewichts zwischen der Beschwerdeführerin als Arbeitgeberin und den Mitarbeitern als ihren Arbeitnehmern nicht freiwillig erfolgt und damit ungültig. Da die Rechtsgrundlage der Verarbeitung nicht nachträglich gewechselt werden dürfe, könne die Beschwerdeführerin die Datenverarbeitung auch nicht auf den Erlaubnistatbestand des „berechtigten Interesses“ nach Art 6 Abs 1 lit f DSGVO stützen. Die Datenverarbeitung könne aber ohnehin nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden, weil hierfür einschlägige Rechtsvorschriften eingehalten werden hätten müssen, was nicht geschehen sei. So unterliege die durchgeführte Untersuchung als Kontrollmaßnahme, welche die Menschenwürde berühre, der Zustimmung des Betriebsrates, welche die Beschwerdeführerin nicht eingeholt habe.

4. Gegen diesen Bescheid richtet sich die gegenständliche Beschwerde vom 27.08.2021 wegen Verfahrensfehlern und inhaltlicher Rechtswidrigkeit, in der die Beschwerdeführerin beantragte, das Bundesverwaltungsgericht möge in der Sache selbst entscheiden und feststellen, dass die Verarbeitung durch die Beschwerdeführerin rechtmäßig war, in eventu den angefochtenen Bescheid aufheben und die Sache zur Erlassung eines neuen Bescheides an die belangte Behörde zurückverweisen.

Im Wesentlichen brachte die Beschwerdeführerin vor, die belangte Behörde habe den Sachverhalt unzureichend ermittelt und unrichtig rechtlich gewürdigt, insbesondere in Bezug auf die Freiwilligkeit der von den Mitarbeitern eingeholten Einwilligung. Außerdem habe die belangte Behörde gegen das Überraschungsverbot verstoßen, weil für die Beschwerdeführerin nicht absehbar gewesen sei, dass ausgerechnet die letzte von 18 gestellten Fragen besonders relevant für die Entscheidung sein werde und sie habe außerdem nach Beantwortung der Fragen mit einer Einstellung des Verfahrens gerechnet. Darüber hinaus sei der Spruch des Bescheides zu unbestimmt. Entgegen der Ansicht der belangten Behörde sei es zudem zulässig, Datenverarbeitungen mit mehreren Erlaubnistatbeständen abzusichern. Für die durchgeführte Untersuchung sei auch keine Betriebsvereinbarung oder Zustimmung des Betriebsrats geboten, was die Beschwerdeführerin mit einem Rechtsgutachten untermauert habe. Hinsichtlich der Zulässigkeit mehrerer Rechtfertigungsgründe, der Erforderlichkeit einer Betriebsvereinbarung und der Zulässigkeit einer Einwilligung in eine Datenverarbeitung in Arbeitsverhältnissen rege sie an, ein Vorabentscheidungsersuchen an den EuGH zu stellen.

5. Die Datenschutzbehörde legte dem erkennenden Gericht die Bescheidbeschwerde unter Anschluss des Verwaltungsaktes mit Schriftsatz vom 04.10.2021, hg eingelangt am 05.10.2021, vor und führte zusammengefasst aus, die Beschwerdeführerin habe sich zum relevanten Zeitpunkt der Datenerhebung gegenüber den Bediensteten ausschließlich auf den Rechtfertigungstatbestand der Einwilligung nach Art 6 Abs 1 lit a DSGVO gestützt. Die Bediensteten haben nicht damit rechnen können, dass die Einwilligung bloß „pro forma“ eingeholt werde und eine Verarbeitung, unabhängig von der Einwilligung – gestützt auf ein berechtigtes Interesse nach Art 6 Abs 1 lit f DSGVO –, dennoch stattfinde. Es sei unzulässig, sich bei Problemen mit der Einwilligung nachträglich auf andere Rechtfertigungstatbestände zu stützen. Insofern gehe die Argumentation der Beschwerdeführerin zum berechtigten Interesse nach Art 6 Abs 1 lit f DSGVO sowie die Ausführungen des vorgelegten Rechtsgutachtens ins Leere. Ferner seien der Beschwerdegegnerin sämtliche entscheidungswesentlichen Ermittlungsergebnisse offengelegt worden und sie habe dazu Stellung nehmen können, weshalb der Einwand des Überraschungsverbots verfehlt sei.

6. Mit Schriftsatz vom 18.11.2021 replizierte die Beschwerdeführerin zusammengefasst, dass nicht alle betroffenen Arbeitnehmer dem ArbVG unterliegen würden. Die belangte Behörde habe die Entscheidungsrelevanz des Vorliegens einer Betriebsvereinbarung nicht ausreichend kommuniziert, wodurch der Beschwerdeführerin die Möglichkeit genommen worden sei, ein Gutachten zu dieser Thematik vorzulegen, das bereits vor Bescheiderlassung vorgelegen sei.

Weiters sei weder aus dem Spruch noch der Begründung sei zu entnehmen, „welche Verarbeitung(en) welcher personenbezogener Daten […] im Hinblick auf welche Mitarbeiter aufgrund welcher konkreten Umstände unrechtmäßig gewesen sein sollen“, wodurch dieser zu unbestimmt sei.

Mit der von den Mitarbeitern eingeholten Einwilligung habe sich die belangte Behörde nur selektiv und in pauschalisierender Weise auseinandergesetzt, ohne auf die Umstände des Einzelfalls einzugehen, die für die Freiwilligkeit der Einwilligung sprechen würden.

Die Beschwerdeführerin habe die Rechtsgrundlage für die Datenverwendung nicht nachträglich gewechselt, vielmehr seien allen Mitarbeitern die internen Datenschutzrichtlinien bekannt, die darüber informieren, dass die Beschwerdeführerin bei Verstößen gegen Gesetze oder Unternehmensrichtlinien Einsicht in Dokumente und Korrespondenzen nehmen kann.

7. Über Parteiengehör vom 26.11.2021 replizierte die belangte Behörde mit Schriftsatz 20.12.2021, im Wesentlichen wie bisher.

8. Auf Grund der Verfügung des hg Geschäftsverteilungsausschusses vom 16.12.2021 wurde die Rechtssache der Gerichtsabteilung W211 abgenommen und der Gerichtsabteilung W258 per 03.01.2022 neu zugewiesen.

9. Mit Parteiengehör vom 11.04.2022 wurde der belangte Behörde unter Verweis auf das zwischenzeitlich ergangene Erkenntnis des Verwaltungsgerichtshofes vom 14.12.2021, Ro 2020/04/0032, vorgehalten, sie habe in einem amtswegig eingeleiteten Prüfverfahren keine Kompetenz, Rechtsverletzungen in einer der Rechtskraft fähigen Weise festzustellen, weshalb der Bescheid ersatzlos zu beheben wäre.

9. Mit Schriftsatz vom 25.04.2022 brachte die belangte Behörde dazu sinngemäß vor, das zitierte Erkenntnis sei auf den gegenständlichen Fall nicht anwendbar, weil ihm die Entscheidung der Datenschutzbehörde über eine noch andauernde Rechtsverletzung zu Grunde lag. Im gegenständlichen Fall sei die Rechtsverletzung aber bereits abgeschlossen und damit (auch) über eine Verletzung von § 1 DSG abgesprochen worden. Es sei nicht begründbar, weshalb bei identen Sachverhalten eine in der Vergangenheit liegende und bereits abgeschlossene Rechtsverletzung im Falle einer Individualbeschwerde nach § 1 iVm § 24 DSG, nicht jedoch in einem amtswegigen Prüfverfahren festgestellt werden könne.

Für Verletzungen im Grundrecht auf Datenschutz nach § 1 DSG sei es typisch, dass sie bereits abgeschlossen sind. Es könne dem österreichischen (Verfassungs-)Gesetzgeber aber nicht unterstellt werden, eine Bestimmung zu erlassen, die amtswegig nicht vollzogen werden kann, weil Art 58 Abs 2 DSGVO keine korrespondierende Abhilfebefugnis vorsehe. Daher habe der Bescheid der belangten Behörde – im Gegensatz zum Bescheid, dem das genannte Erkenntnis des Verwaltungsgerichtshofes zu Grunde gelegen sei – auch nur einen Spruchpunkt enthalten und nicht mehrere. Überhaupt sei Art 58 DSGVO lediglich auf derzeit bestehende oder zukünftig mögliche Rechtsverletzungen auszulegen.

Letztlich sei über eine Verletzung gegen die DSGVO in Bescheidform abzusprechen, damit sowohl im amtswegigen Verfahren als auch im Individualverfahren den Rechtsunterworfenen die Möglichkeit des Rechtsmittels im Sinne des Rechtsschutzes offenstehe.

Beweis wurden erhoben durch Einsichtnahme in den Verwaltungsakt.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Der folgende Sachverhalt steht fest:

Mit Bescheid vom 29.07.2021 sprach die belangte Behörde in einem amtswegig eingeleiteten Prüfverfahren über die Zulässigkeit einer Datenverwendung durch die Beschwerdeführerin ab.

Der Spruch des Bescheides lautet:

„Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass die Verarbeitung personenbezogener Daten von 73 Personen zwischen Jänner und März 2021 für Zwecke interner Ermittlungen auf Basis der angegebenen Rechtfertigungstatbestände (§ 1 Abs. 2 DSG, Art. 6 Abs. 1 lit. a und ersatzweise lit. f DSGVO) unrechtmäßig war.“

2. Die Feststellungen ergeben sich aus der folgenden Beweiswürdigung:

Die Feststellungen gründen auf dem unbedenklichen Verwaltungsakt.

3. Rechtlich folgt daraus:

Die zulässige Beschwerde ist berechtigt.

3.1. Zu den maßgeblichen rechtlichen Bestimmungen:

Der mit „Befugnisse“ betitelte Art 58 DSGVO lautet:

„[…] (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,

c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,

f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,

g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,

h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen. […]

(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.“

Der mit „Beschwerde an die Datenschutzbehörde“ betitelte § 24 DSG lautet:

„§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:

[…]

5. das Begehren, die behauptete Rechtsverletzung festzustellen […]

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“

3.2. Angewendet auf den Sachverhalt bedeutet das:

Die belangte Behörde hat mit dem bekämpften Bescheid in einem von Amts wegen eingeleiteten Prüfverfahren abgesprochen, dass das amtswegige Prüfverfahren berechtigt gewesen sei und festgestellt, dass die Verarbeitung personenbezogener Daten von 73 Personen zwischen Jänner und März 2021 für Zwecke interner Ermittlungen auf Basis diverser angegebenen Rechtfertigungstatbestände unrechtmäßig gewesen sei.

Es besteht für die belangte Behörde aber keine rechtliche Grundlage für einen selbständigen Abspruch über die allfällige Berechtigung der Durchführung eines Verfahrens im Sinne des Art 58 Abs 2 DSGVO bzw. der allfälligen Rechtswidrigkeit des jeweils anlassgebenden Verarbeitungsvorgangs: Art 58 DSGVO enthält keine ausdrückliche rechtliche Grundlage für eine selbständige Feststellung über die allfällige Rechtswidrigkeit eines datenschutzrechtlich relevanten Verarbeitungsvorgangs in einem amtswegig eingeleiteten Verfahren durch die Datenschutzbehörde. § 24 DSG wiederum regelt die von einer ihrer Ansicht nach in ihrem Recht auf Schutz der sie betreffenden personenbezogenen Daten verletzten Person erhobene Individualbeschwerde und ist damit auf das von der Datenschutzbehörde amtswegig eingeleitete Verfahren nicht direkt anwendbar. (VwGH 14.12.2021, Ro 2020/04/0032)

Auch eine analoge Anwendung des § 24 DSG, welcher der Datenschutzbehörde die Kompetenz einräumt, bei Individualbeschwerden datenschutzrechtliche Verstöße rechtsverbindlich festzustellen, auf von Amts wegen eingeleitete Prüfverfahren, scheidet mangels Vorliegen einer planwidrigen Lücke aus, weil der Gesetzgeber die Kompetenzen der Datenschutzbehörde bei Individualbeschwerden und bei amtswegigen Einschreiten bewusst unterschiedlich geregelt hat (siehe ebenfalls VwGH 14.12.2021, Ro 2020/04/0032 mwN).

3.3. Die Einwände der belangten Behörde können nicht überzeugen.

3.3.1. Wenn die belangte Behörde vermeint, dass das zuvor zitierte Erkenntnis des Verwaltungsgerichthofes vom 14.12.2021, AZ Ro 2020/04/0032, auf den gegenständlichen Fall nicht anwendbar sei, weil sich der Verwaltungsgerichtshof in dieser Entscheidung lediglich mit nach wie vor bestehenden Rechtsverletzungen auseinandergesetzt hat, die Rechtsverletzungen im gegenständlichen Fall aber bereits abgeschlossen seien, ist ihr entgegen zu halten, dass sich der Verwaltungsgerichtshof in der genannten Entscheidung auch mit Rechtsverletzungen auseinandergesetzt hat, die bereits abgeschlossen waren, nämlich mit der Weitergabe personenbezogener Daten an Dritte (Rz 3).

3.3.2. Der belangten Behörde ist allerdings dahingehend zuzustimmen, dass sich der Verwaltungsgerichtshof in dieser Entscheidung nur auf Verletzungen der DSGVO, nicht jedoch – wie hier – auf eine Verletzung von § 1 DSG bezogen hat. Daraus ist für sie aber nichts zu gewinnen, weil die tragenden Überlegungen des Verwaltungsgerichtshofes auch auf Verstöße gegen § 1 DSG übernommen werden können:

Hinsichtlich der Verfahrensvorschriften und der Kompetenz der Datenschutzbehörde macht das Datenschutzgesetz nämlich keinen Unterschied, ob eine Verletzung der DSGVO oder des § 1 DSG gegenständlich ist. Damit besteht auch in Bezug auf Verletzungen des § 1 DSG keine ausdrückliche rechtliche Grundlage für die belangte Behörde, Rechtsverletzungen in einem amtswegig eingeleiteten Verfahren in rechtlich verbindlicher Weise festzustellen.

Auch eine analoge Anwendung des § 24 DSG (nur dort wird – abgesehen von dem hier nicht relevanten § 22 Abs 6 DSG – eine Feststellungkompetenz der Datenschutzbehörde normiert) scheidet bei Verletzungen des § 1 DSG aus, weil die Ausführungen des VwGH, wonach der Gesetzgeber von der Möglichkeit des Art 58 Abs 6 DSGVO, wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsehen kann, dass seine Aufsichtsbehörde neben den in den Art 58 Abs 1, 2 und 3 DSGVO aufgeführten Befugnissen über zusätzliche Befugnisse verfügt, nach den Materialien zu § 22 DSG bewusst keinen Gebrauch gemacht (vgl. AB 1761 BlgNR 25. GP , 14), weshalb er die Kompetenzen der Datenschutzbehörde bei Individualbeschwerden und bei amtswegigen Einschreiten bewusst unterschiedlich geregelt hat, weshalb eine Analogie mangels planwidriger Lücke ausscheide, auch für Verfahren zutreffen, die sich auf § 1 DSG stützen.

Mit der gleichen Begründung hat der Verwaltungsgerichtshof in dieser Entscheidung auch das – von der belangten Behörde nunmehr angezogene – Argument, es sei nicht nachvollziehbar warum der belangten Behörde zwar in Verfahren über Individualbeschwerden, nicht jedoch in amtswegig eingeleiteten Verfahren eine Feststellungkompetenz zukommt, verworfen.

Wenn die belangte Behörde vorbringt, es sei für Verstöße gegen § 1 DSG typisch, dass sie bereits abgeschlossen sind und es könne dem österreichischen (Verfassungs-)Gesetzgeber nicht unterstellt werden, eine Bestimmung zu erlassen, die amtswegig nicht vollzogen werden kann, geht sie von der unzutreffenden Annahme aus, dass das Datenschutzrecht – hier das Grundrecht auf Datenschutz nach § 1 DSG – nur dann durchsetzbar wäre, wenn Rechtverletzungen in einer der Rechtskraft fähigen Weise festgestellt werden können.

Im Gegenteil ist die Feststellungkompetenz der Datenschutzbehörde im Beschwerdeverfahren nach § 24 DSG nicht normiert worden, um einen Verantwortlichen oder einen Auftragsverarbeiter zu einem rechtskonformen Verhalten zu veranlassen oder dem Datenschutzrecht selbst zur Durchsetzung zu verhelfen, sondern um es Betroffenen zu ermöglichen, in einem amtswegigen und für sie einfachen Verfahren die Rechtswidrigkeit einer Datenverarbeitung verbindlich feststellen zu lassen, um es der betroffenen Person basierend auf dieser Feststellung zu ermöglichen, weitere individuelle Ansprüche – etwa Schadenersatzansprüche – zu verfolgen (VwGH 14.12.2021, Ro 2020/04/0032 Rz 38 f).

Die Durchsetzung des Datenschutzrechts wird vielmehr durch andere Rechtsinstitute, wie Abhilfebefugnisse der Behörde, insbesondere nach Art 58 DSGVO, oder Geldbußen sichergestellt. Selbst bei abgeschlossenen Verstößen kommt – sofern nicht ohnehin ein Verbot oder eine Einschränkung der Datenverarbeitung gemäß Art 58 Abs 2 lit f DSGVO in Betracht kommt – der belangten Behörde die Kompetenz zu, Verantwortliche gemäß Art 58 Abs 2 lit b DSGVO zu verwarnen oder über sie eine Geldbuße gemäß Art 83 DSGVO, allenfalls Verwaltungsstrafen gemäß § 62 DSG zu verhängen. Tritt Gewinn- oder Schädigungsabsicht hinzu, ist eine Verletzung des § 1 DSG sogar mit strafgerichtlicher Strafe bedroht (§ 63 DSG).

Letztlich mag das Argument der belangten Behörde, dass über Verletzungen der DSGVO (gemeint wohl auch gegen § 1 DSG) in Bescheidform abzusprechen sei, um den Bescheidadressaten einen Rechtsmittelzug zu ermöglichen, zwar eine taugliche Begründung dafür sein, dass Leistungsaufträge in Bescheidform ergehen müssen, nicht jedoch, dass der DSB eine Feststellungkompetenz zukommt.

3.4. Der bekämpfte Bescheid ist somit ohne rechtliche Grundlage ergangen, weshalb der gegen ihn gerichteten Beschwerde bereits aus diesem Grund Folge zu geben und der Bescheid ersatzlos zu beheben war.

3.4. Es war daher spruchgemäß zu entscheiden.

3.5. Von der Durchführung einer mündlichen Verhandlung konnte gemäß § 24 Abs 2 Z 1 2. Fall VwGVG abgesehen werden.

Zu Spruchpunkt B) Unzulässigkeit der Revision:

Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.

Die Revision ist nicht zulässig, weil keine Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Art 133 Abs 4 B-VG zukommt. Zur Beantwortung der Frage, ob der Datenschutzbehörde in einem amtswegig eingeleiteten Prüfverfahren die Kompetenz zukommt, in rechtlich verbindlicher Weise Rechtsverletzungen festzustellen, oder über die Berechtigung des amtswegigen Prüfverfahrens abzusprechen, konnte sich das Verwaltungsgericht auf die zitierte Rechtsprechung des Verwaltungsgerichtshofes stützen. Zwar bezog sich das zitierte Erkenntnis nicht ausdrücklich auf Verstöße gegen § 1 DSG, seine tragenden Überlegungen konnten aber zweifelsfrei auf Verstöße gegen § 1 DSG übertragen werden.