BVwG W298 2261830-1

Spruch:

W298 2261830-1/4E

IM NAMEN DER REPUBLIK

Das Bundesverwaltungsgericht hat durch den Richter Mag. Mathias VEIGL als Vorsitzenden und die fachkundige Laienrichterin Mag. Gerda Ferch-Fischer und den fachkundigen Laienrichter Dr. Wolfgang Goricnik als Beisitzerin und Beisitzer über die Beschwerde des XXXX , vertreten durch XXXX – Gewerberecht, Datenschutz und Personenstand, gegen den Bescheid der Datenschutzbehörde vom XXXX , GZ. D124.3674 2021-0.235.323, (mitbeteiligte Partei: XXXX ), wegen Verletzung im Recht auf Geheimhaltung zu Recht erkannt:

A)

Die Beschwerde wird als unbegründet abgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Mit Eingabe vom 18.02.2021 brachte XXXX (in weiterer Folge „mitbeteiligte Partei“) eine Datenschutzbeschwerde bei der Datenschutzbehörde (in weiterer Folge „belangte Behörde“) gegen XXXX (in weiterer Folge „Beschwerdeführer“) ein und brachte darin zusammengefasst vor, er arbeite als XXXX in einem XXXX des Beschwerdeführers. Um den Arbeitsplatz ohne FFP2-Maske betreten zu können, hätten die Mitarbeiter:innen einen negativen Antigen-Test vorweisen müssen. Der Beschwerdeführer habe zu diesem Zweck Gurgeltests angeboten. Die mitbeteiligte Partei habe an diesen Tests teilgenommen im Glauben, nur ihm würde das Ergebnis kenntlich gemacht werden und er könne schließlich freiwillig das Ergebnis der Leitung vorweisen, da er auch die Möglichkeit hätte stattdessen eine FFP2-Maske zu tragen. Die Leitung habe jedoch gesammelt alle Testergebnisse erhalten. Diese wären auch manchmal an die Belegschaft weitergegeben worden.

2. Mit Eingabe vom 01.03.2021 reichte die mitbeteiligte Partei ein Auskunftsschreiben XXXX – Gewerberecht, Datenschutz und Personenstand (im Folgenden XXXX ) nach. Dieses Schreiben bestätige, dass seine Testdaten seiner Leitung ersichtlich seien.

3. Mit Schreiben vom 09.03.2021 XXXX als Vertreterin des Beschwerdeführers in datenschutzrechtlichen Angelegenheiten, zur Datenschutzbeschwerde der mitbeteiligten Partei Stellung und führte darin zusammengefasst aus, dass noch bevor es zur Vorregistrierung in der Datenbank gekommen sei, die mitbeteiligte Partei gewusst habe, dass seine personenbezogenen Daten in der Datenbank erfasst werden würden, die Testergebnisse seiner Tests vom auswertenden Labor eingespielt würden und die XXXX diese einsehen habe können. Der mitbeteiligten Partei (so wie allen anderen Mitarbeiter:innen auch) sei freigestellt worden, sich alternativ außerhalb des XXXX testen zu lassen, was zur Folge hätte, dass die XXXX die Testergebnisse nicht sehen könne, da diese in dem Fall nicht in die Datenbank eingespielt werden würden. Nach umfassender schriftlicher und mündlicher Erklärung gegenüber den Mitarbeiter:innen habe auch die mitbeteiligte Partei zugestimmt, dass seine Daten in der Datenbank erfasst werden würden, sofern er der Testpflicht am XXXX nachkomme. Die mitbeteiligte Partei habe daher seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gemäß Art. 9 Abs. 1 lit. a DSGVO zum Zweck der Durchführung der COVID-19-Tests gegeben. Die Einwilligung sei freiwillig gewesen, da ihm als gleichwertige Alternative die Testung in einer Teststraße oder einer sonst geeigneten Institution offen gestanden hätte. Es bestehe jedenfalls auch die Verpflichtung, die Information über einen positiven COVID-19-Test – unabhängig von einer Einwilligung der Bediensteten – zu verarbeiten. Der datenschutzrechtliche Rechtfertigungsgrund ergebe sich aus Art. 9 Abs. 2 lit. b DSGVO.

4. Die mitbeteiligte Partei replizierte mit Stellungnahme vom 29.03.2021, er besitze als XXXX , der in einem XXXX seinen Dienst leiste, keine dienstliche Email-Adresse und könne daher auch keine dienstlichen Emails empfangen. Er und andere Kolleg:innen seien darauf angewiesen, dass ihnen der Inhalt mündlich oder schriftlich im Rahmen einer Besprechung zugetragen werde. Dies werde so organisiert, dass sie – z.B. eine Teilnahmeliste, neue Brandschutzbestimmungen, dienstliche Weisungen – vorgelegt bekommen und per Unterschrift bestätigen würden, dass sie diese zur Kenntnis genommen bzw. gelesen hätten. Nicht mehr bedeute die Unterschrift auf der Liste, die der Beschwerdeführer vorgelegt habe. Am XXXX 2021 sei seiner Erinnerung nach über das Inkrafttreten der Verordnung des Gesundheitsministers informiert worden und er habe dafür, dass er jenen Teil der Verordnung gelesen habe, der die XXXX betreffe, eine Unterschrift geleistet. An eine in der Schriftform vorgelegte Email habe er keine Erinnerung. Er lese alles immer genau, insbesondere was er unterschreibe und halte es für unwahrscheinlich etwas übersehen zu haben. Er wolle ausdrücklich festhalten, dass es keine rechtliche Aufklärung gegeben habe sowie keine Darstellung der gesetzlichen Lage, die die Weitergabe von Gesundheitsdaten betreffe, vorgelegt worden wäre. Für diese beiden Feststellungen – betreffend Aufklärung (Darstellung) und Weitergabe – könne er eine Kollegin als Zeugin anführen, die an der besagten Besprechung am XXXX 2021 teilgenommen habe. Die mitbeteiligte Partei beschwere sich nicht aufgrund der Verarbeitung der vom Beschwerdeführer angeführten Daten. Bei den Testergebnissen (Befunden) sei allerdings keine Einwilligung angeführt. Etwas zu wissen, bedeute auch nicht, in etwas eingewilligt zu haben. Mit viel Wohlwollen könne man in dem, was der Beschwerdeführer vorgelegt habe, eine Duldung durch die Mitarbeiter:innen sehen, die unter Zeitdruck und ohne Kenntnis der rechtlichen Lage zum Zeitpunkt der Besprechung zustande gekommen sei.

5. Mit Bescheid vom XXXX , GZ. D124.3674 2021-0.235.323, wurde der Beschwerde der mitbeteiligten Partei stattgegeben und festgestellt, dass der Beschwerdeführer die mitbeteiligte Partei in seinem Recht auf Geheimhaltung verletzt hat, indem er der XXXX die Einsicht in die erhobenen Testergebnisse der mitbeteiligten Partei ermöglicht habe.

Begründend führte die belangte Behörde aus, die Frage, ob eine solche datenschutzrechtliche „Einwilligung“ gegenüber der XXXX bzw. gegenüber der Stellvertreterin der XXXXüberhaupt ausgesprochen worden wäre, könne dahingestellt bleiben, da auch bei der hypothetischen Annahme einer solchen „Einwilligung“ es an ihrer datenschutzrechtlichen Wirksamkeit mangele:

Erstens bestehe zweifelslos sowohl zum Beschwerdeführer, als Betreiber des XXXX in dem die mitbeteiligte Partei tätig sei, als auch zur XXXX bzw. der Stellvertreterin der XXXX , als unmittelbare Vorgesetzte der mitbeteiligten Partei, ein Machtungleichgewicht. Das allein möge zwar im gegenständlichen Fall eine Einwilligung nicht gänzlich unmöglich machen, da dem Beschwerdeführer gegenüber stets kommuniziert worden wäre, er könne sich auch in anderen Testcentern testen, jedoch sei auch dieser Punkt im Rahmen der Beurteilung, ob Freiwilligkeit gegeben sei, mit zu berücksichtigen. Ohne Einwilligung in die Offenlegung sei es der mitbeteiligten Partei nicht möglich an der Gurgeltestung teilzunehmen. Die belangte Behörde sehe keinen Grund, weshalb die (automatische) Offenlegung des Testergebnisses (unbedingt) erforderlich sei. Auch wenn das E-Mail vom XXXX 2021 sowie jenes vom XXXX 2021 der mitbeteiligten Partei vorgelegt worden und mit ihr erörtert worden wäre, fehle es selbst bei einer solchen Annahme, an den erforderlichen Informationen hinsichtlich der Folgen der Nichterteilung sowie der Widerrufsmöglichkeit der Einwilligung. Das E-Mail diene auch nicht der Erfüllung der oben genannten Aufklärungs- und Informationspflichten. Das unterzeichnete Dokument stelle jedenfalls – und auch unstrittig – keine Einwilligung dar, da es diesem bereits an einer Einwilligungserklärung mangele. Der belangten Behörde sei bis zum Ende des Ermittlungsverfahrens auch kein derartiges Schreiben übermittelt worden, welches als Einwilligung gesehen werden könnte. Somit liege kein objektiver schriftlicher Nachweis einer Einwilligung durch die mitbeteiligte Partei vor. Die mitbeteiligte Partei habe gegenüber dem Beschwerdeführer seinen Unmut über die gegenständliche Offenlegung geäußert und sei daraufhin am XXXX 2021 auf die Möglichkeit es externen Testens hingewiesen worden. Spätestens mit XXXX 2021 sei es für den Beschwerdeführer daher offenkundig und eindeutig zu erkennen gewesen, dass die mitbeteiligte Partei der gegenständlichen Datenverarbeitung nicht zustimme. Der Beschwerdeführer müsse diese Unmutsbekundung jedenfalls als Widerruf verstehen.

6. Mit Schriftsatz vom 13.10.2022 erhob der Beschwerdeführer fristgerecht das Rechtsmittel der Beschwerde und brachte darin im Wesentlichen vor, dass die Teilnahme am magistratsinternen Testsystem vollkommen freiwillig gewesen sei, zudem habe zum verfahrensgegenständlichen Zeitpunkt keine Testpflicht bestanden. Es liege entgegen der Rechtsansicht der belangten Behörde im datenschutzbeschwerdegegenständlichen Fall eine gültige Einwilligung vor. Diese ergebe sich aufgrund wiederholten aktiven, unstrittigen Verhaltens seitens der mitbeteiligten Partei. Auch über den XXXX 2021 hinaus bis in den September 2021 habe die mitbeteiligte Partei das Angebot des magistratsinternen Testens genutzt, obwohl es zahlreiche, leicht zugängliche (flächendeckende) Alternativen gegeben hätte, von denen die mitbeteiligte Partei nicht nur aktiv seitens des Arbeitgebers informiert worden wäre, sondern auch seitens der XXXX über verschiedene Medienkanäle die Bevölkerung informiert worden wäre. Die mitbeteiligte Partei habe durch faktisches Handeln aktiv, eigenständig, freiwillig eingewilligt, dass die befugte Person, nämlich die XXXX , Einsicht in sein Testergebnis erhalte. Daher liege keine Verletzung des Rechts auf Geheimhaltung vor. Es habe seitens des Beschwerdeführers zudem eine umfassende persönliche Information an die Mitarbeiter:innen zur magistratsinternen Plattform gegeben.

7. Mit Aktenvorlage vom 24.10.2022 legte die belangte Behörde die gegenständliche Beschwerde gegen den im Spruch angeführten Bescheid sowie den bezughabenden Verwaltungsakt dem Bundesverwaltungsgericht zur Entscheidung vor.

8. Aufgrund der Verfügung des Geschäftsverteilungsausschusses vom 31.05.2023 wurde die gegenständliche Rechtssache der Gerichtsabteilung W245 abgenommen und der Gerichtsabteilung W298 neu zugewiesen.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Der folgende Sachverhalt steht fest:

Die mitbeteiligte Partei war im verfahrensgegenständlichen Zeitraum als XXXX in einem XXXX des Beschwerdeführers tätig. Der Beschwerdeführer war Dienstgeber der mitbeteiligten Partei.

Mit E-Mail vom XXXX 2021 informierte die dem Beschwerdeführer übergeordnete Fachbereichsleitung alle XXXX über die (verpflichtende) Durchführung von wöchentlichen Mitarbeiter:innen-Gurgeltests ab XXXX 2021. Das Schreiben lautet (auszugsweise) wie folgt:

Die Mitarbeiter:innen wurden mit E-Mail über die Möglichkeit der Testungen am XXXX sowie über die zur Abwicklung der Testungen verwendete Datenbank (Webapplikation) informiert. Die mitbeteiligte Partei und die anderen Mitarbeiter:innen wurden über den Beginn der Gurgeltests informiert, insbesondere über den Start am XXXX 2021

XXXX hat als nach der Geschäftseinteilung für den Magistrat XXXX zuständige Behörde nach XXXX den Beschwerdeführer mit E-Mail vom XXXX 2021 über die erforderlichen Berufsgruppentestungen informiert. Diese E-Mail lautet wie folgt:

Diese Information XXXX wurde mit der Erklärung XXXX über den genauen Ablauf am selben Tag u.a. an die XXXX übermittelt.

Im Zuge der Teambesprechung vom XXXX 2021 am XXXX des Beschwerdeführers wurden die MitarbeiterInnen von der XXXX mündlich über die Berufsgruppentestungen informiert und die E-Mail vom XXXX 2021 besprochen.

Für die Vorregistrierung wurden folgende personenbezogenen Daten der MitarbeiterInnen von der Stellvertreterin der XXXX im System (Web-Applikation) erfasst:

- Vorname

- Nachname

- Sozialversicherungsnummer

- Geburtsdatum

- Wohnadresse

- Private Telefonnummer

Die mitbeteiligte Partei unterzeichnete im Zuge der Teambesprechung vom XXXX 2021 folgendes Dokument mit dem Betreff: „Maskenpflicht ab XXXX “ sowie „Wöchentliche Testung“.

Auf die angegebene private Telefonnummer erfolgte die Mitteilung per SMS betreffend Zugangsdaten zur Abfrage des eigenen Testergebnisses.

Für den Fall, dass ein XXXX die wöchentliche Teilnahme an den Gurgeltests verweigert, bestand auf dem Arbeitsplatz der mitbeteiligten Partei die Pflicht zum Tragen einer FFP2-Maske.

XXXX als Mitarbeiter des Beschwerdeführers konnten die Testergebnisse ihrer MitarbeiterInnen in der Datenbank einsehen. Die Testergebnisse waren für 2 Wochen sichtbar, danach wurden sie automatisch vom System verborgen.

Die mitbeteiligte Partei beschwerte sich in der Folge, dass die Testergebnisse von der XXXX eingesehen werden konnten.

Die mitbeteiligte Partei erhielt keine umfassende schriftliche und mündliche Information, darüber, dass seine Testergebnisse für die XXXX einsehbar sind.

Hätte die mitbeteiligte Partei vom Umfang der Datenverarbeitung gewusst, hätte sie nicht zugestimmt.

Über die Möglichkeit eines Widerrufs wurde nicht aufgeklärt.

Die mitbeteiligte Partei stellte ein Auskunftsbegehren an die XXXX . Der mitbeteiligten Partei wurde beauskunftet, dass bei der Beschwerdeführerin Daten zu Person der mitbeteiligten Partei im Rahmen der Personalverwaltung der XXXX am XXXX in der Verarbeitung XXXX aufscheinen.

Die Feststellungen ergeben sich aus der folgenden Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Verwaltungsakt der belangten Behörde und dem Gerichtsakt des Bundesverwaltungsgerichts in Verbindung mit dem Vorbringen des Beschwerdeführers.

Strittig ist, was der Inhalt der Besprechung vom XXXX 2021 tatsächlich war, was der mitbeteiligten Partei tatsächlich vorgelegt wurde und, ob die mitbeteiligte Partei tatsächlich darüber informiert wurde, dass die Testergebnisse der XXXX zugänglich gemacht werden, da diese Information schon Inhalt der E-Mail war.

Im ersten Email vom XXXX 2021 findet sich kein Zusatz, dass die Mitarbeiter:innen informiert werden sollen und im zweiten E-Mail vom XXXX 2021 lediglich der Zusatz, dass „diese Informationen an alle Mitarbeiter“ weitergegeben werden sollen. Es mangelte jedoch an einer genaueren Bestimmung welche Informationen das sind. Daraus lässt sich keine umfassende schriftliche und mündliche Information ableiten, auch nicht ob diese tatsächlich erfolgt ist. Es ist davon auszugehen, dass die mitbeteiligte Partei seine Unterschrift dafür abgab, diese allgemeinen Informationen zur Maskenpflicht und wöchentlicher Testung erhalten zu haben. Sollte die mitbeteiligte Partei darüber informiert worden sein, dass die XXXX jederzeit Einsicht in das Testergebnis gewährt wird und dem auch wirksam zugestimmt haben, hätte sich der Beschwerdeführer um eine gesonderte diesbezügliche Unterschrift bemühen müssen mit genau diesen Informationen. Eine solche legte der Beschwerdeführer nicht vor. Außerdem wurden die Gurgeltests ab dem XXXX 2021 angeboten, jedoch stammt die Unterschrift der mitbeteiligten Partei vom XXXX 2021 und wurde auch an diesem Tag die Teambesprechung angesetzt, bei welcher die vermeintlichen ausreichenden Informationen erteilt worden wären. Es ist daher nicht davon auszugehen, dass die mitbeteiligte Partei rechtzeitig beziehungsweise überhaupt darüber informiert wurde, dass die XXXX Einsicht in die Ergebnisse der Gurgeltests hatte.

3. Rechtliche Beurteilung:

3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit .). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles sowie anderer näher genannte (im vorliegenden Fall nicht relevante) Gesetze und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.2. Zu den Prozessvoraussetzungen:

Die Beschwerde wurde gemäß § 7 Abs. 4 VwGVG fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.

3.3. In der Sache:

3.3.1. Rechtslage:

Für das gegenständliche Beschwerdeverfahren relevante Bestimmungen des Datenschutzgesetzes, DSG, der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), DSGVO:

§ 1 Abs. 1 und 2 DSG:

Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

Art 4 Z 1,2, 7 und 11, Art. 5 und Art. 6 DSGVO:

Begriffsbestimmungen

Art. 4. Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

Gemäß Art. 4 Z 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

15 „Gesundheitsdaten“ sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Artikel 6

„Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; […]“

Artikel 7

„Bedingungen für die Einwilligung

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Artikel 9

„Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

[…]“

Eine Rechtfertigung nach Art 9 Abs. 2 lit b scheidet aus, da sich im gegenständlichen keine Erforderlichkeit dieser Art der Verarbeitung sensibler Daten aus einer gesonderten unionsrechtlichen oder innerstaatlichen Norm ergibt, wozu auch Kollektivvereinbarungen und Betriebsvereinbarungen zählen würden (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 36 (Stand 7.5.2020, rdb.at)). Es geht aus keiner Norm hervor, dass Diensgeber:innen einen Zugang zu Ergebnissen der Covid-19-Testungen ihrer Miterarbeiter:innen haben müssen.

§ 6 Abs 4 der 3. COVID-19-Notmaßnahmenverordnung (3. COVID-19-NotMV BGBl. II Nr. 27/2021) lautet:

Zusätzlich zu Abs. 2 dürfen Arbeitsorte durch

1. Arbeitnehmer elementarer Bildungseinrichtungen, die im Rahmen der Betreuung und Förderung in unmittelbarem Kontakt mit Kindern stehen,

2. Lehrer, die in unmittelbarem Kontakt mit Schülern stehen,

3. Arbeitnehmer in Bereichen der Lagerlogistik, in denen der Mindestabstand von zwei Metern regelmäßig nicht eingehalten werden kann,

4. Arbeitnehmer mit unmittelbarem Kundenkontakt,

5. Personen, die im Parteienverkehr in Verwaltungsbehörden und Verwaltungsgerichten tätig sind,

nur betreten werden, wenn spätestens alle sieben Tage ein Antigen-Test auf SARS-CoV-2 oder ein molekularbiologischer Test auf SARS-CoV-2, durchgeführt wird, dessen Ergebnis negativ ist. Darüber ist gegenüber dem Arbeitgeber ein Nachweis vorzuweisen und für die Dauer von sieben Tagen bereitzuhalten. Kann dieser Nachweis nicht vorgewiesen werden, ist bei Kundenkontakt, bei Kontakt mit Kindern oder Schülern sowie bei Parteienverkehr und den in Z 3 genannten Bereichen eine Atemschutzmaske der Schutzklasse FFP2 (FFP2-Maske) ohne Ausatemventil oder eine äquivalente bzw. einem höheren Standard entsprechende Maske zu tragen.

3.3.2. Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:

Bei der in Prüfung gezogenen Datenverarbeitung – der fortlaufenden Überprüfung im Sinne eines Gesundheitsmonitorings – stützte die Beschwerdeführerin die Verarbeitung von Daten über die Ansteckung mit dem COVID-19 Virus auf eine Einwilligung gemäß Art. 7 DSGVO. Die mitbeteiligte Partei bestreitet eine Einwilligung in dem Umfang der durchgeführten Datenverarbeitung abgegeben zu haben.

Bei (verfahrensgegenständlichen) Covid-19-Testergebnissen handelt es sich um Gesundheitsdaten der mitbeteiligten Partei, weil diese Information Rückschlüsse auf eine Krankheit zulassen und somit die körperliche Gesundheit. Eine Verarbeitung dieser Daten ist nur unter den in Art. 9 Abs. 2 DSGVO abschließend aufgezählten Fällen zulässig.

Die Beschwerde ist nicht berechtigt:

Eine Verletzung des Art 9 Abs. 1 lit. a DSGVO ist dann nicht gegeben, wenn die betroffene Person in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich und freiwillig eingewilligt hat. Im Unterschied zur Einwilligung bei der Verwendung nicht-sensibler Daten gemäß Art 6 Abs 1 lit a DSGVO muss die Einwilligung bei sensiblen Daten ausdrücklich erfolgen. Eine konkludente Einwilligung ist daher für die Erfüllung dieses Ausnahmetatbestandes nicht ausreichend. Darüber hinaus hat die Einwilligung freiwillig zu erfolgen

Zur Freiwilligkeit der Einwilligung:

Im gegenständlichen Fall wurde eine Einwilligung mit Unterschrift zur Verarbeitung der Gesundheitsdaten der mitbeteiligten Partei eingeholt. Die mitbeteiligte Partei stand für den fraglichen Zeitraum in einem Dienstverhältnis zum Beschwerdeführer. Es ist daher zu prüfen, ob eine ausdrückliche und freiwillige Einwilligung nach Art 9 Abs. 2 DSGVO vorgelegen ist.

Die belangte Behörde hat bereits zutreffend festgehalten, dass der Beschwerdeführer, Dienstgeber der mitbeteiligten Partei war und für den Fall, dass die freiwillige Teilnahme am Testprogramm der Beschwerdeführerin nicht entsprochen werde, während der Dienstzeiten verpflichtend durchgängig eine FFP2-Atemschutzmaske zu tragen ist. Die belangte Behörde führte aus, dass schon aus diesem Grund keine freiwillige Einwilligung im Sinne des Art. 7 vorliege.

Dieser Rechtsansicht ist zu folgen:

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. (Erwägungsgrund 32)

Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. (Erwägungsgrund 43)

Freiwilligkeit impliziert, dass die betroffene Personen eine echte Wahl und die Kontrolle hat. Im Allgemeinen ist eine Einwilligung nicht gültig, wenn die betroffene Person keine wirkliche Wahl hat, sich zur Einwilligung gedrängt fühlt oder negative Auswirkungen erdulden muss, wenn sie nicht einwilligt. (Seite 8, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 Version 1.1 angenommen am 4. Mai 2022, [Europäischer Datenschutzauschuss – EDSA])

Da verfahrensgegenständlich die Datenverarbeitung mit der Bedingung verknüpft ist, dass ein Nachweis der Nichtansteckung mit dem COVID-19 Virus auf anderem Wege erbracht werden muss oder eine FFP2-Atemschutzmaske während der gesamten Dienstdauer zu tragen ist, ergibt sich, dass der Behörde kein Fehler bei der rechtlichen Beurteilung unterlaufen ist, dass diese Bedingungen der Freiwilligkeit der Einwilligung im Sinne des Art. 7 DSGVO entgegenstehen. Darüber hinaus ist auch davon auszugehen, dass ein „klares Ungleichgewicht“ (im Sinne des Erwägungsgrund 41) besteht, welches, die Freiwilligkeit ausschließt (vgl. Frenzel in Paal/Pauly DSGVO zu Art. 7 rn. 19f.)

Nach anderer Literaturmeinung sind bloß besonders hohe Anforderungen an die Freiwilligkeit einer Einwilligung zu stellen, wenn ein Abhängigkeitsverhältnis zwischen dem Verantwortlichen und dem Betroffenen, eine Machtbeziehung oder eine Art der Über- Unterordnung in Bezug auf die Verarbeitung der sensitiven Daten besteht (Weichert in Kühling/Buchner, DS-GVO BDSG, Art 9 DS-GVO Rz 51). Der OGH kam in bislang zwei Urteilen zum Ergebnis, dass nach der DSGVO strenge Anforderungen an die Beurteilung der „Freiwilligkeit“ zu stellen sind. (Kastelitz in Knyrim, DatKomm Art 7 DSGVO (Stand 7.5.2020, rdb.at) mit Verweis auf OGH vom 31.08.2018, 6 Ob 140/18h maN)

Verfahrensgegenständlich war festzustellen, dass der Beschwerdeführer als staatliche Trägerorganisation XXXX führt und XXXX zur Besorgung dieser Aufgaben angestellt hat. Die mitbeteiligte Partei war als XXXX beim Beschwerdeführer angestellt. Allein aus diesem Umstand ist zu erkennen, dass verfahrensgegenständlich ein grobes Ungleichgewicht zwischen dem Beschwerdeführer und der mitbeteiligten Partei besteht.

Angesichts der Abhängigkeit, die sich aus dem Verhältnis Dienstgeber und -nehmer ergibt, ist es per se unwahrscheinlich, dass die betroffene Person ihrem Arbeitgeber die Einwilligung in die Datenverarbeitung verweigern kann, ohne Angst zu haben oder wirklich Gefahr zu laufen, dass diese Weigerung zu Nachteilen führt. Konkret liegt der Nachteil aber schon darin, dass die Weigerung Daten zur Verfügung zu stellen mit der Pflicht zum Tragen einer FFP2-Atemschutzmaske während der Dienstzeiten verbunden ist, oder andere Testangebote privat in Anspruch zu nehmen. Freilich übersieht das Gericht nicht, dass diesen Umstand nicht der Beschwerdeführer zu verantworten hat, sondern vielmehr aus einer gesetzlichen Notwendigkeit entsteht, jedoch legt Erwägungsgrund 43 deutlich dar, dass es unwahrscheinlich ist, dass sich Behörden für die Verarbeitung auf die Einwilligung stützen können. Die Fälle in denen dies zugestanden wird, treffen insbesondere dann und regelmäßig dort zu wo Behörden ohne Imperium auftreten. Gerade im Kontext, dass der Beschwerdeführer hier als Dienstgeber und gleichzeitig als staatlicher, öffentlicher Trägerverband der XXXX – sprich als Behörde im Sinne der DSGVO – auftritt, würde besondere Anforderungen an die Einwilligung stellen, die hier nicht vorliegen. Die bloße Information wie aus der E-Mail vom XXXX 2021 reichen jedenfalls nicht aus um den nach der Judikatur des OGH und der Literatur geforderten strengen Standards zu entsprechen, weil die Weigerung der Zustimmung mit erheblichen Nachteilen beim Erbringen der Dienstleistung durch die mitbeteiligte Partei verbunden ist.

Zum Vorliegen einer ausdrücklichen Einwilligung:

Eine Verletzung des Art 9 Abs. 1 lit. a DSGVO ist dann nicht gegeben, wenn die betroffene Person in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat. Im Unterschied zur Einwilligung bei der Verwendung nicht-sensibler Daten gemäß Art 6 Abs 1 lit a DSGVO muss die Einwilligung bei sensiblen Daten ausdrücklich erfolgen. Eine konkludente Einwilligung ist daher für die Erfüllung dieses Ausnahmetatbestandes nicht ausreichend.

Im gegenständlichen Fall wurde von der mitbeteiligten Partei keine ausdrückliche Einwilligung dazu erteilt, dass seine Covid-19 Testergebnisse für die XXXX zugänglich sind. Der Begriff „ausdrücklich“ bezieht sich dabei auf die Art und Weise, in der die Zustimmung der betroffenen Person zum Ausdruck gebracht wird (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 31 (Stand 7.5.2020, rdb.at)). Es ist für das erkennende Gericht nicht nachvollziehbar inwieweit die mitbeteiligte Partei ihre Zustimmung erteilt haben soll, dass die XXXX Zugriff auf die Covid-19 Testergebnisse haben sollte. Auch die vom Beschwerdeführer vorgelegte Unterschrift der mitbeteiligten Partei ist kein Nachweis für eine solche Zustimmung. Ungeachtet der Tatsache, dass die E-Mail vom XXXX 2021 im Zuge der Teambesprechung am XXXX 2021 besprochen worden ist, ist dadurch nicht von einer ausreichenden Information der mitbeteiligten Partei und der anderen Mitarbeiter:innen auszugehen. Aus der in der E-Mail vom XXXX 2021 zitierten Covid-19 Notmaßnahmenverordnung geht hervor, dass die Mitarbeiter:innen der Leitung den entsprechenden Nachweis vorzulegen haben. Eine Verpflichtung, dass die Mitarbeiter:innen darüber zu informieren sind, dass die Leitung auch Einsicht in die Testergebnisse hat, ist dem Informationsschreiben nicht zu entnehmen. Außerdem wurden, wie beweiswürdigend ausgeführt, die Testungen ab dem XXXX 2021 angeboten. Die Teambesprechung, in welcher die mitbeteiligte Partei laut Beschwerdeführer angeblich ausreichend informiert worden wäre, fand jedoch am XXXX 2021 statt, weshalb schon aus diesem Grund von keiner ausreichenden Aufklärung und Information seitens des Beschwerdeführers und somit keiner Einwilligung durch die mitbeteiligte Partei die Rede sein kann.

Zum Vorliegen einer Pflicht gemäß Art. 9 Abs. 2 lit b DSGVO und 3. COVID-19-NotMV BGBl. II Nr. 27/2021:

Art 9 Abs. 2 lit. b DSGVO berücksichtigt, dass im Arbeits- als besonderes Dauerschuldverhältnis der Arbeitgeber regelmäßig Daten verarbeitet, die dem Spektrum des Art. 9 Abs. 1 DSGVO zugeordnet sind. Dies können jeweils konkret Gesundheitsdaten wie die verfahrensgegenständlichen Daten über die mögliche Ansteckung mit dem COVID-19 Virus sein.

Die - plausiblen - Verarbeitungslagen bedürfen jedoch jeweils einer rechtlichen Grundlage, die datenschutzrechtliche Garantien enthalten muss: Strikte Zweckbindung, Transparenz, Richtigkeit, Integrität und Vertraulichkeit. Auch die Judikatur des VfGH zur gesetzlichen Grundlage verlangt, dass die Datenverarbeitung absehbar sein muss im Hinblick auf die Intensität und Eingriffstiefe (vgl. dazu VfGH vom 27.06.2014 G47/2012 maN). Insbesondere richtet sich die infrage stehende Bestimmung nicht an „Arbeitgeber“, sondern betrifft die Bereithaltung von Informationen zum Beweis der Einhaltung der gesetzlichen Pflichten der einzelnen Mitarbeiter gegenüber dem „Arbeitgeber“. Für das erkennende Gericht ergibt sich daraus keine Datenverarbeitungsgrundlage, aufgrund welcher der Beschwerdeführer eine Datenbank mit den Mitarbeiter Testergebnissen einrichten durfte, welche für XXXX 2 Wochen mit den Testergebnissen einsehbar waren. Vielmehr richtet sich der gesetzliche Auftrag an die einzelnen Mitarbeiter was sich auch aus der rechtlichen Begründung zu den einzelnen Maßnahmen der 3. COVID-19-NotMV ergibt, dazu auszugsweise zu § 6:

„Im Zuge der mit BGBl. I Nr. 23/2021 kundgemachten Novelle zum COVID-19-Maßnahmengesetz wurde ein § 1 Abs. 5c eingefügt, wonach durch Verordnung insbesondere bestimmt werden kann, dass Arbeitsorte, bei denen es zu Kundenkontakt kommt oder bei denen ein bestimmter Abstand regelmäßig nicht eingehalten werden kann, von Mitarbeitern oder Arbeitnehmern nur betreten werden dürfen, wenn ein Nachweis über eine lediglich geringe epidemiologische Gefahr vorgewiesen wird. In diesem Sinne werden in § 6 Abs. 4 Gruppen von Arbeitnehmern genannt, auf die diese Voraussetzungen zutreffen. Diese Personen haben die Wahl zwischen der Durchführung eines Antigen-Tests auf SARS-CoV-2 oder eines molekularbiologischen Tests auf SARS-CoV-2 – spätestens alle sieben Tage – oder dem Tragen einer Atemschutzmaske der Schutzklasse FFP2 (FFP2-Maske) […] Unabhängig davon dürfen die auf Grund der vorliegenden Verordnung auszustellenden Nachweise entsprechend der gesetzlichen Vorgabe nur die zuvor erwähnten Daten aufweisen.“

Bei der Verarbeitung der Testdaten im verfahrensgegenständlichen Umfang konnte sich daher der Beschwerdeführer nicht auf eine qualifizierte gesetzliche Grundlage stützen, die ihn dazu berechtigt hat, eine Datenbank mit Web-Applikation zur Speicherung der Testergebnisse aller Mitarbeiter einzurichten und diese über 2 Wochen für die XXXX einsichtig zu machen. Zumal aufgrund der vorliegenden Informationen davon auszugehen ist, dass die Speicherdauer für ausreichend berechtigte Mitarbeiter des Beschwerdeführers über die 2 Wochen hinausgeht.

Ergebnis:

In seiner Rechtsprechung vertritt der EuGH den Standpunkt, dass zu jeder Zeit einer Datenverarbeitung alle Grundsätze der Datenverarbeitung eingehalten werden müssen. (Urteil vom 24. November 2011, C‑468/10 und C‑469/10, EU:C:2011:777, sowie wiederholt im Urteil vom 11.Dezember 2019 C-708/17 ECLI:EU:C:2019:1064)

Demnach müssen Daten stets kumulativ nach den Grundsätzen von Art. 5 und Art. 6 DSGVO bzw. Art 9 DSGVO auf rechtmäßige Weise nach Treu und Glauben verarbeitet werden:

Wie schon zuvor geschildert, liegt keine freiwillige Einwilligung der mitbeteiligten Partei vor. Nach Art 7 Abs 2 letzter Satz vor und sind Teile der Erklärung dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. Demnach liegt kein doppelt bedingter Verarbeitungsgrund nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Art. 9 Abs. 2 lit a DSGVO vor und ist die Datenverarbeitung daher nicht gerechtfertigt.

Auch eine gesetzliche Grundlage, welche den Beschwerdeführer zur Verarbeitung der Daten gemäß Art. 9 Abs. 2 lit b DSGVO berechtigen würde liegt nicht vor.

Es war spruchgemäß zu entscheiden.

Zum Entfall der mündlichen Verhandlung:

Von der Durchführung einer mündlichen Verhandlung konnte gemäß § 24 Abs. 4 VwGVG Abstand genommen werden, da der Sachverhalt aus der unstrittigen Aktenlage in Verbindung mit der Beschwerde geklärt erscheint und eine mündliche Erörterung die weitere Klärung der Rechtssache nicht erwarten lässt. Dem Entfall der Verhandlung stehen auch weder Art. 6 Abs. 1 der Konvention zum Schutze der Menschenrechte und Grundfreiheiten, BGBl. Nr. 210/1958 noch Art. 47 der Charta der Grundrechte der Europäischen Union, ABl. Nr. C 83 vom 30.03.2010, S 389 entgegen.

Zu B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Es fehlt gegenständlich an einer Rechtsprechung des Verwaltungsgerichtshofes zur Frage, ob die Einwilligung durch den Dienstgeber und eine Behörde mit einer Bedingung verknüpft werden kann und der Freiwilligkeit der Einwilligung nicht abträglich ist. Eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage liegt vor, weil die Bedingungen zur Einwilligung in vielen gleichgelagerten Fällen infrage steht.