DSB 2026-0.206.452

GZ: 2026-0.206.452 vom 20. März 2026 (Verfahrenszahl: DSB-D124.0368/26)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

Die Firma (§ 17 Abs. 1 UGB) der beschwerdegegnerischen Partei konnte nicht sinnerhaltend pseudonymisiert werden, da sie und der Gegenstand ihres Unternehmens aus angewendeten Rechtsvorschriften (WZEVI-G) hervorgehen. Das allgemeine Interesse an einer gesetzlich gebotenen Veröffentlichung der Entscheidung (§ 4 Abs. 1 IFG, § 23 Abs. 2 DSG) überwiegt hier jedoch das Geheimhaltungsinteresse der beschwerdegegnerischen Partei, einer juristischen Person.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von PetraA*** (beschwerdeführende Partei) vom 1. Februar 2026 (bei der Datenschutzbehörde rechtswirksam eingegangen am 2. Februar 2026, verbessert mit Eingabe vom 5. Februar 2026) gegen die Wiener Zeitung GmbH (beschwerdegegnerische Partei) wegen Verletzung im Recht auf Geheimhaltung und von Art. 5 DSGVO durch Veröffentlichung von Firmenbuchdaten auf der Plattform evi.gv.at wie folgt:

- Die Beschwerde wird abgewiesen.

Rechtsgrundlagen: Art. 4 Z 7, Art. 5, Art. 6, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs.1 und 2, 18 Abs. 1 sowie 24 Abs. 1, Abs. 2 Z 2 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF iVm § 2 Abs. 2 Z 4, Abs. 4, Abs. 7 Z 3 und Abs. 8 sowie § 6 Abs. 1 und 2 des WZEVI-Gesetzes, BGBl. I Nr. 46/2023 idgF (im Folgenden kurz: WZEVI-G) und §§ 7 und 10 Abs 1 des Unternehmensgesetzbuches (UBG), dRGBl S 219/1897 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Die beschwerdeführende Partei erhob am 1. Februar 2026 Beschwerde gegen die beschwerdegegnerische Partei wegen einer behaupteten Verletzung im Recht auf Geheimhaltung. Sie brachte vor, die beschwerdegegnerische Partei verarbeite und veröffentliche Daten, die aus einer Firmenbucheintragung stammen und insbesondere ihr Geburtsdatum und ihre Privatadresse umfassen würden, entgegen den Bestimmungen der Art. 5 ff DSGVO.

2. Die beschwerdegegnerische Partei gab dazu mit Schreiben vom 24. Februar 2026 eine Stellungnahme ab. Sie bestritt den Sachverhalt nicht und brachte vor, im gesetzlichen Auftrag (WZEVI-G) eine elektronische Verlautbarungs- und Informationsplattform des Bundes zu betreiben. Sie sei diesbezüglich kraft Gesetzes lediglich Auftragsverarbeiterin. Die erfolgte Veröffentlichung sei gemäß § 10 Abs. 1 UGB iVm § 6 Abs. 1 Satz 1 WZEVI-G gesetzlich vorgesehen. Es handle sich um eine Veröffentlichung des Firmenbuchgerichts, Verantwortlicher sei daher das Bundesministerium für Justiz. Man habe daher einen von der beschwerdeführenden Partei eingebrachten Löschungsantrag an diesen Verantwortlichen weitergeleitet. Unabhängig davon sei seit dem 10. Februar 2026 das Geburtsdatum der beschwerdeführenden Partei nicht mehr in ihrem Firmenprofil öffentlich einsehbar. Die Beschwerde sei daher abzuweisen.

3. Die beschwerdeführende Partei äußerte sich dazu mit Stellungnahme vom 5. März 2026. Sie beschränkte sich dabei inhaltlich darauf, der Datenschutzbehörde die Antwort des Bundesministeriums für Justiz auf den weitergeleiteten Löschungsantrag zur Kenntnis zu bringen.

B. Beschwerdegegenstand

4. Ausgehend vom Vorbringen der beschwerdeführenden Partei ist Beschwerdegegenstand die Frage, ob die beschwerdegegnerische Partei als für die Verarbeitung personenbezogener Daten Verantwortliche seit dem **. März 2024 bis dato die Daten der zu FN *5*2*7k protokollierten Firmeneintragung, bis 10. Februar 2026 enthaltend auch das Geburtsdatum der beschwerdeführenden Partei, im Einklang mit den Grundsätzen für die Verarbeitung personenbezogener Daten auf der Plattform evi.gv.at verarbeitet (veröffentlicht) hat.

C. Sachverhaltsfeststellungen

5. Die beschwerdeführende Partei ist Unternehmerin. Auf ihren Antrag hin hat das Handelsgericht Wien als Firmenbuchgericht am **. März 2024 die Firma „P&V A*** e.U.“ zu FN *5*2*7k ins Firmenbuch eingetragen.

6. Am selben Tag wurden unter der URL: https://www.evi.gv.at/f/ *5*2*7k folgende Daten auf „evi.gv.at  - Die Elektronische Verlautbarungs- und Informationsplattform des Bundes“ veröffentlicht (Layout nur annähernd wiedergegeben, ohne die im Original funktionierenden Hyperlinks, die allerdings keine über den dargestellten Inhalt hinausgehenden personenbezogenen Daten erschließen):

„P&V A*** e.U.

FN *5*2*7k Adresse T***platz *4/*9, 1*** Wien

Alle Veröffentlichungen dieser Firma anzeigen Updates abonnieren [Anmerkung: Button]

Inhaltsverzeichnis

Organisationsdaten Personen Aktuellste Veröffentlichungen

Organisationsdaten

Status Aktiv

Sitz Wien

Eintragungsdatum **.03.2024

Rechtsform Einzelunternehmer

Geschäftszweig ****

Personen

Inhaber/in Petra A***, M.A. (**.**.197*) eingetragen am **.03.2024

Aktuellste Veröffentlichungen

Veröffentlicht auf EVI am **.03.2024

Firmenbuch: Neueintragung Funktion eingetragen“

7. Am 10. Februar 2026 wurde das Geburtsdatum der beschwerdeführenden Partei (= Klammerausdruck in der mit „Inhaber/in“ beginnenden Zeile) aus den online auf evi.gv.at veröffentlichen Daten entfernt. Bei einer Abfrage des Firmenbuchs wird das Geburtsdatum der beschwerdeführenden Partei als Inhaberin mit „Petra A***, M.A., geb. **.**.197*“ weiterhin angezeigt.

8. Beweiswürdigung : Diese Feststellungen stützen sich auf das Vorbringen der beschwerdeführenden Partei (Screenshot von https://www.evi.gv.at/f/ *5*2*7k, Stand vor dem 10. Februar 2026, in der Beschwerde vom 1. Februar 2026, einliegend als Eingangsstück zu GZ: 2026-0.102.394 bei den Akten dieses Verwaltungsverfahrens), eine amtswegige Überprüfung des Datenstandes am 3. März 2026 (PDF-Ausdruck einliegend als Beilage „evi.gv.at  _ P&V A*** e.U. 1*** Wien _ Firmenbuch Stand 03.03.2026“ zu GZ: 2026-0.171.934 bei den Akten dieses Verwaltungsverfahrens) sowie eine amtswegig durchgeführte Kontrollabfrage des Firmenbuchs am 11. März 2026 (PDF-Ausdruck als Beilage zu GZ: 2026-0.206.452, das ist die Geschäftszahl dieses Bescheids, bei den Akten dieses Verwaltungsverfahrens). Diese Tatsachen sind zwischen den Parteien nicht strittig.

D. In rechtlicher Hinsicht folgt daraus:

D.1. Summe:

9. Die Beschwerde hat sich als unbegründet erwiesen, da die beschwerdegegnerische Partei, wie von ihr zu ihrer Verteidigung zutreffend vorgebracht, hier aufgrund ausdrücklicher gesetzlicher Anordnung von der Rolle der für die Verarbeitung personenbezogener Daten Verantwortlichen entbunden ist, obwohl sie die Daten der beschwerdeführenden Partei auf einer von ihr in gesetzlichem Auftrag betriebenen elektronischen Verlautbarungs- und Informationsplattform veröffentlicht hat.

D.2. durch Gesetz festgelegte datenschutzrechtliche Rollenverteilung:

10. Gemäß § 1 Abs. 1 WZEVI-G steht die in der Rechtsform einer Gesellschaft mit beschränkter Haftung, demnach einer juristischen Person, organisierte beschwerdegegnerische Partei im wirtschaftlichen Alleineigentum des Bundes.

11. Gemäß § 2 Abs. 2 WZEVI-G obliegen der beschwerdegegnerischen Partei insbesondere folgende Aufgaben: die Herausgabe der Wiener Zeitung gemäß § 3 (Z 1), Einrichtung und Betrieb der elektronischen Verlautbarungs- und Informationsplattform des Bundes (EVI) gemäß § 5 (Z 3), Veröffentlichung der bundesgesetzlich vorgesehenen Verlautbarungen gemäß § 6 auf EVI (Z 4), Veröffentlichung von sonstigen Verlautbarungen gemäß § 7 auf EVI (Z 5) und Bereitstellung der Verlautbarungen gemäß den §§ 6 und 7 zum Abruf auf EVI (Z 6).

12. § 2 Abs. 4, 7 und 8 WZEVI-G lautet:

„(4) Die Wiener Zeitung GmbH trägt für den Inhalt der Verlautbarungen gemäß §§ 6 und 7 und der Informationen gemäß Abs. 1 Z 7 keine Verantwortung. Die Einbringerin oder der Einbringer ist für den Inhalt der Verlautbarungen rechtlich verantwortlich.

(5) […]

(6) […]

(7) Datenschutzrechtliche Verantwortliche (Art. 4 Z 7 in Verbindung mit Art. 26 Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, zuletzt berichtigt durch ABl. Nr. L 74 vom 04.03.2021 S. 35 sind, soweit personenbezogene Daten enthalten sind,

1. in Veröffentlichungen gemäß Abs. 1 Z 4 und 5 die gemäß Abs. 3 zur Veröffentlichung bundesgesetzlich verpflichteten Rechtsträger bzw. die die Veröffentlichung veranlassenden Stellen,

2. in Informationen gemäß Abs. 1 Z 7 iVm Abs. 2 die registerführenden sowie die dateiführenden Stellen und

3. in der Bereitstellung von Veröffentlichungen und sonstigen Verlautbarungen in EVI gemäß Abs. 1 Z 6 die Rechtsträger und Stellen gemäß Z 1 und die registerführenden sowie die dateiführenden Stellen gemäß Z 2.

(8) Die Wiener Zeitung GmbH ist bei der Verarbeitung der personenbezogenen Daten gemäß Abs. 1 Z 4 bis 7 Auftragsverarbeiter (Art. 4 Z 8 in Verbindung mit Art. 28 DSGVO) für die datenschutzrechtlichen Verantwortlichen. Sie ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.“

13. § 6 WZEVI-G lautet samt Überschrift:

„Bundesgesetzlich vorgesehene Verlautbarungen

§ 6. (1) Die in Bundesgesetzen angeordneten Verlautbarungen in der Wiener Zeitung oder im Amtsblatt zur Wiener Zeitung haben anstelle dieses Mediums auf EVI zu erfolgen. Soweit nicht nach dem Bundesgesetzblattgesetz - BGBlG, BGBl. I Nr. 100/2003, oder anderen Bundesgesetzen die Verlautbarung im Bundesgesetzblatt vorgesehen ist, sollen alle durch Bundesgesetz angeordneten Verlautbarungen (z. B. auf der Website eines Bundesministeriums) zusätzlich auch auf EVI erfolgen oder auf EVI zugänglich gemacht werden.

(2) Die Veröffentlichung der Verlautbarungen gemäß Abs. 1 erfolgt auf Veranlassung der hiezu bundesgesetzlich verpflichteten Rechtsträger oder hiefür zuständigen Stellen. Derartige Verlautbarungen werden entsprechend den Bundesgesetzen oder Anordnungen wirksam, aufgrund deren die Veröffentlichung der Verlautbarung zu erfolgen hat.“

14. Das WZEVI-G (nicht-amtliche Abkürzung, da eine solche im Gesetzestext nicht enthalten ist) wurde im Nationalrat als Initiativantrag eingebracht (3293/A vom 30.03.2023, BlgNR XXVII GP). Der beschlossene Text weicht nicht vom eingebrachten Antrag ab (§ 2 Abs. 7 f war jedoch in einem vorangegangenen Ministerialentwurf, 228/ME BlgNR XXVII GP , noch nicht enthalten). Zur Auslegung dieser Rechtsvorschrift kann im Wesentlichen nur der Bericht des Verfassungsausschusses herangezogen werden, in dem es zu den §§ 2, 6 und 9 - letztere Bestimmung ermächtigt die beschwerdegegnerische Partei zur Heranziehung von Auftragsverarbeitern - u.a. heißt:

„Abs. 4 stellt klar, dass die Wiener Zeitung GmbH für den Inhalt der Verlautbarungen und Informationen keine Verantwortung trägt, sondern der/die Einbringer/in für den Inhalt der Verlautbarungen rechtlich verantwortlich ist.“

„Wie schon im Allgemeinen Teil der Erläuterungen angeführt, sehen rd. 380 Bundesgesetze Veröffentlichungs- bzw. Bekanntmachungspflichten in der Wiener Zeitung bzw. im Amtsblatt zur Wiener Zeitung vor. Durch § 6 Abs. 1 erster Satz tritt in der Rechtslage nur dahingehend eine Änderung ein, als diese Veröffentlichung anstatt in der Wiener Zeitung oder im Amtsblatt zur Wiener Zeitung nunmehr auf EVI zu erfolgen hat.“

„Betreiber von EVI ist die Wiener Zeitung GmbH. Im Sinne der Option einer zentralen technischen Be treuung und Weiterentwicklung aller Plattformen des Bundes kann die Wiener Zeitung GmbH für EVI die IT-technischen Wartung, Betreuung und Weiterentwicklung durch die BRZ-GmbH in Anspruch nehmen.“

15. Anders als in einem Beschwerdefall aus jüngster Zeit (Bescheid vom 12. Dezember 2024, GZ: 2024-0.657.101, RIS), in dem die Online-Publikation journalistischer Beiträge aus der Zeit, als die „Wiener Zeitung“ als gedruckte Tageszeitung publiziert wurde, Gegenstand der Sache war, kommt eine Anwendung des Medienprivilegs gemäß § 9 Abs. 1 DSG idF BGBl. I Nr. 62/2024 hier nicht in Frage, da keine Datenverarbeitung für journalistische Zwecken des von der beschwerdegegnerischen Partei betriebenen Medienunternehmens vorliegt.

D.3. Zuständigkeit für Veröffentlichung von Firmenbucheintragungen:

16. Gemäß § 7 UGB wird das Firmenbuch von den Gerichten geführt. Für den Geschäftssitz der beschwerdeführenden Partei in Wien ergibt dies gemäß § 120 Abs. 1 Z 1 JN die Zuständigkeit des Handelsgerichts Wien.

17. § 10 Abs. 1 UGB lautet samt Überschrift (Hervorhebung durch die Datenschutzbehörde):

„Veröffentlichungen

§ 10. (1) Eintragungen im Firmenbuch gelten mit dem Beginn des Tages ihres Vollzugs (§ 32 Abs. 1 FBG) als bekannt gemacht. Sie sind außerdem in der Ediktsdatei (§ 89j GOG) und, soweit es sich nicht um Eintragungen über Einzelunternehmer oder eingetragene Personengesellschaften handelt, auch im „Amtsblatt zur Wiener Zeitung“ zu veröffentlichen. Soweit nicht das Gesetz etwas anderes vorschreibt, werden die Eintragungen ihrem ganzen Inhalt nach veröffentlicht.“

18. Gemäß § 3 Abs. 1 Z 4 und 8 FBG sind der Sitz und die für Zustellungen maßgebliche Geschäftsanschrift sowie Name und Geburtsdatum des Einzelunternehmers im Firmenbuch (Hauptbuch, siehe § 2 leg.cit .) einzutragen.

D.4. unionsrechtliche Zulässigkeit der gesetzlichen Rollenverteilung:

19. Jedes im Rahmen seiner Zuständigkeit angerufene nationale Gericht als Organ des Mitgliedstaates ist verpflichtet, in Anwendung des in Art. 4 Abs. 3 EUV niedergelegten Grundsatzes der Zusammenarbeit das unmittelbar geltende Unionsrecht uneingeschränkt anzuwenden. Die Geltung des Unionsrechts kann durch einen Mitgliedstaat nicht durch Vorschriften des nationalen Rechts, auch wenn diese Verfassungsrang haben, beeinträchtigt werden. Ist es nicht möglich, die volle Wirksamkeit des Unionsrechtes im Wege einer unionsrechtskonformen Auslegung des nationalen Rechts sicherzustellen, so hat ein nationales Gericht für die volle Wirksamkeit dieser unionsrechtlichen Normen im Wege des Anwendungsvorrangs Sorge zu tragen, indem es jede möglicherweise entgegenstehende Bestimmung des nationalen Rechts aus eigener Entscheidungsbefugnis unangewendet lässt. Die Verwaltungsgerichte und die Verwaltungsbehörden sind daher verpflichtet, im Anwendungsbereich des Unionsrechts die einschlägigen Rechtsvorschriften der Union zu identifizieren und deren Sinn auch anhand der Rechtsprechung der Gerichte der Europäischen Union, insbesondere des EuGH, der letztlich zur Auslegung der Rechtsvorschriften der Europäischen Union zuständig ist (vgl. Art. 267 AEUV), zu erfassen (VwGH, E 01.02.2024, Ra 2020/04/0187, Rz 26).

20. Gemäß Art. 4 Z 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

21. Im Urteil vom 27. Februar 2025, C-638/23, hat der EuGH Art. 4 Z 7 DSGVO dahingehend ausgelegt, dass er einer nationalen Regelung, in der als Verantwortlicher ein Hilfsapparat der Verwaltung, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, benannt ist, aber nicht konkret angegeben ist, für welche speziellen Vorgänge der Verarbeitung personenbezogener Daten dieser Hilfsapparat verantwortlich ist und worin der Zweck dieser Vorgänge besteht, nicht entgegensteht, sofern zum einen eine solche Stelle gemäß dieser nationalen Regelung die Pflichten zu erfüllen vermag, die ein Verantwortlicher gegenüber den betroffenen Personen im Bereich des Schutzes personenbezogener Daten hat, und zum anderen diese nationale Regelung explizit oder zumindest implizit den Umfang der Verarbeitung personenbezogener Daten vorgibt, für die diese Stelle verantwortlich ist.

22. § 2 Abs. 4, 7 und 8 WZEVI-G ist demnach jedenfalls mit der DSGVO vereinbar und von der Datenschutzbehörde hier anzuwenden.

D.4. Schlussfolgerungen:

23. Gemäß § 2 Abs. 4 und 8 WZEVI-G ist eine datenschutzrechtliche Verantwortlichkeit der beschwerdegegnerischen Partei hier durch ausdrückliche gesetzliche Anordnung ausgeschlossen.

24. Gemäß § 2 Abs. 7 Z 3 WZEVI-G wäre daher die zur Veröffentlichung verpflichtete Stelle, also das Handelsgericht Wien, die für die Verarbeitung der Daten der beschwerdeführenden Partei Verantwortliche, wobei schon bei der ersten Veröffentlichung nach der Eintragung der Firma P&V A*** e.U. ins Firmenbuch § 10 Abs. 1 Satz 2 UGB zu beachten gewesen wäre, wonach eine mediale Veröffentlichung unzulässig ist, soweit es sich, wie hier, um eine Eintragung über eine Einzelunternehmerin handelt. Dies wiegt umso schwerer, also die nunmehr durch § 6 Abs. 1 WZEVI-G vorgesehene Veröffentlichung auf evi.gv.at , anders als die früher nur in einer Ausgabe einer gedruckten österreichischen Zeitung erfolgte Publikation, dauerhaft und jederzeit weltweit zugänglich erfolgt, daher einen viel schwerwiegenderen Eingriff in Datenschutzrechte der beschwerdeführenden Partei bildet.

25. Gemäß § 24 Abs. 2 Z 2 DSG hat die beschwerdeführende Partei die beschwerdegegnerische Partei hier klar und unmissverständlich bezeichnet. Richtet sich eine Datenschutzbeschwerde jedoch (unzweifelhaft) gegen eine bestimmte Person (oder Stelle), die allerdings nicht Verantwortlicher für die betreffende Datenverarbeitung ist, dann ist diese Datenschutzbeschwerde abzuweisen (BVwG E 06.12.2023, W221 2273829-1, RIS, mwN). Die Datenschutzbehörde ist in so einem Fall nicht berechtigt, die Partei auszutauschen und ein Datenschutz-Beschwerdeverfahren gegen einen anderen Verantwortlichen zu führen. Da eine Datenschutzbeschwerde wegen Verletzung im Recht auf Geheimhaltung, wie bereits ausgeführt, nur erfolgreich sein kann, wenn der Beschwerdegegner Verantwortlicher für die Datenverarbeitung ist (vgl. dazu auch DSB, Bescheid vom 25. September 2025, GZ: 2025-0.432.701, RIS), war die vorliegende Beschwerde daher aus formalen Gründen (fehlende Passivlegitimation der beschwerdegegnerischen Partei) abzuweisen.