W176 2313270-2 – Bundesverwaltungsgericht Entscheidung

W176 2313270-2/5E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht erkennt durch den Richter Mag. NEWALD als Vorsitzenden und die fachkundigen Laienrichter Mag. BOGENDORFER und RAUB über die Beschwerde von XXXX gegen den Bescheid der Datenschutzbehörde vom 23.05.2025, Zl. D124.1208/25, 2025-0.408.763, in nichtöffentlicher Sitzung zu Recht:

A)

Die Beschwerde wird mit der Maßgabe als unbegründet abgewiesen, dass die Datenschutzbeschwerde der Beschwerdeführerin vom 02.05.2025 gemäß § 24 Abs. 3 DSG iVm § 13 Abs. 3 AVG zurückgewiesen wird.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1.1. Mit E-Mail vom 17.04.2025 teilte die nunmehrige Beschwerdeführerin (BF) der Magistratsdirektion der Stadt XXXX mit, sie habe feststellen müssen, dass ein ihr vorliegendes Schreiben der Stadt XXXX in der offiziellen Dokumentationsübersicht des betreffenden Verfahrensaktes nicht aufscheine, und stellte die Frage, ob eine nachträgliche Erfassung vorgesehen sei.

1.2. Mit E-Mail vom 30.04 2025 teilte die Magistratsdirektion der Stadt XXXX der BF mit, dass das betreffende Schreiben nicht in die behördlichen Akten aufgenommen worden sei, da der Sachverhalt dem XXXX des Sozialamts zuzuordnen gewesen sei und für die hoheitlichen Verfahren keine Relevanz gehabt habe und die entsprechenden Unterlagen bereits skartiert worden seien.

1.3. Daraufhin richtete die BF am 02.05. 2025 ein E-Mail folgenden Inhalts an die Magistratsdirektion der Stadt XXXX sowie „cc:“ an die Datenschutzbehörde (im Folgenden: belangte Behörde), wobei die unter Punkt 1.1. und 1.2. dargestellten E-Mails angeschlossen sind:

„Sehr geehrte Damen und Herren,

ich ersuche um datenschutzrechtliche sowie verwaltungsrechtliche Prüfung eines schwerwiegenden Vorfalls im Bereich der behördlichen Aktenführung durch das Sozialamt der Stadt XXXX , insbesondere betreffend den Verwaltungsvorgang mit der GZ XXXX .

Kern des Sachverhalts ist die dokumentierte Existenz eines hoheitlich ausgestellten Schreibens des Sozialamts, verfasst durch XXXX am 04.10.2018, in welchem mir eine missbräuchliche Verwendung von Taxi-Gutscheinen unterstellt und eine Rückzahlungssumme von EUR 530,00 beziffert wurde. Dieses Schreiben trägt eine gültige Geschäftszahl und war geeignet, in ein rechtswirksames Verwaltungsverfahren einzufließen.

Im Widerspruch zur Aktenlage wurde mir durch ein Schreiben des Leiters XXXX des Sozialamts, XXXX , datiert mit 23. April 2025, mitgeteilt, dass dieses Schriftstück nicht aktenrelevant gewesen sei, nicht im Akt aufscheine und bereits skartiert worden sei. Diese Darstellung ist objektiv unzutreffend und widerspricht den gesetzlichen Bestimmungen der Aktenführung:

o Das genannte Schreiben war formal Bestandteil eines Verwaltungsvorgangs mit potenziell belastender Wirkung (S 16 AVG).

o Das Vorliegen eines anwaltlichen Antwortschreibens vom 31.12.2018, welches sich im Akt befindet und explizit auf die GZ XXXX Bezug nimmt, bestätigt dessen Relevanz und faktische Existenz im hoheitlichen Verfahren.

Die Kombination aus

1. dokumentierter Existenz des Ausgangsschreibens,

2. protokollierter Reaktion eines Verfahrensvertreters,

3. und nachträglicher Behauptung der Irrelevanz sowie

4. unprotokollierter Skartierung

legt den Verdacht eines systematischen Verstoßes gegen Art. 5 Abs. 1 lit. a und e DSGVO, gegen § 16 AVG sowie gegen das behördliche Legalitätsprinzip nach Art. 18 B-VG nahe.

In diesem Zusammenhang sei in aller Deutlichkeit darauf hingewiesen, dass die in Rede stehenden Abläufe geeignet sein könnten, den objektiven Tatbestand eines Amtsmissbrauchs im Sinne des § 302 StGB zu erfüllen, insbesondere wenn eine vorsätzliche Irreführung durch unrichtige Auskunft und willentliche Entfernung aktenrelevanter Unterlagen festgestellt wird.

Vor diesem Hintergrund behalte ich mir ausdrücklich vor, eine Strafanzeige bei der Staatsanwaltschaft XXXX zu erstatten, sofern im Zuge Ihrer Prüfung Anhaltspunkte für ein strafrechtlich relevantes Verhalten bestätigt werden.

Ich stelle daher folgenden Antrag:

1. Prüfung nach Art. 77 DSGVO

ob die Stadt XXXX ihrer Verpflichtung zur rechtmäßigen, nachvollziehbaren und transparenten Verarbeitung personenbezogener Daten im Sinne von Art. 5 Abs. 1 DSGVO nachgekommen ist, insbesondere im Hinblick auf die nicht protokollierte Vernichtung eines aktenrelevanten Dokuments.

2. Prüfung nach § 16 AVG

[o]b die behauptete Nichtaufnahme und spätere Skartierung eines hoheitlichen Schreibens mit konkreter Rückforderungsforderung [sic] gegen die Verwaltungsverfahrensvorschriften der Republik Österreich verstößt.

3. Prüfung der Auskunftserteilung

ob die Erklärung des Beamten XXXX , wonach der Akt vollständig und rechtskonform sei, eine objektiv falsche Tatsachendarstellung im Zuge einer Akteneinsicht darstellt, was datenschutz-, verwaltungs- und unter Umständen strafrechtlich relevant ist.

4. Offenlegung der internen Protokolle

Ich ersuche um Anforderung und Offenlegung aller relevanten Skartierungsprotokolle, Workflow-Nachweise und Verfahrensanordnungen, die die Entfernung dieses Schreibens aus dem Akt betreffen.

Mit freundlichen Grüßen

XXXX “

2. Mit Schreiben vom 14.05.2025, Zl. D124.1208/25, 2025-0.342.734, teilte die belangte Behörde der BF mit, dass sich ihr Antrag als mangelhaft erweise und der Verbesserung bedürfe. Es fehlten folgende Elemente zu einer gesetzmäßig gemäß § 24 Abs. 2 DSG ausgeführten Beschwerde:

1. die Bezeichnung des als verletzt erachteten Rechts (§ 24 Abs. 2 Z 1 DSG), wobei ausgehend von Vorbringen der BF grundsätzlich eine Verletzung im Recht auf Geheimhaltung denkbar sei,

2. die Bezeichnung des Rechtsträgers bzw. Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner), gemäß § 24 Abs. 2 Z 2 DSG, wobei die BF ersucht wird, Ihre Angaben zum Beschwerdegegner zu ergänzen,

3. der Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird (§ 24 Abs. 2 Z 3 DSG,) wobei die BF aufgefordert wird, nähere Angaben zum Sachverhalt zu machen, aus dem sie die behauptete Rechtsverletzung ableite,

4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt (§ 24 Abs. 2 Z 4 DSG), wobei die BF aufgefordert wird, nähere Angaben zu den Gründen zu machen, aus denen sie die behauptete Rechtsverletzung ableite,

5. das Begehren, die behauptete Rechtsverletzung festzustellen (§ 24 Abs. 2 Z 5 DSG), wobei die BF aufgefordert wird, anzugeben, für welche Rechtsverletzung(en) sie konkret eine Feststellung begehre,

6. die Angaben, die erforderlich sind, um beurteilen zu können, ob die Beschwerde rechtzeitig eingebracht worden ist (§ 24 Abs. 2 Z 6 iVm Abs. 4 DSG), wobei die BF aufgefordert wird, Angaben zum zeitlichen Ablauf zu machen, beispielweise wann sich eine behauptete Rechtsverletzung ereignet haben soll oder wann sie entsprechende Anträge (Auskunft, Löschung, Widerspruch, Berichtigung etc.) gestellt habe.

7. betreffend eine behauptete Verletzung im Recht auf Auskunft von Daten (Art. 15 DSGVO) / Berichtigung von Daten (Art. 16 DSGVO) / Löschung von Daten (Art. 17 DSGVO) / Einschränkung der Datenverarbeitung (Art. 18 DSGVO) / Datenübertragbarkeit (Art. 20 DSGVO) / Widerspruch (Art. 21 DSGVO): der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners (§ 24 Abs. 3 DSG), wobei die BF im Falle, dass sie bereits einen Antrag an den Verantwortlichen gestellt habe, werden ersucht werde, eine Kopie des Antrags zu übermitteln.

Für die Erfüllung dieses Mängelbehebungsauftrags wurde eine Frist von zwei Wochen ab Erhalt des Schreibens gesetzt und BF darauf hingewiesen, dass sie bei Nichtverbesserung der Datenschutzbeschwerde damit zu rechnen habe, dass diese gemäß § 13 Abs. 3 AVG zurückgewiesen werde.

4. Nach dem Austausch einiger E-Mails, welche die Verbesserung von Datenschutzbeschwerden der BF bezüglich anderer Sachverhalte betreffen, brachte die BF am 18.05.2025 bei der belangten Behörde ein E-Mail folgenden Inhalts ein

„Verbesserte Datenschutzbeschwerde

1. Bezeichnung des als verletzt erachteten Rechts (§ 24 Abs. 2 Z 1 DSG)

Ich erachte mein Grundrecht auf Geheimhaltung personenbezogener Daten gemäß § 1 DSG sowie Art. 8 EMRK als verletzt. Weiters liegt ein Verstoß gegen Art. 5 Abs. 1 lit. a, b und c DSGVO (Rechtmäßigkeit, Zweckbindung, Datenminimierung) sowie ein Verstoß gegen das Diskriminierungsverbot gemäß Art. 21 GRC vor.

2. Bezeichnung des Rechtsträgers (§ 24 Abs. 2 Z 2 DSG)

Beschwerdegegnerin:

Stadt XXXX – Amt für Jugend und Familie (Sozialamt)

Abteilung XXXX

XXXX gasse XXXX

sozialamt@ XXXX at

3. Sachverhalt (§ 24 Abs. 2 Z 3 DSG)

Im Jahr 2019 wurde in einem Verwaltungsakt der Stadt XXXX eine schwerwiegende und stigmatisierende Behauptung dokumentiert, wonach ich angeblich Taxigutscheine ‚missbräuchlich verwendet‘ hätte. Diese Formulierung wurde ohne jede rechtliche Grundlage, ohne Bescheid, ohne Ermittlungsverfahren und ohne Anhörung meiner Person in den Aktenbestand zur GZ XXXX aufgenommen und bis mindestens März 2025 aufrechterhalten.

Die gesetzlich vorgesehene Skartierungsfrist für nicht verfahrensrelevante Daten war zum Zeitpunkt der Weiterverwendung bereits abgelaufen. Dennoch wurde der Inhalt – nachweislich – weiterhin gespeichert, verwendet und nicht gelöscht. Es erfolgte keine inhaltliche Auseinandersetzung, sondern lediglich der Hinweis eines Mitarbeiters, dass es sich hierbei ‚in erster Linie um datenschutzrechtliche Fragen‘ handle und man mir keine Informationen zur Verfügung stellen müsse.

4. Gründe für die Rechtswidrigkeit (§ 24 Abs. 2 Z 4 DSG)

Die unzulässige Speicherung und Weiterverarbeitung stellt:

-einen Verstoß gegen das Recht auf Datenschutz (§ 1 DSG, Art. 8 EMRK) dar,

- eine rechtswidrige Datenverarbeitung ohne Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO),

- eine Missachtung der Dokumentations- und Skartierungspflichten öffentlicher Stellen,

-sowie eine mögliche Verletzung der Amtsverschwiegenheit gem. § 301 StGB.

Die Weiterverwendung der Aussage trotz fehlender Rechtsgrundlage und verstrichener Skartierungsfrist begründet den Verdacht einer strukturell abgesicherten, vorsätzlichen Rufschädigung mittels informellem Verwaltungsakt. Die damit verbundene psychische Belastung ist erheblich.

5. Begehren (§ 24 Abs. 2 Z 5 DSG)

Ich beantrage die Feststellung, dass durch die fortgesetzte Speicherung und Nutzung der reputationsschädigenden Behauptung eines ‚missbräuchlichen Verhaltens‘ in einem öffentlichen Akt durch das Sozialamt XXXX mein Recht auf Geheimhaltung gemäß § 1 DSG und Art. 8 EMRK verletzt wurde.

Ich behalte mir im Sinne des Art. 82 DSGVO ausdrücklich die Geltendmachung immateriellen Schadenersatzes vor. Die fortgesetzte Speicherung diffamierender Daten ohne Verfahren und Anhörung stellt einen tiefgreifenden Eingriff in mein Selbstbestimmungsrecht und meine persönliche Integrität dar.

Ich fordere zudem:

- die Offenlegung der Rechtsgrundlage der Speicherung,

- die Benennung der für Evidenzführung und Skartierung verantwortlichen Person,

- die Übermittlung der Systemprotokolle zu GZ XXXX ,

- sowie eine formelle Erklärung, weshalb diese reputationsschädigende Behauptung über Jahre aufrechterhalten wurde.

6. Rechtzeitigkeit (§ 24 Abs. 2 Z 6 iVm Abs. 4 DSG)

Erst durch wiederholte Akteneinsicht im Jahr 2025 wurde mir bewusst, dass die fragliche Feststellung über mehrere Jahre hinweg weitergeführt und verwendet wurde. Die Beschwerde erfolgt daher fristgerecht.

7. Antrag auf Löschung (§ 24 Abs. 3 DSG)

Ein ausdrückliches Löschungsbegehren wurde bisher nicht eingebracht, wird jedoch mit dieser Beschwerde verbunden. Ich fordere die vollständige Löschung der Textpassage über angeblich missbräuchlich verwendete Taxigutscheine aus allen relevanten Aktenbestandteilen.

8. Schadenersatz

Aufgrund der unzulässigen Speicherung und über Jahre aufrechterhaltenen Behauptung, ich hätte Taxigutscheine ‚missbräuchlich verwendet‘ – ohne jegliches Verfahren, Bescheid oder Anhörung – fordere ich hiermit einen immateriellen Schadenersatz in Höhe von EUR 7.000,00.

Diese Form der Rufschädigung, welche bis ins Jahr 2025 fortgeschrieben und trotz Skartierungsfrist nicht gelöscht wurde, hat zu einer massiven seelischen Belastung, sozialer Stigmatisierung und dem nachhaltigen Vertrauensverlust in die Verwaltung geführt.

Mit freundlichen Grüßen

XXXX

5. Mit E-Mail vom 19.05.2025, Zl. D124.1208/25, 2025-0.392.855, forderte die belangte Behörde die BF abermals auf, die Mängel in ihrer Datenschutzbeschwerde binnen zweier Wochen zu beheben, wobei nun folgende fehlende Elemente samt Erläuterung angeführt werden:

1. die Bezeichnung des Rechtsträgers bzw. Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner) (§ 24 Abs. 2 Z 2 DSG), wobei die BF aufgefordert wird, die Angaben zum Beschwerdegegner inklusive Kontaktdaten zu ergänzen und zu kontrollieren, ob zu der angegebenen Geschäftszahl die Eingaben konkret vorgenommen worden seien, zumal der belangten Behörde unterschiedliche Beschwerdegegner vorlägen,

2. der Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird (§ 24 Abs. 2 Z 3 DSG), wobei die BF aufgefordert wird, nähere Angaben zum Sachverhalt zu machen, aus dem die behauptete Rechtsverletzung ableiten und zu kontrollieren, ob zu der angegebenen Geschäftszahl die Eingaben konkret vorgenommen wurden,

3. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt (§ 24 Abs. 2 Z 4 DSG), wobei die BF aufgefordert wird, nähere Angaben zu den Gründen zu machen, aus denen sie die behauptete Rechtsverletzung ableite, und zu erläutern, warum es sich ihrer Ansicht nach um eine Verletzung des Datenschutzrechts handle,

4. das Begehren, die behauptete Rechtsverletzung festzustellen (§ 24 Abs. 2 Z 5 DSG), wobei die BF aufgefordert wird anzugeben, für welche Rechtsverletzung(en) sie konkret eine Feststellung begehre, wobei die BF belehrt wird, dass sie bei der belangten Behörde weder Schadenersatz noch eine sonstige Rechtsfolge begehren könne; ausschließlich die Feststellung einer Rechtsverletzung sei möglich.

Wiederum hielt die Behörde fest, dass die BF bei Nichtverbesserung der Datenschutzbeschwerde damit zu rechnen habe, dass diese gemäß § 13 Abs. 3 AVG zurückgewiesen werde.

6. Daraufhin brachte BF am 22.05.2025 ein E-Mail folgenden Inhalts bei der belangten Behörde ein:

„Verbesserte Datenschutzbeschwerde gemäß § 24 Abs. 2 DSG

Geschäftszahl: D124.1208/25

Beschwerdeführerin: XXXX

Datum: 22.05.2025

1. Beschwerdegegner (§ 24 Abs. 2 Z 2 DSG):

Magistrat der Stadt XXXX – Sozialamt

Abteilung XXXX

XXXX gasse XXXX

E-Mail: sozialamt@ XXXX .at

Vertreten durch: XXXX

2. Sachverhalt (§ 24 Abs. 2 Z 3 DSG):

Am 4. Oktober 2018 wurde mir durch Frau XXXX , Sachbearbeiterin im Sozialamt XXXX , ein Schreiben übermittelt, in dem mir eine missbräuchliche Verwendung von Taxi-Gutscheinen unterstellt und eine Rückzahlungssumme von EUR 530,00 gefordert wurde. Dieses Schreiben war hoheitlich verfasst, trug eine offizielle Geschäftszahl XXXX und ist mit meinem Namen und meiner Adresse personenbezogen eindeutig zuordenbar.

Im Zuge meiner Akteneinsicht im März 2025 wurde mir jedoch durch den Leiter der XXXX , schriftlich mitgeteilt, dass dieses Schriftstück nicht aktenrelevant sei und nicht mehr existiere, da es ‚skartiert‘ worden sei. Diese Behauptung steht im direkten Widerspruch zur objektiven Aktenlage, da sich ein anwaltliches Antwortschreiben vom 31.12.2018, das explizit auf genau dieses Schreiben Bezug nimmt, nachweislich im Akt befindet. Zu dieser Erkenntnis kam ich erst im März 2025, nach der Akteneinsicht. Die angebliche ‚Skartierung‘ erfolgte ohne Protokollierung und ohne Hinweis im Aktenlauf.

3. Rechtsgrundlagen der behaupteten Verletzung (§ 24 Abs. 2 Z 4 DSG):

Ich sehe folgende datenschutzrechtliche Grundsätze verletzt:

- Art. 5 Abs. 1 lit. a DSGVO (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz)

- Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung – keine willkürliche Entfernung hoheitlicher Dokumente)

- Art. 15 und 16 DSGVO (Recht auf Auskunft und Berichtigung – hier unmöglich gemacht)

-§ 16 AVG (Pflicht zur vollständigen Dokumentation aktenrelevanter Schriftstücke)

-Art. 18 B-VG (Legalitätsprinzip – keine willkürliche Verwaltung)

Die Entfernung eines inhaltlich belastenden Schreibens aus einem hoheitlichen Akt, ohne jede nachvollziehbare oder rechtlich dokumentierte Grundlage, stellt eine Verletzung meiner datenschutzrechtlichen Rechte dar – insbesondere, da die Aktenführung unvollständig und irreführend dokumentiert wurde.

4. Begehren (§ 24 Abs. 2 Z 5 DSG):

Ich beantrage die Feststellung, dass die Stadt XXXX / das Sozialamt durch:

- die nicht dokumentierte Skartierung eines personenbezogenen Schreibens mit belastendem Inhalt,

- die Verweigerung der Aktenaufnahme eines hoheitlichen Dokuments mit GZ: XXXX ,

- und die irreführende Auskunftserteilung durch XXXX

gegen datenschutzrechtliche Bestimmungen der DSGVO sowie gegen das AVG verstoßen hat.

Ich ersuche zudem um die Anforderung und Prüfung aller internen Skartierungsprotokolle, sowie um Offenlegung etwaiger behördeninterner Löschvorgänge und Verfahrensanordnungen zur GZ XXXX .

Mit freundlichen Grüßen

XXXX “

7. Mit Bescheid vom 23.05.2025, Zl. D124.1208/25, 2025-0.408.763, der BF per E-Mail zugestellt am 23.05.2025 um 10:59 Uhr, wies die belangte Behörde die Datenschutzbeschwerde der BF vom 02.05.2025 (unter Anführung von § 24 Abs. 1, Abs. 2 und Abs. 5 DSG und § 13 Abs. 3 AVG als Rechtsgrundlagen) zurück, wobei begründend im Wesentlichen Folgendes ausgeführt wird:

Zunächst wird (ohne Darstellung der verbesserten Datenschutzbeschwerden der BF) der Verfahrensgang skizziert und dabei festgehalten, dass die erteilten Mangelbehebungsaufträge innerhalb der gesetzten Frist nicht korrekt beantwortet worden seien; insbesondere habe die BF keinen datenschutzrechtlich relevanten Sachverhalt vorbringen können.

In rechtlicher Hinsicht wird ausgeführt, dass ein konkretes Vorbringen gemäß § 24 Abs. 2 DSG sowie ein konkretes Vorbringen gemäß § 24 Abs. 2 Z 5 DSG (das Begehren, die behauptete Rechtsverletzung festzustellen) fehle. Schließlich sei zu beachten, dass gemäß § 24 Abs. 3 DSG einer Beschwerde gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen sei; denn nur wenn der Behörde der vollständige Antrag der betroffenen Person vorliege, könne diese überprüfen, ob der Verantwortliche dem Antrag vollständig iSd Art. 12 Abs. 3 DSGVO entsprochen habe.

8. Am 23.05.2025 um 18.21 Uhr brachte die BF ein E-Mail mit folgendem Inhalt bei der belangten Behörde ein:

„Verbesserte Datenschutzbeschwerde gemäß § 24 Abs. 2 DSG

Geschäftszahl (vormals zurückgewiesen): D124.1208/25

Beschwerdeführerin: XXXX

Datum der Neufassung: 23.05.2025

1. Beschwerdegegner gemäß § 24 Abs. 2 Z 2 DSG

Magistrat der Stadt XXXX – Sozialamt

Abteilung XXXX

XXXX gasse XXXX

E-Mail: sozialamt@ XXXX .at

Vertreten durch: XXXX

2. Sachverhalt gemäß § 24 Abs. 2 Z 3 DSG

Am 4. Oktober 2018 wurde mir durch Frau XXXX ein behördliches Schreiben mit der GZ XXXX übermittelt, in dem mir eine missbräuchliche Verwendung von Taxi-Gutscheinen unterstellt und eine Forderung in Höhe von EUR 530,00 ausgesprochen wurde.

Im März 2025 stellte ich im Zuge einer Akteneinsicht fest, dass dieses Schreiben laut Auskunft von XXXX ‚nicht mehr existent‘ sei, da es angeblich ‚skartiert‘ worden sei. Tatsächlich befindet sich im Akt jedoch ein anwaltliches Schreiben vom 31.12.2018, das sich ausdrücklich auf das besagte Schreiben bezieht.

Das Schreiben vom Anwalt hätte ebenso entfernt werden müssen, existiert aber bis heute im Akt.

3. Rechtsverletzungen gemäß § 24 Abs. 2 Z 4 DSG

Ich sehe durch das Verhalten des Sozialamts und das Nichtentfernen eines Dokuments meine Rechte aus folgenden Bestimmungen verletzt:

- Art. 5 Abs. 1 lit. a DSGVO (Rechtmäßigkeit, Transparenz, Treu und Glauben)

- Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung)

4. Begehren gemäß § 24 Abs. 2 Z 5 DSG

Ich beantrage:

1. Die Feststellung, dass die Stadt XXXX / das Sozialamt durch:

- die nicht dokumentierte Skartierung eines personenbezogenen Schreibens,

- das Unterlassen der Entfernung des Anwaltsschreibens vom 31.12.2018

- sowie die irreführende Auskunftserteilung durch XXXX

gegen Bestimmungen der DSGVO, des DSG sowie des AVG verstoßen hat.

2. Die Anordnung der Nachholung von Dokumentationspflichten, sowie Löschung des Anwaltsschreibens bzw. Offenlegung aller internen Skartierungsprotokolle zur GZ XXXX .

5. Angaben zur Fristwahrung gemäß § 24 Abs. 2 Z 6 DSG

Die Beschwerde wird rechtzeitig eingebracht. Die entscheidende Information über die fehlende Aktenführung erlangte ich erst im Zuge der Akteneinsicht im März 2025.

6. Angehängte Dokumente gemäß § 24 Abs. 3 DSG

Antwort von XXXX (März 2025)

Kopie des Schreibens vom 31.12.2018 mit Verweis auf das gelöschte Dokument

Mit freundlichen Grüßen

XXXX

9. Daraufhin teilte die belangte Behörde der BF mit, dass die Verbesserung der Datenschutzbeschwerde nach deren Zurückweisung durch Bescheid nicht möglich sei und trug ihr auf, binnen einer Woche mitzuteilen, ob sie eine neue Datenschutzbeschwerde einreichen und die Bescheidbeschwerde zurückziehen oder aber ein kostenpflichtiges Bescheidbeschwerdeverfahren vor dem Bundesverwaltungsgericht führen wolle.

10. Mit E-Mail vom 25.05.2025 brachte die BF bei der belangten Behörde eine Bescheidbeschwerde gegen den unter Punkt 7. dargestellten Bescheid ein, in der zusammengefasst Folgendes ausgeführt wird:

Die belangte Behörde habe sich mit dem angefochtenen Bescheid vollständig von ihrem gesetzlichen Auftrag gemäß Art. 51 ff. DSGVO entfernt. Anstatt bei dokumentierten, schwerwiegenden Eingriffen tätig zu werden, erklärte sie den vorgelegten Sachverhalt pauschal als „nicht relevant“ und habe damit jede inhaltliche Auseinandersetzung vermieden. Dies stelle keine bloße Fehleinschätzung dar, sondern eine demonstrative Verweigerung effektiven Grundrechtsschutzes.

Die Behörde habe die Beschwerde zurückgewiesen, obwohl sämtliche Elemente gemäß § 24 Abs. 2 DSG in der fristgerechten Mangelbehebung enthalten gewesen seien. Es sei der Beschwerdegegner klar bezeichnet worden, der Sachverhalt detailliert dargelegt und ein konkretes Feststellungsbegehren formuliert worden. Dennoch sei die Eingabe als „unzureichend“ abqualifiziert worden, eine Vorgehensweise, die das Recht auf wirksamen Rechtsschutz nach Art. 47 GRC sowie Art. 77 DSGVO untergrabe.

Auch stelle der anlässlich telefonischer Rückfragen der BF gegebene Hinweis der zuständigen Sachbearbeiterin der belangten Behörde, die BF solle sich einen Rechtsanwalt nehmen, vor dem Hintergrund von deren Einkommenssituation eine implizite Abschreckung einkommensschwacher Personen vom Rechtsweg dar, der ua. das unionsrechtlich garantierte Prinzip des effektiven Zugangs zum Recht unabhängig von finanziellen Ressourcen verletze.

Abschließend wird beantragt,

1. an angefochtenen Bescheid zur Gänze aufzuheben,

2. festzustellen, dass die belangte Behörde durch ihr Verhalten gegen ihre unionsrechtlichen Pflichten aus Art. 57 und 58 DSGVO sowie gegen Art. 77 DSGVO verstoßen habe,

3. die belangte Behörde zu verpflichten, über die eingebrachte Datenschutzbeschwerde vom 02.05.2025 inhaltlich zu entscheiden sowie

4. der Behörde die Kosten des Verfahrens aufzuerlegen.

9. In der Folge legte die Behörde die Beschwerde samt den bezughabenden Verwaltungsunterlagen dem Bundesverwaltungsgericht zur Entscheidung vor und beantragte dabei, die Beschwerde abzuweisen. Weiters wies zu darauf hin, dass bei ihr die nach Erlassung des angefochtenen Bescheides von der BF eingebrachte „verbesserte“ Datenschutzbeschwerde, die den selben Fall betreffe wie die zurückgewiesene Datenschutzbeschwerde inhaltlich zur Zl. XXXX behandelt werde.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Der Beschwerde wird zum einen der unter Punkt I. dargestellte Sachverhalt zugrunde gelegt.

2. Beweiswürdigung:

Die Feststellungen basieren auf dem unstrittigen Inhalt des Verwaltungsaktes der belangten Behörde und der Beschwerde.

3. Rechtliche Beurteilung:

3.1.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gemäß § 27 DSG entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 DSG und wegen Verletzung der Entscheidungspflicht durch die Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und dem Kreis der Arbeitnehmer.

Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhaltes durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.1.2. Gemäß § 13 Abs. 3 AVG ermächtigen Mängel schriftlicher Anbringen die Behörde nicht zur Zurückweisung. Die Behörde hat vielmehr von Amts wegen unverzüglich deren Behebung zu veranlassen und kann dem Einschreiter die Behebung des Mangels innerhalb einer angemessenen Frist mit der Wirkung auftragen, dass das Anbringen nach fruchtlosem Ablauf dieser Frist zurückgewiesen wird. Wird der Mangel rechtzeitig behoben, so gilt das Anbringen als ursprünglich richtig eingebracht.

Gemäß § 24 Abs. 2 DSG hat die Beschwerde an die Datenschutzbehörde zu enthalten:

1. die Bezeichnung des als verletzt erachteten Rechts,

2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),

3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,

4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,

5. das Begehren, die behauptete Rechtsverletzung festzustellen und

6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

Gemäß § 24 Abs. 3 DSG sind einer Beschwerde gegebenenfalls der zu Grunde liegende Antrag und eine allfällige Antwort des Beschwerdegegners anzuschließen. Die Datenschutzbehörde hat im Falle einer Beschwerde auf Ersuchen der betroffenen Person weitere Unterstützung zu leisten.

Die Art. 57, 58 und 77 DSGVO lauten wie folgt:

„Artikel 57

(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

a) die Anwendung dieser Verordnung überwachen und durchsetzen;

b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;

c) im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;

d) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;

e) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit en Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;

f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;

g) mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;

h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;

i) maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;

j) Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen;

k) eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist;

l) Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten;

m) die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;

n) die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;

o) gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen;

p) die Anforderungen an die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und veröffentlichen;

q) die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen;

r) Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen;

s) verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;

t) Beiträge zur Tätigkeit des Ausschusses leisten;

u) interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und

v) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.

(2) Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(3) Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.

(4) Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.“

„Artikel 58

(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,

b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,

c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,

d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,

e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,

f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen ◄ und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.

(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,

c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,

f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,

g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,

h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.

(3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,

a) gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten,

b) zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,

c) die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird,

d) eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen,

e) Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,

f) im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,

g) Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen,

h) Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen,

i) Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen

j) verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen.

(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.

(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.

(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.“

„Art. 77

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“

3.1.3. Eine auf § 13 Abs. 3 AVG gestützte Zurückweisung kommt nur bei solchen schriftlichen Anbringen in Frage, die mit Mängeln behaftet sind, also von für die Partei erkennbaren Anforderungen des Materiengesetzes oder des AVG an ein vollständiges, fehlerfreies Anbringen abweichen (vgl. etwa VwGH vom 21.06.2021, Ra 2021/04/0011, mwN). Der in Betracht kommenden materiellen Verwaltungsvorschrift muss entnommen werden, was unter einem Mangel schriftlicher Eingaben iSd § 13 AVG zu verstehen ist.

§ 24 Abs. 2 und 3 DSG enthalten die zwingend vorgesehenen Minimalanforderungen an eine Beschwerde. Dadurch sollen im Rahmen der Durchführung des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie die Grundsätze des Verfahrens vor der Aufsichtsbehörde geregelt werden.

Die inhaltlichen Anforderungen an eine Beschwerde an die Datenschutzbehörde sind durch § 24 Abs. 2 DSG vorgegeben. Demnach muss eine solche Beschwerde unter anderem den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird, sowie die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt, enthalten. Eine nähere Spezifizierung dieser Angaben verlangt das Gesetz nicht (vgl. dazu VwGH 22.11.2022, Ra 2019/04/0003).

Vor dem Hintergrund des Ziels der Vorschrift des Art. 77 DSGVO, die Einreichung von Beschwerden zu erleichtern (siehe EG 141), sind allerdings nur geringe Anforderungen an die Darlegung des vermeintlichen Rechtsverstoßes zu stellen. So genügt eine Darstellung des Sachverhaltes in einem Umfang, der der Aufsichtsbehörde im Rahmen der gebotenen Amtsermittlung die erforderlichen Feststellungen ermöglicht. Erforderlich ist demnach, dass die betroffene Person die Behauptung hinsichtlich der Tatsachen substantiiert darlegt. Pauschale oder offenkundig fehlgehende Behauptungen ohne Tatsachengrundlagen genügen insofern nicht (vgl. Nemitz in Ehmann/Selmayr, Datenschutzgrundverordnung3 [2024] Art. 77, Rn 14; Bergt in Kühling/Buchner, Datenschutz-Grundverordnung, BDSG3 [2024] Art. 77, Rn10).

Um dem Erfordernis des § 24 Abs. 2 DSG gerecht zu werden, kann es mitunter („gegebenenfalls“) zwingend erforderlich sein, einer Beschwerde den zu Grunde liegenden Antrag und eine allfällige Antwort des Beschwerdegegners gemäß § 24 Abs. 3 DSG beizuschließen.

§ 24 Abs. 3 DSG, dessen Vorgaben ebenfalls ausdrücklich zum gesetzlich gebotenen Mindestinhalt einer Beschwerde zählen (vgl. Thiele Wagner, Praxiskommentar zum DSG, § 24 Rz 38) trägt dem Umstand Rechnung, dass die Geltendmachung des Beschwerderechts bei einer Aufsichtsbehörde nach Art. 77 DSGVO im Falle einer behaupteten Verletzung der in den Artikeln 15 bis 22 normierten Betroffenenrechte voraussetzt, dass die betroffene Person bereits einen entsprechenden Antrag an den Verantwortlichen gerichtet hat.

Dem die Modalitäten für die Ausübung der Rechte der betroffenen Personen regelnden Art. 12 DSGVO kann dazu in seinen Absätzen 3 und 4 entnommen werden, dass der Verantwortliche einem Antrag der betroffenen Person gemäß den Artikeln 15 bis 22 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu entsprechen hat (Abs. 3 1. Satz), andernfalls die betroffene Person die Möglichkeit einer Beschwerde bei der Aufsichtsbehörde hat (Abs. 4: „Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen [..]“).

In der Systematik des Art. 12 Abs. 3 und 4 DSGVO kommt damit zum Ausdruck, dass das in Art. 15 DSGVO normierte Betroffenenrecht jedenfalls (zunächst) im Wege eines Antrages an den Verantwortlichen und erst in einem weiteren Schritt, nämlich im Falle nicht dem Gesetz entsprechender Erfüllung, vor der Aufsichtsbehörde durchzusetzen ist.

3.2.1. Die belangte Behörde erachtete das Vorbringen der BF in der Datenschutzbeschwerde insofern als mangelhaft, als ein „konkretes Vorbringen gemäß § 24 Abs. 2 DSG“ und überdies „ein konkretes Vorbringen gemäß § 24 Abs. 2 Z 5 (das Begehren, die behauptete Rechtsverletzung festzustellen)“ fehle, und verwies zudem auf § 24 Abs. 3 DSG.

Dazu ist Folgendes festzuhalten:

Soweit die belangte Behörde auf ein fehlendes konkretes Vorbringen gemäß § 24 Abs. 2 DSG verweist (ohne einen spezifischen Tatbestand dieser Bestimmung zu nennen, dem nicht entsprochen worden sei), geht das Bundesverwaltungsgericht davon aus, dass sich die Behörde damit auf § 24 Abs. 2 Z 4 DSG (die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt) bezieht. Denn im Verfahrensgang des angefochtenen Bescheides wird festgehalten, die BF habe insbesondere keinen datenschutzrelevanten Sachverhalt vorbringen können, wobei die Behörde zuvor in ihrem unter Punkt I.5. dargestellten Sachverhalt in Hinblick auf diesen Tatbestand des § 24 Abs. 2 DSG die BF aufforderte, und zu erläutern, warum es sich ihrer Ansicht nach um eine Verletzung des Datenschutzrechts handle.

In einem Fall wie dem gegenständlichen, in dem die BF (mit Blick auf ihr unter Punkt I.5. dargestelltes E-Mail) hinreichend deutlich geltend macht, sie sei dadurch, dass ein sie betreffendes Dokument aus einem Verfahrensakt der Beschwerdegegnerin entfernt und skartiert worden sei, in ihren durch die DSGVO gewährten Rechten auf Auskunft und Berichtigung verletzt worden, kann nicht gesagt werden, dass es an ausreichenden Ausführungen zu den Gründen, auf die sich die Behauptung der Rechtswidrigkeit stützt, fehlen würde. Ebenso wenig kann vor dem Hintergrund der im genannten E-Mail angeführten Rechte nach der DSGVO in Zusammenhang mit dem expliziten Begehren auf Feststellung, dass die Beschwerdegegnerin durch konkret angeführte Handlungen gegen datenschutzrechtliche Bestimmungen verstoßen habe, angenommen werden, dass den Vorgaben des § 24 Abs. 5 DSGVO nicht entsprochen worden wäre.

Der belangten Behörde ist jedoch darin Recht zu geben, dass die Datenschutzbeschwerde der BF auch in der verbesserten Form den Anforderungen, die § 24 Abs. 3 DSGVO an Datenschutzbeschwerden stellt, nicht gerecht wird. Denn sie hat jene schriftliche Mitteilung der Beschwerdegegnerin, wonach jenes Schriftstück, in dem ihr eine missbräuchliche Verwendung von Taxi-Gutscheinen unterstellt und eine Rückzahlungssumme von EUR 530 beziffert worden sei, nicht aktenrelevant sei und bereits skartiert worden sei (sowie ihre dieser Mitteilung zugrundeliegende Anfrage) nicht der belangten Behörde vorgelegt. Festzuhalten ist dabei, dass es sich bei der oben unter Punkt I.1.1. dargestellten Anfrage der BF mit E-Mail vom 17.04.2025 betreffend einer nachtäglichen Erfassung des genannten Schriftstücks und dem unter Punkt I.1.2. angeführten Antwort-E-Mail vom 30.04 2025, wonach das betreffende Schriftstück nicht in die behördlichen Akten aufgenommen worden sei, da der Sachverhalt dem XXXX des Sozialamts zuzuordnen gewesen sei und für die hoheitlichen Verfahren keine Relevanz gehabt habe und die entsprechenden Unterlagen bereits skartiert worden seien, mit Blick auf den angegebenen Sachverhalt der mit E-Mail vom 22.05.2025 verbesserten Datenschutzbeschwerde nicht um den dieser zugrunde liegenden Antrag und Antwort iSd § 24 Abs. 3 DSG handeln kann.

Da die Behörde daher (anders als dies für die von ihr hinsichtlich § 24 Abs. 2 DSG angenommen Mängel zutrifft) zu Recht davon ausgegangen ist, dass auch die (mehrfach) verbesserte Datenschutzbeschwerde nicht den Anforderungen des § 24 Abs. 3 DSG gerecht wird und der BF die Zurückweisung der Datenschutzbeschwerde auch in Hinblick auf diese Bestimmung angekündigt worden war, erweist sich die auf § 13 Abs. 3 AVG gestützte Zurückweisung somit im Ergebnis als rechtmäßig. Die Bescheidbeschwerde war daher mit der entsprechenden Maßgabe abzuweisen.

3.2.2. Soweit in der Bescheidbeschwerde die Feststellung beantragt wird, dass die belangte Behörde durch ihr Verhalten gegen ihre unionsrechtlichen Pflichten aus Art. 57 und 58 DSGVO sowie gegen Art. 77 DSGVO verstoßen habe, ist ihr zum einen entgegenzuhalten, dass im Falle der Zurückweisung eines Antrags durch die Verwaltungsbehörde, Sache des Beschwerdeverfahrens vor dem Verwaltungsgericht lediglich die Frage der Rechtmäßigkeit der Zurückweisung ist (VwGH 18. 12. 2014, Ra 2014/07/0002, 0003). Zum anderen hat weder die BF vorgebracht noch sich sonst ergeben, dass § 24 Abs. 3 DSG nicht in Einklang mit den unionsrechtlichen Vorgaben stünde. Überdies kann mit Blick auf die Mitteilung der belangten Behörde, wonach die als neue Datenschutzbeschwerde gewertete E-Mail der BF vom inhaltlich behandelt wird, nicht davon ausgegangen werden, dass – wie von der BF vorgebracht – das Prinzip des effektiven Zugangs zum Recht unabhängig von finanziellen Ressourcen verletzt würde.

3.2.3. Wenn in der die Bescheidbeschwerde schließlich beantragt wird, der Behörde die Kosten des Verfahrens aufzuerlegen, ist darauf hinzuweisen, dass auch im Falle des Obsiegens kein solcher Anspruch bestünde:

Denn gemäß § 74 Abs. 1 AVG, welcher gemäß § 17 VwGVG im Verfahren vor dem Verwaltungsgericht sinngemäß anzuwenden ist, hat jeder Beteiligte die ihm im Verwaltungsverfahren erwachsenden Kosten selbst zu bestreiten. Gemäß § 74 Abs. 2 AVG bestimmen die Verwaltungsvorschriften inwiefern einem Beteiligten ein Kostenersatzanspruch gegen einen anderen Beteiligten zusteht.

Da weder nach dem DSG noch gemäß eine anderen im vorliegenden Fall anzuwendenden Verwaltungsvorschrift ein derartiger Anspruch der beschwerdeführenden Partei vorgesehen ist, hat die BF die ihr im Verfahren erwachsenden Kosten selbst zu bestreiten.

3.3.3. Von der Durchführung einer mündlichen Verhandlung konnte gemäß 24 Abs. 2 Z 1 VwGVG abgesehen werden.

Zur Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung sich auf die eine einheitliche Rechtsprechung bzw. eine eindeutige Rechtslage stützen kann.