2024-0.652.702 – Datenschutzbehörde Entscheidung

GZ: 2024-0.652.702 vom 12. September 2024 (Verfahrenszahl: DSB-D124.0585/22)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

Der Name bzw. die Firma der Beschwerdegegnerin und der nic.at GmbH ergeben sich aus den angewendeten Rechtsvorschriften sowie allgemein bekannten oder von den Betroffenen selbst veröffentlichten Tatsachen.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Ludwig A*** (Beschwerdeführer) vom 10. April 2022 gegen die CERT.at GmbH (Beschwerdegegnerin), vertreten durch M*** und H*** Rechtsanwält:innen GmbH, wegen Verletzung im Recht auf Geheimhaltung wie folgt:

- Die Beschwerde wird als unbegründet abgewiesen.

Rechtsgrundlagen: Art. 4 Z 1, Art. 6 Abs. 1 lit c, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF, §§ 2, 9, 14, 15 und 23 des Netz- und Informationssystemsicherheitsgesetz (NISG), BGBl. I Nr. 111/2018 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Der Beschwerdeführer brachte in seiner Beschwerde vom 10. April 2022 vor, dass aufgrund der Datenschutzgrundverordnung (DSGVO) bei der von der nic.at GmbH zur Verfügung gestellten Whois-Abfrage prinzipiell keine Daten von natürlichen Personen - egal, ob es sich um Domaininhaber oder um die technische Kontaktperson (Tech-C) einer Domain handle - veröffentlicht würden. Die Domain des Beschwerdeführers „e***-it***.at“ sei im Jahr 2002 auf eine „Privatperson“ (natürliche Person) registriert worden. Der Beschwerdeführer erachte sich dadurch in seinem Recht auf Geheimhaltung verletzt, weil die Beschwerdegegnerin CERT.at GmbH als Tochterunternehmen der nic.at GmbH auf personenbezogene Daten (Name, Adresse, Telefonnummer,…) des Beschwerdeführers und Domaininhabers von „e***-it***.at“ ohne dessen Genehmigung bzw ohne sein Wissen mittels Whois-Datenbank zugreife. Die "CERT.at GmbH" führe regelmäßige Scans von ".at"-Domänen durch, dies ohne Einwilligung des Domaininhabers. Laut "CERT.at GmbH"-Website gebe es die Möglichkeit, per E-Mail an "team@cert.at" ein "Opt-Out" zu beantragen. Der Beschwerdeführer habe auch vom Prokurist und Team-Lead "Dieter B***" eine E-Mail (10 März 2022, 12:29:56 Uhr) bekommen, in der bestätigt worden sei, dass die Domain „e***-it***.at“ von den Scans ausgenommen werde. Aber dies sei nicht der Fall, weil die Beschwerdegegnerin zuletzt am 07.April 2022 um 08:51:53 Uhr auf die Domain „e***-it***.at“ zugegriffen habe. Der Beschwerdeführer führte weiter aus, dass damit der Domaininhaber unter "Generalverdacht" gestellt und führte dazu wie folgt aus: „Generalverdacht ist Zugriff auf personenbezogene Daten, ohne Sachverhaltsdarstellung, konkreter Beweismittel, richterliche Anordnung oder polizeiliche Ermittlungen, Verstoß gegen die Unschuldsvermutung, keine geeignete Grundlage für polizeiliche Ermittlungen. In einem Rechtsstaat benötigen die Strafverfolgungsbehörden vielmehr einen hinreichend konkreten Tatverdacht hinsichtlich einer möglichen Tat.“

Der Beschwerde beigelegt war eine Datenschutzerklärung der nic.at GmbH, Information zu an die nic.at GmbH gerichteten Auskunftsbegehren, Informationen über die Zuständigkeit der Beschwerdegegnerin und eine Korrespondenz zwischen dem Beschwerdeführer und der Beschwerdegegnerin vom 10. März 2022.

2. Die anwaltlich vertretene Beschwerdegegnerinbrachte in ihrer Stellungnahme vom 28. April 2022 zusammengefasst vor, dass die nic.at GmbH die österreichische Registrierungsstelle zur Verwaltung von sämtlichen Internetdomains unter der Top-Level-Domain „.at“ sei. Die nic.at GmbH sei mittels Bescheid des Bundeskanzlers als Betreiberin wesentlicher Dienste iSd § 16 Netz- und Informationssicherheitsgesetz (NISG) festgestellt worden. Bei der CERT.at GmbH handle es sich um eine Tochtergesellschaft der nic.at GmbH. Die CERT.at GmbH erfülle die Funktion des (österreichischen) nationalen „Computer Emergency Response Teams (CERT)“ iSd § 15 Abs. 3 NISG. Diese Aufgabe sei ursprünglich der nic.at GmbH übertragen gewesen und sei im Rahmen einer gesellschaftsrechtlichen Spaltung zur Aufnahme auf die CERT.at GmbH übergegangen. Der Übergang der Tätigkeit als „CERT“ auf die CERT.at GmbH sei vom Bundeskanzleramt, der zuständigen NIS-Behörde, nach Durchführung der gesellschaftsrechtlichen Spaltung bestätigt worden. Die zentrale Aufgabe des CERT nach dem NISG sei die Sicherstellung der IT-Sicherheit im nationalen Umfeld, die auch die „.at“-Zone umfasse. Nach der gesetzlichen Regelung des § 14 Abs. 2 NISG würden dem CERT jedenfalls nachstehende Aufgaben zukommen:

- Entgegennahme von Meldungen über Risiken, Vorfälle oder Sicherheitsvorfälle gemäß §§ 19, 21 Abs. 2 und 23 Abs. 1 und 2;

- Weiterleitung von Meldungen (Z 1) an den Bundesminister für Inneres;

- Ausgabe von Frühwarnungen, Alarmmeldungen und Handlungsempfehlungen sowie Bekanntmachung und Verbreitung von Informationen über Risiken, Vorfälle oder Sicherheitsvorfälle;

- Erste allgemeine technische Unterstützung bei der Reaktion auf einen Sicherheitsvorfall;

- Beobachtung und Analyse von Risiken, Vorfällen oder Sicherheitsvorfällen sowie Lagebeurteilung;

- Teilnahme an den Koordinierungsstrukturen gemäß § 7 und Beteiligung am CSIRTs-Netzwerk.

CERT.at GmbH sei also das (österreichische) nationale Computer-Notfallteam, das im Jahr 2008 vom Bundeskanzleramt (BKA) in Kooperation mit nic.at als Projekt bei nic.at GmbH eingerichtet worden sei. Als solches sei CERT.at die Anlaufstelle für IT-Sicherheit in Österreich. Seit 2019 sei die CERT.at GmbH außerdem das nationale CERT nach dem NISG. Es bestehe eine intensive Zusammenarbeit u.a. mit dem Bundeskanzleramt, Betreibern wesentlicher Dienste, der kritischen Infrastruktur und relevanten staatlichen Einrichtungen. CERT.at GmbH vernetze andere CERTs (Computer Emergency Response Teams) und CSIRTs (Computer Security Incident Response Teams) aus den Bereichen der kritischen Infrastruktur und Informations- und Kommunikationstechnologie (IKT) und gebe Warnungen, Hinweise auf konkrete Probleme und Tipps für Unternehmen und Privatpersonen heraus. Bei Angriffen auf IKT auf nationaler Ebene koordiniere CERT.at GmbH die Reaktion auf den Vorfall und informiere die jeweiligen Netzbetreiber:innen und die zuständigen, lokalen Security Teams.

Das Team von CERT.at GmbH werde in erster Linie bei akuten Sicherheitsbedrohungen und - ereignissen aktiv. Damit sei CERT.at in seinem Tätigkeitsfeld mit einer gesamtösterreichischen “Internet-Feuerwehr” gleichzusetzen, die laufendes Monitoring betreibe, Informationen weitergebe, sich national und international vernetze und auf Bedrohungen reagiere. Letztlich sei CERT.at GmbH auch für vorbeugende Maßnahmen, wie Früherkennung, Vorbereitung für Notfälle, Öffentlichkeitsarbeit und Beratung zuständig. CERT.at GmbH verstehe sich als Kontaktpunkt für sicherheitsrelevante IKT-Ereignisse in Österreich und diene somit als vertrauenswürdige und anerkannte Informationsdrehscheibe.

Die nic.at GmbH als Betreiberin eines wesentlichen Dienstes habe zudem mit der Beschwerdegegnerin CERT.at GmbH einen Dienstleistungsvertrag abgeschlossen, mit welchem sich die CERT.at GmbH gegenüber der nic.at GmbH zur Erbringung von Dienstleistungen zur Sicherung der Internet-Infrastruktur in Österreich, insbesondere zu Leistungen zur Vermeidung von sicherheitskritischen Vorfällen in der „.at“-Zone, verpflichtet habe (vgl. § 14 Abs. 6 NISG).

Dabei würden die Domaininhaber aber nicht - wie vom Beschwerdeführer insinuiert - unter Generalverdacht gestellt, sondern sei das Ziel der Aktivitäten des CERT ausschließlich der gesetzlich vorgesehene Schutz der Internetnutzer:innen vor potentiellen Angriffen und Schadensfällen. Bei der Bewerkstelligung dieser Aufgaben werde die CERT.at GmbH von der nic.at GmbH unterstützt.

Die vom Beschwerdeführer beanstandete Verarbeitung beziehe sich auf die Unterstützung der Tätigkeit der CERT.at GmbH durch die nic.at GmbH bei dem Routinescan sämtlicher Domains mit der Endung „.at“ durch die Beschwerdegegnerin. Dieser Scan diene der Aufspürung zweier bestimmter, weit verbreiteter Sicherheitslücken und werde flächendeckend durchgeführt, um etwaige Sicherheitsrisiken frühzeitig zu erkennen und die Betroffenen auf die bestehende Gefahr hinzuweisen. Diese Tätigkeit entspreche der gesetzlichen und mittels Bescheid an die CERT.at GmbH übertragenen Aufgabe.

Zur leichteren technischen Umsetzung dieser gesetzlich, bescheidmäßig und auch vertraglich übertragenen Aufgaben der nic.at GmbH und der CERT.at GmbH werde der CERT.at GmbH von der nic.at GmbH eine Liste mit allen Domains mit der Endung „.at“ zur Verfügung gestellt. Die zur Verfügung gestellte Liste beinhalte ausschließlich Domainnamen und in keinem Fall die Identität etwaiger Domaininhaber. Die Nutzung der Liste ermögliche einen lückenlosen Scan der zugehörigen Webseiten und sei somit notwendig, um alle für die österreichische Zone („.at“) relevanten Sicherheitsrisiken aufzuspüren.

Vor dem eigentlichen Scan auf Schwachstellen werde erst die Start-Webseite zu den Domains abgerufen, um die Basisinformationen zur Existenz eines Webservers und präsentierten TLS-Zertifikats zu erhalten. Das sei, technisch betrachtet, allerdings kein „Durchwühlen“, sondern nichts anderes als ein schlichter Besuch auf der Website, also ein Aufruf der Startseite, die mit der jeweiligen Domain verknüpft sei. Aus Gründen der Transparenz hinterlasse die CERT.at GmbH bei jedem Besuch in den (automatisch vom Seitenbetreiber angelegten) Logfiles ein Signet, wodurch der Beschwerdeführer überhaupt erst Kenntnis vom Besuch erlangen habe können. Auf diese Zugriffe beziehe sich die Beschwerde.

Auch für den Fall, dass eine Sicherheitslücke entdeckt werde, komme es bei den Scans nicht zu einer Verarbeitung nicht öffentlicher Daten, wie der Identität des Domaininhabers, sondern idR lediglich zur Auslesung des Inhabers der betroffenen IP-Adresse aus öffentlich zugänglichen Registern und nachfolgender Information des Inhabers der IP-Adresse - der nicht mit dem Domaininhaber ident sein müsse, sondern zumeist ein Internet-Service-Provider sei - über die entdeckte Sicherheitslücke. Es seien im Rahmen der Aufrufe der Domain des Beschwerdeführers ausschließlich öffentlich zugängliche Webadressen im Interesse des Betroffenen besucht worden; eine sonstige Verarbeitung von Domain-bezogenen Daten, insbesondere von Inhaber- oder Inhaltsdaten habe nicht stattgefunden.

Die gegenständliche Datenverarbeitung (Weitergabe einer Liste aller Domains unter „.at“ durch die nic.at GmbH; Speicherung dieser Liste durch die CERT.at GmbH) erfolge auf Grundlage des NISG. Die CERT.at GmbH sei vom Bundeskanzleramt gemäß § 15 Abs. 3 NISG ermächtigt und per Bescheid beauftragt worden, als nationales CERT tätig zu werden und die entsprechende notwendige Datenverarbeitung vorzunehmen. Von der nic.at GmbH sei die CERT.at GmbH mit der Erfüllung gesetzlich vorgesehener Aufgaben beauftragt.

Die Verarbeitung im Zusammenhang mit der Tätigkeit als CERT sei gemäß Art 6 Abs. 1 lit c, e und f DSGVO gerechtfertigt, weil diese zur Erfüllung einer bescheidmäßig auferlegten Verpflichtung und zur Wahrnehmung einer Aufgabe, welche im öffentlichen Interesse liege, notwendig sei und der Wahrung der berechtigten Interessen sowohl der nic.at GmbH als auch der CERT.at GmbH diene. Eine Auftragsverarbeitervereinbarung zwischen nic.at GmbH und CERT.at GmbH sei dazu nicht abgeschlossen worden, da die Verarbeitung jeweils in der Rolle eines Verantwortlichen nach der DSGVO erfolge.

Die Weitergabe der Liste aller Domains unter „.at“ durch die nic.at GmbH an die CERT.at GmbH sei Ausfluss ihrer Aufgabe als Betreiberin wesentlicher Dienste gemäß § 16 NISG. Die Verarbeitung dieser Daten sei gesetzlich gemäß § 14 Abs. 1 und 7 NISG vorgesehen. Nach § 14 Abs. 7 NISG seien Computer-Notfallteams als datenschutzrechtliche Verantwortliche gemäß Art. 4 Z 7 DSGVO gesetzlich ausdrücklich ermächtigt, personenbezogene Daten gemäß § 9 Abs. 2 bis 4 NISG zu verarbeiten, soweit dies zur Erfüllung der Aufgaben gemäß § 14 Abs. 2 NISG erforderlich sei. Darüber hinaus sei die Weitergabe der Liste zur Wahrung der berechtigten Interessen sowohl der nic.at GmbH als auch der CERT.at GmbH erforderlich; überwiegende Interessen der Betroffenen (=Domaininhaber) stünden dem nicht entgegen. Die Verarbeitung der Liste durch die CERT.at GmbH sei letztlich zur Erfüllung der Aufgaben der CERT.at GmbH aus der gesetzlich vorgesehenen Dienstleistungsvereinbarung mit der nic.at GmbH, insbesondere aber ihrer bescheidmäßig übertragenen gesetzlichen Verpflichtungen als „CERT“ nach dem NISG notwendig und erforderlich.

Es würden ausschließlich öffentlich zugängliche URLs im Interesse aller Internetnutzer:innen, insbesondere auch im Interesse der Betreiber der gescannten Websites, verwendet werden. Die Interessenabwägung gemäß Art. 6 lit f DSGVO falle unzweifelhaft für die nic.at GmbH aus. Interessen des Beschwerdeführers am Schutz seiner Daten, als auch dessen Grundfreiheiten, stünden der Verwendung nicht entgegen, umso mehr, als lediglich die Domain an sich, nicht aber damit verknüpfte Inhaberdaten weitergegeben und verarbeitet worden seien. Die Webadressen können von jedermann aufgerufen werden, ein über den bloßen Aufruf hinausgehendes „Durchwühlen“ der Webseiten finde nicht statt. Das Hinterlassen eines Signets in den Logfiles der besuchten Seite diene der Transparenz und Information des Seitenbetreibers über den erfolgten Besuch.

Gemeinsam mit seiner Stellungnahme legte die Beschwerdegegnerin folgende Beilagen vor:

-Bescheid des Bundeskanzleramtes zur GZ BKA-188.007/0005-I/8/2019 vom 21. Jänner 2020, mit welchem die nic.at GmbH als Betreiberin wesentlicher Dienste gemäß § 16 NISG ermittelt wurde, Beilage ./1;

-Bescheid des Bundeskanzleramtes zur GZ BKA-188.007/0001-I/8/2019 vom 14. März 2019, mit welchem die Eignung der nic.at GmbH als nationales Computer-Notfallteam gemäß § 15 Abs. 3 NISG und § 14 Abs. 2 NISG festgestellt wurde, Beilage ./2;

- Vereinbarung über eine Auftragsverarbeitung nach Art. 28 DSGVO zwischen der nic.at GmbH und der Republik Österreich, vertreten durch das Bundeskanzleramt, vom 24. September 2000, mit dem die nic.at GmbH personenbezogene Daten im Auftrag und nach Weisung des Bundeskanzleramts auf Grundlage der „Vereinbarung über den Aufbau und den Betrieb eines Computer Emergency Response Teams (CERT) für Österreich“ verarbeitet, Beilage ./3;

- Beschluss des Firmenbuchgerichtes LG Salzburg zu 51 Fr 1944/21v-2 vom 15. September 2021, aus dem die Spaltung des Teilbetriebes „CERT.at“ der nic.at GmbH zwecks Aufnahme in die CERT.at GmbH hervorgeht, Beilage ./4;

-Bestätigung des Bundeskanzleramtes über den Übergang der Funktion des nationalen Computer-Notfallteams von der nic.at GmbH auf die Beschwerdegegnerin CERT.at GmbH gemäß § 15 Abs. 3 NISG vom 28. Jänner 2022 zur GZ 2022-0.068.104, Beilage ./5;

- Dienstleistungsvertrag zwischen der nic.at GmbH als Auftraggeber und der CERT.at GmbH als Auftragnehmerin betreffend die Sauberkeit der .at-Zone, Leistungen für ein sicheres Internet allgemein, Threat-Intel und Incident Response für die Infrastruktur der nic.at-Gruppe vom 22. Dezember 2021, Beilage ./6.

3. Der Beschwerdeführer erstattete trotz Übermittlung der Stellungnahme der Beschwerdegegnerin und seitens der Datenschutzbehörde eingeräumter Möglichkeit des Parteiengehörs mit Schreiben vom 2. September 2022 keine Stellungnahme mehr.

B. Beschwerdegegenstand

Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin den Beschwerdeführer im Recht auf Geheimhaltung verletzt hat,

- indem sie die von der nic.at GmbH übermittelte Domain „e***-it***.at“ gespeichert und auf diese zugegriffen hat und

- indem sie auf personenbezogene Daten (Name, Adresse, Telefonnummer, …) des Beschwerdeführers und Domaininhabers von „e***-it***.at“ ohne dessen Genehmigung bzw ohne sein Wissen mittels Whois-Datenbank zugegriffen hat.

C. Sachverhaltsfeststellungen

1. Der Beschwerdeführer ist Domaininhaber der Domain „e***-it***.at“.

Beweiswürdigung: Dies ergibt sich aus der gegenständlichen Beschwerde des Beschwerdeführers vom 10. April 2022 („Die Domain "e***-it***.at" wurde als "Privatperson" (natürlichen Personen) registriert (~2002)…“) und hier insbesondere aus der der Beschwerde beigelegten Korrespondenz zwischen dem Beschwerdeführer und der Beschwerdegegnerin (Dieter B***, Teamleiter CERT.at) vom 10. März 2022 („On Thu Mar 10 09:59:38 2022, la@e***-it***.at wrote: Sehr geehrte Damen und Herren! Bitte entfernen Sie die Domain: e***-it***.at von Ihren Scans.“).

2. Die Domain „e***-it***.at“ wurde ca 2002 auf den Beschwerdeführer als natürliche Person registriert. Das bedeutet, dass die nic.at GmbH jedenfalls den Vor- und Nachnamen des Beschwerdeführers sowie seine Kontaktdaten, nämlich postalische Anschrift und eine E-Mail-Adresse kennt.

Beweiswürdigung: Dies ergibt sich aus der gegenständlichen Beschwerde des Beschwerdeführers vom 10. April 2022 („Die Domain „e***-it***.at“ wurde als „Privatperson“ (natürliche Personen) registriert (~2002)“) sowie aus der vom Beschwerdeführer gemeinsam mit seiner Beschwerde übermittelten und der am 4. September 2024 amtswegig abgerufenen Datenschutzerklärung (siehe Punkt 1.2, https://www.nic.at/de/wissenswertes/rechtliche-hintergruende/datenschutzerklaerung) der nic.at GmbH.

3.a. Die nic.at GmbH ist die offizielle (österreichische) Registrierungsstelle für alle Domains mit der Top-Level-Domain „.at“ (sowie „.co.at“ und „.or.at“).

3.b. Die nic.at GmbH ist Betreiberin wesentlicher Dienste (nämlich als Betreiberin von autoritativen DNS-Servern gemäß § 10 Abs. 1 Z 2 lit. b der Netz- und Informationssystemsicherheitsverordnung (NISV) sowie als Betreiberin eines TLD-Name-Registry gemäß § 10 Abs. 1 Z 2 lit. c NISV) iSd § 16 NISG.

Beweiswürdigung:Dies ergibt sich aus der Stellungnahme der Beschwerdegegnerin vom 28. April 2022 sowie aus der Beilage ./1, dem Bescheid des Bundeskanzleramtes zur GZ BKA-188.007/0005-I/8/2019 vom 21. Jänner 2020, mit welchem die nic.at GmbH als Betreiberin wesentlicher Dienste (nämlich als Betreiberin von autoritativen DNS-Servern gemäß § 10 Abs. 1 Z 2 lit. b der Netz- und Informationssystemsicherheitsverordnung (NISV) sowie als Betreiberin einesTLD-Name-Registry gemäß § 10 Abs. 1 Z 2 lit. c NISV) gemäß § 16 NISG ermittelt wurde.

4. Die nic.at GmbH betreibt die Website „www.nic.at“, über die - wie unten ersichtlich - Domains abgefragt werden können (siehe weißes Kästchen unter Schriftzug „Wunschdomain noch frei?“, in dem die Domain eingegeben werden kann und rotes Kästchen „Domain abfragen“ darunter) bzw. abgefragt werden kann, ob eine beliebige Domain noch frei ist („Wunschdomain noch frei?“).

Beweiswürdigung: Dies ergibt sich aus der amtswegigen Abfrage der Website „www.nic.at“ am 4. September 2024.

5. Die Abfrage der Domain „e***-it***.at“ des Beschwerdeführers auf der Website „www.nic.at“ führt - wie unten ersichtlich - zum Ergebnis, dass die Domain „e***-it***.at“ schon vergeben ist.

[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebenen 2 Screenshots in einem grafischen Format wurden aus Pseudonymisierungsgründen entfernt. Sie zeigen das angegebene Abfrageergebnis.]

Beweiswürdigung: Dies ergibt sich aus der amtswegigen Abfrage der Domain „e***-it***.at“ auf der Website „www.nic.at“ am 4. September 2024 (siehe „Die Domain e***-it***.at ist leider schon vergeben.“).

6. Die nic.at GmbH bietet auch eine Whois-Abfrage auf ihrer Website „www.nic.at“ an.

Beweiswürdigung: Dies ergibt sich aus der amtswegigen Abfrage der Website https://www.nic.at/de/meine-at-domain/domain-suche/whois#result am 4. September 2024.

7. Das Whois ist ein öffentliches Verzeichnis registrierter .at-Domains, das früher alle Inhaber- und deren Kontakt-Daten zu sämtlichen .at-Domains angezeigt hat. Durch die Anwendbarkeit der DSGVO wurden die Abfragemöglichkeiten wie folgt eingeschränkt:

Die Inhaber-Daten juristischer Personen werden weiterhin im Whois veröffentlicht.

Die Inhaber-Daten natürlicher Personen werden grundsätzlich nicht mehr im Whois veröffentlicht. Inhaber-Daten natürlicher Personen scheinen nur noch auf Grund ihres ausdrücklichen Wunsches hin im Whois auf. Eine Bekanntgabe dieser Inhaber-Daten im Einzelfall erfolgt ausschließlich aufgrund eines konkreten Auskunftsbegehren eines Dritten, der ein berechtigtes Interesse nachweisen muss.

Beweiswürdigung: Dies ergibt sich aus der vom Beschwerdeführer gemeinsam mit seiner Beschwerde übermittelten und der am 4. September 2024 amtswegig abgerufenen Datenschutzerklärung (siehe Punkt 1.9, Whois https://www.nic.at/de/wissenswertes/rechtliche-hintergruende/datenschutzerklaerung) der nic.at GmbH.

8.a. Die von der nic.at GmbH angebotene Whois-Abfrage der Domain „e***-it***.at“ führt - wie unten ersichtlich - zum Ergebnis, dass Registrar der Domain „e***-it***.at“ die „l*** GmbH“ ist.

8.b. Der Registrant und Domaininhaber der Domain „e***-it***.at“ wird - wie unten ersichtlich - hingegen nicht im Rahmen der Whois-Abfrage veröffentlicht (siehe „data not disclosed“). Auch die technische Kontaktperson (tech-c) der Domain „e***-it***.at“ wird - wie unten ersichtlich - im Rahmen der Whois-Abfrage nicht veröffentlicht (siehe ebenfalls „data not disclosed“).

[Anmerkung Bearbeiter/in: Zwei an dieser Stelle im Original wiedergegebene Screenshots in einem grafischen Format wurden aus Pseudonymisierungsgründen entfernt. Sie zeigen das angegebene Abfrageergebnis.]

Beweiswürdigung: Die Feststellungen zum Registrar, zum Registrant und dass es sich bei dem Registrant um den Domain-Inhaber handelt, ergeben sich aus der amtswegigen Abfrage der von der nic.at GmbH angebotenen Whois-Abfrage der Domain „e***-it***.at“ auf der Website „www.nic.at“ am 4. September 2024.

9. Die Funktion des nationalen Computer-Notfallteams gemäß § 15 Abs. 3 NISG und § 14 Abs. 2 NISG war ursprünglich der nic.at GmbH übertragen.

Beweiswürdigung : Dies ergibt sich aus der Stellungnahme der Beschwerdegegnerinvom 28. April 2022 sowie aus der gleichzeitig damit vorgelegten Beilage ./2, dem Bescheid des Bundeskanzleramtes zur GZ BKA-188.007/0001-I/8/2019 vom 14. März 2019, mit welchem die Eignung der nic.at GmbH als nationales Computer-Notfallteam gemäß § 15 Abs. 3 NISG und § 14 Abs. 2 NISG festgestellt wurde sowie aus der ebenfalls vorgelegten Beilage ./3, einer Vereinbarung über eine Auftragsverarbeitung nach Art. 28 DSGVO zwischen der nic.at GmbH und der Republik Österreich, vertreten durch das Bundeskanzleramt, vom 24. September 2000, mit dem die nic.at GmbH personenbezogene Daten im Auftrag und nach Weisung des Bundeskanzleramts auf Grundlage der „Vereinbarung über den Aufbau und den Betrieb eines Computer Emergency Response Teams (CERT) für Österreich“ verarbeitet.

10. Die Funktion des nationalen Computer-Notfallteams gemäß § 15 Abs. 3 NISG und § 14 Abs. 2 NISG ist im Rahmen einer gesellschaftsrechtlichen Spaltung zur Aufnahme von der nic.at GmbH auf die Beschwerdegegnerin CERT.at GmbH übergegangen.

Beweiswürdigung : Dies ergibt sich aus der von der Beschwerdegegnerin gemeinsam mit ihrer Stellungnahme vom 28. April 2022 vorgelegten Beilage ./4, einem Beschluss des Firmenbuchgerichtes LG Salzburg zu 51 Fr 1944/21v-2 vom 15. September 2021, aus dem die Spaltung des Teilbetriebes „CERT.at“ der nic.at GmbH zwecks Aufnahme in die CERT.at GmbH hervorgeht sowie aus Beilage ./5, einer Bestätigung des Bundeskanzleramtes über den Übergang der Funktion des nationalen Computer-Notfallteams von der nic.at GmbH auf die CERT.at GmbH gemäß § 15 Abs. 3 NISG vom 28. Jänner 2022 zur GZ 2022-0.068.104, Beilage ./5.

11. Die Beschwerdegegnerin CERT.at GmbH ist eine 100-prozentige Tochtergesellschaft der nic.at GmbH.

Beweiswürdigung : Dies ergibt sich aus der Stellungnahme der Beschwerdegegnerin vom 28. April 2022 sowie aus einer amtswegigen Abfrage des Firmenbuchs am 30. August 2024 zur CERT.at GmbH mit der FN 561772k.

12. Die nic.at GmbH als Betreiberin eines wesentlichen Dienstes hat zudem mit der CERT.at GmbH einen Dienstleistungsvertrag gemäß § 14 Abs. 6 NISG abgeschlossen, mit welchem sich die CERT.at GmbH gegenüber der nic.at GmbH zur Erbringung von Dienstleistungen zur Sicherung der Internet-Infrastruktur in Österreich, insbesondere zu Leistungen zur Vermeidung von sicherheitskritischen Vorfällen in der „.at“-Zone, verpflichtet hat.

Beweiswürdigung : Dies ergibt sich auch aus der mit der gegenständlichen Beschwerde vorgelegten Beilage ./6., einem Dienstleistungsvertrag zwischen der nic.at GmbH als Auftraggeber und der CERT.at GmbH als Auftragnehmerin betreffend die Sauberkeit der .at-Zone, Leistungen für ein sicheres Internet allgemein, Threat-Intel und Incident Response für die Infrastruktur der nic.at-Gruppe vom 22. Dezember 2021.

13. In der Datenschutzerklärung der nic.at GmbH findet sich folgende Information:

„1.5 Unsere Datenempfänger

(…)

Zur Erfüllung ihrer gesetzlichen und vertraglichen Aufgaben gewährt nic.at ihrem Tochterunternehmen CERT.at GmbH ebenfalls Zugriff auf die Whois-Datenbank. CERT.at ist ua. das österreichische nationale CERT (Computer Emergency Response Team), welches Ansprechpartner für IT-Sicherheit ist (…).“

Beweiswürdigung : Dies ergibt sich aus der vom Beschwerdeführer gemeinsam mit seiner Beschwerde übermittelten und seitens der Datenschutzbehörde am 4. September 2024 amtswegig abgerufenen Datenschutzerklärung (siehe https://www.nic.at/de/wissenswertes/rechtliche-hintergruende/datenschutzerklaerung ).

14. Die nic.at GmbH hat die Domain „e***-it***.at“ zwecks Routinescan an die Beschwerdegegnerin CERT.at GmbH übermittelt. Die nic.at GmbH hat jedoch weder den Namen, noch die Adresse, noch die Telefonnummer oder andere personenbezogene Daten des Beschwerdeführers an die CERT.at GmbH übermittelt.

Beweiswürdigung : Dies ergibt sich aus der Stellungnahme der Beschwerdegegnerin vom 28. April 2022 (siehe dazu Seite 5: „ Es wurden im Rahmen der Aufrufe der Domain des Beschwerdeführers ausschließlich öffentlich zugängliche Webadressen im Interesse des Betroffenen besucht; eine sonstige Verarbeitung von Domain-bezogenen Daten, insbesondere von Inhaber- oder Inhaltsdaten fand nicht statt “ und „Die gegenständliche Datenverarbeitung (Weitergabe einer Liste aller Domains unter „.at“ durch die nic.at GmbH; Speicherung dieser Liste durch die CERT.at GmbH ) erfolgt auf Grundlage des Netz- und Informationssystemsicherheitsgesetz (NISG)“; siehe dazu Seite 6: „ Die Weitergabe der Liste aller Domains unter „.at“ durch die nic.at GmbH an die CERT.at GmbHist Ausfluss ihrer Aufgabe als Betreiberin wesentlicher Dienste gem. § 16 NISG.“, ). Trotz Aufforderung der Datenschutzbehörde mit Schreiben vom 2. September 2022, dazu eine Stellungnahme im Parteiengehör abzugeben, ließ der Beschwerdeführer die Stellungnahme der Beschwerdegegnerin unwidersprochen.

15. Der Beschwerdeführer hat die Beschwerdegegnerin am 10. März 2022 ersucht, die Domain „e***-it***.at“ nicht mehr zu scannen. Die Beschwerdegegnerin hat am 10. März 2022 zugesagt, die Domain „e***-it***.at“ zukünftig nicht mehr zu scannen.

Beweiswürdigung : Dies ergibt sich aus der gegenständlichen Beschwerde des Beschwerdeführers vom 10. April 2022 und hier insbesondere aus der der Beschwerde beigelegten Korrespondenz zwischen dem Beschwerdeführer und der Beschwerdegegnerin (Dieter B***, Teamleiter CERT.at) vom 10. März 2022, wobei der Beschwerdeführer schrieb: „Sehr geehrte Damen und Herren! Bitte entfernen Sie die Domain: e***-it***.at von Ihren Scans“ und die Beschwerdegegnerin antwortete: „Sehr geehrter Herr A***, vielen Dank für Ihr Feedback. Wir nehmen Ihre Domain aus unseren Scans heraus (…)“.

16.a. Die CERT.at GmbH hat die Domain „e***-it***.at“ des Beschwerdeführers jedenfalls kurzfristig gespeichert und am 7. April 2022 um 08:51:53 Uhr gescannt. „Gescannt“ bedeutet, dass die CERT.at GmbH auf die Website „e***-it***.at“ zugegriffen und auf Sicherheitslücken hin überprüft hat.

16.b. Die Beschwerdegegnerin hat jedoch weder den Namen, noch die Adresse, noch die Telefonnummer oder andere personenbezogene Daten des Beschwerdeführers verarbeitet.

Beweiswürdigung : Die Feststellung zu 16.a., dass die Beschwerdegegnerin die Domain „e***-it***.at“ jedenfalls kurzfristig gespeichert hat, ergibt sich aus der Stellungnahme der Beschwerdegegnerin vom 28. April 2022 (siehe dazu Seite 5: „Die gegenständliche Datenverarbeitung (Weitergabe einer Liste aller Domains unter „.at“ durch die nic.at GmbH; Speicherung dieser Liste durch die CERT.at GmbH ) erfolgt auf Grundlage des Netz- und Informationssystemsicherheitsgesetz (NISG)“). Die Feststellung zu 16.a., dass die Beschwerdegegnerin die Domain „e***-it***.at“ gescannt hat, ergibt sich ebenfalls aus der Stellungnahme der Beschwerdegegnerin vom 28. April 2022. Dass die CERT.at GmbH generell .at-Domains scannt, ergibt sich auch aus der mit der gegenständlichen Beschwerde vorgelegten Beilage ./6., einem Dienstleistungsvertrag zwischen der nic.at GmbH als Auftraggeber und der CERT.at GmbH als Auftragnehmerin betreffend die Sauberkeit der .at-Zone, Leistungen für ein sicheres Internet allgemein, Threat-Intel und Incident Response für die Infrastruktur der nic.at-Gruppe vom 22. Dezember 2021. Die Feststellung zu 16.b. ergibt sich aus der Stellungnahme der Beschwerdegegnerin vom 28. April 2022 (siehe dazu Seite 4: „ Die zur Verfügung gestellte Liste beinhaltet ausschließlich Domainnamen und in keinem Fall die Identität etwaiger Domaininhaber“ und Seite 5: „ Es wurden im Rahmen der Aufrufe der Domain des Beschwerdeführers ausschließlich öffentlich zugängliche Webadressen im Interesse des Betroffenen besucht; eine sonstige Verarbeitung von Domain-bezogenen Daten, insbesondere von Inhaber- oder Inhaltsdaten fand nicht statt “).

D. In rechtlicher Hinsicht folgt daraus:

D.1. Rechtsgrundlagen

D.1.1. Zum Recht auf Geheimhaltung

Im vorliegenden Fall erachtet sich der Beschwerdeführer im Recht auf Geheimhaltung als verletzt.

Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten , soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

D.1.2. Die Gesetzesbestimmungen des Netz- und Informationssystemsicherheitsgesetz (NISG) idF BGBl. I Nr. 111/2018 lauten - sofern relevant, hier wiedergegeben - wie folgt (Unterstreichungen durch die Datenschutzbehörde):

§ 2. Gegenstand und Ziel des Gesetzes

Mit diesem Bundesgesetz werden Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen von Betreibern wesentlicher Dienste in den Sektoren

1. Energie,

2. Verkehr,

3. Bankwesen,

4. Finanzmarktinfrastrukturen,

5. Gesundheitswesen,

6. Trinkwasserversorgung und

7. Digitale Infrastruktur

sowie von Anbietern digitaler Dienste sowie Einrichtungen der öffentlichen Verwaltung erreicht werden soll.

§ 9. Datenverarbeitung

(1) Der Bundeskanzler, der Bundesminister für Inneres, der Bundesminister für Landesverteidigung, der Bundesminister für Europa, Integration und Äußeres und die Computer-Notfallteams gemäß § 14 Abs. 1 sind berechtigt zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen bei der Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz und zum Schutz vor und der Abwehr von Gefahren für die öffentliche Sicherheit die erforderlichen personenbezogenen Daten im Sinne des Art. 4 Z 2 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ( Datenschutz-Grundverordnung) (im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 314 vom 22.11.2016 S. 72, und § 36 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I Nr. 165/1999, zu verarbeiten und einander sowie den Mitgliedern der OpKoord zu übermitteln.

(2) Dies sind folgende personenbezogene Daten:

1. von Teilnehmern und ihren Organisationseinheiten, die zur Ermöglichung und im Zuge der Teilnahme an den Koordinierungsstrukturen zu organisatorischen Zwecken erforderlich sind;

2. von Personen, die in Zusammenhang mit Risiken, Vorfällen und Sicherheitsvorfällen stehen , zwecks Erörterung und Aktualisierung des vom Bundesminister für Inneres erstellten Lagebildes, zur Erörterung der Erkenntnisse, die gemäß § 13 Abs. 1 und 2 gewonnen wurden, und zur Unterstützung des Koordinationsausschusses erforderlich sind;

3. von Personen, die an einem Geschäftsfall mitwirken oder davon betroffen sind .

(3) Der Bundeskanzler, der Bundesminister für Inneres und der Bundesminister für Landesverteidigung sind zum Zweck der Analyse und Bewältigung von Risiken, Vorfällen und Sicherheitsvorfällen berechtigt, über die in Abs. 2 genannten Daten hinaus folgende personenbezogene Daten zu verarbeiten und einander zu übermitteln:

1. Kontakt- und Identitätsdaten sowie technische Daten des Einmelders und der Kontaktperson;

2. Kontakt- und Identitätsdaten sowie technische Daten von Personen, die mit einer Meldung zu einem Risiko, Vorfall oder Sicherheitsvorfall in Zusammenhang stehen, wie insbesondere Opfer und Angreifer .

(4) Der Bundeskanzler und der Bundesminister für Inneres sind zur Erfüllung ihrer Aufgaben nach §§ 4 und 5 berechtigt, über die in Abs. 2 und 3 genannten Daten hinaus folgende personenbezogenen Daten zu verarbeiten und einander zu übermitteln:

1. Kontakt- und Identitätsdaten sowie technische Daten von Betreibern wesentlicher Dienste, Anbietern digitaler Dienste, Einrichtungen der öffentlichen Verwaltung, die von der Möglichkeit gemäß § 22 Abs. 5 Gebrauch gemacht haben, Computer-Notfallteams sowie von zuständigen Behörden anderer Mitgliedstaaten;

2. Kontakt- und Identitätsdaten sowie technische Daten von Personen, die mit einer Meldung zu einem Risiko, Vorfall oder Sicherheitsvorfall in Zusammenhang stehen, wie insbesondere Opfer und Angreifer ;

3. Kontakt- und Identitätsdaten von Teilnehmern und ihren Organisationseinheiten, die zur Ermöglichung und im Zuge der Teilnahme an EU-weiten, internationalen und nationalen Gremien für die Sicherheit von Netz- und Informationssystemen erforderlich sind;

(…)

§ 14. Aufgaben und Zweck der Computer-Notfallteams

(1) Zur Gewährleistung der Sicherheit von Netz- und Informationssystemen werden Computer-Notfallteams eingerichtet. Zu diesem Zweck unterstützen das nationale Computer-Notfallteam und sektorenspezifische Computer-Notfallteams Betreiber wesentlicher Dienste und Anbieter digitaler Dienste sowie das Computer-Notfallteam der öffentlichen Verwaltung (GovCERT) die Einrichtungen der öffentlichen Verwaltung bei der Bewältigung von Risiken, Vorfällen und Sicherheitsvorfällen.

(2) Computer-Notfallteams gemäß Abs. 1 kommen jedenfalls folgende Aufgaben zu:

1. Entgegennahme von Meldungen über Risiken, Vorfälle oder Sicherheitsvorfälle gemäß §§ 19, 21 Abs. 2 und 23 Abs. 1 und 2;

2. Weiterleitung von Meldungen (Z 1) an den Bundesminister für Inneres;

3. Ausgabe von Frühwarnungen, Alarmmeldungen und Handlungsempfehlungen sowie Bekanntmachung und Verbreitung von Informationen über Risiken, Vorfälle oder Sicherheitsvorfälle;

4. Erste allgemeine technische Unterstützung bei der Reaktion auf einen Sicherheitsvorfall;

5. Beobachtung und Analyse von Risiken, Vorfällen oder Sicherheitsvorfällen sowie Lagebeurteilung;

6. Teilnahme an den Koordinierungsstrukturen gemäß § 7 und Beteiligung am CSIRTs-Netzwerk.

(…)

(6) Computer-Notfallteams können die Aufgaben gemäß Abs. 2 Z 3 bis 5 auch gegenüber sonstigen Einrichtungen oder Personen wahrnehmen, sofern diese von einem Risiko oder einem Vorfall ihrer Netz- und Informationssysteme betroffen sind.

(7) Computer-Notfallteams sind als datenschutzrechtliche Verantwortliche gemäß Art. 4 Z 7 DSGVO ermächtigt, personenbezogene Daten gemäß § 9 Abs. 2 bis 4 zu verarbeiten, soweit dies zur Erfüllung der Aufgaben gemäß Abs. 2 erforderlich ist.

(…)

§15. Anforderungen und Eignung eines Computer-Notfallteams

(…)

(3) Der Bundeskanzler hat im Einvernehmen mit dem Bundesminister für Inneres festzustellen, dass das nationale Computer-Notfallteam sowie über Antrag ein sektorenspezifisches Computer-Notfallteam die Anforderungen gemäß Abs. 1 erfüllt und geeignet ist, die Aufgaben gemäß § 14 Abs. 2 wahrzunehmen. Sofern es sich bei einem Computer-Notfallteam um eine private Einrichtung handelt, ist diese vom Bundeskanzler im Einvernehmen mit dem Bundesminister für Inneres zur Erfüllung der Aufgaben gemäß § 14 Abs. 2 Z 1 und 2 zu ermächtigen. Computer-Notfallteams haben Veränderungen hinsichtlich jener Umstände, die Voraussetzung für die Feststellung der Eignung oder die Erteilung der Ermächtigung waren, unverzüglich dem Bundeskanzler anzuzeigen. Die Ermächtigung ist ganz oder nur hinsichtlich der Erfüllung einzelner Aufgaben zu widerrufen, wenn eine für die Erteilung der Ermächtigung erforderliche Voraussetzung nicht mehr gegeben ist.

(…)

§ 23. Freiwillige Meldungen

(1) Risiken und Vorfälle können von Betreibern wesentlicher Dienste oder Anbietern digitaler Dienste an das für sie auch im Falle einer Meldepflicht zuständige Computer-Notfallteam gemeldet werden, das die Meldungen zusammengefasst an den Bundesminister für Inneres weiterleitet.

(…)

(4) Die freiwillige Meldung muss weder die Identität der Einrichtung noch Informationen, die auf diese schließen lassen, enthalten. § 19 Abs. 3 gilt sinngemäß.

(5) Um einen Beitrag zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen zu leisten, kann die freiwillig meldende Einrichtung gemäß Abs. 1 und 2 personenbezogene Daten gemäß § 9 Abs. 3 Z 2 an das zuständige Computer-Notfallteam übermitteln.

D.2. Speicherung und Zugriff auf die Domain „e***-it***.at“ durch die Beschwerdegegnerin

Wie unter C.16.a. festgestellt, hat die Beschwerdegegnerin die Domain „e***-it***.at“ jedenfalls kurzfristig gespeichert und auf diese zugegriffen.

Nun ist in diesem Zusammenhang festzuhalten, dass der Anwendungsbereich des Datenschutzrechts (DSGVO und DSG) eröffnet ist, wenn es sich um die Verarbeitung personenbezogener Daten iSd Art. 4 Z 1 DSGVO handelt. Die Domain „e***-it***.at“ enthält keine personenbezogenen Daten des Beschwerdeführers wie etwa seinen Namen. Da von der bloßen Domain „e***-it***.at“ keine Rückführbarkeit auf den Beschwerdeführer gegeben ist, stellt die Domain „e***-it***.at“ als solche kein personenbezogenes Datum iSd Art. 4 Z 1 DSGVO dar.

Wie unter C.16.b. festgestellt, hat die Beschwerdegegnerin weder den Namen, noch die Adresse, noch die Telefonnummer oder andere personenbezogene Daten des Beschwerdeführers verarbeitet. Somit lag insgesamt keine Verarbeitung personenbezogener Daten des Beschwerdeführers vor. Der Anwendungsbereich des Datenschutzrechts ist daher nicht eröffnet. Die Beschwerde war daher bereits aus diesem Grund abzuweisen.

D.3. Der Zugriff der Beschwerdegegnerin CERT.at GmbH auf personenbezogene Daten des Beschwerdeführers mittels Whois-Abfrage der nic.at GmbH

Der Beschwerdeführer erachtet sich zudem in seinem Recht auf Geheimhaltung als verletzt, weil die nic.at GmbH der CERT.at GmbH laut ihrer eigenen Datenschutzerklärung (siehe dazu Punkt C.12.) Zugriff auf die von nic.at GmbH betriebene Whois-Datenbank gewähre. Der Beschwerdeführer sei jedoch über diese Zugriffsrechte der CERT.at GmbH nicht informiert worden.

Wenngleich die nic.at GmbH - wie unter C.7. festgestellt - prinzipiell keine personenbezogenen Daten von Domain-Inhabern veröffentlicht (es sei denn, dies wird von Domain-Inhabern ausdrücklich gewünscht), wurde die Domain „e***-it***.at“ - wie unter C.2. festgestellt - ca. im Jahr 2002 auf den Beschwerdeführer als natürliche Person registriert. Da die Registrierung im Jahr 2002 somit lange vor dem In-Geltung-Treten der DSGVO im Mai 2018, als die Daten natürlicher Personen seitens der nic.at GmbH nicht mehr auf Whois veröffentlicht wurden, erfolgte, ist davon auszugehen, dass die nic.at GmbH jedenfalls den Namen und Kontaktdaten des Beschwerdeführers kennt. Wenn die nic.at GmbH der Beschwerdegegnerin CERT.at GmbH Zugriff auf die Whois-Datenbank gewährt, kann die CERT.at GmbH mittels Whois-Datenbank demnach auch auf den Namen und die Kontaktdaten - somit auf personenbezogene Daten - des Beschwerdeführers zugreifen.

Vorab ist hier festzuhalten, dass ein solcher Zugriff auf personenbezogene Daten des Beschwerdeführers eine „Verarbeitung“ personenbezogener Daten iSd Art. 4 Z 2 DSGVO darstellt, worunter etwa auch das Speichern, Abfragen und die Verwendung personenbezogener Daten fällt.

Nun sind Beschränkungen des Geheimhaltungsanspruchs gemäß § 1 Abs. 2 DSG grundsätzlich zulässig, wenn die Verwendung personenbezogener Daten im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, bei überwiegenden berechtigten Interessen eines anderen oder bei Vorhandensein einer qualifizierten gesetzlichen Grundlage.

Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).

Insbesondere muss jede Datenverarbeitung, um zulässig zu sein, neben den Grundsätzen der Datenverarbeitung gemäß Art. 5 DSGVO (zumindest) einen Erlaubnistatbestand gemäß Art. 6 DSGVO erfüllen (vgl dazu etwa EuGH vom 4. Mai 2023; C‑60/22, Rz 57).

Im gegenständlichen Fall kommt als Erlaubnistatbestand für einen Zugriff auf personenbezogene Daten des Beschwerdeführers Art. 6 Abs. 1 lit c DSGVO (Erfüllung einer rechtlichen Verpflichtung) in Frage.

D.3.1. Erlaubnistatbestand Art. 6 Abs. 1 lit c DSGVO (Erfüllung einer rechtlichen Verpflichtung)

Gemäß Art. 6 Abs. 1 lit. c DSGVO ist die Verarbeitung rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Gemäß § 2 NISG ist das Ziel des NISG, ein hohes Sicherheitsniveau von Netz- und Informationssystemen von Betreibern wesentlicher Dienste unter anderem in den Sektoren Digitale Infrastruktur zu erreichen .

Wie unter 3.b. festgestellt, ist die nic.at GmbH eine Betreiberin wesentlicher Dienste(nämlich Betreiberin von autoritativen DNS-Servern sowie Betreiberin eines TLD-Name-Registry) iSd gemäß § 16 NISG.

DNS steht für Domain Name System. Das DNS funktioniert ähnlich wie das Telefonbuch des Internets: Es verwaltet die Zuweisung zwischen Namen (nämlich Domainnamen) und Nummern (IP-Adressen). DNS-Server lösen bei einer DNS-Abfrage Domains (wie zBsp. „beispiel.at“) in IP-Adressen (wie zBsp. „ “) auf.

TLD-Name-Registry steht für Top-Level-Domain-Name Registry. Die Top-Level-Domain ist das Kürzel am Ende eines Domainnamens, zBsp. „.at“ beim Domainnamen „www.beispiel.at“ oder „.com“ beim Domainnamen „www.example.com“. TLD-Name–Registry meint ein Register bzw. eine Datenbank aller Domainnamen mit einer bestimmten Top-Level-Domain. Die Beschwerdegegnerin nic.at GmbH ist - wie unter C.3.a. festgestellt - die offizielle (österreichische) Registrierungsstelle für alle Domains mit der Top-Level-Domain „.at“ (sowie „.co.at“ und „.or.at“).

Wie unter C.9. festgestellt, war die Funktion des nationalen Computer-Notfallteams gemäß § 15 Abs. 3 NISG und § 14 Abs. 2 NISG ursprünglich der nic.at GmbH übertragen.

Wie weiters unter C.10. festgestellt, ist nunmehr die Beschwerdegegnerin CERT.at GmbH das nationale Computer-Notfallteam(auf englisch: Computer Emergency Response Team (CERT)) iSd § 15 Abs. 3 NISG und § 14 Abs. 2 NISG.

Das nationale Computer-Notfallteam, die CERT.at GmbH, unterstützt die nic.at GmbH zwecks Gewährleistung der Sicherheit von Netz- und Informationssystemen (siehe dazu § 14 Abs. 1 NISG). Eine der Aufgaben des nationalen Computer-Notfallteams ist die Beobachtung und Analyse von Risiken, Vorfällen oder Sicherheitsvorfällen gemäß § 14 Abs. 2 Z 5 NISG. Gemäß § 14 Abs. 7 NISG sind Computer-Notfallteams als datenschutzrechtliche Verantwortliche gemäß Art. 4 Z 7 DSGVO ermächtigt, personenbezogene Daten gemäß § 9 Abs. 2 bis 4 NISG zu verarbeiten, soweit dies zur Erfüllung der Aufgaben gemäß § 14 Abs. 2 NISG erforderlich ist .

Das bedeutet, dass die CERT.at GmbH personenbezogene Daten zur Erfüllung ihrer Aufgaben - wie etwa zur Beobachtung und Analyse von Risiken, Vorfällen oder Sicherheitsvorfällen - verarbeiten darf.

Wie unter C.16.a. festgestellt, hat die Beschwerdegegnerin die Domain “e***-it***.at“ jedenfalls kurzfristig gespeichert und am 7. April 2022 um 08:51:53 Uhr darauf zugegriffen. Das Speichern, Abfragen und Verwenden einer Domain stellt eine Verarbeitung iSd Art. 4 Z 2 DSGVO dar.

Diese Verarbeitung der Domain „e***-it***.at“ erfolgte jedoch im Rahmen des § 14 Abs. 1, Abs. 2 Z 5 iVm § 9 Abs. 2 bis Abs. 4 NISG und war daher gesetzlich gedeckt. Auch das Ersuchen des Beschwerdeführers, seine Domain „e***-it***.at“ von Routinescans auszunehmen und die Zusage des Beschwerdegegners, die Domain „e***-it***.at“ zukünftig von Routinescans auszunehmen (siehe dazu C.15.), ändert nichts daran, dass die Verarbeitung der Domain „e***-it***.at“ durch die Beschwerdegegnerin zu Zwecken des NISG gesetzlich gedeckt war.

Wenn also der Beschwerdeführer sein Recht im Geheimhaltung darin verletzt sieht, dass die Beschwerdegegnerin CERT.at GmbH auf personenbezogene Daten des Beschwerdeführers mittels Whois-Abfrage der nic.at GmbH zugegriffen hat, ist ihm Folgendes entgegen zu halten:

Es ist zunächst darauf hinzuweisen, dass der Beschwerdeführer in der gegenständlichen Beschwerde - über den Zugriff auf die Domain „e***-it***.at“ hinaus - keinen konkreten Zugriff der CERT.at GmbH auf seine personenbezogenen Daten gerügt hat, den die nic.at GmbH durch die gewährten Zugriffsrechte auf die Whois-Datenbank ermöglicht hätte .

Dennoch wird festgehalten, dass die Verarbeitung personenbezogener Daten - auch des Beschwerdeführers - durch das nationale Computer-Notfallteam, der CERT.at GmbH, im Rahmen der §§ 15, 14 und 9 Abs. 2 bis Abs. 4 NISG gesetzlich vorgesehen ist.Auch ist die nic.at GmbH als Betreiberin wesentlicher Dienste gemäß § 23 Abs. 5 NISG gesetzlich ermächtigt, der CERT.at GmbH als nationalem Computer-Notfallteam bestimmte personenbezogene Daten - und zwar Kontakt- und Identitätsdaten sowie technische Daten von Personen, die mit einer Meldung zu einem Risiko, Vorfall oder Sicherheitsvorfall in Zusammenhang stehen, wie insbesondere Opfer und Angreifer gemäß § 9 Abs. 3 Z 2 NISG - zu übermitteln, um einen Betrag zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen zu leisten .

Zusammengefasst ist daher eine Verarbeitung personenbezogener Daten durch die nic.at GmbH als Betreiberin wesentlicher Dienste wie auch durch die Beschwerdegegnerin CERT.at GmbH als nationales Computer-Notfallteam aufgrund rechtlicher Verpflichtungen iSd Art. 6 Abs. 1 lit c DSGVO, die sich aus dem NISG ergeben, erforderlich und daher rechtmäßig .

Somit ist ein Zugriff der Beschwerdegegnerin auf personenbezogene Daten des Beschwerdeführers mittels Whois-Abfrage im Rahmen des NISG von einem Erlaubnistatbestand gedeckt.

Auch aus diesem Grund war die Beschwerde daher abzuweisen.