GZ: 2025-0.432.701 vom 25. September 2025 (Verfahrenszahl: DSB-D124.0701/25)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Ilse A*** (Beschwerdeführerin) vom 17. März 2025 gegen die N*** Glücksspiel AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung sowie wegen Verletzungen der Art. 5, Art. 6 und Art. 32 DSGVO wie folgt:
Die Beschwerde gegen die Beschwerdegegnerin wird in Ermangelung von deren Verantwortlicheneigenschaft gemäß Art. 4 Z 7 DSGVO für die verfahrensgegenständliche Datenverarbeitung als unbegründet abgewiesen .
Rechtsgrundlagen : Art. 4, Art. 5, Art. 6, Art. 32, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
Anmerkung der Datenschutzbehörde zum Verfahrensgang: Der Verfahrensgang stellt kein rechtlich zwingendes Element dar, sondern ist fakultativ. Es bedarf daher im Allgemeinen keiner gesonderten Anführung des Parteivorbringens in der Bescheidbegründung (vgl. Hengstschläger/Leeb, AVG § 60 Rz 22 (Stand 1. März 2023, rdb.at)).
B. Beschwerdegegenstand
Beschwerdegegenständlich stellt sich die Frage, ob die Beschwerdegegnerin die Beschwerdeführerin in ihren datenschutzrechtlich gewährleisteten Rechten nach Art. 5, Art. 6, Art. 32 DSGVO sowie § 1 DSG verletzt hat, indem diese im Rahmen von Gerichtsverfahren, in denen die Beschwerdeführerin nicht Partei ist, personenbezogene Daten der Beschwerdeführerin gegenüber Dritten offengelegt hat.
Vorab ist gegenständlich jedoch die Verantwortlicheneigenschaft der Beschwerdegegnerin iSd. Art. 4 Z 7 DSGVO zu prüfen.
C. Sachverhaltsfeststellungen
1. Die Beschwerdeführerin machte gegen die Beschwerdegegnerin (zivilrechtlich) einen Gewinnanspruch aus einem ,,M***Los‘‘ geltend. Die Beschwerdegegnerin brachte daraufhin eine Klage auf negative Feststellung beim Landesgericht D*** ein.
Beweiswürdigung : Die Feststellungen ergeben sich aus der insofern unstrittigen verfahrenseinleitenden Eingabe vom 17. März 2025.
3. Im Rahmen drei paralleler Verfahren, in denen die Beschwerdeführerin keine Partei ist, wurde durch die rechtsfreundliche Vertretung der Beschwerdegegnerin und ohne konkrete diesbezügliche Weisung der Beschwerdegegnerin die in C.1. erwähnte Feststellungsklage als Teil eines Urkundenkonvoluts vorgelegt.
4. Auf der vorgelegten Feststellungsklage sind (ungeschwärzte) personenbezogene Daten der Beschwerdeführerin, konkret deren Name und deren Adresse, ersichtlich.
Beweiswürdigung : Die Feststellungen ergeben sich aus der insofern unstrittigen verfahrenseinleitenden Eingabe vom 17. März 2025 sowie der Stellungnahme der Beschwerdegegnerin vom 8. Mai 2025, in der diese die Offenlegung der gegenständlichen Feststellungsklage nicht dem Grunde nach bestritt.
Die getroffenen Feststellungen betreffend die Vorlage durch die rechtsfreundliche Vertretung der Beschwerdegegnerin ergeben sich aus der nachvollziehbaren Stellungnahme der Beschwerdegegnerin.
Die Beschwerdeführerin konnte im laufenden Ermittlungsverfahren vor der Datenschutzbehörde nicht substantiiert darlegen, inwiefern für die verfahrensgegenständliche Übermittlung eine konkrete Weisung zur Offenlegung der Beschwerdegegnerin an deren rechtsfreundliche Vertretung vorlag und erschließt sich dies aus dem Vorbringen der Beschwerdegegnerin auch nicht.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Allgemein
Das in § 1 DSG verankerte Grundrecht auf Datenschutz, nach dessen ersten Absatz jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit daran ein schutzwürdiges Interesse besteht, beinhaltet den Schutz des Betroffenen vor der Ermittlung seiner Daten und der Weitergabe der über ihn ermittelten Daten. Das Grundrecht auf Datenschutz gilt jedoch nicht absolut, sondern darf durch bestimmte, zulässige Eingriffe beschränkt werden.
Gemäß § 1 Abs. 2 DSG sind Beschränkungen des Anspruchs auf Geheimhaltung, soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, wobei bei Eingriffen einer staatlichen Behörde diese nur auf Grund von Gesetzen erfolgen dürfen, die aus den in Art. 8 Abs. 2 EMRK genannten Gründen notwendig sind.
§ 24 Abs. 1 DSG sieht vor, dass jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.
Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung zu berücksichtigen (vgl. den Bescheid der Datenschutzbehörde vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
Gemäß Art. 4 Z 1 DSGVO bezeichnet der Ausdruck „ personenbezogene Daten “ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Bei den gegenständlich verarbeiteten Daten, konkret dem Namen sowie der Adresse der Beschwerdeführerin, handelt es sich unstrittig um personenbezogene Daten dieser.
Unter „Verarbeitung“ gemäß Art. 4 Z 2 DSGVO ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung , Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung zu verstehen.
D.2. Zur Benennung der Beschwerdegegnerin
Gemäß § 24 Abs. 2 Z 2 DSG ist Bestandteil einer ordnungsgemäß ausgeführten Beschwerde die - soweit dies zumutbar ist - Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner). Wird aber ein Beschwerdegegner unmissverständlich bezeichnet, so ist es der Datenschutzbehörde verwehrt, das Verfahren gegen einen anderen als den bezeichneten Beschwerdegegner zu führen, da ansonsten ein Verfahren gegen eine Verfahrenspartei geführt würde, mit welcher sich der Beschwerdeführer nicht auf ein Verfahren einlassen wollte (vgl. dazu das Erkenntnis des BVwGs vom 19. Jänner 2017, GZ W214 2117066-1). Eine amtswegige Umdeutung ist somit unzulässig. Dies gilt selbst dann, wenn dem bezeichneten Beschwerdegegner keine Verantwortlicheneigenschaft gemäß Art. 4 Z 7 DSGVO zukommen kann (vgl. dazu nochmals das zitierte Erkenntnis). Auch in einer rezenten Entscheidung hat das BVwG ausgesprochen, dass ein klar bezeichneter Beschwerdegegner von der Datenschutzbehörde nicht ausgetauscht werden darf (vgl. das Erkenntnis des BVwG vom 5. Juli 2022, GZ: W252 2251431-1; im zugrundeliegende Sachverhalt erfolgte eine Umdeutung von einer Bildungsdirektion auf die Schulleitung einer einzelnen Schule, sohin zwischen unterschiedlichen Organisationseinheiten).
Es kann daher wie folgt festgehalten werden:
Die anwaltlich vertretene Beschwerdeführerin benannte in ihrer verfahrenseinleitenden Eingabe ausdrücklich die N*** Glücksspiel AG als Beschwerdegegnerin. Auch hielt die anwaltlich vertretene Beschwerdeführerin unstrittig und auch angesichts des Vorbringens der Beschwerdegegnerin im Rahmen ihrer Eingabe vom 30. Mai 2025 an der N*** Glücksspiel AG als Verantwortliche und Beschwerdegegnerin fest.
Insgesamt erschließt sich aus den Eingaben der anwaltlich vertretenen Beschwerdeführerin deren Parteiwille derart, dass die gegenständliche Beschwerde gegen die N*** Glücksspiel AG geführt werden soll und erwiese sich eine Umdeutung durch die Datenschutzbehörde ob mehrmaliger eindeutiger Bezeichnung gegenständlich als unzulässig .
D.3. Zur Verantwortlicheneigenschaft
Die Festlegung der datenschutzrechtlichen Rollenverteilung ist für das Beschwerdeverfahren nach § 24 DSG bzw. Art. 77 Abs. 1 DSGVO von entscheidender Bedeutung , da bestimmt wird, wer für die Einhaltung der jeweiligen Datenschutzbestimmungen verantwortlich ist, wie die betroffene Person ihre Rechte ausüben kann und letztlich auch gegen wen (also welchen Verantwortlichen) die Datenschutzbeschwerde gerichtet werden muss.
Gemäß Art. 4 Z 7 DSGVO ist ein Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke oder Mittel der Verarbeitung der personenbezogenen Daten entscheidet ; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Zur Verantwortlicheneigenschaft der Beschwerdegegnerin wird von der Datenschutzbehörde unter anderem in den Bescheiden vom 25. Juli 2022, GZ D124.5630, 2022-0.520.716 und vom 6. Dezember 2021, GZ 2020-0.774.665, festgehalten, dass Rechtsanwälte , wenn sie Daten für den Zweck der Vertretung ihrer Mandanten verarbeiten , regelmäßig als für die Verarbeitung Verantwortliche tätig werden.
Sie handeln dabei zwar unter Vollmacht und sind damit nach außen berechtigt, für ihre Mandanten rechtlich bindende Erklärungen abzugeben, die Entscheidung, welche Daten dritter Personen für die Erfüllung des Mandats zu verarbeiten sind, wird dabei aber, vorbehaltlich eines Beweises für das Gegenteil, vom Rechtsanwalt ohne Weisung des Mandanten getroffen.
Jedes andere Verständnis der in Frage kommenden Rollen des Verantwortlichen (Art. 4 Z 7 DSGVO) oder Auftragsverarbeiters (Art. 4 Z 8 DSGVO) wäre mit der Selbstständigkeit eines Rechtsanwalts in Fragen der Berufsausübung unvereinbar (vgl. dazu die Erwägungen der Datenschutzbehörde im Bescheid vom 9. März 2015, GZ DSB D122.299/0003-DSB/2015, RIS, sowie die Erwägungen des Bundesverwaltungsgerichts zur Verantwortlichenrolle und Selbstständigkeit der Berufsausübung bei Berufsdetektiven, Erkenntnis vom 25. Juni 2019, GZ W258 2188466-1, RIS, und Gerichtssachverständigen, Erkenntnisse vom 27. September 2018, GZ W214 2196366-2, RIS, sowie vom 23. Jänner 2020, GZ W214 2196366-3, RIS, vgl. Erkenntnis vom 16. Dezember 2024, GZ W137 2292450).
Nach Ansicht sowohl der Art. 29-Datenschutzgruppe als auch des Europäischen Datenschutzausschusses ist in Bezug auf Rechtsanwälte ebenso davon auszugehen, dass zwar die jeweiligen Mandanten die Kanzleien beauftragen, letztere jedoch selbständig darüber entscheiden, welche Informationen auf welche Art und Weise verarbeitet werden (vgl. Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, vom 16.02.2010, S. 35; EDSA – Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Rz 27). Es handelt sich daher in der Regel um ein Auftragsverhältnis, in welchem der Beauftragte selbständig über das Vorgehen entscheidet (vgl. BVwG vom 27. September 2018, W214 2127449-1).
Verfahrensgegenstand ist vorliegend die Offenlegung einer Urkunde, die personenbezogenen Daten der Beschwerdeführerin beinhaltend, in Verfahren, in denen die Beschwerdeführerin keine Parteistellung hat.
Wie in den Feststellungen ersichtlich war die Beschwerdegegnerin in den genannten Verfahren rechtsfreundlich vertreten und wurden durch die rechtsfreundliche Vertretung im Namen von und für die Beschwerdegegnerin Schriftsätze eingebracht, beziehungsweise die gegenständliche Urkunde vorgelegt. Die Tatsache, dass der gegenständliche Schriftsatz im Namen von und für die Beschwerdegegnerin eingebracht wurde entspricht der anwaltlichen Berufsausübung und ergibt sich aus diesem Faktum keine gegenständliche Verantwortlicheneigenschaft der Beschwerdegegnerin .
Führt die Beschwerdeführerin im Rahmen Ihrer Eingabe vom 30. Mai 2025 aus, dass die Beschwerdegegnerin selbst aktiv geworden und Klagen anhängig gemacht beziehungsweise Kategorien identifiziert hat, so ist dem zu entgegnen, dass Beschwerdegegenstand vorliegend die behauptete Offenlegung eines Schriftsatzes , die personenbezogenen Daten der Beschwerdeführerin beinhaltend, ist, und ist eine konkrete Weisung der Beschwerdegegnerin an deren rechtsfreundliche Vertretung, die gegenständliche Feststellungsklage in drei weiteren Verfahren zu übermitteln, nicht ersichtlich .
Entscheidend nach Art. 4 Z 7 DSGVO für die Zuweisung der Verantwortlichkeit ist die wesentliche Entscheidungsbefugnis hinsichtlich Zweck und Mittel der Verarbeitung. Verfahrensgegenständlich hat, wie sich aus den obigen Ausführungen ergibt, im Hinblick auf die Offenlegung der die Beschwerdeführerin betreffende Feststellungsklage, die rechtsfreundliche Vertretung der Beschwerdegegnerin die Entscheidung innegehabt, diese Daten zu verarbeiten.
Im Ergebnis war die gegenständliche Beschwerde mangels Verantwortlicheneigenschaft der Beschwerdegegnerin spruchgemäß abzuweisen .
Rückverweise
