Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Weitere Informationen

Image-Film abspielen

Information
Frühere Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union können im Archiv eingesehen werden.

10.11.2023 DSGVO: Gesetzliche Bestimmung eines Amts der Landesregierung als datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Z 7 zweiter Halbsatz DSGVO?

Ra 2023/04/0024 (EU 2023/0007) vom 23. August 2023

Das Ausgangsverfahren betrifft die Verarbeitung personenbezogener Daten in Bezug auf die Erstellung und Versendung eines Schreibens des Landes Tirol, in dem alle zumindest 18 Jahre alten noch nicht gegen COVID-19 geimpften Personen in Tirol von für sie reservierten Terminen für eine COVID‑Schutzimpfung an einem näher genannten Ort informiert und zur Wahrnehmung dieses Angebots eingeladen wurden. Ein Empfänger (Beschwerdeführer) erachtete sich hierbei in seinem Recht auf Geheimhaltung nach der DSGVO verletzt und erstattete bei der Datenschutzbehörde (DSB) eine Datenschutzbeschwerde gegen das Amt der Tiroler Landesregierung. Der Beschwerdeführer ging davon aus, dass seine Gesundheitsdaten unzulässig weitergegeben und verarbeitet wurden.

Die DSB gab mit Bescheid vom August 2022 der Datenschutzbeschwerde statt und stellte fest, dass das Amt der Tiroler Landesregierung den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzt habe. Den Einladungen zur Impfung läge eine Verknüpfung des zentralen Impfregisters mit Daten im Patientenindex zugrunde. Diese Verarbeitung personenbezogener Daten des Beschwerdeführers sei mangels einer gesetzlichen Grundlage unzulässig.

Das Amt der Tiroler Landesregierung erhob dagegen eine Beschwerde an das Bundesverwaltungsgericht, das die Beschwerde jedoch abwies.

Das Gericht ging wie die DSB davon aus, dass das Amt der Tiroler Landesregierung Verantwortlicher im Sinne der DSGVO sei. Dies ergebe sich bereits aus der gesetzlichen Bestimmung des § 2 Abs. 1 lit. a sowie Abs. 3 Tiroler Datenverarbeitungsgesetz (TDVG). Auch sonst seien die Abfragen der Daten aus dem Patientenindex und dem zentralen Impfverzeichnis sowie die Zusammenführung der Daten jeweils im Auftrag des Amts der Tiroler Landesregierung datenschutzrechtlich dem Amt zuzurechnen. Wie auch die DSB ging das Bundesverwaltungsgericht davon aus, dass das Gesundheitstelematikgesetz 2012 dem Amt keinen DSGVO-konformen Zugriff auf das Impfregister und Daten im Patientenindex erlaube.

Gegen die Entscheidung des Bundesverwaltungsgerichts erhob das Amt der Tiroler Landesregierung eine Amtsrevision.

Nach den Feststellungen des Bundesverwaltungsgerichts hat ausschließlich der Landeshauptmann als Vertreter des Landes Tirol und nicht (auch) das Amt sowohl über den Zweck als auch über die Mittel der Verarbeitung personenbezogener Daten entschieden, weshalb nach Auffassung des VwGH das Amt der Tiroler Landesregierung nicht Verantwortlicher im Sinne des Art. 4 Z 7 erster Halbsatz DSGVO ist.

Davon ausgehend entstanden für den VwGH im Verfahren Zweifel im Zusammenhang mit der Auslegung des Art. 4 Z 7 zweiter Halbsatz DSGVO.

Das Amt der Tiroler Landesregierung ist weder eine natürliche noch eine juristische Person und in Bezug auf die vorliegende Datenverarbeitung keine Behörde. Vielmehr handelt es sich bei dem Amt um eine bloße Dienststelle als Hilfsapparat einer Behörde ohne (Teil)Rechtsfähigkeit. Darüber hinaus wird im TDVG das Amt als Verantwortlicher benannt, ohne dass auf eine konkrete Verarbeitung personenbezogener Daten, insbesondere auf jene dem vorliegenden Schreiben des Landes Tirol zugrundeliegende Datenverarbeitung, Bezug genommen wird. Im TDVG werden auch nicht Zweck und Mittel einer solchen Verarbeitung vorgegeben. Schließlich hat das Amt der Tiroler Landesregierung weder alleine noch gemeinsam mit anderen über die Zwecke und Mittel der vorliegenden Datenverarbeitung entscheiden.

Ausgehend davon ist es fraglich, ob das Amt der Tiroler Landesregierung gesetzlich (mit dem TDVG) als datenschutzrechtlicher Verantwortlicher im Sinne der DSGVO vorgesehen werden kann.

Die Vorlagefrage im Wortlaut:

Ist Art. 4 Z 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung - DSGVO) dahingehend auszulegen, dass er der Anwendung einer Bestimmung des nationalen Rechts (wie vorliegend des § 2 Abs. 1 Tiroler Datenverarbeitungsgesetz) entgegensteht, in der zwar im Sinn des zweiten Halbsatzes des Art. 4 Z 7 DSGVO ein bestimmter Verantwortlicher vorgesehen wird, aber

- dieser eine bloße Dienststelle (wie im vorliegenden Fall das Amt der Tiroler Landesregierung) ist, die zwar gesetzlich eingerichtet, aber keine natürliche oder juristische Person und im vorliegenden Fall auch keine Behörde ist, sondern nur als Hilfsapparat für diese auftritt und über keine eigene (Teil)Rechtsfähigkeit verfügt;

- dessen Benennung ohne Bezugnahme auf eine konkrete Verarbeitung personenbezogener Daten erfolgt und daher auch keine Zwecke und Mittel einer konkreten Verarbeitung personenbezogener Daten durch das Recht des Mitgliedstaats vorgegeben werden;

- dieser im konkreten Fall weder allein noch gemeinsam mit anderen über die Zwecke und Mittel der zugrundeliegenden Verarbeitung personenbezogener Daten entschieden hat?


Volltext des Beschlusses