Entscheidungen zum Datenschutzrecht  ·  15. September 2025

BVwG: DSGVO gilt trotz „nationaler Sicherheit“ – konkrete Auskunftspflichten bei Personalakten des Österreichischen Bundesheers

Behörde: Bundesverwaltungsgericht (BVwG)
Entscheidungsdatum: 20.06.2025
Geschäftszahl: W252 2290822-1/11E

Rechtssatz (kurz): Personalverwaltung des Bundesheeres fällt nicht unter die Ausnahme der „nationalen Sicherheit“; Art. 15 DSGVO ist anwendbar. DSB kann gem. Art. 58 Abs. 2 lit. c DSGVO auch gegenüber Behörden die Erfüllung von Betroffenenrechten anordnen; bloßer Verweis auf Akteneinsicht reicht nicht.

Sachverhalt

Ein Bediensteter stellte an die Behörde (im Verfahren „BF“) ein Auskunftsbegehren zu Einträgen im Personalinformationssystem „PERSIS“ und zum „kleinen Personalakt“ beim Bundesheer.

 

Die Auskunft blieb u. a. zu Empfängern und Datenherkunft vage; teilweise verwies die BF auf (disziplinarrechtliche) Akteneinsicht.

 

Die Datenschutzbehörde (DSB) gab der Beschwerde teilweise statt und trug der BF auf, präzise Auskünfte u. a. nach Art. 15 Abs. 1 lit. c, g DSGVO zu erteilen.

 

Die BF bekämpfte dies u. a. mit dem Argument, es liege ein Bereich der „nationalen Sicherheit/militärischen Eigensicherung“ vor (Anwendbarkeit des 3. Hauptstücks DSG) und die DSB dürfe Behörden keine Aufträge erteilen.

 

Rechtliche Begründung


1) Anwendbarkeit der DSGVO – keine „national-security blanket“

Das BVwG stellt klar: Nicht jede Datenverarbeitung des Bundesheeres dient der nationalen Sicherheit iSd Art. 2 Abs. 2 lit. a DSGVO.

 

Personalverwaltung ist typischerweise Verwaltungstätigkeit – damit fällt sie in den Anwendungsbereich der DSGVO.

 

Das Gericht verweist auf die enge Auslegung der Ausnahme in Rsp von EuGH/VwGH. Ergebnis: DSGVO anwendbar.


2) Abhilfebefugnisse der DSB auch gegenüber Behörden

Die Einschränkung in § 24 Abs. 5 DSG („nur Privatbereich“) tritt hinter Art. 58 Abs. 2 lit. c DSGVO zurück (Anwendungsvorrang des Unionsrechts). Die DSB durfte daher anordnen, die Auskunftspflichten zu erfüllen. § 30 Abs. 5 DSG (keine Geldbußen gegen Behörden) ist kein „Freibrief“.

(Links zu §-Bestimmungen: § 24 DSG, § 30 DSG)

3) Art. 15 DSGVO – konkrete Empfänger & Datenherkunft

  • Empfänger (Art. 15 Abs. 1 lit. c): Im Regelfall sind konkrete Empfänger zu nennen; bloße Kategorien genügen nur ausnahmsweise. Interne Weitergaben innerhalb derselben verantwortlichen Stelle sind nicht „Empfänger“ iSd Art. 4 Z 9, externe Stellen hingegen schon. Die BF blieb hier zu vage.

  • Herkunft (lit. g): Es sind alle verfügbaren Informationen zur Quelle offenzulegen; bloße Beispiel-Aufzählungen reichen nicht. Die BF nannte nur generische Quellen.

4) Akteneinsicht ≠ Auskunft nach Art. 15

Das Auskunftsrecht nach Art. 15 DSGVO besteht neben nationalen Akteneinsichtsrechten; ein bloßer Verweis auf Akteneinsicht ersetzt die DSGVO-Auskunft nicht. Spezielle Einschränkungen (nach Art. 23 DSGVO) lagen hier nicht vor.


5) Transparenz & Form der Auskunft

Die Auskünfte zum „kleinen Personalakt“ waren nicht präzise, verständlich und leicht zugänglich (Art. 12 DSGVO, Art. 5 Abs. 1 lit. a DSGVO – Transparenz). Bei parallelen Aktensystemen (PERSIS vs. kleiner Personalakt) muss erkennbar sein, welche Daten wo verarbeitet werden.


6) „Exzessivität“ von Anträgen

Ein Auskunftsersuchen ist nicht schon wegen Häufigkeit exzessiv; Missbrauchsabsicht ist nachzuweisen (EuGH C-416/23 vom 09.01.2025). Die BF zeigte keine konkreten Anhaltspunkte – der Einwand greift nicht.


Ergebnis: Die Beschwerde der BF wird abgewiesen; die DSB-Anordnungen bleiben aufrecht; Revision ist zulässig (Frage der Parallelität Auskunft/ Akteneinsicht).

Fazit

Für Personalakten im öffentlichen Bereich gilt grundsätzlich die DSGVO. Behörden müssen konkret beauskunften (Empfänger & Herkunft) und können sich nicht hinter pauschaler Akteneinsicht verschanzen. Die DSB darf Erfüllung von Betroffenenrechten auch gegenüber Behörden anordnen.

Schlussfolgerungen für Verantwortliche

  • Anwendungsbereich prüfen: Personalverwaltung ≠ nationale Sicherheit. Art. 2 Abs. 2 lit. a DSGVO greift nur eng. 

  •  Empfänger: konkrete Stellen nennen (sofern bekannt/erfolgt), sonst nachvollziehbar begründen, warum nur Kategorien. → Art. 15

  • Herkunft: verfügbare Quellen spezifizieren (welche Behörde/Stelle, wann erhoben).
  • Form wahren: Auskünfte präzise, verständlich, leicht zugänglich strukturieren; getrennt nach Systemen (z. B. PERSIS / kleiner Personalakt). → Art. 12, Art. 5
  • Kein „Akteneinsicht-Ausweg“: Akteneinsicht kann die DSGVO-Auskunft nicht ersetzen; nur echte Art. 23-Beschränkungen rechtfertigen Reduktionen.
  • Öffentliche Stellen: Beachten, dass Art. 58 Abs. 2 lit. c auch für euch gilt (Anordnungen der DSB).
  • „Exzessiv“ sparsam argumentieren: Nur mit belastbaren Indizien für Missbrauch.
  • Dokumentation: Mapping „Datenkategorie → Quelle → Empfänger → Speicherfrist“ gepflegt vorhalten; erleichtert präzise Beauskunftung.

Schlagworte / DSGVO-Artikel:
Personalverwaltung; nationale Sicherheit (enge Ausnahme); Auskunftsrecht; Empfänger; Datenherkunft; Transparenz; Akteneinsicht; DSB-Anordnung; Exzessivität; öffentlicher Bereich; PERSIS; kleiner Personalakt; Rechtsgrundlagen: Art. 2; Art. 5; Art. 12; Art. 15; Art. 23; Art. 58 DSGVO.

 

Tags: Personalverwaltung; nationale Sicherheit (enge Ausnahme); Auskunftsrecht; Empfänger; Datenherkunft; Transparenz; Akteneinsicht; DSB-Anordnung; Exzessivität; öff

Kommentar schreiben

Kommentare: 0
1 Gilt für Lieferungen in folgendes Land: Österreich. Lieferzeiten für andere Länder und Informationen zur Berechnung des Liefertermins siehe hier: Liefer- und Zahlungsbedingungen
2 inkl. MwSt.
Impressum | AGB | Widerrufsbelehrung und -formular | Datenschutz | Cookie-Richtlinie | Sitemap | Vertrag widerrufen
(C) by dataprotect schweiger.legal Rechtsanwälte OG | Dr. Thomas Schweiger, LL.M. (Duke)
Anmelden Abmelden | Bearbeiten