BVwG, 19.03.2026, W298
2333770-1/3E
Vorinstanz: DSB,16.12.2025, Zl. D124.4500/25 2025-1.036.803
Rechtssatz
Eine Datenschutzbeschwerde nach § 24 DSG bzw. Art. 77 DSGVO setzt voraus, dass personenbezogene Daten der beschwerdeführenden Person selbst verarbeitet wurden. Allgemeine Vorwürfe gegen die Datenschutzorganisation eines Verantwortlichen – etwa fehlende Log- oder Revisionsdaten – begründen ohne eigene Betroffenheit keine rügbare Verletzung im Recht auf Geheimhaltung.
Sachverhalt
Eine Beschwerdeführerin brachte bei der Datenschutzbehörde eine Datenschutzbeschwerde gegen eine Stadtgemeinde ein.
Sie behauptete, die Gemeinde betreibe eine elektronische Amtstafel, auf der personenbezogene Daten verarbeitet würden, ohne Log- und Revisionsdaten zu speichern. Darin sah sie insbesondere einen Verstoß gegen die Rechenschaftspflicht und weitere Pflichten aus der DSGVO.
Die Datenschutzbehörde wies die Beschwerde im Recht auf Geheimhaltung ab. Begründet wurde dies damit, dass keine personenbezogenen Daten der Beschwerdeführerin verarbeitet worden seien. Gegen diesen Bescheid erhob die Beschwerdeführerin Beschwerde an das Bundesverwaltungsgericht.
Rechtliche Begründung
Das BVwG bestätigte die Entscheidung der Datenschutzbehörde. Nach § 1 DSG besteht ein Anspruch auf Geheimhaltung nur hinsichtlich personenbezogener Daten, die die betroffene Person selbst betreffen. Auch § 24 DSG und Art. 77 DSGVO regeln eine Individualbeschwerde: Beschwerdeberechtigt ist eine betroffene Person, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder das DSG verstößt.
Das Gericht stellte fest, dass auf der elektronischen Amtstafel keine personenbezogenen Daten der Beschwerdeführerin verarbeitet wurden. Die Beschwerde richtete sich vielmehr allgemein gegen die Datenverarbeitung auf der Amtstafel und gegen vermeintliche Defizite bei der Einhaltung von Verantwortlichenpflichten.
Damit fehlte es an einer rügbaren eigenen Betroffenheit. Das BVwG hielt fest, dass eine datenschutzrechtliche Administrativbeschwerde voraussetzt, dass personenbezogene Daten der beschwerdeführenden Person verarbeitet wurden. Ohne eine solche Verarbeitung kommt es nicht mehr darauf an, ob der Verantwortliche allenfalls organisatorische Pflichten – etwa aus Art. 5 DSGVO oder der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO – verletzt hat.
Fazit
Die Entscheidung verdeutlicht die Grenze zwischen individueller Rechtsdurchsetzung und allgemeiner datenschutzrechtlicher Aufsicht.
Betroffene können mit einer Beschwerde nach § 24 DSG bzw. Art. 77 DSGVO nur eigene Datenschutzverletzungen geltend machen. Eine allgemeine Kontrolle, ob ein Verantwortlicher seine DSGVO-Pflichten ordnungsgemäß erfüllt, kann nicht über eine Individualbeschwerde ohne eigene Datenverarbeitung erzwungen werden.
Schlussfolgerung für Verantwortliche
Verantwortliche sollten dennoch nicht den falschen Schluss ziehen, dass fehlende eigene Betroffenheit einer beschwerdeführenden Person organisatorische Mängel bedeutungslos macht. Die Pflicht zur Einhaltung und Nachweisbarkeit der Datenschutzgrundsätze nach Art. 5 DSGVO bleibt bestehen.
Gerade bei elektronischen Amtstafeln, Veröffentlichungsplattformen und öffentlichen Bekanntmachungen sollten Verantwortliche nachvollziehbar dokumentieren, welche Daten zu welchem Zweck veröffentlicht werden, auf welcher Rechtsgrundlage dies erfolgt und welche technischen und organisatorischen Maßnahmen bestehen.
Für eine Individualbeschwerde ist aber entscheidend: Es muss eine Verarbeitung personenbezogener Daten der beschwerdeführenden Person vorliegen. Fehlt diese, ist die Datenschutzbeschwerde abzuweisen.
Kommentar schreiben