Datenschutzmonitor April 2025

EuGH Schlussanträge 27.03.2025, C-654/23, Inteligo Media

Direktwerbung, ePrivacyRL, personenbezogene Daten als Ware

Ein Online-Pressemedium bot seinen Nutzern eine begrenzte Anzahl kostenloser Artikel an. Um auf weitere Artikel zugreifen zu können, mussten die Nutzer ein kostenloses Benutzerkonto erstellen, ihre E-Mail-Adresse angeben und die Vertragsbedingungen für die Erbringung dieses "Premium-Dienstes" akzeptieren. Dieser kostenlose "Premium-Dienst" umfasste den Zugang zu zwei weiteren Artikeln pro Monat und einen täglichen E-Mail-Newsletter. Der Erhalt dieses Newsletters war standardmäßig aktiviert, konnte aber bei der Registrierung oder später abbestellt werden. Nutzer, die ein Benutzerkonto zu anderen Zwecken erstellt hatten, erhielten den Newsletter nicht. Gegen Zahlung einer Gebühr erhielten die Nutzer schließlich Zugang zu allen Artikeln und einen ausführlichen E-Mail-Newsletter.

Die zuständige Datenschutz-Aufsichtsbehörde verhängte eine Geldstrafe iHv ca EUR 9.000, weil das Online-Pressemedium den Newsletter ohne ausdrückliche Einwilligung der Nutzer verschickt habe. Das vorlegende Gericht stellte dem EuGH insbesondere Fragen zur Zulässigkeit von E-Mail-Newslettern nach Art 13 Abs 2 der Richtlinie 2002/58/EG (ePrivacyRL) und zur Anwendbarkeit der DSGVO.

Der Generalanwalt hat erwogen: Gemäß Art 13 Abs 1 ePrivacyRL ist Direktwerbung per Anruf, Fax oder elektronischer Post nur mit vorheriger Einwilligung zulässig. Eine Ausnahme besteht, wenn die Kontaktdaten iZm dem Verkauf eines Produkts oder einer Dienstleistung erlangt werden und zur Direktwerbung für ähnliche Produkte oder Dienstleistungen verwendet werden, sofern dem Nutzer eine Widerspruchsmöglichkeit eingeräumt wird.

Der Zweck des E-Mail-Newsletters bestand darin, Nutzer durch die Bereitstellung von Hyperlinks dazu zu verleiten, ihre monatlich kostenlosen Artikel schneller zu konsumieren und letztlich ein vollständiges kostenpflichtiges Abonnement zu erwerben. Der Newsletter verfolgte somit ein kommerzielles Ziel. Er richtete sich auch direkt und individuell an die Nutzer, indem er in deren E-Mail-Postfach erschien, sodass er als Direktwerbung anzusehen war.

Die Erlangung der E-Mail-Adressen ist "im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung" iSd Art 13 Abs 2 ePrivacyRL erfolgt. "Verkauf" umfasst die Zahlung eines Entgelts für eine Ware oder einen Dienst. Auch eine indirekte Vergütung, bei der die Kosten der Zurverfügungstellung eines solchen Dienstes in den Verkaufspreis für die Hauptleistung einbezogen werden, erfüllt diese Voraussetzung. Zudem werden personenbezogene Daten selbst als Ware behandelt. Für eine Datenerhebung "im Zusammenhang mit einem Verkauf" reicht es daher aus, dass der Nutzer seine persönlichen Daten gegen eine Ware oder Dienstleistung zur Verfügung stellt. Ein solcher Newsletter ist "Direktwerbung" für "ähnliche Produkte oder Dienstleistungen", sodass eine vorherige Einwilligung nicht erforderlich war.

Das Verhältnis zwischen der ePrivacyRL und der DSGVO wird durch den Grundsatz lex specialis derogat legi generali geregelt. Existiert eine spezifische Bestimmung in der ePrivacyRL, die dasselbe Ziel verfolgt wie die DSGVO, ist die Bestimmung der ePrivacyRL anzuwenden. Art 13 Abs 2 ePrivacyRL regelt die Voraussetzungen und Zwecke der Verarbeitung sowie die Rechte der Betroffenen abschließend und erlegt dem Verantwortlichen besondere Pflichten iSd Art 95 DSGVO auf. Insbesondere wird die Frage der Einwilligung abschließend behandelt. Die Rechtmäßigkeit der Verarbeitung kann daher aufgrund des Art 13 Abs 2 ePrivacyRL festgestellt werden. Ein Rückgriff auf die DSGVO ist weder möglich noch erforderlich. Anm: Folgt der EuGH den Schlussanträgen des Generalanwalts, könnte das in Österreich große praktische Relevanz haben. Denn die DSB erachtet sich nicht nur hinsichtlich der elektronischen Direktwerbung (insb. Newsletter), sondern auch beim Erheben von Cookies, das ebenso in der ePrivacyRL (und im TKG 2021) geregelt ist, für zuständig.

EuGH Schlussanträge 27.03.2025, C-97/23 P, WhatsApp Ireland/EDSA

WhatsApp, EDSA, Verbindlicher Beschluss, Rechtsschutzsystem der EU

Im Zuge der Anpassung ihrer Datenschutzrichtlinie an die DSGVO forderte WhatsApp seine Nutzer auf, den geänderten Bedingungen zuzustimmen oder die Nutzung einzustellen. Die irische Datenschutzbehörde ("DPC") begann aufgrund einiger Beschwerden eine Untersuchung über mögliche Verstöße gegen Transparenzpflichten iSd Art 12 bis 14 DSGVO. Angesichts der grenzüberschreitenden Verarbeitung leitete die DPC ein Kohärenzverfahren ein und übermittelte ihren Beschlussentwurf an die anderen betroffenen Aufsichtsbehörden. Einige davon erhoben Einsprüche, denen sich die DPC nicht anschloss.

Mit einem Verbindlichen Beschluss verpflichtete der Europäische Datenschutzausschuss ("EDSA") die DPC, ua "Lossy-Hash-Daten" (damit sind – soweit ersichtlich – in nummerische Codes umgewandelte Telefonnummern gemeint) als personenbezogene Daten zu qualifizieren und die vorgeschlagene Geldbuße zu erhöhen. Die irische Aufsichtsbehörde erließ daraufhin einen entsprechend angepassten endgültigen Beschluss. WhatsApp erhob gegen den Beschluss des EDSA Nichtigkeitsklage beim EuG. Das EuG erklärte die Klage für unzulässig und stellte fest, dass der streitige Beschluss keine "anfechtbare Handlung" iSd Art 263 Abs 1 AEUV war und dass WhatsApp von diesem Beschluss iSd Art 263 Abs 4 AEUV nicht "unmittelbar betroffen" war. Gegen diese Entscheidung richtet sich das Rechtsmittel von WhatsApp.

Der Generalanwalt hat erwogen: Die Veröffentlichung auf einer Website genügt dem Erfordernis der "Bekanntgabe" iSd Art 263 Abs 6 AEUV. WhatsApp hat den streitigen Beschluss innerhalb der mit der Veröffentlichung auf der Website des EDSA in Gang gesetzten Fristen angefochten. Somit ist es für die Zulässigkeit der Nichtigkeitsklage unerheblich, dass WhatsApp möglicherweise vor der vorgeschriebenen Veröffentlichung vom wesentlichen Inhalt dieses Beschlusses Kenntnis erlangt hat.

Es reicht für die Beantwortung der Frage, ob eine Klage zulässig ist, nicht aus, dass die fragliche Handlung verbindliche Rechtswirkungen gegenüber ihrem Adressaten oder gegenüber einer anderen Person erzeugt; vielmehr muss der EuGH auch prüfen, ob die fragliche Handlung die Rechtsstellung des Klägers beeinträchtigt (Art 263 Abs 4 AEUV).

Das EuG hat die Voraussetzungen des Art 263 Abs 1 AEUV fehlerhaft beurteilt. Es hat darauf fokussiert, dass der streitige Beschluss nicht der endgültige Beschluss im Rahmen des in der DSGVO vorgesehenen Kohärenzverfahrens ist. Jedoch hat es nicht geprüft, ob es sich bei diesem Beschluss um einen endgültigen oder abschließenden Beschluss des EDSA handelt, der für die DPC verbindliche Rechtswirkungen entfaltet.

Um die Frage der unmittelbaren Betroffenheit zu beurteilen, ist auf das Wesen der angefochtenen Handlung abzustellen. Insoweit genügt es, dass der Inhalt des streitigen Beschlusses, der die Rechtsstellung von WhatsApp beeinträchtigt, der DPC in den relevanten Punkten keinen Ermessensspielraum einräumte.

Nach der Logik des Rechtsschutzsystems der Union hätte die Nichtigkeitsklage nicht für unzulässig erklärt werden dürfen.

Das EuG hat sich um einen fairen Ausgleich zwischen der Veröffentlichung von Gerichtsentscheidungen und dem Recht auf Schutz personenbezogener Daten sowie des Geschäftsgeheimnisses unter den Umständen des jeweiligen Falles zu bemühen. Die Namen natürlicher Personen (hier: Trader, Angestellte und Sachverständige) wie auch die Namen der sie beschäftigenden Gesellschaften sind zu anonymisieren. Für eine vertrauliche Behandlung von über 13 Jahre alten relativen Daten oder Schätzdaten gibt es keinen Anlass (EuG 26.03.2025, T-441/21, UBS Group und UBS/Kommission).

Ob das Anbieten von Streamingdiensten, bei denen digitale Inhalte (zB Video- oder Audiodateien) über das Internet "live" oder "on demand" zur Verfügung gestellt werden, unter den Begriff der "digitalen Inhalte" oder "digitalen Dienstleistungen" iSd RL 2011/83/EU (VerbraucherrechteRL) fällt, kann nicht eindeutig abgegrenzt werden. Da Rechtsprechung des EuGH fehlt, die sich mit der Abgrenzung zwischen digitalen Inhalten und digitalen Dienstleistungen auseinandersetzt, wird das Verfahren mit Beschluss ausgesetzt und diese Frage wird dem EuGH zur Vorabentscheidung vorgelegt (OGH 19.03.2025, 9Ob48/24k).

Datenbetrug setzt voraus, dass der Täter zur Täuschung (iSd § 146 StGB) zur automationsunterstützten Datenverarbeitung aufbereitete (personenbezogene oder nicht personenbezogene) "falsche" oder "verfälschte" Daten oder Programme benützt. Die Angeklagte bestellte mit falschen Daten Waren bei Versandhändlern auf Rechnung. Dies genügt jedoch nicht, um zu beurteilen, ob die tatbestandsmäßige Täuschung erfolgt ist. Die Rechtssache ist im Umfang der Aufhebung an das Erstgericht zurückzuverweisen (OGH 25.02.2025, 11Os7/25a).

Der Kläger strebt im Wesentlichen die Unterlassung des Einbaus eines digitalen Strommessgeräts ("Smart-Meter") an. Das LG St. Pölten hat dem EuGH ua Fragen zur Datenverarbeitung in Stromnetzen und zur Vereinbarkeit des § 1 Abs 6 Intelligente Messgeräte-EinführungsV mit der DSGVO zur Vorabentscheidung vorgelegt. Der Beantwortung der Fragen des LG St. Pölten kommt teilweise auch für dieses Verfahren Bedeutung zu, weshalb dieses Verfahren bis zur Entscheidung des EuGH zu unterbrechen ist (OGH 18.02.2025, 6Ob218/24p).

Ein Verstoß gegen § 63 DSG (Datenverarbeitung in Gewinn- oder Schädigungsabsicht) ist ein Offizialdelikt. Ein Verstoß gegen § 111 StGB (üble Nachrede) ist ein Ermächtigungsdelikt. Nach § 196a Abs 1 StPO hat ein Beschuldigter bei Einstellung des Strafverfahrens Anspruch auf einen Pauschalersatz seiner Verteidigungskosten. Der Ersatzanspruch entfällt jedoch, wenn eine Verfolgungsermächtigung zurückgezogen wird. Die Staatsanwaltschaft stellte das Verfahren wegen § 63 DSG mangels Vorliegen der Tatbestandsvoraussetzungen und hinsichtlich übler Nachrede wegen fehlender Ermächtigung ein. Dennoch besteht Anspruch auf den Pauschalersatz, weil bereits ursprünglich keine Ermächtigung für die Verfolgung der üblen Nachrede vorlag und insofern die Ermächtigung nicht zurückgezogen wurde (OLG Wien 27.08.2024, 17Bs267/24z).

BVwG 18.02.2025, W129 2303356-1

Universität, Satzung, Videoaufzeichnungen

Der Rektor einer Universität erließ zwei Beschlüsse, um festzulegen, dass bei Departmentsitzungen Audioaufzeichnungen zu Protokollierungszwecken zulässig sind und die Aufnahmen nach Genehmigung des Protokolls "umgehend zu löschen" sind. Der Bundesminister für Bildung, Wissenschaft und Forschung ("Wissenschaftsminister") behob beide Beschlüsse mit einem Bescheid. Gegen diesen Bescheid erhob der Rektor der Universität eine erfolglose Bescheidbeschwerde.

Das BVwG hat erwogen: Gemäß Art 81c Abs 1 B-VG dürfen Universitäten "im Rahmen der Gesetze" autonom handeln und "Satzungen" erlassen. Diese sog Verordnungskompetenz der Universitäten unterliegt nur einer verdünnten Gesetzesbindung. Verordnungen der Universitätsorgane dürfen zwar nicht gegen bestehende Gesetze verstoßen, sie bedürfen aber keiner gesetzlichen Grundlage; das Gesetz ist für das Handeln der Universitätsorgane Schranke, aber nicht unabdingbare Grundlage.

Mangels Einhaltung der universitätsrechtlichen Erzeugungsvorschriften kam eine Qualifikation der verfahrensgegenständlichen Beschlüsse als Satzungsbestandteil (und damit als Verordnung) jedoch nicht in Betracht. Ebenso wenig handelte es sich bei den Beschlüssen um eine Geschäftsordnung des Rektorats, weil sich die entsprechenden universitätsrechtlichen Grundlagen in einer personellen Zuweisung von Aufgaben durch den Rektor erschöpfen. Daraus folgt, dass die beiden Beschlüsse keine geeignete Rechtsgrundlage hatten, weshalb sie in Widerspruch zu den Grundsätzen der DSGVO stehen. Die Aufhebung der beiden Beschlüsse durch den Wissenschaftsminister erfolgte somit zu Recht.

BVwG 14.02.2025, W211 2299661-1

Streitanhängigkeit, entschiedene Sache, Beschwerdeergänzung

Ein Betroffener brachte Datenschutzbeschwerde bei der DSB ein. Noch bevor ein Bescheid der DSB ergangen war, brachte der Betroffene einen neuen Schriftsatz ein, den er als "Beschwerde" betitelte aber mit den Worten einleitete "Ergänzend zu meiner Beschwerde". Die DSB deutete den Schriftsatz als "neue" Datenschutzbeschwerde und wies ihn wegen entschiedener Sache zurück. Der Betroffene erhob daher eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Ist eine Datenschutzbeschwerde durch die DSB zurückgewiesen worden, ist Sache des Beschwerdeverfahrens nur die Frage der Rechtmäßigkeit der Zurückweisung.

Die Zurückweisung wegen entschiedener Sache kommt nur in Frage, wenn die Angelegenheit durch einen rechtskräftigen Vorbescheid entschieden ist. Einen solchen Vorbescheid gab es nicht, weil die ursprüngliche Datenschutzbeschwerde bei der DSB noch anhängig war. Ungewiss war es auch, ob die DSB überhaupt ein Bescheid erlassen wird. Das Rechtsinstitut der Streitanhängigkeit iSd § 233 ZPO kennt das AVG nicht.

Jeder Schriftsatz bedarf einer Auslegung nach dessen objektiven Erklärungswert. Wenn ein Schriftsatz mit "Ergänzend zu meiner Beschwerde" eingeleitet wird, ist davon auszugehen, dass es sich bei diesem Schriftsatz um eine Beschwerdeergänzung und um keine neue Beschwerde handelt. Auch aus diesem Grund war von keiner entschiedenen Sache auszugehen.

BVwG 11.02.2025, W254 2295624-1

Auskunft, Empfänger, Zeitpunkt der Erteilung, Löschung, Widerspruch

Ein Wohnungseigentümer stellte Auskunftsersuchen an seine Hausverwaltung. In der ihm erteilten Auskunft wurden nur die Empfängerkategorien, nicht jedoch die konkreten Empfänger benannt, weshalb der Wohnungseigentümer sich bei der DSB beschwerte. Die Hausverwaltung erteilte eine ergänzende Auskunft und beauskunftete die konkreten Empfänger samt Übermittlungsgrund und Inhalt der übermittelten Daten. Die DSB stellte daher das Vorverfahren gemäß § 24 Abs 6 DSG ein.

Noch am selben Tag erhob der Wohnungseigentümer eine weitere Datenschutzbeschwerde, mit der er geltend machte, dass die Auskunft weiterhin unvollständig und unrichtig sei. Weiters machte er Verletzungen in seinen Rechten auf Löschung und Widerspruch geltend. Die DSB wies die Datenschutzbeschwerde in allen drei Punkten ab und stellte ua fest, dass Gegenstand der datenschutzrechtlichen Auskunft die zum Zeitpunkt des Einlangens des Auskunftsersuchens tatsächlich verarbeiteten Daten sind. Die vom Wohnungseigentümer erhobene Bescheidbeschwerde blieb erfolglos.

Das BVwG hat erwogen: Weder das DSG noch die DSGVO sehen in Bezug auf das Recht auf Auskunft die Feststellung vergangener Rechtsverletzungen vor, weshalb der Wohnungseigentümer durch die allenfalls verspätete Auskunftserteilung nicht in seinem Recht auf Auskunft verletzt ist.

Die Verarbeitung personenbezogener Daten ist ua dann rechtmäßig, wenn diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt (Art 6 Abs 1 lit c DSGVO). Gemäß § 24 Abs 5 WEG 2002 sind Beschlüsse der Eigentümergemeinschaft jedem Wohnungseigentümer sowohl durch Anschlag an einer deutlich sichtbaren Stelle des Hauses als auch durch Übersendung schriftlich zur Kenntnis zu bringen. Gemäß Abs 6 leg cit kann jeder Wohnungseigentümer innerhalb eines Monats ab Anschlag verlangen, dass die Rechtsunwirksamkeit des Beschlusses, zB wegen formeller Mängel, gerichtlich festgestellt wird. Der Wohnungseigentümer hat den verfahrensgegenständlichen Beschluss nicht angefochten. Daher ist dieser in Rechtskraft erwachsen.

Es ist dem Wohnungseigentümer verwehrt, über den Umweg des Datenschutzrechts eine Aufhebung dieses Beschlusses zu erwirken. Eine Datenschutzbeschwerde kann nicht dazu dienen, über die in die Zuständigkeit anderer Behörden bzw Gerichte fallenden Fragen zu entscheiden. Vor diesem Hintergrund besteht auch kein Recht des Wohnungseigentümers auf Widerspruch gemäß Art 21 DSGVO und Löschung gemäß Art 17 DSGVO.

Die Hausverwaltung ist verpflichtet, den Wohnungseigentümern gemäß § 34 WEG eine ordentliche und richtige Abrechnung zu legen. Auf Verlangen muss sie zudem jedem Wohnungseigentümer Auskunft über Namen und Zustellanschriften der übrigen Wohnungseigentümer erteilen, soweit dies zur Verständigung iZm der Ausübung von eigentümerbezogenen Rechten und Gestaltungsmöglichkeiten erforderlich ist. Hierfür ist die Verarbeitung von personenbezogenen Daten der einzelnen Wohnungseigentümer erforderlich. Ist die Datenverarbeitung für eine rechtliche Verpflichtung erforderlich, besteht kein Recht auf Widerspruch.

BVwG 17.02.2025, W274 2302842-1

Geheimhaltung, veröffentlichte Daten, Einwilligung

Ein Anrainer fühlte sich durch das in unmittelbarer Nähe liegende Nassholzlager gestört, weil es aufgrund mangelnder Wasserabflussrinnen zu enormen Mücken-, Gelsen und Insektenplagen kam. Vor diesem Hintergrund richtete er ein Auskunftsersuchen an die Bezirkshauptmannschaft ("BH"), um einvernehmlich rechtliche und organisatorische Möglichkeiten mit dem Betreiber des Holzlagers auszuloten und das Problem zu lösen. Die BH leitete die E-Mail des Anrainers inklusive seines Namens, Adresse, E-Mail-Adresse und Handynummer an den Betreiber weiter und forderte diesen zur Stellungnahme auf. Daraufhin erhob der Anrainer eine Datenschutzbeschwerde bei der DSB, weil er sich durch die Weitergabe seiner Daten an den Betreiber in seinem Recht auf Geheimhaltung verletzt erachtete. Die DSB stellte hinsichtlich der Weitergabe der E-Mail-Adresse und der Handynummer eine Verletzung seines Rechts auf Geheimhaltung fest. Dagegen erhob die BH eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Gemäß § 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Dass bestimmte personenbezogene Daten veröffentlicht sind, führt nicht zur Annahme, dass das Datenschutzregime dafür nicht gelte. Sofern zulässigerweise veröffentlichte Daten nicht bloß reproduziert werden, sondern ein neues Element mit diesen Daten verknüpft wird, handelt es sich bei dieser Verknüpfung um eine Verarbeitung gemäß Art 4 Z 2 DSGVO.

Nach dem objektiven Erklärungswert ist das hinzufügen des Namens, der Adresse, der E-Mail-Adresse und Handynummer durch den Anrainer jedoch so zu verstehen, dass die BH diese Daten für die vom Anrainer gewünschten Bemühungen einer raschen und einvernehmlichen Lösung des Problems gegenüber dem Betreiber nutzen durfte.

Eine Einwilligung iSd DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung. Aus Sicht der BH hat der Anrainer seine Kontaktdaten freiwillig preisgegeben, um sie zur Lösung des Problems einzusetzen. Es war kein Hinweis hinzugefügt, dass diese Daten durch die BH nur in eingeschränkter Weise verwendet werden durften. Da der Anrainer angab, zuvor bereits selbst an den Betreiber herangetreten zu sein, ist davon auszugehen, dass er im Rahmen dessen bereits seine E-Mail-Adresse oder Handynummer offengelegt hatte.

Daher ist anzunehmen, dass die personenbezogenen Daten aufgrund einer Einwilligung durch die BH verarbeitet wurden. Betroffene können nämlich auch wirksam eine Einwilligung zur Datenverarbeitung erteilen, ohne dass ihnen vorab nähere Informationen bereitgestellt werden. Die BH hat nicht auf öffentlich zugängliche Daten des Anrainers zugegriffen und diese verarbeitet, sondern jene Daten weitergeleitet, die ihr verfahrenseinleitend vom Anrainer übermittelt wurden. Zudem war die Handynummer des Anrainers durch Eingabe seines Vor- und Nachnamens in der Suchmaschine Google auffindbar und somit allgemein zugänglich. Dies steht der Feststellung einer Geheimhaltungspflichtverletzung gemäß § 1 DSG entgegen.

Eine Wildkamera kann, durch einen Bewegungsmelder ausgelöst, Aufnahmen machen und ist daher von anderen Formen der Videoüberwachung nicht zu unterscheiden. Durch die Wildkamera erfolgte eine grundsätzlich permanente Beweissicherung ua zwecks Gewinnung von Beweismitteln für ein zivilrechtliches Verfahren. Eine Erforderlichkeit der durchgeführten Datenverarbeitungen war jedoch nicht gegeben, weil ein gelinderes Mittel zur Verfügung stand, nämlich die anlassfallbezogene Aufnahme von Lichtbildern mittels Handykamera (BVwG 14.02.2025, W211 2288888-1).

In einem Zivilverfahren betreffend eine mögliche Einschränkung von Dienstbarkeiten sind Lichtbilder ein wesentlicher Bestandteil des zwingend zu erstattenden Vorbringens des Klägers. Die Erforderlichkeit der Datenverarbeitung in Verbindung mit den berechtigen Interessen der Geltendmachung und Verteidigung von Rechtsansprüchen ist aus einer ex ante-Sicht zu prüfen und ausreichend weit auszulegen. Die Verarbeitung eines Lichtbilds zu einem konkreten Anlassfall ist zur Geltendmachung oder Verteidigung von Rechtsansprüchen zulässig (BVwG 14.02.2025, W211 2288825-1).

Eine Abfrage von Fremddaten (Daten aus einem Fremdakt) im Polizeilichen Aktendokumentationssystem (PAD), die nicht im Rahmen der dienstlichen Aufgabenerfüllung erfolgt, ist verboten. Eine Beamtin hat sich der Ausübung des Amts zu enthalten und ihre Vertretung zu veranlassen, wenn ihre volle Unbefangenheit in Zweifel gezogen werden kann. Ein Disziplinarverstoß ist verwirklicht, wenn aus Freundschaft Fremddaten abgefragt werden (BVwG 14.02.2025, W208 2307243-1).

Allfällige datenschutzrechtliche Bedenken stehen der Vorschreibung des ORF-Beitrags nicht entgegen. Das BVwG ist zudem für datenschutzrechtliche Anbringen nur zuständig, wenn eine Bescheidbeschwerde sich gegen einen Bescheid der DSB richtet (BVwG 04.02.2025, G314 2296792-1; G314 2296798-1).

Datenschutzrechtliche Bestimmungen verfolgen nicht den Zweck, die Erhebung der Abgaben zu erschweren. Die Vorlage von für die Festsetzung der Abgabe erforderlichen Unterlagen kann daher aus datenschutzrechtlichen Gründen nicht verweigert werden (BFG 03.03.2025, RV/7102539/2021).

DSB 11.02.2025, 2024-0.195.679

Straßenfotografie, Kunstfreiheit, Fotos

Ein Straßenfotograf fertigte auf der Straße Fotos von Menschen – ua auch Kindern – an und veröffentlichte diese auf seiner Website. In einigen Fällen ließen die Bilder Rückschlüsse auf die Religionszugehörigkeit der abgebildeten Personen zu, und auf einem Foto war ein erheblicher Teil des Ausschnitts einer Betroffenen zu sehen. Die DSB wurde durch eine anonyme Anzeige darauf aufmerksam gemacht und leitete ein amtswegiges Prüfverfahren gemäß Art 58 Abs 1 lit b DSGVO ein.

Die DSB hat erwogen: Gemäß Art 8 GRC bzw § 1 DSG hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Gemäß Art 13 GRC bzw § 17a StGG sind Kunst und Forschung frei. Art 85 Abs 2 DSGVO legt fest, dass für die Verarbeitung zu wissenschaftlichen, künstlerischen oder literarischen Zwecken Abweichungen von bestimmten Kapiteln der DSGVO zulässig sind, um das Recht auf Schutz der personenbezogenen Daten mit der Meinungsäußerungsfreiheit in Einklang zu bringen.

Bei der Verarbeitung personenbezogener Daten nach § 9 Abs 2 DSG zu künstlerischen Zwecken finden die Grundsätze des Art 5 DSGVO uneingeschränkt Anwendung. Es bedarf einer Interessenabwägung im Einzelfall, um das Grundrecht auf Datenschutz mit dem Grundrecht auf Kunstfreiheit in Einklang zu bringen. Das Anfertigen und die Veröffentlichung der Fotos sind jeweils eine Verarbeitung iSd Art 4 Z 2 DSGVO. Der Straßenfotograf ist der Verantwortliche für die Webseite und die Bildverarbeitungen.

Da die Gesichter der betroffenen Personen auf den Fotos eindeutig ersichtlich und die betroffenen Personen damit identifizierbar sind, sind die fotografischen Abbildungen personenbezogene Daten. Das Recht am eigenen Bild ist eine besondere Erscheinungsform des allgemeinen Persönlichkeitsrechts. Bereits die Herstellung eines Bildnisses ohne Einwilligung des Abgebildeten kann einen unzulässigen Eingriff in dessen allgemeines Persönlichkeitsrecht darstellen. Minderjährige und Kinder sind als vulnerable Betroffene besonders schutzbedürftig. Auch Fotos, aus denen die Religionszugehörigkeit hervorgeht, auf welchen ein großer Teil des Ausschnitts zu sehen ist oder Betroffene beim Essen abbildet, unterliegen einer höheren Schutzwürdigkeit. Die Interessen der Betroffenen überwiegen in Summe den berechtigten Interessen auf Kunstfreiheit des Straßenfotografen. Die Einholung einer Einwilligung vor der Anfertigung des Bildes würde die Kunstform der Straßenfotografie zwar weitgehend verunmöglichen, jedoch wäre es dem Straßenfotografen zumutbar gewesen, zumindest im Nachhinein eine Einwilligung einzuholen. Daher ist dem Straßenfotograf aufzutragen, die genannten Fotos innerhalb einer Frist von zwei Wochen zu löschen.

EGMR 03.04.2025, 57748/21, Kulák/Slovakia

Rechtsanwalt, Kanzleidurchsuchung, Auswertung eines Computers

·      Ein slowakischer Rechtsanwalt geriet im Rahmen einer Korruptionsermittlung ins Visier der slowakischen Strafverfolgungsbehörden. Der Staatsanwalt ordnete die Sicherung und Herausgabe von Computerdaten an. Die Durchsuchung erfolgte ohne schriftlichen Durchsuchungsbefehl unter Berufung auf eine Dringlichkeitssituation. Der beschlagnahmte Computer wurde vollständig gesichert und blieb fast fünfzehn Monate im Gewahrsam der Behörden. Dieser enthielt auch Mandantendaten, die nicht im Zusammenhang mit dem anhängigen Ermittlungsverfahren standen. Die Extraktion der Daten erfolgte durch einen gerichtlich bestellten Sachverständigen. Dieser ging jedoch bei der Analyse über die im Sicherstellungsbefehl festgelegten Suchbegriffe hinaus.

Der Rechtsanwalt erhob zunächst Beschwerde gegen die Durchsuchung und Sicherstellung. Der Staatsanwalt hielt das Vorgehen für rechtmäßig, weil der tatsächliche Kanzleistandort erst nach der Festnahme bekannt geworden sei und eine Vor-Ort-Sichtung der Daten technisch nicht möglich gewesen sei. In weiterer Folge wandte sich der Rechtsanwalt mit einer Verfassungsbeschwerde erfolglos an das slowakische Verfassungsgericht. Auch eine zweite Verfassungsbeschwerde wegen der Datenauswertung wurde abgewiesen. Der Rechtsanwalt rief daraufhin den EGMR (erfolgreich) an.

Der EGMR hat erwogen: Durchsuchungen und Beschlagnahmen in Rechtsanwaltskanzleien greifen in die durch Art 8 EMRK geschützten Rechte ein. Sie betreffen insbesondere den vertraulichen Austausch zwischen Rechtsanwalt und Mandant sowie das Anwaltsgeheimnis, das das Vertrauensverhältnis zwischen beiden schützt und eine ordnungsgemäße Rechtspflege gewährleistet. Deshalb bedürfen solche Maßnahmen besonderer verfahrensrechtlicher Sicherungen. Die Vertraulichkeit der anwaltlichen Kommunikation unterliegt unabhängig von ihrem Inhalt dem Schutz des Art 8 EMRK. Ein Verstoß gegen das Anwaltsgeheimnis kann nicht nur das individuelle Vertrauensverhältnis, sondern das gesamte Rechtssystem gefährden. Die Durchsuchungen von Kanzleien sind einer besonders strengen Kontrolle zu unterwerfen. Diese setzt die Anwesenheit und Mitwirkung einer unabhängigen, fachkundigen Person voraus.

Die Durchsuchung der Kanzlei des Rechtsanwalts samt der fast fünfzehnmonatigen Beschlagnahme seines Computers ist ein Eingriff in sein durch Art 8 EMRK geschütztes Recht. Die Dauer hatte spürbare negative Auswirkungen auf seine berufliche Tätigkeit.

Eine gerichtliche ex-post-Überprüfung der Rechtmäßigkeit der Durchsuchungen war nicht vorgesehen. Die Staatsanwaltschaft ist kein unabhängiges Gericht iSd Art 6 EMRK.

Ob nur verfahrensrelevante Daten am Computer eingesehen wurden, kann nicht festgestellt werden. Zudem fehlten nationale Regelungen, um vom Anwaltsgeheimnis betroffenes oder nicht verfahrensrelevantes Material zu schützen. Der Rechtsanwalt wurde sohin in seinen Rechten nach Art 8 EMRK verletzt.

EGMR 01.04.2025, 2799/16, Ships Waste Oil Collector B.V. and Others/the Netherlands

Telefonabhörung, Datenweitergabe, Beweismittel

·      Mehrere niederländische Unternehmen standen im Fokus strafrechtlicher Ermittlungen wegen Urkundenfälschung und illegaler Entsorgung von Abfall. Im Rahmen dieser strafrechtlichen Untersuchung wurden Telefonate von Mitarbeitern abgehört, die Hinweise auf Preisabsprachen beinhalteten. Diese Daten wurden an die niederländische Wettbewerbsbehörde weitergegeben, die diese nutzte, um gegen wettbewerbsrechtliche Verstöße vorzugehen und schließlich Geldbußen gegen mehrere Unternehmen verhängte. Die Unternehmen erachteten sich ua in ihrem Recht auf Achtung ihres Privatlebens gemäß Art 8 EMRK verletzt und wendeten sich an den EGMR. Der EGMR entschied, dass die Übermittlung und Verwendung abgehörter Daten bei der Verfolgung gerichtlicher Straftaten an eine andere Behörde nicht gegen Art 8 EMRK verstoßen.

Der EGMR hat erwogen: Die Übermittlung von abgehörten Daten an eine andere Behörde ist ein Eingriff in das Recht auf Achtung des Privatlebens und der Korrespondenz. Ein solcher Eingriff muss gesetzlich vorgesehen sein, einem legitimen Ziel dienen und in einer demokratischen Gesellschaft notwendig sein.

Maßgeblich für den Ermessensspielraum der Staaten bei einem Grundrechtseingriff nach Art 8 EMRK ist der Inhalt der betreffenden Daten, nicht die physische oder rechtliche Natur oder der Status der Beschwerdeführenden. Um Willkür und Missbrauch zu verhindern, gelten die Mindestgarantien nach Art 8 EMRK für natürliche und juristische Personen gleichermaßen.

Die Übermittlung der Daten stützte sich auf eine gesetzliche Grundlage im niederländischen Recht. Definiert wurden sowohl die übermittelbaren Daten (strafrechtliche Daten) als auch der zulässige Zweck (Durchsetzung von Rechtsvorschriften) sowie der Kreis potenzieller Empfänger. Die Umstände, unter denen die Übermittlung von rechtmäßig erlangtem Abhörmaterial an eine andere Strafverfolgungsbehörde genehmigt werden durfte, war sohin klar geregelt.

Das niederländische Recht verlangte von der Staatsanwaltschaft auch eine Prüfung der Erforderlichkeit und Verhältnismäßigkeit der Datenübermittlung. Die Datenübermittlungen dienten dem legitimen Ziel, das wirtschaftliche Wohl des Landes zu schützen und das Wettbewerbsrecht durchzusetzen. Die niederländischen Behörden haben die Interessen der Unternehmen mit dem öffentlichen Interesse abgewogen und haben ausreichende Gründe vorgebracht, um die Erforderlichkeit und Verhältnismäßigkeit der Datenübermittlung zum Zweck der Durchsetzung des Wettbewerbsrechts zu rechtfertigen.

Die betroffenen Unternehmen hatten auch die Möglichkeit, die Übermittlung der Daten vor Gericht anzufechten und eine wirksame gerichtliche Überprüfung zu erhalten. Eine Abhilfe in Form der Vernichtung übermittelter Daten oder einer finanziellen Entschädigung ist nicht zwingend erforderlich, um ein Rechtsmittel im Zusammenhang mit der Übermittlung von Abhördaten zu gewähren. Einschränkungen ihrer Nutzung, wie beispielsweise eine Erklärung der Unzulässigkeit als Beweismittel, können eine ausreichende Abhilfe darstellen. Zudem stand es den Unternehmen offen, die Übermittlungen in zivilrechtlichen Verfahren anzufechten.

EuGH 03.04.2025, C-710/23, Ministerstvo zdravotnictví

Vertreter juristischer Personen, personenbezogene Daten, Zugang zu amtlichen Dokumenten

·      Ein Auskunftswerber begehrte Auskunft über die Vertreter juristischer Personen, die Kaufverträge für COVID-19 Tests mit dem tschechischen Gesundheitsministerium unterzeichneten. Bei der erteilten Auskunft des Ministeriums wurden die personenbezogenen Daten dieser Personen, darunter Name, Kontaktdaten und Unterschrift sowie in einigen Fällen auch die Websites der juristischen Personen, geschwärzt. Gegen diese Vorgehensweise erhob der Auskunftswerber eine erfolgreiche Klage. Nach Ansicht des Gerichts hätte das Ministerium entsprechend der innerstaatlichen Rechtsprechung den Vertretern der juristischen Personen die Möglichkeit der Stellungnahme einzuräumen gehabt und es hätte zu prüfen gehabt, ob für die Offenlegung der personenbezogenen Daten eine Rechtsgrundlage nach Art 6 DSGVO vorliegt. Das angerufene Höchstgericht legte dem EuGH die Fragen vor, (i) ob die verfahrensgegenständlichen Daten iSd Art 4 Z 1 DSGVO personenbezogene Daten sind und (ii) ob innerstaatliche Rechtsprechung, die einen Verantwortlichen verpflichtet, Betroffene vor der Datenübermittlung der Daten zu unterrichten, mit dem Unionsrecht vereinbar ist.

Der EuGH hat erwogen: Der Begriff personenbezogener Daten ist weit auszulegen und erfasst alle Arten von Informationen objektiver und subjektiver Natur einer identifizierten oder identifizierbaren natürlichen Person. Daten natürlicher Personen, die juristische Personen vertreten, sind personenbezogene Daten. Der berufliche Kontext begründet keine Ausnahme. Auch der Begriff "Verarbeitung" iSd Art 4 Z 2 DSGVO ist weit zu verstehen. Die in der Definition enthaltene Aufzählung an Verarbeitungstätigkeiten ist nur beispielhaft. Die Übermittlung von personenbezogenen Daten eines Vertreters einer juristischen Person ist eine Verarbeitung.

Mitgliedstaaten können nach Art 6 Abs 2 DSGVO Bestimmungen erlassen, die spezifische Anforderungen für die Anwendung der Rechtfertigungsgründe nach Art 6 Abs 1 lit c und e DSGVO festlegen, um eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung von Daten zu gewährleisten. Als Rechtsgrundlage für die Verarbeitung gemäß Art 6 Abs 1 lit c DSGVO iVm Art 6 Abs 3 DSGVO kann auch innerstaatliche Rechtsprechung herangezogen werden. Diese Rechtsgrundlage muss ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. Solche Rechtsgrundlagen können auch spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO, darunter auch allgemeine Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung, enthalten.

Der Zugang der Öffentlichkeit zu amtlichen Dokumenten liegt im öffentlichen Interesse. Der Transparenzgrundsatz der Art 1, Art 10 EUV und Art 15 AEUV soll eine Beteiligung der Bürger am Entscheidungsprozess ermöglichen und Legitimität, Effizienz und Verantwortung der Verwaltung in einer Demokratie gewährleisten.

Nationale Rechtsprechung, die für den Zugang zu amtlichen Dokumenten eine Konsultation der von der Offenlegung betroffenen natürlichen Personen vorsieht, steht der DSGVO nicht entgegen. Die zusätzliche Verpflichtung darf eine Auskunft aber nicht verunmöglichen, einen unverhältnismäßigen Aufwand erfordern und nicht zu einer unverhältnismäßigen Einschränkung auf Zugang zu amtlichen Dokumenten führen. Eine auskunftspflichtige Behörde hat den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten in Einklang zu bringen. Eine Behörde darf sich nicht systematisch auf die praktische Unmöglichkeit einer Informationserteilung stützen, ohne in irgendeiner Weise zu versuchen, die Interessen der DSGVO und des Öffentlichkeitsrechts miteinander in Einklang zu bringen.

VfGH 25.02.2025, G20/2025

SKY ECC, § 134 Z 3 StPO, Legaldefinition

·      Ein mutmaßlicher Suchtgifthändler wurde in erster Instanz (nicht rechtskräftig) zu einer Freiheitsstrafe verurteilt. Diese Verurteilung basierte insbesondere auf ursprünglich verschlüsselten Chatverläufen des Anbieters "SKY ECC", die von französischen Behörden entschlüsselt und an österreichische Strafverfolgungsbehörden übermittelt wurden. Der OGH erklärte die Verwertung derartiger Chatverläufe für zulässig. Der mutmaßliche Suchtgifthändler wendete sich mit einem Parteiantrag an den VfGH und beantragte, der VfGH möge § 134 Z 3 StPO als verfassungswidrig aufheben. Er brachte im Wesentlichen vor, dass (i) die Auffassung des OGH den Vorgaben des VfGH im Erkenntnis VfSlg 20.356/2019 (Bundestrojaner) widerspricht, (ii) die Chatverläufe einem Beweismittelverbot unterliegen, und (iii) der OGH den § 134 Z 3 StPO verfassungswidrig auslegt. Der VfGH wies den Antrag zurück.

Der VfGH hat erwogen: Bei Gesetzesprüfungsverfahren ist der Anfechtungsumfang der Norm bei sonstiger Unzulässigkeit des Prüfungsantrags nicht zu eng zu wählen. Insbesondere darf der verbleibende Gesetzesteil nicht einen völlig veränderten Inhalt bekommen und es müssen auch die mit der aufzuhebenden Gesetzesstelle untrennbar zusammenhängenden Bestimmungen erfasst werden. Es sind also alle Normen anzufechten, die für die Beurteilung der allfälligen Verfassungswidrigkeit eine untrennbare Einheit bilden. Legaldefinitionen kommt keine eigenständige normative Bedeutung zu. Diese wird erst im Zusammenhang mit anderen Regelungen, die diesen Begriff verwenden, bewirkt. Die angefochtene Bestimmung ist eine Legaldefinition ohne eigenständige normative Wirkung (arg: Überschrift § 134 StPO "Definitionen"), legt also lediglich fest, was eine "Überwachung von Nachrichten" iSd Gesetzes ist. Da lediglich die Legaldefinition des § 134 Z 3 StPO isoliert angefochten wird, ist der Prüfungsumfang zu eng gewählt und der Antrag ist zurückzuweisen. Anm: Mit dem Fall "SKY ECC" haben wir uns im Schönherr Datenschutzmonitor bereits mehrfach beschäftigt.

·      Die Eintragung ins Gewerbeinformationssystem Austria ("GISA") ist schlicht-hoheitliches Handeln. Einzutragen sind ua die genaue Bezeichnung des Gewerbes, das Datum des Entstehens und der Beendigung der Gewerbeberechtigung, die Firma und die Firmenbuchnummer oder die ZVR-Zahl. Die Eintragung hat die zuständige Behörde vorzunehmen, das Verwaltungsgericht darf nur feststellen, dass die Eintragung vorzunehmen ist (VwGH 27.02.2025, Ra 2024/04/0305).

·      Die bloße Wiederholung der an die zweite Instanz erstatteten Ausführungen ist keine gesetzmäßige Ausführung eines Rechtsmittels an ein Höchstgericht. Die Entscheidung des OGH vom 28.06.2023, 9 ObA 51/22y, besagt nicht, dass Einsichtsrechte des Betriebsrats durch die DSGVO nicht beschnitten werden können (OGH 27.02.2025, 8ObA61/24i).

·      Hat der Verantwortliche Zweifel an der Identität eines Betroffenen iSd Art 15 DSGVO, kann er nach Art 12 Abs 6 DSGVO weitere Informationen zu dessen Identifizierung einfordern. Mit der bloßen Berufung eines Rechtsanwalts auf eine Vollmacht gemäß § 8 Abs 1 RAO kann die Bevollmächtigung nur beim Einschreiten vor einer Behörde oder vor einem Gericht nachgewiesen werden. Eine Vollmacht bedarf einer Unterschrift oder einer qualifizierten elektronischen Signatur iSd § 4 Abs 1 S 1 Signatur- und Vertrauensdienstegesetzes. Fehlt eine entsprechende Unterschrift, hat der Verantwortliche keinerlei Grundlage dafür, von einer Bevollmächtigung auszugehen und darf die Auskunft verweigern. Bringt der Betroffene anschließend Klage ein und erteilt der Verantwortliche daraufhin die Auskunft, hat der Verantwortliche keinen Grund zur Klagsführung gegeben. Der Betroffene trägt – als Kläger – gemäß § 45 ZPO die Kosten des Verfahrens und hat dem Verantwortlichen Kostenersatz zu erstatten (OLG Graz 17.01.2025, 5R205/24t).

BVwG 26.02.2025, W101 2284403-1

Videoüberwachung, Geldbuße, Strafzumessung

·      Die Betreiberin einer Kfz-Werkstatt installierte in einem Zeitraum von knapp zwei Jahren eine Videoüberwachungsanlage im Bereich der straßenseitigen Einfahrt, um ihr Eigentum sowie das Eigentum ihrer Kunden zu schützen. Der Aufnahmebereich der Anlage erfasste einen Teil des an die Werkstatt angrenzenden öffentlichen Gehsteigs sowie einen Teil der öffentlichen Gemeindestraße. Die Aufzeichnungen der Videoüberwachungsanlage wurden für einen Zeitraum von 24 Stunden gespeichert und in der Folge automatisch gelöscht. Die DSB stellte die Rechtswidrigkeit des Betriebs der Videoüberwachungsanlage sowie eine Verletzung der Informationspflichten fest und verhängte über die Werkstattbetreiberin eine Geldstrafe iHv EUR 3.190 zzgl EUR 319 als Beitrag zu den Kosten des Verwaltungsstrafverfahrens. Dagegen erhob die Werkstattbetreiberin Bescheidbeschwerde an das BVwG. Das BVwG gab der Bescheidbeschwerde dem Grunde nach keine Folge, setzte die Geldstrafe jedoch auf EUR 1.100 (zzgl EUR 110 Verfahrenskosten) herab.

Das BVwG hat erwogen: Die Werkstattbetreiberin hat zwar ein rechtfertigendes Interesse iSd Art 6 Abs 1 lit f DSGVO am Betrieb der Bildaufnahme vorgebracht (Schutz ihres Eigentums, Schutz des Eigentums ihrer Kunden, Ausforschung potenzieller Straftäter). Allerdings hat die Videokamera maßgebliche Bereiche des – vor der Werkstatt liegenden – öffentlichen Raums erfasst. Die diesen Bereich frequentierenden Passanten müssen vernünftigerweise nicht damit rechnen, im öffentlichen Raum gefilmt zu werden. Zur Zweckerfüllung war es nicht notwendig, (auch) diesen öffentlichen Raum zu überwachen, sodass den Grundsätzen der Datenminimierung nicht genüge getan wurde. Zudem hat die Werkstattbetreiberin die Videoüberwachungsanlage weder gekennzeichnet noch die betroffenen Personen in sonstiger Weise informiert.

Für die Strafzumessung ist jedoch zu berücksichtigten, dass die aufgenommenen Bilddaten automatisch nach 24 Stunden gelöscht wurden und es lediglich ein einziges Mal zu einer "Nachschau" des Bildmaterials – in Folge eines Parkschadens im Eingangsbereich der Werkstatt – kam. Ferner war die Werkstattbetreiberin unbescholten und sie hat nach Zustellung der Aufforderung zur Rechtfertigung die gegenständliche Verarbeitung unverzüglich eingestellt.

BVwG 03.02.2025, W292 2289286-1

Statistik Austria, Namensgleichheit, Register der statistischen Einheiten

·      Ein Landwirt führt einen landwirtschaftlichen Betrieb als Einzelunternehmer und wohnt mit seinem Vater an derselben Adresse. Beide tragen denselben Vor- und Nachnamen. Der Landwirt führt darüber hinaus die akademischen Titel "Dipl.-Ing." und "Dr.", sein Vater nicht. Im Rahmen einer agrarstatistischen Erhebung versendete die Bundesanstalt Statistik Österreich (Statistik Austria) ein behördliches Schreiben mit Zugangsdaten (Anmeldenamen, Passwort, Aktivierungscode sowie Betriebsnummer) zu einem elektronischen Fragebogen. Die Sendung war korrekt an den Landwirt adressiert, enthielt jedoch nicht dessen akademische Titel. Sie wurde ohne Zustellnachweis übermittelt und von dem namensgleichen Vater entgegengenommen. Daraufhin brachte der Landwirt eine Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Geheimhaltung ein.

Die DSB stellte einen Verstoß gegen den Grundsatz des Art 5 Abs 1 lit f DSGVO (Integrität und Vertraulichkeit) fest, weil bei der Verfügung der Zustellung die akademischen Titel des Empfängers nicht als zusätzliches Identifikationskriterium verwendet wurden. Dagegen erhob die Statistik Austria eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Statistik Austria ist gemäß § 22 Abs 1 Bundesstatistikgesetz 2000 eine Anstalt öffentlichen Rechts des Bundes. Sie ist als Verantwortliche des öffentlichen Bereichs und als staatliche Behörde iSd § 1 Abs 2 DSG zu qualifizieren. Gemäß § 4 Abs 1 Z 3 Bundesstatistikgesetz 2000 haben die Organe der Bundesstatistik die Statistiken zu erstellen und die statistischen Erhebungen durchzuführen, die durch eine Verordnung angeordnet sind. Gemäß § 5 Abs 1 Agrarstrukturstatistik-Verordnung 2023 hat die Statistik Austria für die Befragung einheitliche Erhebungsunterlagen (elektronischer Fragebogen samt Erläuterungen) zu erstellen und diese den Auskunftspflichtigen zur Verfügung zu stellen.

Die Zustellung hätte auch mit Angabe der akademischen Titel des Landwirts nicht verhindert werden können (§ 5 ZustG). Vielmehr wäre diese nur durch eine Eigenhandzustellung (§ 21 ZustG) auszuschließen gewesen.

Für die Rechte und Freiheiten des Landwirts war mit der Übersendung kein besonderes Risiko verbunden. Art 5 Abs 1 lit f DSGVO verlangt die Ergreifung von Maßnahmen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Die Statistik Austria hatte die Adressdaten zum Zweck der Zustellverfügung aus dem von ihr geführten Register der statistischen Einheiten gemäß § 25a Abs 1 Z 1 iVm § 25 Abs 1 Z 1 Bundesstatistikgesetz 2000 zu ermitteln, eine weitere Pflicht zur Abfrage öffentlicher Register bestand nicht.

Es gibt bundesweit kein öffentliches Register, aus welchem rechtssicher und aktuell hervorgeht, welche akademischen Titel von einer bestimmten Person geführt werden dürfen. Auch besteht keine gesetzliche Verpflichtung, akademische Titel in das geführte Register einzutragen. Zudem sind akademische Titel rechtlich kein Bestandteil eines Namens einer natürlichen Person. Ein Verstoß gegen Art 5 Abs 1 lit f DSGVO bzw Art 32 DSGVO liegt somit nicht vor.

·      Eine Verantwortliche darf zur Wahrung ihres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) drei Videokameras betreiben, wenn dies zur Verfolgung und Verteidigung von Rechtsansprüchen iZm Rechtsstreitigkeiten, die zwischen dem Betroffenen und der Verantwortlichen sowie deren Vermieter anhängig sind, erforderlich und verhältnismäßig ist (BVwG 11.03.2025, W292 2280453-2).

·      Bonitätsdaten (wie historische Zahlungsinformationen), die nicht aus dem Insolvenzregister stammen, sondern von einem Inkassounternehmen an eine Kreditauskunftei rechtmäßig offengelegt wurden, sind ein Jahr nach der nachweislich positiven Erledigung der Forderung zu löschen (BVwG 24.02.2025, W298 2296144-1).

·      Ist der Sachverhalt von der DSB nur im Hinblick darauf ermittelt worden, dass die Anzahl der bei der DSB eingebrachten Datenschutzbeschwerden ermittelt wurde, ist eine Ermittlung des Sachverhalts anhand der Datenschutzbeschwerde komplett unterblieben. Nach dem Urteil des EuGH vom 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), liegt der Tatbestand der Exzessivität nur vor, wenn eine Missbrauchsabsicht des Betroffenen nachgewiesen wird. Die Ermittlung der Anzahl der eingebrachten Datenschutzbeschwerden genügt nicht. Der Bescheid der DSB ist daher aufzuheben und die Angelegenheit ist zur Erlassung eines neuen Bescheides an die DSB zurückverwiesen (BVwG 24.02.2025, W298 2280884-1).

·      Die Auswertung eines sichergestellten Datenträgers, wie zB eines Mobiltelefons, ist eine eingriffsintensive und weitreichende Ermittlungsmaßnahme. Sämtliche auf einem Datenträger (lokal oder extern) gespeicherte Daten, einschließlich des Zugriffs auf externe Speichermedien (zB Netzwerksysteme oder Clouds), können ausgewertet werden. Die Strafverfolgungsorgane können dadurch (i) auf weit in der Vergangenheit liegende Daten des Betroffenen zugreifen, (ii) sie können umfassende Verhaltens- und Bewegungsprofile der Betroffenen erstellen, (iii) die eingesetzten Algorithmen oder Suchbegriffe können sich auf das Ergebnis der Auswertung auswirken, (iv) die vorhandenen Daten können mit anderen Daten der Strafverfolgungsorgane verknüpft werden und (v) bei einer etwaigen Veränderung von Daten kann nur nachvollzogen werden, dass eine Veränderung stattgefunden hat. Bereits der Versuch von Polizeibehörden, ein Mobiltelefon für Zwecke der strafrechtlichen Ermittlung auszuwerten, fällt in den Anwendungsbereich der EU-DatenschutzRL für Polizei und Justiz 2016/680 (DSRL-PJ). Liegt kein begründeter Eilfall vor, ist ohne vorangehende Kontrolle durch ein Gericht sohin die gesamte Sicherstellung des Mobiltelefons rechtswidrig (LVwG Tirol 26.03.2025, LVwG-2024/12/2583-3).

·      Am 31.03.2025 sind die (i) "Delegierte Verordnung (EU) 2025/300 der Kommission vom 10. Oktober 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für die zwischen zuständigen Behörden auszutauschenden Informationen", ABl L 2025/300; (ii) "Delegierte Verordnung (EU) 2025/305 der Kommission vom 31. Oktober 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der in einen Antrag auf Zulassung als Anbieter von Krypto-Dienstleistungen aufzunehmenden Angaben", ABl L 2025/305; (iii) "Delegierte Verordnung (EU) 2025/413 der Kommission vom 18. Dezember 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des genauen Inhalts der Informationen, die für die Beurteilung einer geplanten Übernahme einer qualifizierten Beteiligung an einem Emittenten eines vermögenswertereferenzierten Tokens erforderlich sind", ABl L 2025/413; (iv) "Delegierte Verordnung (EU) 2025/414 der Kommission vom 18. Dezember 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des genauen Inhalts der Informationen, die für die Beurteilung einer geplanten Übernahme einer qualifizierten Beteiligung an einem Anbieter von Kryptowerte-Dienstleistungen erforderlich sind", ABl L 2025/414; sowie die (v) "Durchführungsverordnung (EU) 2025/306 der Kommission vom 31. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Mustertexte und Verfahren für die in einen Antrag auf Zulassung als Anbieter von Krypto-Dienstleistungen aufzunehmenden Angaben", ABl L 2025/306; veröffentlicht worden. Die vier DelegiertenVOs ergänzen die KryptowerteVO VO (EU) 2023/1114 (MiCAR) durch technische Regulierungsstandards zur Übermittlung bestimmter Informationen. Die DurchführungsVO enthält Standardformulare, Mustertexte und Verfahren zur MiCAR.

EGMR 08.04.2025, 22077/19, Green/UK

Datenoffenlegung, parlamentarische Immunität

·     In einem bereits abgeschlossenen Zivilverfahren wurden gegen einen bekannten Geschäftsmann schwerwiegende Vorwürfe erhoben (ua rassistische Beleidigungen, sexuelle Belästigung). Um die Veröffentlichung der Vorwürfe zu verhindern, wurden in den Prozessen Vertraulichkeitsvereinbarungen geschlossen, weil sich die Offenlegung aus den Verfahren negativ auf den Ruf des Geschäftsmannes auswirken könnte. Über die Vorfälle wollte eine Zeitung berichten, gegen die der Geschäftsmann gerichtlich vorging und eine einstweilige Verfügung zur Verhinderung der Veröffentlichung seines Namens erwirkte. Die Zeitung veröffentlichte anschließend einen Artikel, der zwar auf die Hintergründe und Vorwürfe einging, jedoch den Namen des Geschäftsmannes nicht veröffentlichte.

In einer parlamentarischen Debatte veröffentlichte ein Mitglied des House of Lords unter Bezugnahme auf den Artikel den Namen des Geschäftsmannes. Der Geschäftsmann reichte eine Beschwerde gegen das Vereinigte Königreich wegen der Veröffentlichung seiner Identität beim EGMR ein, insb auch deshalb, weil die Offenlegung seiner Daten Verschwiegenheitsbemühungen gegen die Zeitung zunichtemachte. Der Geschäftsmann sah in der Vorgehensweise sein Recht auf Achtung seines Privatlebens gemäß Art 8 EMRK und sein Recht auf ein faires Verfahren gemäß Art 6 EMRK verletzt. Darüber hinaus sah er sein Recht auf wirksame Beschwerde gemäß Art 13 EMRK verletzt, weil gegen den Abgeordneten rechtlich nicht vorgegangen werden kann. Der EGMR stellte keine Verletzung von Art 8 EMRK fest und wies die Beschwerde hinsichtlich Art 6 und Art 13 EMRK zurück.

Der EGMR hat erwogen: Die Offenlegung der Daten einer Person, gegen die schwerwiegende Vorwürfe erhoben werden, ist eine ernsthafte Beeinträchtigung des Rufs und kann zu einer Verletzung des Rechts auf Achtung des Privatlebens gemäß Art 8 EMRK führen.

Die parlamentarische Immunität und die Redefreiheit sind zentral für die Rolle des Parlaments. Grundsätzlich wiegen das Recht auf Privatsphäre und das Recht auf Freiheit der Meinungsäußerung gleich schwer, im parlamentarischen Kontext wiegt das Recht auf freie Meinungsäußerung jedoch schwerer. Mitglieder des Parlaments müssen in der Lage sein, zu sprechen und zu kritisieren, ohne Angst vor Strafe zu haben. Die parlamentarische Immunität schützt ua die freie Rede im Parlament und dient der Trennung der Legislative von der Judikative ("Gewaltenteilung"). Bei der Regulierung der Redefreiheit im parlamentarischen Kontext haben Mitgliedstaaten einen weiten Ermessensspielraum, wie und ob ex-ante und ex-post Kontrollen eingeführt werden. Die zusätzliche Einrichtung von Kontrollen, welche die Offenlegung von Informationen verhindern sollen, war nicht geboten.

Das Recht auf parlamentarische Immunität verstößt nicht gegen das Recht auf ein faires Verfahren. Ein Staat muss keine besonderen Maßnahmen zum Rechtsschutz implementieren, um die Offenlegung von Informationen zu verhindern. Dies auch dann nicht, wenn diese Informationen durch die einstweilige Verfügung eines Gerichts geschützt sind. Diese Einschränkung des gerichtlichen Rechtsschutzes ist verhältnismäßig, weil dadurch die Redefreiheit im Parlament und die Gewaltenteilung geschützt werden.

Eine eigene Beschwerdemöglichkeit bzw ein Rechtsbehelf ist gegen die Offenlegungen im Parlament nicht erforderlich.

·     Mit der VO (EU) 2017/1939 wurde die Europäische Staatsanwaltschaft errichtet ("EUStA"). Die Zuständigkeit zur Überprüfung der Handlungen der EUStA ist zwischen den nationalen Gerichten und den Unionsgerichten aufgeteilt. Die Zuständigkeit zur Überprüfung der Entscheidungen der EUStA, die die Rechte auf Datenschutz der Betroffenen berühren, fällt in die Zuständigkeit der Unionsgerichte (EuGH 08.04.2025, C-292/23, EUStA).

OLG Linz 09.01.2025, 6R171/24w

Auskunft, Prozessposition, Rechtsmissbrauch

·     Eine Spielerin war Kundin eines Online-Glücksspielunternehmens, welches über eine maltesische Glücksspiellizenz, nicht aber über eine Konzession nach dem österreichisches Glücksspielgesetz (GSpG) verfügt. Das Glücksspielunternehmen bietet ihre Website auf deutscher Sprache an und die Website ist in Österreich abrufbar. Die Spielerin stellte ein schriftliches Auskunftsersuchen an das Glücksspielunternehmen und verlangte eine Kopie ihrer Daten. Nachdem das Glücksspielunternehmen die Auskunft verweigerte, erhob die Spielerin eine Klage beim LG Steyr. Gegen das dem Klagebegehren stattgebende Urteil des Erstgerichts legte das Glücksspielunternehmen eine (erfolglose) Berufung beim OLG Linz ein. Das Glücksspielunternehmen argumentierte, das Auskunftsersuchen sei rechtsmissbräuchlich, weil die Spielerin damit bloß ein Beweismittel für einen Zivilprozess gegen das Unternehmen erlangen wolle.

Das OLG Linz hat erwogen: Das Recht auf Auskunft steht unter keinen Voraussetzungen und muss nicht mit einem Rechtsschutzinteresse begründet werden. Eine Auskunftspflicht besteht auch dann, wenn das Auskunftsersuchen keinem der in Erw-Gr 63 DSGVO genannte Zwecken (Überprüfung der Rechtmäßigkeit, Bewusstsein der Verarbeitung) dient. Die Auskunftserteilung kann nicht bloß deshalb abgelehnt werden, weil damit primär die Beweismittelbeschaffung beabsichtigt wird. Ein Auskunftsersuchen ist auch nicht offenkundig unbegründet oder rechtsmissbräuchlich, wenn damit datenschutzfremde Ziele verfolgt werden.

Rechtsmissbrauch liegt nur vor, wenn zwischen den verfolgten eigenen Interessen und den beeinträchtigten Interessen des anderen ein krasses Missverhältnis besteht. Die Geltendmachung von erlittenen Spielverlusten durch einen Kläger ist weder ein unlauteres Verhalten noch tritt das Auskunftsrecht hinter ein allenfalls berechtigtes Interesse des Beklagten. Es muss der Schädigungszweck bzw das unlautere Motiv der Rechtsausübung im Vordergrund stehen.

Die Geltendmachung von erlittenen Spielverlusten durch die Spielerin ist weder ein unlauteres Verhalten noch tritt das Auskunftsrecht hinter ein allenfalls berechtigtes Interesse des Glücksspielunternehmens. Auch lässt sich kein Schädigungszweck erkennen. Das Einklagen von einem allfälligen Saldo ist ein legitimes Interesse der Spielerin.

Ein berechtigtes Geheimhaltungsinteresse gemäß § 4 Abs 6 DSG iVm Art 15 Abs 4 DSGVO aufgrund der durch die Informationsherausgabe drohenden Schwächung ihrer Prozessposition (gemeint in einem zukünftigen Leistungsverfahren wegen Glücksspielverlusten) kommt dem Glücksspielunternehmen nicht zu. Denn die Spielerin ersucht nur um die Herausgabe von Daten aus gemeinsamen Geschäftsbeziehungen, sodass kein Geheimnis des Glücksspielunternehmens gegenüber der Klägerin besteht.

·     Mit der bloßen Berufung eines Rechtsanwalts auf die ihm erteilte Vollmacht gemäß § 8 Abs 1 RAO kann die Bevollmächtigung nur beim Einschreiten vor einer Behörde oder vor einem Gericht nachgewiesen werden. Stellt ein Dritter für einen Betroffenen ein Auskunftsersuchen an einen Verantwortlichen des privaten Bereichs, ist dem Auskunftsersuchen eine schriftliche Vollmacht beizulegen. Fehlt die Vollmacht, hat der Verantwortliche keine Grundlage, um von einer Bevollmächtigung auszugehen und darf die Auskunft verweigern. Bringt der Betroffene anschließend Klage ein und erteilt der Verantwortliche daraufhin die Auskunft, hat der Verantwortliche keinen Grund zur Klagsführung gegeben. Der Betroffene trägt – als Kläger – gemäß § 45 ZPO die Kosten des Verfahrens und hat dem Verantwortlichen Kostenersatz zu leisten (OLG Innsbruck 29.01.2024, 10R87/24f).

BVwG 27.02.2025, W258 2230578-1

Bürgerjournalismus, Medienfreiheit, Meinungsfreiheit

·     Im Jahr 2018 dokumentierte ein Tierschutzaktivist zwei Jagdveranstaltungen in der Steiermark mittels Foto- und Videoaufnahmen. Ziel war es, die Öffentlichkeit über Treibjagden iZm Tierschutz zu informieren. Der Aktivist veröffentlichte die Aufnahmen auf sozialen Medien und stellte sie großen Medienhäusern zur Verfügung. Dabei wurde auch ein Jäger aufgenommen, der als Obmann eines Jagdvereins in der Jägerschaft bekannt war. Eine ausdrückliche Information des Jägers über die Datenverarbeitung unterblieb. Der Jäger erhob daraufhin Datenschutzbeschwerde bei der DSB. Er sah seine Rechte auf Geheimhaltung, Information und Auskunft verletzt.

Die DSB wies die Datenschutzbeschwerde hinsichtlich der behaupteten Verletzung des Rechts auf Geheimhaltung und Information ab, gab jedoch dem Auskunftsersuchen statt. Sie stellte fest, dass sich der Tierschutzaktivist nicht auf das Medienprivileg des § 9 Abs 1 DSG aF berufen könne, seine Tätigkeit allerdings als "Bürgerjournalismus" zu qualifizieren sei. Bei einer Interessenabwägung des Grundrechts auf freie Meinungsäußerung des Tierschutzaktivisten und des Grundrechts auf Geheimhaltung des Jägers überwiege die Meinungsäußerungsfreiheit. Beide Verfahrensparteien erhoben eine Bescheidbeschwerde an das BVwG. Das BVwG gab der Bescheidbeschwerde des Jägers hinsichtlich des Rechts auf Information statt. Die Bescheidbeschwerde des Aktivisten wurde abgewiesen.

Das BVwG hat erwogen: Der österreichische Gesetzgeber hat die Öffnungsklausel des Art 85 DSGVO ursprünglich durch § 9 Abs 1 DSG idF BGBl I 2018/24 ("aF") umgesetzt. Der Tierschutzaktivist versuchte durch seine Handlungen einen Beitrag zur öffentlichen Debatte rund um die Jagd iZm Tierschutz zu leisten. Durch die Auswahl geeigneter Aufnahmen und ihrer textlichen Ergänzung ist ein Mindestmaß an journalistischer Bearbeitung gegeben.

Laut dem EuGH liegt eine journalistische Tätigkeit vor, wenn die Tätigkeit ua den Zweck hat, Informationen in der Öffentlichkeit zu verbreiten. Der Tierschutzaktivist war daher bei der Erstellung und Speicherung der Aufnahmen journalistisch tätig. Die Bestimmung des § 9 Abs 1 DSG aF war jedoch auf einen bestimmten Personenkreis beschränkt (zB Medieninhaber und Medienunternehmen), die den "Bürgerjournalismus" nicht umfasste.

Aufgrund der fehlenden Berücksichtigung des Bürgerjournalismus war die Umsetzung des Art 85 durch § 9 DSG aF unvollständig. Die unmittelbare Anwendung des Art 85 Abs 2 DSGVO scheidet jedoch aus, weil diese Bestimmung keine inhaltlichen Regelungen, sondern nur einen Auftrag an die Mitgliedstaaten enthält. Eine analoge Anwendung des § 9 DSG scheitert daran, dass keine planwidrige Lücke vorliegt. Der Tierschutzaktivist kann sich somit nicht auf das Medienprivileg des § 9 Abs 1 DSG aF berufen.

Der Aktivist darf sich hingegen auf die Meinungsäußerungsfreiheit nach Art 11 Abs 1 GRC berufen. Das Erfassen des Jägers erweist sich vor dem Hintergrund des Verarbeitungszwecks als unvermeidbar, wodurch der Grundsatz der Datenminimierung gewahrt bleibt (Art 5 Abs 1 lit c DSGVO). Auf den Aufnahmen und Videos ist der Jäger unkenntlich gemacht worden, weshalb mangels personenbezogener Daten eine Verletzung seines Rechts auf Geheimhaltung ausscheidet. Trotz nicht störungsfreien Verhaltens überwiegt das Interesse des Tierschutzaktivisten an der Dokumentation, weil die Berichterstattung für die Diskussion über Tierschutz relevant ist und der Eingriff nur in die Sozialsphäre des Jägers erfolgte.

Das Medienprivileg ist in der Zwischenzeit novelliert worden. Hinsichtlich des Medienprivilegs des § 9 Abs 1a S 5 DSG in der neuen Fassung darf der Verantwortliche ua Auskunft über personenbezogene Daten, die zu journalistischen Zwecken verarbeitet werden und noch nicht veröffentlicht wurden, verweigern. Der Tierschutzaktivist hat jedoch die von ihm erfassten Daten bereits teilweise auf seiner "Facebook Seite" veröffentlicht. Er hätte dem Jäger daher bestimmte Informationen zu erteilen gehabt.

 BVwG 21.02.2025, W211 2288083-1

Auskunft, konkrete Empfänger, zukünftige Empfänger, Erhebungspflicht

·     Ein Betroffener stellte im Jahr 2019 ein Auskunftsersuchen an ein Unternehmen, das über eine Online-Applikation Webdienste zur kostenpflichtigen Abfrage öffentlich zugänglicher Registerdaten betreibt. Das Unternehmen erteilte eine erste Auskunft. Der Betroffene erhob Datenschutzbeschwerde bei der DSB, weil die Auskunft seiner Ansicht nach unvollständig war. Die DSB setzte das Verfahren betreffend Art 15 Abs 1 lit c DSGVO aus, um eine Entscheidung des EuGH in der Rs C-154/21, Österreichische Post, abzuwarten. Nach dem Urteil des EuGH ergänzte das Unternehmen im Jahr 2023 die Auskunft über die konkreten Empfänger. Gleichzeitig teilte es mit, dass seit dem Jahr 2022 keine Protokolle über Zugriffe mehr vorhanden seien, weil diese bereits gelöscht wurden. Die DSB stellte das Verfahren in der Folge mit Zustimmung des Betroffenen formlos ein.

Im selben Jahr erhob der Betroffene eine weitere Datenschutzbeschwerde. Er brachte vor, das Unternehmen habe während des vorhergehenden Verfahrens Daten zu Empfängern aus dem Jahr 2022 gelöscht, um der Auskunftspflicht aus dem ursprünglichen Auskunftsersuchen von 2019 zu entgehen. Die DSB wies die Datenschutzbeschwerde ab. Sie stellte fest, dass die Auskunftspflicht nach Art 15 DSGVO nur Daten umfasst, die zum Zeitpunkt des Auskunftsersuchens tatsächlich verarbeitet wurden. Daraufhin erhob der Betroffene (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Durch ein Auskunftsersuchen wird eine inhaltliche Auskunftspflicht nur hinsichtlich solcher Daten ausgelöst, die vom Verantwortlichen aktuell verarbeitet werden. Löscht ein Verantwortlicher willkürlich die Daten nach Eingang eines Auskunftsersuchens vor dessen Erledigung, so handelt er rechtswidrig. Der Umfang der Auskunftserteilung wird daher durch den Zeitpunkt des Einlangens des Auskunftsersuchens bestimmt.

Nur konkrete Empfänger iSd Art 15 Abs 1 lit c DSGVO sind zu beauskunften, denen zum Zeitpunkt des Einlangens eines Auskunftsersuchens bereits personenbezogene Daten übermittelt wurden. Eine Auskunftspflicht besteht zudem gegenüber jenen Empfängern, an die eine solche Übermittlung in geplanter und vorhersehbarer Weise künftig erfolgt.

Die Rechte der Betroffenen auf Information und Auskunft nach der DSGVO beziehen sich auf einen Zeitpunkt, der um bis zu drei Monate – die maximale Frist zur Beantwortung eines Auskunftsersuchens – oder um die tatsächliche Bearbeitungsdauer in die Zukunft verschoben werden kann. Dies gilt jedoch nur für künftige Übermittlungen, die bereits laufend stattfinden, insofern Status quo sind, und deren Eintreten sicher ist.

Die Bestimmung des Art 15 Abs 1 lit c DSGVO verpflichtet nicht zur Auskunft über zukünftige Verarbeitungen, die während eines anhängigen Verfahrens zur Auskunftserteilung erfolgen. Es gibt auch keine nachträgliche Erhebungspflicht. Das Unternehmen hat vor dem Jahr 2022 keine Zuordnung von Empfängern gespeichert, weshalb eine derartige Auskunft für den zeitgegenständlichen Zeitraum gar nicht möglich war.

·     Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 28.01.2025, W254 2284412-1).

·     Am 08.04.2025 wurde die Verordnung des Bundesministers für Inneres über den elektronischen Rechtsverkehr im Bereich der Strafrechtspflege ("Elektronischer Rechtsverkehr im Bereich der Strafrechtspflege"), BGBl II 2025/63, kundgemacht. Die Verordnung enthält Regelungen zum elektronischen Rechtsverkehr mit Gerichten, Staatsanwaltschaften und Vollzugsbehörden.

Ein Betroffener erhob in weniger als zwei Jahren insgesamt 77 Datenschutzbeschwerden bei der DSB. Er machte in 46 Fällen das Recht auf Löschung und in 29 Fällen das Recht auf Auskunft geltend. Oftmals erhob der Betroffene seine Datenschutzbeschwerden wenige Tage nach Ablauf der "Ein-Monats-Frist", wenn er innerhalb eines Monats keine Antwort erhielt.

Die DSB lehnte die Behandlung einer auf das Recht auf Auskunft gerichteten Datenschutzbeschwerde des Betroffenen mit der Begründung ab, dass die 77 Datenschutzbeschwerden als exzessive Inanspruchnahme des Beschwerderechts nach Art 57 Abs 4 DSGVO anzusehen seien. Der Betroffene brachte Bescheidbeschwerde beim BVwG ein, dass den Ablehnungsbescheid der DSB als Zurückweisungsbescheid wertete und der Bescheidbeschwerde stattgab. Begründend führte das BVwG ua aus, dass "Exzessivität" iSd Art 57 Abs 4 DSGVO nur dann vorliege, wenn Datenschutzbeschwerden einen offensichtlich schikanösen bzw rechtsmissbräuchlichen Charakter haben. Weiters sei nach Art 57 Abs 4 DSGVO bei "exzessiven Anträgen" vorrangig eine angemessene Gebühr zu verlangen. Eine Ablehnung der Behandlung komme nur in Ausnahmefällen in Betracht.

Die DSB erhob Amtsrevision an den VwGH, der das Verfahren aussetzte und dem EuGH drei Fragen zu "exzessiven Anträgen" iSd Art 57 Abs 4 DSGVO vorlegte. Nachdem der EuGH diese Fragen mit Urteil vom 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Exzessive Anfragen), beantwortete, setzte der VwGH das Verfahren fort und behob das Erkenntnis des BVwG.

Der VwGH hat erwogen: Die DSB ist nur berechtigt, die Behandlung einer Datenschutzbeschwerde abzulehnen, wenn sie das Vorliegen einer Missbrauchsabsicht des Beschwerdeführers nachweist. Allein die Zahl der eingebrachten Datenschutzbeschwerden durch eine Person reicht nicht als Nachweis. Die Häufung von Datenschutzbeschwerden kann jedoch ein Indiz für die Missbrauchsabsicht sein.

Eine Missbrauchsabsicht ist dann anzunehmen, wenn die entscheidenden Gründe des Beschwerdeführers für die Einbringung einer Vielzahl von Datenschutzbeschwerden nicht in der Verfolgung der ihm aus der DSGVO zukommenden Rechte liegen und der Beschwerdeführer ohne diese sachfremden Gründe die Vielzahl an Datenschutzbeschwerden nicht erhoben hätte.

Ein Indiz dafür, dass der Beschwerdeführer nicht oder nicht entscheidend den Schutz der ihm aus der DSGVO zukommenden Rechte verfolgt, ist etwa, wenn der Beschwerdeführer zu den Verantwortlichen, gegen die sich seine Datenschutzbeschwerden richten, keinen Bezug hat und keine Anhaltspunkte für die Verarbeitung personenbezogener Daten des Beschwerdeführers durch die Verantwortlichen bestehen.

Veranlasst ein Beschwerdeführer nur deshalb eine Verarbeitung seiner personenbezogenen Daten durch einen Verantwortlichen, um anschließend die ihm aus der DSGVO zukommenden Rechte, wie etwa das Auskunftsrecht, gegenüber dem Verantwortlichen geltend machen zu können, und besteht nur deswegen eine Beziehung zwischen dem Beschwerdeführer und dem Verantwortlichen, ist in Bezug auf eine spätere Datenschutzbeschwerde ebenso Missbrauchsabsicht des Beschwerdeführers anzunehmen.

Die DSB hat die Wahl zwischen der Einhebung einer angemessenen Gebühr für die Bearbeitung einer exzessiven Datenschutzbeschwerde und der Weigerung, aufgrund einer solchen Datenschutzbeschwerde tätig zu werden. Sie hat jedoch unter Berücksichtigung aller relevanten Umstände auf die Eignung, Erforderlichkeit und Verhältnismäßigkeit beider Handlungsoptionen Bedacht zu nehmen.

Das Verfahren über Bescheidbeschwerden gegen Entscheidungen der nationalen Aufsichtsbehörden richtet sich nach dem jeweiligen mitgliedstaatlichen Verfahrensrecht.

Lehnt die DSB die Behandlung einer Datenschutzbeschwerde ab, trifft sie keine inhaltliche Entscheidung. Die "Sache" des Beschwerdeverfahrens vor dem BVwG ist daher – wie bei der Zurückweisung – nur die Frage der Rechtmäßigkeit der Ablehnung. Das BVwG hat jedoch den von der DSB herangezogenen Ablehnungsgrund umfassend und abschließend zu beurteilen und dafür den maßgeblichen Sachverhalt amtswegig selbst zu erheben. Anm: Dieses Erkenntnis des VwGH könnte große praktische Auswirkungen entfalten. Insb das Geschäftsmodell, Websites nur deshalb aufzurufen, um den Verantwortlichen anschließend abzumahnen, gegen ihn Datenschutzbeschwerde einzubringen oder ihn auf Unterlassung- und/oder auf Schadenersatz zu klagen, könnte unter Druck geraten.

Ob der Betroffene tatsächlich 77 Datenschutzbeschwerden eingebracht hat, ist unklar. Denn die DSB zählt die von ihr vergebenen Aktenzahlen und nicht die tatsächliche Anzahl der Datenschutzbeschwerden.

VwGH 29.01.2025, Ra 2022/04/0049

Rechtsmissbrauch, offenkundige Unbegründetheit, Berichtigung

Ein Betroffener brachte insg 29 Datenschutzbeschwerden bei der DSB ein, mit welchen er die Berichtigung iSd Art 16 DSGVO bzw die "Richtigstellung" eines Sachverständigengutachtens über seinen Gesundheitszustand verlangte. Die DSB lehnte die Behandlung der verfahrensgegenständlichen Datenschutzbeschwerden wegen "offenkundiger Unbegründetheit" und "Exzessivität" ab. Das BVwG behob den Ablehnungsbescheid der DSB, wogegen sich die (erfolgreiche) Amtsrevision der DSB richtete.

Der VwGH hat erwogen: Über die Weigerung der Behandlung einer Datenschutzbeschwerde hat die DSB in Bescheidform abzusprechen.

Das Vorliegen einer offenkundigen Unbegründetheit ist aus objektiver Sicht zu beurteilen. Eine Datenschutzbeschwerde ist dann offenkundig unbegründet, wenn sie ohne nähere Prüfung der Angriffs- oder Verteidigungsmittel als erfolglos erkannt werden kann. Eine offenkundige Unbegründetheit kann somit angenommen werden, wenn eine Datenschutzbeschwerde keinen Bezug zu datenschutzrechtlichen Fragestellungen aufweist. Das Berichtigungsrecht ist nur bei Tatsachenangaben anwendbar, nicht aber bei Werturteilen. Die auf Tatsachenangaben beruhenden Schlussfolgerungen eines Sachverständigen in einem Gutachten sind subjektiver Natur. Sie sind die Meinung eines Gutachters und sind dem Berichtigungsrecht nicht zugänglich. Die "Richtigstellung" einer gutachterlichen Meinung kann daher keinen Gegenstand einer auf Berichtigung gerichteten Datenschutzbeschwerde bilden. Einer solchen Datenschutzbeschwerde kommt ohne nähere Prüfung keine Erfolgschance zu, weshalb eine offenkundige Unbegründetheit vorliegen kann.

Die Behandlung einer Datenschutzbeschwerde darf nur dann als exzessiv abgelehnt werden, wenn eine nachgewiesene Missbrauchsabsicht vorliegt. Das Einbringen einer Datenschutzbeschwerde ist ua dann missbräuchlich, wenn (i) der Beschwerdeführer die Datenschutzbeschwerde zur Erzielung eines durch die datenschutzrechtlichen Bestimmungen nicht geschützten Zwecks erhebt (zB Publicity, Feindseligkeit, Sensationslust), (ii) der Beschwerdeführer sich der Unrichtigkeit seines Rechtsstandpunkts bewusst sein muss, etwa weil er dieselbe – oder ähnliche – Datenschutzbeschwerden bereits erfolglos erhoben hat, (iii) eine Person die Ressourcen der DSB in Anspruch nimmt, obwohl sich bereits aus dem Beschwerdevorbringen ergibt, dass mit der betreffenden Datenschutzbeschwerde offenkundig andere Ziele als die Durchsetzung des Datenschutzrechts verfolgt werden.

·     Die DSB ist nur berechtigt, die Behandlung einer Datenschutzbeschwerde als exzessiv abzulehnen, wenn sie das Vorliegen einer Missbrauchsabsicht des Beschwerdeführers nachweist. Eine Missbrauchsabsicht ist dann anzunehmen, wenn die entscheidenden Gründe des Beschwerdeführers für die Einbringung einer Vielzahl von Datenschutzbeschwerden nicht in der Verfolgung der ihm aus der DSGVO zukommenden Rechte liegen und der Beschwerdeführer ohne diese sachfremden Gründe die Vielzahl an Datenschutzbeschwerden nicht erhoben hätte. Das Einbringen einer Datenschutzbeschwerde ist ua dann missbräuchlich, wenn der Beschwerdeführer die Datenschutzbeschwerde zur Erzielung eines durch die datenschutzrechtlichen Bestimmungen nicht geschützten Zwecks erhebt (zB Publicity, Feindseligkeit, Sensationslust) (VwGH 29.01.2025, Ro 2023/04/0018; Ro 2022/04/0016; Ro 2022/04/0022; Ra 2020/04/0084).

·     Die Passversagung kann nicht auf § 22a Passgesetz gestützt werden, weil diese Bestimmung nur die Verarbeitung personenbezogener Daten anlässlich der Antragstellung und in lokalen Anwendungen regelt (VwGH 20.03.2025, Ro 2022/01/0010).

·     Beauftragt eine Betroffene einen Rechtsanwalt mit der Durchsetzung ihres Betroffenenrechts auf Auskunft, muss der Verantwortliche die Vollmacht und Identität der betroffenen Person prüfen. Weitere Informationen zur Bestätigung der Identität dürfen nur bei begründeten Zweifeln an der Identität verlangt werden. Eine Ausweiskopie ist ein geeigneter Identitätsnachweis. Für den Bevollmächtigungsvertrag gibt es keine besonderen Formvorschriften, auch Art 12 Abs 6 DSGVO enthält keine speziellen Form-erfordernisse. Wenn der Verantwortliche lediglich mitteilt, keine elektronischen Vollmachten zu akzeptieren, ohne Zweifel an der Echtheit der Unterschrift zu äußern, ist für den Betroffenen nicht ersichtlich, ob berechtigterweise weitere Nachweise zur Erfüllung des Auskunftsersuchens erforderlich sind. Da der Verantwortliche die allenfalls bestehenden Zweifel iSd Art 12 Abs 6 DSGO nicht einzelfallbezogen dargelegt hat, wurde die Klageerhebung durch den Verantwortlichen veranlasst. Die Bestimmung des § 45 ZPO findet keine Anwendung (OLG Linz 02.04.2025, 4R29/25z).

·     Aufgrund einer späteren Entscheidung des EuGH entsteht keine Berechtigung zur Wiederaufnahme von rechtskräftig abgeschlossenen Verfahren (BVwG 14.03.2025, W252 2259204-3).

·     Beim LVwG Steiermark war ein Verfahren anhängig, bei welchem der Bruder des Betroffenen einen Bescheid nach der Bundesabgabenordnung (BAO) bekämpfte. Nach einer erfolglosen Berufung an den Gemeinderat erhob der Bruder eine Bescheidbeschwerde an das LVwG Steiermark, wo eine öffentliche, mündliche Verhandlung durchgeführt wurde. Der Betroffene wurde zu dieser Verhandlung als Zeuge geladen. Weiters wurden in der mündlichen Verhandlung Beweismittel vorgelegt, die sich neben dem Bruder auch auf den Betroffenen bezogen. Diese Beweismittel wurden zuvor vom Rechtsanwalt des Bruders an das Gericht übermittelt. Der Betroffene brachte eine Datenschutzbeschwerde beim LVwG Steiermark ein und behauptete, durch die Offenlegung dieser Beweismittel in seinem Recht auf Datenschutz verletzt worden zu sein.

Das LVwG Steiermark hat erwogen: Gemäß Art 130 Abs 2a B-VG sind natürlichen Personen berechtigt, sich über die Handhabung der DSGVO durch die Verwaltungsgerichte zu beschweren. Das LVwG Steiermark ist gemäß Art 130 Abs 2a B-VG iVm § 29a Abs 3 StLVwGG für Beschwerden von Personen zuständig, die durch das LVwG Steiermark in Ausübung seiner gerichtlichen Zuständigkeiten in ihren Rechten gemäß der DSGVO verletzt zu sein behaupten.

Das LVwG Steiermark ist Verantwortlicher für die Verarbeitung von personenbezogenen Daten, unabhängig davon, ob es im Rahmen der justiziellen Tätigkeit oder der Justizverwaltung agiert. Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie auf einen Erlaubnistatbestand des Art 6 DSGVO gestützt werden kann. Gemäß Art 6 Abs 1 lit e DSGVO ist die Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Die Staatsfunktion Gerichtsbarkeit erfolgt in Ausübung öffentlicher Gewalt. Rechtsgrundlage für die Verarbeitung iSd Art 6 Abs 3 DSGVO durch das LVwG Steiermark ist Art 129 B-VG iVm § 1 StLVwGG sowie Art 130 B-VG. Die Verarbeitung der personenbezogenen Daten des Betroffenen erfolgte während einer öffentlichen mündlichen Verhandlung, die ein zentraler Pfeiler der Verwaltungsgerichtsbarkeit ist.

Die Entgegennahme und Würdigung von Beweismitteln ist eine zentrale und grundlegende Aufgabe eines Gerichts und steht in direktem Zusammenhang mit der Gerichtsbarkeit. Gemäß § 166 BAO ist im Abgabenverfahren alles als Beweismittel geeignet, was zur Feststellung des maßgebenden Sachverhalts geeignet und zweckdienlich ist.

Die Vorlage der Beweismittel erfolgte durch eine Partei des Verfahrens. Das LVwG muss vorgelegte Beweismittel, sofern sie nicht zurückgewiesen werden, zum Akt nehmen und in Folge würdigen, um den Sachverhalt festzustellen. Die Entgegennahme und Würdigung eines Beweismittels kann zwar eine Verarbeitung personenbezogener Daten sein, jedoch entspricht dies dem Zweck des Beweisverfahrens und ist dazu geeignet, festzustellen, ob das Beweismittel zur Klärung des Sachverhalts verwertbar sein kann.

Die Verarbeitung der personenbezogenen Daten des Betroffenen ohne dessen Einwilligung war erforderlich und verhältnismäßig. Die Verarbeitung ist somit vom Rechtmäßigkeitsgrund nach Art 6 Abs 1 lit e DSGVO gedeckt.

·     Gemäß § 2 Abs 1 der Intelligente Messgeräte-Einführungsverordnung (IME-VO) haben Netzbetreiber der E-Control die aktuellen Projektpläne über die Einführung von intelligenten Messgeräten sowie jeweils zum 31.03. eines Kalenderjahres einen Bericht insb über den Fortschritt der Installationen von intelligenten Messgeräten, zu den angefallenen Kosten, zu den bei der Installation gemachten Erfahrungen, zum Datenschutz, zur Verbrauchsentwicklung bei den Endverbrauchern und zur Netzsituation in einer von der E-Control vorzugebenden Form zu übermitteln. Der Bundesministerin für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie ist jederzeit Einsicht in die an die E-Control übermittelten Projektpläne zu gewähren und Auskunft über die Anzahl der bereits eingereichten Projektpläne zu erteilen (LVwG Kärnten 23.08.2022, KLVwG-1400/3/2022).

·     Eine Parkraumbewirtschaftungsgesellschaft verfügte über mehr als 350 Stell- und Garagenplätze in Europa, größtenteils in Wien. Diese Stellplätze wurden mit einer unbekannten Anzahl von Videokameras überwacht. Die Parkraumbewirtschaftungsgesellschaft verschickte Abmahnschreiben einschließlich Bildaufnahmen an KFZ-Halter, denen Besitzstörungen vorgeworfen wurden.

Bei der DSB sind eine Vielzahl von Datenschutzbeschwerden bzw Anzeigen eingelangt. Das Verhalten der Parkraumgesellschaft ist auch medial bekannt. Die DSB leitete daher Verfahren gegen die Parkraumbewirtschaftungsgesellschaft ein. Die Gesellschaft reagierte nicht. Selbst nach Einleitung mehrerer Verwaltungsstrafverfahren wegen Verletzung der Mitwirkungspflicht (Art 31 DSGVO), in welchen auch Geldbußen verhängt wurden, erfolgte keine Reaktion. Der einzelvertretungsbefugte Geschäftsführer erschien trotz ordentlicher Ladung zu keiner mündlichen Verhandlung. Das Recht auf Akteneinsicht wurde jedoch ausgeübt.

Die DSB untersagte der Parkraumbewirtschaftungsgesellschaft jegliche Datenverarbeitung durch Videokameras auf Park- und Stellflächen im gesamten Staatsgebiet der Republik Österreich und schloss die aufschiebende Wirkung einer allfälligen Bescheidbeschwerde aus.

Die DSB hat erwogen: Die nicht gehörige Mitwirkung einer Partei im Beweisverfahren unterliegt der freien Beweiswürdigung gemäß § 45 Abs 2 und § 46 AVG. Der Behörde steht es frei, aus der mangelnden Mitwirkung einer Partei im Ermittlungsverfahren eventuell auch für die Partei negative Schlüsse zu ziehen.

Die Liquidation der Parkraumbewirtschaftungsgesellschaft ändert nichts an der Identität der Gesellschaft oder an ihrer Rechtsfähigkeit, denn sie erlischt erst mit ihrer (Voll-)Beendigung, nicht schon mit dem Eintritt der Liquidation. Parteifähige Kapitalgesellschaften verlieren ihre Parteifähigkeit erst mit ihrer Vollbeendigung. Selbst wenn man dies in Abrede stellen würde, kommt es bei der Verarbeitung personenbezogener Daten nicht darauf an, ob Verantwortliche iSd Art 4 Z 7 DSGVO eine Rechtspersönlichkeit und eine eigene Rechtsfähigkeit haben oder nicht.

Die Parkraumbewirtschaftungsgesellschaft konnte – mangels Mitwirkung – trotz der Rechenschaftspflicht und der deshalb sie treffenden Beweislast gemäß Art 5 Abs 2 DSGVO nicht darlegen, dass die Datenverarbeitung rechtmäßig erfolgt ist. Aufgrund der fehlenden Mitwirkung und der Vielzahl der von der Vorgehensweise der Gesellschaft betroffenen Personen war ein sofortiges Verbot der Datenverarbeitung auszusprechen.

Der Ausschluss der aufschiebenden Wirkung war auszusprechen, weil ohne Ausschluss dieser Wirkung erhebliche Nachteile für das öffentliche Wohl bzw für Dritte eintreten könnten, die schwerer wiegen als mögliche Nachteile für die Parkraumbewirtschaftungsgesellschaft. Außerdem liegt Gefahr in Verzug vor, weil davon auszugehen ist, dass die Parkraumbewirtschaftungsgesellschaft weiterhin eine unrechtmäßige Videoüberwachung betreibt.

·     Ein Erwachsenenvertreter installierte in der Wohnung zum Schutz seines Pflegebefohlenen, der unter Angststörungen litt und zu Selbstgefährdung neigte, zwei Kameras. Diese erfassten das Pflegepersonal beim Betreten und Verlassen der Wohnung. Eine weitere Kamera installierte der Erwachsenenvertreter im Garten, wobei das Pflegepersonal vom Aufnahmebereich nicht erfasst wurde. Eine Einwilligung von Seiten des Pflegpersonals in die Videoaufzeichnung lag für keine Kamera vor. Eine der Pflegerinnen brachte eine auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den Erwachsenenvertreter bei der DSB ein.

Die DSB hat erwogen: Da der Aufnahmebereich jener Kamera, die im Garten des Pflegebefohlenen installiert wurde, so gewählt worden war, dass er das Pflegepersonal nicht erfasste, schied eine Verletzung im Recht auf Geheimhaltung a priori aus.

Die beiden im Wohnzimmer angebrachten Kameras sind anders zu beurteilen. Der mit der Installation der Videokameras intendierte Schutz des Pflegebefohlenen mag auf die Wahrnehmung eines berechtigten Interesses gestützt werden können. Die Videoüberwachung des Pflegebefohlenen entsprach jedoch nicht dem Grundsatz der Datenminimierung, weil sie auf Dauer angelegt war. Die Kameras filmten auch in jenen Zeiträumen, in denen das Pflegepersonal anwesend war.

Das ununterbrochene Überwachen der Wohnung war zur Zweckerreichung (dem Schutz des Pflegebefohlenen) nicht erforderlich, weil das Pflegepersonal vor Ort in der Lage war, auf etwaige Gesundheitsveränderungen des Pflegebefohlenen reagieren zu können. Die Videoüberwachung verletzte sohin die Pflegerin in ihrem Geheimhaltungsrecht. Die Aufnahmezeiten der installierten Kameras sind daher derart einzuschränken, dass sie während der Anwesenheit des Pflegedienstes außer Betrieb gesetzt sind.

·     Der europäische Datenschutzausschuss ("EDSA") hat einen Entwurf der Leitlinien zur Verarbeitung personenbezogener Daten durch Blockchain-Technologien zur öffentlichen Konsultation veröffentlicht. Bis 09.06.2025 können Kommentare, Anmerkungen und Vorschläge an den EDSA übermittelt werden.

Die vorgeschlagenen Leitlinien enthalten einen allgemeinen Rahmen für Fragen betreffend die Beachtung der DSGVO, wenn die Verarbeitung personenbezogener Daten ganz oder teilweise auf der sogenannten Blockchain-Technologie basiert. Der EDSA hält fest, dass manche grundlegende Merkmale von Blockchains nur schwer mit den Anforderungen der DSGVO in Einklang zu bringen sind, bemüht sich jedoch, geeignete Wege zur Einhaltung der Vorschriften vorzuschlagen. In einigen Fällen stellt er aber fest, dass der Einsatz dieser Technologie unter datenschutzrechtlichen Gesichtspunkten schlichtweg ausgeschlossen werden muss. Einige Elemente des Datenschutzes stehen der Blockchain-Technologie bereits konzeptionell konträr gegenüber. Das sind insb (i) der Grundsatz der Speicherbegrenzung und der Grundsatz der Datenminimierung, denn in einer Blockchain werden Daten sequenziell hinzugefügt und gespeicherte Daten können prinzipiell nicht mehr gelöscht werden, (ii) darauf basierend das Recht auf Löschung oder Berichtigung, (iii) die Zuordnung der Akteure, weil durch den dezentralisierten Ansatz bei der Blockchain die Identifizierung der datenschutzrechtlichen Rollenverteilungen wesentlich erschwert wird, und (iv) Fragen der internationalen Datenübermittlung.

Der EDSA empfiehlt eine Reihe von Maßnahmen, um dieses Spannungsverhältnis aufzulösen. Empfohlen wird zB die Prüfung der Erforderlichkeit, ob eine Blockchain wirklich zwingend eingesetzt werden muss. Beim Bejahen dieser Frage wird die Wahl eines möglichst datenschutzfreundlichen Modells empfohlen, das etwa (i) Lese- und Schreibrechte auf eine begrenzte Anzahl identifizierter Akteure beschränkt, (ii) die Verschlüsselung von Daten in der Blockchain vorsieht, (iii) die wirksame Ausübung der Betroffenenrechte sicherstellt und (iv) die Durchführung einer DSFA beinhaltet. Weiters empfiehlt der EDSA (v) die Schaffung eines robusten Governance-Systems, das klare technische, organisatorische und rechtliche Vorgaben macht, Verantwortliche und Auftragsverarbeiter klar benennt und Zugriffs-, Vorfalls- und Aktualisierungs-Überwachungen bietet.

·      Betroffene haben ein Recht auf Feststellung einer Verletzung der Informationspflicht gemäß Art 14 DSGVO, auch wenn die Information bis zum Abschluss des Verfahrens vor der DSB vollständig erteilt wird. Da die Rechtsverletzung in der Unterlassung der antraglos zu erteilenden Information liegt, kann diese Verletzung – anders als bei der auf Antrag zu erteilende Auskunft – rückwirkend nicht beseitigt werden. Auch fehlt es nicht an der Beschwer zum Entscheidungszeitpunkt (VwGH 20.03.2025, Ro 2023/04/0050).

OGH 26.03.2025, 6Ob50/24g

E-Commerce, Herkunftslandprinzip, DSA

·      Ein österreichischer Bauunternehmer, der zugleich Geschäftsführer einer GmbH war, beauftragte ein in der Slowakei ansässiges Unternehmen mit Arbeiten, beglich aber aufgrund von Differenzen über die Rechnungslegung die aushaftende Summe nicht. Ein slowakisches Inkassounternehmen nahm ihn daraufhin auf seiner Website unter der Überschrift "Betrüger" in eine "Schuldnerliste" auf, die auch mehrere andere Personen enthielt, und warf ihm vor, für sein Unternehmen Personal geleast und die Rechnung nicht bezahlt zu haben, wodurch er sich unberechtigt bereichert habe. Der OGH wies den Antrag zur Vorlage der Frage an den EuGH, ob diese Äußerungen ein Abgehen vom Herkunftslandprinzip ermöglichen, ab und verwies die Sache zur Erhebung des anwendbaren slowakischen Rechts an das Erstgericht zurück.

Der OGH hat erwogen: Eine den Hostprovider treffende Verpflichtung zur Unterlassung der Verbreitung von Persönlichkeitsrechten verletzenden Inhalten fällt in den koordinierten Bereich von Art 2 lit h sublit i E-Commerce-RL 2000/31/EG bzw § 3 Z 8 ECG. Im koordinierten Bereich stellt Art 3 Abs 2 der E-Commerce-RL das grundsätzliche Verbot auf, dass der Anbieter eines Dienstes des elektronischen Geschäftsverkehrs strengeren Anforderungen unterliegt, als sie das im Sitzmitgliedstaat dieses Anbieters – hier die Slowakei – geltende Sachrecht vorsieht ("Herkunftslandprinzip"). Gerichte können im Einzelfall zum Schutz taxativ genannter Rechtsgüter – wie dem Schutz der Würde einzelner Menschen – und unter Wahrung des Verhältnismäßigkeitsgrundsatzes abweichend vom Herkunftslandprinzip Maßnahmen treffen. Diese Bestimmung ist als Ausnahmeregelung aber grundsätzlich eng auszulegen.

Nicht jede ehrenrührige oder kreditschädigende Äußerung rechtfertigt bereits eine Abweichung vom Herkunftslandprinzip. Ehrverletzungen, die den Kernbereich der Persönlichkeitsrechte betreffen (die Gesundheit, das Sexualleben und das Leben in und mit der Familie) sind regelmäßig als ausreichend schwerer Eingriff. Bei inhaltlicher Unrichtigkeit oder Fehlen eines ausreichenden diesbezüglichen wahren Tatsachenkerns sind die vorliegenden Äußerungen zwar als ehrenbeleidigend und/oder kreditschädigend iSd § 1330 ABGB anzusehen. Sie erreichen aber nicht einen Schweregrad, der ein Abgehen vom Herkunftslandprinzip zum Schutz der Menschenwürde des Klägers als verhältnismäßig erscheinen lässt.

Auf eine allfällige Rechtsänderung durch den während des Rechtsmittelverfahrens in Kraft getretenen Digital Services Act (DSA) ist nicht näher einzugehen. Zwar ist eine Rechtsänderung bei einem in die Zukunft gerichteten Unterlassungstitel während des Rechtsmittelverfahrens beachtlich, weil die Berechtigung des angestrebten Gebots seinem Wesen nach ein in der Zukunft liegendes Verhalten erfassen soll. Mangels Feststellung des slowakischen Rechts fehlen aber noch Feststellungen zur Rechtswidrigkeit des Eingriffs ins Persönlichkeitsrecht.

·      Mit der bloßen Berufung eines Rechtsanwalts auf die ihm erteilte Vollmacht gemäß § 8 Abs 1 RAO kann die Bevollmächtigung nur beim Einschreiten vor einer Behörde oder vor einem Gericht nachgewiesen werden. Beauftragt eine Betroffene einen Rechtsanwalt mit der Durchsetzung ihres Betroffenenrechts auf Auskunft, muss der Verantwortliche die Vollmacht und Identität der Betroffenen prüfen. Eine Vollmacht bedarf einer Unterschrift oder einer qualifizierten elektronischen Signatur iSd § 4 Abs 1 S 1 Signatur- und Vertrauensdienstegesetzes. Fehlt eine entsprechende Unterschrift, hat der Verantwortliche keinerlei Grundlage dafür, von einer Bevollmächtigung auszugehen und darf die Auskunft verweigern. Bringt der Betroffene anschließend Klage ein und erteilt der Verantwortliche daraufhin die Auskunft, hat der Verantwortliche keinen Grund zur Klagsführung gegeben. Der Betroffene trägt – als Kläger – gemäß § 45 ZPO die Kosten des Verfahrens und hat dem Verantwortlichen Kostenersatz zu erstatten (OLG Graz 14.03.2025, 5R28/25i).

·      Hat der Verantwortliche Zweifel an der Identität eines Betroffenen, kann er nach Art 12 Abs 6 DSGVO weitere Informationen zu dessen Identifizierung einfordern. Der Verantwortliche darf nicht generell einen Identitätsnachweis verlangen, sondern muss im Einzelfall prüfen und entscheiden. Der Verantwortliche kann sich weigern, der Betroffenenanfrage nachzukommen, wenn er den Betroffenen nicht identifizieren kann. In einem solchen Fall muss er jedoch glaubhaft machen, nicht in der Lage zu sein, den Betroffenen zu identifizieren. Erstattet der Verantwortliche kein Vorbringen zum Grund seines Verlangens auf Vorlage eines Lichtbildausweises zur Identifizierung, veranlasst er eine Klagsführung durch den Betroffenen und § 45 ZPO kommt nicht zur Anwendung (OLG Graz 13.03.2025, 2R32/25f).

BVwG 05.03.2025, W211 2291833-1

Medienprivileg, Bürgerjournalismus

·      Ein Websitebetreiber veröffentlichte eine Strafverfügung gegen einen Beamten, ohne dessen Namen zu anonymisieren. Die DSB gab der Datenschutzbeschwerde des Beamten statt und stellte fest, dass der Websitebetreiber ihn in seinem Recht auf Geheimhaltung verletzt hat (Spruchpunkt 1). Zudem trug sie dem Websitebetreiber auf, sämtliche personenbezogene Daten des Beamten von der Website zu löschen (Spruchpunkt 2). In der Folge wurde der Beitrag entfernt und eine geschwärzte Version der Strafverfügung online gestellt. Der Websitebetreiber erhob Bescheidbeschwerde beim BVwG. Dieses bestätigte die Entscheidung der DSB hinsichtlich der Verletzung der Geheimhaltungspflicht (Spruchpunkt 1), behob jedoch den Löschungsauftrag (Spruchpunkt 2).

Das BVwG hat erwogen: Der zu beurteilender Verstoß gegen das Recht auf Geheimhaltung war mit der Entfernung der ungeschwärzten Strafverfügung abgeschlossen. In vergleichbaren Fällen sprach der VwGH aus, dass bei der Beurteilung der Rechtmäßigkeit eines abgeschlossenen Vorgangs einer möglichen Datenschutzverletzung die zu diesem Zeitpunkt geltende Rechtslage anzuwenden ist. Da jedoch nicht festgestellt werden konnte, ob die Löschung vor oder nach Inkrafttreten des § 9 DSG (neu) erfolgte und dies auf das Ergebnis keinen Einfluss hat, konnten dahingehende Ermittlungen unterbleiben.

Das Medienprivileg des § 9 Abs 1 DSG (alt) ist nicht anwendbar, weil die Website kein Medienunternehmen iSd MedienG ist. Ein Medieninhaber wird erst dann zum Medienunternehmer, wenn über den Zweck der bloßen Verbreitung von Inhalten hinaus ein Unternehmen mit einem Mindestmaß an unternehmerischen Strukturen betrieben wird, dessen Unternehmenszweck die inhaltliche Gestaltung der Website ist, die von einer Redaktion vorgenommen wird. Die Website beinhaltet zwar redaktionelle Beiträge, stellt aber auch eine Plattform für selbständig agierende Mitgliedsgruppen und zur Verbreitung von Informationen über geplante Aktionen dar, wobei Mitgliedsgruppen auch teilweise selbständig Beiträge hochladen können. Bürgerjournalismus ist von § 9 Abs 1 DSG (alt) nicht umfasst.

Eine unmittelbare Anwendung des Art 85 Abs 2 DSGVO scheidet aus, weil diese Bestimmung keine inhaltlichen Regelungen enthält, sondern Mitgliedstaaten verpflichtet, Regelungen zu erlassen.

Auch § 9 Abs 1 DSG (neu) referenziert als Zielgruppe für die entsprechenden Privilegierungen auf Medienunternehmen nach dem MedienG, weshalb diese Bestimmung ebenfalls nicht anwendbar ist. Da auch § 9 Abs 1 DSG (neu) den Bürgerjournalismus nicht ausreichend berücksichtigt, ist auf die DSGVO zurückzugreifen.

Daten sind nicht allgemein verfügbar, wenn sie nicht einem unbestimmten Personenkreis zugänglich sind. Die Strafverfügung war im Rechtsinformationssystem des Bundes (RIS) nicht abrufbar, sodass das personenbezogene Datum des Beamten nicht allgemein verfügbar war.

Der Websitebetreiber hat zwar ein berechtigtes Interesse daran, über Einschränkungen von Grundrechten und behördliche Entscheidungen zu informieren, die Veröffentlichung des Namens des Beamten war jedoch nicht erforderlich, um dieses Ziel zu erreichen. Die Kritik an der behördlichen Entscheidung kann auch ohne Nennung des Namens des Beamten geäußert werden, sodass die Nennung des Beamten nicht durch Art 6 Abs 1 lit f DSGVO gerechtfertigt war.

Mit der Entfernung der ungeschwärzten Strafverfügung entsprach der Websitebetreiber dem Auftrag der DSB. Zum Entscheidungszeitpunkt des BVwG war daher der geforderte Zustand hergestellt, sodass der Leistungsauftrag aufzuheben war.

BVwG 06.03.2025, W292 2289837-1

Auskunft, Identifizierung, Zurückverweisung

·      Ein Deutscher begehrte Auskunft von einem österreichischen Inkassounternehmen, das eine unselbständige Zweigniederlassung in Deutschland betreibt. Der Deutsche übermittelte dem Inkassounternehmen eine teilweise geschwärzte Kopie seines Personalausweises. Während Vor- und Nachname des Betroffenen lesbar waren, wurden weitere Angaben, darunter insb das Geburtsdatum, geschwärzt. Nachdem das Inkassounternehmen dem Auskunftsersuchen des Deutschen nicht nachgekommen war, erhob dieser Datenschutzbeschwerde an den Landesbeauftragten für den Datenschutz Niedersachsen. Über Anregung des in weiterer Folge involvierten Bayerischen Landesamts für Datenschutzaufsicht zog die DSB als federführende Aufsichtsbehörde die Rechtssache an sich. Die DSB gab der Datenschutzbeschwerde des Deutschen Folge. Dagegen erhob das Inkassounternehmen eine erfolgreiche Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Da sich die Hauptniederlassung des Verantwortlichen, nämlich des Inkassounternehmens, in Österreich befand, ging die DSB zu Recht von ihrer Zuständigkeit aus.

Das Inkassounternehmen teilte der DSB mit, dass es zur Zuordnung des Auskunftsersuchens genauere Informationen zur Identität des Deutschen benötige, weil sich unter dessen Namen mehrere Datensätze in der Forderungskartei des Inkassounternehmens befänden. Dennoch übermittelte das Inkassounternehmen eine an die E-Mail-Adresse des Deutschen gerichtete E-Mail, welche Informationen zu Geldforderungen gegen einen unbeteiligten Dritten enthielt. Dies deshalb, weil die E-Mail-Adresse des Deutschen irrtümlich mit dem unbeteiligten Dritten verknüpft worden war.

Obwohl die DSB das Inkassounternehmen auf diese Personenverwechslung hingewiesen hat, verabsäumte sie es, in weiterer Folge dahingehend zu ermitteln, ob das Inkassounternehmen begründete Zweifel an der Identität des Deutschen haben durfte. Da die DSB insofern zum maßgeblichen Sachverhalt bestenfalls bloß ansatzweise ermittelt hat, war die Angelegenheit zur Feststellung der eindeutigen Identität des Deutschen an sie zurückzuverweisen.

BVwG 11.03.2025, W211 2293097-1

Hackerangriff, Benachrichtigung, Präklusion

·      Im Jahr 2019 ereignete sich ein Hackerangriff auf die elektrische Datenbank einer Bücherei. Die Datenbank wurde kopiert und samt personenbezogenen Daten der Nutzer auszugsweise auf dem anonymen Filehostingdienst Anonfiles veröffentlicht. Die Bücherei informierte die Öffentlichkeit über den Vorfall durch eine Bekanntmachung auf ihrer Webseite und verschickte eine E-Mail an alle betroffenen Nutzer mit einem Hinweis auf einen erforderlichen Passwortwechsel. Darüber hinaus fand eine mediale Berichterstattung betreffend des Hackerangriffs statt, über welche die Nutzer zumindest eine allgemeine Kenntnis erlangten. Im Jahr 2021 erhob ein Nutzer Datenschutzbeschwerde bei der DSB. Er erachtete sich in seinem Recht auf Geheimhaltung gemäß § 1 Abs 1 DSG und in Bezug auf die Informationspflichten gemäß Art 13 und 14 DSGVO verletzt.

Die DSB stellte fest, dass die Bücherei mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art 32 DSGVO das Recht auf Geheimhaltung verletzt habe. Hinsichtlich der behaupteten Verletzung im Recht auf Information wurde die Datenschutzbeschwerde abgewiesen. Die DSB führte zudem aus, dass keine Präklusion gemäß § 24 Abs 4 DSG eingetreten sei. Die Bücherei erhob daraufhin (erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Eine bloß beiläufige Kenntnisnahme eines Ereignisses, die potenziell iZm einer (unrechtmäßigen) Verarbeitung personenbezogener Daten steht, löst die subjektive Präklusivfrist des § 24 Abs 4 DSG nicht aus. Gemäß Art 34 Abs 1 DSGVO hat der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten die Betroffenen unverzüglich zu benachrichtigen.

Nach Bekanntwerden des Hackerangriffs erstattete die Bücherei umgehend eine Meldung gemäß Art 33 Abs 1 DSGVO an die DSB. Weiters informierte die Bücherei mittels öffentlicher Bekanntmachung auf der eigenen Webseite über den Hackangriff. Eine persönliche Betroffenheit war aus dieser Information zwar nicht mit an Sicherheit grenzender Wahrscheinlichkeit abzuleiten. Zusätzlich nahm die Bücherei aber auch eine individuelle Benachrichtigung der Betroffenen via E-Mail vor, wobei die öffentliche Bekanntmachung direkt verlinkt war.

Die versendete E-Mail verfolgte hauptsächlich den Zweck, die Betroffenen zu einem Passwortwechsel zu bewegen. Dies genügte in der konkreten Konstellation den Anforderungen an eine klare und einfache Sprache nach Art 34 Abs 2 DSGVO.

Der Nutzer musste somit spätestens aufgrund der persönlichen Verständigung – über den ihm bereits allgemein bekannten Vorfall – einen begründeten Verdacht seiner persönlichen Betroffenheit iSd § 24 Abs 4 DSG haben. Die einjährige subjektive Präklusivfrist betreffend die Möglichkeit der Erhebung einer Datenschutzbeschwerde war daher im Jahr 2020 abgelaufen.

BVwG 10.03.2025, W287 2286005-1

Geldbuße, Mitwirkungspflicht, Anweisung, Selbstbezichtigung, Strafbemessung

·      Die Medieninhaberin und Herausgeberin einer Tageszeitung sowie Betreiberin eines Online-Nachrichtendienstes verarbeitete personenbezogene Daten zahlreicher Privatpersonen. Zwischen 2020 und 2022 führte die DSB mehrere Beschwerdeverfahren, in deren Rahmen sie die Medieninhaberin wiederholt aufforderte, Stellungnahmen abzugeben. Trotz mehrfacher und teils per RSb-Brief zugestellter Aufforderungen reagierte die Medieninhaberin in mehreren Verfahren nicht oder nur verspätet auf die Anfragen der DSB. Die Medieninhaberin wurde jeweils ausdrücklich auf ihre Mitwirkungspflicht nach Art 31 DSGVO sowie auf die Möglichkeit der Einleitung eines Verwaltungsstrafverfahrens hingewiesen. In einem der Verfahren wurde der Medieninhaberin aufgetragen, einem Betroffenen binnen vier Wochen eine Auskunft gemäß Art 15 DSGVO zu erteilen. Dieser Verpflichtung kam die Medieninhaberin erst zehn Tage nach Ablauf der gesetzten Frist nach.

Während des relevanten Zeitraums war die interne Organisation der Medieninhaberin erheblich beeinträchtigt. Aufgrund der COVID-19 Pandemie kam es zu einem erheblichen Anstieg von Betroffenenanfragen sowie zu strukturellen Veränderungen, wie Kurzarbeit, Homeoffice und einem Einstellungsstopp. Die Medieninhaberin war bewusst gegen die Inanspruchnahme externer Unterstützung.

Die DSB leitete ein Verwaltungsstrafverfahren gegen die Medieninhaberin ein. Im Jahr 2022 setzte sie dieses Verfahren bis zur rechtskräftigen Entscheidung durch den EuGH in der Rechtssache C-807/21, Deutsche Wohnen, aus. Nach Fortsetzung des Verfahrens verhängte die DSB gegen die Medieninhaberin eine Geldbuße wegen Verletzung der Mitwirkungspflicht und Nichtbefolgung einer Anweisung der DSB. Dagegen erhob die Medieninhaberin eine teilweise erfolgreiche Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Art 31 DSGVO legt dem Verantwortlichen eine verwaltungsrechtliche Kooperationspflicht auf. Diese Verpflichtung besteht unabhängig davon, welche Fragen die DSB stellt oder wie das Verfahren ausgeht. Sie hängt auch nicht von der eigenen Beurteilung des Sachverhalts durch die Medieninhaberin ab.

Mitwirkungspflichten stehen in einem Spannungsverhältnis zum nemo tenetur-Grundsatz ("Selbstbelastungsverbot"). Zwar besteht die Garantie des Selbstbezichtigungsverbots bereits im Vorfeld eines Verwaltungsstrafverfahrens, sie gilt jedoch nicht absolut und kann eingeschränkt werden, solange der Grundkern dieses Verfahrensrechts erhalten bleibt. Melde- oder Auskunftspflichten, die nicht intentional auf eine Informationsbeschaffung zum Zwecke strafrechtlicher Verfolgung des Verpflichteten gerichtet sind, gelten als zulässig. Ein Verstoß gegen Art 6 EMRK liegt nur dann vor, wenn eine Selbstauskunft die Gefahr einer (verwaltungs-)strafrechtlichen Verfolgung mit sich bringt und einer Selbstbezichtigung gleichkommt. Das Recht zu schweigen darf jedoch nicht dazu führen, dass jegliche Zusammenarbeit mit einer Behörde verweigert wird.

Die Medieninhaberin konnte sich über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein. Wie sich aus den jeweiligen behördlichen Aufforderungen klar und eindeutig ergibt, hat die DSB jeweils auf die Bestimmung des Art 31 DSGVO sowie den Umstand hingewiesen, dass im Falle der Nichtmitwirkung eine Geldbuße iSd Art 83 DSGVO verhängt werden könne.

Da der Konzernumsatz zwischen EUR 50.000.000 und EUR 100.000.000 liegt, hatte nach den Leitlinien des EDSA eine Anpassung der Geldbuße anhand der Größe der Medieninhaberin zu erfolgen. Zumal der Unternehmensumsatz am unteren Ende der angegebenen Spanne liegt, ist der von der DSB herangezogene Prozentsatz von 15% zu hoch. Neben den Herausforderungen durch die COVID-19-Pandemie ist als mildernd zu berücksichtigen, dass die Auskunft nur zehn Tage nach Ablauf der Leistungsfrist erteilt wurde. Als erschwerend ist zu berücksichtigen, dass die Medieninhaberin auch nach Zustellung der ersten Aufforderung zur Rechtfertigung weiter gegen ihre Mitwirkungspflicht verstoßen hat.

BVwG 10.02.2025, W176 2285593-1

Auskunft, Vollmacht, Korrespondenz, Datenkopie, Löschung

·      Eine Kundin buchte zwei Flugtickets für sich und ihren Ehemann bei einer Fluggesellschaft. Aufgrund geänderter Reisepläne wollte sie die Flüge umbuchen und kontaktierte hierfür die Fluggesellschaft telefonisch. Das Telefonat wurde mit Einverständnis der Kundin aufgezeichnet. Da die Kundin aufgrund des Telefonats davon ausging, dass eine Stornierung und Erstattung des Ticketpreises möglich sei, stornierte sie die Flüge telefonisch. Nach Erhalt einer Bestätigung-E-Mail, die eine Rückerstattung von nur USD 5,60 pro Flug auswies, forderte ihr Ehemann per E-Mail – unter Hinweis auf seine Tätigkeit als Rechtsanwalt – die vollständige Rückerstattung sowie die Herausgabe der Telefonaufzeichnung. Der Ehemann gab an, die Kundin rechtsfreundlich zu vertreten, ein Nachweis der Bevollmächtigung wurde jedoch nicht beigefügt.

Nachdem die Fluggesellschaft die Herausgabe trotz mehrfacher Aufforderung ablehnte, erhob die Kundin eine Datenschutzbeschwerde bei der DSB wegen Verletzung ihres Auskunftsrechts. Die Fluggesellschaft argumentierte, dass kein formelles Auskunftsersuchen gemäß Art 15 DSGVO gestellt wurde und die Aufzeichnung aufgrund der internen Löschfrist von zwei Wochen bereits gelöscht wurde. Nachdem die DSB die Stellungnahme der Fluggesellschaft an die Kundin weiterleitete, änderte diese ihren Antrag und begehrte die Feststellung, dass die Löschung der Aufzeichnung nach Stellung eines Auskunftsersuchens ihr Recht nach Art 15 DSGVO verletzte. Gegen den abweisenden Bescheid der DSB erhob die Kundin eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Das Auskunftsrecht ist ein höchstpersönliches und damit ein subjektives Recht, das an eine bestimmte Person gebunden ist. Ein Auskunftsersuchen kann jedoch auch durch einen rechtlichen Vertreter gestellt werden. Mit der bloßen Berufung eines Rechtsanwalts auf die ihm erteilte Vollmacht gemäß § 8 Abs 1 RAO kann die Bevollmächtigung nur beim Einschreiten vor einer Behörde oder vor einem Gericht nachgewiesen werden.

Beauftragt eine Betroffene einen Rechtsanwalt mit der Durchsetzung ihres Auskunftsrechts, muss der Verantwortliche die Vollmacht und Identität der Betroffenen prüfen. Da die Fluggesellschaft wochenlang mit dem Ehemann korrespondierte, ohne den Nachweis der Bevollmächtigung zu verlangen, kann sie sich jedoch nicht nachträglich darauf berufen, dass ihr die Vollmacht nicht vorgelegt wurde.

Die DSGVO sieht keine Formvorschriften oder Mindestinhalte für Auskunftsersuchen vor. Das Ersuchen ist auf seinen Inhalt zu prüfen, wobei der Maßstab anzulegen ist, wie der Empfänger das Ersuchen nach Wortlaut und Geschäftszweck objektiv verstehen konnte. Die Kundin forderte zunächst lediglich die Herausgabe der Aufzeichnung, was kein Auskunftsersuchen iSd Art 15 DSGVO ist. Erst mit einer späteren E-Mail, die nach Löschung der Aufzeichnung an die Fluggesellschaft geschickt wurde, verwies die Kundin auf ihr Ersuchen gemäß Art 15 Abs 3 DSGVO und gab der Fluggesellschaft zu erkennen, dass sie Auskunft über ihre verarbeiteten personenbezogenen Daten verlangt.

Das Recht auf Erhalt einer Datenkopie gemäß Art 15 Abs 3 DSGVO regelt lediglich die Form der Auskunftserteilung und begründet kein zusätzliches, eigenständiges Recht. Wird die Zurverfügungstellung einer Datenkopie gefordert, kann darauf geschlossen werden, dass implizit auch um eine generelle Auskunftserteilung ersucht wird. Unter Berufung auf Art 15 Abs 3 DSGVO steht jedoch keine über das nach Art 15 Abs 1 DSGVO vorgesehene Maß hinausgehende Auskunftserteilung zu. Da die Aufzeichnung zum Zeitpunkt der Stellung des Auskunftsersuchens bereits gelöscht war, konnte die Entscheidung darüber, ob die Zurverfügungstellung einer Datenkopie zur Ausübung der Betroffenenrechte unerlässlich gewesen wäre, dahingestellt bleiben.

Der Umfang der zu erteilenden Auskunft richtet sich nach dem Zeitpunkt, in dem das Auskunftsersuchen gestellt wird. Wenn der Verantwortliche keine personenbezogenen Daten mehr verarbeitet, ist er zur Erteilung einer Negativauskunft verpflichtet. Verantwortliche haben gemäß § 24 Abs 6 DSG bis zum Abschluss des Verfahrens vor der DSB die Möglichkeit, die behauptete Rechtsverletzung nachträglich zu beseitigen, indem sie den Anträgen entsprechen. Da im Zeitpunkt der Löschung noch kein Auskunftsersuchen vorlag, hat die Fluggesellschaft nicht gegen Art 15 DSGVO verstoßen. Zudem hat die Fluggesellschaft während des Verfahrens, die DSB über die automatische Löschung der Aufzeichnung informiert und hat somit nachträglich Auskunft erteilt. Anm: Der Unterscheid zum oben zusammengefassten Urteil des OLG Graz (OLG Graz 14.03.2025, 5R28/25i) besteht darin, dass die Fluggesellschaft sich trotz Fehlens der Vollmacht auf eine Korrespondenz eingelassen hat.

·      Befasst sich die DSB nicht mit einer Datenschutzbeschwerde, können Betroffene das BVwG befassen (§ 24 Abs 8 DSG). Die DSB lehnte die Behandlung der Datenschutzbeschwerde ab und verweigerte damit die Sachentscheidung, weil die Datenschutzbeschwerde exzessiv gewesen sei. Das "Kernanliegen" der Datenschutzbeschwerde war den Kontakt zum minderjährigen Kind des nicht mehr zur Obsorge berechtigten Vaters – unter Umgehung eines gerichtlichen Kontaktverbots – herzustellen. Die Datenschutzbeschwerde erwies sich aber schon aufgrund ihrer Struktur und Ausführung als exzessiv und rechtsmissbräuchlich (700 Seiten). Denn bereits die Durchsicht von 700 Seiten zur Identifizierung allfälliger Mängel bewirkt einen unzumutbaren Aufwand (BVwG 11.03.2025, W137 2305838-1).

·      Kann die behauptete Offenlegung personenbezogener Daten nicht festgestellt werden, liegt keine Verletzung des Rechts auf Geheimhaltung vor (BVwG 11.03.2025, W211 2288587-1). Anm: Die Beweislast für die monierte Datenverarbeitung trägt der Betroffene.

·      Die Tatsache, wer abgabenrechtlicher Halter eines Hundes ist, unterliegt der Amtsverschwiegenheit gemäß Art 20 Abs 3 B-VG, sofern diese Tatsache geheim ist. Wird der Name einer Hundehalterin der Abgabenbehörde wegen der Meldung einer Hundehaltung auf der Grundlage eines Abgabengesetzes bekannt, unterliegt der Name der Hundehalterin auch dem Steuergeheimnis gemäß § 48a BAO. Die Abgabenbehörde darf den Namen einer Hundehalterin an eine Person, die gestützt auf ein Auskunftsgesetz die Herausgabe dieses Namens zur Verfolgung eines rechtlichen Interesses (Einbringung einer Besitzstörungsklage) verlangt, nicht herausgeben (LVwG NÖ 25.03.2025, LVwG-AV-1248/002-2024).

·      Am 23.04.2025 veröffentlichte die EK eine Pressemitteilung, in der sie ua mitteilte, gegen Apple und Meta auf den Digital Markets Act (DMA) gestützte Geldbußen verhängt zu haben. Gegen Apple wurde wegen Nichteinhaltung der Lenkungsregeln des DMA eine Geldbuße iHv EUR 500 Mio verhängt. Gegen Meta wurde wegen eines bereits abgeänderten binären "Consent or Pay"-Modells eine Geldbuße iHv EUR 200 Mio verhängt. Weiters stellte die EK fest, dass Facebook Marketplace nicht mehr als Online-Vermittlungsdienst iSd DMA benannt werden sollte (EK Pressemitteilung 23.04.2025, IP/25/1085).

·      Am 23.04.2025 wurde die Verordnung der Rundfunk und Telekom Regulierungs-GmbH, mit der der Detaillierungsgrad und die Form der Bereitstellung des Entgeltnachweises festgelegt werden (Einzelentgeltnachweisverordnung 2025; EEN-V 2025), BGBl II 2025/75, kundgemacht. Die Einzelentgeltnachweisverordnung 2025 regelt die Rechnungslegung für die Erbringung eines nummerngebundenen interpersonellen Kommunikationsdienstes oder eines Internetzugangsdienstes. Anm: Nummerngebundene interpersonelle Kommunikationsdienste sind Festnetz- und Mobiltelefonie sowie Dienste, die den Anruf einer Telefonnummer ermöglichen (zB [noch] Skype und Viber). Internetzugangsdienste stellen die Verbindung zum Internet her (zB A1, Magenta und Hutchison Drei).