03 March 2025

newsletter

Datenschutzmonitor Februar 2025

Find relevant Austrian and European data protection case law from January 2025 in this newsletter (in German).

>> Registrieren Sie sich hier, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<

Die Datenschutzmonitor Jahresausgabe 2024 finden Sie hier.

Datenschutzrechtsmonitor 06.02.2025

Rechtsprechung des EuG

EuG 29.01.2025, T-70/23 ua, DPC/EDSA

DPC, EDSA, Kohärenzverfahren, verbindlicher Beschluss

· Die Data Protection Commission ("DPC") erhob Klage gegen den Europäischen Datenschutzausschuss ("EDSA"). Die Klage richtete sich gegen verbindliche Beschlüsse des EDSA (3/2022, 4/2022 und 5/2022), mit welchen die DPC verpflichtet wurde, neue Untersuchungen zu Datenverarbeitungstätigkeiten der Meta-Dienste Facebook, Instagram und WhatsApp durchzuführen und ergänzende Beschlussentwürfe zu erstellen. Die DPC beantragte, diese verbindlichen Beschlüsse teilweise für nichtig zu erklären. Das EuG wies die Klagen ab und bestätigte die Kompetenz des EDSA, entsprechende Beschlüsse zu erlassen.

Das EuG hat erwogen: Nach ständiger Rechtsprechung sind bei der Auslegung einer Unionsrechtsvorschrift nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und ihre Ziele zu berücksichtigen. Der EDSA kann gemäß Art 65 Abs 1 lit a DSGVO verbindliche Beschlüsse erlassen, wenn eine andere Aufsichtsbehörde einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde einlegt. Dies schließt auch die Anweisung ein, eine fehlende Analyse nachzuholen und die Untersuchung zu vertiefen oder auszuweiten, wenn dies erforderlich ist.

Der Wortlaut des Art 65 Abs 1 lit a DSGVO unterstützt diese Auslegung. Die Zusammenarbeit zwischen den betroffenen Aufsichtsbehörden und die Kohärenzkontrolle durch den EDSA wird nicht beeinträchtigt, wenn der EDSA Weisungen zur Ausweitung der Untersuchung erteilt. Der Unionsgesetzgeber hat entschieden, dass anhaltende Meinungsverschiedenheiten zwischen den betroffenen Aufsichtsbehörden im Rahmen des Kohärenzverfahrens innerhalb des EDSA geschlichtet werden sollen. Eine nationale gerichtliche Kontrolle ist nicht geeigneter, um Einwände im Zusammenhang mit der Untersuchung zu prüfen.

Rechtsprechung des VwGH

VwGH 19.12.2024, Ro 2022/15/0018

Steuern, Spende, erhebliches öffentliches Interesse

· Ein Arbeitnehmer machte in seiner Arbeitnehmerveranlagung eine Spende an einen gemeinnützigen Verein als Sonderausgaben geltend. Das Finanzamt berücksichtigte diese Sonderausgaben nicht, weil der Arbeitnehmer dem Zuwendungsempfänger seinen Namen und sein Geburtsdatum nicht bekannt gab. Gegen den ablehnenden Bescheid des Finanzamts erhob der Arbeitnehmer Bescheidbeschwerde an das BFG. Die Bestimmung des § 18 Abs 8 Z 1 EStG 1988 sei aufgrund des Vorranges der DSGVO nicht anwendbar und verfassungswidrig. Seine Geldspende sei als Sonderausgabe zu berücksichtigen.

Das BFG wies die Bescheidbeschwerde ab, weil der Datenaustausch mit einem verschlüsselten bereichsspezifischen Personenkennzeichen für Steuern und Abgaben ("vbPK SA") erfolge und zulässig sei. Die Behandlung der Erkenntnisbeschwerde des Arbeitnehmers lehnte der VfGH ab. Der VwGH wies die Revision ab.

Der VwGH hat erwogen: Durch Art 9 Abs 2 lit g DSGVO kann eine Datenverarbeitung gerechtfertigt sein, wenn sie aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Im Unterschied zu Art 6 Abs 1 lit e DSGVO, welcher nur ein öffentliches Interesse voraussetzt, braucht es bei der Rechtfertigung einer Datenverarbeitung nach Art 9 Abs 2 lit g DSGVO ein erhebliches öffentliches Interesse. Dieses setzt eine spezifische Abwägung und eine besondere Legitimation für die Verwendung solcher Daten voraus. Nicht nur die Erhebung von Steuern und Abgaben, sondern auch die Ermittlung der korrekten Steuerbemessungsgrundlagen ist ein erhebliches öffentliches Interesse.

Durch einen Datenaustausch mit Hilfe des "vbPK SA" ist für das Finanzamt eine Zuordnung zu einer Person ohne Verknüpfung mit anderen Daten möglich. Der Zweck des § 18 Abs 8 EStG 1988 ist dem Finanzamt die Erfüllung seiner gesetzlichen Aufgabe zu ermöglichen, die ua darin besteht, in Massenverfahren Manipulationsmöglichkeiten zu verhindern und eine Gleichmäßigkeit der Besteuerung sicherzustellen.

Das "vbPK SA" ist für die Zuordnung und Ermittlung der als Sonderausgaben zu berücksichtigenden Zuwendungen zu einem bestimmten Steuerpflichtigen erforderlich.

Verarbeitet werden nur jene Zuwendungen, die ein Steuerpflichtiger als Sonderausgaben in Abzug bringen will. Auch vor Einführung des § 18 Abs 8 EStG 1988 mussten Steuerpflichtige alle Zuwendungen lückenlos nachweisen. Die Erhebung erfolgt im konkreten Anlass und nicht auf "Vorrat".

· Die vollständige und richtige Eintragung von Personenstandsdaten in das Zentrale Personenstandsregister ("ZPR") ist von erheblichem öffentlichen Interesse. Gemäß § 2 Abs 1 iVm Abs 2 gehört das Geschlecht einer Person zu den allgemeinen Personenstandsdaten, die gemäß § 11 Abs 1 PStG verpflichtend von der Personenstandsbehörde einzutragen sind. Eine ersatzlose Streichung des Eintrags des Geschlechts aus dem ZPR ist unzulässig. § 41 Abs 1 PStG ermöglicht nur die Änderung des Geschlechtseintrags, nicht dessen Streichung. Der VfGH hat in seiner Entscheidung vom 15.06.2018, G 77/2018, festgestellt, dass das Geschlecht ein maßgebliches Personenstandsdatum ist. Der VfGH hat jedoch zwischen Intersexualität und Transidentität unterschieden, wobei lediglich für intersexuelle Personen alternative Einträge wie "divers", "inter" oder "offen" möglich sind. Diese Regelung gilt nicht für transsexuelle Personen (VwGH 05.12.2024, Ro 2023/01/0008).

· Wird durch die Verknüpfung personenbezogener Daten (Name und Adresse) mit einer veröffentlichten Stellungnahme die Urheberschaft der Stellungnahme offengelegt, entsteht in datenschutzrechtlicher Hinsicht ein informationeller Mehrwert (VwGH 20.12.2024, Ra 2024/04/0425).

· Gegen ein Erkenntnis des BVwG, mit dem ein Säumnisbeschwerdeverfahren eingestellt wurde, ist eine Revision, die Vorbringen nur zur Hauptsache enthält, unzulässig (VwGH 20.12.2024, Ra 2024/04/0427).

· Einer Revision gegen ein Erkenntnis des BVwG, mit dem eine Verletzung im Recht auf Geheimhaltung festgestellt wurde, kommt keine aufschiebende Wirkung zu (VwGH 11.12.2024, Ra 2024/04/0423). Mit Beschluss vom 04.03.2024, Ra 2024/04/0010, erkannte der VwGH die aufschiebende Wirkung der Revision in einem Geheimhaltungsverfahren noch zu. Von dieser Rechtsprechung ist der VwGH nun wieder abgegangen. Begründend führt der VwGH aus, dass es darauf ankäme, ob die DSB der Zuerkennung entgegenstehende zwingende öffentliche Interessen einwendet. Allerdings hat die DSB keine solchen Interessen eingewendet.

Rechtsprechung der Justiz

· Mit § 55d Abs 7 EU-JZG wird Art 31 der RL 2014/41/EU über die Europäische Ermittlungsanordnung in Strafsachen umgesetzt. Die Staatsanwaltschaft wird verpflichtet, bei Unterrichtung durch ausländische Behörden über eine Telekommunikationsüberwachung in Österreich das Vorliegen von Vollstreckungshindernissen nach § 55a Abs 1 EU-JZG zu prüfen. Bei deren Vorliegen hat die Staatsanwaltschaft der ausländischen Strafverfolgungsbehörde mitzuteilen, dass die Überwachung nicht durchgeführt werden kann und bereits gesammelte Ergebnisse nicht verwendet werden dürfen. § 55a Abs 1 Z 13 EU-JZG normiert ein Vollstreckungshindernis, wenn die Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Wurden die Daten durch die Sicherstellung eines ausländischen (französischen) Servers und nicht durch eine Telekommunikationsüberwachung gewonnen, liegt kein Vollstreckungshindernis vor (OLG Linz 10.01.2025, 8Bs249/24k).

· Wurde eine Vollmachtsurkunde entgegen der Anmerkung "handschriftlich" elektronisch unterzeichnet und weicht diese Unterschrift maßgeblich von jener auf dem Ausweis des Klägers ab, sind Zweifel an der Vollmachterteilung iSd Art 12 Abs 6 DSGVO begründet. Durch Verweigerung der Auskunftserteilung wird daher keine Veranlassung zur Klagsführung gegeben, sodass die Kostenersatzpflicht nach § 45 ZPO greift. Erst gegenüber dem Gericht kann sich ein Rechtsanwalt gemäß § 8 RAO auf die ihm erteilte Vollmacht berufen. Anerkennt daraufhin der beklagte Verantwortliche den Auskunftsanspruch, hat der klagende Betroffene die Prozesskosten zu tragen (OLG Linz 15.01.2025, 2R174/24g; 15.01.2025, 2R172/24p).

· Gibt es keinen Grund, an der Vollmachtserteilung zu zweifeln, darf die Auskunft nicht verweigert werden. Verlangt der Verantwortliche dennoch einen speziellen Nachweis der Vollmacht, veranlasst er damit die Klagsführung und hat die Kosten zu tragen (OLG Linz 23.01.2025, 1R4/25a).

Rechtsprechung des BVwG

BVwG 02.09.2024, W256 2251016-1

Auskunft, Datenübertragung, neuer Verantwortlicher

· Ein Kunde begehrte Auskunft und Datenübertragung bei einem Finanzdienstleistungsunternehmen. Dieses stellte ihm seine personenbezogenen Daten sowie Informationen über abgeschlossene Verträge und Anträge in Form eines Excel-Dokuments bereit. Zudem standen ihm diese Daten im Kundenpostfach zur Verfügung. Der Kunde erhob Datenschutzbeschwerde bei der DSB, weil die Auskunft unvollständig und verspätet erteilt worden sei, die Datenübertragung verweigert worden sei und die Übertragung sensibler Kundendaten unverschlüsselt erfolgt sei. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Kunde Bescheidbeschwerde an das BVwG, das diese wegen der behaupteten Verletzung im Recht auf Auskunft abwies. Hinsichtlich des Rechts auf Datenübertragbarkeit gab das BVwG der Bescheidbeschwerde statt.

Das BVwG hat erwogen: Das Finanzdienstleistungsunternehmen hat dem Kunden sämtliche verarbeiteten Unterlagen übermittelt bzw standen diese dem Kunden im Postfach zur Verfügung. Eine Verletzung des Rechts auf Auskunft ist gemäß § 24 Abs 6 DSG sanierbar, der DSB kann daher nicht entgegengetreten werden, wenn sie eine (ursprüngliche) Unvollständigkeit der Auskunft in dem vom Kunden aufgezeigten Umfang nicht angenommen hat.

Das Recht auf Datenübertragbarkeit setzt voraus, dass (i) die begehrten Daten vom Betroffenen bereitgestellt sein müssen, (ii) die Verarbeitung auf einer Einwilligung oder einem Vertrag beruhen muss und (iii) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Der Zweck des Rechts auf Datenübertragung besteht nicht in der Information des Betroffenen über die Datenverarbeitung, sondern in der Ermöglichung bzw Erleichterung des Anbieterwechsels. Da der Kunde eine Datenübertragung nicht an seine Person, sondern direkt an den neuen Verantwortlichen beantragt hat und ihm eine solche Form der Datenübertragung nach Art 20 Abs 2 DSGVO auch ausdrücklich zusteht, hätte das Finanzdienstleistungsunternehmen darauf zu reagieren gehabt.

BVwG 18.12.2024, W252 2294338-1

Rollenverteilung, Anwendungsbereich, Videoüberwachung

· Eine Stadt betrieb eine Videoüberwachungskamera im Stadtgebiet und fasste konkrete Pläne für die Installation weiterer Kameras zur Stärkung des subjektiven Sicherheitsgefühls, des Schutzes von Eigentum und der Dokumentation straf- oder zivilrechtlich relevanter Delikte. Die Aufnahmen der bereits installierten Kamera konnten nur von der Stadtpolizei eingesehen werden. Die DSB leitete ein amtswegiges Prüfverfahren ein und untersagte die Datenverarbeitung der installierten Überwachungskamera. Daneben sprach sie eine Warnung aus, dass die geplante Installation weiterer Kameras voraussichtlich gegen die DSGVO verstoßen werde. Dagegen richtete sich die (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Stadt ist Verantwortliche, weil ihre Organe Zweck und Mittel der Videoüberwachung bestimmt haben. Da die Stadtpolizei keine tragende Rolle bei der Festlegung von Zweck und Mittel spielte, hatte deren Erwähnung in der Datenschutz-Folgenabschätzung keinen Einfluss auf die Qualifikation der Stadt als Verantwortliche.

Die DSGVO findet gemäß Art 2 Abs 2 lit d DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Da die Stadtpolizei der Bezirkshauptmannschaft (BH) nur unterstellt ist, ist diese selbst keine Sicherheitsbehörde. Deren Eigenschaft als Gemeindewachkörper ändert daran nichts. Die DSGVO ist daher anwendbar.

Hinsichtlich der Stärkung des subjektiven Sicherheitsgefühls, der Dokumentation von straf- oder zivilrechtlich relevanten Delikten und eines allgemeinen vorbeugenden Schutzes von Personen oder Sachen ist die Stadt als Behörde zu qualifizieren, sodass sich diese nicht auf die Wahrung berechtigter Interessen berufen kann. Denkbar wäre ein rein auf den Schutz des Eigentums der Stadt beschränktes Handeln im Rahmen der Privatwirtschaftsverwaltung. Der Schutz des Eigentums ist grundsätzlich ein berechtigtes Interesse. Allerdings stehen hinsichtlich der Beschädigung öffentlicher Sitzgelegenheiten oder Straßenbeleuchtungen gelindere Alternativen zur Verfügung (zB Anti-Graffiti-Beschichtungen, häufigere Kontrollen durch die Stadtpolizei, Einfriedungen, etc).

Die DSB hat die Aufgabe, die Anwendung der DSGVO zu überwachen und durchzusetzen. Ein Verbot der Videoüberwachung ist für das Erreichen dieser Ziele geeignet, erforderlich und verhältnismäßig. Auch die Warnung wegen der geplanten Kameras ist gerechtfertigt, weil bei deren Inbetriebnahme ein Verstoß gegen die DSGVO zu erwarten ist.

BVwG 18.12.2024, W256 2285492-1

Videoüberwachung, Arbeitsplatz, Anweisung, Geldbuße

· Die DSB führte aufgrund einer anonymen Eingabe ein amtswegiges Prüfverfahren gegen einen Arbeitgeber wegen des Verdachts auf unrechtmäßige Datenverarbeitung durch eine Videoüberwachungsanlage. Ua wurden Arbeitsgroßraum, Küche, Besprechungszimmer und Flur, inkl den Eingängen zu den Toiletten, überwacht. Der Arbeitgeber rechtfertigte die Datenverarbeitung ua mit dem Schutz vor Diebstahl, Einbruch, körperlicher und emotionaler Gewalt und Vandalismus. Die Kameras seien auch freiliegend, sichtbar und per Klebeschild bei der Eingangstüre, welches ein Piktogramm und die Herstellerbezeichnung zeigte, gekennzeichnet. Die Kameras seien auf Wunsch der Mitarbeiter installiert worden, die über die Überwachung informiert wurden.

Daraufhin leitete die DSB ein Verwaltungsstrafverfahren ein und verhängte eine Geldstrafe iHv EUR 59.400 (zzgl EUR 5.940 an Verfahrenskosten) wegen der fehlenden Rechtsgrundlage gemäß Art 6 Abs 1 DSGVO (Spruchpunkt I), dem Nichterfüllen der Informationspflichten gemäß Art 13 DSGVO (Spruchpunkt II) und dem Nichtbefolgen einer Anweisung der Behörde (Spruchpunkt III). Der Arbeitgeber bekämpfte das Straferkenntnis beim BVwG und brachte zusammengefasst vor, man habe stets kooperiert und den abschließenden Bescheid der DSB aus dem Prüfverfahren nicht bekämpft. Das BVwG gab der Bescheidbeschwerde hinsichtlich Spruchpunkt III statt und setzte die Geldstrafe auf EUR 11.000 (zzgl EUR 1.100 Verwaltungskosten) herab.

Das BVwG hat erwogen: Eine Verarbeitung gemäß Art 6 Abs 1 lit f DSGVO kann gerechtfertigt sein, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen. Die Erforderlichkeit ist dabei eng mit dem Grundsatz der Datenminimierung verbunden. Die Videoüberwachung des Arbeitsgroßraums, der Küche, der Besprechungszimmer und des Flurs war für den Zweck des Eigentumsschutzes nicht erforderlich. Im Straferkenntnis muss die DSB die Zahl der konkret Betroffenen einer Datenverarbeitung nicht beziffern, es genügt die unrechtmäßige Datenverarbeitung an sich.

Klebeschilder, die lediglich eine bildliche Darstellung und die Herstellerbezeichnung von Kameras zeigen und keine weiteren Informationen zur Datenverarbeitung enthalten, entsprechen nicht den zu erteilenden Informationen gemäß Art 13 Abs 1 und 2 DSGVO. Allein aus der Tatsache, dass Kameras in einem Gebäude installiert sind, in dem ein Verantwortlicher seine Geschäftstätigkeit ausübt, kann ohne zusätzliche Informationen nicht auf die datenschutzrechtliche Verantwortlichkeit des Verantwortlichen geschlossen werden.

Der Auftrag in einem Bescheid, binnen zwei Wochen Nachweise über die Änderung einer Datenverarbeitung zu übermitteln, ist keine Anweisung nach Art 58 Abs 2 DSGVO und kein Begehren auf Zugang zu Information nach Art 58 Abs 1 lit e DSGVO und berechtigt beim Nichterfüllen nicht zum Verhängen einer Geldbuße

Bilddaten, die ausschließlich zum Eigentumsschutz angefertigt werden, sind nicht ohne weiteres sensible Daten nach Art 9 DSGVO. Wenn durch Kameras auch regelmäßig Mitarbeiter gefilmt werden, rechtfertigt dies noch nicht die Annahme einer Mitarbeiterüberwachung, wenn dies nicht Zweck der Überwachung ist. Geldbußen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Aufgrund der mittleren Schwere des Verstoßes kommt eine bloße Abmahnung ohne Ausspruch einer Strafe nicht in Betracht.

Rechtsprechung der DSB

DSB 12.12.2024, 2024-0.796.258

Aktfotos, Geldbuße

· Ein Kameramann fertigte Aktfotos von einer Frau mit ihrer Einwilligung und ihrem eigenen Mobiltelefon an. In Folge leitete er die Aktfotos ohne ihre Zustimmung über einen Internetdienst von ihrem Mobiltelefon auf sein eigenes Mobiltelefon weiter. Die Frau forderte den Kameramann auf, die Fotos zu löschen, was dieser auch tat. Die Frau zeigte den Kameramann dennoch an und die DSB leitete ein Verwaltungsstrafverfahren ein. Der Kameramann äußerte sich trotz Aufforderung der DSB nicht zur Sache. Die DSB verhängte eine Geldstrafe iHv EUR 2.000.

Die DSB hat erwogen: Die erfassten Bilddaten sind personenbezogene Daten. Die Lichtbilder spiegeln intime Aufnahmen wider und erfassen Daten zum Sexualleben der Frau iSd Art 9 Abs 1 DSGVO.

Nach Art 9 Abs 1 DSGVO besteht grundsätzlich ein Verarbeitungsverbot für besondere Kategorien personenbezogener Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist erlaubt, wenn die Betroffene ausdrücklich einwilligt. Die Frau hat der Anfertigung der Lichtbilder zugestimmt, weshalb diese Verarbeitung zulässig war. Für die Übermittlung und Speicherung der Lichtbilder lag hingegen keine ausdrückliche Einwilligung vor. Die Übermittlung erfolgte ohne Wissen der Frau. Diese Datenverarbeitung war somit rechtswidrig.

Nationale Rechtsakte

· Am 28.01.2025 wurde die "Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der die Gesundheitstelematikverordnung 2013 und die ELGA-Verordnung 2015 geändert und die ELGA-und eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen wird (Gesundheitstelematik-Anpassungsverordnung 2025)", BGBl II 2025/11, kundgemacht. Mit dieser Verordnung wird neben der Gesundheitstelematikverordnung 2013 auch die ELGA-Verordnung 2015 novelliert und werden die eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen. Die Verordnungen enthalten neue Regelungen zur Verarbeitung von Gesundheitsdaten und genetischen Daten durch Gesundheitsdiensteanbieter.

Datenschutzrechtsmonitor 12.02.2025

Rechtsprechung des EGMR

EGMR 04.02.2025, 33421/16 au, Klimova ua/Russland

Vorratsdatenspeicherung, Aktivistin, Meinungsfreiheit

· Kommunikationsdienste haben in Russland Metadaten über Internetkommunikationen für ein Jahr und Inhaltsdaten der Internetkommunikationen für sechs Monate aufzubewahren (= Vorratsdatenspeicherung). Diese Daten sind auf Anfrage von Polizei oder Sicherheitsdiensten vom Kommunikationsdienstleister herauszugeben. Eine gerichtliche Genehmigung ist dafür nicht zwingend erforderlich.

Eine Aktivistin administrierte eine öffentliche Community auf dem russischen sozialen Netzwerk VKontakte (VK), die sich für die Rechte von LGBTQI+ Personen einsetzte. Der russische Geheimdienst (Federal Security Service; FSB) erwirkte die Herausgabe von Nutzerdaten der Administratorin einschließlich weitreichender Informationen über den Inhalt und weiterer Teilnehmer der Community. Über die durch diese Herausgabe persönlich identifizierte Aktivistin wurden in der Folge wegen Förderung von Homosexualität bei Minderjährigen zwei Verwaltungsstrafen verhängt. Diese Strafen wurden im Rechtsmittelverfahren aufrechterhalten.

Der EGMR stellte einstimmig eine Verletzung der durch Art 8 (Recht auf Achtung des Privat- und Familienlebens) und Art 10 EMRK (Freiheit der Meinungsäußerung) gewährleisteten Rechte fest und sprach der Aktivistin EUR 9.800 immateriellen Schadenersatz zu.

Der EGMR hat erwogen: Der EGMR ist zuständig, weil sich der Sachverhalt vor dem Austritt Russlands aus der EMRK mit 16.09.2022 ereignete.

Die vom FSB gesammelten Daten (Benutzerdaten, Informationen über die von der Aktivistin errichteten und moderierten Gruppen und deren Inhalt) fallen in den Bereich des durch Art 8 EMRK geschützten Privatlebens.

Eingriffe in das geschützte Privatleben müssen auf gesetzlichen Bestimmungen basieren, ein legitimes Ziel verfolgen und in einer demokratischen Gesellschaft notwendig sein. Das innerstaatliche Recht muss einen geeigneten Schutz dieser Daten vorsehen, vor allem, wenn Daten für polizeiliche Zwecke verwendet werden.

Das russische Informationsgesetz sieht zwar eine gesetzliche Grundlage zur Erhebung von Daten vor, enthält jedoch keine geeigneten Schutzgarantien. Der Schutz vor Missbrauch ist bei Plattformen sozialer Netzwerke besonders gering, weil Behörden keine gerichtliche Genehmigung für den Zugriff auf personenbezogene Daten benötigen. Der Aktivistin stand zudem kein wirksamer Rechtsbehelf zur Verfügung, um die Übermittlung personenbezogener Daten an die FSB anzufechten. Denn im Rahmen des möglichen gerichtlichen Überprüfungsverfahrens sind Gerichte nicht verpflichtet, die Notwendigkeit und Angemessenheit des Zugriffs auf personenbezogene Daten im erforderlichen Ausmaß zu überprüfen. Die Erhebung der Nutzerdaten beruhte somit auf gesetzlichen Bestimmungen, die keine ausreichenden Garantien gegen Missbrauch boten.

Das Verbot der Förderung von Homosexualität dient darüber hinaus nicht dem legitimen Ziel des Schutzes der Sittlichkeit und Gesundheit. Bei der Prüfung, ob der Eingriff in das Recht auf Achtung der Privatsphäre "in einer demokratischen Gesellschaft notwendig war", ist die Art und Schwere der Straftat zu berücksichtigen. Der Straftatbestand der Förderung der Homosexualität ist nach dem innerstaatlichen Recht eine Verwaltungsübertretung, die auch keinen tatsächlichen (in ihrem Sinn) nachteiligen Erfolg verlangt. Die Erhebung großer Mengen personenbezogener Daten kann außerdem eine abschreckende Wirkung im Hinblick auf das Recht auf freie Meinungsäußerung haben. Unter diesen Umständen erscheint die Erhebung ua sensibler Daten zur Identifizierung der Aktivistin in einer demokratischen Gesellschaft nicht notwendig.

EGMR 04.02.2025, 8825/22 ua, Bazhenov ua/Russland

Positive Pflicht, sexuelle Orientierung, soziales Netzwerk

· Die personenbezogenen Daten, darunter die sexuelle Orientierung, von zwei Geschäftsleuten und einem Rechtsanwalt, die jeweils in gleichgeschlechtlichen Ehen in Europa bzw in den USA lebten, wurden 2020 auf dem russischen sozialen Netzwerk VKontakte (VK) mit klar homophober Intention in homophoben Gruppen und auf privaten Kanälen veröffentlicht. Die Geschäftsleute und der Rechtsanwalt riefen die jeweils zuständigen Staatsanwaltschaften an. In Russland waren zwar entsprechende strafgesetzliche Bestimmungen vorhanden, die Staatsanwaltschaften blieben jedoch zunächst untätig. Mit reichlicher Verspätung forderte die Staatsanwaltschaft VK auf, die Identitätsdaten des Nutzers herauszugeben, der sich hinter dem verdächtigen Profil verbarg. Anschließend wurde das Verfahren jedoch ohne Rückmeldung von VK geschlossen. Die Geschäftsleute und der Rechtsanwalt riefen den EGMR an, der einen Verstoß gegen Art 14 EMRK (Verbot der Benachteiligung) iVm Art 8 EMRK (Recht auf Achtung des Privat- und Familienlebens) feststellte.

Der EGMR hat erwogen: Die vorgeworfene Tat ereignete sich vor dem 16.09.2022, als Russland aus der EMRK austrat. Der EGMR ist daher zuständig.

Das Offenlegen personenbezogener Daten auf homophoben öffentlichen und individuellen Kanälen hat die Geschäftsleute und den Rechtsanwalt einem erhöhten Risiko von Belästigung ausgesetzt und sie hatten Angst um ihr Leben. Das einwilligungslose Veröffentlichen der personenbezogenen Daten, einschließlich der sexuellen Orientierung, der Information über die gleichgeschlechtliche Ehe sowie von Fotos der Betroffenen, greift in deren Recht auf Privat- und Familienleben ein.

Der Staat hat eine positive Pflicht, das Recht auf Achtung des Privat- und Familienlebens ohne Diskriminierung zu schützen. Sexuelle Minderheiten sind besonders schutzbedürftig. Das innerstaatliche Recht enthielt zwar einen strafgerichtlichen Rechtsbehelf gegen das rechtswidrige Verbreiten von Informationen über das Privatleben einer Person, der Staat ist seiner positiven Pflicht jedoch nicht nachgekommen, weil er untätig blieb, bis die Verjährungsfristen abliefen.

Zwar stellte der Ermittler, bevor er das Verfahren betreffend die Geschäftsleute endgültig einstellte, eine Anfrage an VK, doch stellte er das Verfahren ein, ohne eine Antwort von VK erhalten zu haben. Anm: Aus diesem Urteil kann geschlossen werden, dass es nach Ansicht des EGMR Sicherheitsbehörden geboten ist, zur Aufklärung von (bestimmten) Straftaten bei sozialen Netzwerken die Identitätsdaten der Nutzer dieser Netzwerke anzufragen. Allerdings gilt dies jedenfalls nicht, wie im zuvor besprochenen Fall Klimova/Russland gezeigt, wenn dies in einer demokratischen Gesellschaft nicht gerechtfertigt ist.

Rechtsprechung des EuGH

EuGH Schlussanträge 06.02.2025, C-413/23 P, EDPS/SRB (EN)

Personenbezug, Pseudonymisierung, Informationspflicht

· Im Rahmen des Abwicklungsverfahrens einer Bank veröffentlichte der Einheitliche Abwicklungsausschuss (SRB) – die für die Abwicklung insolvenzbedrohter Finanzinstitute zuständige Behörde der Europäischen Bankenunion – eine vorläufige Entscheidung über die Gewährung einer Entschädigung für betroffene Aktionäre oder Gläubiger. Er leitete ein Anhörungsverfahren ein, bei dem Betroffene eine Stellungnahme zur vorläufigen Entscheidung einreichen konnten. Die Stellungnahmen wurden vom SRB aggregiert, gefiltert und kategorisiert und dann an Deloitte zur Auswertung übermittelt. Die Inhalte der Stellungnahmen waren von den Identifikationsdaten der Betroffenen getrennt und mit einem alphanumerischen Code gekennzeichnet, sodass nur der SRB die Daten verknüpfen konnte.

Fünf Bankkunden brachten Beschwerden beim EDSB ein, weil der SRB nicht darüber informiert hatte, dass ihre Daten an Deloitte weitergegeben werden. Der EDSB beschloss, dass die an Deloitte übermittelten Daten pseudonymisierte Daten waren und stellte einen Verstoß gegen die Informationspflicht fest.

Der SRB erhob Klage an das EuG. Dieses hob den Beschluss des EDSB auf, weil dieser Inhalt, Zweck oder Auswirkungen der an Deloitte übermittelten Informationen nicht geprüft habe. Mangels einer solchen Prüfung dürfe der EDSB nicht davon ausgehen, dass sich die an Deloitte übermittelten Informationen auf eine natürliche Person beziehen. Gegen diese Entscheidung richtet sich das Rechtsmittel des EDSB.

Der Generalanwalt hat erwogen: Eine Information bezieht sich auf eine bestimmte oder bestimmbare Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit dieser verknüpft ist. Bei Stellungnahmen ist zu unterscheiden, ob sie sich auf die bewertete Person beziehen, auf die im Text Bezug genommen wird, oder auf den Verfasser. Im zweiten Fall könnte man vermuten, dass sich eine Stellungnahme zwangsläufig auf ihren Verfasser bezieht. Auch mangels einer solchen Vermutung beziehen sich die Stellungnahmen aufgrund ihres Inhalts, Zwecks und ihrer Wirkung auf die Bankkunden, weil sie ihre Logik und Argumentation zeigten und somit ihre subjektive Meinung widerspiegelten. Die Stellungnahmen waren auch geeignet, sich auf die Interessen der Betroffenen in Bezug auf die finanzielle Entschädigung auszuwirken.

Die Aggregation der Stellungnahmen ändert nichts daran, dass es sich um personenbezogene Daten handelt, weil es andernfalls ausreichen würde, mehrere Standpunkte zusammenzufassen, um das Erfordernis zu umgehen, dass es sich um eine Information "über eine natürliche Person" zu handeln hat. Die fehlende Unterscheidbarkeit der Einzelmeinungen betrifft die Frage der Identifizierbarkeit, nicht jedoch die Verknüpfung mit einer natürlichen Person.

Pseudonymisierung ist eine Verarbeitung personenbezogener Daten, die die Möglichkeit offenlässt, dass Betroffene nicht identifizierbar sind. Während anonymisierte Daten nicht unter die DSGVO fallen, sind pseudonymisierte Daten nur insoweit ausgeschlossen, als Betroffene nicht identifiziert werden können. Daten können nur dann nicht als personenbezogene Daten eingestuft werden, wenn die Gefahr einer Identifizierung ausgeschlossen oder unbedeutend ist. Es war daher zu prüfen, ob die Pseudonymisierung der Daten so robust war, dass die Bankkunden vernünftigerweise nicht identifizierbar waren. Falls Deloitte in der Lage gewesen wäre, die Bankkunden zu identifizieren, hätte es sich um personenbezogene Daten gehandelt.

Die Informationspflicht ist Teil des Rechtsverhältnisses zwischen den Betroffenen und dem Verantwortlichen. Sie entsteht zu dem Zeitpunkt, zu dem die Daten vom SRB erhoben werden und in Bezug auf die Informationen über den Empfänger spätestens dann, wenn dieser bekannt ist. Die Daten bleiben personenbezogen, unabhängig davon, ob sie gegenüber dem Empfänger pseudonymisiert wurden. Die Frage, ob die Pseudonymisierung ausreichend war, ist für die Informationspflicht nicht relevant, sodass Deloitte als Empfänger zu beauskunften gewesen wäre.

EuGH Schlussanträge 06.02.2025, C-492/23, Russmedia Digital

Online-Marktplatz, Hosting, Rollenverteilung

· Auf dem Online-Marktplatz ("Publi24.ro"), die von der Gesellschaft Russmedia betrieben wird, wurde eine Annonce veröffentlicht, aus der hervorging, dass eine Person sexuelle Dienstleistungen anbiete. Diese Annonce enthielt Fotos und eine Telefonnummer, die aus den sozialen Netzwerken der Person stammten und ohne ihre Zustimmung verarbeitet wurden. Russmedia entfernte die Anzeige, doch wurde sie auf andere Websites kopiert. Die Person erhob Klage gegen Russmedia, woraufhin der EuGH angerufen wurde, um die Haftung des Betreibers eines Online-Marktplatzes zu klären.

Der Generalanwalt hat erwogen: Der Betreiber eines Online-Marktplatzes kann in den Genuss einer Haftungsbefreiung für den Inhalt der auf seinem Marktplatz veröffentlichten Anzeigen kommen, sofern seine Rolle neutral und rein technisch bleibt und er bei Kenntnis eines rechtswidrigen Inhalts diesen unverzüglich entfernt. Das gilt nicht, wenn aktiv in die Verwaltung der Inhalte, deren Änderung oder die Werbung für die Inhalte eingegriffen wird. Die Haftungsbefreiung ist auf Russmedia anwendbar, solange sie ihre Eigenschaft als neutraler Hosting-Provider nicht verliert, auch wenn in den allgemeinen Nutzungsbedingungen angeführt ist, sich das Recht vorzubehalten, die bereitgestellten Inhalte selbst zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln etc.

Betreffend die datenschutzrechtliche Rollenverteilung ist anzunehmen, dass der Betreiber als Auftragsverarbeiter für den Inserierenden agiert. Er ist somit nicht verpflichtet, den Inhalt der veröffentlichten Anzeigen zu überprüfen oder Sicherheitsmaßnahmen zu ergreifen, die geeignet sind, das Kopieren oder die Weiterverbreitung des Inhalts von Anzeigen zu verhindern. Er muss aber geeignete organisatorische und technische Maßnahmen treffen, um die Sicherheit der Verarbeitung gegenüber Dritten zu gewährleisten.

Hinsichtlich der personenbezogenen Daten der inserierenden Nutzer handelt der Betreiber als Verantwortlicher. In diesem Rahmen ist er verpflichtet, die Identität dieser inserierenden Nutzer zu überprüfen.

Rechtsprechung der Justiz

· Die Befugnisse des Betriebsrats bleiben durch das Datenschutzrecht unberührt. Das ArbVG wurde als "spezifischere" Vorschrift iSd Öffnungsklausel des Art 88 Abs 3 DSGVO bei der Europäischen Kommission notifiziert. Zwischen dem Betriebsverfassungs- und dem Datenschutzrecht besteht eine "Sphärenharmonie". Im Bereich der Pflichtkompetenzen des Betriebsrats ist keine datenschutzrechtliche Interessenabwägung erforderlich, weil die Datenverarbeitung auf die Erfüllung rechtlicher Verpflichtungen gemäß Art 6 Abs 1 lit c und Art 9 Abs 2 lit b DSGVO gestützt werden kann. Außerhalb der Pflichtbefugnisse des Betriebsrats gelangen die Art 6 Abs 1 lit f und Art 9 Abs 2 lit b DSGVO als Erlaubnistatbestände zur Anwendung. Benötigt der Betriebsrat zur Kontaktaufnahme die E-Mail-Adressen der Arbeitnehmer, hat der Betriebsinhaber diese herauszugeben. Die proaktive Kontaktaufnahme gehört zwar nicht zu den Pflichtbefugnissen des Betriebsrats. Die Herausgabe kann aber auf das berechtigte Interesse des Betriebsrats gestützt werden, als Belegschaftsvertretung mit den Arbeitnehmern zu kommunizieren. Ein Recht des Betriebsrats auf Bekanntgabe privater Telefonnummern der Arbeitnehmer besteht hingegen nicht (OGH 17.01.2025, 6ObA2/23x).

· Ein elektronisches Auskunftsersuchen muss nicht zwingend mit einer qualifizierten elektronischen Signatur versehen sein. Die DSGVO gibt keine konkrete Form des Identitätsnachweises vor. Ergibt sich hinsichtlich des Identitätsnachweises bereits ein hoher Grad an Verlässlichkeit, ist die Anforderung zusätzlicher Informationen unzulässig (OLG Linz 27.01.2025, 11R1/25h).

Rechtsprechung der Justiz

Rechtsprechung des BVwG

BVwG 27.11.2024, W252 2280461-1

Anwendungsbereich, StVO, Verwaltungsstrafverfahren, Straftat

· Mitarbeiter der Autobahnpolizeiinspektion fertigten auf einer Autobahn mit ihrer mobilen Dienstkamera ein Lichtbild eines Fahrzeugs an, weil dessen Halter gegen das Rechtsfahrgebot verstieß. Die Mitarbeiter brachten die straßenverkehrsrechtliche Verwaltungsübertretung bei der zuständigen Bezirkshauptmannschaft ("BH") zur Anzeige. Der Fahrzeughalter erachtete sich in seinem Geheimhaltungsrecht verletzt und erhob eine auch gegen die örtlich zuständige Landesregierung gerichtete Datenschutzbeschwerde an die DSB, welche diese abwies. Der Fahrzeughalter erhob (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO findet ua keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten. Ausnahmen vom Anwendungsbereich der DSGVO sind eng auszulegen. Der VwGH hat mit Beschluss vom 03.03.2022, Ra 2020/02/0241, Art 6 Abs 1 lit e iVm Abs 3 DSGVO in einem Verwaltungsstrafverfahren angewendet. Somit fallen nicht jegliche Verwaltungsstrafen unter den unionsrechtlichen Begriff der Straftat. Die DSGVO ist anzuwenden.

Die Landesregierung ist für die Handhabung der Verkehrspolizei auf Autobahnen zuständig. Sie kann hierfür Organe, die der Landespolizeidirektion angehören oder dieser zugeteilt sind und in Angelegenheiten des Straßenverkehrs besonders geschult sind, zur Handhabung der Verkehrspolizei ua auf Autobahnen einsetzen. Organe der Straßenaufsicht haben die Verkehrspolizei zu handhaben und bei der Vollziehung dieses Bundesgesetzes durch Maßnahmen, die für die Einleitung von Verwaltungsstrafverfahren erforderlich sind, mitzuwirken. Eine derartige Maßnahme, an der die Organe der Bundespolizei (hier jene der Autobahnpolizeiinspektion) mitzuwirken haben, kann ua die Anfertigung von Beweismaterial in Form von Lichtbildern sein. Dabei begründet die Straßenverkehrssicherheit eine Aufgabe im öffentlichen Interesse. Die Verarbeitung der vorliegenden Daten war für die Wahrnehmung der sich aus den Erfordernissen der StVO sowie aus dem Verwaltungsstrafverfahren ergebenden Aufgabe, die im öffentlichen Interesse liegt, erforderlich und daher rechtmäßig.

Auf den von der DSB angenommenen Erlaubnistatbestand des § 98e Abs 1 StVO konnte die Datenverarbeitung jedoch nicht gestützt werden. Wie sich aus den Gesetzesmaterialien ergibt, hatte der Gesetzgeber bei der Schaffung des § 98e StVO "die Überwachung aus Fahrzeugen (zB Zivilstreifen)" vor Augen. Mangels planwidriger Rechtslücke war der von der DSB angestellte "teleologische Größenschluss" unzulässig.

BVwG 10.01.2025, W108 2290157-1

WEG, mündliche Mitteilung, gesetzliche Pflicht

· Ein Wohnungseigentümer richtete mehrere E-Mails an seine Hausverwaltung, in denen er ua eine grobe Misswirtschaft und eine unzulässige Begünstigung eines Miteigentümers iZm mit einem geplanten Bauprojekt durch die Verwalterin kritisierte. Die Verwalterin verlas in einer Eigentümerversammlung in Abwesenheit des Wohnungseigentümers Auszüge dieser E-Mails und nahm deren Inhalt in das Sitzungsprotokoll auf. Dieses wurde anschließend an alle Wohnungseigentümer übermittelt. Der Wohnungseigentümer erachtete sich dadurch in seinem Recht auf Geheimhaltung verletzt.

Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Offenlegung der E-Mails durch überwiegende berechtigte Interessen der Hausverwaltung und der Wohnungseigentümer gerechtfertigt war. Daraufhin erhob der Wohnungseigentümer (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Im Hinblick auf eine Verletzung des Rechts auf Geheimhaltung spielt es keine Rolle, auf welche Weise Daten verarbeitet werden. Auch eine mündliche Mitteilung kann eine Verletzung dieser Bestimmung bewirken.

Die Vorwürfe iZm den Pflichtverletzungen der Verwalterin betrafen die gesamte Eigentümergemeinschaft. Daher bestand jedenfalls ein erhebliches Interesse der Hausverwaltung iSd § 1 Abs 2 DSG, die vom Wohnungseigentümer übermittelten Informationen bzw erhobenen Vorwürfe den übrigen Miteigentümern zur Kenntnis zu bringen. Falls zutreffend, hätten sie zur Kündigung des Verwaltervertrags führen können bzw müssen und einen erheblichen finanziellen Schaden für die Eigentümergemeinschaft bedeutet.

Das Verschweigen der erhobenen Vorwürfe hätte jedenfalls einen Verstoß gegen gesetzliche Pflichten gemäß § 20 Abs 1 WEG sowie gegen vertragliche Pflichten der Hausverwaltung bedeutet.

Weiters war auch die Bekanntgabe des Namens des Wohnungseigentümers gerechtfertigt. Die übrigen Miteigentümer hatten ein Interesse, die Vorwürfe zu überprüfen, was nur mit Bekanntgabe des Urhebers möglich war. Nur so konnte eine Rücksprache oder ein Austausch über Beweismittel erfolgen.

Daher war die Datenverarbeitung jedenfalls auch für den geschilderten Zweck erheblich und notwendig, zumal lediglich der Name des Wohnungseigentümers offengelegt und seine Schreiben auch nur auszugsweise verlesen bzw deren Inhalt paraphrasierend wiedergegeben wurde. Damit ging auch ein informationeller Mehrwert einher.

BVwG 09.01.2015, W256 2244544-1

Auskunftsrecht, Dokumentenkopie, Antragsinhalt

· Ein Landwirt stellte ein Auskunftsersuchen an die Landwirtschaftskammer. Er forderte darin Auskunft über die zu seiner Person verarbeiteten Daten, die Zwecke der Verarbeitung und deren Empfänger. Zudem verlangte er die Übermittlung aller ihn betreffenden Unterlagen sowie allgemeine Unterlagen zum Bau einer Gasleitung und zur Angelegenheit Fischteiche. Die Landwirtschaftskammer beantwortete das Auskunftsersuchen und übermittelte dem Landwirt 280 Seiten an Ausdrucken und Fotokopien, einschließlich allgemeiner Unterlagen.

Der Landwirt erachtete die Auskunft für unvollständig und brachte bei der DSB eine Datenschutzbeschwerde ein. Die DSB wies die Datenschutzbeschwerde ab, weil die Landwirtschaftskammer eine vollständige Auskunft erteilt habe. Daraufhin erhob der Landwirt eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Art 15 Abs 1 DSGVO räumt Betroffenen das Recht auf Auskunft darüber ein, ob sie betreffende personenbezogene Daten verarbeitet werden und bejahendenfalls, um welche Daten es sich dabei konkret handelt. Die Mitteilung nach Art 15 Abs 1 DSGVO hat in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen. Das Auskunftsrecht beschränkt sich auf personenbezogene Daten iSd Art 4 Abs 1 DSGVO. Im Einzelfall kann es erforderlich oder zweckmäßig sein, dass auch einzelne Textpassagen oder Dokumente zur Verfügung gestellt werden. Ein generelles Recht auf Erhalt von Dokumenten kann aus Art 15 DSGVO jedoch nicht abgeleitet werden. Dieses Recht besteht nur, wenn die Zurverfügungstellung unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen.

Die DSB und das BVwG können nur darüber absprechen, was überhaupt beantragt wurde, dh sie sind an den Inhalt des Antrags des jeweiligen Antragstellers gebunden. Das BVwG darf nicht jegliche möglichen Rechtsverletzungen prüfen. Die Landwirtschaftskammer hat dem Beschwerdeführer eine umfassende Auskunft erteilt. Sie hat ihm die zu seiner Person verarbeiteten Daten, deren Herkunft und Empfänger mitgeteilt. Zudem hat sie ihm auch die ihn betreffenden Unterlagen zur Verfügung gestellt, weshalb keine Mangelhaftigkeit der Auskunft erkennbar ist. Der Landwirt hat keinen Anspruch auf allgemeine Unterlagen, die nicht seine Person betreffen.

BVwG 09.01.2025, W211 2283857-1

Video, Servitut, Ausdehnung der Datenschutzbeschwerde

· Ein Ehemann installierte im Eingangsbereich seines Hauses eine Videokamera, die auch einen Teil eines über das Grundstück führenden Weges erfasste. An diesem Weg besteht eine Servitut zugunsten eines Servitutsberechtigten. Der Servitutsberechtigte brachte eine Datenschutzbeschwerde gegen die Ehefrau als Grundeigentümerin ein, die er im weiteren Verfahren auch gegen deren Ehemann ausdehnte. Die DSB bestätigte die Verletzung im Recht auf Geheimhaltung und forderte den Ehemann auf, den Aufnahmebereich der Kamera einzuschränken. Das BVwG gab der Bescheidbeschwerde des Ehemanns statt und änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird.

Das BVwG hat erwogen: Die Ausdehnung der Datenschutzbeschwerde auf den Ehemann war zulässig. Sie änderte nicht das Wesen der Sache dieser Datenschutzbeschwerde, weil sie weder deren Rechtsqualität noch die anzuwendenden Materiengesetze oder die Behördenzuständigkeit veränderte.

Da die pflegebedürftige Grundeigentümerin und ihr ebenfalls betagter Ehemann alleine und abgeschieden am Dorfrand lebten, besteht an der Nutzung der Videokamera ein objektiv nachvollziehbares Interesse und somit ein Rechtfertigungsgrund iSd Art 6 Abs 1 lit f DSGVO. Die Videokamera war parallel zum Weg ausgerichtet und ihr Erfassungsbereich auf das eigene Grundstück beschränkt. Sie sollte also nicht in erster Linie der Überwachung des Servitutsberechtigten oder unbeteiligter Dritter dienen, sondern dem eigenen, berechtigten Bedürfnis nach effektivem Schutz der Gesundheit und des Eigentums. Dieses rechtfertigt auch eine allfällige Dokumentation von Geschehnissen über den eigentlichen, engen Eingangsbereich des Hauses hinaus. Das Interesse an der Datenverarbeitung überwiegt somit das Geheimhaltungsinteresse des Servitutsberechtigten.

· Die "Sache" des bekämpften Bescheids bildet den äußersten Rahmen für die Prüfbefugnis des BVwG. Hat die DSB jegliche Ermittlungstätigkeit zu wesentlichen Sachverhaltselementen unterlassen, ist die Angelegenheit jedoch zum Erlassen eines erneuten Bescheids an die DSB zurückzuverweisen (BVwG 07.01.2025, W108 2286042-1).

· Die Bestimmung des Art 29 DSGVO richtet sich an Auftragsverarbeiter und an jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person. Bringt eine Person eine Beschwerde ein, muss sie damit rechnen, dass die gesamte Beschwerde – und nicht nur eine sinngemäße Inhaltswiedergabe – den anderen Verfahrensparteien zum Parteiengehör zugestellt wird. Dies ergibt sich aus dem Grundsatz des fairen Verfahrens. Eine Datenverarbeitung kann gleichzeitig die Erlaubnistatbestände des Art 6 Abs 1 lit c und des Art 6 Abs 1 lit e DSGVO erfüllen (BVwG 07.01.2025, W108 2284293-1).

· Der EuGH hat mit Urteil vom 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), über die Frage entschieden, wann eine Datenschutzbeschwerde von der Aufsichtsbehörde als exzessiv abgelehnt werden darf. Die DSB hat die Behandlung der Datenschutzbeschwerde als exzessiv abgelehnt, ohne sich mit dessen Inhalt auseinanderzusetzen. Nach dem EuGH hätte die DSB eine Missbrauchsabsicht des Beschwerdeführers nachzuweisen gehabt. Da dahingehend keine Ermittlungen vorgenommen wurden, wird der Bescheid der DSB behoben und die Angelegenheit zum Erlassen eines neuen Bescheids an die DSB zurückverwiesen (BVwG 14.01.2025, W298 2263736-1).

· Besteht ein Betroffener trotz von der DSB eingeräumten Verbesserungsmöglichkeit auf die Fortsetzung des Verfahrens gegen einen Beschwerdegegner, der für die Verarbeitung nicht verantwortlich ist, ist die Datenschutzbeschwerde mangels Passivlegitimation des Beschwerdegegners abzuweisen (BVwG 14.01.2025, W298 2300879-1).

· Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 14.01.2025, W298 2262670-1; 13.01.2025, W108 2285445-1).

EU-Rechtsakte

· Am 04.02.2025 veröffentlichte die EU-Kommission den Entwurf der Leitlinie zu verbotenen KI-Nutzungen, in der die in Art 5 KI-VO beschriebenen verbotenen KI-Systeme genauer definiert werden. In der Leitlinie wird versucht, anhand von Beispielen die Grenze zwischen verbotenen und noch erlaubten KI-Praktiken zu ziehen. Nach Art 5 KI-VO sind KI-Praktiken im Bereich (i) der schädlichen Manipulation und Täuschung, (ii) der schädlichen Ausnutzung von Schwachstellen, (iii) der Sozialbewertung, (iv) der Risikobewertung und Vorhersage von Straftaten, (v) des ungezielten automatischen Extrahierens (Scraping) von Gesichtsbildern zur Erweiterung von Datenbanken zur Gesichtserkennung, (vi) der Emotionserkennung, (vii) der biometrischen Kategorisierung und (viii) der Echtzeit-Fernbiometrischen Identifizierung für Strafverfolgungszwecke unter gewissen Umständen verboten. In den Beispielen der Kommission wird ua auf die Zulässigkeit von KI-Praktiken wie Social Scoring und biometrischer Echtzeitidentifizierung eingegangen. Die Leitlinie nimmt dabei auch Bezug auf die SCHUFA Entscheidung des EuGH, wonach es sich bei dem im Sachverhalt durchgeführten Profiling um eine Unterart des Bewertens iSd Art 5 Abs 1 lit c KI-VO handelt und diese Praktik unter gewissen Umständen auch in den Anwendungsbereich der KI-VO fällt und verboten sein kann. Ebenfalls geht die Leitlinie auf die Abgrenzung zu anderen Rechtsakten der EU, wie die DSGVO, den DSA etc ein und wie diese Bestimmungen im Zusammenspiel mit der KI-VO anzuwenden sind. Derzeit ist der Entwurf der Leitlinie nur auf Englisch verfügbar. Erst wenn alle Sprachfassungen verfügbar werden, wird die Leitlinie anwendbar.

· Am 06.02.2025 wurde der Entwurf der Leitlinien zur Definition von KI-Systemen veröffentlicht. Die Leitlinien verfolgen das Ziel, die sehr umfassende Definition des Begriffs KI-Systeme, welcher in Art 3 Z 1 KI-VO geregelt ist, konkreter zu definieren. In den Leitlinien werden aus der Definition sieben Prüfelemente abgeleitet. Der Begriff maschinengestützt umfasst Hardware und Software. Damit ist eine Vielzahl an Computersystemen gemeint, wie Quantencomputing und auch biologische oder organische Systeme, falls sie Rechenkapazität bieten. Die Leitlinie enthält darüber hinaus Ausnahmefälle, für die die KI-VO nicht anwendbar ist. Darunter fallen Systeme zur Verbesserung mathematischer Optimierung, einfache Datenverarbeitung, Systeme, die auf klassischer Heuristik basieren (eine Methode, bei der aus begrenztem Wissen und Zeit dennoch eine wahrscheinliche Lösung gefunden wird, bspw durch Zufallsstichproben oder "trial and error") und einfache Vorhersagesysteme. Als konkrete Beispiele für die Ausnahmen werden physikbasierte Systeme – zB zur Wettervorhersage, Satellitentelekommunikationssysteme zur Optimierung der Bandbreitenzuweisung, Datenbankverwaltungssysteme, die Daten nach spezifischen Kriterien sortieren oder filtern (zB finde alle Kunden, die mit "K" anfangen), und Systeme, die Aktienkurse vorhersagen – genannt. Als Beispiel für die Anwendbarkeit der KI-VO werden KI-Systeme in selbstfahrenden Autos erwähnt, die Echtzeitvorhersagen in komplexen und dynamischen Umgebungen treffen.

Rechtsprechung des EuGH

EuGH 13.02.2025, C-383/23, ILVA

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

· Das dänische Tochterunternehmen eines Konzerns speicherte zwischen Mai 2018 und Januar 2019 unrechtmäßig personenbezogene Daten von mindestens 350.000 ehemaligen Kunden. In Dänemark werden Geldbußen nicht von der Datenschutz-Aufsichtsbehörde verhängt, sondern auf Empfehlung der Aufsichtsbehörde von der Staatsanwaltschaft beim zuständigen Gericht beantragt. Die dänische Staatsanwaltschaft beantragte bemessen am Konzernumsatz eine Geldbuße iHv rund EUR 201.000. Das Erstgericht verhängte jedoch eine am Umsatz des Tochterunternehmens bemessene Geldbuße iHv rund EUR 13.400. Die Staatsanwaltschaft legte Berufung ein, weshalb das vorlegende Gericht den EuGH zur Auslegung des Begriffs "Unternehmen" in Art 83 Abs 4 bis 6 DSGVO befragte.

Der EuGH hat erwogen: ErwGr 150 DSGVO verweist iZm der Berechnung von Geldbußen nach Art 83 Abs 4 bis 6 DSGVO auf den Begriff "Unternehmen" iSd Art 101 und 102 AEUV. Dieser Unternehmensbegriff umfasst jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und Finanzierungsart.

Nach Art 83 Abs 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass Geldbußen nach Abs 4 bis 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Art 83 Abs 2 DSGVO verlangt zudem, dass die zuständige Aufsichtsbehörde bei der Entscheidung über das Verhängen einer Geldbuße eine Reihe von Kriterien (ua Art, die Schwere und die Dauer des Verstoßes) berücksichtigt.

Diese Kriterien verweisen zwar nicht auf den Unternehmensbegriff iSd Art 101 und 102 AEUV, doch eine Geldbuße ist nur dann wirksam, verhältnismäßig und abschreckend, wenn sie nicht nur diese Kriterien, sondern auch die materielle Leistungsfähigkeit des Adressaten berücksichtigt. Daher ist zu prüfen, ob der Adressat einem Unternehmen iSd Art 101 und 102 AEUV angehört.

In bestimmten nationalen Rechtsordnungen, etwa der Dänemarks, sind keine Geldbußen vorgesehen. Gemäß Art 83 Abs 9 DSGVO kann in diesen Fällen die zuständige Aufsichtsbehörde die Geldbuße in die Wege leiten, während die nationalen Gerichte sie verhängen.

Gemäß Art 83 DSGVO müssen die zuständigen Aufsichtsbehörden sicherstellen, dass bei der Berechnung der tatsächlichen Höhe der verhängten Geldbuße der Grundsatz der Verhältnismäßigkeit beachtet wird. Dies geschieht durch einen angemessenen Ausgleich zwischen dem allgemeinen Interesse am Schutz personenbezogener Daten und den Rechten des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, dem diese angehören.

Auch wenn Verstöße gegen die DSGVO nicht mit administrativen, sondern mit von Strafgerichten verhängten Geldbußen geahndet werden, steht einer Anwendung des Begriffs "Unternehmen" iSd Art 101 und 102 AEUV im Rahmen von Art 83 Abs 4 bis 6 DSGVO nichts entgegen.

Der Höchstbetrag einer Geldbuße gegen einen Verantwortlichen, der ein Unternehmen ist oder einem Unternehmen angehört, wird auf Basis eines Prozentsatzes des weltweiten Konzernumsatzes berechnet. Der Konzernumsatz ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen. Dadurch wird überprüft, ob die Geldbuße wirksam, verhältnismäßig und abschreckend ist.

EuGH 13.02.2025, C-612/23, Verbraucherzentrale Berlin

Telekommunikation, Mindestvertragslaufzeit

· Eine Verbraucherzentrale erhob eine Unterlassungsklage gegen einen Telekomanbieter wegen deren Geschäftspraxis, die es Bestandskunden ermöglichte, vor Ablauf ihrer Erstverträge neue Folgeverträge mit einer Mindestlaufzeit von 24 Monaten abzuschließen. Die verbleibende Vertragslaufzeit der Erstverträge wurde dem neuen Vertrag hinzugerechnet. Nach Ansicht der Verbraucherzentrale verstieß dies gegen Art 30 der UniversaldienstRL, nach der keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten vereinbart werden darf. Das vorlegende Gericht fragte den EuGH, ob der Begriff "anfängliche Mindestvertragslaufzeit" auch auf Verlängerungsverträge anzuwenden sei, was der EuGH bejahte.

Der EuGH hat erwogen: Die UniversaldienstRL ist in der Zwischenzeit durch den europäischen Kodex für die elektronische Kommunikation (EKEK; Richtlinie [EU] 2018/1972) aufgehoben worden. Auf den Ausgangssachverhalt ist aber noch die UniversaldienstRL anzuwenden.

Art 30 Abs 5 UniversaldienstRL bestimmte, dass Verträge zwischen Verbrauchern und Unternehmen, die elektronische Kommunikationsdienste erbringen, keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten beinhalten dürfen. Der Begriff "anfängliche Mindestvertragslaufzeit" bezieht sich sowohl auf die Laufzeit des Erstvertrags als auch auf die Laufzeit eines Folgevertrags zwischen denselben Parteien. Ein Folgevertrag darf keine Mindestvertragslaufzeit von mehr als 24 Monaten haben, auch wenn er vor Ablauf des Erstvertrags unterzeichnet und in Vollzug gesetzt wurde.

Die Festlegung zumutbarer Mindestlaufzeiten in Verbraucherverträgen ist nicht ausgeschlossen, darf aber nicht mehr als 24 Monate betragen. Der Unionsgesetzgeber wollte keine Unterscheidung zwischen Erst- und Folgeverträgen treffen. Ein Vergleich der Sprachfassungen der UniversaldienstRL bestätigt diese Auslegung. Der Schutz der Verbraucher war zentrales Ziel dieser RL und dieser darf nicht geringer sein, wenn ein Verbraucher Änderungen eines Vertrags mit einem Anbieter zustimmt, als wenn er erstmals eine Bindung mit einem neuen Anbieter eingeht. Dies gilt insbesondere, wenn der Folgevertrag wesentliche Änderungen gegenüber dem Erstvertrag enthält, wie etwa Preisgestaltung oder Leistungsinhalt.

Rechtsprechung des VwGH

· Die Anordnung des Art 7 Abs 3 DSGVO, dass der Widerruf so einfach sein müsse, wie die Erteilung der Einwilligung zur Verarbeitung personenbezogener Daten, ist nicht weiter auslegungsbedürftig. Die Frage, wie ein Cookie-Banner zu gestalten ist, ist jeweils anhand der für den Einzelfall maßgeblichen Umstände zu prüfen, weshalb diese Frage nicht revisibel ist (VwGH 16.01.2025, Ra 2024/04/0424).

· Gegenstand des Auskunftsverfahrens ist die Verletzung der Auskunftspflicht aufgrund eines bestimmten Auskunftsersuchens. Die Rechtswirksamkeit des Auskunftsersuchens ist somit Voraussetzung für eine Verletzung der Auskunftspflicht. Eine Nachholung des den Beschwerdegegenstand bildenden Auskunftsersuchens erst im datenschutzrechtlichen Verfahren ist nicht möglich, weil es sich bei der Stellung eines rechtswirksamen Auskunftsersuchens um die tatbestandsmäßige Voraussetzung dafür handelt, dass die (potenziell) Betroffene überhaupt in ihrem Recht verletzt werden konnte. Durch diese Sichtweise entsteht kein Rechtsschutznachteil, weil jede (potenziell) Betroffene grundsätzlich jederzeit ein neues Auskunftsersuchen an den Verantwortlichen richten kann (VwGH 10.12.2024, Ra 2022/04/0107).

Rechtsprechung der Justiz

· Die Behandlung von Erneuerungsanträgen in Strafverfahren ist auf die Prüfung der Verletzung eines Rechts nach der EMRK oder ihrer Zusatzprotokolle beschränkt. Die Bestimmungen des § 110 Abs 1 Z 1 und Abs 2 StPO sowie des § 111 Abs 2 StPO zur Mobiltelefonauswertung wurden mit Erkenntnis des VfGH als verfassungswidrig wegen Verstoßes gegen § 1 Abs 2 DSG iVm Art 8 Abs 2 EMRK aufgehoben. Wie der VfGH ausgesprochen hat, blieben diese aufgehobenen Bestimmungen jedoch aufgrund der gemäß Art 140 Abs 5 B-VG gesetzten Frist bis zum Ablauf des 31.12.2024 in Kraft. Sie waren daher zum Zeitpunkt der Entscheidung durch das Berufungsgericht anzuwenden (OGH 22.01.2025, 13Os105/24a).

· Die DSGVO gibt keine bestimmte Form für den Identitätsnachweis im Rahmen eines Auskunftsersuchens vor. Auch eine in diesem Zusammenhang erteilte Vollmacht muss daher nicht handschriftlich iSd § 886 ABGB sein. Bestehen begründete Zweifel an der Identität oder Vollmacht, muss der Verantwortliche dem Betroffenen seine konkreten Bedenken mitteilen. Die pauschale Ablehnung der Auskunft ist unzulässig (OLG Linz 06.02.2025, 6R10/25w).

Rechtsprechung des BVwG

BVwG 13.01.2025, W137 2304495-1

Video, Servitut, Datenminimierung

· Zwei Grundstückseigentümer installierten eine Videokamera am Hauseingang, die auch einen Teil des von den Servitutsberechtigten genutzten Geh- und Fahrtwegbereich erfasste. Die Servitutsberechtigten erachteten sich in ihrem Recht auf Geheimhaltung verletzt und erhoben Datenschutzbeschwerde bei der DSB. Diese gab der Datenschutzbeschwerde statt und trug den Grundstückseigentümern auf, den Aufnahmebereich so einzuschränken, dass der Geh- und Fahrtwegbereich nicht mehr zu sehen ist. Gegen diesen Bescheid erhoben die Grundstückseigentümer (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Zweck der Videoüberwachung besteht grundsätzlich darin, das Grundstück der Grundstückseigentümer zu überwachen und ist als solcher berechtigt. Zwar besteht für die Grundstückseigentümer ein berechtigtes Interesse am Schutz ihres Eigentums iSd Art 6 Abs 1 lit f DSGVO, allerdings überwiegt das Interesse der Servitutsberechtigten am Schutz ihres Privat- und Familienlebens bei der zweckmäßigen Nutzung ihrer Servitut.

Zudem haben die Grundstückseigentümer gegen den Grundsatz der Datenminimierung iSd Art 5 Abs 1 lit c DSGVO verstoßen, weil der Schutz ihres Eigentums auch dann erreicht werden könnte, wenn die Videokamera so positioniert wäre, dass diese nur den Eingangsbereich ihres Hauses überwacht.

· Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 10.01.2025, W252 2271738-1).

· Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 10.01.2025, W291 2261757-1; 22.01.2025, W108 2288262-1).

EU-Rechtsakte

· Am 13.02.2025 wurde die "Delegierte Verordnung (EU) 2025/295 der Kommission vom 24. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Harmonisierung der Bedingungen für die Durchführung von Überwachungstätigkeiten", ABl L 2025/295, 1, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …" (kurz: DORA) und legt fest, welche Informationen sog IKT-Drittdienstleister zur Verfügung zu stellen haben.

· Zur Ergänzung der "VO (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte…" (kurz: MiCAR) erließ die Kommission fünf Delegierte Verordnungen. Am 13.02.2025 wurden die DelegierteVO (EU) 2025/292, ABl L 2025/292, 1; DelegierteVO (EU) 2025/296, ABl L 2025/296, 1; DelegierteVO (EU) 2025/297, ABl L 2025/297, 1; DelegierteVO (EU) 2025/298; ABl L 2025/298, 1; DelegierteVO (EU) 2025/299, ABl L 2025/299, 1, kundgemacht. Ergänzt wird die MiCAR durch mehrere technische Regulierungsstandards.

Nationale Rechtsakte

· Am 10.02.2025 wurde das FATF-Prüfungsanpassungsgesetz 2024, BGBl I 2025/5, kundgemacht. Mit dem FATF-Prüfungsanpassungsgesetz wurde das Sanktionengesetz 2024 erlassen sowie ua das BWG, das FMABG und das KontRegG novelliert. Geregelt wird ua die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zur Umsetzung von Sanktionsmaßnahmen.

· Am 14.02.2024 wurde die "Verordnung des Bundesministers für Kunst, Kultur, öffentlichen Dienst und Sport, mit der die BMKÖS-Datenaufbewahrungsverordnung geändert wird", BGBl II 2025/18, kundgemacht. Mit dieser V werden bestimmte Aufbewahrungspflichten bei der Verarbeitung der Daten von Beamten im Vergleich zu den Regelungen des § 280a BDG herab- oder heraufgesetzt.

Datenschutzmonitor 19.02.2025

Rechtsprechung des EGMR

EGMR 13.02.2025, 51409/19, Macharik/Tschechien

Schutz der Kommunikation, faires Verfahren

· Mit richterlichem Beschluss kam es zu einer Offenlegung von Kommunikationsdaten aus der Mailbox eines Unternehmens. Dadurch konnten die E-Mail-Kommunikation und deren Inhalte einer mit dem Unternehmen in Kontakt stehenden Beschuldigten erlangt werden. Die E-Mail-Kommunikation diente als Hauptbeweismittel im gegen die Beschuldigte eingeleiteten Verfahren, in dem sie verurteilt wurde. Im Verfahren beantragte sie erfolglos die Entfernung der E-Mail-Kommunikation aus den Verfahrensakten, weil diese Nachrichten keine Kommunikationsdaten iSd im Beschluss angeführten Gesetzes seien. Die angerufenen innerstaatlichen Gerichte erachteten die Verwertung der E-Mail-Kommunikation als Beweismittel unter Heranziehung unterschiedlicher Gesetzesbestimmungen für rechtmäßig. Die Beschuldigte wendete sich an den EGMR und monierte eine Verletzung ihres Rechts auf Achtung des Privat- und Familienlebens gemäß Art 8 EMRK sowie des Rechts auf ein faires Verfahren gemäß Art 6 EMRK. Darüber hinaus machte sie Schaden- und Aufwandersatz geltend. Der EGMR bestätigte die Verletzung von Art 8 EMRK, lehnte aber das Begehren auf Schadenersatz ab und sprach einen Teil des Aufwandersatzes iHv EUR 2.500 zu.

Der EGMR hat erwogen: Die Vertraulichkeit jeglicher privaten und beruflichen Korrespondenz wird von Art 8 EMRK umfasst. Ein Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Das Gesetz und etwaige Ermessensspielräume müssen hinreichend klar und nachvollziehbar formuliert sein. Die Sichtung von beruflichen E-Mails ist ein geringerer Eingriff in Art 8 EMRK als die Einsichtnahme in eine private Mailbox.

Die innerstaatlichen Gerichte zogen drei Normen als potenzielle Rechtfertigung für den Eingriff in das Grundrecht heran, wobei die von den letztinstanzlichen Gerichten herangezogene Norm zum Zeitpunkt des Eingriffs in dieser Form noch nicht in Kraft war. Die Speicherung und Herausgabe der Kommunikation war nach den genannten innerstaatlichen Bestimmungen nicht erlaubt. Die Anwendung der Bestimmungen erfolgte durch die Gerichte in einer nicht nachvollziehbaren Weise. Der Eingriff in das Grundrecht war daher weder vorhersehbar noch gesetzlich vorgesehen.

Die Verwendung von unzulässig erhobenen Beweisen ist keine Verletzung des Rechts auf ein faires Verfahren, wenn der Eingriff nur geringfügig ist und Verteidigungsrechte sonst beachtet werden.

Den geltend gemachten Schadenersatz für die im Strafverfahren auferlegte Geldstrafe lehnte der EGMR mangels Kausalität zwischen der festgestellten Verletzung und dem geltend gemachten Schaden ab. Immateriellen Schadenersatz lehnte der EGMR ab, weil die Feststellung einer Grundrechtsverletzung eine ausreichende Entschädigung sei.

Rechtsprechung des EuGH

EuGH 13.02.2025, C-383/23, ILVA

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

EuGH 13.02.2025, C-612/23, Verbraucherzentrale Berlin

Telekommunikation, Mindestvertragslaufzeit

Rechtsprechung des VwGH

Rechtsprechung der Justiz

Rechtsprechung des BVwG

BVwG 13.01.2025, W137 2304495-1

Video, Servitut, Datenminimierung

· Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 10.01.2025, W291 2261757-1; 22.01.2025, W108 2288262-1).

EU-Rechtsakte

Nationale Rechtsakte

Datenschutzmonitor 26.02.2025

Rechtsprechung des EGMR

EGMR 18.02.2025, 33067/22, Kharazishvili/Georgien

Anwaltsgeheimnis, Telefonüberwachung

· Das georgische Finanzministerium leitete eine strafrechtliche Untersuchung wegen des Verdachts des illegalen Verkaufs von Zigarettenpackungen ein. Ein iransicher Staatsbürger soll dazu ein Unternehmen in Georgien gegründet haben, das von einer Anwältin vertreten wurde. Neben der Anwältin wurden ihr Ehemann und sechs weitere Personen des unrechtmäßigen Verkaufs großer Mengen verbrauchssteuerpflichtiger Waren ohne Verbrauchssteuerbanderolen verdächtigt. Auf Antrag der Generalstaatsanwaltschaft genehmigte das zuständige Stadtgericht das Abhören und Aufzeichnen ihrer Telefongespräche für 30 Tage. Dieser Beschluss wurde von der Anwältin und ihrem Ehemann ua deshalb angefochten, weil das Abhören aufgrund des Anwaltsgeheimnisses rechtswidrig sei. Das Berufungsgericht wies die Rechtsmittel ab. Der EGMR stellte eine Verletzung des Art 8 EMRK fest und sprach der Anwältin und ihrem Ehemann Schadenersatz zu.

Der EGMR hat erwogen: Telefonüberwachung fällt unter den Schutz von "Privatleben" und "Korrespondenz" nach Art 8 EMRK. Sie ist nur zulässig, wenn sie gesetzlich vorgesehen ist, ein legitimes Ziel verfolgt und in einer demokratischen Gesellschaft notwendig ist, um ein solches Ziel zu erreichen. Die gesetzliche Grundlage muss zugänglich und vorhersehbar sein. Besonders bei geheimen Überwachungsmaßnahmen sind klare, detaillierte Regeln erforderlich, um Willkür zu vermeiden.

Die Telefonüberwachung hatte ihre gesetzliche Grundlage in der georgischen Strafprozessordnung, die den Antragstellern auch zugänglich war. Diese regelte ua die Grundsätze, Voraussetzungen und Dauer der Datenverarbeitung und gab der Anwältin und ihrem Ehemann somit eine angemessene Vorstellung von den Umständen der verdeckten Ermittlungsmaßnahme.

Die georgische Strafprozessordnung verpflichtete Richter dazu, die Notwendigkeit und Verhältnismäßigkeit der verdeckten Ermittlungsmaßnahme zu prüfen. Der Gerichtsbeschluss enthielt allerdings weder konkrete Fakten, mit denen der Verdacht einer Straftat begründet wurde noch eine Bewertung der Notwendigkeit oder Verhältnismäßigkeit der verdeckten Ermittlungsmaßnahme.

Zudem versäumte das Berufungsgericht, das Anwaltsgeheimnis gegen die Erfordernisse der strafrechtlichen Untersuchung abzuwägen.

Rechtsprechung des VwGH

· Eine in vertretbarer Weise vorgenommene fallbezogene Auslegung eines Auskunftsersuchens durch das BVwG ist nicht revisibel, weil ihr über den Einzelfall hinaus keine Bedeutung zukommt (VwGH 16.01.2025, Ra 2024/04/0438).

Rechtsprechung der Justiz

OGH 22.01.2025, 9ObA79/24v

Sensible Daten, Dritte

· Eine ehemalige diplomierte Gesundheits- und Krankenpflegerin (Krankenpflegerin) eines öffentlichen Bezirkskrankenhauses, das durch den Gemeindeverband betrieben wird, klagte Schadenersatz vom Betreiber ein. Sie behauptete, durch "Bossing-Handlungen" des Verwaltungsdirektors des Krankenhauses Gesundheitsbeeinträchtigungen erlitten zu haben. Der Verwaltungsdirektor berief deshalb eine Sonderkollegialführungssitzung ein, die die Entlassung der Krankenpflegerin beschloss, was durch den Gemeindeverbandsausschuss bestätigt wurde. Die Krankenpflegerin begehrte in der nunmehrigen Klage, es zu unterlassen, ihre Gesundheitsdaten und Verfahrensakten an Nichtorgane des Betreibers weiterzugeben. Hilfsweise verlangte sie, dass ihre Patientendaten datenschutzkonform geschützt werden. Das Erstgericht wies die Klage ab, was das Berufungsgericht bestätigte, aber dem Eventualbegehren teilweise stattgab. Der OGH wies die außerordentliche Revision der Krankenpflegerin zurück.

Der OGH hat erwogen: Entscheidungswesentlich war, ob der Betreiber berechtigt war, Inhalte aus dem Schadenersatzverfahren den im Hauptbegehren genannten Personen zur Kenntnis zu bringen. Der Gemeindeverbandsausschuss besteht aus landesgesetzlich bestimmten Mitgliedern. Der ärztliche Leiter, der Verwaltungsleiter und der Leiter des Pflegedienstes der Krankenanstalt sowie ein vom Betriebsrat entsandten Vertreter gehören dem Gemeindeverbandsausschuss mit beratender Stimme an und sind keine "unbefugten Dritten".

Nur Personen, die ein Organ des Betreibers bilden, erlangten Kenntnis vom Inhalt des Schriftsatzes und den darin enthaltenen sensiblen Daten der Klägerin. Die Verarbeitung personenbezogener Daten war zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich (Art 9 Abs 2 lit f DSGVO). "Erforderlich" bedeutet, dass ohne die Daten die Geltendmachung des Anspruchs bzw eine Verteidigung dagegen nicht möglich oder wesentlich erschwert wäre. Die Kenntnis der Angehörigen des Gemeindeverbandsausschusses war von der erforderlichen Rechtsverteidigung iSd Art 9 Abs 2 lit f DSGVO gedeckt. Das Interesse des Betreibers an der Rechtsverteidigung überwog das Geheimhaltungsinteresse der Krankenpflegerin.

OLG Graz 30.12.2024, 10Bs118/24i

Sicherstellung, Mobiltelefon, Verhältnismäßigkeit

· Die Staatsanwaltschaft (StA) ermittelte gegen einen Jugendlichen, der Aufnahmen einer Minderjährigen beim Oralverkehr angefertigt und verbreitet haben soll. In diesem Zusammenhang ordnete die StA die Sicherstellung seines Mobiltelefons an. Der Jugendliche sah sich durch eine unzureichende Begründung der Sicherstellung in seinen Rechten verletzt. Das LG Graz gab dem Einspruch der Rechtsverletzung nicht Folge. Dagegen richtet sich die Beschwerde des Jugendlichen, der das OLG Graz teilweise Folge gab.

Das OLG Graz hat erwogen: Die Sicherstellung eines Mobiltelefons aus Beweisgründen iSd § 110 Abs 1 Z 1 StPO a.F. ist nur zulässig, wenn der Verdacht einer strafbaren Handlung besteht. In der schriftlichen Begründung der Sicherstellung müssen für alle konkreten Tatbestandselemente der vermuteten Straftat bestimmte, sinnlich wahrnehmbare Anhaltspunkte bezeichnet werden. Die Anordnung der StA war wegen Begründungsmängeln unzulässig.

Das Gericht kann eine Zwangsmaßnahme allerdings aufgrund eigener Erwägungen im Ergebnis als rechtsfehlerfrei beurteilen und den Einspruch verwerfen. Die Begründung der StA beinhaltete zwar keine ausreichenden Anhaltspunkte für den von ihr angeführten Verdacht der fortdauernden Belästigung im Wege einer Telekommunikation oder eines Computersystems nach § 107c StGB, aber sehr wohl für das Vergehen der pornographischen Darstellung Minderjähriger nach § 207a StGB. Die Sicherstellung war in diesem Zusammenhang aus Beweisgründen erforderlich. In Hinblick auf das Gewicht der (Sexual-)Straftaten zum Nachteil einer Minderjährigen, den Grad des Verdachts und des zu erwartenden Beitrags zur Sachverhaltsaufklärung war sie auch verhältnismäßig. Die Verhältnismäßigkeit ergibt sich zudem aus der ausdrücklichen Beschränkung der Auswertung auf das in Rede stehende Video und auf Nachrichtenverläufe während eines konkreten Zeitraums.

Rechtsprechung des BVwG

BVwG 19.12.2024, W287 2297969-1

Bundespräsident, Journalist, Postenbesetzung

· Ein Journalist brachte ein Auskunftsbegehren nach § 2 AuskunftspflichtG bei der Präsidentschaftskanzlei ein. Insbesondere verlangte er die Übermittlung eines Gutachtens und eines Aktenvermerks zu einer Postenbesetzung. In Beantwortung des Begehrens übermittelte die Präsidentschaftskanzlei den Antrag auf Ernennung und eine Resolution zur Bestellung. Da Bewerberdaten im Gutachten enthalten waren und der Aktenvermerk ein nicht zu beauskunftendes Werturteil enthielt, lehnte der Bundespräsident die Übermittlung dieser Unterlagen mit Bescheid ab. Gegen den Bescheid erhob der Journalist erfolglose Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Bei der Einschränkung der Auskunftsbeantwortung hat die Behörde den (i) Zweck und das Ziel des Informationsansuchens, (ii) die tatsächliche Notwendigkeit des Informationsbegehrens für die Ausübung der Meinungsfreiheit, (iii) den Charakter der begehrten Informationen, (iv) die Rolle des Zugangswerbers und (v) die Existenz von bereits verfügbaren Informationen zu prüfen.

Die Verweigerungsgründe für Auskünfte sind eng auszulegen. Insbesondere wenn Journalisten als public watchdog die Auskunft begehren. Die Herausgabe des Gutachtens aus dem Bewerbungsprozess ist von der Auskunft nach dem AuskunftspflichtG jedoch ausgenommen. Die Bewerber mussten nicht damit rechnen, dass ihre Identität sowie die Einschätzungen und Wertungen der Kommission im Gutachten öffentlich gemacht werden. Bewerber, die aus der Richterschaft kommen, genießen dabei kein geringeres Geheimhaltungsinteresse.

Beim gegenständlichen Aktenvermerk handelt es sich um interne Abwägungs- und Willensbildungsprozesse, die bereits von der Akteneinsicht ausgenommen sind und auch nach dem AuskunftspflichtG nicht zu beauskunften sind.

BVwG 17.01.2025, W298 2293073-1

Strafverfolgung, öffentliches Interesse, zwangsweise Unterbringung

· Ein aufgebrachter Bürger verursachte einen Polizeieinsatz. Bei der zwangsweisen Unterbringung, unter Anwendung von Körperkraft in eine psychiatrische Anstalt, wurde der Bürger verletzt. Zur Dokumentation des Einschreitens erstellten die Beamten ein Anhalteprotokoll, welches an verschiedene Stellen weitergeleitet wurde. Der aufgebrachte Bürger erhob Datenschutzbeschwerde wegen der Verletzung seines Rechts auf Geheimhaltung, Löschung, Berichtigung und der Weitergabe seiner Daten. Nachdem die DSB in ihrer Reaktion säumig war, erhob er Säumnisbeschwerde. Das BVwG entschied in der Sache selbst und wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Eine Verarbeitung nach Art 6 Abs 1 lit e DSGVO ist rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Die Öffnungsklausel des Art 9 Abs 2 lit g DSGVO verlangt für die Zulässigkeit der Datenverarbeitung eine gesetzliche Grundlage im nationalen Recht oder im Unionsrecht. Diese muss in einem angemessenen Verhältnis zum verfolgten Ziel stehen, den Wesensgehalt des Datenschutzrechts wahren und Maßnahmen zur Interessenwahrung der Betroffenen vorsehen. Ergänzend muss ein erhebliches öffentliches Interesse an der Verarbeitung bestehen. Bei Erfüllung dieser Erfordernisse ist die Verarbeitung dann auch nach Art 6 Abs 1 lit e DSGVO rechtmäßig.

An Maßnahmen zur Strafverfolgung besteht ein öffentliches Interesse. Sicherheitsbehörden dürfen Gesundheitsdaten ua an den örtlichen Rettungsdienst und andere in § 39b UbG genannte Stellen weiterleiten. Das Weiterleiten von Daten zum Ausspruch eines Waffenverbots war nach § 39a UbG und das Weiterleiten der Daten an die StA nach § 100 StPO gerechtfertigt.

Da die Daten des Bürgers rechtmäßig verarbeitet wurden und mit § 10 Abs 3 der Richtlinien-Verordnung eine Aufbewahrungspflicht für Sicherheitsbehörden normiert war, waren diese nicht zu löschen.

BVwG 09.12.2024, W292 2285487-1

Unerbetene Nachricht, Selbstbelastungsverbot, Kosten des Beschwerdeverfahrens

· Ein Arbeitsuchender veröffentlichte seine Kontaktdaten im eJob-Room des AMS, um eine Stelle zu finden. Ein Personalüberlassungsunternehmen übernahm diese Daten und speicherte sie für die Arbeitsvermittlung. Der Arbeitsuchende verlangte die Löschung seiner Daten, weil er kein Interesse mehr an Jobangeboten hatte. Dennoch speicherte das Unternehmen die Daten weiter und nutzte sie, um ihm weitere Jobangebote zuzusenden.

Der Arbeitsuchende brachte Datenschutzbeschwerde bei der DSB ein. Nachdem das Personalüberlassungsunternehmen auf mehrere Aufforderungen der DSB zur Stellungnahme nicht reagierte, leitete diese ein Verwaltungsstrafverfahren ein und verhängte eine Geldstrafe (zzgl Verfahrenskosten). Die Bescheidbeschwerde an das BVwG blieb erfolglos und das BVwG verpflichtete das Personalüberlassungsunternehmen zur Zahlung der Kosten des Beschwerdeverfahrens iHv 20% der verhängten Strafe.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten bei der Ausübung des Gewerbes der Überlassung von Arbeitskräften (§ 135 GewO) kann zum Zweck der Anbahnung neuer Dienstverhältnisse ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Es kommt dabei nicht darauf an, ob das Unternehmen die Kontaktdaten des Arbeitsuchenden im Rahmen der Arbeitskräfteüberlassung oder der Arbeitsvermittlung verwendete bzw ob es im relevanten Tatzeitraum zur Arbeitsvermittlung berechtigt war (§ 4 Abs 1 Z 4 AMFG).

Das Personalüberlassungsunternehmen hat jedoch dem Arbeitsuchenden via SMS Arbeitsangebote übermittelt, um eine Vertragsbeziehung anzubahnen (Direktwerbung). Das Versenden elektronischer Werbenachrichten an den Arbeitssuchenden verstieß gegen § 174 Abs 3 TKG 2021, weil dieser dem Unternehmen gegenüber zu keinem Zeitpunkt eine Einwilligung erteilt hatte und zwischen den Parteien auch keine Kundenbeziehung bestand.

Der Arbeitsuchende teilte dem Unternehmen via E-Mail unmissverständlich mit, dass er keine elektronischen Nachrichten mit Arbeitsangeboten erhalten möchte. Bei dieser Erklärung handelte es sich neben einem Löschersuchen gemäß Art 17 DSGVO auch um einen Widerspruch nach Art 21 DSGVO. Ab diesem Zeitpunkt war auch jegliche Verarbeitung seiner Kontaktdaten unzulässig.

Das Personalüberlassungsunternehmen verstieß zudem gegen seine Mitwirkungspflicht gemäß Art 31 DSGVO. Die Pflicht nach Art 31 DSGVO ist grundrechtskonform auszulegen und findet ihre Grenze im Selbstbelastungsverbot. Die Mitwirkungspflicht eines Verantwortlichen folgt jedoch bereits aus der Rechenschaftspflicht des Art 5 Abs 2 DSGVO und kann nicht von Vornherein als grundrechtswidrig angesehen werden.

BVwG 23.01.2025, W605 2284399-1

Mitwirkung, Geldbuße, Kosten des Beschwerdeverfahrens

· Die DSB forderte eine GmbH wiederholt zu Stellungnahmen in gegen sie anhängigen Datenschutzbeschwerdeverfahren auf und wies dabei jedes Mal auf die Mitwirkungspflicht gemäß Art 31 DSGVO sowie auf ein drohendes Verwaltungsstrafverfahren hin. Die GmbH reagierte auf keine dieser Aufforderungen und die Verfahren wurden ohne ihre Mitwirkung abgeschlossen. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren gegen die GmbH ein, und verurteilte sie wegen Verletzung der Mitwirkungspflicht zu einer Geldstrafe. Die dagegen eingebrachte Bescheidbeschwerde wies das BVwG ab und es verpflichtete die GmbH zur Zahlung der Kosten des Beschwerdeverfahrens iHv 20% der verhängten Strafe.

Das BVwG hat erwogen: Den Verantwortlichen trifft gemäß Art 31 DSGVO eine Mitwirkungspflicht. Bei fehlender Kooperation ist eine Geldbuße zu verhängen. Die Pflicht zur Zusammenarbeit erfordert keinen Erfolgseintritt, sondern die rechtzeitige und fristgerechte Beantwortung der Anfragen der Aufsichtsbehörde.

Die GmbH wurde als Verantwortliche aufgrund von gegen sie erhobenen Datenschutzbeschwerden zur Stellungnahme und Mitwirkung aufgefordert. Die Mitarbeiterin, die die Schreiben abgelegt haben soll, war zur Empfangnahme der Schreiben befugt. Die mittels RSb erfolgte Zustellung der Schreiben war daher unzweifelhaft rechtswirksam.

BVwG 07.01.2025, W108 2288748-1

Auskunft, Empfänger, Speicherfrist, Beweisverfahren

· Ein Kunde stellte ein Auskunftsersuchen an ein Energieversorgungsunternehmen. Er forderte Auskunft über die Empfänger seiner personenbezogenen Daten und die Löschung seiner E-Mail-Adresse. Da das Energieversorgungsunternehmen in seinem Antwortschreiben nur allgemeine Informationen bekanntgab und die Löschung der E-Mail-Adresse bestätigte, sah sich der Kunde in seinem Recht auf Auskunft sowie dem Recht auf Löschung verletzt und brachte eine Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte fest, dass das Energieversorgungsunternehmen den Kunden in seinem Recht auf Auskunft verletzt hat. Daraufhin richteten sowohl der Kunde als auch das Energieversorgungsunternehmen (teilweise erfolgreiche) Bescheidbeschwerden an das BVwG.

Das BVwG hat erwogen: Gemäß Art 15 Abs 1 lit c DSGVO haben Betroffene das Recht auf Information über die Empfänger oder Kategorien von Empfängern, gegenüber denen ihre personenbezogenen Daten offengelegt wurden oder noch offengelegt werden. Der Kunde hat in seinem Schreiben ausdrücklich Auskunft über die Empfänger seiner personenbezogenen Daten begehrt. Das Energieversorgungsunternehmen hatte kein Wahlrecht, ob es konkrete Empfänger oder Kategorien von Empfängern bekanntgibt, sondern musste die Empfänger benennen, soweit es diese kannte. Auch Auftragsverarbeiter gelten als Empfänger, nicht aber Beschäftigte oder sonstige Stellen, die dem Verantwortlichen unmittelbar unterworfen sind.

Gemäß Art 15 Abs 1 lit d DSGVO hat die betroffene Person das Recht auf Information über die geplante Dauer der Aufbewahrung der personenbezogenen Daten oder die Kriterien für die Festlegung dieser Dauer. Ein genereller Verweis auf gesetzliche Aufbewahrungspflichten oder die Geltendmachung/Abwehr von rechtlichen Ansprüchen ohne konkrete Rechtsgrundlage ist nicht ausreichend. Das Energieversorgungsunternehmen hat jedoch in seiner Bescheidbeschwerde konkrete Rechtsgrundlagen (§ 132 BAO und § 1468 ABGB) angeführt, aus denen sich die Dauer der Speicherung ergibt. Diese Auskunft ist ausreichend.

Hinsichtlich des Rechts auf Löschung gemäß Art 17 DSGVO hat die DSB festgestellt, dass das Energieversorgungsunternehmen die E-Mail-Adresse des Kunden gelöscht hat. Der Kunde wurde jedoch nach behaupteter Löschung erneut über diese Adresse kontaktiert und hielt dies auch in seiner Bescheidbeschwerde fest. Die DSB hat sich diesbezüglich nur auf schriftliche Stellungnahmen der beiden Parteien beschränkt und somit keine ausreichenden Ermittlungen durchgeführt. Die DSB hätte ein Beweisverfahren durchzuführen gehabt, um den vollständigen, rechtlich relevanten und wahren Sachverhalt festzustellen. Der Kunde und das Energieversorgungsunternehmen hätten förmlich einvernommen werden müssen. Die Sache wird daher bezüglich der Frage, ob eine Verletzung des Rechts auf Löschung vorliegt, zur neuerlichen Entscheidung an die DSB zurückverwiesen.

· Das Recht auf eine Kopie der personenbezogenen Daten bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller ihrer Daten ausgefolgt wird. Ein zusätzliches Recht auf Kopien von Auszügen aus Dokumenten, ganze Dokumente oder Auszüge aus Datenbanken räumt Art 15 Abs 3 Satz 1 DSGVO nicht ein (BVwG 09.09.2024, W176 2283061-1).

· Das Wegerecht ist eine Felddienstbarkeit. Besteht auf einer Zufahrtsstraße eine Servitut, darf sich der Servitutsberechtigte gegen die Behinderung der Ausübung des absoluten Rechts – hier des Wegerechts – durch gerechtfertigte Selbsthilfe zur Wehr setzen. Wird die Nutzung der Dienstbarkeit durch eine Hecke beeinträchtigt, darf der Servitutsberechtigte die Hecke zurückstutzen. Der Grundstückseigentümer ist nicht berechtigt, den Zufahrtsweg deshalb mit einer Wildkamera zu überwachen (BVwG 13.01.2025, W137 2302430-1).

· Prozessvoraussetzung für die Führung von Verfahren vor Verwaltungsgerichten ist ua das Bestehen eines Rechtsschutzinteresses. Wurde der Datenschutzbeschwerde von der DSB vollinhaltlich stattgegeben, steht der Bescheidbeschwerde der Mangel der formellen Beschwer und somit des Rechtsschutzbedürfnisses entgegen (BVwG 22.01.2024, W108 2288584-1).

· Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 28.01.2025, W252 2271964-1; W252 2271980-1 ).

· Das Grundrecht auf Datenschutz ist im Verfahren über die Festsetzung des ORF-Beitrags nicht präjudiziell, weshalb allfällige datenschutzrechtliche Bedenken der Festsetzung des ORF-Beitrags nicht entgegenstehen. Die in § 13 ORF-Beitrags-Gesetz 2024 vorgesehenen Datenübermittlungen werden für einen exakt definierten Zweck durchgeführt. Eine (unzulässige) Vorratsdatenspeicherung im Sinn einer Ermittlung von Daten zur Nutzung für einen späteren, zum Zeitpunkt der Ermittlung der Daten noch ungewissen Zweck, liegt nicht vor. Zudem ist die Zuständigkeit des BVwG im Kontext datenschutzrechtlicher Anbringen auf die Entscheidung über Datenschutzbeschwerden gegen Bescheide der DSB beschränkt (BVwG 11.12.2024, W603 2304073-1; 04.02.2025, L521 2306525-1; L521 2306682-1).

Rechtsprechung der LVwG

LVwG Wien 13.01.2025, VGW-101/042/17553/2024

Grundbuch, Abbruchbewilligung, Auskunft

· Ein Abgeordneter des Wiener Gemeinderats begehrte beim Magistrat der Stadt Wien (MA 37, Baupolizei) Auskunft darüber, für welche Bauwerke im Jahr 2023 Ansuchen auf Abbruch wegen wirtschaftlicher Abbruchreife eingebracht und für welche dieser Bauwerke der Abbruch bewilligt respektive nicht bewilligt wurde. Dabei berief er sich auf das Wiener Auskunftspflichtgesetz (Wr. AuskunftspflichtG). Die MA 37 verweigerte die Auskunft der Liegenschaftsadressen, weil die Eigentümer der Gebäude über das öffentliche Grundbuch ausfindig gemacht werden könnten und die Adressen somit personenbezogene Daten seien. Dagegen richtete sich die (erfolgreiche) Bescheidbeschwerde des Abgeordneten.

Das LVwG Wien hat erwogen: Eine Liegenschaftsadresse ist ein personenbezogenes Datum. Das Wr. AuskunftspflichtG ist gesetzliche Grundlage der Auskunftsbefugnis der MA 37 iSd § 1 DSG. Ein Grund zur Verweigerung der Auskunft sind gesetzliche Verschwiegenheitspflichten, deren Vorliegen allerdings eng auszulegen ist.

Gemäß § 1 Wr. AuskunftspflichtG iVm § 1 Abs 2 DSG ist die Auskunft nur bei überwiegendem Interesse des Auskunftswerbers zulässig. Der Abgeordnete beantragte die Auskunft nicht aus rein privater Neugier, sondern zur Wahrnehmung seiner Funktion als public watchdog. Zudem kommen ihm als Gemeinderats- und Landtagsabgeordneter aus der Bundesverfassung umfassende Kontrollpflichten zu, die nur auf Grundlage der beantragten Informationen ausgeübt werden können. Das Geheimhaltungsinteresse der Eigentümer ist hingegen vergleichsweise gering, weil Eigentümer einer Liegenschaft ohnehin durch Einsicht in das öffentliche Grundbuch ermittelt werden können. Die Auskunft liegt somit im überwiegenden Interesse des Abgeordneten.

Die Möglichkeit, dass Unbefugte mit Kenntnis von der Abbruchreife das Gebäude betreten und bewohnen könnten, rechtfertigt nicht die Verweigerung der Auskunft. Im Vergleich zu unbewohnten Gebäuden ist die Gefahr eines Einbruchsdiebstahls bei bewohnten Gebäuden eindeutig höher.

Rechtsprechung der DSB

· Die Betreiberin des hochrangigen Straßennetzes in Österreich ist gemäß § 16a Abs 1 BStMG berechtigt, die zur Mauteinhebung, zur Mautaufsicht und zur Verfolgung von Mautprellerei erforderlichen personenbezogenen Daten (zB Kfz-Kennzeichen) automationsunterstützt zu verarbeiten und für ein Jahr ab der Mautstellen-Durchfahrt zu speichern. Die Verarbeitung erfolgt iSd Datenminimierungsgrundsatzes, ist dem gesetzlichen Zweck angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt. Die Speicherung der Passage-Daten für ein Jahr ab der Mautstellen-Durchfahrt ist für die Zwecke der Betrugsbekämpfung und Reklamation angemessen (DSB 26.09.2024, 2024-0.112.476).

EU-Rechtsakte

· Am 20.02.2025 wurde die "Delegierte Verordnung (EU) 2025/301 der Kommission vom 23. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des Inhalts und der Fristen für die Erstmeldung, die Zwischenmeldung und die Abschlussmeldung schwerwiegender IKT-bezogener Vorfälle sowie des Inhalts der freiwilligen Meldung erheblicher Cyberbedrohungen", ABl L 2025/301, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …" (kurz: DORA) und legt fest, welche Informationen mit Meldungen von IKT-Vorfällen zu übermitteln sind.

· Am 20.02.2025 wurde die "Durchführungsverordnung (EU) 2025/302 der Kommission vom 23. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung", ABl L 2025/302, kundgemacht. Auch diese DurchführungsVO wurde auf Grundlage der DORA erlassen und enthält Vorschriften zur Meldung von IKT-Vorfällen.

· Am 20.02.2025 wurde die "Delegierte Verordnung (EU) 2025/303 der Kommission vom 31. Oktober 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der von bestimmten Finanzunternehmen in die Mitteilung zur Bekundung ihrer Absicht zur Erbringung von Krypto-Dienstleistungen aufzunehmenden Angaben", ABl L 2025/303, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte […]" (kurz: MiCAR) und legt technische Regulierungsstandards fest.

· Am 20.02.2025 wurde die "Durchführungsverordnung (EU) 2025/304 der Kommission vom 31. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Mustertexte und Verfahren für die Mitteilung von bestimmten Finanzunternehmen zur Bekundung ihrer Absicht zur Erbringung von Krypto-Dienstleistungen", ABl L 2025/304, kundgemacht. Auch diese DurchführungsVO wurde auf Grundlage der MiCAR erlassen und enthält Vorschriften zu Regulierungsstandards.

Nationale Rechtsakte

· Am 18.02.2025 wurde die Kundmachung des Landeshauptmanns von Tirol betreffend die Vereinbarung gemäß Art 15a B-VG über die Organisation und Finanzierung des Gesundheitswesens, LGBl 2025/9, kundgemacht. Die Vereinbarung behandelt ua ELGA, eHealth und die eIDAS-konforme Ausgestaltung des e-card-Systems.

Vorschau EuGH-Rechtsprechung

· Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

· Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

· Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

· Am 13.03.2025 wird das Urteil des EuGH in der Rs C-247/23, Deldits, verkündet. Der EuGH wird darüber absprechen, ob ein nationales Register ggf den Geschlechtseintrag einer Person zu berichtigen hat. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 20.03.2025 werden die Schlussanträge in der Rs C-655/23, Quirin Privatbank, veröffentlicht. Gegenstand des Verfahrens sind immaterieller Schadenersatz nach Art 82 DSGVO und Unterlassungsansprüche.

· Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

János
Böszörményi

Attorney at Law

austria vienna

+43 1 534 37 50211

j.boeszoermenyi@schoenherr.eu

download contact

co-authors

provider	schoenherr
name	sch-ckmdl, sch-nwsltr
runtime	1 year

provider	Matomo
name	_pk_id,_pk_ses