Datenschutzmonitor Jänner 2025

VfGH 09.03.2023, E2097/2021

Finanzdatenaustausch, Besteuerung, GMSG

·      Ein Österreicher mit einem deutschen Bankkonto erachtete sich in seinem Grundrecht auf Datenschutz verletzt, weil der Bundesminister für Finanzen (BMF) personenbezogene Daten vom deutschen Bundeszentralamt für Steuern erhielt, verarbeitete und an die zuständige Abgabenbehörde weiterleitete. Die Datenverarbeitung beruhte auf § 113 Gemeinsamer Meldestandard-Gesetz (GMSG) und der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG wies die Bescheidbeschwerde ab. Der VfGH wies die Erkenntnisbeschwerde ab und trat sie an den VwGH zur Entscheidung darüber ab, ob der Österreicher durch das angefochtene Erkenntnis in einem sonstigen Recht verletzt wurde.

Der VfGH hat erwogen: §§ 112 und 113 GMSG setzen den automatischen Austausch von Finanzdaten gemäß Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung deckungsgleich um. Der VfGH kann die Verfassungsmäßigkeit der §§ 112 und 113 GMSG daher nur dann prüfen, wenn der EuGH zuvor Art 8 Abs 3a der Richtlinie für ungültig erklärt. Der VfGH hat jedoch auch keine Bedenken ob der Vereinbarkeit des Art 8 Abs 3a der Richtlinie mit Art 7 und 8 GRC.

Einschränkungen der Rechte auf Achtung des Privat- und Familienlebens, der Wohnung sowie Kommunikation und des Rechts auf Schutz personenbezogener Daten sind gemäß Art 52 GRC zulässig, wenn sie gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte wahren. Die Einschränkungen müssen verhältnismäßig und notwendig sein und im Einklang mit dem Gemeinwohl dienenden Zielsetzungen oder dem Schutz der Rechte und Freiheiten Dritter stehen.

Bei Eingriffen in das Datenschutzrecht muss das öffentliche Interesse an der Datenerhebung gegen den Schutz des Privatlebens abgewogen werden. Besonders schützenswert sind Daten, die für die spätere automatische Datenverarbeitung gesammelt werden. Es ist sicherzustellen, dass nur relevante Daten erhoben werden und diese nicht länger aufbewahrt werden, als dies für die Erreichung der Ziele erforderlich ist. Auch Schutzmaßnahmen gegen Datenmissbrauch sind zu treffen. Der BMF und alle am Informationsaustausch beteiligten Behörden sind an die Vorgaben der DSGVO gebunden, um den erforderlichen Sicherheitsanforderungen für die Verarbeitung zu entsprechen.

Die Weitergabe von Finanzdaten gemäß der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und somit gemäß §§ 112 f GMSG soll Steuerbetrug und -hinterziehung verhindern, die Wirksamkeit und Effizienz der Steuererhebung fördern und aggressive Steuerplanung eindämmen. Diese Ziele liegen alle im öffentlichen Interesse. Der automatische Informationsaustausch geht nicht über das Maß hinaus, das notwendig und erforderlich ist, um diese Ziele zu erreichen.

Die Rechtsprechung des EuGH zur Verhältnismäßigkeit der Vorratsdatenspeicherung sind auf die Regelungen der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung nicht übertragbar, weil sich die Regelungen in ihren Zielsetzungen unterscheiden und die verarbeiteten Finanzdaten nicht den Kernbereich des Privatlebens betreffen. Auch anderen EuGH-Urteilen kann nicht entnommen werden, dass Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung gegen Art 8 GRC verstoßen würde.

·      Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen. Es besteht eine erhöhte Mitwirkungspflicht, wenn es um Umstände geht, die in der persönlichen Sphäre der Parteien liegen (BVwG 22.11.2024, W211 2272744-1; 18.11.2024, W137 2272120-1).

·      Am 30.12.2024 ist die "VO (EU) 2024/3228 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Aufhebung der Verordnung (EU) Nr. 524/2013 und zur Änderung der Verordnungen (EU) 2017/2394 und (EU) 2018/1724 im Hinblick auf die Einstellung der Europäischen Plattform für Online-Streitbeilegung", ABl L 2024/3228, 1, kundgemacht worden. Mit dieser Verordnung wird die Europäische Plattform für Online-Streitbeilegung eingestellt.

·      Am 30.12.2024 ist die "RL (EU) 2024/3237 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinie (EU) 2015/413 zur Erleichterung des grenzüberschreitenden Austauschs von Informationen über die Straßenverkehrssicherheit gefährdende Verkehrsdelikte", ABl L 2024/3237, 1, kundgemacht worden. Geregelt werden ua der Austausch von Fahrzeugzulassungsdaten und die Amts- und Rechtshilfe betreffend Verkehrsdelikte.

EuGH 09.01.2025, C-394/23, Mousse

Anrede, Vertragserfüllung, berechtigtes Interesse

·      Ein Transportunternehmen verlangte bei der Online-Buchung von Fahrscheinen die Angabe der Anrede "Herr" oder "Frau". Der Verband "Mousse" erhob Klage, weil diese Datenverarbeitung weder auf einer Rechtsgrundlage gemäß Art 6 Abs 1 DSVGO beruhe noch dem Grundsatz der Datenminimierung entspreche. Zudem seien Transparenz- und Informationspflichten gemäß Art 13 DSGVO verletzt. Die Vorlagefrage des vorlegenden Gerichts betraf die in Art 6 Abs 1 lit b (Vertragserfüllung) und lit f (berechtigte Interessen) DSGVO genannten Rechtfertigungsgründe.

Der EuGH hat erwogen: Eine geschlechtsspezifische Personalisierung der geschäftlichen Kommunikation ist weder objektiv unerlässlich noch wesentlich, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Die Datenverarbeitung kann daher nicht auf Art 6 Abs 1 lit b DSGVO gestützt werden. Weniger einschneidend wären allgemeine und inklusive Höflichkeitsformen, die von der Geschlechtsidentität unabhängig sind.

Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn (i) ein berechtigtes Interesse des Verantwortlichen oder eines Dritten wahrgenommen wird; (ii) die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich ist und (iii) die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Kommerzielle Direktwerbung und deren Personalisierung können ein berechtigtes Interesse sein. Gemäß Art 13 Abs 1 DSGVO ist den Betroffenen zum Zeitpunkt der Datenerhebung das verfolgte berechtigte Interesse aber mitzuteilen. Andernfalls kann die Erhebung nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden.

Die Abfrage einer Anrede und/oder Geschlechtsidentität erscheint im Licht des Grundsatzes der Datenminimierung nicht erforderlich. Für die Personalisierung reichen Name und Vorname der Kunden aus. Art 6 Abs 1 lit f DSGVO sieht bei der Beurteilung der Erforderlichkeit einer Datenverarbeitung keine Berücksichtigung der Gepflogenheiten und gesellschaftlichen Konventionen vor.

Im Fall der Gefahr einer Beeinträchtigung der Grundrechte und Grundfreiheiten der Betroffenen kann das berechtigte Interesse an kommerzieller Direktwerbung nicht überwiegen. Das vorlegende Gericht hat insbesondere zu prüfen, ob die Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität besteht. Dies vor allem im Licht der RL (EU) 2004/113, mit der der Grundsatz der Gleichbehandlung von Männern und Frauen beim Zugang zu und bei der Versorgung mit Gütern und Dienstleistungen verwirklicht wird. Diese Richtlinie gilt auch für Diskriminierungen, die ihre Ursache in der Änderung der Geschlechtsidentität einer Person haben.

EuGH 09.01.2025, C-416/23, Österreichische Datenschutzbehörde

Exzess, Wahlrecht der Aufsichtsbehörde

·      Innerhalb von etwa 20 Monaten brachte eine Betroffene 77 ähnliche Datenschutzbeschwerden bei der DSB ein. Die DSB lehnte die Behandlung einer der Datenschutzbeschwerden ab, weil sie exzessiv sei. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH ersuchte den EuGH um Vorabentscheidung, ob (i) der Begriff der "Anfrage" iSd Art 57 Abs 4 DSGVO auch Beschwerden nach Art 77 Abs 1 DSGVO erfasse, (ii) ob ein Exzess allein an der Anzahl von Beschwerden, die eine Person an eine Aufsichtsbehörde stellt, festzumachen sei, und (iii) ob eine Aufsichtsbehörde frei wählen könne, eine angemessene Gebühr zu verlangen oder die Behandlung der Beschwerde zu verweigern.

Der EuGH hat erwogen: Für die Verfolgung des Ziels, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union sicherzustellen, ist das ordnungsgemäße Funktionieren der Aufsichtsbehörden unentbehrlich. Art 57 Abs 4 DSGVO soll der Verfolgung dieses Ziels dienen, indem verhindert wird, dass Aufsichtsbehörden durch offenkundig unbegründete oder exzessive Beschwerden behindert werden.

Eine Auslegung dahingehend, dass der Begriff "Anfrage" nur Anfragen nach Art 57 Abs 1 lit e DSGVO und nicht auch Beschwerden nach Art 77 Abs 1 DSGVO umfasse, würde Art 57 Abs 4 DSGVO eines großen Teils seiner praktischen Wirksamkeit berauben und – im Ergebnis – den wirksamen Schutz der durch diese Verordnung garantierten Rechte untergraben. Der in Art 57 Abs 4 DSGVO enthaltene Begriff der "Anfrage" umfasst daher auch Beschwerden an Aufsichtsbehörden.

Die – alleinige – Häufung von Beschwerden von einer Person kann ein Indiz für exzessive Anfragen sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann etwa dann der Fall sein, wenn eine Person eine große Zahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat und diese übermäßige Inanspruchnahme des Beschwerderechts in Verbindung mit anderen Gesichtspunkten, wie dem Inhalt der Beschwerden, die Absicht der Person erkennen lässt, die Behörde lahmzulegen, indem sie sie mit Anfragen überflutet. Eine isolierte Betrachtung der Zahl der Beschwerden könnte zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen. Die Feststellung, dass exzessive Anfragen iSd Art 57 Abs 4 DSGVO vorliegen, setzt aus diesen Überlegungen den Nachweis einer Missbrauchsabsicht der Person voraus, die solche Beschwerden einreicht.

Die beiden in Art 57 Abs 4 DSGVO für den Fall exzessiver Anfragen vorgesehenen Optionen, nämlich (i) eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, oder (ii) sich zu weigern, aufgrund solcher Anfragen tätig zu werden, sind nebeneinander aufgeführt und durch die nebenordnende Konjunktion "oder" getrennt. Dieser Wortinterpretation Rechnung tragend darf die Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung darüber wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Die Aufsichtsbehörde hat dabei jedoch alle relevanten Umstände zu berücksichtigen und muss sich vergewissern, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.

EuG 08.01.2025, T-354/22, Bindl/Kommission

IP-Adresse, Datentransfer, Schadenersatz

·      Ein Bürger besuchte eine Website der EU, für die die Europäische Kommission ("Kommission") datenschutzrechtliche Verantwortliche war. Er meldete sich für eine Veranstaltung über "EU Login" mittels "Sign in with Facebook" an. Der Bürger ersuchte die Kommission nach der Anmeldung zwei Mal um Datenauskunft bzgl der dadurch verarbeiteten Daten. Ihm wurde auf seine erste Anfrage mitgeteilt, dass seine Daten nicht an Drittländer übermittelt und nur innerhalb Europas gespeichert und verarbeitet werden. Auf seine (präzisierte) zweite Anfrage, die konkrete Fragen zur Datenübermittlung an Meta in den USA aufgrund der Anmeldung enthielt, reagierte die Kommission nicht innerhalb der vorgesehenen Frist, weshalb der Bürger eine Klage an das EuG erhob. Das EuG gab der Klage teilweise statt und sprach dem Bürger auch Schadenersatz zu.

Das EuG hat erwogen: Die beantragte Nichtigerklärung der Übermittlungen der personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau ist abzuweisen, weil sich ein solcher Antrag nur auf Rechtsakte beziehen kann. Die Datenübermittlung ist dagegen ein Realakt, der einer Nichtigerklärung nicht zugänglich ist.

Die Datenübermittlung an die USA bei der Anmeldung für die Veranstaltung ist der Kommission zuzurechnen. Diese hat als Verantwortliche der Website mit dem Hyperlink "Sign in with Facebook" die Voraussetzungen für die Übermittlung der IP-Adresse des Bürgers an Facebook (= Meta) geschaffen. Da – zum Zeitpunkt der Datenübermittlung – kein Angemessenheitsbeschluss vorlag und die Kommission auch keine geeigneten Garantien (Standarddatenschutz- oder Vertragsklauseln) nachweisen konnte, galten nur die Nutzungsbedingungen von Facebook. Die Kommission hat somit gegen die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ der Union verstoßen.

Durch die Datenübermittlung wurde der Bürger in eine Lage gebracht, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Daher hat er einen immateriellen Schaden erlitten. Für die unrechtmäßige Datenübermittlung ist eine Entschädigung iHv EUR 400 angemessen. Anm: Gegen diese Entscheidung könnte ein Rechtsmittel an den EuGH erhoben werden.

·      Das BVwG hat mit Erkenntnis vom 27.06.2024, W176 2248629-1, ausgesprochen, dass die Übermittlung eines MRT-Befundes zur Behandlung im Gesundheitsbereich auf der Grundlage des MTD-Gesetzes zulässig ist. Die gegen dieses Erkenntnis gerichtete außerordentliche Revision wurde vom VwGH aus formalen Gründen zurückgewiesen. Ein Revisionswerber, der eine Abweichung des angefochtenen Erkenntnisses von der Rechtsprechung des Verwaltungsgerichtshofs behauptet, hat konkret darzulegen, dass der der gegenständlich angefochtenen Entscheidung zugrundeliegende Sachverhalt einer der von ihm ins Treffen geführten Entscheidung gleicht, das Verwaltungsgericht im revisionsgegenständlichen Fall jedoch anders entschieden hat und es damit von der ständigen Rechtsprechung des Verwaltungsgerichtshofs abgewichen ist. Eine bloße Wiedergabe von Rechtssätzen, die bloße Zitierung aus Literaturfundstellen oder Geschäftszahlen ohne Eingehen auf die behaupteten inhaltlichen Abweichungen reicht zur Darlegung des Abweichens von der Rechtsprechung des Verwaltungsgerichtshofs nicht aus (VwGH 26.11.2024, Ra 2024/04/0408). Anm: Die Zusammenfassung des Erkenntnisses des BVwG vom 27.06.2024, W176 2248629-1, können Sie im Schönherr Datenschutzmonitor vom 28.08.2024 nachlesen.

BVwG 25.11.2024, W252 2282050-1

Dark Patterns, Cookie-Banner, Widerruf

·      Ein Websitenutzer brachte wegen behaupteter Mangelhaftigkeit eines Cookie-Banners einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Im Cookie-Banner war die Option zur Einwilligung farblich kontrastreich und groß gestaltet, die Möglichkeit zur Ablehnung war mit geringerem Kontrast und kleinerer Schrift gestaltet. Durch die Gestaltung wurde der Websitenutzer zu einer Einwilligung und damit zu einer Handlung gegen sein Interesse verleitet (Dark Patterns). In der Datenschutzbeschwerde machte der Websitenutzer die Verletzung in den Rechten auf Geheimhaltung und Löschung seiner Daten geltend. Die DSB wies die Datenschutzbeschwerde hinsichtlich des Rechts auf Geheimhaltung ab, gab ihr betreffend die Verletzung im Recht auf Löschung aber statt und trug dem Websitebetreiber eine Änderung des Cookie-Banners auf. Die Websitebetreiberin erhob Bescheidbeschwerde an das BVwG, insbesondere weil die DSGVO keine Gleichwertigkeit von Einwilligungs- und Ablehnungsoptionen vorschreibe. Das BVwG wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Durch die Verknüpfung von Zeichenfolgen mit zusätzlichen Daten, zB der IP‑Adresse oder einer anderen Kennung, kann die Identifizierung eines Websitenutzers ermöglicht werden. Es handelt sich dann um ein personenbezogenes Datum im Sinne von Art 4 Z 1 DSGVO. Eine Unique-ID ist auch dann ein personenbezogenes Datum, wenn der Websitebetreiber nicht selbst die Möglichkeit hat, diese mit einer gespeicherten oder unmittelbar von Dritten erhaltenen IP-Adresse zu kombinieren. Die Weiterverarbeitung von in Cookies gespeicherten oder weitergegebenen Daten fällt in den Anwendungsbereich der DSGVO.

Ein Verantwortlicher hat personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich gemäß Art 17 Abs 1 lit d DSGVO zu löschen. Dies trifft auch dann zu, wenn eine Einwilligung widerrufen wurde und eine andere Rechtsgrundlage für die Verarbeitung fehlt.

Eine Einwilligung muss in informierter Weise, unmissverständlich und eindeutig abgegeben werden. Eine versehentliche Einwilligung durch Betroffene soll durch die Bedingungen für die Einwilligung in Art 7 Abs 2 DSGVO und auch dem Transparenzgrundsatz in Art 5 Abs 1 lit a DSGVO verhindert werden.

Ist ein Einwilligungsbutton durch Größe, Kontrast und Platzierung auffällig gestaltet, die Widerspruchsmöglichkeit aber im Vergleich dazu unauffälliger, kann mangels Transparenz nicht von einer eindeutigen Einwilligung ausgegangen werden.

Ein Anspruch auf Ausgestaltung der Widerrufsmöglichkeit in Form eines "schwebenden" Symbols besteht jedoch nicht.

BVwG 18.11.2024, W274 2284469-1

Entschiedene Sache, Exekutionsverfahren

·      Der Betroffene stellte ein Auskunftsersuchen an einen gerichtlich bestellten Gutachter, der im Rahmen eines Verfahrens vor dem Zivilgericht ein Gutachten mit Bezug zum Betroffenen erstellte. Dabei verlangte er ausdrücklich auch Auskunft über die Herkunft der Daten gemäß Art 15 Abs 1 lit g DSGVO. Der Betroffene behauptete, der Gutachter habe eine falsche Diagnose gestellt, ohne seine Krankengeschichte zu kennen. Nachdem der Gutachter dem Auskunftsersuchen nicht nachkam, brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Auskunft ein. Der Gutachter kam dem Ersuchen trotz zweimaligem Hinweis durch die DSB nicht nach, woraufhin die DSB eine Verletzung des Rechts auf Auskunft feststellte und dem Gutachter auftrug, innerhalb von vier Wochen dem Antrag des Betroffenen zu entsprechen. Der Gutachter übermittelte nach ergangenem Bescheid eine Auskunft zur Diagnose des Betroffenen und verwies auf eine frühere Diagnose eines anderen Arztes. Der Betroffene hielt die Diagnose für falsch und verlangte deren Korrektur. Nachdem der Gutachter an seiner Diagnose festhielt, forderte der Betroffene detailliertere Auskunft über die Herkunft der Daten. Der Gutachter verwies hierzu auf den Gerichtsakt. Der Betroffene erachtete diese Auskunft als unzureichend und reichte erneut eine Datenschutzbeschwerde bei der DSB ein, welche die DSB abwies, weil der Gutachter dem Betroffenen bereits Auskunft erteilt habe. Daraufhin erhob der Betroffene eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die materielle Rechtskraft eines Bescheids steht einer weiteren Entscheidung in derselben Rechtssache entgegen. Eine Änderung entscheidungsrelevanter Fakten führt dazu, dass die Sache ihre ursprüngliche Identität verliert, womit eine andere Sache vorliegt, über die bescheidmäßig abgesprochen werden kann oder muss. Bei der Beurteilung der Identität der Sache ist festzustellen, ob an den entscheidungsrelevanten Fakten eine wesentliche Änderung eingetreten ist.

Die Behörde hat die Identität der Sache im Vergleich mit dem im Vorbescheid angenommenen Sachverhalt zu beurteilen und zu prüfen, ob sich an diesem Sachverhalt oder an seiner rechtlichen Beurteilung eine wesentliche Änderung ergeben hat. Dem Vorbescheid lag eine Datenschutzbeschwerde zugrunde, der einen Antrag auf Feststellung der Rechtsverletzung durch den Gutachter sowie einen Leistungsauftrag zur Entsprechung des Auskunftsersuchens umfasste. Die zweite Datenschutzbeschwerde des Betroffenen bezog sich erneut auf die Herkunft der Daten. Die beantragte Auskunft über die Herkunft der Daten war bereits Gegenstand des Leistungsauftrags des ersten Bescheids. Die zweite Datenschutzbeschwerde war daher wegen entschiedener Sache zurückzuweisen.

Sollte der Betroffene mit den bisherigen Auskünften nicht zufrieden sein, ist er auf ein allfälliges Exekutionsverfahren zu verweisen. Zudem ist darauf hinzuweisen, dass die Fragen des Betroffenen typischerweise bei der Erörterung von Gutachten im Zivilverfahren zu klären sind.

BVwG 18.11.2024, W137 2297057-1

Auskunftsrecht, Rechte von Dritten, Öffnungsklausel

·      Ein Mann war über acht Jahre mit der Pflege und Erziehung eines minderjährigen Kindes betraut. Nach einem behördlich eingeleiteten Überprüfungsverfahren wurde das Kind aufgrund von Bedenken hinsichtlich des Kindeswohls anderweitig untergebracht. Die Obsorge ging auf den Kinder- und Jugendhilfeträger über. Dieser verarbeitete personenbezogene Daten des ehemaligen Pflegevaters in mehreren elektronischen Akten. Neben dessen Papierakt lag ein weiterer Akt über das Kind vor, der auch personenbezogene Daten des ehemaligen Pflegevaters enthielt. Dieser stellte ein Auskunftsersuchen gemäß Art 15 DSGVO, um Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten. Weiters beantragte der ehemalige Pflegevater die Herausgabe seiner Daten in Papierform und forderte eine ungekürzte Übermittlung der beantragten Informationen samt Unterlagen. Die anschließend erteilte Auskunft hielt er für unvollständig. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Mann (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Eine Betroffene soll durch die Auskunft in die Lage versetzt werden, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Art 15 DSGVO gewährt jedoch nur das Recht, die eigenen Daten zu erhalten. Dementsprechend kann sich der ehemalige Pflegevater in Bezug auf die Daten des Kindes nicht auf Art 15 DSGVO stützen.

Weiters könnte er das Kind im Verfahren nur dann vertreten, wenn dies dessen Interesse im Rahmen des Kindeswohls entspräche. Da die Kinder- und Jugendhilfe ein höchst sensibler Bereich ist, können einzelne Informationen gemäß § 12 Abs 4 Wiener Kinder- und Jugendhilfegesetz (WKJHG) unter Berücksichtigung des Kindeswohls unter Umständen nicht erteilt oder Kopien nur eingeschränkt übermittelt werden.

Darüber hinaus darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Weiters enthalten die nach der Öffnungsklausel des Art 23 DSGVO zulässigen Bestimmungen, ua im WKJHG, Beschränkungen des Auskunftsrechts aufgrund von Kindeswohlerwägungen. Diese ähneln den Regelungen des § 4 Abs 6 DSG, die sich auf Geschäfts- und Betriebsgeheimnisse beziehen.

Da dem ehemaligen Pflegevater die Obsorge entzogen wurde, ist nicht anzunehmen, dass die Einsicht in den Papierakt seines ehemaligen Pflegekindes dem Kindeswohl dient. Dementsprechend ist die Zurverfügungstellung des noch nicht beauskunfteten Papierakts bzw der Aktenteile vor dem Hintergrund des Kindeswohls bzw der sonstigen Einschränkungen des Auskunftsrechts nach dem WKJHG nicht geboten.

Das Auskunftsrecht nach der DSGVO unterscheidet sich von den Rechten einer Verfahrenspartei im Rahmen eines Rechtsstreits. Es ist aber nicht dazu gedacht, allfällige Ausnahmen von einer Akteneinsicht auszuhebeln.

·      Der Bürgermeister einer Stadt ist eine staatliche Behörde iSd § 1 Abs 2 DSG. Denn der Begriff "Behörde" ist im funktionellen Sinn zu verstehen, davon sind auch Selbstverwaltungskörper und alle Stellen der Hoheitsverwaltung erfasst. Eingriffe staatlicher Behörden sind nur aufgrund von Gesetzen zulässig, die ausreichend präzise, also für jedermann vorhersehbar, regeln, unter welchen Voraussetzungen die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist (BVwG 25.11.2024, W214 2273462-1).

·      Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 04.12.2024, W603 2303734-1; 03.12.2024, I406 2300562-1).

DSB 27.06.2024, 2024-0.028.256

Anzeige, Akteneinsicht, Interessenabwägung

·      Der Betroffene machte eine Eingabe bei der Bauabteilung eines Gemeindeamts, in welcher er darauf hinwies, dass die Brandschutzsicherungsmaßnahmen sowie der Schallschutz eines Wohnbaus eines Grundstückseigentümers nicht in Ordnung seien und überprüft werden müssten. Dabei sei ihm nicht klar gewesen, dass es sich bei seiner Eingabe um eine Anzeige handle. Nachdem der Grundstückseigentümer Kenntnis von der Anzeige erlangte, nahm er Akteneinsicht und kontaktierte den Betroffenen telefonisch, wobei auch Beschimpfungen und Drohungen gefallen sein sollen. Das Gemeindeamt legte dem Grundstückseigentümer den Vor- und Nachnamen des Betroffenen offen, nicht aber dessen Telefonnummer. Daraufhin brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde gegen das Gemeindeamt bei der DSB ein, weil er sich durch die Weitergabe seiner Daten an den Grundstückseigentümer in seinem Grundrecht auf Geheimhaltung verletzt sah.

Die DSB hat erwogen: Gemäß § 1 Abs 1 DSG hat Jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Es spielt keine Rolle, auf welche Weise Daten verarbeitet werden, auch eine mündliche Mitteilung kann eine Verletzung sein. Der offengelegte Vor- und Nachname des Betroffenen fällt in den sachlichen Schutzbereich des § 1 DSG.

Die Offenlegung durch das Gemeindeamt erfolgte zwar auf Basis einer qualifizierten rechtlichen Grundlage, weil der Grundstückseigentümer sein Recht auf Akteneinsicht nach § 17 AVG wahrnahm. Grundsätzlich erstreckt sich die Akteneinsicht auf alle Unterlagen, die sich auf die Sache beziehen. § 17 Abs 3 AVG nimmt jedoch Aktenbestandteile davon aus, wenn der Einsichtnahme legitime Interessen entgegenstehen. Das Gemeindeamt hätte eine Interessenabwägung zwischen dem Recht auf Akteneinsicht des Grundstückseigentümers und dem Grundrecht auf Geheimhaltung des Betroffenen vornehmen müssen. Das Interesse des Grundstückseigentümers an vollständiger Information wäre dabei geringer zu gewichten als das Interesse an Geheimhaltung seitens des Betroffenen. Die Offenlegung der Identität des Betroffenen war zur Gewährleistung des Rechts auf Akteneinsicht nicht notwendig, weshalb eine Verletzung des Grundsatzes der Datenminimierung verwirklicht wurde.

·      Am 08.01.2025 ist die "VO (EU) 2025/12 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verbesserung und Erleichterung der Kontrollen an den Außengrenzen, zur Änderung der Verordnungen (EU) 2018/1726 und (EU) 2019/817 sowie zur Aufhebung der Richtlinie 2004/82/EG des Rates", ABl L 2025/12, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, bei Flügen in die Union sogenannte API-Daten (vorab übermittelte Fluggastdaten) zu erheben und diese verschlüsselt an die zuständigen Grenzbehörden zu übermitteln. Die API-Daten umfassen Identifizierungs-, Flugzeug- und Gepäckdaten.

·      Am 08.01.2025 ist die "VO (EU) 2025/13 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818", ABl L 2025/13, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, zur Bekämpfung der länderübergreifenden schweren und organisierten Kriminalität sowie des Terrorismus an die sogenannten PNR-Zentralstellen verschlüsselte API-Daten und sonstige PNR-Daten (sonstige Fluggastdatensatzdaten) zu übermitteln.

·      Am 10.01.2025 ist die "RL (EU) 2025/25 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinien 2009/102/EG und (EU) 2017/1132 zur Ausweitung und Optimierung des Einsatzes digitaler Werkzeuge und Verfahren im Gesellschaftsrecht", ABl L 2025/25, 1, kundgemacht worden. Ziel dieser RL ist es, durch die Vernetzung von Unternehmensregistern und die Schaffung von digitalen Werkzeugen, die grenzüberschreitende Gründung von Kapitalgesellschaften, Eintragung von Zweigniederlassungen und Einreichung von Dokumenten und Informationen bei den Unternehmensregistern zu erleichtern.

·      Am 10.01.2025 ist eine Berichtigung der "VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte; DMA)", ABl L 2025/90024, 1, kundgemacht worden. Berichtigt wird ein redaktionelles Versehen und die Berichtigung betrifft nur einen Verweis auf die Befugnisse der Europäischen Kommission.

·      Am 10.01.2025 ist die "UN-Regelung Nr. 155 — Einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems" im Amtsblatt der EU, ABL L 2025/5, 1, kundgemacht worden. Verbindlich ist jedoch die von der UN verabschiedete Originalfassung.

VfGH 02.12.2024, E1380/2024; 02.12.2024, E1379/2024

Nationalrat, Auskunftsrecht

·     Ein Abgeordneter zum Nationalrat stellte zur Vorbereitung seiner parlamentarischen Tätigkeit Auskunftsersuchen zu Korruptionsvorwürfen an den Bundesminister für Bildung, Wissenschaft und Forschung (E1379/2024) und an den Bundesminister für Finanzen (E1380/2024), die er auf das AuskunftspflichtG stützte. Nachdem ihm die Auskünfte verweigert wurden, erhob er Bescheidbeschwerden an das BVwG, das diese abwies. Begründet wurde dies damit, dass der Abgeordnete das Auskunftsbegehren als Abgeordneter zum Nationalrat gestellt habe. In dieser Funktion komme ihm gemäß Art 52 B-VG (Interpellationsrecht) ein besonderes Auskunftsrecht zu. Aufgrund dieses spezielleren Auskunftsrechts sei eine Auskunft gemäß § 6 AuskunftspflichtG ausgeschlossen. Dagegen erhob er Erkenntnisbeschwerden gemäß Art 144 B-VG wegen Verletzung in verfassungsgesetzlich gewährleisteten Rechten an den VfGH, der diesen stattgab und feststellte, dass der Abgeordnete im Recht auf Gleichheit aller Staatsbürger vor dem Gesetz gemäß Art 2 StGG und Art 7
B-VG verletzt wurde.

Der VfGH hat erwogen: Das BVwG begründet seine Entscheidung ausschließlich damit, dass das Auskunftsbegehren in der Funktion eines Abgeordneten zum Nationalrat und damit als Organ der Gesetzgebung gestellt wurde. Das Interpellationsrecht ist in Art 52 B-VG sowie den §§ 90 ff GOG-NR geregelt und unterliegt strengen Formalvoraussetzungen.

Anfragen von Abgeordneten sind nur dann eine der Gesetzgebung zuzuzählende Tätigkeit eines gesetzgebenden Organs, wenn sie in der vorgesehenen Weise gestellt wurden. Das Verhalten eines Abgeordneten ist nicht schlechthin immer schon dann der Gesetzgebung zuzuzählen, wenn der Abgeordnete als solcher auftritt. Auch ein Verweis auf die Vorbereitung der parlamentarischen Tätigkeit in den Auskunftsersuchen ändert daran nichts. Auch ein Abgeordneter muss wie jedermann das Recht haben, ein Auskunftsbegehren nach dem AuskunftspflichtG zu stellen.

Aus der Rechtsprechung des OGH:

Zentrales Testamentsregister, Erbe, Notar

·     Der quotenmäßige Erbe eines Verstorbenen hat kein Recht auf Einsicht in das von der Österreichischen Notariatskammer geführte Österreichische Zentrale Testamentsregister ("ÖZTR"). Auf die Datenverarbeitungen zur Führung des ÖZTR sowie die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sind die Notariatsordnung ("NO") und die nach § 140a Abs 2 Z 8 NO erlassenen Richtlinien ("RL") anzuwenden. § 140c Abs 3 NO sieht eine Übermittlung der registrierten Daten (nur) an die (i) Verlassenschaftsgerichte und (ii) öffentlichen Notare als Gerichtskommissäre in Verlassenschaftssachen sowie (iii) zu Kontrollzwecken an die Gerichte, Notare und Rechtsanwälte vor. Hingegen ist ein Erbe weder in der NO noch in den RL genannt (OGH 11.12.2024, 6Ob147/24x).

BVwG 06.11.2024, L532 2300411-1

Gesetzesprüfungsantrag, Handyauswertung

·     Im Verfahren vor dem Bundesamt für Fremdenwesen und Asyl zielen die §§ 35a, 39, 39a BFA-VG darauf ab, die Reiseroute und Identität eines Asylwerbers zu ermitteln. Dazu erlauben sie die Sicherstellung und – aufgrund behördlicher Anordnung – die Auswertung von Datenträgern. Die Auswertung eines Datenträgers setzt lediglich voraus, dass ein Antrag auf internationalen Schutz gestellt wurde, eine Feststellung der Identität nicht möglich ist und eine Auswertung nicht bereits durch die Erstaufnahmestelle erfolgt ist.

In einem Maßnahmenbeschwerdeverfahren wurde die Verfassungskonformität dieser Bestimmungen in Frage gestellt, weil sie weitreichende Eingriffsbefugnisse ohne angemessenen Rechtsschutz und Garantien für die Betroffenen vorsehen würden. Erst kürzlich habe der VfGH entschieden, dass die Abnahme und Sicherstellung von Mobiltelefonen im strafrechtlichen Ermittlungsverfahren ohne richterliche Bewilligung gegen das Grundrecht auf Datenschutz und das Recht auf Privatleben verstoße und daher verfassungswidrig sei.

Die Maßnahmen im BFA-VG böten bei gleicher Eingriffsintensität schwächere Garantien zum Schutz der Geheimhaltungsinteressen der Betroffenen als die für verfassungswidrig erklärten Regelungen der StPO. Der Grundrechtseingriff könne im Rahmen einer Maßnahmenbeschwerde nicht vollständig angefochten werden, sodass der gesetzlich vorgesehene Rechtsschutz gegen die Sicherstellung und Auswertung eines Datenträgers unzureichend sei.

Das BVwG teilt diese Bedenken, setzte das Maßnahmenbeschwerdeverfahren aus und stellte einen Gesetzesprüfungsantrag an den VfGH auf Aufhebung einzelner Bestimmungen des BFA-VG.

Das BVwG hat erwogen: Es bestehen erhebliche Bedenken an der Verfassungskonformität der §§ 35a, 39, 39a BFA-VG und des § 38 Abs 2 BFA-VG. Zwar wurde die Verfassungsmäßigkeit von § 38 Abs 2 BFA-VG nicht in Zweifel gezogen, doch darf diese Bestimmung bei einer Aufhebung der übrigen Bestimmungen nicht bestehen bleiben.

Dem Gesetzgeber steht es frei, für verschiedene Regelungsregime wie Strafprozessrecht und fremdenrechtliches Verfahrensrecht unterschiedliche Anordnungen zu treffen. Es ist jedoch nicht nachvollziehbar, warum gravierende unterschiedliche Anforderungen gelten sollten, die zu unsachlichen Schlechterstellungen führen.

Ein gangbarer gesetzgeberischer Weg wäre, die Anordnungsbefugnis zur Datenträgersicherstellung unverändert im Rechtsbestand zu belassen, die Anordnung zur Datenträgerauswertung jedoch von einer bekämpfbaren Entscheidung des BVwG abhängig zu machen, sodass die Rechtsschutzmöglichkeiten von betroffenen Fremden bei gleichzeitiger Sicherstellung effektiver verwaltungsbehördlicher Verfahrensführung gewahrt blieben.

BVwG 18.10.2024, W256 2248161-1

Verarbeitung, Informationspflicht, Ausnahme

·     Ein Wahlberechtigter abonnierte über die Website einer politischen Partei deren Newsletter unter Angabe seiner E-Mail-Adresse. Diese enthielten Informationen über politische Themen und Aktivitäten in Form von Texten, die von Regierungsmitgliedern verfasst und unterzeichnet wurden. Der Versand erfolgte über das technische Netzwerk der Partei und in deren eigener Verantwortung.

Der Wahlberechtigte stellte ein Auskunftsersuchen nach Art 15 DSGVO. Die darauf erteilte Auskunft hielt er für unzureichend. Zudem vertrat er die Ansicht, dass eine Offenlegung seiner personenbezogenen Daten an Dritte erfolgt sei. Weiters monierte er eine Verletzung der Informationspflicht gemäß Art 14 DSGVO wegen der Verarbeitung seiner Daten aus der Wählerevidenz. Die DSB stellte zwar fest, dass die Partei sein Recht auf Auskunft verletzt hatte, jedoch sei keine Offenlegung an Dritte erfolgt. Weiters wurde die Datenschutzbeschwerde hinsichtlich der Verletzung der Informationspflicht abgewiesen. Daraufhin erhob der Wahlberechtigte (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Spruch enthält keine explizite Abweisung in Bezug auf die vom Wahlberechtigten aufgezeigte Unvollständigkeit der Auskunft. Fehlt es dem Spruch an der gebotenen Deutlichkeit, so ist die Bescheidbegründung zu seiner Auslegung heranzuziehen. Unter Berücksichtigung der Bescheidbegründung kann kein Zweifel daran bestehen, dass die Datenschutzbeschwerde in dieser Hinsicht abgewiesen wurde.

Nach Art 4 Z 2 DSGVO fällt nicht nur die Offenlegung durch Übermittlung, sondern bereits jede "andere Form der Bereitstellung" unter den Begriff einer Verarbeitung. Damit wird der Charakter der Offenlegung als "Zugänglichmachen" verdeutlicht. Jedoch räumte man den jeweiligen Regierungsmitgliedern in keiner Weise eine Einblicksmöglichkeit in die Daten des Wahlberechtigten ein. Es wurden lediglich von diesen bereitgestellte Texte in die Newsletter kopiert und in weiterer Folge unter Verwendung der Daten des Wahlberechtigten an diesen versendet.

Gemäß Art 14 DSGVO hat der Verantwortliche der Betroffenen bestimmte Informationen zur Verfügung zu stellen. Nach Art 14 Abs 5 lit c DSGVO entfallen die Informationspflichten, wenn und soweit eine Rechtsvorschrift die Erhebung oder (zweckändernde) Offenlegung bestimmter Daten ausdrücklich regelt.

Die Daten des Wahlberechtigten wurden aufgrund der Bestimmung des § 4 Abs 2 Wählerevidenzgesetz aus der Wählerevidenz der Gemeinde erhoben. Die Ausnahmereglung des Art 14 Abs 5 lit c DSGVO greift hier zwar nicht, weil die Partei nicht verpflichtet war, die Daten zu erheben, sondern die Erhebung freiwillig erfolgte. Die Partei hatte aber bereits im Zeitpunkt der Datenerhebung in ihrer Datenschutzerklärung auf der Website und in den Aussendungen über die Datenverarbeitung informiert. Die zusätzliche Nennung der bereits im Gesetz ausreichend klar und präzise geregelten Informationen gemäß Art 14 DSGVO ist in einem solchen Fall nicht erforderlich. Schon allein der Hinweis auf die tatsächliche Datenverarbeitung versetzt die betroffene Person in die Lage, sich anhand der Rechtsvorschrift einen hinreichenden Überblick über die konkrete Datenverwendung zu verschaffen.

Da die gegenständliche Datenerhebung zum Zweck der Kommunikation erfolgt ist, bestehen im Hinblick auf die Ausnahmeregelung des Art 14 Abs 3 lit b DSGVO auch keine Bedenken daran, dass die Informationserteilung der Partei rechtzeitig erfolgt ist.

BVwG 30.10.2024, W256 2247276-1

Präklusion

·     In einem Rechtsstreit vor Gericht übermittelte die beklagte Klinik Gesundheitsdaten auf deren Ansuchen an die dem Rechtsstreit beigetretene Nebenintervenientin. Von der Datenübermittlung erfuhr der klagende Patient von der Klinik im Mai 2019 aufgrund eines Auskunftsersuchens. Der Patient fühlte sich durch diese Vorgehensweise in seinem Recht auf Geheimhaltung verletzt, weil die Übermittlung der Gesundheitsdaten zur Verteidigung von Rechtsansprüchen nicht notwendig gewesen sei und brachte im Juni 2020 Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde ab. Dagegen erhob der Patient Bescheidbeschwerde an das BVwG. Das BVwG wies die Bescheidbeschwerde wegen bereits eingetretener Präklusion gemäß § 24 Abs 4 DSG zurück.

Das BVwG hat erwogen: Die Verjährungsregelung des § 24 Abs 4 DSG ist eine Präklusivfrist, die von Amts wegen wahrzunehmen ist und die Lebensdauer eines Rechts nicht verlängerbar begrenzt. Da die DSGVO keine Vorschriften oder Fristen für die Rechtsverfolgung enthält, ist es Sache jedes einzelnen Mitgliedstaats, das Verfahren für die Rechtsverfolgung und auch die Präklusion von Rechten in seiner innerstaatlichen Rechtsordnung unter Wahrung der Grundsätze der Äquivalenz und Effektivität auszugestalten.

Das Grundrecht auf Datenschutz darf nur unter Einhaltung strenger Bedingungen eingeschränkt werden. Zulässige Einschränkungen müssen dabei gesetzlich vorgesehen sein, den Wesensgehalt des betreffenden Rechts beachten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sein und dem von der EU anerkannten Gemeinwohl entsprechen. Die Präklusion und somit die Einschränkung des Grundrechts auf Datenschutz ist in § 24 Abs 4 DSG gesetzlich vorgesehen.

Die einjährige Präklusivfrist des § 24 Abs 4 DSG beginnt mit Kenntnis der Betroffenen vom "beschwerenden Ereignis" zu laufen. Der Patient war nach der Beantwortung des Auskunftsersuchens im Mai 2019 in der Lage, das zur Begründung seines Anspruchs erforderliche Sachvorbringen in Form einer Datenschutzbeschwerde konkret zu erstatten. Die einjährige subjektive Frist des § 24 Abs 4 DSG begann daher ab diesem Zeitpunkt zu laufen und war bei Beschwerdeerhebung schon verstrichen.

·     Die Behörden und Gerichte dürfen nur darüber absprechen, was beantragt wurde. Sie sind an den Inhalt der Datenschutzbeschwerde gebunden. Gegenstand des Verfahrens ist daher ausschließlich die zugrundeliegende Datenschutzbeschwerde und die darin konkret geltend gemachte Rechtsverletzung. Weder die DSB noch das BVwG haben im Falle einer behaupteten Verletzung im Recht auf Auskunft jegliche Rechtsverletzung zu überprüfen. Ein subjektives Recht auf Einleitung eines Strafverfahrens besteht nicht. Darüber hinaus gilt nach § 25 Abs 1 VStG das Prinzip der Amtswegigkeit. Die Behörde hat sowohl bei der Einleitung als auch bei der Durchführung des Verwaltungsstrafverfahrens von Amts wegen vorzugehen. Der Betroffene hat keinen Anspruch auf Einleitung eines Verwaltungsstrafverfahrens (BVwG 27.11.2024, W256 2246546-1).

·     Stirbt der Betroffene, hat das BVwG den angefochtenen Bescheid ersatzlos aufzuheben. Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod des Betroffenen untergeht und nicht auf einen etwaigen Rechtsnachfolger übergehen kann. Mit dem Verlust der Parteistellung fällt die Berechtigung weg, eine Datenschutzbeschwerde zu erheben. Damit einhergehend fällt die Berechtigung der DSB weg, über die Datenschutzbeschwerde zu entscheiden (BVwG 10.12.2024, W211 2272735-1).

EDSA Leitlinien 01/2025 über Pseudonymisierung (2025)

Pseudonymisierung, Personenbezug, Weiterverarbeitung

·     Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Pseudonymisierung angenommen, in welchen der EDSA insb die Definition und Anwendbarkeit der Pseudonymisierung und deren Vorteile erläutert. Klargestellt wird, dass pseudonymisierte Daten, die einer Person (vom Verantwortlichen oder einer anderen Person) durch zusätzliche Informationen zugeordnet werden könnten, immer noch personenbezogene Daten sind. Die Pseudonymisierung kann Risiken reduzieren und die Nutzung berechtigter Interessen als Erlaubnistatbestand erleichtern, sofern alle anderen Anforderungen der DSGVO erfüllt sind. Die Pseudonymisierung kann dazu beitragen, iSd Art 6 Abs 4 DSGVO die Vereinbarkeit der Weiterverarbeitung mit dem ursprünglichen Zweck zu gewährleisten. Die Pseudonymisierung kann Organisationen auch helfen, ihren Verpflichtungen gemäß Art 5, 25 und 32 DSGVO nachzukommen. Bestimmte technische Maßnahmen und Garantien bei der Verwendung von Pseudonymisierung können zudem die Vertraulichkeit gewährleisten und eine unbefugte Identifizierung von Personen verhindern. Anm: Die Leitlinien werden bis zum 28.02.2025 einer öffentlichen Konsultation unterzogen, um Interessenträgern Gelegenheit zur Stellungnahme zu geben.

Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht

Markt- und Wettbewerbsfaktoren, Datenschutzpraktiken, Regulierungsbehörden

·     Der EDSA hat eine Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht angenommen, in der Konstellationen erörtert werden, in denen sich diese Rechtsgebiete überschneiden können. Obwohl es separate Rechtsgebiete mit unterschiedlichen Zielen in unterschiedlichen Rahmen sind, können sie in bestimmten Fällen für dieselben Einrichtungen gelten. Unter bestimmten Voraussetzungen sollen Schritte zur Einbeziehung von Markt- und Wettbewerbsfaktoren in die Datenschutzpraktiken und zur Berücksichtigung von Datenschutzvorschriften bei Wettbewerbsbewertungen gemacht werden.

Die Zusammenarbeit zwischen den Regulierungsbehörden soll verbessert werden, ua indem eine zentrale Anlaufstelle eingerichtet wird, um die Koordinierung zwischen Regulierungsbehörden zu fördern.

·     Am 15.01.2025 ist die "VO (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste", ABl L 2025/37, 1, kundgemacht worden. Mit dieser VO werden europäische Schemata für die Cybersicherheitszertifizierung eingeführt. Zudem wird ua ein europäischer Zertifizierungsrahmen für die Cybersicherheit geschaffen.

·     Am 15.01.2025 ist die "VO (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694 (Cybersolidaritätsverordnung)", ABl L 2025/38, 1, kundgemacht worden. Mit dieser VO werden Maßnahmen zur Stärkung der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen festgelegt.

EGMR 23.01.2025, 31175/14, Reznik/Ukraine

Durchsuchung, Beschlagnahme, Anwaltsgeheimnis, wirksames Rechtsmittel

·     Ein Anwalt schloss einen Vertrag über Rechtsdienstleistungen mit dem ukrainischen Informationszentrum ab, in dem die Übermittlung von Dokumenten zur Untersuchung und Analyse vereinbart wurde. Nach Beginn strafrechtlicher Ermittlungen gegen die Leitung des Informationszentrums forderte dieses den Rechtsanwalt zur Rückgabe der übergebenen Dokumente auf. Dieser Aufforderung kam der Anwalt nach. Dennoch wurde ein Durchsuchungsbeschluss für die Wohnung des Anwalts genehmigt. Der stellvertretende Generalstaatsanwalt wurde ermächtigt, Dokumente über die finanzielle und kommerzielle Tätigkeit des Informationszentrums und anderer konkret benannten Unternehmen und Einzelpersonen, die mit dem Informationszentrum in Verbindung standen, sowie IT-Geräte, mobile Kommunikationsgeräte und Datenspeicher sicherzustellen. Der Beschluss wurde für unanfechtbar erklärt. Während der Durchsuchung, bei der ua auch Vertreter der Anwaltskammer anwesend waren, wurden ua ein Computer und ein USB-Stick beschlagnahmt und zur forensischen Untersuchung weitergeleitet. Die Einwände und Beschwerden der Vertreter der Anwaltskammer und des Anwalts blieben zunächst erfolglos. Schlussendlich wurden dem Anwalt die beschlagnahmten Datenspeicher zurückgegeben.

Der EGMR stellte fest, dass eine Verletzung von Art 8 und Art 13 EMRK vorliegt und sprach dem Anwalt EUR 6.000 immateriellen Schadenersatz und EUR 3.450 Kostenersatz zu.

Der EGMR hat erwogen: Die Durchsuchung der Wohnung und die Beschlagnahme von Dokumenten und Geräten greifen in die Rechte des Anwalts auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs ein. Ein solcher Eingriff muss gesetzlich vorgesehen sein, einem legitimen Ziel dienen und in einer demokratischen Gesellschaft notwendig sein.

Der Durchsuchungsbeschluss basierte auf der ukrainischen Strafprozessordnung und dem Anwaltsgesetz, die spezifische Verfahrensgarantien zum Schutz des Anwaltsgeheimnisses vorsahen. Die Gesetze verlangten, dass Durchsuchungen von Anwaltspraxen nur mit richterlicher Genehmigung und unter Anwesenheit eines Vertreters der Anwaltskammer durchgeführt werden. Der Vertreter der Anwaltskammer hatte das Recht, Fragen zu stellen und Einwände zu erheben, die im Durchsuchungsprotokoll festzuhalten waren.

Die Einwände des Vertreters hatten jedoch keine praktische Wirkung, und sie konnten die Beschlagnahme der Gegenstände nicht verhindern. Die Durchsuchung und die Beschlagnahme wurden daher ohne ausreichende verfahrensrechtliche Schutzmaßnahmen durchgeführt, was zu einem unverhältnismäßigen Eingriff führte. Außerdem waren die Durchsuchung und Beschlagnahme in einer demokratischen Gesellschaft nicht notwendig, weil die richterliche Anordnung zu weit gefasst war und keine ausreichenden Gründe für die Annahme enthielt, dass relevante Beweismittel bei dem Anwalt gefunden würden.

Es muss ein wirksames Rechtsmittel zur Verfügung stehen, um die Rechtmäßigkeit der Durchsuchung und Beschlagnahme anzufechten. Das ukrainische Recht bietet keine Möglichkeit, eine Durchsuchungsanordnung anzufechten, sodass die verfügbaren Rechtsmittel unzureichend sind. Die Möglichkeit, beschlagnahmte Gegenstände zurückzufordern, reicht nicht aus, um die Beschwerden über die Rechtmäßigkeit der Durchsuchung zu behandeln.

BVwG 04.12.2024, W176 2295345-1

Trafik, Video, Piktogramm, Geldstrafe

·     Ein Trafikant brachte an der Außenmauer seiner Trafik zwei Videokameras an, um sich vor Überfällen zu schützen. Die Kameras erfassten Teile des öffentlichen Gehsteigs, den angrenzenden Fahrradweg und einen Abschnitt der Straßenbahngleise. Durch die Überwachung konnte der Trafikant ein Foto einer Passantin anfertigen, welches sie dabei zeigte, wie diese von Ihrem Hund hinterlassenen Exkremente nicht wegräumte. Um auf das seines Erachtens unrechtmäßige Verhalten der Passantin aufmerksam zu machen, brachte der Trafikant das aufgenommene Foto vor seiner Trafik an. Durch einen leicht entfernbaren Sticker über das Gesicht der Passantin anonymisierte er das Foto. Der Sticker löste sich jedoch. Ein Bürger erhob gegen dieses Vorgehen Datenschutzbeschwerde bei der DSB. Die DSB verhängte wegen der unrechtmäßigen Datenverarbeitung und der nicht erteilten Information zu der Datenverarbeitung eine Geldstrafe iHv EUR 1.500 (zzgl Verfahrenskostenbeitrag von EUR 150). Gegen das Straferkenntnis erhob der Trafikant (hinsichtlich der Strafhöhe erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Mangels Öffnungsklausel in der DSGVO kommen die §§ 12 und 13 DSG bei der Prüfung der Zulässigkeit einer Videoüberwachung nicht zur Anwendung. Nach der DSGVO dürfen personenbezogene Daten nur auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Das Interesse am Schutz des Vermögens vor Angriffen in Form von Sachbeschädigungen, Raubfällen, etc überwiegt die Interessen Betroffener in einem kleinen Bereich vor der Trafik. Auch bei einer unbedingt erforderlich erscheinenden Videoüberwachung müssen jedoch Maßnahmen zur Einschränkung des Erfassungsbereichs getroffen werden. Videoüberwachungsanlagen dürfen den angrenzenden öffentlichen Raum geringfügig erfassen, sofern dies erforderlich ist, um eine sinnvolle Videoüberwachung zu ermöglichen. Eine Überwachung des gesamten öffentlichen Gehsteigs inkl weiter Teile des angrenzenden öffentlichen Raums ist nicht vom berechtigten Interesse gedeckt.

Am Aufzeigen des Fehlverhaltens einer Passantin besteht kein berechtigtes Interesse. Ein Überkleben mit einem leicht entfernbaren Sticker ist kein geeignetes Mittel zur Anonymisierung.

Die Erfüllung der Informationspflicht durch Kennzeichnung einer Videokamera durch Piktogramme kann zulässig sein, wenn es sich um die erste "Schicht" der Informationserteilung handelt und weitere Informationen zur Datenverarbeitung aufliegen.

Die Geldstrafe ist wegen des Hinzutretens eines Milderungsgrundes und der Verschlechterung der Vermögensverhältnisse des Trafikanten auf EUR 750 (zzgl EUR 75 Verfahrenskostenbeitrag) zu reduzieren.

BVwG 16.12.2024, W137 2292450-1

Rechtsanwalt, Anwaltsgeheimnis, Beschwerdegegner

·     Ein Fitnesscentermitglied führte gegen die Betreiberin des Fitnesscenters wegen der unberechtigten Erhöhung von Mitgliedsbeiträgen ein zivilgerichtliches Verfahren. Im Verfahren vor dem Landesgericht ("LG") wurde vom Rechtsanwalt der Betreiberin des Fitnesscenters eine Mailkorrespondenz mit einer Zeugin als Beweis für das Zustandekommen von Mitgliederverträgen vorgelegt. Die Korrespondenz enthielt den Namen, die Mailadresse und die Information über das Vertragsverhältnis der Zeugin. Die Zeugin fühlte sich durch die Vorgehensweise in ihrem Recht auf Geheimhaltung verletzt und brachte explizit Datenschutzbeschwerde gegen die Betreiberin des Fitnesscenters bezüglich der Vorlage der E-Mails beim LG ein.

Die Betreiberin stütze die Rechtmäßigkeit der Verarbeitung der Daten auf die Erfüllung eines Vertrags und auf ihr berechtigtes Interesse. Die DSB gab der Datenschutzbeschwerde statt. Dagegen erhob die Betreiberin des Fitnesscenters Bescheidbeschwerde an das BVwG, das den Bescheid der DSB ersatzlos behob.

Das BVwG hat erwogen: Rechtsanwälte handeln, wenn sie Daten für den Zweck der Vertretung ihrer Mandanten verarbeiten, regelmäßig als für die Verarbeitung Verantwortliche im Sinne der DSGVO. Die Entscheidung, welche Daten für die Erfüllung des Mandats zu verarbeiten sind, wird, vorbehaltlich eines Beweises für das Gegenteil, vom Rechtsanwalt ohne Weisung des Mandanten getroffen.

Die Rechte der Betroffenen kommen nur in dem Umfang zur Anwendung, als dem nicht das Recht des Rechtsanwalts auf Verschwiegenheit zum Schutz der Partei oder der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche entgegensteht, sonst bestünde die Gefahr, dass der (Prozess-)Gegner einer zivilrechtlichen Streitigkeit im Weg des Auskunftsrechts nach der DSGVO Auskünfte aus den Akten des gegnerischen Rechtsanwalts erhalten könnte.

Ausschließlicher Gegenstand des Verfahrens war die Übermittlung der E-Mailkorrespondenz als Beweismittel im Gerichtsprozess durch den eigenständig agierenden Rechtsanwalt. Das Verfahren hätte aber gegen den Rechtsanwalt der Betreiberin des Fitnesscenters und nicht gegen diese selbst geführt werden müssen.

Die nicht rechtskundige Zeugin hat in der Datenschutzbeschwerde den falschen Beschwerdegegner bezeichnet. Die richtige Einordnung des Rechtsanwalts als Verantwortlichen für die Datenverarbeitung kann aber von ihr nicht verlangt werden.

Da das BVwG das Beschwerdeverfahren nicht gegen den Rechtsanwalt anstelle der Betreiberin des Fitnesscenters führen darf, ist der Bescheid der DSB ersatzlos zu beheben. Das Verfahren ist damit erneut zur inhaltlichen Entscheidung bei der DSB anhängig.

BVwG 16.12.2024, W137 2288040-1

Rollenverteilung, Identitätsdokumentenregister

·     Anlässlich einer Lärmerregung und Störung der öffentlichen Ordnung forderten Polizeibeamte eine Passantin zur Identitätsfeststellung in Form einer Ausweisleistung auf. Da sich die Passantin weigerte, ihren Ausweis vorzuzeigen, wurde sie schließlich von den Polizeibeamten festgenommen und zur nächstgelegenen Polizeiinspektion verbracht, wo eine Abfrage ihres Lichtbildes im Identitätsdokumentenregister ("IDR") erfolgte. Die Passantin brachte eine auf das Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den Magistrat der Stadt Wien als Passbehörde ("MA 62") ein. Die DSB wies die Datenschutzbeschwerde ab. Die hiergegen erhobene Bescheidbeschwerde wies das BVwG ab.

Das BVwG hat erwogen: Die Stellung als datenschutzrechtlicher Verantwortlicher hat diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ergibt sich die Stellung als Verantwortlicher nicht aufgrund gesetzlicher Bestimmungen, muss die Qualifikation einer Partei als Verantwortlicher auf der Grundlage einer Bewertung der tatsächlichen Umstände der Verarbeitung festgestellt werden.

Die Bestimmung des § 52 SPG ermächtigt die Sicherheitsbehörden, personenbezogene Daten von Personen zu verarbeiten, soweit dies zur Erfüllung der ihnen übertragenen Aufgaben erforderlich ist. Das SPG regelt jedoch nicht, wem die datenschutzrechtliche Verantwortlichkeit für eine Abfrage aus dem IDR im Zuge einer Identitätsfeststellung zukommt. Die Mittel- und Zweckentscheidung war daher aufgrund der tatsächlichen Umstände zu beurteilen. Die Polizeibeamten als Bedienstete der Landespolizeidirektion ("LPD") haben selbst und allein für die LPD bestimmt, dass sie nach einer erfolgten Festnahme der Beschwerdeführerin eine Abfrage aus dem IDR im Zuge der Identitätsfeststellung tätigen. Sie haben damit den Zweck der Datenverarbeitung – in concreto die Feststellung der Identität der Passantin – allein bestimmt. Damit ist die LPD, der das Handeln der Polizeibeamten zuzurechnen ist, als alleinige Verantwortliche anzusehen. Mangels Rechtswidrigkeit des angefochtenen Bescheids war die Bescheidbeschwerde vom BVwG als unbegründet abzuweisen.

·     Die Besetzung des Präsidiums des BVwG ist eine Angelegenheit des Interesses der Allgemeinheit. Dem um die Auskunft ersuchenden Journalisten kommt als "social watchdog" eine wichtige Rolle für die Garantie der Meinungsäußerungs- und Informationsfreiheit zu. Die Namen jener Bewerber, die von der eingesetzten Kommission nicht vorgeschlagen wurden, sind jedoch schützenswerte personenbezogene Daten. Diese Bewerber mussten nicht damit rechnen, dass ihre Identität und die Einschätzungen und Wertungen der Kommission veröffentlicht werden. Die Herausgabe des ungeschwärzten Gutachtens der Kommission sowie des ungeschwärzten Minderheitsvotums wird daher verweigert (BVwG 25.10.2024, W211 2295570-1).

·     Gibt die DSB einer Datenschutzbeschwerde statt, ist der Betroffene in keinem subjektiven Recht verletzt. Die Bescheidbeschwerde ist mangels formeller Beschwer unzulässig. Voraussetzung für eine Untersagung der Verarbeitung iSd § 22 Abs 4 DSG ist, dass die Datenverarbeitung noch nicht abgeschlossen ist. Zudem gibt es keinen subjektiven Rechtsanspruch auf eine solche Untersagung. Im Administrativverfahren kann keine Geldbuße gegen einen Verantwortlichen verhängt werden. Auf das Verhängen einer Geldbuße besteht auch kein subjektiver Rechtsanspruch. Weiters kann gegen Körperschaften des öffentlichen Rechts gemäß § 30 Abs 5 DSG keine Geldbuße verhängt werden (BVwG 27.11.2024, W252 2299666-1).

·     Der EuGH hat mit Urteil vom 22.11.2022, C-37/20 und C-601/20, Luxembourg Business Registers, entschieden, dass die Bestimmung des Art 30 Abs 5 der 5. Geldwäscherichtlinie, die den öffentlichen Zugang zu Informationen über wirtschaftliche Eigentümer vorsieht, ungültig ist. Der EuGH begründete dies mit einem schwerwiegenden Eingriff in das Recht auf Achtung des Privat- und Familienlebens sowie das Recht auf Schutz personenbezogener Daten. Diese Entscheidung betrifft jedoch nur die öffentliche Einsicht in das Register der wirtschaftlichen Eigentümer gemäß § 10 WiEReG und nicht die Meldepflicht selbst. Die Verpflichtung zur Meldung und deren Erzwingung verletzen keine Grundrechte (BFG 19.12.2024, RV/7102904/2021).

DSB 16.10.2024, 2024-0.641.771

Geldstrafe, handelsrechtlicher Geschäftsführer, Datenschutzbeauftragter

·     Die DSB verhängte eine Geldstrafe von EUR 5.500 gegen ein Unternehmen, weil dieses ihren handelsrechtlichen Geschäftsführer ("Gf") als Datenschutzbeauftragten ("DSBA") benannte, ohne sicherzustellen, dass diese Doppelrolle nicht zu einem Interessenkonflikt führt. Das Unternehmen hat dadurch eine ungeeignete Person als Datenschutzbeauftragten benannt. Der Verstoß erstreckte sich über den Zeitraum von etwa drei Jahren.

Die DSB hat erwogen: Das Unternehmen verstieß gegen ihre Pflicht gemäß Art 38 Abs 6 DSGVO, indem sie ihren Gf zum DSBA benannte, obwohl dieser aufgrund seiner gleichzeitigen Tätigkeit als Gf und DSBA einem Interessenkonflikt unterlag, weshalb im Ergebnis eine ungeeignete Person als DSBA benannt wurde. Ein Interessenkonflikt liegt vor, wenn der DSBA zugleich Aufgaben oder Pflichten wahrnimmt, die die Ausübung seiner Stellung beeinträchtigen könnten. Dies ist insbesondere bei leitenden Managementpositionen wie der Geschäftsführung der Fall. Dem DSBA dürfen keine Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen, weil deren Überwachung unabhängig durchgeführt werden muss.

Bei der Strafzumessung ist insb der Umsatz (Geschäftsjahr 2023: EUR 4 Millionen), die Schwere der Zuwiderhandlung (niedrig; "low level of seriousness"), die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Fahrlässigkeit, weil sich das Unternehmen nicht mit seinen Verpflichtungen auseinandergesetzt hat, obwohl dies zumutbar und möglich gewesen wäre), die bisherigen Verstöße (keine) und die Mitwirkung im Ermittlungsverfahren als Bemessungsgrundlage heranzuziehen. Eine Geldstrafe von EUR 5.000 (zzgl EUR 500 Verfahrenskostenbeitrag) ist angemessen.

DSB 21.09.2022, 2022-0.672.331

Videoüberwachung, Mitwirkungspflicht, freie Beweiswürdigung

·     Die Nachbarin der Betroffenen betrieb eine Kamera mit Video- und Tonüberwachung an ihrer Wohnungstüre, welche auch die Wohnungstüre der Betroffenen sowie den Stiegen- und Liftbereich umfasste. Nachdem die Nachbarin trotz Aufforderung, die Überwachung zu unterlassen, nicht reagierte, brachte die Betroffene bei der DSB eine Datenschutzbeschwerde wegen Verletzung ihres Rechts auf Geheimhaltung ein.

Die DSB forderte die Nachbarin mehrmals zur Stellungnahme auf, jedoch ohne Erfolg. Daraufhin leitete die DSB amtswegig ein Verwaltungsstrafverfahren wegen Verletzung der Mitwirkungspflicht iSd Art 31 DSGVO ein und verhängte eine Geldbuße.

Anschließend setzte die DSB das Administrativverfahren fort, stellte eine Verletzung des Rechts auf Geheimhaltung fest und trug der Nachbarin auf, den Bild- und Tonaufnahmebereich der von ihr betriebenen Kamera einzuschränken.

Die DSB hat erwogen: Dort, wo der Behörde die Ermittlung von Tatsachen ohne Mitwirkung der Partei nicht möglich ist, liegt es an der Partei, ihr Wissen einzubringen. Die nicht gehörige Mitwirkungspflicht im Beweisverfahren unterliegt der freien Beweiswürdigung, in dessen Rahmen die Behörde auch negative Schlüsse ziehen kann.

Die Kamera der Nachbarin erfasste den Wohnungseingangsbereich der Betroffenen und weitere genutzte Flächen in Bild und Ton, wodurch personenbezogene Daten verarbeitet wurden. Die Nachbarin hat keine Einwilligung der Betroffenen eingeholt. Die Verarbeitung kann auf Art 6 Abs 1 lit f DSGVO gestützt werden, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Der Schutz des Eigentums oder der Gesundheit kann ein berechtigtes Interesse sein. Die Erforderlichkeit der Datenverarbeitung muss sich aber auf das für die Zwecke der Verarbeitung absolut notwendige Maß beschränken.

Die Erfassung des Wohnungseingangsbereichs der Betroffenen sowie des gesamten Stiegen- und Liftbereichs war nicht erforderlich, um die allenfalls verfolgten Zwecke der Nachbarin zu erreichen. Die Kamera könnte so eingestellt werden, dass nur der unmittelbare Wohnungseingangsbereich der Nachbarin erfasst wird. Die von der Nachbarin angebrachte Kamera zeichnete nicht nur zeitlich beschränkte Momente auf, sondern filmte bereits vor Betätigen der Türklingel. Die Möglichkeit zur ortsungebundenen Betrachtung der Kameraübertragung und die Tonaufnahme stellen einen intensiveren Eingriff in die Rechte der Betroffenen dar. Die Verarbeitung war daher unverhältnismäßig und rechtswidrig.

·     Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.

·     Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

·     Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

·     Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.

·     Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·     Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von Telekommunikationsverträgen absprechen.

·     Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·     Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

·     Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

·     Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.