Datenschutzmonitor Juli 2025

·      Anbieter von Online-Fernsehdiensten sind Mediendiensteanbieter iSd Richtlinie über audiovisuelle Mediendienste (RL 2010/13/EU). Kurze Videos, die auf der Website einer Zeitung angeboten werden, sind Sendungen iS dieser RL, wenn die Bereitstellung der Videos eigenständig erfolgt. Nach der Richtlinie über audiovisuelle Mediendienste sind die Mitgliedstaaten verpflichtet, die Menschenwürde zu schützen, sodass keine Inhalte ausgestrahlt werden dürfen, die die Menschenwürde beeinträchtigen. Die unionsrechtskonforme Auslegung verlangt eine weite Auslegung innerstaatlicher Rechtsvorschriften, um die volle Wirksamkeit des Unionsrechts zu gewährleisten. Die unionsrechtskonforme Auslegung ist jedoch durch die besondere Ausprägung des allgemeinen Grundsatzes der Rechtssicherheit iZm Straftaten und Strafen begrenzt. Dies gilt auch für Sanktionen ohne strafrechtlichen Charakter (EuGH 26.06.2025, C-555/23, Makeleio).

·      Die Generalanwältin schlägt dem EuGH in ihren Schlussanträgen vor, das Urteil des EuG zu bestätigen, mit dem das EuG eine Geldbuße iHv EUR 4,125 Mrd gegen Google verhängt hat. Google wird der Missbrauch einer marktbeherrschenden Stellung iZm dem Betriebssystem Android sowie den Anwendungen Google Search, Google Chrome und Google Play Store vorgeworfen (EuGH SA 19.06.2025, C-738/22 P, Google/Kommission).

·      Im Gesetzesprüfungsverfahren darf der Umfang der in Prüfung gezogenen Norm nicht zu eng gewählt werden. Die Anfechtung nur der §§ 134 Z 3 und 135 Abs 3 StPO (Überwachung von Nachrichten) ist zu eng gewählt, weil sich der Gesetzesprüfungsantrag in der Sache nicht gegen die Überwachung von Nachrichten durch österreichische Behörden, sondern gegen die Verwertung der Ermittlungsergebnisse ausländischer Behörden, die der StPO nicht unterliegen, richtet. Der Antragsteller hätte auch jene Bestimmungen anfechten müssen, die die Beweisverwertung im strafgerichtlichen Verfahren regeln, nämlich insb § 140 Abs 1 StPO und allenfalls § 55d Abs 7 iVm § 55a Abs 1 Z 13 EU-JZG. Da der Antragsteller nur die §§ 134 Z 3 und 135 Abs 3 StPO angefochten hat, ist der Antrag zurückzuweisen (VfGH 16.06.2025, G55/2025).

BVwG 14.04.2025, W137 2257572-1

Kreditinstitut, Datenlöschung, Sorgfaltspflicht, öffentliches Interesse

·      Ein Kunde eröffnete bei einem Kreditinstitut ein Konto und stellte einen Monat später einen Antrag auf Ausstellung einer Kreditkarte. Zum Nachweis ausreichender Bonität ersuchte das Kreditinstitut um Übermittlung der Gehaltszettel der vorangegangenen drei Monate und der Kontoumsätze des alten Gehaltskontos. Der Kunde übermittelte die angeforderten Unterlagen nicht und zog seinen Antrag auf Ausstellung einer Kreditkarte zurück. Zusätzlich stellte er ein Ersuchen um Löschung der im Zuge der Antragstellung übermittelten Daten. Das Kreditinstitut verweigerte die Löschung mit Verweis auf anwendbare Sorgfaltspflichten gemäß dem Finanzmarkt-Geldwäschegesetz (FM-GwG) zur Verhinderung von Geldwäsche und Terrorismusfinanzierung. Der Kunde erhob daraufhin Datenschutzbeschwerde bei der DSB, welche der Datenschutzbeschwerde stattgab. Da es gegenständlich aufgrund der Antragszurückziehung zu keiner Begründung einer zusätzlichen dauerhaften Geschäftsbeziehung gekommen sei, seien die Sorgfaltspflichten nicht anwendbar. Die Daten seien daher zu löschen. Dagegen erhob das Kreditinstitut (erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten zu Zwecken der Verhinderung von Geldwäsche und Terrorismusfinanzierung ist als Angelegenheit im öffentlichen Interesse gemäß der DSGVO anzusehen. Verpflichtete müssen ausreichend Informationen zur Identität ihrer Kunden und deren wirtschaftlich Berechtigten, zum Zweck und zur Art der angestrebten Geschäftsbeziehung und zur Herkunft der eingesetzten Mittel eingeholt haben, diese Informationen regelmäßig aktualisieren und die Geschäftsbeziehung kontinuierlich überwachen. Wenn der Kunde einen Anlass gibt, dann sind seine Unterlagen zu aktualisieren. Dies trifft bereits zu, wenn die verpflichtete Bank auf irgendeine andere Art und Weise Kenntnis von einer Änderung erlangt. Dies war durch den gestellten und wieder zurückgezogenen Kreditkartenantrag der Fall.

Die Geschäftsbeziehung mit dem Kunden ist die Summe aller bestehenden auf Dauer angelegten Vertragsbeziehungen zwischen dem Kreditinstitut und dem Kunden (zB Konto, Depot, Kredit, Safe). Somit ist betreffend Sorgfaltspflichten ausschlaggebend, bis zu welchem Zeitpunkt eine durchgängige Geschäftsbeziehung (ohne Unterbrechung) mit dem Kunden bestand, und zwar unabhängig von den einzelnen Produkten. Die im Zusammenhang mit dem Kreditkartenantrag verarbeiteten Daten fallen daher bereits unter die Sorgfaltspflichten des Kreditinstituts. Erst nach Beendigung der letzten dauerhaften Geschäftsbeziehung (hier: Konto) beginnt die Löschfrist zu laufen. Die Datenspeicherung war daher rechtmäßig.

BVwG 09.04.2025, W287 2271595-1

Direktmarketingunternehmen, Löschungsersuchen, Sperrdatei

·      Eine Betroffene forderte bei einem Direktmarketingunternehmen die Löschung ihrer Daten und erhielt eine Bestätigung über die vollständige Löschung. Drei Jahre später stellte die Betroffene ein Auskunftsersuchen und erfuhr, dass ihre Daten nach der Löschung wieder erhoben und verarbeitet wurden. Sie beantragte daraufhin erneut die Löschung und widersprach der Verarbeitung ihrer Daten. Die DSB gab der Datenschutzbeschwerde statt und stellte fest, dass das Direktmarketingunternehmen die Betroffene in ihrem Recht auf Geheimhaltung verletzt habe, weil es ihre Daten trotz des erhobenen Widerspruchs erneut für Direktmarketingzwecke verwendet und damit unrechtmäßig verarbeitet habe. Das Direktmarketingunternehmen erhob (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verarbeitung zu Zwecken der Direktwerbung kann ein berechtigtes Interesse sein, erfordert jedoch eine Interessenabwägung. Widerspricht die Betroffene der Verarbeitung zu Werbezwecken, dürfen die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet werden. Zudem hat die Betroffene ein Recht auf Löschung, wenn sie Widerspruch erhoben hat.

Gemäß § 151 Abs 8 GewO muss die Löschung in Form einer Sperrung der Verwendung dieser Daten für Marketingaussendungen erfolgen, wenn die Betroffene nicht auf die physische Löschung ihrer Daten besteht. § 151 Abs 8 GewO dient dazu, Situationen zu verhindern, in denen Betroffene ihr Löschungsrecht wahrnehmen und dann dennoch von einer erneuten Datenverarbeitung betroffen sind.

Das an das Direktmarketingunternehmen gerichtete Löschungs- und Widerspruchsersuchen war nicht eindeutig als Löschungsersuchen aller verarbeiteten Daten zu interpretieren, sondern bezog sich vielmehr darauf, die Daten nicht mehr für Werbezwecke zu verarbeiten. Das Direktmarketingunternehmen hätte daher den wahren Willen der Betroffenen eruieren müssen, sie auf die Folgen der Löschung unter gleichzeitiger Darlegung der Möglichkeit der Überführung der zur Identifizierung erforderlichen (Stamm-)Daten in eine Sperrdatei hinweisen und in Erfahrung bringen müssen, ob sie dennoch auf eine gänzliche Löschung ihrer Daten besteht. Nur wenn die Betroffene weiterhin die Löschung aller Daten verlangt hätte, wäre diese vorzunehmen gewesen.

Das Direktmarketingunternehmen unterließ diese Aufklärung iSd § 151 Abs 8 GewO. Es hätte daher die Verarbeitung der Daten nur sperren dürfen. Die Verletzung von Informationspflichten hat zwar grundsätzlich keine Auswirkung auf die Rechtmäßigkeit der Verarbeitung. Die Betroffene konnte jedoch mangels Belehrung und Ergründung ihres wahren Willens die Nachteile einer vollständigen Löschung im Vergleich zu einer Überführung in eine Sperrdatei nicht abschätzen, sodass ihre Willensbildung beeinträchtigt war.

Die Betroffene durfte darauf vertrauen, dass ihre Daten nicht erneut für Direktmarketingzwecke verarbeitet werden. Diese Erwartungshaltung muss im Rahmen der Interessenabwägung im Zuge der neuerlichen Datenerhebung zugunsten der Betroffenen berücksichtigt werden. Die neuerliche Erhebung und Verarbeitung verstieß daher gegen Art 5 Abs 1 lit a iVm Art 6 Abs 1 lit f DSGVO und war somit rechtswidrig.

BVwG 22.04.2025, W256 2248647-1

Gesundheitsdaten, Krankenanstalt, Übermittlungsform

·      Eine Patientin absolvierte nach einer Hüftoperation ein Anschlussheilverfahren in einem Rehabilitationszentrum, das von der Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau (BVAEB) betrieben wird. Zum Zeitpunkt des Aufenthalts war die Patientin 77 Jahre alt. Aufgrund zweier früherer Gehirnoperationen war sie kognitiv signifikant eingeschränkt, was dem ärztlichen Team des Rehabilitationszentrums bekannt war. Bei Antritt des Anschlussheilverfahrens brachte die Patientin keine medizinischen Befunde mit und verwies auf ihren Ehemann als Vertreter sowie auf ihre Hausärztin. Ihr Ehemann übergab dem ärztlichen Team in der Folge radiologische Bilder, wobei zu einem MRT-Bild des Schädels der Befund fehlte. Da das ärztliche Team den fehlenden Befundteil für die Beurteilung des Gesundheitszustands als wichtig erachtete, forderte es den neurologischen Befund bei dem radiologischen Institut an und erhielt ihn per Fax zugestellt.

Nach dem Anschlussheilverfahren verlangte die Patientin vom Rehabilitationszentrum die Übermittlung ihrer Befunde per E-Mail und erteilte dafür ihre Zustimmung. Das Rehabilitationszentrum lehnte dies jedoch wegen mangelnder Sicherheit des Übertragungswegs ab und sendete die Befunde postalisch zu. Die Patientin erhob daraufhin eine Datenschutzbeschwerde bei der DSB, weil sie sich durch die Abfrage bezüglich des fehlenden Befundteils und durch die Nichtzustellung der Befunde per E-Mail in ihrem Recht auf Datenschutz als verletzt erachtete. Die Bescheidbeschwerde der Patientin gegen den abweisenden Bescheid der DSB an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Die DSGVO schützt personenbezogene Daten und gewährt Betroffenen bestimmte Rechte, darunter auch das Recht auf Auskunft. Die DSGVO enthält jedoch kein eigenständiges Recht auf Erhalt personenbezogener Daten in einer bestimmten Form. Die Übermittlung der Befunde per Post verletzt somit kein Recht der Patientin.

Bei dem eingeholten neurologischen Befund handelt es sich um gesundheitsbezogene Daten, die grundsätzlich einem Verarbeitungsverbot gemäß Art 9 Abs 1 DSGVO unterliegen. Art 9 Abs 2 lit h DSGVO erlaubt jedoch die Verarbeitung von Gesundheitsdaten ohne Einwilligung, wenn sie für Zwecke der Gesundheitsvorsorge, medizinischen Diagnostik, Versorgung oder Behandlung erforderlich ist. Bei der Verarbeitung von sensiblen Daten muss eine gesetzliche Anordnung bzw Erlaubnis vorliegen, die Verarbeitung muss erforderlich sein und die Anforderungen des Art 9 Abs 3 DSGVO müssen erfüllt sein, wonach die Verarbeitung durch Fachpersonal, das einer Verschwiegenheitspflicht unterliegt, erfolgen muss.

Mit Blick auf die klaren Regelungen der § 17 und § 20 NÖ Krankenanstaltengesetz erfüllt das tätig gewordene ärztliche Team zweifellos die Voraussetzungen des Art 9 Abs 3 DSGVO. Das Rehabilitationszentrum ist als Sonderkrankenanstalt gemäß §§ 16b ff, § 21 NÖ Krankenanstaltengesetz verpflichtet, eine ordnungsgemäße Behandlung und Dokumentation sicherzustellen. Die Behandlungspflicht umfasst die Berücksichtigung aller relevanten medizinischen Faktoren, um damit eine umfassende und bestmögliche Betreuung der Patienten gewährleisten zu können.

Für eine optimale Nachbehandlung nach einer Hüftoperation war die Einholung des neurologischen Befundes erforderlich, weil das zentrale Nervensystem für die Steuerung des Bewegungsapparats zuständig ist. Die abstrakte Möglichkeit einer für die Behandlung nachteiligen Störung rechtfertigt die medizinische Abklärung durch Einholung des Befundes. Die Erforderlichkeit der Abklärung hängt nicht davon ab, ob tatsächlich eine Störung vorliegt, sondern schon der Ausschluss einer solchen Störung ist für die Behandlung entscheidend. Die Einholung des neurologischen Befundes war im Interesse der Patientin und erforderlich.

·      Datenschutzbeschwerden sind nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als exzessiv iSv Art 57 Abs 4 DSGVO einzustufen. Auch kann sich die DSB nicht auf die erhebliche Inanspruchnahme ihrer Ressourcen und Beeinträchtigung ihrer anderen Aufgaben stützen, um eine inhaltliche Auseinandersetzung zu verweigern. Für das Vorliegen eines Exzesses muss Missbrauchsabsicht vorliegen, welche nur dann gegeben ist, wenn das unlautere Motiv der Rechtsausübung das lautere Motiv eindeutig überwiegt. Der Schädigungszweck muss so augenscheinlich im Vordergrund stehen, dass andere Ziele der Rechtsausübung völlig in den Hintergrund treten. Der DSB gelang der Nachweis der Missbrauchsabsicht nicht (BVwG 07.04.2025, W108 2283036-1).

·      Die §§ 12 und 13 DSG sind mangels Öffnungsklausel der DSGVO nicht anwendbar. Eine Bilddatenverarbeitung durch Videokameras ist daher allein anhand von Art 6 DSGVO zu beurteilen. Eine Videoüberwachung ist rechtswidrig, wenn ein berechtigtes Interesse am Schutz des Eigentums zwar besteht, dem Verantwortlichen aber gelindere Mittel zur Verfügung stehen (BVwG 17.04.2025, W605 2257579-1).

·      Trägt die DSB einem Websitebetreiber auf, seinen Cookie-Banner derart abzuändern, dass auf der ersten Ebene des Cookie-Banners neben der Option "Akzeptieren" eine optisch gleichwertige Option vorhanden ist, um den Cookie-Banner ohne Abgabe einer Einwilligung zu schließen, kann diesem Leistungsauftrag während des laufenden Verfahrens vor dem BVwG entsprochen werden. Dadurch entfällt die Grundlage für den Leistungsauftrag, weshalb dieser vom BVwG zu beheben ist (BVwG 23.04.2025, W291 2299266-1).

·      Ist der Beschwerdegegner unklar oder ist der Datenschutzbeschwerde nicht zu entnehmen, welcher Sachverhalt ihr zugrunde gelegt wird, ist der geforderte Mindestinhalt der Datenschutzbeschwerde gemäß § 24 Abs 2 Z 2 und Z 3 DSG nicht erfüllt. Entspricht der Beschwerdeführer einem aus diesen Gründen gestellten Verbesserungsauftrag nicht, ist die Datenschutzbeschwerde zurückzuweisen. Die Zurückweisung der Datenschutzbeschwerde steht der neuerlichen mangelfreien Beschwerdeerhebung nicht entgegen (BVwG 02.12.2024, W254 2299670-1).

DSB 04.07.2024, 2024-0.199.724

Rechnungshof, politische Meinung, Parteiengesetz, Zuständigkeit, Parlamentarisches Datenschutzkomitee

·      Ein Spender einer österreichischen Partei erhob Datenschutzbeschwerde bei der DSB, weil der Rechnungshof Österreich ("RH") seinen Namen und die Höhe seiner Parteispende auf Grundlage des Parteiengesetzes auf dessen Website veröffentlicht hatte. Er sah sich dadurch in seinem Recht auf Geheimhaltung verletzt, weil aus der Spende Rückschlüsse auf seine politische Meinung gezogen werden können. Nach Aussetzung des Verfahrens bis zur Entscheidung des EuGH (zu C-33/22, Österreichische Datenschutzbehörde) und anschließender Fortsetzung des Verfahrens wies die DSB die Datenschutzbeschwerde ab.

Die DSB hat erwogen: Für die Einhaltung des Datenschutzes im Bereich der Gesetzgebung, wozu der RH zählt, hat der Gesetzgeber mit dem Parlamentarischen Datenschutzkomitee eine eigene Aufsichtsbehörde geschaffen. Da dieses Komitee erst mit dem 01.01.2025 eingerichtet wird, ist zum Zeitpunkt dieser Entscheidung noch die DSB zuständig.

Der RH handelt als Verantwortlicher im Sinne der DSGVO. Die Veröffentlichung personenbezogener Daten (Name, Spendentätigkeit, Postleitzahl) ist eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO, weil aus diesen Daten die politische Meinung hervorgehen kann. Eine Verarbeitung ist nur aufgrund der Ausnahmebestimmungen des Art 9 Abs 2 DSGVO zulässig. Art 9 Abs 2 lit g DSGVO erlaubt eine Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses, sofern diese verhältnismäßig ist und angemessene und spezifische Maßnahmen zum Schutz der Betroffenen vorsieht. Die Transparenz der Parteienfinanzierung ist ein erhebliches öffentliches Interesse.

Das Parteiengesetz sieht eine stufenweise Veröffentlichungspflicht vor: Ab EUR 150 ist der Name an den Rechnungshof zu melden, ab EUR 500 zusätzlich die Postleitzahl, ab EUR 2.500 (im Wahlkampfzeitraum) auch die Anschrift. Die Veröffentlichung erfolgt jeweils abgestuft nach Höhe und Zeitpunkt der Spende. Der Gesetzgeber hat im Gesetzgebungsverfahren eine Datenschutz-Folgenabschätzung durchgeführt und Maßnahmen zur Wahrung der Grundrechte der Betroffenen vorgesehen, wie insb die Beschränkung der veröffentlichten Daten auf Name und Postleitzahl (statt vollständiger Adresse) sowie die Anordnung einer Löschfrist für die Namen der Spender. Die Veröffentlichungen sind geeignet und erforderlich, um Transparenz über die Finanzierung politischer Parteien herzustellen, mögliche Interessenkonflikte offenzulegen und die Einhaltung von Compliance-Regeln zu ermöglichen. Das öffentliche Interesse an Transparenz überwiegt das Interesse des Spenders am Datenschutz.

DSB 12.06.2024, 2023-0.836.312

Justizielle Tätigkeit, Zuständigkeit, Beschwerdegegner, Übermaßverbot

·      Eine Rechtsanwältin sagte bei Gericht eine Hauptverhandlung krankheitsbedingt ab. Später stellte sich heraus, dass die Rechtsanwältin hatte eine Terminkollision hatte. Um diesen Umstand aufzuklären, nahm die zuständige Richterin eines Landesgerichts (LG) Einsicht in das zentrale Register "Verfahrensautomation Justiz" (VJ-Register) und kontaktierte die für das andere Verfahren zuständige Richterin. Als sich der Verdacht eines vorgetäuschten Krankenstands bestätigte, brachte sie eine Sachverhaltsdarstellung bei der zuständigen Rechtsanwaltskammer (RAK) ein. Die Rechtsanwältin fühlte sich durch die Einsicht in das VJ-Register durch die Richterin in ihrem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB gegen die Richterin ein. Die DSB benannte als Zweitbeschwerdegegnerin das LG. Sie wies die Datenschutzbeschwerde gegen die Richterin ab und gegen das LG zurück.

Die DSB hat erwogen: Parteienerklärungen, worunter auch die Bezeichnung des Beschwerdegegners fallen, sind der Einzelfallauslegung zugänglich, weil § 24 DSG keine strengen Formerfordernisse vorsieht. Die DSB kann daher auch die Bezeichnung des Beschwerdegegners umdeuten bzw ein Verfahren gegen zwei Beschwerdegegner führen, obwohl nur ein Beschwerdegegner in der Datenschutzbeschwerde genannt ist, sofern dies interpretativ möglich ist.

Die Einsichtnahme in das VJ-Register erfolgte im Rahmen eines anhängigen Strafverfahrens. Die DSB ist gemäß § 31 Abs 1 DSG nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig. Eine Tätigkeit eines Gerichts im Rahmen der justiziellen Tätigkeit liegt dann vor, wenn ein Richter in Ausübung des richterlichen Amts handelt oder ein Richter oder ein Staatsanwalt sonst in Besorgung der übertragenen Amtsgeschäfte weisungsfrei gestellt ist.

Maßgeblich für die Abgrenzung der justiziellen Tätigkeit ist, ob eine datenschutzrechtliche Kontrolle die Unabhängigkeit der Richterinnen und Richter oder ihrer Entscheidungen beeinträchtigen könnte. Die Erhebung der Daten aus dem VJ-Register und das Gespräch mit einer Richterkollegin, um die Notwendigkeit der Abberaumung einer Hauptverhandlung zu prüfen und anschließend standesrechtliche Maßnahmen einzuleiten, stehen in direktem Zusammenhang mit einem Strafverfahren. Eine Kontrolle der Datenerhebung durch die DSB hätte einen unmittelbaren Einfluss auf die Unabhängigkeit der richterlichen Entscheidung und fällt daher nicht in die Zuständigkeit der DSB.

Eine eigenständige Verantwortung der Richterin lag nicht vor, weil die Erhebungen in ihrer Rolle als richterliches Organ in Ausübung der justiziellen Tätigkeit erfolgten.

Auch könnte die Datenschutzbeschwerde aufgrund des Übermaßverbots nicht erfolgreich sein, weil die Kontrolle der Ermittlungsschritte einen Eingriff in die sachliche Zuständigkeit des Gerichts bewirken würde.

·      Am 23.06.2025 wurde der Entwurf einer Durchführungsverordnung der Kommission zur EU-Netzneutralitäts-Verordnung 2015/2120 veröffentlicht. Festgelegt werden sollen Bedingungen für eine faire Nutzung von Auslandstelefonie und SMS-Nachrichten innerhalb der EU.

·      Am 26.06.2025 wurden der (i) "Durchführungsbeschluss (EU) 2025/1225 der Kommission vom 24. Juni 2025 zur Änderung des Durchführungsbeschlusses (EU) 2021/1773 gemäß der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich", ABl L 2025/1225; sowie (ii) "Durchführungsbeschluss (EU) 2025/1226 der Kommission vom 24. Juni 2025 zur Änderung des Durchführungsbeschlusses (EU) 2021/1772 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich", ABl L 2025/1226, veröffentlicht. Mit diesen Durchführungsbeschlüssen werden die Geltungsdauer der für das Vereinigte Königreich geltenden Angemessenheitsbeschlüsse vom 27.06.2025 bis zum 27.12.2025 verlängert, sofern sie nicht erneut verlängert werden.

EGMR 01.07.2025, 6033/19, AR/Vereinigtes Königreich

Strafregisterauszug, Vorhersehbarkeit, Unschuldsvermutung

·      Ein Brite, der damals als Taxifahrer tätig war, wurde wegen Vergewaltigung einer 17-jährigen Passagierin angeklagt. Nach einem Strafverfahren erfolgte ein Freispruch. In den folgenden Jahren beantragte er für Bewerbungen zwei erweiterte Führungszeugnisse (Enhanced Criminal Record Certificates; "ECRC"). Die ECRC enthielten Informationen über die damalige Anklage, den Prozessverlauf und den Freispruch.

Der Brite legte Einspruch gegen die Offenlegung dieser Daten im erweiterten Führungszeugnis ein. Die Behörde hielt an der Offenlegung fest. Die daraufhin erhobene Beschwerde wurde abgewiesen. Der zuständige Beamte begründete die Maßnahme mit dem Risiko, der Brite könne seine Stellung missbrauchen, um ähnliche Straftaten zu begehen. Der Brite beantragte die gerichtliche Überprüfung der Entscheidung und berief sich auf Art 6 Abs 2 und Art 8 EMRK. Das Gericht erachtete Art 8 EMRK für einschlägig, bewertete die Offenlegung jedoch als verhältnismäßig und geeignet zum Schutz junger und gefährdeter Personen. Eine Verletzung der Unschuldsvermutung wurde nicht festgestellt (Art 6 Abs 2 EMRK). Nach erfolglosem Ausschöpfen des Rechtswegs erhob der Brite (erfolgreiche) Beschwerde an den EGMR.

Der EGMR hat erwogen: Die Offenlegung der Daten über die Anklage beruhte auf einem unklaren rechtlichen Rahmen. Das maßgebliche nationale Gesetz sah vor, dass leitende Polizeibeamte Informationen offenlegen durften, wenn sie diese für "relevant" hielten. Es fehlten jedoch klare Kriterien zur Ausübung dieses Ermessens. Der Brite konnte nicht vorhersehen, dass die Umstände seiner Anklage im Rahmen eines ECRC offengelegt würden. Zum fraglichen Zeitpunkt bestand weder eine gesetzliche noch eine hinreichend präzise behördliche Anleitung, wie dieses Ermessen auszuüben war.

Dies ermöglichte eine willkürliche und für Betroffene nicht vorhersehbare Offenlegung. Es fehlte insbesondere eine Anleitung zur Bewertung der Relevanz strittiger Vorwürfe, zur Form der Offenlegung sowie zu deren Auswirkungen auf potenzielle Entscheidungsinstanzen wie Arbeitgeber oder Genehmigungsbehörden.

Bestrittene Vorwürfe sind nur dann für einen potenziellen Arbeitgeber relevant, wenn sie zutreffen. Sind sie unbegründet, haben sie keinerlei Einfluss auf die Eignung eines Bewerbers für die Stelle. Angesichts des Freispruchs des Briten bestanden erhebliche Zweifel an der Vergewaltigungsanzeige. Der Brite erhielt jedoch keine Gelegenheit zur Stellungnahme vor der Datenoffenlegung. Da keine ausreichenden Schutzvorkehrungen bestanden, entsprach die Offenlegung nicht den Anforderungen des Gesetzes.

Die Feststellung der Rechtsverletzung bietet einen hinreichenden Ausgleich für den erlittenen immateriellen Schaden, sodass kein Schadenersatz zugesprochen wird.

EuGH SA 03.06.2025, C-291/24, Steiermärkische Bank und Sparkasse

Geldwäsche, Haftung, juristische Person, Verjährung

·      Eine Bank wurde von der Finanzmarktaufsichtsbehörde (FMA) mit einer Sanktion belegt, weil sie in den Jahren 2017 bis 2019 Sorgfaltspflichten nach dem Finanzmarkt-Geldwäschegesetz (FM-GwG) verletzt habe. Die Bank sowie zwei natürliche Personen in leitender Funktion erhoben Bescheidbeschwerde an das BVwG. Dieses legte dem EuGH die Frage vor, ob die österreichischen Regelungen, die die Haftung einer juristischen Person zwingend an die Feststellung der schuldhaften Pflichtverletzung einer identifizierten natürlichen Person in Führungsposition knüpfen, mit den Vorgaben der EU-Geldwäscherichtlinie (Richtlinie (EU) 2015/849 idgF) vereinbar sind. Das BVwG fragte auch, ob das Urteil des EuGH vom 05.12.2023, C-807/21, Deutsche Wohnen, in dem der EuGH festgestellt hat, dass eine im deutschen Recht bestehende ähnliche Regelung der Haftung juristischer Personen den Bestimmungen der DSGVO widerspricht, auf den vorliegenden Fall übertragbar ist.

Die Generalanwältin hat erwogen: Die Geldwäsche-RL verlangt, dass Mitgliedstaaten sicherstellen, dass juristische Personen für Verstöße gegen geldwäscherechtliche Verpflichtungen verantwortlich gemacht werden können. Sie unterscheidet zwischen der Haftung juristischer und natürlicher Personen und sieht vor, dass Sanktionen gegen juristische Personen über die Zurechnung des Verhaltens einer natürlichen Person in einer Führungsposition verhängt werden können. Die österreichische Regelung, die eine Sanktionierung der juristischen Person nur zulässt, wenn zuvor die schuldhafte Pflichtverletzung einer konkret benannten natürlichen Person festgestellt wurde, steht nicht im Widerspruch zur RL. Diese verlangt nämlich nicht, dass die Schuld einer natürlichen Person zwingend festgestellt werden muss, schließt dies aber auch nicht aus. Die Mitgliedstaaten dürfen einen gewissen Grad an Verschulden einer natürlichen Person in Führungsposition verlangen, solange die Haftung der juristischen Person in allen relevanten Fällen sichergestellt bleibt.

Die formellen Anforderungen des österreichischen Rechts, wonach die (i) verantwortliche natürliche Person im Verfahren Partei sei, (ii) im Spruch des Straferkenntnisses namentlich benannt werden muss, und (iii) ihr Verhalten der juristischen Person zugerechnet werden muss, sind mit der RL vereinbar. Das Urteil des EuGH in der Rs Deutsche Wohnen zur DSGVO ist nicht übertragbar, weil die DSGVO eine unmittelbare Haftung der juristischen Person vorsieht, während die Geldwäsche-RL ausdrücklich die Zurechnung über eine natürliche Person in einer Führungsposition regelt.

Die Festlegung angemessener Verjährungsfristen liegt im Ermessen der Mitgliedstaaten, solange die Ausübung durch das Unionsrecht verliehener Rechte nicht praktisch unmöglich oder übermäßig erschwert wird. Verjährungsfristen von drei und fünf Jahren sind mit dem Effektivitätsgrundsatz des Unionsrechts vereinbar.

EuGH 03.07.2025, C-529/23 P, Parliament/TC

Parteiengehör, Akteneinsicht, Datenspeicherung im Konfliktfall, Personalakte

·      Das Europäische Parlament (EP) forderte von einem Abgeordneten die Rückzahlung von Beträgen, die zu Unrecht für die Beschäftigung seines akkreditierten parlamentarischen Assistenten gezahlt worden seien. Zur Verteidigung ersuchte der Abgeordnete das EP um die Übermittlung von Unterlagen, darunter die Personalakte und E-Mail-Korrespondenz mit dem Assistenten. Das EP verweigerte dies, woraufhin der Abgeordnete Klage auf Nichtigerklärung des Rückforderungsbeschlusses und der Zahlungsaufforderung erhob. Das EuG gab der Klage statt. Das EP habe seine Weigerung nicht ausreichend begründet und dem Abgeordneten damit das Recht auf Anhörung im Rückforderungsverfahren verwehrt. Zudem hätte das EP E-Mails aufbewahren und die beantragten Dokumente übermitteln müssen. Gegen dieses Urteil legte das EP ein erfolgreiches Rechtsmittel beim EuGH ein.

Der EuGH hat erwogen: Das Recht auf Anhörung (Parteiengehör) ist in allen Verfahren zu wahren, die zu einer beschwerenden Maßnahme führen können. Das Recht auf Aktenzugang (Akteneinsicht) gewährleistet, dass dem Betroffenen die Möglichkeit gegeben wird, alle Schriftstücke in der Ermittlungsakte zu prüfen, die für seine Verteidigung erheblich sein könnten. Dazu gehören sowohl belastende als auch entlastende Schriftstücke mit Ausnahme von Geschäftsgeheimnissen, internen Schriftstücken des betreffenden Organs und anderen vertraulichen Informationen. Der Betroffene kann daher Zugang zu allen Unterlagen beantragen und erhalten, bevor er in Ausübung seines Rechts auf Anhörung Stellung nimmt. Dieses Recht ist unter Wahrung des berechtigten Interesses der Vertraulichkeit sowie des Berufs- und Geschäftsgeheimnisses zu gewähren.

Dies gilt jedoch nicht für Dokumente, die nicht in dieser Akte enthalten sind, sich aber im Besitz des betreffenden Organs befinden. Ein Abgeordneter, der Ausgaben für einen Assistenten rechtfertigen muss, kann auf Beweismittel verweisen, die sich möglicherweise im Besitz des EP befinden. Ein solcher Verweis muss aber hinreichend genau sein, damit das EP die entsprechenden Beweisstücke identifizieren und prüfen kann. Das EP ist nicht verpflichtet, dem Abgeordneten sämtliche potenziell relevanten Unterlagen zu übermitteln, ohne dass dieser angibt, welche Beweise er meint und welche Tatsachen er damit beweisen will. Von einem Organ kann auch nicht verlangt werden, Beweisstücke in die Akte eines Verwaltungsverfahrens aufzunehmen, die nicht (mehr) vorhanden sind.

Das EP war nicht verpflichtet, E-Mails zwischen dem Abgeordneten und seinem Assistenten dauerhaft zu speichern. Die Kenntnis von einem Konflikt kann es nicht rechtfertigen, dass das Parlament von seiner internen Richtlinie, nach der E-Mails nach 90 Tagen automatisch gelöscht werden, abweicht. Dies gilt umso mehr, als das EP eine Sortierung der E-Mails hätte vornehmen müssen, was einen erheblichen und ungerechtfertigten Eingriff in die Privatsphäre des Abgeordneten und seines Assistenten gewesen wäre. Zudem sind die E-Mails, die von einem Abgeordneten versendet oder empfangen werden, keine Dokumente des Parlaments, sie gehören dem Abgeordneten selbst. Für das Rückforderungsverfahren war es auch nicht erforderlich, die E-Mails vorsorglich aus eigener Initiative zu speichern. Das EP konnte sich auf die Erklärungen der Betroffenen und die von ihnen vorgelegten Beweise stützen. Die Beweislast für die Tätigkeit der Assistenten liegt beim Abgeordneten.

Ein Rückforderungsverfahren erfüllt unter Wahrung der Verteidigungsrechte des Abgeordneten einen bestimmten, im öffentlichen Interesse liegenden Zweck. Art 9 Abs 1 lit b der Verordnung 2018/1725 ("Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union") steht dem Zugang zu personenbezogenen Daten durch den betroffenen Abgeordneten nicht entgegen, sofern dies unter Wahrung der Vertraulichkeit erfolgt.

Die Übermittlung der Personalakte des Assistenten an den Abgeordneten verstößt allerdings gegen Art 26 des Abgeordnetenstatuts. Die Personalakte darf nur in den Diensträumen des Parlaments oder auf einem gesicherten Datenträger eingesehen werden.

·      Eingriffe staatlicher Behörden in das Grundrecht auf Datenschutz sind nur aufgrund von Gesetzen zulässig, die ausreichend präzise und für jedermann vorhersehbar regeln, unter welchen Voraussetzungen das Ermitteln und Verwenden personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist. Die §§ 13 und 17 ORF-Beitrags-Gesetz 2024 normieren eine entsprechende Regelung für die Datenerhebung, -verwendung und -weitergabe durch die ORF-Beitrags Service GmbH. Diese gesetzliche Ermächtigung dient dem Erheben von Beiträgen zur Finanzierung des öffentlich-rechtlichen Rundfunks. Sie ist zum Erreichen dieses Ziels geeignet und erforderlich und – unter Berücksichtigung ihrer Ausgestaltung – auch verhältnismäßig (VfGH 24.06.2025, E4624/2024). Anm: Der VfGH hat erstmals seit neun Jahren ein sogenanntes Massenverfahren eingeleitet. Wir haben im Datenschutzmonitor 12/2025 vom 26.03.2025 berichtet. Die Beantwortung der im Massenverfahren kundgemachten Rechtsfragen wurde nunmehr auch im Bundesgesetzblatt veröffentlicht, BGBl II 2025/153. Die aufgrund des Massenverfahrens ausgesetzten Beschwerdeverfahren vor dem BVwG werden von Amts wegen fortgesetzt werden.

OLG Graz 16.05.2025, 5R25/25y

Berichterstattung, Persönlichkeitsrecht, Bildnisschutz

·      Ein Künstlermanager klagte die Verlegerin und Medieninhaberin eines Boulevardmagazins, die in einem Artikel über den Tod der Ehefrau eines von ihm betreuten Musikers ohne tatsächliche Grundlage einen Mordverdacht in den Raum gestellt hatte. Zugleich veröffentlichte die Zeitschrift ohne dessen Zustimmung ein Lichtbild des Managers. Der Manager verlangte neben Unterlassung auch Schadenersatz, weil er durch die Falschberichterstattung in seinem Recht am eigenen Bild nach § 78 UrhG verletzt worden sei und berufliche Nachteile befürchte. Ein berechtigtes Veröffentlichungsinteresse an seinem Bild bestehe nicht. Das Erstgericht gab der Klage statt. Dagegen erhob die Medieninhaberin (erfolglos) Berufung.

Das OLG Graz hat erwogen: Durch § 78 UrhG soll jedermann gegen einen Missbrauch seiner Abbildung in der Öffentlichkeit geschützt werden. § 78 UrhG normiert dabei keinen absoluten Bildnisschutz, sondern geht von einem flexiblen Interessenprinzip aus. Eine nicht genehmigte Verbreitung eines Bildnisses ist zulässig, solange die berechtigten Interessen des Abgebildeten nicht verletzt werden. Bei der Beurteilung ist darauf abzustellen, ob Interessen des Abgebildeten bei objektiver Prüfung als schutzwürdig anzusehen sind. Entscheidend ist, ob die Person des Abgebildeten durch die Veröffentlichung in einen nicht den Tatsachen entsprechenden Zusammenhang gestellt wurde. Es reicht schon die bloße Möglichkeit von Missdeutungen aus.

Für den unvoreingenommenen Betrachter des Artikels wird der Manager ohne jeden sachlichen Anknüpfungspunkt in einen assoziativen Zusammenhang mit einem unbegründeten Mordverdacht gestellt. Eine Rechtsverletzung ist daher zu bejahen. Diese ist auch nicht durch das Recht auf freie Meinungsäußerung gerechtfertigt.

·      Lehnt der Netzbenutzer den Austausch eines "eichfälligen" Zählers gegen ein intelligentes Messgerät ("Smart Meter") ab, darf der Netzbetreiber keine Stromabschaltung androhen. Dem Netzbetreiber steht es aber offen, gerichtliche Hilfe bei der Durchsetzung seines Interesses auf Tausch des Stromzählers in Anspruch zu nehmen. Die vom Rekursgericht erlassene einstweilige Verfügung zugunsten des Netzbenutzers wird bestätigt. Sie wird jedoch ungültig, wenn der Netzbenutzer beim Erstgericht keine Sicherheitsleistung iHv EUR 10.000 erlegt (OGH 28.05.2025, 3Ob30/25w; 03.06.2025, 2Ob31/25k).

BVwG 02.05.2025, W137 2301309-1

Universität, Videoaufnahme, Verordnung

·      Ein außerordentlicher Univ-Professor an einer österreichischen Universität nahm an einer verpflichtenden Departmentsitzung teil. Die Leiterin des Departments zeichnete diese Sitzung ohne vorherige Information an die Teilnehmer mittels Laptops auf. Die Audioaufnahme wurde dem Protokollführer zur Erstellung des Sitzungsprotokolls übermittelt und nachträglich gelöscht. Das Rektorat der Universität beschloss danach eine Änderung der Richtlinie zu den Kommunikations- und Meinungsbildungsprozessen, welche die Audioaufzeichnungen zu Protokollierungszwecken erlaubte, sowie einen Verhaltenskodex mit gleichlautendem Inhalt. Eine weitere Aufnahme erfolgte in einer späteren Sitzung, wobei der Professor dieser nicht beiwohnte.

Der Professor erhob Datenschutzbeschwerde bei der DSB. Diese stellte fest, dass die Universität durch die Audioaufnahme sowie deren Weiterleitung sein Recht auf Geheimhaltung verletzt habe. Die DSB sprach überdies eine Verwarnung hinsichtlich der zweiten Aufnahme aus (Art 58 Abs 2 lit b DSGVO), lehnte jedoch den Antrag auf Verhängung einer Geldbuße ab. Die darauffolgende Bescheidbeschwerde der Universität an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Die Verarbeitungstätigkeiten von Behörden in Erfüllung ihrer Aufgaben können laut Art 6 Abs 1 letzter Satz DSGVO nicht auf die Wahrnehmung berechtigter Interessen gestützt werden. Der "Code of Conduct" und die Änderung der Richtlinie des Rektorats scheiden bereits aufgrund der zeitlichen Divergenz als mögliche Rechtsgrundlage gemäß Art 6 Abs 1 lit e DSGVO aus. Mangels der Qualifikation der Departmentsitzung als "vom Senat eingerichtetes Kollegialorgan" ist auch die Heranziehung einer entsprechenden Bestimmung der Geschäftsordnung des Senats ausgeschlossen.

Als zentrales Element einer Verordnung gilt die Außenwirkung. Da die Beschlüsse vom Rektorat – und nicht vom Senat – erlassen wurden, kann es sich bei diesen nicht um Teile der Satzung der Universität handeln. Es ist somit davon auszugehen, dass das Rektorat eine Verwaltungsverordnung für alle Departments bzw die Departmentleitungen geschaffen hat, um eine einheitliche interne Kommunikation zu gewährleisten. Aufgrund derselben Überlegungen bildet auch der "Verhaltenskodex" keine ausreichende rechtliche Grundlage für die Datenverarbeitung.

Der Änderung der Richtlinie des Rektorats und dem Code of Conduct fehlt es am notwendigen Verordnungscharakter, um eine rechtliche Grundlage iSd Erlaubnistatbestands des Art 6 Abs 1 lit e DSGVO bilden zu können.

BVwG 28.04.2025, W211 2289521-1

Rechtsanwalt, Exekution, justizielle Tätigkeit

·      Eine Rechtsanwaltskanzlei führte gegen einen Schuldner ein Exekutionsverfahren und brachte gegen diesen auch mehrere Strafanträge ein. Der Schuldner erachtete die darin vorgebrachten Tatsachen als unrichtig, weil es die Anwaltskanzlei in den Verfahren aus seiner Sicht unterlassen hat, relevante Informationen über ihn gegenüber dem Gericht mitzuteilen. Er erhob Datenschutzbeschwerde bei der DSB. Die DSB wies die Datenschutzbeschwerde zurück. Die Bescheidbeschwerde des Schuldners an das BVwG war erfolgreich.

Das BVwG hat erwogen: Im Fall der Zurückweisung einer Datenschutzbeschwerde durch die DSB ist Sache des Beschwerdeverfahrens lediglich die Frage der Rechtmäßigkeit der Zurückweisung. Jede Betroffene hat nach Art 77 DSGVO das Recht auf Datenschutzbeschwerde bei einer Aufsichtsbehörde, wenn ihrer Ansicht nach die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Beschwerdelegitimation ist schon dann gegeben, wenn denkmöglich eine Datenverarbeitung vorliegt und dadurch rechtswidrig sein kann. Eine Datenschutzbeschwerde, die sich gegen eine denkmöglich rechtswidrige Datenverarbeitung richtet, ist von der DSB inhaltlich zu prüfen und kann nicht wegen des Fehlens einer Datenverarbeitung zurückgewiesen werden.

Die gerichtliche Tätigkeit in Art 55 DSGVO ist weit zu verstehen. Auch eine Zustellverfügung, die Tätigkeit eines gerichtlichen Sachverständigen und die Tätigkeit des Gerichtsvollziehers in Exekutionssachen fallen darunter. Das Einschreiten eines Rechtsanwalts für seinen Mandanten fällt mangels gerichtlicher Beauftragung jedoch nicht darunter. Die Datenverarbeitung durch den Rechtsanwalt unterliegt der Kontrolle der DSB. Die DSB hätte daher die Datenverarbeitung bezüglich der Exekutions- und Strafanträge des Rechtsanwalts inhaltlich zu prüfen gehabt.

Die Beurteilung der Frage, ob Aussagen in Anträgen inhaltlich richtig oder unrichtig sind, fällt allerdings in die Zuständigkeit der ordentlichen Gerichte. Eine Datenschutzbeschwerde dient nicht dazu, über die in die Zuständigkeit der Gerichte fallenden Fragen zu entscheiden.

BVwG 30.04.2025, W171 2298465-1

Krankentransport, Spendenbrief, Gesundheitsdaten, Zweckänderung

·      Ein Rettungsdienst erhob im Rahmen eines Krankentransports die Daten eines Patienten zur Verrechnung der Kosten mit dem Sozialversicherungsträger und zur Dokumentation. In Folge verwendete der Rettungsdienst den Namen und die Anschrift des Patienten, um diesem einen Spendenbrief zuzusenden. Der Patient hatte keine Einwilligung zur Weiterverarbeitung seiner Daten für diesen Zweck erteilt. Er erhob daher eine Datenschutzbeschwerde bei der DSB, weil er sich in seinem Recht auf Geheimhaltung verletzt sah. Die DSB stellte fest, dass die Weiterverarbeitung der Daten zur Erstellung des Spendenbriefs rechtswidrig war und gab der Datenschutzbeschwerde statt. Daraufhin erhob der Rettungsdienst eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Name und die Adresse des Patienten sind personenbezogene Daten. Zusätzlich wurde auch die Information darüber, dass der Patient im Zuge eines Rettungseinsatzes betreut wurde, als Datum verarbeitet. Da sich daraus die eingeschränkte Gesundheit des Patienten ableiten lässt, liegt eine Verarbeitung von Gesundheitsdaten iSd Art 4 Z 15 DSGVO vor.

In Art 9 Abs 1 DSGVO ist ein Verarbeitungsverbot von gesundheitsbezogenen Daten normiert. Eine Verarbeitung ist nur zulässig, wenn einer der Ausnahmetatbestände des Art 9 Abs 2 DSGVO erfüllt ist. Der Patient hat in die Verarbeitung nicht eingewilligt. Auch dient die Verarbeitung nicht der Geltendmachung arbeits- oder sozialrechtlicher Ansprüche, schützt keine lebenswichtigen Interessen, bezieht sich nicht auf offensichtlich öffentlich gemachte Daten, ist nicht zur Rechtsverfolgung erforderlich und steht nicht im öffentlichen Interesse. Auch die weiteren Ausnahmetatbestände des Art 9 Abs 2 DSGVO greifen nicht. Die Primärverarbeitung der Daten zur Abrechnung mit dem Sozialversicherungsträger war rechtmäßig. Die Weiterverarbeitung der Daten zur Versendung eines Spendenbriefs überschreitet jedoch den ursprünglichen Zweck und findet in der DSGVO keine Rechtfertigung.

BVwG 28.04.2025, W211 2283135-1

Exzess, Missbrauchsabsicht, Ressourcen

·      Zwei Personen erwarben im Rahmen einer Zwangsversteigerung Eigentum an einer Wohnung. Die Hausverwaltung, welche die Wohnungseigentümergemeinschaft vertrat, organisierte die jährliche Ablesung der Verbrauchszähler. Bei Nichtgewährung des Zutritts oder Verweigerung des Zähleraustauschs erfolgten Hochrechnungen des Verbrauchs. Die Hausverwaltung erhielt von der Ablesefirma eine Gesamtkostenaufstellung und erstellte auf dieser Basis Einzelabrechnungen für die Bewohner. Die (nunmehrigen) Eigentümer wendeten sich zunächst an die Schlichtungsstelle und anschließend (erfolglos) an die ordentlichen Gerichte, weil sie die Abrechnungen als fehlerhaft ansahen. In der Folge brachten sie innerhalb von 50 Monaten insgesamt 19 Datenschutzbeschwerden gegen die Hausverwaltung bei der DSB ein und gaben an, dass ihre personenbezogenen Daten über einen Zeitraum von rund 15 Jahren ohne Rechtsgrundlage und ohne Einwilligung verwendet wurden, um Verbrauchswerte hochzurechnen und falsche Abrechnungen zu erstellen. Die DSB lehnte die Behandlung der letzten Datenschutzbeschwerde ab und begründete dies mit einer exzessiven und rechtsmissbräuchlichen Inanspruchnahme ihrer Tätigkeit. Dagegen erhoben die Eigentümer eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Bei offenkundig unbegründeten oder exzessiven Datenschutzbeschwerden darf die DSB eine Gebühr verlangen oder sich weigern, tätig zu werden (Art 57 Abs 4 DSGVO). Datenschutzbeschwerden können jedoch nicht allein aufgrund ihrer Zahl als exzessiv eingestuft werden. Die DSB muss das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen.

Eine Missbrauchsabsicht liegt vor, wenn Datenschutzbeschwerden eingereicht werden, ohne dass dies objektiv erforderlich ist, um die Rechte aus der DSGVO zu schützen. Im Streitfall hat eine einzelfallbasierte Abwägung zwischen dem Rechtsschutzinteresse des Betroffenen sowie dem Interesse an Ressourcenschonung der DSB zu erfolgen. Bei einer durchschnittlichen Einbringung einer einzelnen Datenschutzbeschwerde alle zwei bis drei Monate kann nicht von einer übermäßigen Ausübung des Beschwerderechts ausgegangen werden. Auch der Umstand, dass die Datenschutzbeschwerden sich wiederholt gegen den gleichen Verantwortlichen richten, führt isoliert betrachtet nicht bereits zur Exzessivität iSd Art 57 Abs 4 DSGVO. Es ist offensichtlich, dass die Eigentümer nicht wahllos Datenschutzbeschwerden erhoben haben. Weiters ist die erstmalige Geltendmachung von Betroffenenrechten kein unlauteres Motiv. Die Eigentümer verfolgen mit ihren Datenschutzbeschwerden nachvollziehbar den Schutz ihrer Rechte aus der DSGVO.

·      Bei grenzüberschreitenden Verarbeitungen ist ein sogenanntes Kohärenzverfahren durchzuführen. Dabei wird eine federführende Aufsichtsbehörde bestimmt, die für die Verfahrensführung zuständig ist. Während des Kohärenzverfahrens ist die sechsmonatige Entscheidungsfrist der DSB gehemmt. Die Durchführung des Kohärenzverfahrens liegt nicht im Ermessen der DSB. Daher wird das Kohärenzverfahren bei Vorliegen der gesetzlichen Voraussetzungen automatisch beim Einbringen der Datenschutzbeschwerde in Gang gesetzt. Die Entscheidungsfrist wird daher bereits beim Einbringen der Datenschutzbeschwerde gehemmt (BVwG 29.04.2025, W101 2308679-1). Anm: Diese Entscheidung folgt der ständigen Rechtsprechung des BVwG.

·      Wird eine Datenschutzbeschwerde von der DSB nicht bearbeitet, steht den Betroffenen gem Art 78 Abs 2 DSGVO eine Untätigkeitsklage zur Verfügung. Nach dem nationalen Recht ist dafür die Säumnisbeschwerde vorgesehen. In einem grenzüberschreitenden Sachverhalt ist die Untätigkeitsklage bzw Säumnisbeschwerde jedoch gegen die federführende Aufsichtsbehörde zu richten, weil diese für die Entscheidung zuständig ist (Kohärenzverfahren). Die Frist für die Entscheidung der DSB ist während der federführenden Zuständigkeit der ausländischen Aufsichtsbehörde gehemmt. Die Untätigkeit der DSB kann allerdings in einer Verletzung der Unterrichtungspflicht über den Stand des Verfahrens sowie im Nichtweiterleiten der Datenschutzbeschwerde an die zuständige (federführende) Aufsichtsbehörde bestehen. Holt die DSB diesen Verfahrensschritt nach und leitet sie die Datenschutzbeschwerde via der IT-Kooperationsplattform "Internal Market Information System" an die zuständige Aufsichtsbehörde weiter, liegt die Säumnis aber nicht mehr vor (BVwG 23.04.05.2025, W605 2307742-1). Anm: Das BVwG weicht in dieser Entscheidung von seiner oben angeführten Rechtsprechung ab, wonach die Durchführung eines Kohärenzverfahrens beim Einbringen einer Datenschutzbeschwerde automatisch in Gang gesetzt wird und damit die Entscheidungspflicht der DSB sogleich gehemmt ist.

·      Identität der Sache ist dann gegeben, wenn sich der für die Entscheidung maßgebende Sachverhalt, der dem rechtskräftigen Vorbescheid zugrunde lag, nicht geändert hat (res iudicata). Weist die DSB eine Datenschutzbeschwerde ohne inhaltliche Auseinandersetzung wegen Präklusion zurück, steht dieser zurückweisende Vorbescheid einer neuerlichen Behandlung derselben Datenschutzbeschwerde jedoch nicht entgegen, weil keine inhaltliche Auseinandersetzung mit dem Parteianbringen stattgefunden hat. Die Datenschutzbeschwerde ist daher erneut wegen Präklusion zurückzuweisen (BVwG 24.04.2025, W298 2309933-1).

·      Der Betroffene beantragte die Berichtigung der Daten zu seiner Geschlechtsidentität von "unbekannt" auf "divers". Der Verantwortliche ersetzte sein vormaliges Kundenverwaltungssystem während des laufenden Verfahrens durch eine neue Buchungsplattform, in der keine Daten zur Geschlechtsidentität verarbeitet werden. Dadurch wurde zwar streng genommen dem Ersuchen des Betroffenen nicht iSd § 24 Abs 6 DSG entsprochen, der Verantwortliche verarbeitet aber auch keine Daten mehr, die der Geschlechtsidentität des Betroffenen widersprechen und somit unrichtig sind. Die Feststellung einer vergangenen Verletzung des Rechts auf Berichtigung ist nicht vorgesehen (BVwG 23.04.2024, W605 2283487-1).

·      Die Datenschutzbeschwerde wurde von der DSB aufgrund inhaltlicher Mängel und unterlassener Verbesserung zurückgewiesen. In der dagegen gerichteten Bescheidbeschwerde führte der Betroffene nur aus, dass er mit dem Zurückweisungsbescheid der DSB unzufrieden sei und diesen beeinspruche. Eine so ausgeführte Bescheidbeschwerde ist mangelhaft. Folgt der Betroffene auch dem Verbesserungsauftrag des BVwG nicht, ist die Bescheidbeschwerde zurückzuweisen (BVwG 02.05.2025, W256 2275267-1).

·      Die Vollständigkeit der erteilten Auskunft während des laufenden Verfahrens ist nicht zu prüfen, wenn Gegenstand des Verfahrens nur das Nichterteilen der Auskunft war. Ein Recht auf die Feststellung einer allfälligen Verspätung der Auskunftserteilung besteht nicht, weil der Betroffene durch Erhalt der Auskunft sein Rechtsschutzziel erreicht hat (BVwG 06.05.2025, W256 2307865-1).

·      Am 02.07.2025 wurde die "Delegierte Verordnung (EU) 2025/532 der Kommission vom 24. März 2025 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Präzisierung der Aspekte, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss", ABl L 2025/532, veröffentlicht. Mit dieser delegierten Verordnung wird die Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) durch technische Regulierungsstandards bei der Untervergabe von IKT-Dienstleistungen ergänzt.

·      Am 02.07.2025 wurden Art 13 Abs 8 und Art 64 Abs 10 der Cyberresilienz-VO (EU) 2024/2847 in der deutschen Fassung redaktionell berichtigt, ABl L 2025/90555.

·      Am 01.07.2025 erließ die Kommission den Entwurf für eine "Delegierte Verordnung über den Zugang zu Daten gemäß dem Gesetz über digitale Dienste (DSA)", C(2025) 4340 final. Mit diesem Rechtsakt wird das DSA-Datenzugangsportal eingerichtet, über das geprüfte Forscher auf bestimmte Daten zugreifen können, die von sehr großen Online-Plattformen (VLOPs) und Suchmaschinen (VLOSEs) verarbeitet werden.

·      Am 01.07.2025 wurde das "Bundesgesetz, mit dem das Universitätsgesetz 2002 und das Bildungsdokumentationsgesetz 2020 geändert werden", BGBl I 2025/28, kundgemacht. Geschaffen wurden die Rechtsgrundlagen für die Weiterentwicklung des Datenverbundes der Universitäten und Hochschulen (DVUH) und des Austrian Higher Education Systems Networks (AHESN), sowie für die Etablierung eines Studierendenregisters und die Bereitstellung des digitalen Studierendenausweises. Der Register- und Systemverbund (RSV) wird bei der Bundesrechenzentrum GmbH (BRZ) angebunden.

·      Am 30.06.2025 veröffentlichte die DSB ihren Leitfaden zum Informationsfreiheitsgesetz. Die DSB informiert darin über das Verhältnis zwischen dem Datenschutzrecht und der Informationsfreiheit und bettet ihre erläuternden Überlegungen in den Gesamtkontext des IFG sowie der Bundesverfassung ein.

·      Die Überwachung und Beschränkung des Briefverkehrs von einem Häftling, der Anführer eines Mafia-Clans ist, ist im Lichte des Art 8 EMRK grundsätzlich zulässig, sofern sie auf einer gesetzlichen Grundlage beruht, einem legitimen Ziel dient und verhältnismäßig ist. Wird die Beschränkung verlängert, muss das Gericht die konkreten Umstände des Einzelfalls berücksichtigen und die Gründe für die Verlängerung nachvollziehbar darlegen. Eine bloße Bezugnahme auf einen Ministerialerlass, der eine generelle Verlängerung zulässt, oder auf die allgemeinen Ermittlungsakten des Häftlings reichen nicht aus. Fehlt es in der gerichtlichen Entscheidung an konkreten Hinweisen, die die Beschränkung rechtfertigen, liegt eine Verletzung des Rechts auf Achtung des Privat- und Familienlebens gemäß Art 8 EMRK vor (EGMR 10.07.2025, 64753/14, Gulotti/Italien).

·      Ein Eingriff in das Recht auf Achtung des Privat- und Familienlebens gemäß Art 8 EMRK ist gerechtfertigt, wenn er im Einklang mit dem Gesetz erfolgt, legitime Ziele verfolgt und notwendig ist. Da eine Hausdurchsuchung ein schwerwiegender Eingriff in das Privatleben ist, muss sie auf besonders präzisen Gesetzen beruhen. Darüber hinaus muss ein wirksames Rechtsmittel zur Verfügung stehen, um die Rechtmäßigkeit der Durchsuchung überprüfen zu lassen. Nach ukrainischem Recht sind Hausdurchsuchungen in dringenden Fällen auch ohne vorherigen richterlichen Beschluss zulässig. Den Betroffenen steht jedoch keine Möglichkeit offen, einen Durchsuchungsbefehl anzufechten, unabhängig davon, ob dieser zuvor erlassen oder die Durchsuchung nachträglich genehmigt wurde. Mangels wirksamer Rechtsbehelfe liegt daher eine Verletzung von Art 8 iVm Art 13 EMRK vor (EGMR 10.07.2025, 2599/16, Korniyets/Ukraine).

EuGH 10.07.2025, C-367/24, Telekom România

Internetzugangsdienst, Netzneutralität, Videostreaming

·      Der EuGH hat aufgrund eines Vorabentscheidungsersuchens über die Vereinbarkeit einer von einem Internetzugangsdienst angebotenen Tarifoption mit der Verordnung (EU) 2015/2120 (Netzneutralitäts-VO) entschieden. Die Tarifoption ermöglichte es Endkunden, Videostreamingdienste unbegrenzt zu nutzen, ohne dass das für diese Streamingdienste verbrauchte Datenvolumen auf das im Grundtarif enthaltene Datenvolumen angerechnet wurde. Gleichzeitig wurde die Bandbreite für Videostreaming auf 1,5 Mbps begrenzt, während für andere Verkehrskategorien eine deutlich höhere Geschwindigkeit (150 Mbps) zur Verfügung stand. Die rumänische Regulierungsbehörde beanstandete diese Praxis als Verstoß gegen die unionsrechtlichen Vorgaben zur Gleichbehandlung des Datenverkehrs.

Nach Art 1 Abs 3 Netzneutralitäts-VO haben Anbieter von Internetzugangsdiensten den gesamten Verkehr bei der Erbringung von Internetzugangsdiensten ohne Diskriminierung, Beschränkung oder Störung, sowie unabhängig von Sender und Empfänger, den abgerufenen oder verbreiteten Inhalten, den genutzten oder bereitgestellten Anwendungen oder Diensten oder den verwendeten Endgeräten gleich zu behandeln. Das vorlegende Gericht legte dem EuGH eine Frage zur Auslegung der Gleichbehandlungsvorschrift der Verordnung vor.

Der EuGH hat erwogen: Die Anbieter von Internetzugangsdiensten müssen den gesamten Datenverkehr gleich, ohne Diskriminierung, Beschränkung oder Störung behandeln. Diese Verpflichtung besteht nicht nur darin, dass Anbieter von Internetzugangsdiensten keine Maßnahmen ergreifen dürfen, die eine Diskriminierung zwischen unterschiedlichen Wirtschaftsteilnehmern bewirken, die Inhalte bereitstellen. Sie besteht auch darin, sicherzustellen, dass sämtliche Inhalte sowie sämtliche genutzte oder zur Verfügung gestellte Anwendungen oder Dienste gleich behandelt werden.

Eine Differenzierung der Bandbreite für Videostreaming gegenüber anderen Verkehrskategorien ist eine unzulässige Ungleichbehandlung der verschiedenen Wirtschaftsteilnehmer. Die Möglichkeit, angemessene Verkehrsmanagementmaßnahmen des Datenverkehrs zu ergreifen, besteht nur, wenn diese auf objektiv unterschiedlichen technischen Anforderungen an die Dienstqualität und nicht auf kommerziellen Erwägungen beruhen.

Die Begrenzung der Bandbreite für Videostreams dient kommerziellen Zwecken und nicht technischen Notwendigkeiten. Die Maßnahme ist nicht auf einen erforderlichen Zeitraum beschränkt und fällt nicht unter die Ausnahmen, einer gesetzlichen Verpflichtung zu entsprechen, oder die Integrität oder Sicherheit des Netzes zu verhindern (Netzüberlastung). Die Tarifoption verstößt daher gegen die in Art 3 Abs 3 Netzneutralitäts-VO normierte Pflicht zur Gleichbehandlung des Datenverkehrs.

VwGH 05.06.2025, Ra 2024/04/0008

AMS, Beschwerdegegner, Verantwortlicher

·      Eine Arbeitslose erachtete sich in ihrem Recht auf Geheimhaltung verletzt, weil das Arbeitsmarktservice (AMS) personenbezogene Daten, ua Gesundheitsdaten, auch in Zeiträumen verarbeite, in denen kein aufrechtes Betreuungsverhältnis bestand. Aufgrund dessen erhob sie Datenschutzbeschwerde gegen das Arbeitsmarktservice Wien (AMS W). Die Arbeitslose bezeichnete die Regionalstelle als Beschwerdegegnerin, dennoch qualifizierte die DSB das AMS als Verantwortlichen und damit als Beschwerdegegner, weil nur dieses – und nicht das AMS W – Rechtspersönlichkeit habe. Da die Datenverarbeitung rechtmäßig erfolgt sei, wies die DSB die Datenschutzbeschwerde ab. Daraufhin erhob die Arbeitslose Bescheidbeschwerde an das BVwG. Dieses behob den Bescheid der DSB, weil dieser an das AMS und nicht an die Regionalstelle AMS W gerichtet war. Gegen dieses Erkenntnis richtete sich die erfolgreiche außerordentliche Revision des AMS.

Der VwGH hat erwogen: Das aufgrund einer Datenschutzbeschwerde geführte Verfahren ist antragsgebunden. Grundsätzlich liegt die Benennung des Beschwerdegegners in der Disposition des Antragstellers. Wenn die Benennung unzumutbar ist, hat die DSB den Beschwerdegegner durch Auslegung bzw eigene Ermittlungen zu bestimmen (§ 24 Abs 2 Z 2 DSG). Die DSB ist von einer Unzumutbarkeit der Benennung des Beschwerdegegners durch die Arbeitslose ausgegangen. Weiters hat die Arbeitslose in ihrer Bescheidbeschwerde selbst von einer rechtswidrigen Verarbeitung ihrer Daten durch das AMS gesprochen. Sie wendete sich nicht dagegen, dass die DSB das Verfahren gegen das AMS führte. Die Arbeitslose brachte somit nicht unmissverständlich zum Ausdruck, dass sich ihre Datenschutzbeschwerde nicht zumindest auch gegen das AMS richten sollte.

Die ersatzlose Behebung des Bescheids der DSB durch das BVwG war rechtswidrig. Die gegen das AMS gerichtete Erledigung der DSB lag nicht außerhalb der Sache des durch die Datenschutzbeschwerde begründeten Verfahrens. Eine Auseinandersetzung mit der möglichen Stellung des AMS als (gemeinsamer) Verantwortlicher gemäß Art 4 Z 7 DSGVO für die Datenverarbeitung ist unterblieben.

Aus der Verantwortlicheneigenschaft der Stellung des AMS W folgt nicht automatisch die fehlende Eigenschaft des AMS als Verantwortlicher. § 25 AMSG enthält keine explizite Benennung des AMS als datenschutzrechtlich Verantwortlicher hinsichtlich der Datenverarbeitung. Die Übertragung von Aufgaben und die Ermächtigung zur Verarbeitung damit zusammenhängender Daten kann eine Stellung als Verantwortlicher begründen. Diese Stellung könnte sich – abhängig von den dazu im fortgesetzten Verfahren zu treffenden Feststellungen zur Rolle bzw zum Beitrag des AMS – auch auf die Datenverarbeitungen erstrecken.

·      In einem Kohärenzverfahren hielt das BVwG über eine Säumnisbeschwerde fest, dass die Säumnis der DSB auch im Nichtweiterleiten der Datenschutzbeschwerde an die federführende Aufsichtsbehörde bestehen kann. Die Datenschutzbeschwerde sei in der Zwischenzeit jedoch von der DSB an die federführende Aufsichtsbehörde weitergeleitet worden, weshalb die Säumnisbeschwerde zurückzuweisen war. Die gegen diesen Beschluss des BVwG erhobene Amtsrevision der DSB ist zurückzuweisen, weil durch die Zurückweisung der Säumnisbeschwerde das Rechtsschutzinteresse der DSB auch dann weggefallen ist, wenn die DSB eine andere Begründung des BVwG-Beschlusses bevorzugt hätte (VwGH 17.06.2025, Ra 2025/04/0146).

·      Die Bestimmung des § 4 Abs 4 KontRegG ist eine spezialgesetzliche Ausformung des höchstpersönlichen datenschutzrechtlichen Auskunftsrechts. Betroffene iSd KontRegG sind auch Unternehmer. Der zu Lebzeiten bestandene Auskunftsanspruch des Rechtsvorgängers geht auf den Rechtsnachfolger (Erben) jedoch nicht über. Auch auf die Verlassenschaft geht der Rechtsanspruch nicht über. Es liegt im rechtspolitischen Gestaltungsspielraum des Gesetzgebers, wenn er Auskünfte aus dem Kontenregister nicht auch zur leichteren Durchsetzbarkeit erbrechtlicher Ansprüche vorsieht. Entsprechende Anregungen der Notariatskammer im Gesetzgebungsprozess griff der Gesetzgeber nicht auf (VwGH 28.05.2025, Ro 2025/13/0001; 28.05.2025, Ro 2024/13/0022).

·      Das auf Art 15 Abs 1 und Abs 3 gestützte Auskunftsersuchen dient auch dann einem legitimen Zweck, wenn es darauf abzielt, Beweismaterial für eine spätere Prozessführung zu besorgen. Ein Rechtsmissbrauch ist selbst bei einem ausschließlich datenschutzfremden Zweck nicht evident. Die Rechtsposition der Beklagten wird zudem nicht geschwächt, weil der Kläger auch im Wege eines Rechnungslegungsbegehrens gemäß Art XLII EGZPO eine entsprechende Auskunft erzwingen könnte. Auch besteht kein "Geheimnis" der Beklagten, weil der Kläger nur Daten aus einer gemeinsamen Geschäftsverbindung begehrt. Das behauptete Motiv des Klägers, seine erlittenen Spielverluste zurückfordern zu wollen, ist nicht unlauter (OLG Wien 20.03.2025, 1R22/25z).

BVwG 08.05.2025, W274 2264017-1

Vollstreckung, ausländische Geldbuße, Inkasso

·      Ein Betroffener erhielt ein Schreiben eines österreichischen Inkassounternehmens zur Eintreibung einer von einer italienischen Behörde verhängten Verkehrsstrafe. Der Betroffene antwortete, dass die Verwaltungsübertretung nicht nachvollziehbar sei und keine Zahlung geleistet werde. Ferner ersuchte er um Löschung seiner Daten im Zusammenhang mit dem Inkassovorgang. Es handle sich um eine Strafe nach dem EU-Verwaltungsstrafvollstreckungsgesetz (EU-VStVG), weshalb eine Vollstreckung von Geldstrafen durch private Inkassounternehmen nicht in Betracht komme. Das Inkassounternehmen verweigerte die Löschung. Die Zuhilfenahme privater Dienstleister bei der Einmahnung offener Bußgeldforderungen sei zulässig. Die Datenverarbeitung stütze sich auf das berechtigte Interesse der italienischen Strafbehörde.

Aufgrund der Datenschutzbeschwerde des Betroffenen stellte die DSB eine Verletzung im Recht auf Geheimhaltung fest. Die Vorgehensweise zur Eintreibung ausländischer Verwaltungsstrafen erfolge nach dem EU-VStVG. Die Datenverarbeitung durch ein privatwirtschaftliches Inkassounternehmen könne durch keinen Erlaubnistatbestand des Art 6 DSGVO gerechtfertigt werden. Dagegen erhob das Inkassounternehmen (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Das EU-VStVG ermöglicht auf einfache Weise die Vollstreckung von ausländischen Verwaltungsentscheidungen samt der Verpflichtung zur Zahlung einer Geldbuße im Wege des Verwaltungsvollstreckungsgesetzes (VVG) zu bewirken. Schon aus dem Legalitätsprinzip (Art 18 Abs 1 B-VG) folgt, dass eine Bezirksverwaltungsbehörde kein Inkassobüro zur Betreibung von Geldstrafen einschalten darf, sondern die gesetzlich vorgesehenen Mittel der Eintreibung nutzen muss. Nach dem erkennbaren Willen des Gesetzgebers sollen daher keine "außerbehördlichen" Betreibungen von hoheitlich verhängten Geldstrafen stattfinden. Zur Wahrung der berechtigten Interessen der italienischen Strafbehörde war es daher nicht erforderlich, ein privates Inkassounternehmen zu beauftragen. Die Verarbeitung strafrechtlich relevanter Daten durch Private kommt nur ausnahmsweise unter den gesetzlich vorgesehenen Bedingungen in Frage. Eine solche Zulässigkeit war hier zu verneinen.

BVwG 06.05.2025, W252 2271318-1

CAPTCHA, Zuständigkeit, Barrierefreiheit

·      Ein Websitebetreiber nutzte einen CAPTCHA-Dienst, der Cookies ohne Einwilligung setzte, um sich vor Spam zu schützen, als Schutz vor Überlastungsangriffen ([D]DoS-Attacken) und um die Website barrierefrei zu gestalten. Das Setzen der Cookies sei technisch notwendig, weil sonst ein Zugriff auf die Website unmöglich sei. Die Cookies erhoben die IP-Adressen, Nutzer-Identifikations-Nummern sowie Browserdaten. Ein Websitenutzer erachtete sich durch das Setzen der Cookies in seinem Recht auf Geheimhaltung verletzt und brachte Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde statt. Dagegen erhob der Websitebetreiber (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO gilt für die Verarbeitung personenbezogener Daten, die nicht von der RL 2002/58/EG (ePrivacyRL, umgesetzt mit dem TKG) umfasst sind. Die DSGVO ist lex generalis für Sachverhalte, die nicht in der ePrivacyRL und dem TKG als lex spezialis eigens geregelt sind. Für die Einhaltung des TKG ist gemäß § 191 ff TKG die Fernmeldebehörde, das Fernmeldebüro bzw die RTR-GmbH, nicht aber die DSB zuständig.

Fällt ein Sachverhalt unter beide Rechtsakte, sind die konkreten Verarbeitungsvorgänge zu identifizieren und den jeweiligen Bestimmungen zuzuordnen. Die DSB kann in Ausübung ihrer Zuständigkeit nach der DSGVO Bestimmungen des TKG nicht durchsetzen. Sie kann aber vor oder nachfolgende Verarbeitungen, für die keine spezielle Vorschrift nach der ePrivacyRL bzw dem TKG bestehet, aufgreifen. Im Fall des CAPTCHA-Cookies sind die Token-Weitergabe, Risikoanalyse, Rückmeldung des Scores und daraus folgende Reaktionen Verarbeitungsvorgänge, die unter die DSGVO fallen.

Ein nachgelagerter Verarbeitungsvorgang kann nur rechtmäßig iSd DSGVO sein, wenn die Voraussetzungen des § 165 TKG erfüllt sind. Die Erfüllung der Voraussetzungen des TKG ist von der DSB als Vorfrage gemäß § 38 AVG nach eigener Anschauung zu beurteilen.

Die Speicherung und der Zugriff auf Informationen im Endgerät eines Teilnehmers oder Nutzers verlangt entweder eine Einwilligung oder ist nur erlaubt, wenn sie unbedingt erforderlich ist. Unbedingt erforderlich ist der Zugriff/die Speicherung, um einen vom Teilnehmer ausdrücklich gewünschten Dienst zur Verfügung stellen zu können. Dabei handelt es sich um eine technisch-funktionale Erforderlichkeit. Entscheidend ist, ob sich der ausdrücklich gewünschte Dienst auch mit weniger eingriffsintensiven Mitteln bereitstellen lässt, die technisch unbedingt notwendig sind.

Der Websitebetreiber hätte auf einen datenschutzfreundlicheren CAPTCHA-Dienst zurückgreifen können. Ein barrierefreier Modus lässt sich alternativ über einen Umschalt-Button aktivieren. Da die betroffene Person keine barrierefreie Version benötigte, war der Einsatz des Cookies nicht unbedingt erforderlich. Die Verarbeitung war daher ohne Einwilligung unzulässig. Anm: Man könnte auch zum gegenteiligen Ergebnis gelangen. Der Einsatz des Umschalt-Buttons würde nämlich bedeuten, dass bei Nutzung dieses Buttons auf eine wahrscheinliche Behinderung (Gesundheitsdatum) des Nutzers geschlossen werden könnte. Da ohne Umschalt-Button diese Unterscheidung zwischen Nutzern nicht möglich ist, verstieße der Websitebetreiber gegen den Grundsatz der Datenminimierung. Überhaupt ist eine Rechtsprechung, die von Websitebetreibern verlangt, zwischen grundsätzlich geeigneten Diensten noch weiter zu differenzieren, kritisch zu sehen.

BVwG 06.05.2025, W252 2293098-1

Staatsanwaltschaft, Akteneinsicht, Beschränkung

·      Strafrechtlich Beschuldigte erhoben Datenschutzbeschwerde, weil im Zusammenhang mit einer durch andere Beschuldigte erfolgten Akteneinsicht in den Ermittlungsakt der Staatsanwaltschaft auch ihre ungeschwärzten personenbezogenen Daten offengelegt wurden. Die Datenschutzbeschwerde wurde von der DSB mit der Begründung abgewiesen, dass einem Beschuldigten in einem Strafverfahren grundsätzlich das Recht auf Akteneinsicht zukomme. Eine Einschränkung bzw Verweigerung dieses Rechts sei im konkreten Fall nicht gerechtfertigt. Die Bescheidbeschwerde der Beschuldigten an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Bei der Gewährung von Akteneinsicht durch die Staatsanwaltschaft liegt eine Verarbeitung personenbezogener Daten im Anwendungsbereich der Richtlinie (EU) 2016/680 (DSRL) vor. Die Umsetzung der DSRL erfolgte im 4. Abschnitt des 2. Hauptstückes sowie im 3. Hauptstück des DSG. Die DSGVO ist nicht anwendbar.

Da die Staatsanwaltschaften keine unabhängigen Justizbehörden bzw Gerichte iSd Art 45 Abs 2 DSRL sind, ist die DSB für die Überprüfung von Datenverarbeitungen durch die Staatsanwaltschaften zuständig.

Die Staatsanwaltschaft darf gemäß § 74 Abs 1 erster Satz StPO im Rahmen ihrer Aufgaben die hierfür erforderlichen personenbezogenen Daten verarbeiten. Die einschlägigen materienspezifischen Regelungen zu Datenverarbeitungen gehen als leges speciales den allgemeinen Regelungen des 3. Hauptstücks des DSG vor. Die Regelungen der StPO über Akteneinsicht oder Verständigungspflichten sind als derartige leges speciales anzusehen.

Die zulässigen Beschränkungen der Akteneinsicht bei Beschuldigten sind abschließend in § 51 Abs 2 StPO geregelt. Eine Beschränkung ist demnach insbesondere nur insoweit zulässig, als aufgrund bestimmter Tatsachen zu befürchten ist, dass ein Zeuge oder ein Dritter durch die Kenntniserlangung des Beschuldigten von aktenmäßig festgehaltenen, somit nach § 53 Abs 1 StPO zugänglichen, personenbezogenen Daten und anderen Umständen (auch Textzusammenhängen), die Rückschlüsse auf die Identität oder die höchstpersönlichen Lebensumstände gefährdeter Personen zulassen, einer ernsten Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit ausgesetzt würde.

Da die Beschuldigten keine Umstände vorbrachten, weshalb sie durch die Offenlegung einer solchen Gefahr ausgesetzt wären und diesbezügliche Anhaltspunkte auch sonst nicht hervorkamen, war kein Umstand ersichtlich, der eine Beschränkung der Akteneinsicht rechtfertigen würde. Die Offenlegung war daher rechtmäßig.

BVwG 07.05.2025, W176 2273922-1

Gerichtsverfahren, Rechtsanspruch, berechtigtes Interesse

·      Eine Exfrau führte einen Prozess über Detektivkosten gegen die neue Partnerin ihres Exmannes und beantragte Verfahrenshilfe. Dabei legte sie persönliche und wirtschaftliche Informationen offen, darunter Angaben zu ihrer psychischen Gesundheit. Die neue Partnerin leitete diese Unterlagen sowie einen Detektivbericht, der anlässlich des Scheidungsverfahrens erstellt wurde, per E-Mail an den Exmann weiter, um die Vermögensverhältnisse der Exfrau zu prüfen und gegebenenfalls eine Erschleichung der Verfahrenshilfe aufzudecken. Die Exfrau erachtete sich in ihrem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde. Diese wurde in Bezug auf die Weitergabe des Detektivberichts abgewiesen. Hinsichtlich der Weiterleitung des Verfahrenshilfeantrags an den Exmann gab die DSB der Datenschutzbeschwerde teilweise statt. Es wäre ausreichend gewesen, eine Abklärung hinsichtlich der Vermögensverhältnisse anhand der sich im Bewilligungsbeschluss befindlichen Daten vorzunehmen. Die neue Partnerin erhob Bescheidbeschwerde an das BVwG. Dieses gab der Bescheidbeschwerde Folge, hob den angefochtenen Bescheid im angefochtenen Umfang auf und verwies die Angelegenheit zur Erlassung eines neuen Bescheids an die DSB zurück. Der VwGH hob diesen Beschluss wegen Rechtswidrigkeit auf, weil das BVwG von der Rechtsprechung des VwGH zum Vorliegen der Voraussetzungen für eine Zurückverweisung abgewichen sei. Das BVwG gab der Bescheidbeschwerde daraufhin Folge und änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde der Exfrau auch hinsichtlich der Weiterleitung des Verfahrenshilfeantrags abgewiesen wird.

Das BVwG hat erwogen: Die DSGVO ist anwendbar, weil die Datenweitergabe nicht ausschließlich persönlichen oder familiären Zwecken diente, sondern zur Unterstützung eines Scheidungsverfahrens und zur Beweissicherung erfolgte. Somit fiel die Datenverarbeitung nicht unter die Haushaltsausnahme.

Die Prüfung der Angaben zur Erhebung von Rechtsmitteln ist ein berechtigtes Interesse. Werden besondere Kategorien von Daten iSd Art 9 Abs 1 DSGVO verarbeitet, muss ein Erlaubnistatbestand des Art 9 Abs 2 DSGVO vorliegen. Art 9 verdrängt nicht Art 6 DSGVO, sondern formuliert erhöhte Rechtmäßigkeitsvoraussetzungen. Art 9 Abs 2 lit f DSGVO ist ein Sonderfall des allgemeinen Erlaubnistatbestands des berechtigten Interesses. Dadurch wird dem Recht des Einzelnen auf die effektive Rechtsdurchsetzung Vorrang vor den Interessen betroffener Personen am Schutz ihrer Daten eingeräumt, andernfalls der Einzelne an der Durchsetzung seiner Rechte und die Justiz an der Wahrnehmung ihrer Aufgaben gehindert wäre. Die Erforderlichkeit ist aus einer ex-ante-Sicht zu beurteilen, woraus sich ein gewisser Beurteilungsspielraum ergibt.

Im (gerichtlichen) Verfahren ist für eine erfolgreiche Prozessführung bzw Rechtsdurchsetzung oder -verteidigung die Vorlage von Beweismitteln erforderlich. Es liegt in der Natur der Sache, dass zur effektiven und zielführenden Prozessführung Daten der Gegenpartei verarbeitet werden (müssen). Die Übermittlung des Verfahrenshilfeantrags samt der darin enthaltenen personenbezogenen Daten an den Exmann, der die Angaben überprüfen konnte und dem diese auch bereits bekannt waren, war jedenfalls denkmöglich zur Verteidigung in einem Rechtsstreit und somit zur Verteidigung eines Rechtsanspruchs geeignet, zumal die Ermittlung der nötigen Beweismittel und deren Anbieten grundsätzlich den Verfahrensparteien obliegt.

Für die Beurteilung der Rechtmäßigkeit der Datenverarbeitung zur Durchsetzung zivilrechtlicher Ansprüche kommt es auch nicht darauf an, ob sich ex post herausstellt, dass die Datenverarbeitung im Prozess nicht zum Erfolg gereicht hat, sondern lediglich darauf, ob die vorgelegten Unterlagen ex ante denkmöglich als Beweismittel geeignet waren. Gelindere Mittel sind nicht ersichtlich. Eine Übermittlung bloß des Gerichtsbeschlusses, in dem über die Verfahrenshilfe abgesprochen wurde, wäre nicht ausreichend gewesen, weil darin nicht alle Angaben enthalten waren, die zur Beurteilung, ob die beantragte Verfahrenshilfe der Exfrau auch zusteht, notwendig sind.

Da die Daten dem Exmann bereits bekannt waren, ist das Geheimhaltungsinteresse der Exfrau nur gering. Die Interessenabwägung fällt daher zugunsten der neuen Partnerin aus. Der Eingriff in das Recht auf Datenschutz der Exfrau ist verhältnismäßig. Die Beschränkung des Geheimhaltungsanspruchs der Exfrau ist zur Wahrung überwiegender berechtigter Interessen der neuen Partnerin gemäß Art 6 Abs 1 lit f und Art 9 Abs 2 lit f DSGVO gerechtfertigt und damit zulässig. Auch der Grundsatz der Datenminimierung wurde eingehalten, weil nur solche Daten übermittelt wurden, die zur Zielerreichung nötig waren.

·      Ein Betroffener verlangte die Herausgabe eines Passworts von einem Unternehmer, der dieses Passwort nicht hatte und auch nicht mit legalen Mitteln erlangen konnte. Daraufhin leitete der Unternehmer die E-Mail-Adresse des Betroffenen zu den Zwecken der Kundenzufriedenheit und der Passwortherausgabe an jenen Dritten weiter, der das Passwort hatte und dem Betroffenen bereitstellen konnte. Da dem Unternehmer kein gelinderes Mittel zur Verfügung stand und die Weiterleitung der E-Mail-Adresse zur Herausgabe des Passworts erforderlich war, verstieß der Unternehmer nicht gegen den Grundsatz der Datenminimierung. Die Datenweitergabe war rechtmäßig (BVwG 08.05.2025, W274 2257892-1).

·      Behebt die DSB einen Zurückweisungsbescheid, weil einem Mangelbehebungsauftrag – anders als ursprünglich angenommen – rechtzeitig entsprochen wurde, entfällt die Beschwer des Betroffenen. Da somit kein objektives Rechtsschutzinteresse des Betroffenen vorliegt, ist die Bescheidbeschwerde an das BVwG zurückzuweisen (BVwG 12.05.2025, W292 2311008-1).

·      Hat der Bescheid der DSB dem Antrag des Betroffenen vollinhaltlich entsprochen, ist die Bescheidbeschwerde an das BVwG mangels Beschwer zurückzuweisen (BVwG 08.05.2025, W292 2310611-1).

·      Wird die Bescheidbeschwerde an das BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 02.05.2025, W292 2285392-1; 02.05.2025, W292 2285923-1).

·      Am 10.07.2025 wurde der "KI-Verhaltenskodex für allgemeine Zwecke" veröffentlicht. Der Verhaltenskodex ist in die drei Kapitel Sicherheit und Gefahrenabwehr, Transparenz und Urheberrecht unterteilt. Der Verhaltenskodex wurde von unabhängigen Experten ausgearbeitet und wird in den folgenden Wochen von den Mitgliedstaaten und der Europäischen Kommission auf ihre Angemessenheit bewertet werden.

EuG 16.07.2025, T-183/23, Ballmann/EDSA

EDSA, Aktenzugang, Kohärenzverfahren

·      Eine Nutzerin reichte eine Datenschutzbeschwerde bei der DSB gegen (damals Facebook und nunmehr) Meta ein. Die DSB leitete die Datenschutzbeschwerde an die irische Aufsichtsbehörde weiter, weil sie der Ansicht war, dass diese als federführende Aufsichtsbehörde zuständig war. Die irische Aufsichtsbehörde legte den Aufsichtsbehörden der anderen Mitgliedstaaten des EWR-Raumes einen Beschlussentwurf vor, gegen den mehrere Aufsichtsbehörden begründeten Einspruch erhoben.

Dieser Beschlussentwurf wurde der Nutzerin von der irischen Aufsichtsbehörde übermittelt. Anschließend kam es jedoch zu einer Meinungsverschiedenheit zwischen der Nutzerin und der irischen Aufsichtsbehörde. Die Nutzerin erhielt daher weder Zugang zu den Einsprüchen der anderen Aufsichtsbehörden noch zur Stellungnahme von Meta.

Die irische Aufsichtsbehörde leitete das Kohärenzverfahren ein, damit der Europäische Datenschutzausschuss (EDSA) zu den Einsprüchen Stellung nehme, woraufhin die Nutzerin Akteneinsicht vom EDSA verlangte. Der EDSA teilte der Nutzerin daraufhin mit, dass Akteneinsicht nur jenen Parteien gewährt wird, die vom verbindlichen Beschluss des EDSA nachteilig betroffen sein könnten. Die Nutzerin könne von diesem Beschluss nicht nachteilig betroffen werden, weshalb ihr keine Akteneinsicht gewährt wird. Im anschließend erlassenen verbindlichen Beschluss 3/2022 bekräftigte der EDSA erneut, dass der Nutzerin kein Parteiengehör und kein Aktenzugang zu gewähren war.

Nachdem die Nutzerin erneut Aktenzugang verlangte, wurden ihr zwar begründete Einsprüche einzelner Aufsichtsbehörden, aber nicht der gesamte Akteninhalt zur Verfügung gestellt. Der EDSA entschied, der Nutzerin keinen vollständigen Aktenzugang zu gewähren. Gegen diese Entscheidung des EDSA richtete sich die erfolgreiche Klage der Nutzerin.

Das EuG hat erwogen: Strittig zwischen den Parteien ist, ob Aktenzugang nur einer Person zu gewähren ist, die von einem Verfahren nachteilig betroffen ist, oder jeder Person, die von einem Verfahren betroffen ist. Die Nutzerin stellte ihren Antrag auf Aktenzugang, nachdem die Verfahren vor dem EDSA und der irischen Aufsichtsbehörde abgeschlossen waren. Ihr ging es somit nicht um das Parteiengehör, sondern um die Informationen im Akt.

Das Recht auf Parteiengehör gemäß Art 41 Abs 2 lit a GRC ist zwar tatsächlich auf Verfahren beschränkt, in welchen die Person nachteilig betroffen sein kann. Das Recht auf Aktenzugang gemäß Art 41 Abs 2 lit b GRC ist jedoch nicht in derselben Weise beschränkt und kann über das Recht auf Parteiengehör hinausgehen. Jede Person hat daher ein Recht auf Zugang zu den sie betreffenden Akten, auch wenn sie durch die Entscheidung in diesem Verfahren nicht nachteilig betroffen sein kann.

Zu prüfen ist daher, ob die Nutzerin durch den Akt betroffen war. Der EDSA ist im Kohärenzverfahren ein Vermittler, der Meinungsverschiedenheiten zwischen der federführenden Aufsichtsbehörde und beteiligten Aufsichtsbehörden beilegt. Der Verfasser einer Datenschutzbeschwerde ist förmlich keine Partei des Verfahrens vor dem EDSA. Die Datenschutzbeschwerde spielt im Verfahren vor dem EDSA jedoch eine wesentliche Rolle, weil der EDSA bei seiner Entscheidung die Tatsachen und Argumente in der Datenschutzbeschwerde zumindest berücksichtigt. Dementsprechend bezog sich der EDSA in seinem verbindlichen Beschluss 3/2022 mehrfach auf die Datenschutzbeschwerde und auch auf die Nutzerin. Der Akt des EDSA zur Vorbereitung des Erlasses des verbindlichen Beschlusses 3/2022 betrifft somit die Nutzerin. Ihr ist daher Aktenzugang zu gewähren.

·      Die Auslegung eines Auskunftsersuchens ist keine Rechtsfrage von grundsätzlicher Bedeutung und ist somit nicht revisibel, soweit nicht aufgezeigt wird, dass weitere Ermittlungen zur Festlegung des Inhalts des Auskunftsersuchens erforderlich gewesen wären (VwGH 25.06.2025, Ra 2024/12/0115).

OLG Linz 10.04.2025, 1R32/25v

Videoüberwachung, § 12 DSG, Überwachungsdruck

·      Ein Kommunikationsnetzbetreiber montierte auf einem Grundstück eine Überwachungskamera. Der Geschäftsführer des Unternehmens war zugleich Eigentümer der Liegenschaft. Die Kamera diente der Überwachung des Gebäudes und der E-Ladestation, erfasste jedoch auch öffentliche Verkehrsflächen sowie den Bereich vor dem Lieferanteneingang eines benachbarten Geschäftsgebäudes. Dieses stand im Eigentum einer GmbH. Deren Geschäftsführer sowie die GmbH begehrten die Beseitigung der Kamera sowie die Unterlassung der Überwachung. Das LG Salzburg stellte fest, dass ein Eingriff in die Privatsphäre vorliege, weil die Kamera den Bereich bis knapp vor die Hausmauer der GmbH wie auch den Bereich vor dem Lieferanteneingang und öffentlich zugängliche Orte filme. Diese unterlägen nicht dem Hausrecht des Grundstücks-eigentümers. Dagegen erhob der Kommunikationsnetzbetreiber (erfolglos) Berufung an das OLG Linz.

Das OLG Linz hat erwogen: Die Bestimmung des § 12 DSG regelt die Zulässigkeitserfordernisse für eine Bildaufnahme. In § 12 Abs 3 DSG wird die Interessenabwägung bereits auf gesetzlicher Ebene für "quasi massenhaft auftretende Fallkonstellationen" vorgenommen. Von den dort normierten Tatbeständen kommt jener des § 12 Abs 3 Z 1 DSG (vorbeugender Schutz von Personen oder Sachen auf privaten Liegenschaften) schon deshalb nicht in Betracht, weil der überwiegend durch die Kamera überwachte Bereich nicht Schutzziel ist und zum Großteil Flächen umfasst, die als öffentliche Verkehrsflächen genutzt werden.

Eine schwerwiegende Beeinträchtigung der Privatsphäre liegt bereits dann vor, wenn sich die Person durch die Überwachungsmaßnahme einer Videokamera kontrolliert fühlen musste. Dabei ist auf den Überwachungsdruck abzustellen, den der Überwachte empfindet.

Der Aufnahmebereich der Kamera geht über den Nahbereich der E-Ladestation hinaus. Der Kommunikationsnetzbetreiber hat kein berechtigtes Interesse daran, zu erfahren, wann und wie oft Lieferanten oder sonstige Nutzer die Liegenschaft über den Lieferanteneingang der GmbH betreten oder verlassen. Anm: Hinsichtlich der §§ 12 und 13 DSG (Bildverarbeitung, insb Videoüberwachung) besteht eine Judikaturdivergenz zwischen den Rechtsprechungen im Zivil- und Verwaltungsrechtsweg. Die DSB und das BVwG lassen diese Bestimmungen wegen (vermeintlichem) Vorrang des Unionsrechts unangewendet. Die Zivilgerichte wenden diese Bestimmungen an.

OLG Wien 27.01.2025, 16R43/24x

Auskunft, Rechtsmissbrauch, Prozessposition

·      Eine Spielerin war Kundin eines Online-Glücksspielunternehmens, welches über keine österreichische Glücksspielkonzession verfügte. Das Glücksspielunternehmen bot ihre Website auf deutscher Sprache an und die Website war in Österreich abrufbar. Nach Löschung ihres Accounts stellte die Spielerin ein schriftliches Auskunftsersuchen an das Glücksspielunternehmen und verlangte eine richtige und vollständige Aufstellung ihrer sämtlichen Gewinne und Verluste, die sie auf der Website erzielt oder erlitten hatte. Nachdem das Glücksspielunternehmen dem Ersuchen nicht vollständig nachkam, brachte sie eine Auskunftsklage ein und begehrte eine Kopie sämtlicher ihrer Daten. Gegen das dem Klagebegehren stattgebende Urteil des Erstgerichts legte das Glücksspielunternehmen eine (erfolglose) Berufung beim OLG Wien ein. Das Glücksspielunternehmen argumentierte, das Auskunftsersuchen sei rechtsmissbräuchlich, weil die Spielerin damit bloß ein Beweismittel für einen Zivilprozess gegen das Unternehmen erlangen wolle.

Das OLG Wien hat erwogen: Der Zweck des Auskunftsrechts liegt darin, in Erfahrung zu bringen, ob und welche Daten der Verantwortliche über die Betroffene verarbeitet und ob dies rechtmäßig geschieht. Das Auskunftsrecht steht unter keinen Voraussetzungen und muss nicht mit einem Rechtsschutzinteresse begründet werden. Der Verantwortliche darf das Motiv des Auskunftsersuchens nicht prüfen. Rechtsmissbrauch liegt nur vor, wenn zwischen den verfolgten eigenen Interessen und den beeinträchtigten Interessen des anderen ein krasses Missverhältnis besteht. Es muss der Schädigungszweck bzw das unlautere Motiv der Rechtsausübung im Vordergrund stehen.

Die Geltendmachung von erlittenen Spielverlusten durch einen Kläger ist weder ein unlauteres Verhalten noch tritt das Auskunftsrecht hinter ein allenfalls berechtigtes Geheimhaltungsinteresse des Beklagten zurück. Eine Auskunftspflicht besteht auch dann, wenn das Auskunftsersuchen keinem der in ErwGr 63 DSGVO genannten Zwecke (Überprüfung der Rechtmäßigkeit, Bewusstsein der Verarbeitung) dient. Die Auskunftserteilung kann nicht bloß deshalb abgelehnt werden, weil damit primär die Beweismittelbeschaffung beabsichtigt wird. Ein Auskunftsersuchen ist auch nicht offenkundig unbegründet oder rechtsmissbräuchlich, wenn damit datenschutzfremde Ziele verfolgt werden.

Auch lässt sich kein Schädigungszweck erkennen. Das Einklagen von einem allfälligen Saldo ist ein legitimes Interesse der Spielerin. Ein berechtigtes Geheimhaltungsinteresse gemäß § 4 Abs 6 DSG iVm Art 15 Abs 4 DSGVO aufgrund der durch die Informationsherausgabe drohenden Schwächung ihrer Prozessposition (gemeint in einem zukünftigen Leistungsverfahren wegen Glücksspielverlusten) kommt dem Glücksspielunternehmen nicht zu. Denn die Spielerin ersucht um die Herausgabe von Daten aus gemeinsamen Geschäftsbeziehungen, sodass kein Geheimnis des Glücksspielunternehmens gegenüber der Klägerin besteht. Das Glücksspielunternehmen kann die Auskunft nicht mit dem Argument verweigern, die Daten seien nach Löschung des Accounts für die Klägerin "geheim".

BVwG 16.05.2025, W296 2310875-1

Datenzugriff, Amtsmissbrauch, Verjährung

·      Ein Beamter griff ohne dienstliche Veranlassung 19-mal auf seine eigenen Steuerdaten und die Steuerdaten seiner Mutter zu. Wegen anderer dienstrechtlicher Verstöße waren bereits ein Disziplinarverfahren bei der Bundesdisziplinarbehörde (BDB) und ein Ermittlungsverfahren wegen des Verdachts des Amtsmissbrauchs und Abgabenhinterziehung bei der Staatsanwaltschaft (StA) anhängig. Erst durch den im Ermittlungsverfahren der StA erstellten Bericht erlangte die Disziplinarbehörde Kenntnis von den 19 Zugriffen. Aufgrund der Anzeige der Disziplinarbehörde leitete die Bundesdisziplinarbehörde mit Nachtragseinleitungsbeschluss ein weiteres Disziplinarverfahren gegen den Beamten ein. Da der Beamte die Vorwürfe als verjährt erachtete, brachte er gegen den Beschluss erfolgreiche Bescheidbeschwerde an das BVwG ein, welches den Beschluss ersatzlos behob und das Disziplinarverfahren wegen Verjährung einstellte.

Das BVwG hat erwogen: Die Verjährung einer Dienstpflichtverletzung ist gemäß § 94 Abs 2 BDG unter anderem gehemmt, wenn der der Dienstpflichtverletzung zugrundeliegende Sachverhalt bei einem Verwaltungsgericht oder einem Strafverfahren nach der StPO anhängig ist. Ist eine Straftat im Zeitpunkt der Einstellung des Ermittlungsverfahrens der StA nicht bekannt, so ist sie nicht Gegenstand des strafgerichtlichen Ermittlungsverfahrens.

Eine Verjährung gemäß § 94 Abs 1 Z 3 BDG tritt nicht ein, wenn ein fortgesetztes Delikt vorliegt. Diesfalls beginnt die Verjährungsfrist von drei Jahren nach Beendigung der Dienstpflichtverletzung, somit nach der letzten Abfrage, zu laufen. Ein fortgesetztes Delikt liegt nach der Judikatur vor, wenn mehrere gesetzwidrige Einzelhandlungen mit gleichartiger Begehungsweise und vergleichbaren äußeren Begleitumständen innerhalb eines erkennbaren zeitlichen Zusammenhangs begangen werden. Diese müssen durch einen vorab gefassten Gesamtvorsatz zu einer Bewertungseinheit verbunden sein.

Der Gesamtvorsatz muss sich auf die sukzessive Verwirklichung eines in groben Zügen feststehenden Gesamtziels richten. Ein allgemeines Motiv, zB bei jeder Gelegenheit gleichartige strafbare Handlungen zu begehen, ist kein Gesamtvorsatz.

Die übrigen Voraussetzungen für ein fortgesetztes Delikt lagen zwar vor, ein Gesamtvorsatz konnte jedoch nicht festgestellt werden. Daher liegt kein fortgesetztes Delikt vor, weshalb Verjährung eingetreten ist.

BVwG 13.05.2025, W258 2224654-1

Obsorge, Verwaltungshandeln, Personenstand

·      Ein Vater erachtete sich durch ein Stadtmagistrat in seinem Recht auf Geheimhaltung verletzt. Die Abteilung Gesundheitswesen habe ab dem Jahr 2011 personenbezogene Daten über ihn in mehreren Akten unzulässig verarbeitet, innerhalb des Stadtmagistrats weitergegeben und seinem früheren Arbeitgeber kommuniziert. Auch seien ein Bescheidentwurf und ein Schriftsatz der Magistratsabteilung an den Bürgermeister weitergeleitet worden.

Der Vater monierte weiters die Weitergabe (i) seiner Daten an den stellvertretenden Abteilungsleiter und an eine Mitarbeiterin der Abteilung Gesundheitswesen, (ii) des Beschlusses zur gerichtlichen Feststellung seiner Vaterschaft durch das Standesamt des Stadtmagistrats an die zuständige italienische Konsularbehörde, (iii) seiner Daten an ein Bundesland zur Einholung einer Rechtsauskunft über die Geburtsbeurkundung seines Sohnes sowie (iv) seiner Daten an seine frühere Allgemeinmedizinerin.

Die Datenschutzbeschwerde wurde neben dem Vater auch im Namen des minderjährigen Sohnes eingebracht. Die DSB wies die Datenschutzbeschwerde hinsichtlich des Vaters ab und hinsichtlich des Sohnes mangels Vertretungsvollmacht zurück. Daraufhin erhob der Vater eine (teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Datenverarbeitungen der Abteilung Gesundheitswesen des Stadtmagistrats waren durch § 34a Abs 1 lit m iVm lit a und l Rehabilitationsgesetz gerechtfertigt. Ein Verstoß gegen § 6 Abs 1 Z 4 DSG 2000 lag nicht vor, weil die verwendeten Daten im Hinblick auf den Verwendungszweck sachlich richtig waren.

Die Beauftragung des stellvertretenden Abteilungsleiters durch die Leiterin der Magistratsabteilung und die Information der betroffenen Mitarbeiterin über die Vorwürfe waren nicht rechtswidrig. Diese Verarbeitung war durch das öffentliche Interesse am Funktionieren der Verwaltung gedeckt.

Die Vorlage von Entwürfen an den Bürgermeister zur Unterzeichnung ist gemäß Art 6 Abs 1 lit e DSGVO iVm §§ 6 und 13 AVG zulässig. Es bestand ein öffentliches Interesse an der Bearbeitung des Anbringens des Vaters sowie an der verwaltungsgerichtlichen Vertretung der Stadt.

Die Übermittlung von Personenstandsurkunden durch das Standesamt an die Konsularabteilung der Italienischen Botschaft in Wien war gemäß § 52 Abs 1 Z 2 Personenstandsgesetz 2013 gerechtfertigt. Der Beschluss zur gerichtlichen Feststellung der Vaterschaft war für die Vervollständigung des Personenstandsregisters erforderlich.

Die Übermittlung eines Anbringens an das Bundesland zur Einholung einer Rechtsauskunft war gemäß § 64 Personenstandsgesetz 2013 sowie § 6 Abs 1 Z 3 DSG 2000 zulässig. Keine oder eine anonymisierte Übermittlung wäre nicht ausreichend gewesen.

Die Weitergabe personenbezogener Daten an die frühere Allgemeinmedizinerin des Vaters ist eine Übermittlung iSd § 4 Z 12 DSG 2000. Die Ärztin hat die betreffenden Informationen aus eigener Wahrnehmung in ihrer Funktion als Amtsärztin des Stadtmagistrats dokumentiert. Die Protokollierung diente der Nachvollziehbarkeit des Verwaltungshandelns und war gemäß § 8 Abs 1 Z 4 iVm Abs 3 Z 1 DSG 2000 gerechtfertigt. Zweck und Inhalt der Übermittlung bezogen sich auf die Feststellung einer möglichen Befangenheit im Rahmen eines bestehenden Behandlungsverhältnisses.

Nur die Weitergabe von Informationen an den früheren Arbeitgeber war rechtswidrig. Damit verletzte der Magistrat den Grundsatz der Datenminimierung (Art 5 Abs 1 lit c DSGVO), weil der Zweck auch mit einer Nachfrage beim Vater erreicht worden wäre.

Prozessunfähige können rechtswirksam nur durch ihren gesetzlichen Vertreter handeln. Anträge sind daher entweder vom gesetzlichen Vertreter einzubringen oder zu genehmigen. Dem Vater steht die Obsorge für seinen minderjährigen Sohn nicht zu. Er legte trotz des von der DSB erteilten Mängelbehebungsauftrags gemäß § 9 Abs 3 AVG keine Genehmigung der Kindesmutter zur Verfahrensführung vor. Die Zurückweisung hinsichtlich des minderjährigen Sohnes erfolgte somit zu Recht.

·      Der Betroffene soll das Auskunftsrecht gemäß Art 15 DSGVO "problemlos" und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Die DSGVO verlangt für das Auskunftsersuchen keine bestimmte Form, sodass der Antrag grundsätzlich mündlich oder schriftlich gestellt werden kann. Wird die Eigenschaft als Betroffene verneint, besteht jedoch keine Rechtsgrundlage für die DSB, einen Bescheid gegen den Verantwortlichen zu erlassen (BVwG 09.05.2025, W291 2301858-1).

·      Ein Ermittlungsverfahren, in dem (i) zu prüfen ist, ob eine Auskunftspflicht in internen Personalsachen besteht, (ii) zu ermitteln ist, ob und inwieweit auskunftshindernde Gründe (wie Verschwiegenheitspflichten, Datenschutz etc) bestehen und (iii) eine Interessenabwägung vorzunehmen ist, ist so aufwändig, dass der verpflichteten Behörde ein unverhältnismäßiger Nachteil droht, wenn erst im Revisionsverfahren zu klären wäre, ob ein solches Verfahren überhaupt durchzuführen ist. Die gesetzlichen Voraussetzungen für die Zuerkennung der aufschiebenden Wirkung liegen daher vor (BVwG 08.05.2025, W171 2251246-1 bzw W287 2251246-1). Anm: In der Evidenzstelle des BVwG dürften derzeit Unstimmigkeiten vorliegen. Immer wieder werden Entscheidungen im RIS unter einer anderen Geschäftszahl veröffentlicht als in der Entscheidung selbst angegeben. Zur besseren Auffindbarkeit zitieren wir daher die im RIS angeführten Geschäftszahlen.

·      Die datenschutzrechtliche Kontrolle des BVwG bei der Ausübung von Parteienrechten greift in die justizielle Tätigkeit des BVwG ein. Für die Behandlung einer Beschwerde wegen einer behaupteten Rechtswidrigkeit der Datenverarbeitung durch das BVwG ist die DSB daher unzuständig. Für Beschwerden wegen Verletzung der Unterrichtungspflicht ist kein Kostenersatz vorgesehen. Jede Partei hat im Verwaltungsverfahren ihre eigenen Kosten zu tragen (BVwG 06.05.2025, W298 2309832-1).

·      Exekutivbeamte der Polizei haben Zugriffsberechtigungen auf alle relevanten polizeilichen Datenbanken, wie das PAD, E-KIS und das Zentrale Melderegister (ZMR). Die Mitarbeiter der Polizei haben zur Erfüllung ihrer Aufgaben umfangreiche Berechtigungen. Ohne dienstlichen Grund sind sie jedoch nicht berechtigt, in das ZMR Einsicht zu nehmen. Die Befriedigung eines privaten Informationsbedürfnisses berechtigt weder die Verwendung der dienstlichen IT-Ressourcen, noch die Abfrage von Daten aus dem Melderegister (BDB 07.05.2025, 2024-0.832.779).

·      Die Polizeibehörden dürfen Anfragen im internen Aktenverwaltungssystem der Polizei (PAD) ausschließlich im Zusammenhang mit der Erfüllung der dienstlichen Aufgaben durchführen. Ein Missbrauch liegt immer dann vor, wenn eine Abfrage ohne dienstliche Gründe erfolgt. Durch die gesetz- und erlasswidrige PAD-Abfrage wird unberechtigt auf Datenbanken des BMI zugegriffen (BDB 29.04.2025, 2025-0.175.429).

·      Am 18.07.2025 ist der "Durchführungsbeschluss (EU) 2025/1382 der Kommission vom 15. Juli 2025 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten durch die Europäische Patentorganisation", ABl L 2025/1382, kundgemacht worden. Neben der Übermittlung personenbezogener Daten in Drittländer bedarf auch die Übermittlung personenbezogener Daten an internationale Organisationen besonderer Garantien. Die höchste Rechtssicherheit unter den möglichen Garantien bieten die Angemessenheitsbeschlüsse der Europäischen Kommission. Während die Kommission für über ein Dutzend Drittstaaten entsprechende Angemessenheitsbeschlüsse erlassen hat, ist die Europäische Patentorganisation die erste internationale Organisation, die in den Genuss eines solchen Beschlusses kommt.

·      Am 16.07.2025 ist die "Durchführungsverordnung (EU) 2025/1410 der Kommission vom 9. Juli 2025 über das Format, das Muster und die technischen Spezifikationen der Kennzeichnungen und Transparenzbekanntmachungen politischer Anzeigen gemäß den Artikeln 11 und 12 der Verordnung (EU) 2024/900 des Europäischen Parlaments und des Rates", ABl L 2025/1410, kundgemacht worden. Mit dieser DurchführungsVO werden technische Spezifikationen für die Kennzeichnung und Transparenzbekanntmachung von politischen Anzeigen festgelegt. Besondere Anforderungen sind für (i) Anzeigen im Fernsehen und Radio, (ii) Printmedien und (iii) digitale Medien vorgesehen.

·      Am 18.07.2025 ist die "Durchführungsverordnung (EU) 2025/1420 der Kommission vom 17. Juli 2025 mit Durchführungsbestimmungen zur Verordnung (EU) 2024/903 des Europäischen Parlaments und des Rates hinsichtlich der Einrichtung und des Betriebs von Interoperabilitäts-Reallaboren", ABl L 2025/1420, kundgemacht worden. Die "Verordnung (EU) 2024/903 für ein interoperables Europa" zielt auf die Stärkung der grenzüberschreitenden Interoperabilität von Netz- und Informationssystemen ab, die für die Erbringung oder Verwaltung öffentlicher Dienste in der Union verwendet werden. Mit der nunmehrigen DurchführungsVO wurde die Rechtsgrundlage für die Einrichtung und den Betrieb von Interoperabilitäts-Reallaboren geschaffen.

·      Am 17.07.2025 ist das Burgenländische Informationsfreiheits-Anpassungsgesetz, LGBl 2025/58, kundgemacht worden. Mit dieser Sammelnovelle werden über 30 burgenländische Gesetze an das neue Grundrecht auf Information, das mit all seinen Einschränkungen die ehemalige Amtsverschwiegenheit ablöst, angepasst. Das neue Grundrecht auf Information bzw auf Zugang zu Informationen wird ab 01.09.2025 verfassungsgesetzlich gewährleistet.

·      Am 15.07.2025 ist das Kärntner Informationsfreiheits-Anpassungsgesetz, LGBl 2025/47, kundgemacht worden. Mit dieser Sammelnovelle werden die Kärntner Landesverfassung und über 50 Kärntener Landesgesetze an das neue Grundrecht auf Information angepasst.

OGH 03.07.2025, 6Ob113/24x

Marketingklassifikationen, kein Schadenersatz ohne Schaden

·      Ein Rechtsanwalt erachtete sich durch einen Adressverlag in seiner Rechtssphäre beeinträchtigt. Der Adressverlag verarbeitete Daten über bestimmte Affinitäten des Rechtsanwalts (Bioaffinität, Nachtschwärmer, Heimwerkereigenschaft, Lebensphase, Investment-Affinität, Distanzhandels-Affinität und Kinderlosigkeit). Bei fünf dieser Zuordnungen entsprach die Einstufung der Realität; es wurde jedoch nicht festgestellt, bei welchen. Der Rechtsanwalt sah in der Verarbeitung der zutreffenden Affinitäten eine deutliche Beeinträchtigung seiner Rechtssphäre, in der Verarbeitung der unzutreffenden Affinitäten nur eine geringe. Er begehrte dafür Schadenersatz wegen unrechtmäßiger Datenverarbeitung. Das Erstgericht (LG Wels) wies die Klage ab, weil die Erheblichkeitsschwelle nicht erreicht sei. Das Berufungsgericht (OLG Linz) bestätigte dieses Urteil. Es hielt weiters fest, dass überhaupt kein Schaden vorliege. Daraufhin erhob der Rechtsanwalt (erfolglos) Revision an den OGH.

Der OGH hat erwogen: Die Affinitäten sind Marketinginformationen und -klassifikationen iSd § 151 Abs 6 GewO. Diese unterliegen der DSGVO, auch wenn sie aus statistischen Wahrscheinlichkeiten errechnet werden und insofern (nur) eine Wahrscheinlichkeitsaussage über bestimmte Interessen des Rechtsanwalts enthalten.

Der bloße Verstoß gegen die DSGVO reicht jedoch nicht aus, um einen Schadenersatzanspruch gemäß Art 82 DSGVO zu begründen. Erforderlich sind das i) Vorliegen eines materiellen oder immateriellen Schadens, ein ii) Verstoß gegen die DSGVO sowie ein iii) Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Der Anspruch auf Ersatz eines immateriellen Schadens darf nicht von einem bestimmten Erheblichkeitsgrad des Schadens abhängig gemacht werden. Weiters hat der Schadenersatzanspruch nach Art 82 DSGVO keine Straf- oder Abschreckungs-, sondern nur eine Ausgleichsfunktion.

Ein immaterieller Schaden liegt nicht vor. Die Reaktion des Rechtsanwalts beschränkte sich auf das Erkennen und die rechtliche Qualifikation als Verstoß gegen die DSGVO. Ein eingetretener Schaden kann aus den Feststellungen nicht abgeleitet werden.

OGH 03.07.2025, 6Ob53/25z

Recht am eigenen Wort, Tonbandaufnahme, Beweismittel

·      Ein Vater wollte alle Telefonate mit seiner Ex-Frau aufzeichnen, um die Ausübung seines Kontaktrechts mit der gemeinsamen Tochter im Streitfall beweisen zu können. Die Ex-Frau brachte gegen diese Vorgehensweise eine Unterlassungsklage ein und beantragte eine einstweilige Verfügung beim Bezirksgericht. Sowohl das Bezirksgericht als auch die Berufungsinstanz wiesen das Begehren ab. Mit Revisionsrekurs wandte sich die Ex-Frau erfolglos an den OGH.

Der OGH hat erwogen: Abgeleitet aus § 16 ABGB besteht analog zum Recht am eigenen Bild auch ein Recht am eigenen Wort. Dieses umfasst die Privatheit der Person und ihrer nicht für die Öffentlichkeit bestimmten Äußerungen. Tonbandaufnahmen von Besprechungen und Telefongesprächen ohne Zustimmung sind grundsätzlich rechtswidrig. Die Prüfung der Verletzung des Rechts auf Achtung der Privatsphäre erfolgt jedoch durch eine einzelfallbezogene Interessenabwägung. Das Anfertigen von Bild- oder Tonaufnahmen zur Erlangung von Beweismitteln für ein behördliches Verfahren kann zulässig sein.

Das Recht, Telefonaufnahmen als Beweismittel anzufertigen, ist im konkreten Fall höher zu bewerten als das Recht der Ex-Frau, nicht aufgenommen zu werden. Dies insb deshalb, weil die Ex-Frau einen Großteil der Kommunikation über WhatsApp vornahm.

Ob ein Unterlassungsanspruch auch ohne Geltendmachung des Rechts auf Löschung etwa mangels Rechtfertigung der Datenverarbeitung ausgeübt werden kann, muss nicht geklärt werden. Denn der Revisionsrekurs hat zwar eine Interessenabwägung iSd berechtigten Interesses nach Art 6 Abs 1 lit f DSGVO angeführt, aber nicht dargelegt, inwieweit das Geheimhaltungsinteresse der Ex-Frau das Interesse an der Aufnahme des Telefonats zu Beweiszwecken überwiegen würde.

·      In der DSGVO ist die Doppelgleisigkeit des Rechtsschutzes vorgesehen. Betroffene können daher sowohl verwaltungsbehördlichen als auch gerichtlichen Rechtsschutz in Anspruch nehmen. Aufgrund des Vorrangs des Unionsrechts geht die Doppelgleisigkeit des Rechtsschutzes dem aus Art 94 Abs 1 B-VG abgeleiteten Verbot von Parallelzuständigkeiten vor. Adressat des gerichtlichen Rechtsbehelfs nach Art 79 DSGVO ist ein Verantwortlicher oder ein Auftragsverarbeiter. Verantwortlicher kann auch eine Behörde sein. Als Behörde ist jede Stelle zu verstehen, die öffentliche Verwaltungstätigkeiten im Außenverhältnis zum Bürger wahrnimmt. Ein mit behördlichen Aufgaben beliehenes Unternehmen, das hoheitliche Tätigkeiten ausübt und mit Bescheid entscheidet, ist eine Behörde. Dem Gesetzgeber steht es trotz der Doppelgleisigkeit des Rechtsschutzes frei, den Rechtsschutz gegen die Handlungen und Unterlassungen einer Behörde – ausgenommen Ansprüche nach dem Amtshaftungsgesetz (AHG) – dem BVwG zu überantworten, denn das BVwG ist ein Gericht iSd Unionsrechts. Es steht daher im Einklang mit dem Unionsrecht, wenn der Gesetzgeber – abseits vom AHG – den ordentlichen Rechtsweg gegen Behörden ausschließt. Ein auf Datenschutz gestützter Unterlassungsanspruch kann gegen eine Behörde auf dem ordentlichen Rechtsweg nicht geltend gemacht werden (OGH 03.07.2025, 6Ob62/25y).

BVwG 06.05.2025, W271 2303184-1; 07.05.2025, W282 2303188-1; 08.05.2025, W179 2303090-1

Cold Calling, Geldstrafe, Rechtsauskunft

·      Betroffene erhielten wiederholt Werbeanrufe von einer Telefonnummer, die einem Unternehmen zugeordnet werden konnte, welches Matratzen und Bettdecken vertreibt. Die Anrufe erfolgten von einer Telefonnummer, die im Internet als Quelle von Spamanrufen bekannt ist. Das Unternehmen betrieb Direktmarketing, indem es zu Werbezwecken eine große Kundendatenbank anrief und Matratzen bzw Bettdecken anbot. Der Geschäftsführer des Unternehmens bestritt die Verantwortung für die Anrufe. Nachdem mehrere Anzeigen beim zuständigen Fernmeldebüro einlangten, wurden gegen den Geschäftsführer des Unternehmens mehrere Straferkenntnisse wegen Cold Calling (§ 174 Abs 1 iVm § 188 Abs 6 Z 9 TKG 2021) erlassen. Zudem wurde jeweils die Solidarhaftung des Unternehmens ausgesprochen. Dagegen erhoben das Unternehmen und dessen Geschäftsführer mehrere Bescheidbeschwerden an das BVwG. Das BVwG wies alle Bescheidbeschwerden ab und verpflichtete den Geschäftsführer zusätzlich, je 20% der verhängten Strafe als Verfahrenskostenbeitrag zu leisten.

Das BVwG hat erwogen: Für die Einhaltung der Verwaltungsvorschriften durch eine juristische Person ist der nach außen vertretungsbefugte Geschäftsführer verantwortlich, sofern keine verantwortlichen Beauftragten bestellt sind. § 174 Abs 1 TKG 2021 verbietet Anrufe zu Werbezwecken ohne vorherige Einwilligung des Betroffenen (Cold Calling). Der Begriff der Werbung ist weit auszulegen und erfasst jede Äußerung, die den Absatz von Waren oder die Erbringung von Dienstleistungen fördert. Bereits der erstmalige Kontakt zur Einholung einer Einwilligung für spätere Werbeanrufe ist Werbung. Das bloße Ansprechen bezüglich der Produkte des Unternehmens gegenüber dem Betroffenen ist daher als Werbung zu qualifizieren.

Damit ein Werbeanruf zulässig ist, bedarf er einer Einwilligung. Dabei wird die Begriffsbestimmung des Art 4 Z 11 DSGVO herangezogen, wonach die Betroffene freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung zu erkennen geben muss, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Die Einwilligung muss ausdrücklich oder konkludent, eindeutig und unzweifelhaft vorliegen.

Die bloße Veröffentlichung einer Telefonnummer im Internet oder in Telefonbüchern ist keine Einwilligung zum Erhalt von Werbeanrufen. Der Betroffene hat keine Einwilligung erteilt, sondern das Unternehmen vielmehr darum gebeten, die Werbeanrufe zu unterlassen. Das Verbot des § 174 Abs 1 TKG 2021 schützt alle Empfänger von Werbeanrufen unabhängig davon, ob sie Verbraucher oder Unternehmer sind.

Für eine Strafbarkeit nach § 174 Abs 1 TKG 2021 genügt bereits Fahrlässigkeit. Der Geschäftsführer hat dafür zu sorgen, dass die gesetzlichen Vorgaben eingehalten werden. Er muss ein Kontrollsystem einrichten, Weisungen erteilen und die Einhaltung laufend kontrollieren. Dem Geschäftsführer wäre es ohne Weiteres zumutbar gewesen, vor den Werbeanrufen beim Fernmeldebüro eine Rechtsauskunft über deren Zulässigkeit einzuholen. Die einschlägigen Vorstrafen des Geschäftsführers und das Geschäftsmodell des Unternehmens sprechen für zumindest bedingten Vorsatz. Die vom Fernmeldebüro verhängte Geldstrafe ist daher schuld- und tatangemessen.

·      Die Zurückziehung der Säumnisbeschwerde führt zum Erlöschen des Erledigungsanspruchs. Wird die Säumnisbeschwerde zurückgezogen, bevor das BVwG entschieden hat, ist das Verfahren mit Beschluss einzustellen (BVwG 20.05.2025, W256 2310929-1).

·      Wird von den Parteien auf die Revision beim VwGH und die Beschwerde beim VfGH verzichtet oder wird die Ausfolgung der Niederschrift nicht beantragt, kann das Erkenntnis des BVwG in gekürzter Form ausgefertigt werden. Das datenschutzrechtliche Verwaltungsstrafverfahren wird gemäß § 41 Abs 1 VStG eingestellt (BVwG 09.05.2025, W605 2285459-1 bzw W605 22985459-1).

·      Für die Refundierung der Eingabengebühren nach § 2 BuLVwG-EGebV ist entscheidend, ob dem Antragsteller in den zugrunde liegenden Verfahren vor dem BVwG (zB gegen Bescheide der DSB) oder vor dem LVwG Verfahrenshilfe gewährt wurde. Liegt keine Bewilligung der Verfahrenshilfe vor, entsteht die Gebührenschuld für die Eingaben gemäß § 1 Abs 2 BuLVwG-EGebV im Zeitpunkt der Einbringung der Bescheidbeschwerde und wird mit diesem Zeitpunkt fällig. Kommt der Antragsteller trotz Aufforderung nicht dem Ersuchen um Nachweis der Bewilligung der Verfahrenshilfe nach, kann nicht von einer Gebührenbefreiung oder Refundierung ausgegangen werden. Ohne Bewilligung der Verfahrenshilfe besteht kein Anspruch auf Befreiung von Gerichtsgebühren und anderen bundesgesetzlich geregelten staatlichen Gebühren (BFG 27.06.2025, RV/3100085/2025).

·      Am 24.07.2025 ist von der Europäischen Kommission die "Erläuterung und Vorlage für die öffentliche Zusammenfassung von Schulungsinhalten für KI-Modelle mit allgemeinem Verwendungszweck" veröffentlicht worden. Gemäß Art 53 Abs 1 lit d KI-VO haben Anbieter von KI-Modellen mit allgemeinem Verwendungszweck eine detaillierte Zusammenfassung der für das Training des KI-Modells mit allgemeinem Verwendungszweck verwendeten Inhalte zu erstellen und zu veröffentlichen. Dabei haben sie sich an die vom Büro für Künstliche Intelligenz – das bei der Kommission angesiedelt ist – bereitgestellte Vorlage zu halten. Diese Vorlage hat die Kommission nunmehr samt Erläuterungen bereitgestellt. KI-Modelle mit allgemeinem Verwendungszweck werden in Anwendungen wie ChatGPT, Microsoft Copilot und Google Gemini verwendet. Die Bestimmung des Art 53 Abs 1 lit d KI-VO gilt ab dem 02.08.2025.

·      Am 23.07.2025 wurde das Datenzugangsgesetz, BGBl I 2025/33, kundgemacht. Mit diesem Gesetz wird die Verordnung (EU) 2022/868, besser bekannt als Data Governance Act (DGA), in innerstaatliches Recht durchgeführt. Das DGA regelt insb die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind. Einer Umsetzung ins innerstaatliche Recht bedarf es nicht, weil es eine EU-Verordnung ist. Im Datenzugangsgesetz wird der Bundeskanzler als zuständige Behörde für die Registrierung von datenaltruistischen Organisationen sowie als zentrale Informationsstelle festgelegt. Weiters enthält das Gesetz datenschutzrechtliche Rollenzuweisungen, Strafbestimmungen und eine Gebührenbefreiung. Das Haftungsmodell für die Strafbarkeit juristischer Personen ist dem Haftungsmodell des Verbandsverantwortlichkeitsgesetzes nachgebildet.

·      Am 24.07.2025 wurde das Informationsfreiheits-Anpassungsgesetz, BGBl I 2025/50, kundgemacht. Mit dieser Sammelnovelle werden 138 Bundesgesetze, darunter die Verwaltungsverfahrensgesetze, dem neuen Grundrecht auf Information und dem Informationsfreiheitsgesetz (IFG) angepasst. Das neue Grundrecht auf Information bzw auf Zugang zu Informationen wird ab 01.09.2025 verfassungsgesetzlich gewährleistet.

·      Am 23.07.2025 wurde ein "Bundesgesetz, mit dem das Bankwesengesetz geändert wird", BGBl I 2025/37, kundgemacht. Mit dieser Novelle wird die Regelung des Bankgeheimnisses dem Grundrecht auf Information und dem IFG angepasst.

·      Am 24.07.2025 wurde ein "Bundesgesetz, mit dem das Informationsordnungsgesetz und das Parlamentsmitarbeiterinnen- und Parlamentsmitarbeitergesetz geändert werden", BGBl I 2025/42, kundgemacht. Das InfOG regelt den Umgang mit klassifizierten und nicht-öffentlichen Informationen durch den Nationalrat und den Bundesrat. Das ParlMG regelt die Beschäftigung parlamentarischer Mitarbeiter. Beide Gesetze wurden in Hinblick auf das neue Grundrecht auf Information angepasst. Abgerundet wird diese Gesetzesanpassung mit einer Änderung der Geschäftsordnung des Nationalrats, die durch ein "Bundesgesetz, mit dem das Geschäftsordnungsgesetz 1975 geändert wird", BGBl I 2025/32, erfolgt ist.

·      Am 24.07.2025 wurde ein "Bundesgesetz, mit dem das Strafgesetzbuch geändert wird", BGBl I 2025/45, kundgemacht. Aufgrund dieser Novelle des StGB wird Cyberflashing, das unaufgeforderte Übermitteln von Genitalbildern, gerichtlich strafbar. Ausgestaltet ist das Verbot von Cyberflashing als Ermächtigungsdelikt. Dh der Täter darf nur mit Ermächtigung des Opfers verfolgt und bestraft werden.

·      Am 18.07.2025 wurde die "Verordnung der Rundfunk und Telekom Regulierungs-GmbH, mit der die Nummernübertragungsverordnung 2022 geändert wird", BGBl II 2025/164, kundgemacht. Die Änderung betrifft die Fortführung des Vertrags mit dem abgebenden Anbieter eines Mobil-Sprachkommunikationsdienstes.

·      Am 25.07.2025 wurde die "Verordnung der Bundesregierung, mit der die Verordnung über die Informationssicherheit (Informationssicherheitsverordnung; InfoSiV) geändert wird", BGBl II 2025/169, kundgemacht. Mit dieser Novelle wird die InfoSiV dem Grundrecht auf Information und dem IFG angepasst.

·      Am 25.07.2025 wurde die "Verordnung der Finanzmarktaufsichtsbehörde (FMA) über Meldestichtage, Meldeintervalle, Gliederung und Inhalte von Meldungen gemäß der Verordnung (EU) 2023/1114 über Märkte für Kryptowerte betreffend Emittenten vermögenswertereferenzierter Token und Emittenten von E-Geld-Token (MiCAR-Emittenten-Meldeverordnung; MiCAR-E-MV)", BGBl II 2025/170, kundgemacht. In der MiCAR-E-MV werden ua Meldeinhalte von Meldungen durch Emittenten vermögenswertereferenzierter Token und Emittenten von E-Geld-Token festgelegt.

·      Am 21.07.2025 wurde das Salzburger Informationsfreiheits-Anpassungsgesetz, LGBl 2025/76, kundgemacht. Mit dieser Sammelnovelle werden die Salzburger Landesverfassung und knapp 40 Salzburger Landesgesetze an das neue Grundrecht auf Information angepasst.

·      Am 28.07.2025 wurde das Oö. Informationsfreiheits-Anpassungsgesetz (Oö. IFAG), LGBl 2025/64, kundgemacht. Mit dieser Sammelnovelle werden die oberösterreichische Landesverfassung und rund 50 oberösterreichische Landesgesetze an das neue Grundrecht auf Information angepasst.

·      Am 23.07.2025 wurde das "Landesgesetz, mit dem das Oö. TDB-Begleitregelungsgesetz (Oö. TDB-BrG) erlassen und das Oö. Auskunftspflicht-, Datenschutz- und Informationsweiterverwendungsgesetz (Oö. ADIG) geändert wird", LGBl 2025/59, kundgemacht. Mit diesem Gesetz wird die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank in Oberösterreich umgesetzt.

·      Am 23.07.2025 wurde ein "Landesgesetz, mit dem das Oö. Archivgesetz geändert wird (Oö. Archivgesetz-Novelle 2025)", LGBl 2025/60, kundgemacht. Mit dieser Novelle wird die Archivierung der Dokumentation staatlichen Handelns in Oberösterreich digitalisiert. Dementsprechend enthält die Novelle auch datenschutzrechtliche Bestimmungen.

·      Am 01.08.2025 werden die Schlussanträge in der Rs C-371/24, Comdribus, veröffentlicht. Gegenstand des Verfahrens sind Fragen zur systematischen (daktyloskopischen und fotografischen) erkennungsdienstlichen Behandlung von Personen, die im Verdacht stehen, eine Straftat begangen zu haben.

·      Am 01.08.2025 werden die Schlussanträge in der Rs C-422/24, Storstockholms Lokaltrafik, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Informationspflichten der Art 13 und 14 DSGVO anwendbar sind, wenn personenbezogene Daten durch eine am Körper getragene Kamera erhoben werden.

·      Am 04.09.2025 wird das Urteil des EuGH in der Rs C-655/23, Quirin Privatbank, verkündet. Der EuGH wird darüber entscheiden, ob aus der DSGVO ein zivilgerichtlicher Unterlassungsanspruch abgeleitet werden kann und ob sich ein allfälliger Unterlassungsanspruch auf die Schadensbemessung auswirkt. Anm: Der OGH hat eine Reihe von Verfahren bis zur Entscheidung des EuGH in dieser Rechtssache ausgesetzt. Diese Verfahren werden nach Verkündung des Urteils fortgesetzt werden. Die Zusammenfassung der Schlussanträge des Generalanwalts kann im Datenschutzmonitor 12/2025 vom 26.03.2025 nachgelesen werden.

·      Am 18.09.2025 werden die Schlussanträge des Generalanwalts in der Rs C-526/24, Brillen Rottler, verkündet. Gegenstand des Verfahrens sind Rechtsmissbrauch und Schadenersatz.