Datenschutzmonitor Mai 2025

EGMR 29.04.2025, 49617/22, Kavecansky/Slowakei

Notariat, Hausdurchsuchung, Rechtsstaatsprinzip

·      Gegen einen slowakischen Notar wurde ein Strafverfahren wegen schwerer Unterschlagung eingeleitet, weil er – so der Verdacht der Ermittler – mehrere hunderttausende Euro von seinen Einlagenkonten nicht freigegeben haben soll. Der ermittelnde Beamte erließ Durchsuchungsbefehle für die Durchsuchung der Notariatskanzlei sowie der Wohnung des Notars auf Grundlage der slowakischen Strafprozessordnung. Die Durchsuchungsbefehle enthielten keine näheren Angaben, wie mit Material umzugehen sei, welches nicht dem laufenden Strafverfahren zugeordnet werden könne oder dem notariellen Berufsgeheimnis unterliege. Beide Durchsuchungsbefehle wurden von der Staatsanwaltschaft genehmigt.

Der Notar wandte sich an den EGMR und machte eine Verletzung seines Rechts auf Achtung des Privat- und Familienlebens gemäß Art 8 EMRK geltend. Die Beschwerde an den EGMR begründete der Notar ua damit, dass der slowakischen Strafprozessordnung die Möglichkeit einer Überprüfung der Rechtmäßigkeit einer solchen Ermittlungsmaßnahme im Vorfeld durch eine unabhängige Richterschaft fremd sei. Eine wirksame Überprüfung der Rechtmäßigkeit der betreffenden Ermittlungsmaßnahme wäre umso notwendiger gewesen, als die zu beschlagnahmenden Gegenstände und Unterlagen zu keinem Zeitpunkt im Vorfeld konkretisiert worden seien. Der Notar forderte EUR 5.000 als Ersatz für seinen immateriellen Schaden. Der EGMR stellte eine Verletzung von Art 8 EMRK fest und sprach dem Notar EUR 5.000 an immateriellem Schaden zu.

Der EGMR hat erwogen: Im Zusammenhang mit Durchsuchungen und Beschlagnahmen muss das innerstaatliche Recht dem Einzelnen Schutz vor willkürlichen Eingriffen in die Rechte nach Art 8 EMRK bieten. Maßnahmen wie Hausdurchsuchungen und Beschlagnahmen stellen einen schwerwiegenden Eingriff in das Privatleben, die Wohnung und den Schriftverkehr dar. Aus diesem Grund haben derartige Maßnahmen auf besonders präzisen Gesetzen zu beruhen. Klare und detaillierte Regelungen zu diesem Thema sind unerlässlich. Hinsichtlich des Verfahrensschutzes im Rahmen von Art 8 EMRK hat der EGMR dem Berufsgeheimnis von rechtspflegenden Berufen besondere Bedeutung beigemessen. Die Staatsanwaltschaft hat nach slowakischem Recht keinen unabhängigen Status, der mit dem eines unabhängigen Gerichts vergleichbar wäre. Das Recht des Notars auf Achtung seines Privatlebens und seiner Wohnung wurde verletzt, weil weder ein vorheriger richterlicher Beschluss vorlag noch die Möglichkeit bestand, die Entscheidung über die Anordnung der Durchsuchungen oder die Art und Weise ihrer Durchführung nachträglich wirksam gerichtlich überprüfen zu lassen. Die Situation wurde dadurch erschwert, dass die Durchsuchungen in den Räumlichkeiten eines Notars stattfanden. Dem Notar wurde dadurch jener Mindestschutz vorenthalten, auf den er nach dem Rechtsstaatsprinzip in einer demokratischen Gesellschaft Anspruch gehabt hätte.

EuGH 30.04.2025, C-313/23 ua, Inspektorat kam Visshia

Datenschutz-Aufsicht, Gerichtsbarkeit, Rollenverteilung

·      Durch eine Verfassungsänderung wurde in Bulgarien beim Obersten Justizrat eine Aufsichtsbehörde zur Überwachung der Tätigkeit der Justiz eingerichtet. Zu den Aufgaben dieser Aufsichtsbehörde gehört ua die Überwachung der Integrität und des Fehlens von Interessenkonflikten bei Richtern, Staatsanwälten und Strafrechtspflegern (im Folgenden: Justizangehörige). Nach Ablauf der Frist zur Abgabe der Vermögenserklärungen dieser Justizangehörigen beantragte die Aufsichtsbehörde eine richterliche Genehmigung zur Aufhebung des Bankgeheimnisses für die Konten mehrerer Justizangehörigen sowie deren Familienangehörigen. Das angerufene Gericht legte dem EuGH daraufhin mehrere Fragen zur Vorabentscheidung vor, ua (i) zur Fortführung der Amtsgeschäfte durch die Aufsichtsbehörde, obwohl die Amtszeit einzelner Mitglieder abgelaufen war, (ii) zum Anwendungsbereich der DSGVO sowie (iii) zur Rollenverteilung zwischen Aufsichtsbehörde und Gericht.

Der EuGH hat erwogen: Der Grundsatz der richterlichen Unabhängigkeit steht der Praxis eines Mitgliedstaats entgegen, wonach die Mitglieder eines Justizorgans nach Ablauf ihrer verfassungsmäßigen Amtszeit im Amt bleiben, wenn es dafür keine gesetzliche Grundlage und keine zeitliche Begrenzung gibt.

Eine Datenverarbeitung, die dazu dient, bei Justizangehörigen die Integrität und das Bestehen etwaiger Interessenkonflikte zu überwachen, fällt in den sachlichen Anwendungsbereich der DSGVO – auch wenn diese Daten dem Bankgeheimnis unterliegen.

Nach bulgarischem Recht ist die Aufsichtsbehörde ua dafür zuständig, bei Justizangehörigen die Integrität und das Fehlen von Interessenkonflikten zu überwachen und die Erklärung über die Vermögensverhältnisse zu überprüfen. Stimmen die betreffenden Justizangehörigen oder deren Familienangehörige dem Zugang zu ihren Daten nicht zu, kann die Aufsichtsbehörde eine richterliche Genehmigung auf Zugang zu den personenbezogenen Daten beantragen.

Für diese Datenverarbeitung Verantwortlicher iSd Art 4 Z 7 DSGVO ist die Aufsichtsbehörde und nicht das Gericht. Die Kontrolle des Gerichts hat nach dem nationalen Recht rein formal zu sein und beschränkt sich bei der Aufhebung des Bankgeheimnisses auf die Frage, ob die zu überprüfenden Personen erklärungspflichtig sind. Das Gericht wird nur auf Antrag der Aufsichtsbehörde tätig. Der Kreis der Personen und die Daten, die Gegenstand der Verarbeitung sein können, die Zwecke der Verarbeitung und das für deren Erreichung zuständige Organ werden durch nationales Gesetz bestimmt. Die Personen, zu deren Daten die Aufsichtsbehörde Zugang haben will, bestimmt die Aufsichtsbehörde. Das Gericht bestimmt daher weder den Zweck der Verarbeitung noch die betroffenen Personen und Daten.

Ein Gericht, das lediglich die Offenlegung personenbezogener Daten genehmigt, ist keine Aufsichtsbehörde iSd Art 51 DSGVO, wenn es nicht ausdrücklich damit beauftragt wurde, die Anwendung der DSGVO zu überwachen.

Ein nationales Gericht muss die Einhaltung der DSGVO nicht von Amts wegen überprüfen, wenn kein konkreter Rechtsbehelf nach Art 78 oder 79 DSGVO vorliegt oder das nationale Recht ihm nicht ausdrücklich Kontrollbefugnisse gibt. Dies auch dann nicht, wenn allgemein bekannt ist, dass die Aufsichtsbehörde in der Vergangenheit gegen die DSGVO verstoßen hat.

·      Das Recht auf Berichtigung personenbezogener Daten im Melderegister ist auf dem in Art 77 und 49 DSGVO und § 24 DSG vorgesehenen Rechtsweg geltend zu machen (VwGH 03.04.2025, Ra 2025/01/0073).

·      Steht die federführende Aufsichtsbehörde noch nicht fest, regelt § 24 Abs 10 Z 2 DSG lediglich eine Hemmung des Fristenlaufs, enthält aber keine Grundlage für eine Verfahrensaussetzung. Gegenstand des Beschwerdeverfahrens vor dem BVwG ist nur die Rechtsmäßigkeit der bescheidmäßigen Aussetzung durch die DSB. Eine Umdeutung der Bescheidbeschwerde in eine Säumnisbeschwerde ist ausgeschlossen (VwGH 01.04.2025, Ro 2024/04/0005; Ro 2023/04/0051).

BVwG 27.02.2025, W298 2305443-1

Rechtsanwalt, Auskunft, Reaktionspflicht, Geldbuße

·      Ein Rechtsanwalt reichte im Auftrag des Bruders einer Erbin eine Pflichtteilsergänzungsklage ein. Die Erbin beschuldigte den Rechtsanwalt im Zuge dessen, unbefugt eine Namensabfrage gemäß §§ 5 und 6a Grundbuchsumstellungsgesetz durchgeführt zu haben, was zu einem Disziplinarverfahren führte. Dieses wurde mangels Nachweises einer solchen Abfrage jedoch eingestellt. Später stellte die Erbin ein Auskunftsersuchen gemäß § 44 DSG mittels eines Formulars der DSB an den Rechtswalt, dem er nicht nachkam. Die DSB gab der Datenschutzbeschwerde der Erbin statt und stellte fest, dass der Rechtsanwalt gegen das Recht auf Auskunft verstoßen hatte. Sie hielt fest, dass die Auskunftspflicht nach Art 12 und 15 DSGVO unabhängig von der Nennung des Artikels oder der Verwendung eines bestimmten Formulars besteht. Gegen den Bescheid der DSB erhob der Rechtsanwalt zunächst Bescheidbeschwerde an das BVwG, das diese abwies. Daraufhin verhängte die DSB mit Straferkenntnis eine Geldbuße iHv EUR 400. Dagegen erhob der Rechtsanwalt erneut (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Das Recht auf Auskunft steht unter keinen Voraussetzungen. Es ist weder inhaltlich noch in Bezug auf die Form an bestimmte Anforderungen gebunden. Es ist lediglich notwendig, dass der Verantwortliche überhaupt erkennen kann, worauf sich das Auskunftsersuchen des Auskunftswerbers richtet. Weiters ist ein Auskunftsersuchen an keinerlei Formvoraussetzungen geknüpft, was auch eine falsche Bezeichnung miteinschließt – falsa demonstratio non nocet.

Nach § 9 Abs 4 RAO besteht keine gänzliche Ausnahme von der Auskunftspflicht für Rechtsanwälte. Die Auskunftspflicht entfällt nur insoweit, als dies zur Sicherstellung des Schutzes der Partei, der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche erforderlich ist. Die RAO modifiziert nur die inhaltliche Ausgestaltung einer datenschutzrechtlichen Auskunft, indem sie eine spezielle Verschwiegenheitspflicht berücksichtigt. Das Auskunftsrecht bleibt jedoch bestehen. Der Rechtsanwalt muss daher auf ein Auskunftsersuchen reagieren. Das völlige Unbeantwortet lassen des Auskunftsersuchens ist daher jedenfalls rechtswidrig.

Da eine Auskunft auch dann zu erteilen ist, wenn der Verantwortliche keine Daten der Betroffenen verarbeitet ("Negativauskunft"), ist auch darüber zu informieren, warum die Auskunft nicht erteilt werden kann.

Der Rechtsanwalt handelte vorsätzlich. Die DSB erteilte einen ausdrücklichen Hinweis auf die Auskunftspflicht gemäß Art 15 DSGVO und die drohende Sanktion. Die von der DSB festgesetzte Strafe iHv EUR 400 erscheint daher unter Berücksichtigung des Tatunwerts und der grundsätzlichen Strafdrohung tat- und schuldangemessen.

·      Im Hinblick darauf, dass Auskünfte nach § 1 Abs 1 AuskunftspflichtG auch personenbezogene Daten betreffen können, greift diese Bestimmung in das Grundrecht auf Datenschutz nach § 1 Abs 1 DSG ein. Ebenso greift sie in Art 10 Abs 1 EMRK ein, weil die Verweigerung der Auskunft aufgrund von Verschwiegenheitspflichten das Recht auf Zugang zu Informationen beschränken kann. Im Hinblick auf § 1 Abs 2 DSG muss die gesetzliche Grundlage ausreichend präzise sein. Diese Anforderung ist durch § 1 Abs 1 AuskunftspflichtG erfüllt, weil diese Bestimmung die gebotene Interessenabwägung zwischen dem Grundrecht auf Information und jenem auf Datenschutz und damit einen angemessenen Ausgleich zwischen diesen beiden Grundrechtspositionen ermöglicht (BVwG 13.03.2025, W137 2253556-1).

·      Führt die DSB das Datenschutzverfahren gegen den falschen Beschwerdegegner als Verantwortlichen, der nicht vom Rechtsschutzantrag umfasst ist, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 10.03.2025, W211 2272691-1; 24.02.2025, W211 2272785-1).

·      Am 30.04.2025 hat die Europäische Kommission den Entwurf einer DurchführungsVO zur Verordnung (EU) 2024/900 über die Transparenz und das Targeting politischer Werbung samt Anhang veröffentlicht. Rückmeldungen sind binnen vier Wochen möglich. Mit der DurchführungsVO sollen das Format, die Vorlage und die technischen Spezifikationen der Kennzeichnungen und Transparenzbekanntmachungen politischer Anzeigen geregelt werden.

EuG 29.04.2025, T-319/24, Meta/EDPB

Meta, EDSA, unverbindliche Stellungnahme

·      Meta Platforms Ireland (Meta) bietet Nutzern ein "Consent or Pay"-Modell an, bei dem diese entweder der Verarbeitung ihrer personenbezogenen Daten für verhaltensbasierte Werbung zustimmen oder eine Gebühr zahlen, um den Dienst ohne diese Datenverarbeitung zu nutzen. Auf Anfrage dreier Datenschutzbehörden gab der EDSA eine unverbindliche Stellungnahme "Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms" ab, in der er Kriterien für die Bewertung der Freiwilligkeit und Wirksamkeit der Einwilligung solcher Modelle festlegte. Meta beantragte beim EuG die Aufhebung dieser Stellungnahme und forderte Schadenersatz aufgrund wirtschaftlicher Nachteile. Das EuG wies die Klage teilweise zurück und teilweise ab und legte Meta die Verfahrenskosten auf.

Das EuG hat erwogen: Ob ein Rechtsakt rechtlich bindend ist, hängt von seinem Inhalt, dem Kontext und den Befugnissen der ausstellenden Stelle ab. In seiner Stellungnahme betont der EDSA, dass die Bewertung der Freiwilligkeit und Wirksamkeit der Einwilligung stets im Einzelfall zu erfolgen hat. Zwar weist er darauf hin, dass kostenpflichtige Alternativen ohne kostenlose Option idR zur Unwirksamkeit der Einwilligung führen, dies hängt jedoch von mehreren Faktoren ab, etwa von der Bedeutung des Dienstes oder dem Preis der Alternative.

Die Stellungnahme enthält keine verbindlichen Vorgaben und entfaltet keine rechtlich bindende Wirkung. Formulierungen wie "sollte" oder "in den meisten Fällen" unterstreichen den Empfehlungscharakter. Zudem beruht die Stellungnahme auf Art 64 Abs 2 DSGVO, der dem EDSA lediglich erlaubt, zu allgemeinen Fragen Stellung zu nehmen. Auch wenn Meta oder die irische Datenschutzbehörde den Empfehlungen folgen, tun sie dies freiwillig.

Die Aufforderung der irischen Datenschutzbehörde, wonach Meta die Stellungnahme einhalten möge, verleiht dieser keine rechtliche Bindung. Selbst eine spätere verbindliche Entscheidung, die sich auf die Stellungnahme stützt, macht diese nicht rückwirkend verbindlich. Auch ein möglicher Widerspruch zur EuGH-Rechtsprechung ändert nichts an der fehlenden Bindungswirkung und begründet keinen Verstoß gegen das Recht auf effektiven Rechtsschutz. Dieser wäre dann eröffnet, wenn eine behördliche oder gerichtliche Entscheidung auf der Stellungnahme basiert. Unterschiedliche Auslegungen sind kein Grund, eine unverbindliche Stellungnahme angreifbar zu machen. Solche Unterschiede sind systembedingt und durch Verfahren wie das Vorabentscheidungsverfahren oder das Streitbeilegungsverfahren abgesichert.

Ein Schadenersatzanspruch setzt voraus, dass ein rechtswidriges Verhalten eines Unionsorgans vorliegt, ein tatsächlicher Schaden entstanden ist und ein unmittelbarer Kausalzusammenhang zwischen Handlung und Schaden besteht. Diese Voraussetzungen sind nicht erfüllt. Die Stellungnahme des EDSA ist nicht rechtswidrig, weil sie keine verbindlichen Rechtswirkungen entfaltet. Ein Schaden ist nicht nachgewiesen, da sich die behaupteten wirtschaftlichen Einbußen auf hypothetische und zukünftige Entwicklungen stützen. Auch ein unmittelbarer Kausalzusammenhang liegt nicht vor. Da die Stellungnahme nicht bindend ist, kann sie nicht als unmittelbare Ursache für den behaupteten Einnahmenrückgang von Meta angesehen werden. Die behaupteten Einnahmeverluste könnten allenfalls auf freiwillige Anpassungen durch Meta selbst oder auf noch nicht ergangene Entscheidungen zurückgehen – nicht aber auf die unverbindliche Stellungnahme des EDSA.

OGH 28.03.2025, 8Ob14/25d

Smart Meter, Aussetzung

·      Eine Strom-Verteilernetzbetreiberin verlangte von einer Endverbraucherin die Duldung des Ausbaus eines veralteten Strommessgeräts. Die Endverbraucherin verweigerte dies und verwies zudem auf ihr Wahlrecht, einen mechanischen Zähler zu wählen. Das BG Krems gab der Klage der Strom-Verteilernetzbetreiberin statt. Das LG Krems hob infolge Berufung der Endverbraucherin dieses Urteil zur Verfahrensergänzung auf. Es stellte fest, dass ihre Vorbringen – insb mögliche Gesundheitsgefahren und Datenschutzbedenken – durch Sachverständigengutachten zu prüfen sind. Den Rekurs an den OGH ließ das Berufungsgericht im Hinblick auf ein anhängiges Vorabentscheidungsverfahren (C-468/24, Netz Niederösterreich) zu.

Der OGH hat erwogen: Das Verfahren ist bis zur Entscheidung des EuGH über das vom LG St. Pölten beim EuGH eingebrachten Vorabentscheidungsersuchen zu unterbrechen (C-468/24, Netz Niederösterreich). Das LG St. Pölten legte in einem Parallelverfahren dem EuGH ua die Fragen vor, ob (i) Netzbetreiber verpflichtet sind, dem Wunsch nach einem konventionellen statt eines intelligenten Zählers zu entsprechen, (ii) unionsrechtliche Vorgaben nationalen Regelungen entgegenstehen, die keine konkreten Anforderungen an die Datensicherheit von Messgeräten enthalten, (iii) der Begriff "elektronisches Kommunikationsnetz" in Art 5 Abs 3 der Richtlinie 2002/58/EG auch Stromnetze umfasst, über die Daten zu Zwecken der Richtlinie 2019/944 übertragen werden, (iv) die EU-Grundrechte-Charta (GRC) einer nationalen Regelung entgegensteht, die keine Information über vorzeitige Datenabrufe im begründeten Einzelfall verlangt und (v) bei der Auslegung der einschlägigen Bestimmungen der Richtlinie 2019/944 die Rechtsprechung des EGMR zu Art 8 EMRK zu berücksichtigen ist.

·      Die auf das Erkenntnis des BVwG vom 23.09.2020, W101 2132039-1, gestützte Ansicht des Beklagten, wonach kein Auskunftsanspruch besteht, wenn der Auskunftswerber über seinen Account elektronischen Zugriff auf seine Daten hat, ist überholt. Denn gemäß dem Urteil des EuGH vom 04.05.2023, C-487/21, Österreichische Datenschutzbehörde, ist das in Art 15 Abs 3 S 1 DSGVO verankerte Recht auf Erhalt einer "Kopie" so zu verstehen, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion all ihrer personenbezogenen Daten auszufolgen ist (OLG Wien 28.02.2025, 16R161/24z). Anm: Dieses Urteil könnte zu einer Divergenz zwischen der Rechtsprechung der Berufungsinstanzen im Verwaltungs- und Zivilrechtsweg führen. Denn, wie im Urteil auch angeführt, erachtete das BVwG es für zulässig, einem Auskunftsersuchen durch Gewährung eines Fernzugriffs zu entsprechen. Auch der EDSA hält in seinen Guidelines zum Auskunftsrecht das Erteilen einer Auskunft via Fernzugriff für zulässig. Das OLG Wien meint, dass diese Rechtsprechung bzw Rechtsansicht überholt sei, weil laut dem EuGH eine "Kopie" der personenbezogenen Daten auszufolgen sei. Der EuGH sprach über die Frage, ob diese "Kopie" personenbezogener Daten über Fernzugang ausgefolgt werden könnte, jedoch nicht ab. Es bleibt daher abzuwarten, ob das BVwG dem OLG Wien folgen wird.

·      Die Zuständigkeit der DSB schließt nicht aus, dass Zivilgerichte zur Auslegung von Datenschutzerklärungen berufen sind. Eine Datenschutzerklärung in den AGB, die Vertragsbestandteil ist, unterliegt einer Klauselkontrolle. Nach Art 13 Abs 1 DSGVO muss der Verantwortliche bei der Datenerhebung klar benannt und mit Kontaktdaten angegeben werden, die Nennung des Datenschutzbeauftragten allein reicht nicht aus. Nach Art 6 DSGVO ist die Rechtsgrundlage für die Datenverarbeitung genau anzugeben. Ein allgemeiner Verweis auf Art 6 DSGVO genügt nicht. Auch die Speicherdauer personenbezogener Daten muss gemäß Art 13 Abs 2 lit a DSGVO genau oder anhand klarer Kriterien angegeben werden. Pauschale Hinweise auf gesetzliche Fristen oder unternehmensinterne Abwägungen sind unzureichend. Werden Daten in Drittländer übermittelt, müssen Zielstaat, Angemessenheitsbeschluss und Garantien gemäß Art 13 Abs 1 lit f DSGVO konkret benannt werden (OLG Wien 02.11.2025, 4R133/24v).

·      Der Staatsanwaltschaft ist gemäß § 27 StPO von Amts wegen oder auf Antrag die getrennte Führung des Ermittlungsverfahrens gegen einzelne Beschuldigte oder wegen einzelner Straftaten gestattet, insbesondere um Verzögerungen zu vermeiden, schutzwürdige Geheimhaltungsinteressen (§ 1 DSG) eines Beschuldigten zu wahren oder die Haft des Beschuldigten zu verkürzen (OLG Innsbruck 27.03.2025, 7Bs64/25g).

·      Führt die DSB das Datenschutzverfahren gegen den falschen Beschwerdegegner als Verantwortlichen, der nicht vom Rechtschutzantrag umfasst ist, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 11.03.2025, W211 2280469-1; 24.04.2025, W211 2272439-1).

·      Am 07.05.2025 wurden die (i) "Durchführungsverordnung (EU) 2025/846 der Kommission vom 6. Mai 2025 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf den grenzüberschreitenden Identitätsabgleich natürlicher Personen", ABl L 2025/846, (ii) "Durchführungsverordnung (EU) 2025/847 der Kommission vom 6. Mai 2025 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Reaktion auf Sicherheitsverletzungen europäischer Brieftaschen für die digitale Identität", ABl L 2025/847, (iii) "Durchführungsverordnung (EU) 2025/848 der Kommission vom 6. Mai 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Registrierung von auf Brieftaschen vertrauenden Beteiligten", ABl L 2025/848, und (iv) "Durchführungsverordnung (EU) 2025/849 der Kommission vom 6. Mai 2025 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Übermittlung von Informationen an die Kommission und die Kooperationsgruppe für die Liste der zertifizierten europäischen Brieftaschen für die digitale Identität", ABl L 2025/849, veröffentlicht. Mit diesen vier DurchführungsVOs werden Anforderungen und Pflichten betreffend die europäischen Brieftaschen iSd eIDAS festgelegt bzw präzisiert.

EuGH Schlussanträge 15.05.2025, Rs C-327/24, Lolach

Telekommunikation, Wettbewerb, Zugangsverpflichtung

·     Die deutsche Regulierungsbehörde für den Sektor der elektronischen Kommunikation verpflichtete eine Telekommunikationsanbieterin, anderen Betreibern Zugang zu bestimmten baulichen Anlagen zu gewähren, die nicht Teil des relevanten Markts sind. Die Regulierungsbehörde stützte ihren Beschluss auf die zur Umsetzung der RL (EU) 2018/1972 über den europäischen Kodex für die elektronische Kommunikation (EKEK) erlassenen nationalen Vorschriften. Die Telekommunikationsanbieterin erhob Klage und beantragte die Aufhebung der Zugangsverpflichtung. Eine solche Verpflichtung sei nur zulässig, wenn sowohl der Wettbewerb als auch die Interessen der Endnutzer beeinträchtigt seien. Die Regulierungsbehörde hielt dem entgegen, sie könne bei der Abwägung auch weitere Ziele des EKEK berücksichtigen und dürfe das Ziel der Entwicklung eines nachhaltig wettbewerbsorientierten Endkundenmarkts verfolgen.

Das vorlegende Gericht ersuchte den EuGH um Vorabentscheidung, ob die Regulierungsbehörde bei der Auferlegung einer Zugangsverpflichtung zu baulichen Anlagen, die nicht Teil des relevanten Markts sind, ausschließlich die in Art 72 EKEK genannten Voraussetzungen prüfen muss, oder ob sie gleichrangig auch die weiteren Ziele des Art 3 EKEK berücksichtigen darf.

Der Generalanwalt hat erwogen: Die Bestimmung des Art 72 Abs 2 EKEK ermächtigt die nationale Regulierungsbehörde, Unternehmen mit beträchtlicher Marktmacht zu verpflichten, Zugang zu baulichen Anlagen zu gewähren, auch wenn diese nicht Teil des relevanten Markts sind. Treffen beide Umstände zusammen, ist die nationale Regulierungsbehörde ermächtigt, eine Zugangsverpflichtung aufzuerlegen.

Die Bestimmung des Art 68 Abs 4 lit c EKEK regelt die Auferlegung von Verpflichtungen, die dann ua in den Art 72 und 73 EKEK präzisiert werden und sieht dabei vor, dass diese Verpflichtungen im Hinblick auf die Ziele des Art 3 EKEK gerechtfertigt sein müssen. Dementsprechend sind die nationalen Regulierungsbehörden befugt, sämtliche in den Art 69 bis 74 und 76 bis 81 EKEK festgelegten Verpflichtungen aufzuerlegen, wenn eine solche Auferlegung im Hinblick auf die in Art 3 EKEK genannten Ziele gerechtfertigt werden kann. Daraus folgt, dass die Zugangsverpflichtungen nach Art 72 Abs 2 EKEK durch die Ziele des Art 3 gerechtfertigt sein können.

Die Regulierungsbehörde darf die Zugangsverpflichtung zu baulichen Anlagen, die nicht Teil des relevanten Markts sind, auferlegen, wenn diese Verpflichtung zur Erreichung der in Art 3 EKEK genannten Ziele notwendig und verhältnismäßig ist.

EuG 14.05.2025, T-36/23, Stevi und The New York Times

Dokumentenzugang, Richtigkeitsvermutung, Beweislast

·     Eine Journalistin der New York Times beantragte Zugang zu sämtlichen Textnachrichten zwischen der Kommissionspräsidentin Ursula von der Leyen und dem CEO des Pharmaunternehmens Pfizer im Zeitraum 2021 und 2022. Die Kommission teilte mit, sie könne dem Antrag nicht entsprechen, weil sie nicht im Besitz von Dokumenten sei, die mit der Beschreibung des Antrags übereinstimmten. Nach weiteren Anträgen der Journalistin erließ die Kommission im November 2022 die Entscheidung "C(2022) 8371 final". Darin hielt sie erneut fest, dass sie nicht im Besitz von Dokumenten sei, die dem Antrag entsprechen. Die Journalistin und The New York Times Company erhoben eine erfolgreiche Nichtigkeitsklage nach Art 263 AEUV an das EuG.

Das EuG hat erwogen: Erklärt ein Organ der Union im Rahmen eines Zugangsantrags, ein Dokument existiere nicht, gilt dieses Dokument aufgrund der Vermutung der Richtigkeit der Erklärung als nicht existent. Wird diese Vermutung entkräftet, kann sich die Kommission nicht mehr auf diese Vermutung berufen. Sie hat die Nichtexistenz oder den Nichtbesitz der angeforderten Dokumente durch plausible Erklärungen zu beweisen.

Die Klägerinnen haben relevante Anhaltspunkte vorgelegt, ua Artikel und Interviews. Diese beschreiben einen wiederholten mündlichen und schriftlichen Austausch, insb Textnachrichten, iZm dem Impfstoffkauf durch die Kommission während der COVID-19-Pandemie. Somit ist den Klägerinnen gelungen, die Vermutung der Nichtexistenz der angeforderten Dokumente zu entkräften.

Die Kommission hat sich auf den Hinweis beschränkt, dass sie trotz erneuter eingehender Nachforschungen kein entsprechendes Dokument habe identifizieren können, jedoch ohne den Umfang oder die Einzelheiten dieser Nachforschungen zu präzisieren. Sie hat nämlich weder angegeben, welche Arten von Nachforschungen durchgeführt, noch welche Dokumentenspeicherorte eingesehen wurden. Mangels genauer Erläuterungen dazu, wie die angeforderten Dokumente gesucht wurden, verstößt die Kommission gegen ihre Pflicht, plausible Erklärungen für den Nichtbesitz von Dokumenten zu geben.

Es ist unmöglich nachzuvollziehen, ob die angeforderten Textnachrichten noch existieren oder ob sie gelöscht wurden. Weiters bleibt auch offen, ob die Mobiltelefone der Kommissionspräsidentin ersetzt wurden und, wenn ja, was mit diesen Geräten geschehen ist – und ob sie Gegenstand der Nachforschungen waren, die infolge der Anträge durchgeführt wurden. Unter diesen Umständen können die Erläuterungen der Kommission, die auf Vermutungen beruhen, nicht als plausibel angesehen werden.

Das Recht auf Zugang zu Dokumenten verpflichtet das betreffende Organ, Dokumente, die sich in deren Besitz befinden, so aufzubewahren, dass der Zugang auch über einen längeren Zeitraum möglich bleibt. Die Organe dürfen dieses Recht nicht dadurch aushöhlen, dass sie Unterlagen zu ihren Tätigkeiten nicht registrieren. Die Kommission gibt nicht eindeutig an, ob die angeforderten Dokumente nicht registriert wurden, weil sie unwichtig waren und keiner Folgemaßnahmen seitens der Kommission oder einer ihrer Dienststellen bedurften. Weiters legt die Kommission auch nicht dar, weshalb die Textnachrichten nicht als relevante, dauerhaft aufzubewahrende Informationen eingestuft wurden.

Aus der Rechtsprechung des VwGH:

·     Die DSB ist nur berechtigt, die Behandlung einer Datenschutzbeschwerde als exzessiv abzulehnen, wenn sie das Vorliegen einer Missbrauchsabsicht des Beschwerdeführers nachweist. Eine Missbrauchsabsicht ist dann anzunehmen, wenn die entscheidenden Gründe des Beschwerdeführers für die Einbringung einer Vielzahl von Datenschutzbeschwerden nicht in der Verfolgung der ihm aus der DSGVO zukommenden Rechte liegen und der Beschwerdeführer ohne diese sachfremden Gründe die Vielzahl an Datenschutzbeschwerden nicht erhoben hätte (VwGH 31.03.2025, Ra 2022/04/0143).

OLG Graz 19.03.2025, 4R52/25m

Auskunft, Datenkopie, Bestimmtheit

·     Ein Spieler erstellte auf der Website eines estnischen Online-Glücksspielunternehmens ein Spielerkonto, auf welches er Beträge in Euro einzahlte. Nachdem sein Konto im Jahr 2023 gesperrt wurde, beantragte er die Freischaltung seines gesperrten Spielerkontos. Das Online-Glücksspielunternehmen kam dem nicht nach. Daraufhin übermittelte der Rechtsvertreter des Spielers ein Schreiben an das Online-Glücksspielunternehmen und forderte dieses zur Übermittlung einiger Daten auf (etwa wie viel Geld der Spieler gewonnen oder verloren hat, mit welcher Gesellschaft das Vertragsverhältnis zustande gekommen ist, etc). Es konnte nicht festgestellt werden, ob das Schreiben dem Online-Glücksspielunternehmen tatsächlich zugegangen ist.

Da das Online-Glücksspielunternehmen dem Aufforderungsschreiben des Anwalts nicht nachkam, reichte der Spieler eine Klage gestützt auf Art 15 DSGVO ein und begehrte die digitale Übermittlung einer Kopie seiner Daten. Gegen das abweisende Urteil des Erstgerichts erhob der Spieler eine (erfolgreiche) Berufung an das OLG Graz.

Das OLG Graz hat erwogen: Die DSGVO schützt alle Arten von personenbezogenen Daten, wobei der Begriff der personenbezogenen Daten weit zu verstehen ist. Der Spieler gab bei der Erstellung seines Spielerkontos personenbezogene Daten wie seinen Namen, Geburtsdatum und Adresse ein. Der Spieler begehrte im Prozess keine Auskunft, sondern eine digitale Übermittlung seiner verarbeiteten Daten gemäß Art 15 Abs 3 DSGVO.

Es schadet nicht, dass der Spieler zuvor bereits Zugriff auf die Daten auf elektronischem Weg hatte. Da der Spieler zuvor lediglich ein Auskunftsersuchen an das Online-Glücksspielunternehmen gerichtet hat, kann auch von keinem exzessiven Auskunftsersuchen die Rede sein. Zudem hat das Online-Glücksspielunternehmen im Hinblick auf die Höchstpersönlichkeit des Auskunftsrechts keine Zweifel an der Identität des Spielers vorgebracht. Die Vorlage einer Vollmacht und eines Ausweises durch den Rechtsvertreter genügte zur Legitimation.

Der Spieler hat sein Begehren schlüssig aus Art 15 Abs 3 DSGVO abgeleitet. Das Klagebegehren ist hinreichend bestimmt, weil klar ist, dass der Spieler eine Kopie seiner von dem Online-Glücksspielunternehmen im Zusammenhang mit seinem Glücksspiel verarbeiteten Daten digital übermittelt haben will. Es ist ausreichend spezifiziert, dass es sich um den Datensatz des Spielers handelt und nicht um jenen irgendeines sonstigen Spielers. Das Online-Glücksspielunternehmen kann bei einer großen Datenmenge grundsätzlich eine Konkretisierung verlangen, dies ist hier aber nicht erforderlich. Daher war das erstinstanzliche Urteil aufzuheben. Das Online-Glücksspielunternehmen muss dem Spieler eine Kopie der verarbeiteten Daten digital übermitteln und die Kosten des Verfahrens ersetzen.

·     Ein auf Art 15 Abs 1 und 3 DSGVO gestütztes Auskunftsersuchen dient auch dann einem legitimen Zweck, wenn es darauf abzielt, Beweismaterial für eine spätere Prozessführung zu beschaffen. Ein Auskunftsersuchen, das mit dem Motiv gestellt wird, einen späteren Prozess vorzubereiten, ist nicht rechtsmissbräuchlich (OLG Wien 12.02.2025, 33R23/25g).

·     Stellt eine Person ein Auskunftsersuchen, darf der Verantwortliche nur bei begründeten Zweifeln an der Identität der Person zusätzliche Informationen anfordern. Eine routinemäßige Identitätsprüfung ist unzulässig. Äußert der Verantwortliche in seinem vorprozessualen Antwortschreiben keine hinreichend deutlichen Zweifel an der Identität der Person, wird die Klage vom Verantwortlichen veranlasst (OLG Wien 20.02.2025, 4R191/24y).

BVwG 27.03.2025, W298 2285480-1

Erleichterungsgebot, Geldbuße, VStG, Anwendungsvorrang

·     Ein Kunde stellte ein Löschungsersuchen an die in der Datenschutzerklärung eines Reisebüros angegebene E-Mail-Adresse. Da die Adresse inaktiv war, erreichte das Ersuchen das Unternehmen nicht, sodass darauf nicht reagiert wurde. Der Kunde erhob daraufhin Datenschutzbeschwerde bei der DSB. Die DSB forderte das Reisebüro mehrmals zur Stellungnahme auf, erhielt jedoch keine Antwort. Nach Einleitung eines Verwaltungsstrafverfahrens und der Einvernahme des Geschäftsführers löschte das Reisebüro die Daten des Kunden und teilte dies der DSB mit. Mangels Bekanntgabe des Reisebüros zu seinen Einkommens- und Vermögensverhältnissen schätzte die DSB anhand des jährlichen Bilanzgewinns den Umsatz und verhängte eine Geldstrafe iHv EUR 15.000. Gegen dieses Straferkenntnis erhob das Reisebüro Bescheidbeschwerde an das BVwG. Das BVwG bestätigte das Straferkenntnis und schrieb dem Reisebüro einen zusätzlichen Kostenbeitrag iHv EUR 3.000 vor.

Das BVwG hat erwogen: Die Angabe einer nicht existenten oder inaktiven E-Mail-Adresse verhindert oder erschwert die Ausübung der Betroffenenrechte und verstößt gegen den Erleichterungsgrundsatz des Art 12 Abs 2 DSGVO. Die fehlende Reaktion auf das Löschbegehren verstößt gegen Art 12 Abs 3 iVm Art 17 DSGVO. Zudem hat das Reisebüro gegen die Mitwirkungspflicht gemäß Art 31 DSGVO verstoßen.

Die Bemessung der Geldbuße erfolgt ausschließlich nach den Kriterien des Art 83 Abs 1 bis 6 DSGVO. Im Anwendungsbereich der DSGVO bleibt daher kein Raum für die Anwendung nationaler Bestimmungen wie § 11 DSG (Verwarnung) oder § 33a VStG (Beratung), die zusätzliche Tatbestandserfordernisse hinsichtlich des behördlichen Ermessens normieren, wenn die DSB nach Art 58 DSGVO handelt. Das Verfahrensrecht der Mitgliedstaaten kommt nur insoweit zur Anwendung, als es nicht der Durchsetzung des Unionsrechts widerspricht.

Auch Ermessensbeschränkungen des § 5 VStG sind nicht anzuwenden. Das Verschulden des Verantwortlichen ist ausschließlich anhand der Bestimmungen des Art 83 Abs 1 und 2 DSGVO zu beurteilen. Die Strafbarkeit juristischer Personen und eingetragener Personengesellschaften richtet sich ausschließlich nach der Systematik des Art 4 Z 7 iVm Art 83 DSGVO und kann deren Haftung nicht auf zur Vertretung nach außen Berufene oder auf einen verantwortlichen Beauftragten einschränken. Auch betreffend § 19 VStG ist die Bemessung der Geldbuße ausschließlich anhand der von Art 83 Abs 1 bis 6 DSGVO normierten Kriterien durchzuführen. Die Erschwernis- und Milderungsgründe ergeben sich abschließend aus Art 83 Abs 2 DSGVO. Die § 20 VStG (außerordentliche Milderung der Strafe) und § 22 Abs 2 VStG (Kumulationsprinzip) bleiben daher im Anwendungsbereich des Art 83 Abs 3 DSGVO unangewendet.

Ein Unternehmen, das trotz mehrfacher Aufforderung nicht mit der DSB kooperiert, handelt vorsätzlich. Die Angabe einer inaktiven E-Mail-Adresse in der Datenschutzerklärung und die unterlassene Reaktion auf ein Löschungsersuchen begründen zumindest Fahrlässigkeit.

Mildernd ist zu berücksichtigen, dass die Daten im Laufe des Verfahrens nachträglich gelöscht wurden und eine erstmalige Verletzung der DSGVO vorliegt. Die fehlende Mitwirkung im Verwaltungs(straf)verfahren und der Umstand, dass die Datenschutzerklärung noch immer nicht geändert wurde, wirken sich erschwerend aus.

Die Erleichterung der Ausübung der Betroffenenrechte und die Kooperation mit der Aufsichtsbehörde sind ein Kernstück der datenschutzrechtlichen Pflichten nach der DSGVO. Ein solcher Verstoß ist daher nicht als geringfügig anzusehen. Um den Unwertgehalt der Tat zu verdeutlichen und eine zukünftige Kooperation mit Behörden und die Einhaltung datenschutzrechtlicher Pflichten sicherzustellen, scheint die Geldbuße erforderlich.

Auch generalpräventive Gründe sprechen für die Geldbuße, um zu verhindern, dass Verantwortliche durch verzögerte Mitwirkung die Ermittlungstätigkeit der Aufsichtsbehörde erschweren.

BVwG 04.03.2025, W176 2285563-1

Arzt, Rolle, Gesundheitsdaten, Weiterverarbeitung

·     Eine Versicherte war in einen Verkehrsunfall verwickelt und litt nach eigener Angabe seitdem an einem Tinnitus. Ihre Versicherung beauftragte daraufhin einen HNO-Facharzt mit der Erstellung eines Gutachtens. Bei einer persönlichen Untersuchung übergab die Versicherte dem Facharzt einige medizinische Befunde. Der Facharzt attestierte die Verletzungen als nicht unfallkausal (Erstgutachten). Die Haftpflichtversicherung des Unfallgegners erteilte dem Facharzt den Auftrag zur Erstellung eines weiteren Gutachtens. Der Facharzt griff dabei ua auf die ihm im Rahmen des Erstgutachtens übergebenen medizinischen Befunde der Versicherten zurück. Eine entsprechende Einwilligung der Versicherten lag nicht vor. Die gegnerische Haftpflichtversicherung legte das Zweitgutachten im Zivilprozess gegen die Versicherte vor.

Die DSB gab der Datenschutzbeschwerde der Versicherten statt. Sie stellte fest, dass der Facharzt gegen das Recht auf Geheimhaltung verstoßen habe, indem er Gesundheitsdaten der Versicherten, ohne deren Wissen und Einwilligung für das Zweitgutachten verarbeitet hatte. Der Facharzt erhob daraufhin (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Facharzt war iZm dem Zweitgutachten eigenständiger Verantwortlicher iSd Art 4 Z 7 DSGVO. Er erstellte das Zweitgutachten zwar im Auftrag der Haftpflichtversicherung, entschied jedoch selbst über Zwecke und Mittel der Verarbeitung.

Die medizinischen Befunde und das Erstgutachten sind Gesundheitsdaten iSd Art 4 Z 15 DSGVO und somit auch gemäß Art 9 Abs 1 DSGVO besonders geschützte Daten. Gemäß Art 9 Abs 2 lit a DSGVO ist die Verarbeitung von Gesundheitsdaten zulässig, wenn die Betroffene in die Verarbeitung ausdrücklich einwilligt. Die Versicherte hatte jedoch keine Einwilligung für die Verarbeitung ihrer Gesundheitsdaten für das Zweitgutachten erteilt.

Der Ausnahmetatbestand des Art 9 Abs 2 lit f DSGVO erlaubt die Verarbeitung von Gesundheitsdaten, wenn dies ua zur Geltendmachung von Rechtsansprüchen erforderlich ist. Die Verarbeitung muss jedoch mit den Grundsätzen des Art 5 DSGVO, darunter dem Zweckbindungsgrundsatz, vereinbar sein. Danach müssen die Zwecke der Verarbeitung bereits vor Beginn eindeutig feststehen. Die Gesundheitsdaten dürfen nur in einer mit dem Zweck, für den sie erhoben wurden, vereinbaren (kompatiblen) Weise verwendet werden. Durch die Zweckänderung – der Arzt verwendete die Gesundheitsdaten für das Zweitgutachten – war der Facharzt nicht mehr im Auftrag der Versicherung der Versicherten tätig, sondern für die Haftpflichtversicherung des Unfallgegners.

Der Facharzt hat somit für das Zweitgutachten die Gesundheitsdaten der Versicherten unzulässig weiterverarbeitet, weil der neue Verarbeitungszweck mit dem ursprünglichen nicht vereinbar war.

BVwG 05.09.2024, W211 2287218-1

Videoüberwachung, Personenbezug, Interessenabwägung, statistische Zwecke

·     Ein Unternehmen beauftragte eine Auftragsverarbeiterin mit der Errichtung eines videobasierten Personenzählsystems, um Besuchermengen zu ermitteln. Hierfür wurden 27 Videokameras im öffentlichen Raum einer Stadt montiert, wobei keine Kennzeichnung erfolgte. In Folge wurde die Personenzählung zu einer Frequenzmessung umgebaut. Die Kameras nahmen in Echtzeit auf und generierten digitales Bildmaterial, das an ein Computersystem eines externen Technologieunternehmens weitergeleitet und dort durch spezielle Software in Echtzeit analysiert und in Textdaten umgewandelt wurde. Die Bilddaten wurden dabei nach maximal 50 Millisekunden im Arbeitsspeicher gelöscht, eine (weitere) Speicherung des Bildmaterials erfolgte nicht. Die Livebilder konnten von der Auftragsverarbeiterin und dem Technologieunternehmen betrachtet werden, der Zugriff war jedoch beschränkt, weil zunächst ein Port freigeschalten werden musste. Zudem wurden solche Zugriffe protokolliert. Die durch die Besucherstromanalyse bzw Frequenzanalyse gewonnenen Daten sollten der Planung, Organisation und Durchführung von Events und Marketingmaßnahmen dienen.

Nachdem die DSB ein amtswegiges Prüfverfahren durchführte, untersagte sie die Datenverarbeitung durch die Kameras mit sofortiger Wirkung. Daraufhin erhob das Unternehmen eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Personenbezogene Daten liegen vor, wenn eine identifizierte oder identifizierbare natürliche Person betroffen ist. Auch wenn Betroffene erst nachträglich identifiziert werden können, kann es sich bei Bilddaten um personenbezogene Daten handeln. Für die Identifizierbarkeit muss nicht der Verantwortliche einen Personenbezug herstellen können, es reicht bereits aus, dass irgendeine dritte Person einen Bezug herstellen kann.

Die Daten wurden zweifelsfrei erhoben, erfasst und anschließend übermittelt, womit eine Verarbeitung iSd Art 4 Z 2 DSGVO vorliegt. Das Unternehmen ließ die Videokameras zu Zwecken der Personenzählung errichten und betrieb diese anschließend zu Zwecken der Frequenzzählung weiter. Damit ist das Unternehmen Verantwortliche iSd Art 4 Z 7 DSGVO.

Das Unternehmen hat ausgeführt, dass sie ein berechtigtes Interesse an der Erfassung und Auswertung habe. Marketinginteressen können grundsätzlich ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Die Verarbeitung muss jedoch erforderlich sein, auf das notwendigste beschränkt sein und die Grundrechte und Grundfreiheiten der Betroffenen dürfen nicht überwiegen. Die 27 Videokameras erfassten 24 Stunden täglich alle Zu- und Abgänge zu drei zentralen Orten. Dies führte zu einer lückenlosen Dokumentation aller Passanten ohne Unterscheidung von Personengruppen (etwa Kinder, Touristen, Anwohner oder Zufallsanwesende). Zudem wurden die Kameras nicht gekennzeichnet. Damit handelt es sich jedenfalls um eine exzessive und unverhältnismäßige Datenverarbeitung. Dem Unternehmen standen weniger eingriffsintensive Alternativen zur Verfügung, wie zB analoge Zählsysteme oder Laserscanner. Passanten dürfen erwarten, dass sie in öffentlich zugänglichen Bereichen nicht dauerhaft überwacht werden, insb wenn diese Bereiche der Erholung und Freizeit dienen. Das Geheimhaltungsinteresse der Betroffenen überwiegt damit das Marketinginteresse des Unternehmens.

Die Privilegierung nach § 7 DSG dient ua der Ermittlung und Verarbeitung von personenbezogenen Daten für statistische Zwecke. Diese Privilegierung umfasst jedoch nur die Verarbeitung pseudonymisierter Daten. Da es dem Verantwortlichen möglich war, durch Betrachtung der Livebilder vor der Umwandlung in eine Textdatei allfällige Identifizierungen durchzuführen, greift die Privilegierung des § 7 DSG nicht.

·     Die Feststellung einer Verletzung im Recht auf Geheimhaltung setzt die Verarbeitung personenbezogener Daten des Betroffenen voraus. Kann nicht festgestellt werden, dass an der in Rede stehenden Örtlichkeit eine zur Aufzeichnung personenbezogener Bilddaten geeignete Videokamera betrieben wird, kann keine Verletzung im Recht auf Geheimhaltung festgestellt werden. Das Amtswegigkeitsprinzip wird im Verfahren vor der DSB durch § 24 Abs 2 DSG eingeschränkt. Den Beschwerdeführer trifft eine Mitwirkungspflicht (BVwG 06.03.2025, W292 2284288-2).

·     Eine Verletzung des Rechts auf Geheimhaltung kann nur vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Zum Nachweis der Betroffenheit trifft den Betroffenen eine Mitwirkungspflicht (BVwG 05.03.2025, W211 2272384-1).

·     Das Erkenntnis des BVwG kann in gekürzter Form ausgefertigt werden, wenn von den Parteien auf die Revision beim VwGH und die Beschwerde beim VfGH verzichtet oder nicht innerhalb von zwei Wochen nach Zustellung der Niederschrift eine Ausfertigung des Erkenntnisses beantragt wird (BVwG 03.10.2024, W137 2261950-1 ua).

·     Der Missbrauch bzw die exzessive Ausübung des Rechts auf Erheben einer Datenschutzbeschwerde besteht nicht in der schieren Anzahl der eingebrachten Datenschutzbeschwerden, sondern liegt darin, dass die Datenschutzbeschwerde sich nicht auf Rechte bezieht, die die DSGVO dem Betroffenen verleiht (BVwG 10.03.2025, W137 2280882-2).

Leitlinien zum Schutz Minderjähriger im Internet nach dem Gesetz über digitale Dienste

Schutz Minderjähriger, Online-Plattformen

·     Die Kommission hat am 13.05.2025 die von ihr erarbeiteten Leitlinien zum Schutz von Minderjährigen im Internet zur öffentlichen Konsultation veröffentlicht. Bis zum 10.06.2025 können Interessenträger, einschließlich Kinder, Eltern und Erziehungsberechtigte, nationale Behörden, Anbieter von Online-Plattformen und Sachverständige Rückmeldungen einbringen. Die Veröffentlichung der Leitlinien wird für den Sommer 2025 erwartet. Gemäß Art 28 Digital Services Act ("Online-Schutz Minderjähriger") haben Online-Plattformen, die für Minderjährige zugänglich sind, geeignete und verhältnismäßige Maßnahmen zu ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen innerhalb ihres Dienstes zu sorgen. Konkret zu ergreifende Maßnahmen schreibt der DSA nicht vor, allerdings ermöglicht es Art 28 Abs 4 DSA der Kommission, Leitlinien zu veröffentlichen, die die Anbieter von Online-Plattformen "bei der Umsetzung der Maßnahmen unterstützen."

Die nun veröffentlichten Guidelines greifen den risikobasierten Ansatz auf, der dem DSA zugrunde liegt. Sie berücksichtigen überdies, dass verschiedene Plattformen unterschiedliche Risikoniveaus für Minderjährige aufweisen. Es sollen angemessene Schutzmaßnahmen erreicht werden, die sich anhand der Gefährdung durch den jeweiligen Dienst bestimmen, ohne dabei die Rechte von Kindern auf Teilhabe, Information und Meinungsfreiheit übermäßig einzuschränken.

Folgende Schutzmaßnahmen werden empfohlen: (i) Altersverifikationsmaßnahmen umsetzen, um das Risiko zu verringern, dass Kinder mit pornografischen oder anderweitig altersunangemessenen Inhalten in Kontakt kommen; (ii) Accounts von Kindern/Jugendlichen standardmäßig auf "privat" setzen, um das Risiko unerwünschter Kontakte durch Fremde zu senken; (iii) Empfehlungssysteme anpassen und dabei eindeutige Signale von Nutzern – etwa, ob ihnen Inhalte gefallen oder nicht – priorisieren, um zu verhindern, dass Minderjährige in sog "Rabbit Holes" mit schädlichen Inhalten geraten; (vi) Möglichkeiten für Minderjährige vorsehen, andere Nutzer zu blockieren oder stummzuschalten; und sicherstellen, dass sie nicht ohne ihre ausdrückliche Zustimmung zu Gruppen hinzugefügt werden können.

Aus der Rechtsprechung des EuGH:

·     Der EuGH hat die Niederlande, Belgien, Bulgarien und Lettland wegen der nicht fristgerechten Umsetzung der "RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors" (PSI-II-RL) verurteilt. Die Niederlande haben an die Kommission einen Betrag iHv EUR 10 Mio zu entrichten. Belgien wurde eine Geldzahlung iHv EUR 2,1 Mio auferlegt. Bulgarien wurde die Zahlung von EUR 900.000 vorgeschrieben und Lettland hat EUR 250.000 zu bezahlen (EuGH 22.05.2025, C-213/23, Kommission/Niederlande; C-215/23, Kommission/Belgien; C-237/23, Kommission/Bulgarien; C-238/23, Kommission/Lettland).

OGH 24.04.2025, 10Ob5/25w; 10Ob18/25g

Smart Meter, einstweilige Verfügung

·     Eine Netzbetreiberin wollte eichfällige Zähler gegen intelligente Messgeräte ("Smart Meter") austauschen und auf Wunsch der Netzbenutzer entsprechend § 1 Abs 6 IME-VO konfigurieren ("Opt-Out-Konfiguration"). Dennoch lehnten die Netzbenutzer den Austausch unter Verweis auf die Gefahr von "Elektrosmog" und datenschutzrechtlichen Bedenken ab. Die Netzbetreiberin drohte an, den Strom abzuschalten, wogegen die Netzbenutzer Anträge auf einstweilige Verfügungen stellten.

Der OGH hat erwogen: Die Weigerung eines Netzbenutzers, der Netzbetreiberin Zugang zu seinem Objekt (Wohnung) zu gewähren, damit die Netzbetreiberin einen (grundsätzlich funktionsfähigen) Stromzähler austauschen kann, ist qualitativ den Fällen des Zahlungsverzugs und der Verweigerung einer Vorauszahlung oder Sicherheitsleistung nicht gleichzuhalten. Diese Weigerung des Netzbenutzers rechtfertigt daher die Androhung der Stromabschaltung nicht. Weigert sich der Netzbenutzer jedoch, Zutritt zum Objekt zu gewähren, um einen der Eichpflicht unterliegenden eichfälligen Zähler auszutauschen, könnte das als Verletzung "wesentlicher anderer Pflichten" aus dem Netzzugangsvertrag zu werten sein. Ein solcher Verstoß ist hier aber deshalb nicht zu prüfen, weil der Netzbenutzer nur den Austausch des eichfälligen Stromzählers auf eine bestimmte andere Zählerart, nämlich auf einen Smart Meter, verweigert.

Nach § 1 IME-VO besteht keine Verpflichtung zum Einbau eines intelligenten Messgeräts bei diesem konkreten Netzbenutzer. Die Netzbetreiberin ist laut dieser Bestimmung zwar verpflichtet, bis Ende 2024 mindestens 95% der an ihrem Netz angeschlossenen Zählerpunkte als intelligente Messgeräte auszugestalten. Da laut dem eigenen Vorbringen der Netzbetreiberin bereits 99,97% ihrer Strommessgeräte Smart Meter sind, ist sie dieser Zielverpflichtung bereits nachgekommen und ist ihr der Einbau eines Smart Meters beim konkreten Netzbenutzer somit gesetzlich nicht vorgeschrieben.

Zur Abwehr der Androhung der Stromabschaltung steht dem Netzbenutzer eine einstweilige Verfügung gegen den Netzbetreiber zu. Dem Netzbetreiber steht es aber offen, selbst gerichtliche Hilfe bei der Durchsetzung seines Interesses auf Tausch des Stromzählers in Anspruch zu nehmen.

BVwG 24.03.2025, W101 2269148-1

Datenschutzbeauftragte, Aussageverweigerungsrecht, Rechtsirrtum

·     Im Zuge eines datenschutzrechtlichen Verwaltungsstrafverfahrens gegen eine GmbH sowie gegen deren Geschäftsführerin vor der DSB wurde die Datenschutzbeauftragte als Zeugin einvernommen. Aufgrund dieser Einvernahme weitete die DSB das Verwaltungsstrafverfahren auf weitere aus ihrer Sicht infrage kommende Verwaltungsübertretungen nach der DSGVO aus. In der darauffolgenden ergänzenden Zeugeneinvernahme berief sich die bereits zuvor einvernommene Datenschutzbeauftragte auf die Aussageverweigerungsgründe nach § 5 Abs 2 DSG sowie auf das Selbstbezichtigungsverbot. Daraufhin verhing die DSB eine Ordnungsstrafe, weil sie nicht davon ausging, dass die Aussageverweigerungsgründe einschlägig seien. Die Bestimmung des § 5 Abs 2 DSG gelte laut den Erläuterungen zur Bestimmung nicht gegenüber der DSB und beziehe sich darüber hinaus lediglich auf personenbezogene Daten, über die die Datenschutzbeauftragte im Rahmen ihrer Tätigkeit als solche Kenntnis erlangt habe. Die Bescheidbeschwerde der Datenschutzbeauftragten an das BVwG war erfolgreich.

Das BVwG hat erwogen: Für Fälle der ungerechtfertigten Aussageverweigerung kann gemäß § 49 Abs 5 AVG eine Ordnungsstrafe über einen Zeugen verhängt werden. Zwar hat die DSB die Bestimmung des § 5 Abs 2 DSG, wonach dieser Aussageverweigerungsgrund nicht gegenüber der DSB gilt, rechtskonform angewendet. Die Kann-Bestimmung des § 49 Abs 5 AVG zur Verhängung einer Ordnungsstrafe wendete die DSB hingegen zu Unrecht an. Die Bestimmung des § 5 Abs 2 DSG kann nämlich von einer nicht rechtskundigen Person durchaus in einer solchen Weise bzw Lesart interpretiert werden, die eine darauf begründete Aussageverweigerung auch gegenüber der DSB rechtfertigt. Die Umstände, wonach eine Berufung auf § 5 Abs 2 DSG gegenüber der DSB nicht möglich ist, können nämlich nur in den Erläuterungen zur Bestimmung nachgelesen werden. Einer nicht rechtskundigen Person kann nicht zugemutet werden, sich neben der Sichtung einer Gesetzesbestimmung noch zusätzlich mit den Materialien vertraut machen zu müssen. Die Datenschutzbeauftragte ist einem nicht vorwerfbaren Rechtsirrtum über die Interpretation des § 5 Abs 2 DSG unterlegen, der eine Verhängung einer Ordnungsstrafe nicht rechtfertigt.

BVwG 01.04.2025, W252 2297124-1

Anwendungsbereich, Paketzustellung, Rollenverteilung

·     Eine Braut bestellte bei einem Unternehmen Hochzeitseinladungen, die personenbezogene Daten ihres künftigen Ehemannes enthielten, darunter ua Name, Telefonnummer und Ort der Hochzeitsfeier. Ein beauftragtes Versandunternehmen übergab das Paket einem Frächter zur Zustellung. Der Frächter stellte das Paket jedoch ohne Abstellgenehmigung vor der Wohnung des Brautpaars ab. Diese fanden das Paket aufgerissen und geleert vor.

Die DSB gab der Datenschutzbeschwerde des Bräutigams gegen das Versandunternehmen statt. Sie stellte fest, dass das Versandunternehmen den Bräutigam durch das Abstellen des Pakets ohne entsprechende Genehmigung in seinem Recht auf Geheimhaltung verletzt habe. Dadurch seien personenbezogene Daten des Bräutigams Dritten offengelegt worden. Es habe durch die unzureichende Zustellung nicht für eine geeignete Sicherheit der Verarbeitung gesorgt und damit auch den Grundsatz der Integrität und Vertraulichkeit verletzt. Das Versandunternehmen erhob daraufhin (erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Sie gilt auch für eine nichtautomatisierte Verarbeitung, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die DSGVO unterscheidet weder hinsichtlich der Intensität oder Dauer der jeweiligen Verarbeitung noch wird iZm der für die Verarbeitung eingesetzten Technik eine Differenzierung vorgenommen. Die Datenverarbeitung umfasst den gesamten Vorgang, dh vom Zeitpunkt der Online-Bestellung von Hochzeitseinladungen durch die Braut, der Eingabe der persönlichen Daten des Bräutigams, der Produktion der Hochzeitseinladungen, bis zum Versand.

Gemäß Art 4 Z 7 DSGVO ist "Verantwortlicher" derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das Versandunternehmen hatte weder auf den Zweck noch auf die Mittel der Verarbeitung Einfluss. Erstellung und Druck der Hochzeitseinladungen erfolgen gänzlich außerhalb dessen Sphäre. Ein allfälliges Eigeninteresse des Versandunternehmens bzw eine Verarbeitung in dessen Namen bezieht sich ausschließlich auf die Versanddaten des Pakets, aber nicht auf dessen Inhalt. Folglich wird dadurch ebenfalls keine Verantwortlichkeit begründet.

Eine Datenschutzbeschwerde ist abzuweisen, wenn sie sich unzweifelhaft gegen eine Person oder Stelle richtet, die nicht Verantwortlicher der betreffenden Datenverarbeitung ist.

BVwG 10.02.2025, W287 2265979-1

Online-Handel, Zustellbenachrichtigung, Rollenverteilung

·     Ein international tätiger Versanddienstleister übernahm die Zustellung eines Pakets, das eine Kundin bei einem Online-Händler bestellt hatte. Der Händler beauftragte die Übermittlung eines Terminavisos (elektronische Zustellbenachrichtigung) an eine bestimmte E-Mail-Adresse. Dabei kam es zur irrtümlichen Verwendung der E-Mail-Adresse eines Mitbewohners der Kundin. Dieser erhielt daraufhin Informationen über die bevorstehende Zustellung des Pakets und konnte Verfügungen darüber treffen. Die Kundin erachtete sich dadurch in ihrem Recht auf Geheimhaltung verletzt. Die DSB gab der Datenschutzbeschwerde statt und stellte fest, dass eine Verarbeitung fehlerhafter Daten weder vertraglich noch durch ein berechtigtes Interesse gedeckt sei. Dagegen erhob der Versanddienstleister erfolgreiche Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Als "Auftragsverarbeiter" wird jemand angesehen, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art 4 Z 8 DSGVO). Der Auftragsverarbeiter darf die Daten nicht anders als nach den Anweisungen des Verantwortlichen verarbeiten.

Der Händler hat den Auftrag zum Versand des Pakets sowie zur Versendung eines Terminavisos an die Kundin erteilt und die Mittel selbst bestimmt. Eine maßgebliche eigenverantwortliche Entscheidungsgewalt des Versanddienstleisters ist somit nicht hervorgekommen. Dieser hat somit weder über den Zweck noch über die Mittel der Datenverarbeitung entschieden und kann für sie daher nicht Verantwortlicher iSd Art 4 Z 7 DSGVO sein. Der Versanddienstleister agierte nur als Auftragsverarbeiter des Händlers. Dem Versanddienstleister kann als bloßer Auftragsverarbeiter nicht die Fehlerhaftigkeit der im Auftrag der Versenderin verarbeiteten Daten zugerechnet werden.

Aus der weiteren Rechtsprechung des BVwG:

·     Die Zurückziehung einer Bescheidbeschwerde führt zum Erlöschen der Entscheidungspflicht und damit aus der Sicht des Beschwerdeführers, der die Bescheidbeschwerde zurückgezogen hat, zum Verlust des Erledigungsanspruchs. Geht der Erledigungsanspruch verloren, ist das Verfahren mit Beschluss einzustellen (BVwG 28.03.2025, W287 2301192-1; 31.03.2025, W137 2289435-1).

·     Unter www.signaturpruefung.gv.at steht ein durch die Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) betriebenes zentrales Prüfservice für amtssignierte elektronische Dokumente zur Verfügung. Unter Verifizierung iSd § 20 E-GovG ist die Bestätigung zu verstehen, dass die als Ausdruck vorliegende Erledigung einer Behörde von dieser stammt. Ein zu prüfender Bescheid muss für die Verifizierung zur Gänze vorliegen, wobei ein Abbild (Scan, Kopie) ausreicht. Somit kann nur ein digital vorliegender amtssignierter Bescheid unmittelbar online verifiziert werden. Ausdrucke (somit in Papierform vorliegende Schriftstücke) von amtssignierten elektronischen Dokumenten können nicht direkt online verifiziert werden, sie können jedoch zur Prüfung übermittelt werden (LVwG Innsbruck 14.05.2025, LVwG-2024/27/1150-1).

·     Da aus der Liegenschaftsadresse auf die Identität und Wohnadresse des Grundstückseigentümers geschlossen werden kann, ist die Bekanntgabe der Liegenschaftsadresse ein personenbezogenes Datum. Die Betroffenen haben ein Geheimhaltungsinteresse an ihren von einem Abbruchantrag betroffenen Grundstücksadressen. Dem antragstellenden Gemeinderatsabgeordneten und Landtagsabgeordneten kommen jedoch aufgrund seiner Stellung umfassende Kontrollbefugnisse und Kontrollpflichten zu, weshalb die Interessenabwägung zu seinen Gunsten ausfällt. Die Baupolizei (MA 37) hat die Adressen der Liegenschaften bekanntzugeben, für die Ansuchen auf Abbruch von Bauwerken wegen wirtschaftlicher Abbruchreife eingebracht worden sind (LVwG Wien 13.01.2025, VGW-101/042/17553/2024).

 DSB 13.01.2022, 2021-0.450.072

Berufsemail, Löschung, Datenübertragung, Informationspflicht, Einschränkung

·     Ein ehemaliger Mitarbeiter eines Transportunternehmens nutzte während seiner Anstellung eine rein zu beruflichen Zwecken eingerichtete E-Mail-Adresse. Nach seinem Ausscheiden gingen auf diese E-Mail-Adresse weiterhin E-Mails ein, darunter Rechnungen und geschäftliche Korrespondenz. Das Unternehmen nahm nur Einsicht in die beruflichen E-Mails und leitete diese weiter. Einen Monat nach der Deaktivierung des E-Mail-Accounts wurde dieser vollständig gelöscht. Der ehemalige Mitarbeiter verlangte die Übermittlung sämtlicher auf dem E-Mail-Account gespeicherten personenbezogenen Daten, einschließlich privater und beruflicher Korrespondenz sowie deren Löschung oder Einschränkung der Verarbeitung. Das Transportunternehmen kam diesem Ersuchen teilweise nach, indem es eine datenschutzrechtliche Auskunft erteilte und die privaten E-Mails löschte. Daraufhin erhob der ehemalige Mitarbeiter (erfolglos) Datenschutzbeschwerde an die DSB.

Die DSB hat erwogen: Der Anwendungsbereich des Grundrechts auf Datenschutz ist eröffnet, weil es sich um personenbezogene Daten des ehemaligen Mitarbeiters handelt, an deren Geheimhaltung dieser ein schutzwürdiges Interesse hat. Das Geheimhaltungsrecht gilt jedoch nicht absolut. Eine Verarbeitung personenbezogener Daten ist zulässig, wenn überwiegende berechtigte Interessen eines anderen vorliegen.

Das Transportunternehmen verarbeitet die Daten auf Grundlage berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO. Da die E-Mail-Adresse aufgrund einer dienstlichen Anweisung ausschließlich für berufliche Zwecke genutzt werden durfte, konnte das Transportunternehmen davon ausgehen, dass neu eingehende E-Mails geschäftlich sind. Selbst bei Unkenntnis des ehemaligen Mitarbeiters über die dienstliche Anweisung besteht ein berechtigtes Interesse des Transportunternehmens, den ungestörten Geschäftsablauf sicherzustellen – etwa durch die Einsicht in bzw die Weiterleitung von Rechnungsdaten und beruflichen E-Mails. Den berechtigten Interessen des Transportunternehmens war daher ein höherer Stellenwert einzuräumen als den berechtigten Interessen des ehemaligen Mitarbeiters. Der Eingriff in das Recht auf Geheimhaltung war daher gerechtfertigt.

Der Anspruch auf Datenübertragbarkeit bezieht sich nur auf Daten, die dem Verantwortlichen von der betroffenen Person bereitgestellt wurden. Chat-Verläufe und empfangene E-Mails, die neben Äußerungen des Betroffenen auch solche anderer Personen enthält, fallen daher nicht unter den Anspruch des Art 20 DSGVO. Darüber hinaus dürfen bei der Ausübung des Rechts auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Da der ehemalige Mitarbeiter nun für ein Konkurrenzunternehmen arbeitet und sich in dem E-Mail-Account berufliche E-Mails mit diversen Geschäftskontakten und Rechnungsdaten befinden, würde die Datenübertragung die Rechte und Freiheiten des Transportunternehmens und seiner Geschäftskunden beeinträchtigen. Auch private E-Mails könnten Informationen über Dritte enthalten und deren Interessen beeinträchtigen.

Das Transportunternehmen erteilte dem ehemaligen Mitarbeiter bereits vor Erhebung der Datenschutzbeschwerde eine datenschutzrechtliche Auskunft, womit sämtliche Metainformationen, die nach Art 13 und 14 DSGVO zur Verfügung zu stellen sind, bereits im Rahmen der Erfüllung des Auskunftsrechts nach Art 15 Abs 1 DSGVO übermittelt wurden. Die Informationspflicht entfällt gemäß Art 13 Abs 4 bzw Art 14 Abs 5 lit a DSGVO, wenn der Betroffene über die entsprechenden Informationen verfügt. Eine Informationspflicht über Datenübermittlungen in Drittländer besteht nur, wenn eine solche tatsächlich beabsichtigt wird.

Das Recht auf Löschung besteht nicht, wenn gesetzliche Aufbewahrungspflichten entgegenstehen. Darüber hinaus ist die Speicherung der beruflichen E-Mails zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, weil zwischen dem Transportunternehmen und dem neuen Arbeitgeber des ehemaligen Mitarbeiters bereits Rechtsstreitigkeiten anhängig sind. Zudem steht eine weitere Klagsführung des Transportunternehmens gegen den ehemaligen Mitarbeiter unmittelbar vor der gerichtlichen Einbringung.

Das Recht auf Einschränkung der Datenverarbeitung setzt eine objektiv rechtswidrige Verarbeitung voraus. Die Verarbeitung der Daten durch das Transportunternehmen war jedoch rechtmäßig, sodass kein Anspruch auf Einschränkung der Datenverarbeitung besteht.

·     Am 03.06.2025 wird vor dem EuG die mündliche Verhandlung in der Rs T-1078/23, Meta Platforms/Kommission, stattfinden. Gegenstand des Verfahrens ist, ob die von Meta angebotenen Plattformdienste "Facebook Messenger" und "Facebook Marketplace" gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dienen (Art 3 Abs 1 lit b Digital Markets Act [DMA]). Anm: Diese mündliche Verhandlung war ursprünglich für den 15.05.2025 angekündigt.

·     Am 05.06.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-526/24, Brillen Rottler, stattfinden. Gegenstand des Verfahrens sind Rechtsmissbrauch und Schadenersatz.

·     Am 12.06.2025 wird vor dem EuG die mündliche Verhandlung in der Rs T-367/23, Amazon EU/Kommission, stattfinden. Gegenstand des Verfahrens ist die Benennung von "Amazon Store" als große Online-Plattform iSd Digital Markets Act (DMA).

·     Am 26.06.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-514/24, Magyar Telekom, stattfinden. Gegenstand des Verfahrens ist die rechtliche Qualifikation von (i) Urteilen des EuGH, (ii) Leitlinien des Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) und (iii) Entscheidungen nationaler Regulierungsbehörden iZm dem Europäischen Kodex für die elektronische Kommunikation (EKEK).