Schönherr Datenschutzmonitor

Willkommen zu unserem wöchentlichen Datenschutz-Update. Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen. Erfasst wird die relevante Rechtsprechung in Österreich und auf europäischer Ebene. Neben der kurzen Zusammenfassung der einzelnen Entscheidungen zeigt der Datenschutzmonitor die Entwicklung von Rechtsprechungslinien auf.

>> Registrieren Sie sich, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<

Die Datenschutzmonitor Jahresausgabe 2024 finden Sie hier.

März

05.03.

Datenschutzmonitor 05.03.2025

Rechtsprechung des EuGH

EuGH 25.02.2025, C-233/23, Alphabet

Missbrauch einer beherrschenden Stellung, Interoperabilität

· Google, eine Tochtergesellschaft von Alphabet, entwickelte das Betriebssystem Android OS und die digitale Plattform Android Auto. Ein italienisches Unternehmen führte eine App ein, die verschiedene Funktionen für das Aufladen von Elektrofahrzeugen bietet und ersuchte Google, die Interoperabilität der App mit Android Auto zu gewährleisten. Google lehnte dies "aus Sicherheitsgründen" und der "Notwendigkeit einer rationalen Zuweisung von Ressourcen" ab. Der Anbieter der App wandte sich an die italienische Wettbewerbsbehörde AGCM, die feststellte, dass Google gegen Art 102 AEUV (missbräuchliche Ausnutzung einer beherrschenden Stellung auf dem Binnenmarkt) verstoßen hatte. Google legte gegen diese Entscheidung Rechtsmittel ein.

Das vorlegende Gericht fragte den EuGH, (i) ob ein Unternehmen verpflichtet ist, seine Erzeugnisse anzupassen oder neu zu entwickeln, um anderen Zugang zu gewähren, und (ii) ob es dabei die Marktanforderungen und Bedürfnisse des ersuchenden Unternehmens berücksichtigen muss, sowie ob (iii) der Zugang zu einem Erzeugnis für die Ausübung einer bestimmten Tätigkeit auf einem benachbarten Markt unerlässlich ist und (iv) ob missbräuchliches Verhalten angenommen werden kann, wenn das ersuchende Unternehmen und seine Wettbewerber trotz fehlenden Zugangs auf dem Markt tätig bleiben und wachsen.

Der EuGH hat erwogen: Art 102 AEUV verbietet die missbräuchliche Ausnutzung einer beherrschenden Stellung auf dem Binnenmarkt. Ein Missbrauch liegt vor, wenn ein Unternehmen in beherrschender Stellung den Zugang zu einer Infrastruktur verweigert, die für die Ausübung der Tätigkeit eines Wettbewerbers unerlässlich ist und keinen tatsächlichen oder potenziellen Ersatz hat. Google entwickelte Android Auto nicht ausschließlich für eigene Zwecke, sondern ermöglichte Drittunternehmen den Zugang. Daher ist die Voraussetzung der Unerlässlichkeit nicht anwendbar. Der Umstand, dass das Unternehmen und seine Wettbewerber auf dem Markt tätig blieben und ihre Stellung ausbauten, obwohl sie die Interoperabilität nicht nutzen konnten, bedeutet nicht, dass die Weigerung keine wettbewerbswidrigen Auswirkungen haben konnte. Es ist zu prüfen, ob das Verhalten von Google geeignet war, die Aufrechterhaltung oder Entwicklung des Wettbewerbs zu behindern. Google kann sich als objektive Rechtfertigung für die Weigerung darauf berufen, dass es zum Zeitpunkt des Ersuchens kein Template gab, das die Interoperabilität gewährleistete, wenn die Interoperabilität die Integrität oder Sicherheit der Plattform gefährden würde oder aus technischen Gründen unmöglich wäre. Ist dies nicht der Fall, ist Google verpflichtet, ein solches Template innerhalb eines angemessenen Zeitraums und gegebenenfalls gegen eine angemessene finanzielle Gegenleistung zu entwickeln. Eine genaue Definition des sachlich und räumlich relevanten Marktes ist nicht erforderlich.

EuGH 27.02.2025, C-203/22, Dun & Bradstreet

Automatisierte Entscheidungsfindung, Profiling, Auskunftsrecht, Geschäftsgeheimnis

· Ein Mobilfunkanbieter verweigerte einer Betroffenen den Vertragsabschluss bzw -verlängerung, weil sie laut einem Bonitätsscore, den der Mobilfunkanbieter von Dun & Bradstreet (D&B) erhielt, nicht kreditwürdig gewesen sein soll. Die DSB trug D&B aufgrund der Datenschutzbeschwerde der Betroffenen auf, aussagekräftige Informationen über die "involvierte Logik" zu übermitteln. D&B beschwerte sich beim BVwG und berief sich ua auf das Vorliegen eines Geschäftsgeheimnisses. Das BVwG entschied, dass die von D&B erteilte Auskunft nicht ausreichte, um die Betroffene in die Lage zu versetzen, nachzuvollziehen, wie ihr Bonitätsscore prognostiziert wurde. Nachdem das Erkenntnis rechtskräftig und vollstreckbar wurde, beantragte die Betroffene beim Magistrat der Stadt Wien die Vollstreckung des Erkenntnisses, dh die Ergänzung der Auskunft. Obwohl D&B nach Erlass des Erkenntnisses keine weitere Auskunft erteilt hatte, wurde dieser Vollstreckungsantrag mit der Begründung abgewiesen, dass D&B ihrer Auskunftspflicht bereits ausreichend nachgekommen sei. Die Betroffene erhob Bescheidbeschwerde an das LVwG Wien, das den EuGH um Vorabentscheidung ersuchte.

Der EuGH hat erwogen: Aus Art 15 Abs 1 lit h DSGVO ergibt sich ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung. Die Wortfolge "aussagekräftige Informationen über die involvierte Logik" einer automatisierten Entscheidungsfindung umfasst alle maßgeblichen Informationen zum Verfahren und zu den Grundsätzen der automatisierten Verarbeitung zwecks Erreichen eines bestimmten Ergebnisses. Die zu erteilende Information soll der Betroffenen insbesondere ermöglichen, die ihr nach Art 22 Abs 3 DSGVO zustehenden Rechte auf Darlegung ihres eigenen Standpunkts und auf Anfechtung der Entscheidung auszuüben.

Um zu gewährleisten, dass die Betroffene in die Lage versetzt wird, die ihr vom Verantwortlichen übermittelten Informationen in vollem Umfang zu verstehen, sind sie in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Die DSGVO verlangt keine ausführliche Erläuterung der verwendeten Algorithmen oder die Offenlegung des gesamten Algorithmus. Die Übermittlung einer komplexen mathematischen Formel und die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung sind keine ausreichend präzisen und verständlichen Erläuterungen. Der Verantwortliche sollte einfache Möglichkeiten finden, die Betroffene über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw Kriterien zu informieren. Beim Profiling könnte es ausreichend transparent und nachvollziehbar sein, darzulegen, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.

Die gemäß Art 15 Abs 1 lit h DSGVO zu erteilenden Informationen können zu einer Beeinträchtigung der Rechte und Freiheiten anderer Personen führen, insbesondere, wenn sie durch die DSGVO geschützte personenbezogene Daten Dritter oder ein Geschäftsgeheimnis enthalten. Diesfalls sind diese Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des Auskunftsrechts zu ermitteln.

Die Anwendung einer nationalen Bestimmung wie § 4 Abs 6 DSG, die das Auskunftsrecht der betroffenen Person grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis gefährden würde, steht im Widerspruch zu Art 15 DSGVO. Die Abwägung der einander gegenüberstehenden Rechte und Interessen muss auf Einzelfallbasis erfolgen. Anm: Geradezu in einem Nebensatz erklärt der EuGH die Bestimmung des § 4 Abs 6 DSG für unionsrechtswidrig. Spannend an diesem Fall ist, dass er bereits die Vollstreckung eines Erkenntnisses des BVwG betrifft. Die erstinstanzliche Vollstreckungsbehörde verweigerte die Vollstreckung mit dem Einwand, dass der Spruch des Erkenntnisses viel zu unpräzise sei. Die zweite Instanz holte zunächst ein technisches Gutachten ein und stellte dann unzählige Fragen an den EuGH. Nach dem Urteil des EuGH bleibt weiterhin unklar, was tatsächlich zu beauskunften ist (zB: "Der Verantwortliche sollte einfache Möglichkeiten finden").

EuGH 27.02.2025, C-638/23, Amt der Tiroler Landesregierung

Rollenverteilung per Gesetz, öffentliche Stelle

· Das Amt der Tiroler Landesregierung (Amt) versendete im Rahmen von Maßnahmen zur Bekämpfung der Covid-19-Pandemie Impferinnerungsschreiben an alle im Land Tirol wohnhaften volljährigen Personen, die noch nicht gegen das Virus geimpft waren. Zur Ermittlung der Adressaten beauftragte das Amt zwei private Unternehmen, die die Daten des zentralen Impfregisters mit jenen des Patientenindex abglichen. Einer der Adressaten reichte daraufhin eine Datenschutzbeschwerde bei der DSB ein, weil er die Verarbeitung seiner personenbezogenen Daten für unrechtmäßig hielt. Die DSB stellte fest, dass das Amt für das Impfregister und den Patientenindex nicht zugriffsberechtigt und die Verarbeitung daher rechtswidrig war. Das Amt erhob eine Bescheidbeschwerde an das BVwG, welche abgewiesen wurde. Daraufhin erhob das Amt Revision an den VwGH, der den EuGH fragte, ob das Amt durch die Bestimmung des § 2 Abs 1 lit a Tiroler Datenverarbeitungsgesetz ("TDVG") als "Verantwortlicher" iSd Art 4 Z 7 DSGVO gilt, obwohl es keine juristische Person ist und nur als Hilfsapparat des Landeshauptmanns an der Verarbeitung beteiligt war und keine Rechtspersönlichkeit und Rechtsfähigkeit hat.

Der EuGH hat erwogen: Der Begriff des Verantwortlichen iSd Art 4 Z 7 DSGVO umfasst natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Nationale Regelungen können Verantwortliche festlegen, wenn die Zwecke und Mittel der Verarbeitung durch das nationale Recht vorgegeben sind. Die weite Definition des Begriffs "Verantwortlicher" soll einen wirksamen und umfassenden Schutz der Betroffenen gewährleisten.

Die Feststellung, ob eine Person oder Einrichtung als Verantwortliche einzustufen ist, erfordert die Prüfung, ob diese allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet oder ob ihre Rolle als Verantwortliche durch das nationale Recht vorgegeben ist. Eine Stelle kann auch dann als Verantwortliche eingestuft werden, wenn sie keine Rechtspersönlichkeit besitzt, solange sie über eine gewisse Entscheidungs- und Handlungsfähigkeit bei der Verarbeitung personenbezogener Daten verfügt. Die Verantwortliche muss die rechtlichen Verpflichtungen erfüllen können, die die DSGVO auferlegt, unabhängig davon, ob die Stelle Rechtspersönlichkeit und eine eigene Rechtsfähigkeit hat. Die unmittelbare Benennung einer Stelle als Verantwortliche ist rechtswirksam, wenn die nationale Regelung den Umfang der Verarbeitung personenbezogener Daten vorgibt. Es ist jedoch nicht erforderlich, dass der Gesetzgeber alle Verarbeitungsvorgänge abschließend aufzählt. Eine nationale Regelung, die eine Stelle als Verantwortliche benennt, ist mit Art 4 Z 7 DSGVO vereinbar, wenn diese Regelung explizit oder implizit den Umfang der Verarbeitung personenbezogener Daten vorgibt.

Eine nach nationalem Recht als Verantwortliche benannte Stelle muss nicht selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, um als Verantwortliche Anfragen beantworten zu müssen, die Betroffenen aufgrund ihrer Rechte aus der DSGVO an sie richten. Die Rechtswirksamkeit einer unmittelbaren Benennung wird nicht dadurch berührt, dass die benannte Stelle keine Kontrolle über die personenbezogenen Daten ausübt, die sie zu verarbeiten hat. Daher steht Art 4 Z 7 DSGVO einer nationalen Regelung, in der als Verantwortliche ein Hilfsapparat der Verwaltung benannt ist, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, nicht entgegen, sofern diese Stelle die Pflichten eines Verantwortlichen erfüllen kann und die nationale Regelung den Umfang der Verarbeitung personenbezogener Daten vorgibt, für die diese Stelle verantwortlich ist.

EuGH Schlussanträge 27.02.2025, C-57/23, Policejní presidium

Biometrische und genetische Daten, DSRL-PJ, Recht der Mitgliedstaaten

· In einem Ermittlungsverfahren wurden von einer Verdächtigen genetische Daten durch einen Mundhöhlenabstrich erhoben. Das geltende tschechische Recht erlaubte diese Maßnahme bei Personen, die einer Vorsatztat beschuldigt oder verdächtigt wurden, unabhängig von der Strafhöhe. Eine Höchstspeicherdauer der erhobenen Daten war nicht festgelegt. Das vorlegende Gericht fragte den EuGH, (i) ob die in der Richtlinie 2016/680 (DSRL-PJ) festgelegten Anforderungen eine undifferenzierte Erhebung biometrischer und genetischer Daten erlauben, (ii) ob für die Speicherung eine feste zeitliche Beschränkung vorgesehen sein muss und (iii) ob Rechtsprechung nationaler Verwaltungsgerichte als "Recht der Mitgliedstaaten" zu verstehen ist.

Der Generalanwalt hat erwogen: Die Kriterien für die Bewertung der Erforderlichkeit einer Datenverarbeitung nach Art 10 der DSRL-PJ sind die Art und Schwere der mutmaßlichen Straftat, die besonderen Umstände der Straftat, der Zusammenhang der Tat mit laufenden Verfahren sowie die Vorstrafen oder das individuelle Profil der Betroffenen. Eine Regelung, welche die Erhebung biometrischer und genetischer Daten aller Personen erlaubt, die beschuldigt oder verdächtigt werden, eine vorsätzliche Straftat begangen zu haben, ist unzulässig, wenn keine Einzelfallprüfung der unbedingten Erforderlichkeit der Datenverarbeitung vorgesehen ist.

Nach der DSRL-PJ sind keine fest definierten Löschfristen erforderlich, eine periodische Überprüfung der Notwendigkeit der Speicherung von Daten reicht aus. Zusätzlich zu der periodischen Überprüfung brauchen Betroffene das Recht, Auskunft über die Dauer, oder die Kriterien für die Festlegung der Dauer der Datenspeicherung zu erhalten, um ihre Betroffenenrechte ausüben zu können. Für die Speicherung biometrischer und genetischer Daten müssen Bestimmungen klare und deutliche Zwecke enthalten, um die Zweckerreichung und damit den Löschzeitpunkt ableiten zu können. Kriterien zur Beurteilung der Speicherdauer sind die Art und Schwere des Sachverhalts, die verstrichene Zeit, die verbleibende gesetzliche Aufbewahrungsfrist, die Höhe des Risikos weiterer Straftaten, der Kontext der Straftat, ein Zusammenhang mit anderen laufenden Verfahren oder die Vorgeschichte und das Profil der Betroffenen.

Rechtsprechung von Mitgliedstaaten ist, wenn sie zugänglich, vorhersehbar und konstant ist sowie hinreichende materielle Charakteristika aufweist, als "Recht der Mitgliedstaaten" iSd DSRL-PJ zu sehen. Dennoch reicht auch eine Rechtsprechung, die eine ständige Verwaltungspraxis bestätigt, nicht aus, um an die Stelle einer allgemein geltenden Vorschrift zu treten. Denn bei der Verarbeitung besonders sensibler Daten müssen hinreichend strenge Garantien in einem verbindlichen und in der Anwendung vorhersehbaren Rechtsakt, der im Bereich der Verarbeitung dieser Daten maßgebend ist, festgelegt sein. Anm: Der Generalanwalt spricht bei biometrischen und genetischen Daten von einer besonderen Sensibilität. Sollte der EuGH sich dieser Ansicht anschließen, entsteht eine Rangordnung zwischen den sensiblen Datenkategorien.

Rechtsprechung der Justiz

· Der Tatverdacht zum Vorwurf des Überlassens von Suchtgift stützte sich nicht auf die Auswertung der SKY ECC-Chatprotokolle (Auswertung eines Mobiltelefons), sondern auf belastende Angaben der Suchtmittelabnehmer und die Sicherstellung von Suchtgift. Da somit bereits ein dringender Verdacht auf erheblichen Suchtgifthandel bestand, fehlte es der Grundrechtsbeschwerde an einer hinreichenden Begründung für einen Beweisverwertungsmangel und einer Verletzung des Grundrechts auf persönliche Freiheit lag nicht vor. Mit der Behauptung einer Verletzung der Grundrechte auf ein faires Verfahren gemäß Art 6 EMRK und auf Schutz der Privatsphäre gemäß Art 8 EMRK durch die Verwertung von SKY ECC-Chats wird keine Garantie des Grundrechts auf persönliche Freiheit gemäß Art 5 EMRK thematisiert und solcherart der Anfechtungsrahmen einer Grundrechtsbeschwerde verlassen (OGH 18.02.2025, 14Os11/25m).

Rechtsprechung des BVwG

BVwG 28.01.2025, W108 2286343-1

Identifikationsregister, e-Card, Auskunft, Verantwortliche

· Einer Betroffenen wurde eine neue e-Card mit aufgebrachtem Lichtbild zugesandt. Die Polizei führte während eines Verwaltungsstrafverfahrens eine Abfrage des Lichtbilds des Reisepasses der Betroffen durch. Beide Abfragen erfolgten aus dem Identifikationsregister ("IDR"), das von den Passbehörden als Gemeinsam Verantwortliche betrieben wird. Die Betroffene stellte ein Auskunftsersuchen an die zuständige Passbehörde. In der erteilten Auskunft schienen weder der Hauptverband der Sozialversicherungsträger noch die Polizei als Empfänger auf.

Die Betroffene erachtete sich in ihrem Recht auf Auskunft verletzt und brachte gegen die zuständige Passbehörde eine Datenschutzbeschwerde bei der DSB ein. Diese gab der Datenschutzbeschwerde teilweise (aber aus anderen Gründen) statt und stellte ua fest, dass die Passbehörde nur unvollständige Auskunft über konkret verarbeitete (Stamm-)Daten erteilt hat. Im Übrigen wurde die Datenschutzbeschwerde abgewiesen. Dagegen erhob die Betroffene (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Passbehörden stellen nur die Infrastruktur zur Verfügung, um Abfragen aus dem IDR zu ermöglichen. Die Sicherheitsbehörden und der Dachverband der österreichischen Sozialversicherungsträger sind selbständige Verantwortliche. Sie haben eine automatische Zugriffsmöglichkeit auf Daten des IDR, die an keine Zustimmung und keinen Verarbeitungsvorgang innerhalb der Passbehörde geknüpft ist. Eine gemeinsame Verantwortlichkeit mit den Passbehörden besteht nicht. Vielmehr hatten Bedienstete der Sicherheitsbehörden bzw Mitarbeiter des Dachverbands der Sozialversicherungsträger für ihre jeweilige Behörde gewisse Abfragen aus dem IDR hinsichtlich des Lichtbilds der Betroffenen zu tätigen. Mangels Verantwortlicheneigenschaft der zuständigen Passbehörde war die erteilte Auskunft in dieser Hinsicht nicht mangelhaft.

· Entspricht ein Verantwortlicher im Laufe des Verfahrens vor dem BVwG einem Löschungsersuchen, wird der Betroffene dadurch klaglos gestellt und ist das Verfahren einzustellen. Ein Recht auf Feststellung einer Rechtsverletzung in der Vergangenheit besteht nicht. Dem Betroffenen ist auch kein subjektives öffentliches Recht eingeräumt, ein allgemeines rechtliches Interesse durchzusetzen (BVwG 31.01.2025, W258 2247059-1).

· Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 28.01.2025, W252 2271493-1; W252 2271450-1).

Vorschau EuGH-Rechtsprechung

· Am 11.03.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-698/23 P, EDSB/Parlament und Rat, stattfinden. Der Europäische Datenschutzbeauftragte (EDSB) beantragte beim EuG, einzelne Bestimmungen der Europol-Verordnung für nichtig zu erklären. Das EuG wies die Klage zurück (EuG 6.09.2023, T-578/22). Gegen diesen Beschluss des EuG richtet sich das Rechtsmittel des EDSB.

· Am 13.03.2025 wird das Urteil des EuGH in der Rs C-247/23, Deldits, verkündet. Der EuGH wird darüber absprechen, ob ein nationales Register ggf den Geschlechtseintrag einer Person zu berichtigen hat. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 20.03.2025 werden die Schlussanträge in der Rs C-655/23, Quirin Privatbank, veröffentlicht. Gegenstand des Verfahrens sind immaterieller Schadenersatz nach Art 82 DSGVO und Unterlassungsansprüche.

· Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

· Am 27.03.2025 werden die Schlussanträge in der Rs C-97/23 P, WhatsApp Ireland/Comité européen de la protection des données, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Beschluss des Europäischen Datenschutzausschusses (EDSA) angefochten werden kann.

Februar 2025

06.02. | 12.02. | 19.02. | 26.02.

Datenschutzmonitor 26.02.2025

Rechtsprechung des EGMR

EGMR 18.02.2025, 33067/22, Kharazishvili/Georgien

Anwaltsgeheimnis, Telefonüberwachung

· Das georgische Finanzministerium leitete eine strafrechtliche Untersuchung wegen des Verdachts des illegalen Verkaufs von Zigarettenpackungen ein. Ein iransicher Staatsbürger soll dazu ein Unternehmen in Georgien gegründet haben, das von einer Anwältin vertreten wurde. Neben der Anwältin wurden ihr Ehemann und sechs weitere Personen des unrechtmäßigen Verkaufs großer Mengen verbrauchssteuerpflichtiger Waren ohne Verbrauchssteuerbanderolen verdächtigt. Auf Antrag der Generalstaatsanwaltschaft genehmigte das zuständige Stadtgericht das Abhören und Aufzeichnen ihrer Telefongespräche für 30 Tage. Dieser Beschluss wurde von der Anwältin und ihrem Ehemann ua deshalb angefochten, weil das Abhören aufgrund des Anwaltsgeheimnisses rechtswidrig sei. Das Berufungsgericht wies die Rechtsmittel ab. Der EGMR stellte eine Verletzung des Art 8 EMRK fest und sprach der Anwältin und ihrem Ehemann Schadenersatz zu.

Der EGMR hat erwogen: Telefonüberwachung fällt unter den Schutz von "Privatleben" und "Korrespondenz" nach Art 8 EMRK. Sie ist nur zulässig, wenn sie gesetzlich vorgesehen ist, ein legitimes Ziel verfolgt und in einer demokratischen Gesellschaft notwendig ist, um ein solches Ziel zu erreichen. Die gesetzliche Grundlage muss zugänglich und vorhersehbar sein. Besonders bei geheimen Überwachungsmaßnahmen sind klare, detaillierte Regeln erforderlich, um Willkür zu vermeiden.

Die Telefonüberwachung hatte ihre gesetzliche Grundlage in der georgischen Strafprozessordnung, die den Antragstellern auch zugänglich war. Diese regelte ua die Grundsätze, Voraussetzungen und Dauer der Datenverarbeitung und gab der Anwältin und ihrem Ehemann somit eine angemessene Vorstellung von den Umständen der verdeckten Ermittlungsmaßnahme.

Die georgische Strafprozessordnung verpflichtete Richter dazu, die Notwendigkeit und Verhältnismäßigkeit der verdeckten Ermittlungsmaßnahme zu prüfen. Der Gerichtsbeschluss enthielt allerdings weder konkrete Fakten, mit denen der Verdacht einer Straftat begründet wurde noch eine Bewertung der Notwendigkeit oder Verhältnismäßigkeit der verdeckten Ermittlungsmaßnahme.

Zudem versäumte das Berufungsgericht, das Anwaltsgeheimnis gegen die Erfordernisse der strafrechtlichen Untersuchung abzuwägen.

Rechtsprechung des VwGH

· Eine in vertretbarer Weise vorgenommene fallbezogene Auslegung eines Auskunftsersuchens durch das BVwG ist nicht revisibel, weil ihr über den Einzelfall hinaus keine Bedeutung zukommt (VwGH 16.01.2025, Ra 2024/04/0438).

Rechtsprechung der Justiz

OGH 22.01.2025, 9ObA79/24v

Sensible Daten, Dritte

· Eine ehemalige diplomierte Gesundheits- und Krankenpflegerin (Krankenpflegerin) eines öffentlichen Bezirkskrankenhauses, das durch den Gemeindeverband betrieben wird, klagte Schadenersatz vom Betreiber ein. Sie behauptete, durch "Bossing-Handlungen" des Verwaltungsdirektors des Krankenhauses Gesundheitsbeeinträchtigungen erlitten zu haben. Der Verwaltungsdirektor berief deshalb eine Sonderkollegialführungssitzung ein, die die Entlassung der Krankenpflegerin beschloss, was durch den Gemeindeverbandsausschuss bestätigt wurde. Die Krankenpflegerin begehrte in der nunmehrigen Klage, es zu unterlassen, ihre Gesundheitsdaten und Verfahrensakten an Nichtorgane des Betreibers weiterzugeben. Hilfsweise verlangte sie, dass ihre Patientendaten datenschutzkonform geschützt werden. Das Erstgericht wies die Klage ab, was das Berufungsgericht bestätigte, aber dem Eventualbegehren teilweise stattgab. Der OGH wies die außerordentliche Revision der Krankenpflegerin zurück.

Der OGH hat erwogen: Entscheidungswesentlich war, ob der Betreiber berechtigt war, Inhalte aus dem Schadenersatzverfahren den im Hauptbegehren genannten Personen zur Kenntnis zu bringen. Der Gemeindeverbandsausschuss besteht aus landesgesetzlich bestimmten Mitgliedern. Der ärztliche Leiter, der Verwaltungsleiter und der Leiter des Pflegedienstes der Krankenanstalt sowie ein vom Betriebsrat entsandten Vertreter gehören dem Gemeindeverbandsausschuss mit beratender Stimme an und sind keine "unbefugten Dritten".

Nur Personen, die ein Organ des Betreibers bilden, erlangten Kenntnis vom Inhalt des Schriftsatzes und den darin enthaltenen sensiblen Daten der Klägerin. Die Verarbeitung personenbezogener Daten war zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich (Art 9 Abs 2 lit f DSGVO). "Erforderlich" bedeutet, dass ohne die Daten die Geltendmachung des Anspruchs bzw eine Verteidigung dagegen nicht möglich oder wesentlich erschwert wäre. Die Kenntnis der Angehörigen des Gemeindeverbandsausschusses war von der erforderlichen Rechtsverteidigung iSd Art 9 Abs 2 lit f DSGVO gedeckt. Das Interesse des Betreibers an der Rechtsverteidigung überwog das Geheimhaltungsinteresse der Krankenpflegerin.

OLG Graz 30.12.2024, 10Bs118/24i

Sicherstellung, Mobiltelefon, Verhältnismäßigkeit

· Die Staatsanwaltschaft (StA) ermittelte gegen einen Jugendlichen, der Aufnahmen einer Minderjährigen beim Oralverkehr angefertigt und verbreitet haben soll. In diesem Zusammenhang ordnete die StA die Sicherstellung seines Mobiltelefons an. Der Jugendliche sah sich durch eine unzureichende Begründung der Sicherstellung in seinen Rechten verletzt. Das LG Graz gab dem Einspruch der Rechtsverletzung nicht Folge. Dagegen richtet sich die Beschwerde des Jugendlichen, der das OLG Graz teilweise Folge gab.

Das OLG Graz hat erwogen: Die Sicherstellung eines Mobiltelefons aus Beweisgründen iSd § 110 Abs 1 Z 1 StPO a.F. ist nur zulässig, wenn der Verdacht einer strafbaren Handlung besteht. In der schriftlichen Begründung der Sicherstellung müssen für alle konkreten Tatbestandselemente der vermuteten Straftat bestimmte, sinnlich wahrnehmbare Anhaltspunkte bezeichnet werden. Die Anordnung der StA war wegen Begründungsmängeln unzulässig.

Das Gericht kann eine Zwangsmaßnahme allerdings aufgrund eigener Erwägungen im Ergebnis als rechtsfehlerfrei beurteilen und den Einspruch verwerfen. Die Begründung der StA beinhaltete zwar keine ausreichenden Anhaltspunkte für den von ihr angeführten Verdacht der fortdauernden Belästigung im Wege einer Telekommunikation oder eines Computersystems nach § 107c StGB, aber sehr wohl für das Vergehen der pornographischen Darstellung Minderjähriger nach § 207a StGB. Die Sicherstellung war in diesem Zusammenhang aus Beweisgründen erforderlich. In Hinblick auf das Gewicht der (Sexual-)Straftaten zum Nachteil einer Minderjährigen, den Grad des Verdachts und des zu erwartenden Beitrags zur Sachverhaltsaufklärung war sie auch verhältnismäßig. Die Verhältnismäßigkeit ergibt sich zudem aus der ausdrücklichen Beschränkung der Auswertung auf das in Rede stehende Video und auf Nachrichtenverläufe während eines konkreten Zeitraums.

Rechtsprechung des BVwG

BVwG 19.12.2024, W287 2297969-1

Bundespräsident, Journalist, Postenbesetzung

· Ein Journalist brachte ein Auskunftsbegehren nach § 2 AuskunftspflichtG bei der Präsidentschaftskanzlei ein. Insbesondere verlangte er die Übermittlung eines Gutachtens und eines Aktenvermerks zu einer Postenbesetzung. In Beantwortung des Begehrens übermittelte die Präsidentschaftskanzlei den Antrag auf Ernennung und eine Resolution zur Bestellung. Da Bewerberdaten im Gutachten enthalten waren und der Aktenvermerk ein nicht zu beauskunftendes Werturteil enthielt, lehnte der Bundespräsident die Übermittlung dieser Unterlagen mit Bescheid ab. Gegen den Bescheid erhob der Journalist erfolglose Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Bei der Einschränkung der Auskunftsbeantwortung hat die Behörde den (i) Zweck und das Ziel des Informationsansuchens, (ii) die tatsächliche Notwendigkeit des Informationsbegehrens für die Ausübung der Meinungsfreiheit, (iii) den Charakter der begehrten Informationen, (iv) die Rolle des Zugangswerbers und (v) die Existenz von bereits verfügbaren Informationen zu prüfen.

Die Verweigerungsgründe für Auskünfte sind eng auszulegen. Insbesondere wenn Journalisten als public watchdog die Auskunft begehren. Die Herausgabe des Gutachtens aus dem Bewerbungsprozess ist von der Auskunft nach dem AuskunftspflichtG jedoch ausgenommen. Die Bewerber mussten nicht damit rechnen, dass ihre Identität sowie die Einschätzungen und Wertungen der Kommission im Gutachten öffentlich gemacht werden. Bewerber, die aus der Richterschaft kommen, genießen dabei kein geringeres Geheimhaltungsinteresse.

Beim gegenständlichen Aktenvermerk handelt es sich um interne Abwägungs- und Willensbildungsprozesse, die bereits von der Akteneinsicht ausgenommen sind und auch nach dem AuskunftspflichtG nicht zu beauskunften sind.

BVwG 17.01.2025, W298 2293073-1

Strafverfolgung, öffentliches Interesse, zwangsweise Unterbringung

· Ein aufgebrachter Bürger verursachte einen Polizeieinsatz. Bei der zwangsweisen Unterbringung, unter Anwendung von Körperkraft in eine psychiatrische Anstalt, wurde der Bürger verletzt. Zur Dokumentation des Einschreitens erstellten die Beamten ein Anhalteprotokoll, welches an verschiedene Stellen weitergeleitet wurde. Der aufgebrachte Bürger erhob Datenschutzbeschwerde wegen der Verletzung seines Rechts auf Geheimhaltung, Löschung, Berichtigung und der Weitergabe seiner Daten. Nachdem die DSB in ihrer Reaktion säumig war, erhob er Säumnisbeschwerde. Das BVwG entschied in der Sache selbst und wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Eine Verarbeitung nach Art 6 Abs 1 lit e DSGVO ist rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Die Öffnungsklausel des Art 9 Abs 2 lit g DSGVO verlangt für die Zulässigkeit der Datenverarbeitung eine gesetzliche Grundlage im nationalen Recht oder im Unionsrecht. Diese muss in einem angemessenen Verhältnis zum verfolgten Ziel stehen, den Wesensgehalt des Datenschutzrechts wahren und Maßnahmen zur Interessenwahrung der Betroffenen vorsehen. Ergänzend muss ein erhebliches öffentliches Interesse an der Verarbeitung bestehen. Bei Erfüllung dieser Erfordernisse ist die Verarbeitung dann auch nach Art 6 Abs 1 lit e DSGVO rechtmäßig.

An Maßnahmen zur Strafverfolgung besteht ein öffentliches Interesse. Sicherheitsbehörden dürfen Gesundheitsdaten ua an den örtlichen Rettungsdienst und andere in § 39b UbG genannte Stellen weiterleiten. Das Weiterleiten von Daten zum Ausspruch eines Waffenverbots war nach § 39a UbG und das Weiterleiten der Daten an die StA nach § 100 StPO gerechtfertigt.

Da die Daten des Bürgers rechtmäßig verarbeitet wurden und mit § 10 Abs 3 der Richtlinien-Verordnung eine Aufbewahrungspflicht für Sicherheitsbehörden normiert war, waren diese nicht zu löschen.

BVwG 09.12.2024, W292 2285487-1

Unerbetene Nachricht, Selbstbelastungsverbot, Kosten des Beschwerdeverfahrens

· Ein Arbeitsuchender veröffentlichte seine Kontaktdaten im eJob-Room des AMS, um eine Stelle zu finden. Ein Personalüberlassungsunternehmen übernahm diese Daten und speicherte sie für die Arbeitsvermittlung. Der Arbeitsuchende verlangte die Löschung seiner Daten, weil er kein Interesse mehr an Jobangeboten hatte. Dennoch speicherte das Unternehmen die Daten weiter und nutzte sie, um ihm weitere Jobangebote zuzusenden.

Der Arbeitsuchende brachte Datenschutzbeschwerde bei der DSB ein. Nachdem das Personalüberlassungsunternehmen auf mehrere Aufforderungen der DSB zur Stellungnahme nicht reagierte, leitete diese ein Verwaltungsstrafverfahren ein und verhängte eine Geldstrafe (zzgl Verfahrenskosten). Die Bescheidbeschwerde an das BVwG blieb erfolglos und das BVwG verpflichtete das Personalüberlassungsunternehmen zur Zahlung der Kosten des Beschwerdeverfahrens iHv 20% der verhängten Strafe.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten bei der Ausübung des Gewerbes der Überlassung von Arbeitskräften (§ 135 GewO) kann zum Zweck der Anbahnung neuer Dienstverhältnisse ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Es kommt dabei nicht darauf an, ob das Unternehmen die Kontaktdaten des Arbeitsuchenden im Rahmen der Arbeitskräfteüberlassung oder der Arbeitsvermittlung verwendete bzw ob es im relevanten Tatzeitraum zur Arbeitsvermittlung berechtigt war (§ 4 Abs 1 Z 4 AMFG).

Das Personalüberlassungsunternehmen hat jedoch dem Arbeitsuchenden via SMS Arbeitsangebote übermittelt, um eine Vertragsbeziehung anzubahnen (Direktwerbung). Das Versenden elektronischer Werbenachrichten an den Arbeitssuchenden verstieß gegen § 174 Abs 3 TKG 2021, weil dieser dem Unternehmen gegenüber zu keinem Zeitpunkt eine Einwilligung erteilt hatte und zwischen den Parteien auch keine Kundenbeziehung bestand.

Der Arbeitsuchende teilte dem Unternehmen via E-Mail unmissverständlich mit, dass er keine elektronischen Nachrichten mit Arbeitsangeboten erhalten möchte. Bei dieser Erklärung handelte es sich neben einem Löschersuchen gemäß Art 17 DSGVO auch um einen Widerspruch nach Art 21 DSGVO. Ab diesem Zeitpunkt war auch jegliche Verarbeitung seiner Kontaktdaten unzulässig.

Das Personalüberlassungsunternehmen verstieß zudem gegen seine Mitwirkungspflicht gemäß Art 31 DSGVO. Die Pflicht nach Art 31 DSGVO ist grundrechtskonform auszulegen und findet ihre Grenze im Selbstbelastungsverbot. Die Mitwirkungspflicht eines Verantwortlichen folgt jedoch bereits aus der Rechenschaftspflicht des Art 5 Abs 2 DSGVO und kann nicht von Vornherein als grundrechtswidrig angesehen werden.

BVwG 23.01.2025, W605 2284399-1

Mitwirkung, Geldbuße, Kosten des Beschwerdeverfahrens

· Die DSB forderte eine GmbH wiederholt zu Stellungnahmen in gegen sie anhängigen Datenschutzbeschwerdeverfahren auf und wies dabei jedes Mal auf die Mitwirkungspflicht gemäß Art 31 DSGVO sowie auf ein drohendes Verwaltungsstrafverfahren hin. Die GmbH reagierte auf keine dieser Aufforderungen und die Verfahren wurden ohne ihre Mitwirkung abgeschlossen. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren gegen die GmbH ein, und verurteilte sie wegen Verletzung der Mitwirkungspflicht zu einer Geldstrafe. Die dagegen eingebrachte Bescheidbeschwerde wies das BVwG ab und es verpflichtete die GmbH zur Zahlung der Kosten des Beschwerdeverfahrens iHv 20% der verhängten Strafe.

Das BVwG hat erwogen: Den Verantwortlichen trifft gemäß Art 31 DSGVO eine Mitwirkungspflicht. Bei fehlender Kooperation ist eine Geldbuße zu verhängen. Die Pflicht zur Zusammenarbeit erfordert keinen Erfolgseintritt, sondern die rechtzeitige und fristgerechte Beantwortung der Anfragen der Aufsichtsbehörde.

Die GmbH wurde als Verantwortliche aufgrund von gegen sie erhobenen Datenschutzbeschwerden zur Stellungnahme und Mitwirkung aufgefordert. Die Mitarbeiterin, die die Schreiben abgelegt haben soll, war zur Empfangnahme der Schreiben befugt. Die mittels RSb erfolgte Zustellung der Schreiben war daher unzweifelhaft rechtswirksam.

BVwG 07.01.2025, W108 2288748-1

Auskunft, Empfänger, Speicherfrist, Beweisverfahren

· Ein Kunde stellte ein Auskunftsersuchen an ein Energieversorgungsunternehmen. Er forderte Auskunft über die Empfänger seiner personenbezogenen Daten und die Löschung seiner E-Mail-Adresse. Da das Energieversorgungsunternehmen in seinem Antwortschreiben nur allgemeine Informationen bekanntgab und die Löschung der E-Mail-Adresse bestätigte, sah sich der Kunde in seinem Recht auf Auskunft sowie dem Recht auf Löschung verletzt und brachte eine Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte fest, dass das Energieversorgungsunternehmen den Kunden in seinem Recht auf Auskunft verletzt hat. Daraufhin richteten sowohl der Kunde als auch das Energieversorgungsunternehmen (teilweise erfolgreiche) Bescheidbeschwerden an das BVwG.

Das BVwG hat erwogen: Gemäß Art 15 Abs 1 lit c DSGVO haben Betroffene das Recht auf Information über die Empfänger oder Kategorien von Empfängern, gegenüber denen ihre personenbezogenen Daten offengelegt wurden oder noch offengelegt werden. Der Kunde hat in seinem Schreiben ausdrücklich Auskunft über die Empfänger seiner personenbezogenen Daten begehrt. Das Energieversorgungsunternehmen hatte kein Wahlrecht, ob es konkrete Empfänger oder Kategorien von Empfängern bekanntgibt, sondern musste die Empfänger benennen, soweit es diese kannte. Auch Auftragsverarbeiter gelten als Empfänger, nicht aber Beschäftigte oder sonstige Stellen, die dem Verantwortlichen unmittelbar unterworfen sind.

Gemäß Art 15 Abs 1 lit d DSGVO hat die betroffene Person das Recht auf Information über die geplante Dauer der Aufbewahrung der personenbezogenen Daten oder die Kriterien für die Festlegung dieser Dauer. Ein genereller Verweis auf gesetzliche Aufbewahrungspflichten oder die Geltendmachung/Abwehr von rechtlichen Ansprüchen ohne konkrete Rechtsgrundlage ist nicht ausreichend. Das Energieversorgungsunternehmen hat jedoch in seiner Bescheidbeschwerde konkrete Rechtsgrundlagen (§ 132 BAO und § 1468 ABGB) angeführt, aus denen sich die Dauer der Speicherung ergibt. Diese Auskunft ist ausreichend.

Hinsichtlich des Rechts auf Löschung gemäß Art 17 DSGVO hat die DSB festgestellt, dass das Energieversorgungsunternehmen die E-Mail-Adresse des Kunden gelöscht hat. Der Kunde wurde jedoch nach behaupteter Löschung erneut über diese Adresse kontaktiert und hielt dies auch in seiner Bescheidbeschwerde fest. Die DSB hat sich diesbezüglich nur auf schriftliche Stellungnahmen der beiden Parteien beschränkt und somit keine ausreichenden Ermittlungen durchgeführt. Die DSB hätte ein Beweisverfahren durchzuführen gehabt, um den vollständigen, rechtlich relevanten und wahren Sachverhalt festzustellen. Der Kunde und das Energieversorgungsunternehmen hätten förmlich einvernommen werden müssen. Die Sache wird daher bezüglich der Frage, ob eine Verletzung des Rechts auf Löschung vorliegt, zur neuerlichen Entscheidung an die DSB zurückverwiesen.

· Das Recht auf eine Kopie der personenbezogenen Daten bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller ihrer Daten ausgefolgt wird. Ein zusätzliches Recht auf Kopien von Auszügen aus Dokumenten, ganze Dokumente oder Auszüge aus Datenbanken räumt Art 15 Abs 3 Satz 1 DSGVO nicht ein (BVwG 09.09.2024, W176 2283061-1).

· Das Wegerecht ist eine Felddienstbarkeit. Besteht auf einer Zufahrtsstraße eine Servitut, darf sich der Servitutsberechtigte gegen die Behinderung der Ausübung des absoluten Rechts – hier des Wegerechts – durch gerechtfertigte Selbsthilfe zur Wehr setzen. Wird die Nutzung der Dienstbarkeit durch eine Hecke beeinträchtigt, darf der Servitutsberechtigte die Hecke zurückstutzen. Der Grundstückseigentümer ist nicht berechtigt, den Zufahrtsweg deshalb mit einer Wildkamera zu überwachen (BVwG 13.01.2025, W137 2302430-1).

· Prozessvoraussetzung für die Führung von Verfahren vor Verwaltungsgerichten ist ua das Bestehen eines Rechtsschutzinteresses. Wurde der Datenschutzbeschwerde von der DSB vollinhaltlich stattgegeben, steht der Bescheidbeschwerde der Mangel der formellen Beschwer und somit des Rechtsschutzbedürfnisses entgegen (BVwG 22.01.2024, W108 2288584-1).

· Das Grundrecht auf Datenschutz ist im Verfahren über die Festsetzung des ORF-Beitrags nicht präjudiziell, weshalb allfällige datenschutzrechtliche Bedenken der Festsetzung des ORF-Beitrags nicht entgegenstehen. Die in § 13 ORF-Beitrags-Gesetz 2024 vorgesehenen Datenübermittlungen werden für einen exakt definierten Zweck durchgeführt. Eine (unzulässige) Vorratsdatenspeicherung im Sinn einer Ermittlung von Daten zur Nutzung für einen späteren, zum Zeitpunkt der Ermittlung der Daten noch ungewissen Zweck, liegt nicht vor. Zudem ist die Zuständigkeit des BVwG im Kontext datenschutzrechtlicher Anbringen auf die Entscheidung über Datenschutzbeschwerden gegen Bescheide der DSB beschränkt (BVwG 11.12.2024, W603 2304073-1; 04.02.2025, L521 2306525-1; L521 2306682-1).

Rechtsprechung der LVwG

LVwG Wien 13.01.2025, VGW-101/042/17553/2024

Grundbuch, Abbruchbewilligung, Auskunft

· Ein Abgeordneter des Wiener Gemeinderats begehrte beim Magistrat der Stadt Wien (MA 37, Baupolizei) Auskunft darüber, für welche Bauwerke im Jahr 2023 Ansuchen auf Abbruch wegen wirtschaftlicher Abbruchreife eingebracht und für welche dieser Bauwerke der Abbruch bewilligt respektive nicht bewilligt wurde. Dabei berief er sich auf das Wiener Auskunftspflichtgesetz (Wr. AuskunftspflichtG). Die MA 37 verweigerte die Auskunft der Liegenschaftsadressen, weil die Eigentümer der Gebäude über das öffentliche Grundbuch ausfindig gemacht werden könnten und die Adressen somit personenbezogene Daten seien. Dagegen richtete sich die (erfolgreiche) Bescheidbeschwerde des Abgeordneten.

Das LVwG Wien hat erwogen: Eine Liegenschaftsadresse ist ein personenbezogenes Datum. Das Wr. AuskunftspflichtG ist gesetzliche Grundlage der Auskunftsbefugnis der MA 37 iSd § 1 DSG. Ein Grund zur Verweigerung der Auskunft sind gesetzliche Verschwiegenheitspflichten, deren Vorliegen allerdings eng auszulegen ist.

Gemäß § 1 Wr. AuskunftspflichtG iVm § 1 Abs 2 DSG ist die Auskunft nur bei überwiegendem Interesse des Auskunftswerbers zulässig. Der Abgeordnete beantragte die Auskunft nicht aus rein privater Neugier, sondern zur Wahrnehmung seiner Funktion als public watchdog. Zudem kommen ihm als Gemeinderats- und Landtagsabgeordneter aus der Bundesverfassung umfassende Kontrollpflichten zu, die nur auf Grundlage der beantragten Informationen ausgeübt werden können. Das Geheimhaltungsinteresse der Eigentümer ist hingegen vergleichsweise gering, weil Eigentümer einer Liegenschaft ohnehin durch Einsicht in das öffentliche Grundbuch ermittelt werden können. Die Auskunft liegt somit im überwiegenden Interesse des Abgeordneten.

Die Möglichkeit, dass Unbefugte mit Kenntnis von der Abbruchreife das Gebäude betreten und bewohnen könnten, rechtfertigt nicht die Verweigerung der Auskunft. Im Vergleich zu unbewohnten Gebäuden ist die Gefahr eines Einbruchsdiebstahls bei bewohnten Gebäuden eindeutig höher.

Rechtsprechung der DSB

· Die Betreiberin des hochrangigen Straßennetzes in Österreich ist gemäß § 16a Abs 1 BStMG berechtigt, die zur Mauteinhebung, zur Mautaufsicht und zur Verfolgung von Mautprellerei erforderlichen personenbezogenen Daten (zB Kfz-Kennzeichen) automationsunterstützt zu verarbeiten und für ein Jahr ab der Mautstellen-Durchfahrt zu speichern. Die Verarbeitung erfolgt iSd Datenminimierungsgrundsatzes, ist dem gesetzlichen Zweck angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt. Die Speicherung der Passage-Daten für ein Jahr ab der Mautstellen-Durchfahrt ist für die Zwecke der Betrugsbekämpfung und Reklamation angemessen (DSB 26.09.2024, 2024-0.112.476).

EU-Rechtsakte

· Am 20.02.2025 wurde die "Delegierte Verordnung (EU) 2025/301 der Kommission vom 23. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des Inhalts und der Fristen für die Erstmeldung, die Zwischenmeldung und die Abschlussmeldung schwerwiegender IKT-bezogener Vorfälle sowie des Inhalts der freiwilligen Meldung erheblicher Cyberbedrohungen", ABl L 2025/301, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …" (kurz: DORA) und legt fest, welche Informationen mit Meldungen von IKT-Vorfällen zu übermitteln sind.

· Am 20.02.2025 wurde die "Durchführungsverordnung (EU) 2025/302 der Kommission vom 23. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung", ABl L 2025/302, kundgemacht. Auch diese DurchführungsVO wurde auf Grundlage der DORA erlassen und enthält Vorschriften zur Meldung von IKT-Vorfällen.

· Am 20.02.2025 wurde die "Delegierte Verordnung (EU) 2025/303 der Kommission vom 31. Oktober 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der von bestimmten Finanzunternehmen in die Mitteilung zur Bekundung ihrer Absicht zur Erbringung von Krypto-Dienstleistungen aufzunehmenden Angaben", ABl L 2025/303, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte […]" (kurz: MiCAR) und legt technische Regulierungsstandards fest.

· Am 20.02.2025 wurde die "Durchführungsverordnung (EU) 2025/304 der Kommission vom 31. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Mustertexte und Verfahren für die Mitteilung von bestimmten Finanzunternehmen zur Bekundung ihrer Absicht zur Erbringung von Krypto-Dienstleistungen", ABl L 2025/304, kundgemacht. Auch diese DurchführungsVO wurde auf Grundlage der MiCAR erlassen und enthält Vorschriften zu Regulierungsstandards.

Nationale Rechtsakte

· Am 18.02.2025 wurde die Kundmachung des Landeshauptmanns von Tirol betreffend die Vereinbarung gemäß Art 15a B-VG über die Organisation und Finanzierung des Gesundheitswesens, LGBl 2025/9, kundgemacht. Die Vereinbarung behandelt ua ELGA, eHealth und die eIDAS-konforme Ausgestaltung des e-card-Systems.

Vorschau EuGH-Rechtsprechung

· Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

· Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

· Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

· Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

Datenschutzmonitor 19.02.2025

Rechtsprechung des EGMR

EGMR 13.02.2025, 51409/19, Macharik/Tschechien

Schutz der Kommunikation, faires Verfahren

· Mit richterlichem Beschluss kam es zu einer Offenlegung von Kommunikationsdaten aus der Mailbox eines Unternehmens. Dadurch konnten die E-Mail-Kommunikation und deren Inhalte einer mit dem Unternehmen in Kontakt stehenden Beschuldigten erlangt werden. Die E-Mail-Kommunikation diente als Hauptbeweismittel im gegen die Beschuldigte eingeleiteten Verfahren, in dem sie verurteilt wurde. Im Verfahren beantragte sie erfolglos die Entfernung der E-Mail-Kommunikation aus den Verfahrensakten, weil diese Nachrichten keine Kommunikationsdaten iSd im Beschluss angeführten Gesetzes seien. Die angerufenen innerstaatlichen Gerichte erachteten die Verwertung der E-Mail-Kommunikation als Beweismittel unter Heranziehung unterschiedlicher Gesetzesbestimmungen für rechtmäßig. Die Beschuldigte wendete sich an den EGMR und monierte eine Verletzung ihres Rechts auf Achtung des Privat- und Familienlebens gemäß Art 8 EMRK sowie des Rechts auf ein faires Verfahren gemäß Art 6 EMRK. Darüber hinaus machte sie Schaden- und Aufwandersatz geltend. Der EGMR bestätigte die Verletzung von Art 8 EMRK, lehnte aber das Begehren auf Schadenersatz ab und sprach einen Teil des Aufwandersatzes iHv EUR 2.500 zu.

Der EGMR hat erwogen: Die Vertraulichkeit jeglicher privaten und beruflichen Korrespondenz wird von Art 8 EMRK umfasst. Ein Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Das Gesetz und etwaige Ermessensspielräume müssen hinreichend klar und nachvollziehbar formuliert sein. Die Sichtung von beruflichen E-Mails ist ein geringerer Eingriff in Art 8 EMRK als die Einsichtnahme in eine private Mailbox.

Die innerstaatlichen Gerichte zogen drei Normen als potenzielle Rechtfertigung für den Eingriff in das Grundrecht heran, wobei die von den letztinstanzlichen Gerichten herangezogene Norm zum Zeitpunkt des Eingriffs in dieser Form noch nicht in Kraft war. Die Speicherung und Herausgabe der Kommunikation war nach den genannten innerstaatlichen Bestimmungen nicht erlaubt. Die Anwendung der Bestimmungen erfolgte durch die Gerichte in einer nicht nachvollziehbaren Weise. Der Eingriff in das Grundrecht war daher weder vorhersehbar noch gesetzlich vorgesehen.

Die Verwendung von unzulässig erhobenen Beweisen ist keine Verletzung des Rechts auf ein faires Verfahren, wenn der Eingriff nur geringfügig ist und Verteidigungsrechte sonst beachtet werden.

Den geltend gemachten Schadenersatz für die im Strafverfahren auferlegte Geldstrafe lehnte der EGMR mangels Kausalität zwischen der festgestellten Verletzung und dem geltend gemachten Schaden ab. Immateriellen Schadenersatz lehnte der EGMR ab, weil die Feststellung einer Grundrechtsverletzung eine ausreichende Entschädigung sei.

Rechtsprechung des EuGH

EuGH 13.02.2025, C-383/23, ILVA

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

· Das dänische Tochterunternehmen eines Konzerns speicherte zwischen Mai 2018 und Januar 2019 unrechtmäßig personenbezogene Daten von mindestens 350.000 ehemaligen Kunden. In Dänemark werden Geldbußen nicht von der Datenschutz-Aufsichtsbehörde verhängt, sondern auf Empfehlung der Aufsichtsbehörde von der Staatsanwaltschaft beim zuständigen Gericht beantragt. Die dänische Staatsanwaltschaft beantragte bemessen am Konzernumsatz eine Geldbuße iHv rund EUR 201.000. Das Erstgericht verhängte jedoch eine am Umsatz des Tochterunternehmens bemessene Geldbuße iHv rund EUR 13.400. Die Staatsanwaltschaft legte Berufung ein, weshalb das vorlegende Gericht den EuGH zur Auslegung des Begriffs "Unternehmen" in Art 83 Abs 4 bis 6 DSGVO befragte.

Der EuGH hat erwogen: ErwGr 150 DSGVO verweist iZm der Berechnung von Geldbußen nach Art 83 Abs 4 bis 6 DSGVO auf den Begriff "Unternehmen" iSd Art 101 und 102 AEUV. Dieser Unternehmensbegriff umfasst jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und Finanzierungsart.

Nach Art 83 Abs 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass Geldbußen nach Abs 4 bis 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Art 83 Abs 2 DSGVO verlangt zudem, dass die zuständige Aufsichtsbehörde bei der Entscheidung über das Verhängen einer Geldbuße eine Reihe von Kriterien (ua Art, die Schwere und die Dauer des Verstoßes) berücksichtigt.

Diese Kriterien verweisen zwar nicht auf den Unternehmensbegriff iSd Art 101 und 102 AEUV, doch eine Geldbuße ist nur dann wirksam, verhältnismäßig und abschreckend, wenn sie nicht nur diese Kriterien, sondern auch die materielle Leistungsfähigkeit des Adressaten berücksichtigt. Daher ist zu prüfen, ob der Adressat einem Unternehmen iSd Art 101 und 102 AEUV angehört.

In bestimmten nationalen Rechtsordnungen, etwa der Dänemarks, sind keine Geldbußen vorgesehen. Gemäß Art 83 Abs 9 DSGVO kann in diesen Fällen die zuständige Aufsichtsbehörde die Geldbuße in die Wege leiten, während die nationalen Gerichte sie verhängen.

Gemäß Art 83 DSGVO müssen die zuständigen Aufsichtsbehörden sicherstellen, dass bei der Berechnung der tatsächlichen Höhe der verhängten Geldbuße der Grundsatz der Verhältnismäßigkeit beachtet wird. Dies geschieht durch einen angemessenen Ausgleich zwischen dem allgemeinen Interesse am Schutz personenbezogener Daten und den Rechten des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, dem diese angehören.

Auch wenn Verstöße gegen die DSGVO nicht mit administrativen, sondern mit von Strafgerichten verhängten Geldbußen geahndet werden, steht einer Anwendung des Begriffs "Unternehmen" iSd Art 101 und 102 AEUV im Rahmen von Art 83 Abs 4 bis 6 DSGVO nichts entgegen.

Der Höchstbetrag einer Geldbuße gegen einen Verantwortlichen, der ein Unternehmen ist oder einem Unternehmen angehört, wird auf Basis eines Prozentsatzes des weltweiten Konzernumsatzes berechnet. Der Konzernumsatz ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen. Dadurch wird überprüft, ob die Geldbuße wirksam, verhältnismäßig und abschreckend ist.

EuGH 13.02.2025, C-612/23, Verbraucherzentrale Berlin

Telekommunikation, Mindestvertragslaufzeit

· Eine Verbraucherzentrale erhob eine Unterlassungsklage gegen einen Telekomanbieter wegen deren Geschäftspraxis, die es Bestandskunden ermöglichte, vor Ablauf ihrer Erstverträge neue Folgeverträge mit einer Mindestlaufzeit von 24 Monaten abzuschließen. Die verbleibende Vertragslaufzeit der Erstverträge wurde dem neuen Vertrag hinzugerechnet. Nach Ansicht der Verbraucherzentrale verstieß dies gegen Art 30 der UniversaldienstRL, nach der keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten vereinbart werden darf. Das vorlegende Gericht fragte den EuGH, ob der Begriff "anfängliche Mindestvertragslaufzeit" auch auf Verlängerungsverträge anzuwenden sei, was der EuGH bejahte.

Der EuGH hat erwogen: Die UniversaldienstRL ist in der Zwischenzeit durch den europäischen Kodex für die elektronische Kommunikation (EKEK; Richtlinie [EU] 2018/1972) aufgehoben worden. Auf den Ausgangssachverhalt ist aber noch die UniversaldienstRL anzuwenden.

Art 30 Abs 5 UniversaldienstRL bestimmte, dass Verträge zwischen Verbrauchern und Unternehmen, die elektronische Kommunikationsdienste erbringen, keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten beinhalten dürfen. Der Begriff "anfängliche Mindestvertragslaufzeit" bezieht sich sowohl auf die Laufzeit des Erstvertrags als auch auf die Laufzeit eines Folgevertrags zwischen denselben Parteien. Ein Folgevertrag darf keine Mindestvertragslaufzeit von mehr als 24 Monaten haben, auch wenn er vor Ablauf des Erstvertrags unterzeichnet und in Vollzug gesetzt wurde.

Die Festlegung zumutbarer Mindestlaufzeiten in Verbraucherverträgen ist nicht ausgeschlossen, darf aber nicht mehr als 24 Monate betragen. Der Unionsgesetzgeber wollte keine Unterscheidung zwischen Erst- und Folgeverträgen treffen. Ein Vergleich der Sprachfassungen der UniversaldienstRL bestätigt diese Auslegung. Der Schutz der Verbraucher war zentrales Ziel dieser RL und dieser darf nicht geringer sein, wenn ein Verbraucher Änderungen eines Vertrags mit einem Anbieter zustimmt, als wenn er erstmals eine Bindung mit einem neuen Anbieter eingeht. Dies gilt insbesondere, wenn der Folgevertrag wesentliche Änderungen gegenüber dem Erstvertrag enthält, wie etwa Preisgestaltung oder Leistungsinhalt.

Rechtsprechung des VwGH

· Die Anordnung des Art 7 Abs 3 DSGVO, dass der Widerruf so einfach sein müsse, wie die Erteilung der Einwilligung zur Verarbeitung personenbezogener Daten, ist nicht weiter auslegungsbedürftig. Die Frage, wie ein Cookie-Banner zu gestalten ist, ist jeweils anhand der für den Einzelfall maßgeblichen Umstände zu prüfen, weshalb diese Frage nicht revisibel ist (VwGH 16.01.2025, Ra 2024/04/0424).

· Gegenstand des Auskunftsverfahrens ist die Verletzung der Auskunftspflicht aufgrund eines bestimmten Auskunftsersuchens. Die Rechtswirksamkeit des Auskunftsersuchens ist somit Voraussetzung für eine Verletzung der Auskunftspflicht. Eine Nachholung des den Beschwerdegegenstand bildenden Auskunftsersuchens erst im datenschutzrechtlichen Verfahren ist nicht möglich, weil es sich bei der Stellung eines rechtswirksamen Auskunftsersuchens um die tatbestandsmäßige Voraussetzung dafür handelt, dass die (potenziell) Betroffene überhaupt in ihrem Recht verletzt werden konnte. Durch diese Sichtweise entsteht kein Rechtsschutznachteil, weil jede (potenziell) Betroffene grundsätzlich jederzeit ein neues Auskunftsersuchen an den Verantwortlichen richten kann (VwGH 10.12.2024, Ra 2022/04/0107).

Rechtsprechung der Justiz

· Die Behandlung von Erneuerungsanträgen in Strafverfahren ist auf die Prüfung der Verletzung eines Rechts nach der EMRK oder ihrer Zusatzprotokolle beschränkt. Die Bestimmungen des § 110 Abs 1 Z 1 und Abs 2 StPO sowie des § 111 Abs 2 StPO zur Mobiltelefonauswertung wurden mit Erkenntnis des VfGH als verfassungswidrig wegen Verstoßes gegen § 1 Abs 2 DSG iVm Art 8 Abs 2 EMRK aufgehoben. Wie der VfGH ausgesprochen hat, blieben diese aufgehobenen Bestimmungen jedoch aufgrund der gemäß Art 140 Abs 5 B-VG gesetzten Frist bis zum Ablauf des 31.12.2024 in Kraft. Sie waren daher zum Zeitpunkt der Entscheidung durch das Berufungsgericht anzuwenden (OGH 22.01.2025, 13Os105/24a).

· Die DSGVO gibt keine bestimmte Form für den Identitätsnachweis im Rahmen eines Auskunftsersuchens vor. Auch eine in diesem Zusammenhang erteilte Vollmacht muss daher nicht handschriftlich iSd § 886 ABGB sein. Bestehen begründete Zweifel an der Identität oder Vollmacht, muss der Verantwortliche dem Betroffenen seine konkreten Bedenken mitteilen. Die pauschale Ablehnung der Auskunft ist unzulässig (OLG Linz 06.02.2025, 6R10/25w).

Rechtsprechung des BVwG

BVwG 13.01.2025, W137 2304495-1

Video, Servitut, Datenminimierung

· Zwei Grundstückseigentümer installierten eine Videokamera am Hauseingang, die auch einen Teil des von den Servitutsberechtigten genutzten Geh- und Fahrtwegbereich erfasste. Die Servitutsberechtigten erachteten sich in ihrem Recht auf Geheimhaltung verletzt und erhoben Datenschutzbeschwerde bei der DSB. Diese gab der Datenschutzbeschwerde statt und trug den Grundstückseigentümern auf, den Aufnahmebereich so einzuschränken, dass der Geh- und Fahrtwegbereich nicht mehr zu sehen ist. Gegen diesen Bescheid erhoben die Grundstückseigentümer (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Zweck der Videoüberwachung besteht grundsätzlich darin, das Grundstück der Grundstückseigentümer zu überwachen und ist als solcher berechtigt. Zwar besteht für die Grundstückseigentümer ein berechtigtes Interesse am Schutz ihres Eigentums iSd Art 6 Abs 1 lit f DSGVO, allerdings überwiegt das Interesse der Servitutsberechtigten am Schutz ihres Privat- und Familienlebens bei der zweckmäßigen Nutzung ihrer Servitut.

Zudem haben die Grundstückseigentümer gegen den Grundsatz der Datenminimierung iSd Art 5 Abs 1 lit c DSGVO verstoßen, weil der Schutz ihres Eigentums auch dann erreicht werden könnte, wenn die Videokamera so positioniert wäre, dass diese nur den Eingangsbereich ihres Hauses überwacht.

· Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 10.01.2025, W252 2271738-1).

EU-Rechtsakte

· Am 13.02.2025 wurde die "Delegierte Verordnung (EU) 2025/295 der Kommission vom 24. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Harmonisierung der Bedingungen für die Durchführung von Überwachungstätigkeiten", ABl L 2025/295, 1, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …" (kurz: DORA) und legt fest, welche Informationen sog IKT-Drittdienstleister zur Verfügung zu stellen haben.

· Zur Ergänzung der "VO (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte…" (kurz: MiCAR) erließ die Kommission fünf Delegierte Verordnungen. Am 13.02.2025 wurden die DelegierteVO (EU) 2025/292, ABl L 2025/292, 1; DelegierteVO (EU) 2025/296, ABl L 2025/296, 1; DelegierteVO (EU) 2025/297, ABl L 2025/297, 1; DelegierteVO (EU) 2025/298; ABl L 2025/298, 1; DelegierteVO (EU) 2025/299, ABl L 2025/299, 1, kundgemacht. Ergänzt wird die MiCAR durch mehrere technische Regulierungsstandards.

Nationale Rechtsakte

· Am 10.02.2025 wurde das FATF-Prüfungsanpassungsgesetz 2024, BGBl I 2025/5, kundgemacht. Mit dem FATF-Prüfungsanpassungsgesetz wurde das Sanktionengesetz 2024 erlassen sowie ua das BWG, das FMABG und das KontRegG novelliert. Geregelt wird ua die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zur Umsetzung von Sanktionsmaßnahmen.

· Am 14.02.2024 wurde die "Verordnung des Bundesministers für Kunst, Kultur, öffentlichen Dienst und Sport, mit der die BMKÖS-Datenaufbewahrungsverordnung geändert wird", BGBl II 2025/18, kundgemacht. Mit dieser V werden bestimmte Aufbewahrungspflichten bei der Verarbeitung der Daten von Beamten im Vergleich zu den Regelungen des § 280a BDG herab- oder heraufgesetzt.

Vorschau EuGH-Rechtsprechung

· Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

Datenschutzmonitor 12.02.2025

Rechtsprechung des EGMR

EGMR 04.02.2025, 33421/16 au, Klimova ua/Russland

Vorratsdatenspeicherung, Aktivistin, Meinungsfreiheit

· Kommunikationsdienste haben in Russland Metadaten über Internetkommunikationen für ein Jahr und Inhaltsdaten der Internetkommunikationen für sechs Monate aufzubewahren (= Vorratsdatenspeicherung). Diese Daten sind auf Anfrage von Polizei oder Sicherheitsdiensten vom Kommunikationsdienstleister herauszugeben. Eine gerichtliche Genehmigung ist dafür nicht zwingend erforderlich.

Eine Aktivistin administrierte eine öffentliche Community auf dem russischen sozialen Netzwerk VKontakte (VK), die sich für die Rechte von LGBTQI+ Personen einsetzte. Der russische Geheimdienst (Federal Security Service; FSB) erwirkte die Herausgabe von Nutzerdaten der Administratorin einschließlich weitreichender Informationen über den Inhalt und weiterer Teilnehmer der Community. Über die durch diese Herausgabe persönlich identifizierte Aktivistin wurden in der Folge wegen Förderung von Homosexualität bei Minderjährigen zwei Verwaltungsstrafen verhängt. Diese Strafen wurden im Rechtsmittelverfahren aufrechterhalten.

Der EGMR stellte einstimmig eine Verletzung der durch Art 8 (Recht auf Achtung des Privat- und Familienlebens) und Art 10 EMRK (Freiheit der Meinungsäußerung) gewährleisteten Rechte fest und sprach der Aktivistin EUR 9.800 immateriellen Schadenersatz zu.

Der EGMR hat erwogen: Der EGMR ist zuständig, weil sich der Sachverhalt vor dem Austritt Russlands aus der EMRK mit 16.09.2022 ereignete.

Die vom FSB gesammelten Daten (Benutzerdaten, Informationen über die von der Aktivistin errichteten und moderierten Gruppen und deren Inhalt) fallen in den Bereich des durch Art 8 EMRK geschützten Privatlebens.

Eingriffe in das geschützte Privatleben müssen auf gesetzlichen Bestimmungen basieren, ein legitimes Ziel verfolgen und in einer demokratischen Gesellschaft notwendig sein. Das innerstaatliche Recht muss einen geeigneten Schutz dieser Daten vorsehen, vor allem, wenn Daten für polizeiliche Zwecke verwendet werden.

Das russische Informationsgesetz sieht zwar eine gesetzliche Grundlage zur Erhebung von Daten vor, enthält jedoch keine geeigneten Schutzgarantien. Der Schutz vor Missbrauch ist bei Plattformen sozialer Netzwerke besonders gering, weil Behörden keine gerichtliche Genehmigung für den Zugriff auf personenbezogene Daten benötigen. Der Aktivistin stand zudem kein wirksamer Rechtsbehelf zur Verfügung, um die Übermittlung personenbezogener Daten an die FSB anzufechten. Denn im Rahmen des möglichen gerichtlichen Überprüfungsverfahrens sind Gerichte nicht verpflichtet, die Notwendigkeit und Angemessenheit des Zugriffs auf personenbezogene Daten im erforderlichen Ausmaß zu überprüfen. Die Erhebung der Nutzerdaten beruhte somit auf gesetzlichen Bestimmungen, die keine ausreichenden Garantien gegen Missbrauch boten.

Das Verbot der Förderung von Homosexualität dient darüber hinaus nicht dem legitimen Ziel des Schutzes der Sittlichkeit und Gesundheit. Bei der Prüfung, ob der Eingriff in das Recht auf Achtung der Privatsphäre "in einer demokratischen Gesellschaft notwendig war", ist die Art und Schwere der Straftat zu berücksichtigen. Der Straftatbestand der Förderung der Homosexualität ist nach dem innerstaatlichen Recht eine Verwaltungsübertretung, die auch keinen tatsächlichen (in ihrem Sinn) nachteiligen Erfolg verlangt. Die Erhebung großer Mengen personenbezogener Daten kann außerdem eine abschreckende Wirkung im Hinblick auf das Recht auf freie Meinungsäußerung haben. Unter diesen Umständen erscheint die Erhebung ua sensibler Daten zur Identifizierung der Aktivistin in einer demokratischen Gesellschaft nicht notwendig.

EGMR 04.02.2025, 8825/22 ua, Bazhenov ua/Russland

Positive Pflicht, sexuelle Orientierung, soziales Netzwerk

· Die personenbezogenen Daten, darunter die sexuelle Orientierung, von zwei Geschäftsleuten und einem Rechtsanwalt, die jeweils in gleichgeschlechtlichen Ehen in Europa bzw in den USA lebten, wurden 2020 auf dem russischen sozialen Netzwerk VKontakte (VK) mit klar homophober Intention in homophoben Gruppen und auf privaten Kanälen veröffentlicht. Die Geschäftsleute und der Rechtsanwalt riefen die jeweils zuständigen Staatsanwaltschaften an. In Russland waren zwar entsprechende strafgesetzliche Bestimmungen vorhanden, die Staatsanwaltschaften blieben jedoch zunächst untätig. Mit reichlicher Verspätung forderte die Staatsanwaltschaft VK auf, die Identitätsdaten des Nutzers herauszugeben, der sich hinter dem verdächtigen Profil verbarg. Anschließend wurde das Verfahren jedoch ohne Rückmeldung von VK geschlossen. Die Geschäftsleute und der Rechtsanwalt riefen den EGMR an, der einen Verstoß gegen Art 14 EMRK (Verbot der Benachteiligung) iVm Art 8 EMRK (Recht auf Achtung des Privat- und Familienlebens) feststellte.

Der EGMR hat erwogen: Die vorgeworfene Tat ereignete sich vor dem 16.09.2022, als Russland aus der EMRK austrat. Der EGMR ist daher zuständig.

Das Offenlegen personenbezogener Daten auf homophoben öffentlichen und individuellen Kanälen hat die Geschäftsleute und den Rechtsanwalt einem erhöhten Risiko von Belästigung ausgesetzt und sie hatten Angst um ihr Leben. Das einwilligungslose Veröffentlichen der personenbezogenen Daten, einschließlich der sexuellen Orientierung, der Information über die gleichgeschlechtliche Ehe sowie von Fotos der Betroffenen, greift in deren Recht auf Privat- und Familienleben ein.

Der Staat hat eine positive Pflicht, das Recht auf Achtung des Privat- und Familienlebens ohne Diskriminierung zu schützen. Sexuelle Minderheiten sind besonders schutzbedürftig. Das innerstaatliche Recht enthielt zwar einen strafgerichtlichen Rechtsbehelf gegen das rechtswidrige Verbreiten von Informationen über das Privatleben einer Person, der Staat ist seiner positiven Pflicht jedoch nicht nachgekommen, weil er untätig blieb, bis die Verjährungsfristen abliefen.

Zwar stellte der Ermittler, bevor er das Verfahren betreffend die Geschäftsleute endgültig einstellte, eine Anfrage an VK, doch stellte er das Verfahren ein, ohne eine Antwort von VK erhalten zu haben. Anm: Aus diesem Urteil kann geschlossen werden, dass es nach Ansicht des EGMR Sicherheitsbehörden geboten ist, zur Aufklärung von (bestimmten) Straftaten bei sozialen Netzwerken die Identitätsdaten der Nutzer dieser Netzwerke anzufragen. Allerdings gilt dies jedenfalls nicht, wie im zuvor besprochenen Fall Klimova/Russland gezeigt, wenn dies in einer demokratischen Gesellschaft nicht gerechtfertigt ist.

back

Rechtsprechung des EuGH

EuGH Schlussanträge 06.02.2025, C-413/23 P, EDPS/SRB (EN)

Personenbezug, Pseudonymisierung, Informationspflicht

· Im Rahmen des Abwicklungsverfahrens einer Bank veröffentlichte der Einheitliche Abwicklungsausschuss (SRB) – die für die Abwicklung insolvenzbedrohter Finanzinstitute zuständige Behörde der Europäischen Bankenunion – eine vorläufige Entscheidung über die Gewährung einer Entschädigung für betroffene Aktionäre oder Gläubiger. Er leitete ein Anhörungsverfahren ein, bei dem Betroffene eine Stellungnahme zur vorläufigen Entscheidung einreichen konnten. Die Stellungnahmen wurden vom SRB aggregiert, gefiltert und kategorisiert und dann an Deloitte zur Auswertung übermittelt. Die Inhalte der Stellungnahmen waren von den Identifikationsdaten der Betroffenen getrennt und mit einem alphanumerischen Code gekennzeichnet, sodass nur der SRB die Daten verknüpfen konnte.

Fünf Bankkunden brachten Beschwerden beim EDSB ein, weil der SRB nicht darüber informiert hatte, dass ihre Daten an Deloitte weitergegeben werden. Der EDSB beschloss, dass die an Deloitte übermittelten Daten pseudonymisierte Daten waren und stellte einen Verstoß gegen die Informationspflicht fest.

Der SRB erhob Klage an das EuG. Dieses hob den Beschluss des EDSB auf, weil dieser Inhalt, Zweck oder Auswirkungen der an Deloitte übermittelten Informationen nicht geprüft habe. Mangels einer solchen Prüfung dürfe der EDSB nicht davon ausgehen, dass sich die an Deloitte übermittelten Informationen auf eine natürliche Person beziehen. Gegen diese Entscheidung richtet sich das Rechtsmittel des EDSB.

Der Generalanwalt hat erwogen: Eine Information bezieht sich auf eine bestimmte oder bestimmbare Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit dieser verknüpft ist. Bei Stellungnahmen ist zu unterscheiden, ob sie sich auf die bewertete Person beziehen, auf die im Text Bezug genommen wird, oder auf den Verfasser. Im zweiten Fall könnte man vermuten, dass sich eine Stellungnahme zwangsläufig auf ihren Verfasser bezieht. Auch mangels einer solchen Vermutung beziehen sich die Stellungnahmen aufgrund ihres Inhalts, Zwecks und ihrer Wirkung auf die Bankkunden, weil sie ihre Logik und Argumentation zeigten und somit ihre subjektive Meinung widerspiegelten. Die Stellungnahmen waren auch geeignet, sich auf die Interessen der Betroffenen in Bezug auf die finanzielle Entschädigung auszuwirken.

Die Aggregation der Stellungnahmen ändert nichts daran, dass es sich um personenbezogene Daten handelt, weil es andernfalls ausreichen würde, mehrere Standpunkte zusammenzufassen, um das Erfordernis zu umgehen, dass es sich um eine Information "über eine natürliche Person" zu handeln hat. Die fehlende Unterscheidbarkeit der Einzelmeinungen betrifft die Frage der Identifizierbarkeit, nicht jedoch die Verknüpfung mit einer natürlichen Person.

Pseudonymisierung ist eine Verarbeitung personenbezogener Daten, die die Möglichkeit offenlässt, dass Betroffene nicht identifizierbar sind. Während anonymisierte Daten nicht unter die DSGVO fallen, sind pseudonymisierte Daten nur insoweit ausgeschlossen, als Betroffene nicht identifiziert werden können. Daten können nur dann nicht als personenbezogene Daten eingestuft werden, wenn die Gefahr einer Identifizierung ausgeschlossen oder unbedeutend ist. Es war daher zu prüfen, ob die Pseudonymisierung der Daten so robust war, dass die Bankkunden vernünftigerweise nicht identifizierbar waren. Falls Deloitte in der Lage gewesen wäre, die Bankkunden zu identifizieren, hätte es sich um personenbezogene Daten gehandelt.

Die Informationspflicht ist Teil des Rechtsverhältnisses zwischen den Betroffenen und dem Verantwortlichen. Sie entsteht zu dem Zeitpunkt, zu dem die Daten vom SRB erhoben werden und in Bezug auf die Informationen über den Empfänger spätestens dann, wenn dieser bekannt ist. Die Daten bleiben personenbezogen, unabhängig davon, ob sie gegenüber dem Empfänger pseudonymisiert wurden. Die Frage, ob die Pseudonymisierung ausreichend war, ist für die Informationspflicht nicht relevant, sodass Deloitte als Empfänger zu beauskunften gewesen wäre.

EuGH Schlussanträge 06.02.2025, C-492/23, Russmedia Digital

Online-Marktplatz, Hosting, Rollenverteilung

· Auf dem Online-Marktplatz ("Publi24.ro"), die von der Gesellschaft Russmedia betrieben wird, wurde eine Annonce veröffentlicht, aus der hervorging, dass eine Person sexuelle Dienstleistungen anbiete. Diese Annonce enthielt Fotos und eine Telefonnummer, die aus den sozialen Netzwerken der Person stammten und ohne ihre Zustimmung verarbeitet wurden. Russmedia entfernte die Anzeige, doch wurde sie auf andere Websites kopiert. Die Person erhob Klage gegen Russmedia, woraufhin der EuGH angerufen wurde, um die Haftung des Betreibers eines Online-Marktplatzes zu klären.

Der Generalanwalt hat erwogen: Der Betreiber eines Online-Marktplatzes kann in den Genuss einer Haftungsbefreiung für den Inhalt der auf seinem Marktplatz veröffentlichten Anzeigen kommen, sofern seine Rolle neutral und rein technisch bleibt und er bei Kenntnis eines rechtswidrigen Inhalts diesen unverzüglich entfernt. Das gilt nicht, wenn aktiv in die Verwaltung der Inhalte, deren Änderung oder die Werbung für die Inhalte eingegriffen wird. Die Haftungsbefreiung ist auf Russmedia anwendbar, solange sie ihre Eigenschaft als neutraler Hosting-Provider nicht verliert, auch wenn in den allgemeinen Nutzungsbedingungen angeführt ist, sich das Recht vorzubehalten, die bereitgestellten Inhalte selbst zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln etc.

Betreffend die datenschutzrechtliche Rollenverteilung ist anzunehmen, dass der Betreiber als Auftragsverarbeiter für den Inserierenden agiert. Er ist somit nicht verpflichtet, den Inhalt der veröffentlichten Anzeigen zu überprüfen oder Sicherheitsmaßnahmen zu ergreifen, die geeignet sind, das Kopieren oder die Weiterverbreitung des Inhalts von Anzeigen zu verhindern. Er muss aber geeignete organisatorische und technische Maßnahmen treffen, um die Sicherheit der Verarbeitung gegenüber Dritten zu gewährleisten.

Hinsichtlich der personenbezogenen Daten der inserierenden Nutzer handelt der Betreiber als Verantwortlicher. In diesem Rahmen ist er verpflichtet, die Identität dieser inserierenden Nutzer zu überprüfen.

Rechtsprechung der Justiz

· Die Befugnisse des Betriebsrats bleiben durch das Datenschutzrecht unberührt. Das ArbVG wurde als "spezifischere" Vorschrift iSd Öffnungsklausel des Art 88 Abs 3 DSGVO bei der Europäischen Kommission notifiziert. Zwischen dem Betriebsverfassungs- und dem Datenschutzrecht besteht eine "Sphärenharmonie". Im Bereich der Pflichtkompetenzen des Betriebsrats ist keine datenschutzrechtliche Interessenabwägung erforderlich, weil die Datenverarbeitung auf die Erfüllung rechtlicher Verpflichtungen gemäß Art 6 Abs 1 lit c und Art 9 Abs 2 lit b DSGVO gestützt werden kann. Außerhalb der Pflichtbefugnisse des Betriebsrats gelangen die Art 6 Abs 1 lit f und Art 9 Abs 2 lit b DSGVO als Erlaubnistatbestände zur Anwendung. Benötigt der Betriebsrat zur Kontaktaufnahme die E-Mail-Adressen der Arbeitnehmer, hat der Betriebsinhaber diese herauszugeben. Die proaktive Kontaktaufnahme gehört zwar nicht zu den Pflichtbefugnissen des Betriebsrats. Die Herausgabe kann aber auf das berechtigte Interesse des Betriebsrats gestützt werden, als Belegschaftsvertretung mit den Arbeitnehmern zu kommunizieren. Ein Recht des Betriebsrats auf Bekanntgabe privater Telefonnummern der Arbeitnehmer besteht hingegen nicht (OGH 17.01.2025, 6ObA2/23x).

· Ein elektronisches Auskunftsersuchen muss nicht zwingend mit einer qualifizierten elektronischen Signatur versehen sein. Die DSGVO gibt keine konkrete Form des Identitätsnachweises vor. Ergibt sich hinsichtlich des Identitätsnachweises bereits ein hoher Grad an Verlässlichkeit, ist die Anforderung zusätzlicher Informationen unzulässig (OLG Linz 27.01.2025, 11R1/25h).

Rechtsprechung des BVwG

BVwG 27.11.2024, W252 2280461-1

Anwendungsbereich, StVO, Verwaltungsstrafverfahren, Straftat

· Mitarbeiter der Autobahnpolizeiinspektion fertigten auf einer Autobahn mit ihrer mobilen Dienstkamera ein Lichtbild eines Fahrzeugs an, weil dessen Halter gegen das Rechtsfahrgebot verstieß. Die Mitarbeiter brachten die straßenverkehrsrechtliche Verwaltungsübertretung bei der zuständigen Bezirkshauptmannschaft ("BH") zur Anzeige. Der Fahrzeughalter erachtete sich in seinem Geheimhaltungsrecht verletzt und erhob eine auch gegen die örtlich zuständige Landesregierung gerichtete Datenschutzbeschwerde an die DSB, welche diese abwies. Der Fahrzeughalter erhob (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO findet ua keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten. Ausnahmen vom Anwendungsbereich der DSGVO sind eng auszulegen. Der VwGH hat mit Beschluss vom 03.03.2022, Ra 2020/02/0241, Art 6 Abs 1 lit e iVm Abs 3 DSGVO in einem Verwaltungsstrafverfahren angewendet. Somit fallen nicht jegliche Verwaltungsstrafen unter den unionsrechtlichen Begriff der Straftat. Die DSGVO ist anzuwenden.

Die Landesregierung ist für die Handhabung der Verkehrspolizei auf Autobahnen zuständig. Sie kann hierfür Organe, die der Landespolizeidirektion angehören oder dieser zugeteilt sind und in Angelegenheiten des Straßenverkehrs besonders geschult sind, zur Handhabung der Verkehrspolizei ua auf Autobahnen einsetzen. Organe der Straßenaufsicht haben die Verkehrspolizei zu handhaben und bei der Vollziehung dieses Bundesgesetzes durch Maßnahmen, die für die Einleitung von Verwaltungsstrafverfahren erforderlich sind, mitzuwirken. Eine derartige Maßnahme, an der die Organe der Bundespolizei (hier jene der Autobahnpolizeiinspektion) mitzuwirken haben, kann ua die Anfertigung von Beweismaterial in Form von Lichtbildern sein. Dabei begründet die Straßenverkehrssicherheit eine Aufgabe im öffentlichen Interesse. Die Verarbeitung der vorliegenden Daten war für die Wahrnehmung der sich aus den Erfordernissen der StVO sowie aus dem Verwaltungsstrafverfahren ergebenden Aufgabe, die im öffentlichen Interesse liegt, erforderlich und daher rechtmäßig.

Auf den von der DSB angenommenen Erlaubnistatbestand des § 98e Abs 1 StVO konnte die Datenverarbeitung jedoch nicht gestützt werden. Wie sich aus den Gesetzesmaterialien ergibt, hatte der Gesetzgeber bei der Schaffung des § 98e StVO "die Überwachung aus Fahrzeugen (zB Zivilstreifen)" vor Augen. Mangels planwidriger Rechtslücke war der von der DSB angestellte "teleologische Größenschluss" unzulässig.

BVwG 10.01.2025, W108 2290157-1

WEG, mündliche Mitteilung, gesetzliche Pflicht

· Ein Wohnungseigentümer richtete mehrere E-Mails an seine Hausverwaltung, in denen er ua eine grobe Misswirtschaft und eine unzulässige Begünstigung eines Miteigentümers iZm mit einem geplanten Bauprojekt durch die Verwalterin kritisierte. Die Verwalterin verlas in einer Eigentümerversammlung in Abwesenheit des Wohnungseigentümers Auszüge dieser E-Mails und nahm deren Inhalt in das Sitzungsprotokoll auf. Dieses wurde anschließend an alle Wohnungseigentümer übermittelt. Der Wohnungseigentümer erachtete sich dadurch in seinem Recht auf Geheimhaltung verletzt.

Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Offenlegung der E-Mails durch überwiegende berechtigte Interessen der Hausverwaltung und der Wohnungseigentümer gerechtfertigt war. Daraufhin erhob der Wohnungseigentümer (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Im Hinblick auf eine Verletzung des Rechts auf Geheimhaltung spielt es keine Rolle, auf welche Weise Daten verarbeitet werden. Auch eine mündliche Mitteilung kann eine Verletzung dieser Bestimmung bewirken.

Die Vorwürfe iZm den Pflichtverletzungen der Verwalterin betrafen die gesamte Eigentümergemeinschaft. Daher bestand jedenfalls ein erhebliches Interesse der Hausverwaltung iSd § 1 Abs 2 DSG, die vom Wohnungseigentümer übermittelten Informationen bzw erhobenen Vorwürfe den übrigen Miteigentümern zur Kenntnis zu bringen. Falls zutreffend, hätten sie zur Kündigung des Verwaltervertrags führen können bzw müssen und einen erheblichen finanziellen Schaden für die Eigentümergemeinschaft bedeutet.

Das Verschweigen der erhobenen Vorwürfe hätte jedenfalls einen Verstoß gegen gesetzliche Pflichten gemäß § 20 Abs 1 WEG sowie gegen vertragliche Pflichten der Hausverwaltung bedeutet.

Weiters war auch die Bekanntgabe des Namens des Wohnungseigentümers gerechtfertigt. Die übrigen Miteigentümer hatten ein Interesse, die Vorwürfe zu überprüfen, was nur mit Bekanntgabe des Urhebers möglich war. Nur so konnte eine Rücksprache oder ein Austausch über Beweismittel erfolgen.

Daher war die Datenverarbeitung jedenfalls auch für den geschilderten Zweck erheblich und notwendig, zumal lediglich der Name des Wohnungseigentümers offengelegt und seine Schreiben auch nur auszugsweise verlesen bzw deren Inhalt paraphrasierend wiedergegeben wurde. Damit ging auch ein informationeller Mehrwert einher.

BVwG 09.01.2015, W256 2244544-1

Auskunftsrecht, Dokumentenkopie, Antragsinhalt

· Ein Landwirt stellte ein Auskunftsersuchen an die Landwirtschaftskammer. Er forderte darin Auskunft über die zu seiner Person verarbeiteten Daten, die Zwecke der Verarbeitung und deren Empfänger. Zudem verlangte er die Übermittlung aller ihn betreffenden Unterlagen sowie allgemeine Unterlagen zum Bau einer Gasleitung und zur Angelegenheit Fischteiche. Die Landwirtschaftskammer beantwortete das Auskunftsersuchen und übermittelte dem Landwirt 280 Seiten an Ausdrucken und Fotokopien, einschließlich allgemeiner Unterlagen.

Der Landwirt erachtete die Auskunft für unvollständig und brachte bei der DSB eine Datenschutzbeschwerde ein. Die DSB wies die Datenschutzbeschwerde ab, weil die Landwirtschaftskammer eine vollständige Auskunft erteilt habe. Daraufhin erhob der Landwirt eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Art 15 Abs 1 DSGVO räumt Betroffenen das Recht auf Auskunft darüber ein, ob sie betreffende personenbezogene Daten verarbeitet werden und bejahendenfalls, um welche Daten es sich dabei konkret handelt. Die Mitteilung nach Art 15 Abs 1 DSGVO hat in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen. Das Auskunftsrecht beschränkt sich auf personenbezogene Daten iSd Art 4 Abs 1 DSGVO. Im Einzelfall kann es erforderlich oder zweckmäßig sein, dass auch einzelne Textpassagen oder Dokumente zur Verfügung gestellt werden. Ein generelles Recht auf Erhalt von Dokumenten kann aus Art 15 DSGVO jedoch nicht abgeleitet werden. Dieses Recht besteht nur, wenn die Zurverfügungstellung unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen.

Die DSB und das BVwG können nur darüber absprechen, was überhaupt beantragt wurde, dh sie sind an den Inhalt des Antrags des jeweiligen Antragstellers gebunden. Das BVwG darf nicht jegliche möglichen Rechtsverletzungen prüfen. Die Landwirtschaftskammer hat dem Beschwerdeführer eine umfassende Auskunft erteilt. Sie hat ihm die zu seiner Person verarbeiteten Daten, deren Herkunft und Empfänger mitgeteilt. Zudem hat sie ihm auch die ihn betreffenden Unterlagen zur Verfügung gestellt, weshalb keine Mangelhaftigkeit der Auskunft erkennbar ist. Der Landwirt hat keinen Anspruch auf allgemeine Unterlagen, die nicht seine Person betreffen.

BVwG 09.01.2025, W211 2283857-1

Video, Servitut, Ausdehnung der Datenschutzbeschwerde

· Ein Ehemann installierte im Eingangsbereich seines Hauses eine Videokamera, die auch einen Teil eines über das Grundstück führenden Weges erfasste. An diesem Weg besteht eine Servitut zugunsten eines Servitutsberechtigten. Der Servitutsberechtigte brachte eine Datenschutzbeschwerde gegen die Ehefrau als Grundeigentümerin ein, die er im weiteren Verfahren auch gegen deren Ehemann ausdehnte. Die DSB bestätigte die Verletzung im Recht auf Geheimhaltung und forderte den Ehemann auf, den Aufnahmebereich der Kamera einzuschränken. Das BVwG gab der Bescheidbeschwerde des Ehemanns statt und änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird.

Das BVwG hat erwogen: Die Ausdehnung der Datenschutzbeschwerde auf den Ehemann war zulässig. Sie änderte nicht das Wesen der Sache dieser Datenschutzbeschwerde, weil sie weder deren Rechtsqualität noch die anzuwendenden Materiengesetze oder die Behördenzuständigkeit veränderte.

Da die pflegebedürftige Grundeigentümerin und ihr ebenfalls betagter Ehemann alleine und abgeschieden am Dorfrand lebten, besteht an der Nutzung der Videokamera ein objektiv nachvollziehbares Interesse und somit ein Rechtfertigungsgrund iSd Art 6 Abs 1 lit f DSGVO. Die Videokamera war parallel zum Weg ausgerichtet und ihr Erfassungsbereich auf das eigene Grundstück beschränkt. Sie sollte also nicht in erster Linie der Überwachung des Servitutsberechtigten oder unbeteiligter Dritter dienen, sondern dem eigenen, berechtigten Bedürfnis nach effektivem Schutz der Gesundheit und des Eigentums. Dieses rechtfertigt auch eine allfällige Dokumentation von Geschehnissen über den eigentlichen, engen Eingangsbereich des Hauses hinaus. Das Interesse an der Datenverarbeitung überwiegt somit das Geheimhaltungsinteresse des Servitutsberechtigten.

· Die "Sache" des bekämpften Bescheids bildet den äußersten Rahmen für die Prüfbefugnis des BVwG. Hat die DSB jegliche Ermittlungstätigkeit zu wesentlichen Sachverhaltselementen unterlassen, ist die Angelegenheit jedoch zum Erlassen eines erneuten Bescheids an die DSB zurückzuverweisen (BVwG 07.01.2025, W108 2286042-1).

· Die Bestimmung des Art 29 DSGVO richtet sich an Auftragsverarbeiter und an jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person. Bringt eine Person eine Beschwerde ein, muss sie damit rechnen, dass die gesamte Beschwerde – und nicht nur eine sinngemäße Inhaltswiedergabe – den anderen Verfahrensparteien zum Parteiengehör zugestellt wird. Dies ergibt sich aus dem Grundsatz des fairen Verfahrens. Eine Datenverarbeitung kann gleichzeitig die Erlaubnistatbestände des Art 6 Abs 1 lit c und des Art 6 Abs 1 lit e DSGVO erfüllen (BVwG 07.01.2025, W108 2284293-1).

· Der EuGH hat mit Urteil vom 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), über die Frage entschieden, wann eine Datenschutzbeschwerde von der Aufsichtsbehörde als exzessiv abgelehnt werden darf. Die DSB hat die Behandlung der Datenschutzbeschwerde als exzessiv abgelehnt, ohne sich mit dessen Inhalt auseinanderzusetzen. Nach dem EuGH hätte die DSB eine Missbrauchsabsicht des Beschwerdeführers nachzuweisen gehabt. Da dahingehend keine Ermittlungen vorgenommen wurden, wird der Bescheid der DSB behoben und die Angelegenheit zum Erlassen eines neuen Bescheids an die DSB zurückverwiesen (BVwG 14.01.2025, W298 2263736-1).

· Besteht ein Betroffener trotz von der DSB eingeräumten Verbesserungsmöglichkeit auf die Fortsetzung des Verfahrens gegen einen Beschwerdegegner, der für die Verarbeitung nicht verantwortlich ist, ist die Datenschutzbeschwerde mangels Passivlegitimation des Beschwerdegegners abzuweisen (BVwG 14.01.2025, W298 2300879-1).

EU-Rechtsakte

· Am 04.02.2025 veröffentlichte die EU-Kommission den Entwurf der Leitlinie zu verbotenen KI-Nutzungen, in der die in Art 5 KI-VO beschriebenen verbotenen KI-Systeme genauer definiert werden. In der Leitlinie wird versucht, anhand von Beispielen die Grenze zwischen verbotenen und noch erlaubten KI-Praktiken zu ziehen. Nach Art 5 KI-VO sind KI-Praktiken im Bereich (i) der schädlichen Manipulation und Täuschung, (ii) der schädlichen Ausnutzung von Schwachstellen, (iii) der Sozialbewertung, (iv) der Risikobewertung und Vorhersage von Straftaten, (v) des ungezielten automatischen Extrahierens (Scraping) von Gesichtsbildern zur Erweiterung von Datenbanken zur Gesichtserkennung, (vi) der Emotionserkennung, (vii) der biometrischen Kategorisierung und (viii) der Echtzeit-Fernbiometrischen Identifizierung für Strafverfolgungszwecke unter gewissen Umständen verboten. In den Beispielen der Kommission wird ua auf die Zulässigkeit von KI-Praktiken wie Social Scoring und biometrischer Echtzeitidentifizierung eingegangen. Die Leitlinie nimmt dabei auch Bezug auf die SCHUFA Entscheidung des EuGH, wonach es sich bei dem im Sachverhalt durchgeführten Profiling um eine Unterart des Bewertens iSd Art 5 Abs 1 lit c KI-VO handelt und diese Praktik unter gewissen Umständen auch in den Anwendungsbereich der KI-VO fällt und verboten sein kann. Ebenfalls geht die Leitlinie auf die Abgrenzung zu anderen Rechtsakten der EU, wie die DSGVO, den DSA etc ein und wie diese Bestimmungen im Zusammenspiel mit der KI-VO anzuwenden sind. Derzeit ist der Entwurf der Leitlinie nur auf Englisch verfügbar. Erst wenn alle Sprachfassungen verfügbar werden, wird die Leitlinie anwendbar.

· Am 06.02.2025 wurde der Entwurf der Leitlinien zur Definition von KI-Systemen veröffentlicht. Die Leitlinien verfolgen das Ziel, die sehr umfassende Definition des Begriffs KI-Systeme, welcher in Art 3 Z 1 KI-VO geregelt ist, konkreter zu definieren. In den Leitlinien werden aus der Definition sieben Prüfelemente abgeleitet. Der Begriff maschinengestützt umfasst Hardware und Software. Damit ist eine Vielzahl an Computersystemen gemeint, wie Quantencomputing und auch biologische oder organische Systeme, falls sie Rechenkapazität bieten. Die Leitlinie enthält darüber hinaus Ausnahmefälle, für die die KI-VO nicht anwendbar ist. Darunter fallen Systeme zur Verbesserung mathematischer Optimierung, einfache Datenverarbeitung, Systeme, die auf klassischer Heuristik basieren (eine Methode, bei der aus begrenztem Wissen und Zeit dennoch eine wahrscheinliche Lösung gefunden wird, bspw durch Zufallsstichproben oder "trial and error") und einfache Vorhersagesysteme. Als konkrete Beispiele für die Ausnahmen werden physikbasierte Systeme – zB zur Wettervorhersage, Satellitentelekommunikationssysteme zur Optimierung der Bandbreitenzuweisung, Datenbankverwaltungssysteme, die Daten nach spezifischen Kriterien sortieren oder filtern (zB finde alle Kunden, die mit "K" anfangen), und Systeme, die Aktienkurse vorhersagen – genannt. Als Beispiel für die Anwendbarkeit der KI-VO werden KI-Systeme in selbstfahrenden Autos erwähnt, die Echtzeitvorhersagen in komplexen und dynamischen Umgebungen treffen.

Vorschau EuGH-Rechtsprechung

· Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von Telekommunikationsverträgen absprechen.

Datenschutzmonitor 06.02.2025

Rechtsprechung des EuG

EuG 29.01.2025, T-70/23 ua, DPC/EDSA

DPC, EDSA, Kohärenzverfahren, verbindlicher Beschluss

· Die Data Protection Commission ("DPC") erhob Klage gegen den Europäischen Datenschutzausschuss ("EDSA"). Die Klage richtete sich gegen verbindliche Beschlüsse des EDSA (3/2022, 4/2022 und 5/2022), mit welchen die DPC verpflichtet wurde, neue Untersuchungen zu Datenverarbeitungstätigkeiten der Meta-Dienste Facebook, Instagram und WhatsApp durchzuführen und ergänzende Beschlussentwürfe zu erstellen. Die DPC beantragte, diese verbindlichen Beschlüsse teilweise für nichtig zu erklären. Das EuG wies die Klagen ab und bestätigte die Kompetenz des EDSA, entsprechende Beschlüsse zu erlassen.

Das EuG hat erwogen: Nach ständiger Rechtsprechung sind bei der Auslegung einer Unionsrechtsvorschrift nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und ihre Ziele zu berücksichtigen. Der EDSA kann gemäß Art 65 Abs 1 lit a DSGVO verbindliche Beschlüsse erlassen, wenn eine andere Aufsichtsbehörde einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde einlegt. Dies schließt auch die Anweisung ein, eine fehlende Analyse nachzuholen und die Untersuchung zu vertiefen oder auszuweiten, wenn dies erforderlich ist.

Der Wortlaut des Art 65 Abs 1 lit a DSGVO unterstützt diese Auslegung. Die Zusammenarbeit zwischen den betroffenen Aufsichtsbehörden und die Kohärenzkontrolle durch den EDSA wird nicht beeinträchtigt, wenn der EDSA Weisungen zur Ausweitung der Untersuchung erteilt. Der Unionsgesetzgeber hat entschieden, dass anhaltende Meinungsverschiedenheiten zwischen den betroffenen Aufsichtsbehörden im Rahmen des Kohärenzverfahrens innerhalb des EDSA geschlichtet werden sollen. Eine nationale gerichtliche Kontrolle ist nicht geeigneter, um Einwände im Zusammenhang mit der Untersuchung zu prüfen.

back

Rechtsprechung des VwGH

VwGH 19.12.2024, Ro 2022/15/0018

Steuern, Spende, erhebliches öffentliches Interesse

· Ein Arbeitnehmer machte in seiner Arbeitnehmerveranlagung eine Spende an einen gemeinnützigen Verein als Sonderausgaben geltend. Das Finanzamt berücksichtigte diese Sonderausgaben nicht, weil der Arbeitnehmer dem Zuwendungsempfänger seinen Namen und sein Geburtsdatum nicht bekannt gab. Gegen den ablehnenden Bescheid des Finanzamts erhob der Arbeitnehmer Bescheidbeschwerde an das BFG. Die Bestimmung des § 18 Abs 8 Z 1 EStG 1988 sei aufgrund des Vorranges der DSGVO nicht anwendbar und verfassungswidrig. Seine Geldspende sei als Sonderausgabe zu berücksichtigen.

Das BFG wies die Bescheidbeschwerde ab, weil der Datenaustausch mit einem verschlüsselten bereichsspezifischen Personenkennzeichen für Steuern und Abgaben ("vbPK SA") erfolge und zulässig sei. Die Behandlung der Erkenntnisbeschwerde des Arbeitnehmers lehnte der VfGH ab. Der VwGH wies die Revision ab.

Der VwGH hat erwogen: Durch Art 9 Abs 2 lit g DSGVO kann eine Datenverarbeitung gerechtfertigt sein, wenn sie aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Im Unterschied zu Art 6 Abs 1 lit e DSGVO, welcher nur ein öffentliches Interesse voraussetzt, braucht es bei der Rechtfertigung einer Datenverarbeitung nach Art 9 Abs 2 lit g DSGVO ein erhebliches öffentliches Interesse. Dieses setzt eine spezifische Abwägung und eine besondere Legitimation für die Verwendung solcher Daten voraus. Nicht nur die Erhebung von Steuern und Abgaben, sondern auch die Ermittlung der korrekten Steuerbemessungsgrundlagen ist ein erhebliches öffentliches Interesse.

Durch einen Datenaustausch mit Hilfe des "vbPK SA" ist für das Finanzamt eine Zuordnung zu einer Person ohne Verknüpfung mit anderen Daten möglich. Der Zweck des § 18 Abs 8 EStG 1988 ist dem Finanzamt die Erfüllung seiner gesetzlichen Aufgabe zu ermöglichen, die ua darin besteht, in Massenverfahren Manipulationsmöglichkeiten zu verhindern und eine Gleichmäßigkeit der Besteuerung sicherzustellen.

Das "vbPK SA" ist für die Zuordnung und Ermittlung der als Sonderausgaben zu berücksichtigenden Zuwendungen zu einem bestimmten Steuerpflichtigen erforderlich.

Verarbeitet werden nur jene Zuwendungen, die ein Steuerpflichtiger als Sonderausgaben in Abzug bringen will. Auch vor Einführung des § 18 Abs 8 EStG 1988 mussten Steuerpflichtige alle Zuwendungen lückenlos nachweisen. Die Erhebung erfolgt im konkreten Anlass und nicht auf "Vorrat".

· Die vollständige und richtige Eintragung von Personenstandsdaten in das Zentrale Personenstandsregister ("ZPR") ist von erheblichem öffentlichen Interesse. Gemäß § 2 Abs 1 iVm Abs 2 gehört das Geschlecht einer Person zu den allgemeinen Personenstandsdaten, die gemäß § 11 Abs 1 PStG verpflichtend von der Personenstandsbehörde einzutragen sind. Eine ersatzlose Streichung des Eintrags des Geschlechts aus dem ZPR ist unzulässig. § 41 Abs 1 PStG ermöglicht nur die Änderung des Geschlechtseintrags, nicht dessen Streichung. Der VfGH hat in seiner Entscheidung vom 15.06.2018, G 77/2018, festgestellt, dass das Geschlecht ein maßgebliches Personenstandsdatum ist. Der VfGH hat jedoch zwischen Intersexualität und Transidentität unterschieden, wobei lediglich für intersexuelle Personen alternative Einträge wie "divers", "inter" oder "offen" möglich sind. Diese Regelung gilt nicht für transsexuelle Personen (VwGH 05.12.2024, Ro 2023/01/0008).

· Wird durch die Verknüpfung personenbezogener Daten (Name und Adresse) mit einer veröffentlichten Stellungnahme die Urheberschaft der Stellungnahme offengelegt, entsteht in datenschutzrechtlicher Hinsicht ein informationeller Mehrwert (VwGH 20.12.2024, Ra 2024/04/0425).

· Gegen ein Erkenntnis des BVwG, mit dem ein Säumnisbeschwerdeverfahren eingestellt wurde, ist eine Revision, die Vorbringen nur zur Hauptsache enthält, unzulässig (VwGH 20.12.2024, Ra 2024/04/0427).

· Einer Revision gegen ein Erkenntnis des BVwG, mit dem eine Verletzung im Recht auf Geheimhaltung festgestellt wurde, kommt keine aufschiebende Wirkung zu (VwGH 11.12.2024, Ra 2024/04/0423). Mit Beschluss vom 04.03.2024, Ra 2024/04/0010, erkannte der VwGH die aufschiebende Wirkung der Revision in einem Geheimhaltungsverfahren noch zu. Von dieser Rechtsprechung ist der VwGH nun wieder abgegangen. Begründend führt der VwGH aus, dass es darauf ankäme, ob die DSB der Zuerkennung entgegenstehende zwingende öffentliche Interessen einwendet. Allerdings hat die DSB keine solchen Interessen eingewendet.

Rechtsprechung der Justiz

· Mit § 55d Abs 7 EU-JZG wird Art 31 der RL 2014/41/EU über die Europäische Ermittlungsanordnung in Strafsachen umgesetzt. Die Staatsanwaltschaft wird verpflichtet, bei Unterrichtung durch ausländische Behörden über eine Telekommunikationsüberwachung in Österreich das Vorliegen von Vollstreckungshindernissen nach § 55a Abs 1 EU-JZG zu prüfen. Bei deren Vorliegen hat die Staatsanwaltschaft der ausländischen Strafverfolgungsbehörde mitzuteilen, dass die Überwachung nicht durchgeführt werden kann und bereits gesammelte Ergebnisse nicht verwendet werden dürfen. § 55a Abs 1 Z 13 EU-JZG normiert ein Vollstreckungshindernis, wenn die Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Wurden die Daten durch die Sicherstellung eines ausländischen (französischen) Servers und nicht durch eine Telekommunikationsüberwachung gewonnen, liegt kein Vollstreckungshindernis vor (OLG Linz 10.01.2025, 8Bs249/24k).

· Wurde eine Vollmachtsurkunde entgegen der Anmerkung "handschriftlich" elektronisch unterzeichnet und weicht diese Unterschrift maßgeblich von jener auf dem Ausweis des Klägers ab, sind Zweifel an der Vollmachterteilung iSd Art 12 Abs 6 DSGVO begründet. Durch Verweigerung der Auskunftserteilung wird daher keine Veranlassung zur Klagsführung gegeben, sodass die Kostenersatzpflicht nach § 45 ZPO greift. Erst gegenüber dem Gericht kann sich ein Rechtsanwalt gemäß § 8 RAO auf die ihm erteilte Vollmacht berufen. Anerkennt daraufhin der beklagte Verantwortliche den Auskunftsanspruch, hat der klagende Betroffene die Prozesskosten zu tragen (OLG Linz 15.01.2025, 2R174/24g; 15.01.2025, 2R172/24p).

· Gibt es keinen Grund, an der Vollmachtserteilung zu zweifeln, darf die Auskunft nicht verweigert werden. Verlangt der Verantwortliche dennoch einen speziellen Nachweis der Vollmacht, veranlasst er damit die Klagsführung und hat die Kosten zu tragen (OLG Linz 23.01.2025, 1R4/25a).

Rechtsprechung des BVwG

BVwG 02.09.2024, W256 2251016-1

Auskunft, Datenübertragung, neuer Verantwortlicher

· Ein Kunde begehrte Auskunft und Datenübertragung bei einem Finanzdienstleistungsunternehmen. Dieses stellte ihm seine personenbezogenen Daten sowie Informationen über abgeschlossene Verträge und Anträge in Form eines Excel-Dokuments bereit. Zudem standen ihm diese Daten im Kundenpostfach zur Verfügung. Der Kunde erhob Datenschutzbeschwerde bei der DSB, weil die Auskunft unvollständig und verspätet erteilt worden sei, die Datenübertragung verweigert worden sei und die Übertragung sensibler Kundendaten unverschlüsselt erfolgt sei. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Kunde Bescheidbeschwerde an das BVwG, das diese wegen der behaupteten Verletzung im Recht auf Auskunft abwies. Hinsichtlich des Rechts auf Datenübertragbarkeit gab das BVwG der Bescheidbeschwerde statt.

Das BVwG hat erwogen: Das Finanzdienstleistungsunternehmen hat dem Kunden sämtliche verarbeiteten Unterlagen übermittelt bzw standen diese dem Kunden im Postfach zur Verfügung. Eine Verletzung des Rechts auf Auskunft ist gemäß § 24 Abs 6 DSG sanierbar, der DSB kann daher nicht entgegengetreten werden, wenn sie eine (ursprüngliche) Unvollständigkeit der Auskunft in dem vom Kunden aufgezeigten Umfang nicht angenommen hat.

Das Recht auf Datenübertragbarkeit setzt voraus, dass (i) die begehrten Daten vom Betroffenen bereitgestellt sein müssen, (ii) die Verarbeitung auf einer Einwilligung oder einem Vertrag beruhen muss und (iii) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Der Zweck des Rechts auf Datenübertragung besteht nicht in der Information des Betroffenen über die Datenverarbeitung, sondern in der Ermöglichung bzw Erleichterung des Anbieterwechsels. Da der Kunde eine Datenübertragung nicht an seine Person, sondern direkt an den neuen Verantwortlichen beantragt hat und ihm eine solche Form der Datenübertragung nach Art 20 Abs 2 DSGVO auch ausdrücklich zusteht, hätte das Finanzdienstleistungsunternehmen darauf zu reagieren gehabt.

BVwG 18.12.2024, W252 2294338-1

Rollenverteilung, Anwendungsbereich, Videoüberwachung

· Eine Stadt betrieb eine Videoüberwachungskamera im Stadtgebiet und fasste konkrete Pläne für die Installation weiterer Kameras zur Stärkung des subjektiven Sicherheitsgefühls, des Schutzes von Eigentum und der Dokumentation straf- oder zivilrechtlich relevanter Delikte. Die Aufnahmen der bereits installierten Kamera konnten nur von der Stadtpolizei eingesehen werden. Die DSB leitete ein amtswegiges Prüfverfahren ein und untersagte die Datenverarbeitung der installierten Überwachungskamera. Daneben sprach sie eine Warnung aus, dass die geplante Installation weiterer Kameras voraussichtlich gegen die DSGVO verstoßen werde. Dagegen richtete sich die (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Stadt ist Verantwortliche, weil ihre Organe Zweck und Mittel der Videoüberwachung bestimmt haben. Da die Stadtpolizei keine tragende Rolle bei der Festlegung von Zweck und Mittel spielte, hatte deren Erwähnung in der Datenschutz-Folgenabschätzung keinen Einfluss auf die Qualifikation der Stadt als Verantwortliche.

Die DSGVO findet gemäß Art 2 Abs 2 lit d DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Da die Stadtpolizei der Bezirkshauptmannschaft (BH) nur unterstellt ist, ist diese selbst keine Sicherheitsbehörde. Deren Eigenschaft als Gemeindewachkörper ändert daran nichts. Die DSGVO ist daher anwendbar.

Hinsichtlich der Stärkung des subjektiven Sicherheitsgefühls, der Dokumentation von straf- oder zivilrechtlich relevanten Delikten und eines allgemeinen vorbeugenden Schutzes von Personen oder Sachen ist die Stadt als Behörde zu qualifizieren, sodass sich diese nicht auf die Wahrung berechtigter Interessen berufen kann. Denkbar wäre ein rein auf den Schutz des Eigentums der Stadt beschränktes Handeln im Rahmen der Privatwirtschaftsverwaltung. Der Schutz des Eigentums ist grundsätzlich ein berechtigtes Interesse. Allerdings stehen hinsichtlich der Beschädigung öffentlicher Sitzgelegenheiten oder Straßenbeleuchtungen gelindere Alternativen zur Verfügung (zB Anti-Graffiti-Beschichtungen, häufigere Kontrollen durch die Stadtpolizei, Einfriedungen, etc).

Die DSB hat die Aufgabe, die Anwendung der DSGVO zu überwachen und durchzusetzen. Ein Verbot der Videoüberwachung ist für das Erreichen dieser Ziele geeignet, erforderlich und verhältnismäßig. Auch die Warnung wegen der geplanten Kameras ist gerechtfertigt, weil bei deren Inbetriebnahme ein Verstoß gegen die DSGVO zu erwarten ist.

BVwG 18.12.2024, W256 2285492-1

Videoüberwachung, Arbeitsplatz, Anweisung, Geldbuße

· Die DSB führte aufgrund einer anonymen Eingabe ein amtswegiges Prüfverfahren gegen einen Arbeitgeber wegen des Verdachts auf unrechtmäßige Datenverarbeitung durch eine Videoüberwachungsanlage. Ua wurden Arbeitsgroßraum, Küche, Besprechungszimmer und Flur, inkl den Eingängen zu den Toiletten, überwacht. Der Arbeitgeber rechtfertigte die Datenverarbeitung ua mit dem Schutz vor Diebstahl, Einbruch, körperlicher und emotionaler Gewalt und Vandalismus. Die Kameras seien auch freiliegend, sichtbar und per Klebeschild bei der Eingangstüre, welches ein Piktogramm und die Herstellerbezeichnung zeigte, gekennzeichnet. Die Kameras seien auf Wunsch der Mitarbeiter installiert worden, die über die Überwachung informiert wurden.

Daraufhin leitete die DSB ein Verwaltungsstrafverfahren ein und verhängte eine Geldstrafe iHv EUR 59.400 (zzgl EUR 5.940 an Verfahrenskosten) wegen der fehlenden Rechtsgrundlage gemäß Art 6 Abs 1 DSGVO (Spruchpunkt I), dem Nichterfüllen der Informationspflichten gemäß Art 13 DSGVO (Spruchpunkt II) und dem Nichtbefolgen einer Anweisung der Behörde (Spruchpunkt III). Der Arbeitgeber bekämpfte das Straferkenntnis beim BVwG und brachte zusammengefasst vor, man habe stets kooperiert und den abschließenden Bescheid der DSB aus dem Prüfverfahren nicht bekämpft. Das BVwG gab der Bescheidbeschwerde hinsichtlich Spruchpunkt III statt und setzte die Geldstrafe auf EUR 11.000 (zzgl EUR 1.100 Verwaltungskosten) herab.

Das BVwG hat erwogen: Eine Verarbeitung gemäß Art 6 Abs 1 lit f DSGVO kann gerechtfertigt sein, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen. Die Erforderlichkeit ist dabei eng mit dem Grundsatz der Datenminimierung verbunden. Die Videoüberwachung des Arbeitsgroßraums, der Küche, der Besprechungszimmer und des Flurs war für den Zweck des Eigentumsschutzes nicht erforderlich. Im Straferkenntnis muss die DSB die Zahl der konkret Betroffenen einer Datenverarbeitung nicht beziffern, es genügt die unrechtmäßige Datenverarbeitung an sich.

Klebeschilder, die lediglich eine bildliche Darstellung und die Herstellerbezeichnung von Kameras zeigen und keine weiteren Informationen zur Datenverarbeitung enthalten, entsprechen nicht den zu erteilenden Informationen gemäß Art 13 Abs 1 und 2 DSGVO. Allein aus der Tatsache, dass Kameras in einem Gebäude installiert sind, in dem ein Verantwortlicher seine Geschäftstätigkeit ausübt, kann ohne zusätzliche Informationen nicht auf die datenschutzrechtliche Verantwortlichkeit des Verantwortlichen geschlossen werden.

Der Auftrag in einem Bescheid, binnen zwei Wochen Nachweise über die Änderung einer Datenverarbeitung zu übermitteln, ist keine Anweisung nach Art 58 Abs 2 DSGVO und kein Begehren auf Zugang zu Information nach Art 58 Abs 1 lit e DSGVO und berechtigt beim Nichterfüllen nicht zum Verhängen einer Geldbuße

Bilddaten, die ausschließlich zum Eigentumsschutz angefertigt werden, sind nicht ohne weiteres sensible Daten nach Art 9 DSGVO. Wenn durch Kameras auch regelmäßig Mitarbeiter gefilmt werden, rechtfertigt dies noch nicht die Annahme einer Mitarbeiterüberwachung, wenn dies nicht Zweck der Überwachung ist. Geldbußen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Aufgrund der mittleren Schwere des Verstoßes kommt eine bloße Abmahnung ohne Ausspruch einer Strafe nicht in Betracht.

Rechtsprechung der DSB

DSB 12.12.2024, 2024-0.796.258

Aktfotos, Geldbuße

· Ein Kameramann fertigte Aktfotos von einer Frau mit ihrer Einwilligung und ihrem eigenen Mobiltelefon an. In Folge leitete er die Aktfotos ohne ihre Zustimmung über einen Internetdienst von ihrem Mobiltelefon auf sein eigenes Mobiltelefon weiter. Die Frau forderte den Kameramann auf, die Fotos zu löschen, was dieser auch tat. Die Frau zeigte den Kameramann dennoch an und die DSB leitete ein Verwaltungsstrafverfahren ein. Der Kameramann äußerte sich trotz Aufforderung der DSB nicht zur Sache. Die DSB verhängte eine Geldstrafe iHv EUR 2.000.

Die DSB hat erwogen: Die erfassten Bilddaten sind personenbezogene Daten. Die Lichtbilder spiegeln intime Aufnahmen wider und erfassen Daten zum Sexualleben der Frau iSd Art 9 Abs 1 DSGVO.

Nach Art 9 Abs 1 DSGVO besteht grundsätzlich ein Verarbeitungsverbot für besondere Kategorien personenbezogener Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist erlaubt, wenn die Betroffene ausdrücklich einwilligt. Die Frau hat der Anfertigung der Lichtbilder zugestimmt, weshalb diese Verarbeitung zulässig war. Für die Übermittlung und Speicherung der Lichtbilder lag hingegen keine ausdrückliche Einwilligung vor. Die Übermittlung erfolgte ohne Wissen der Frau. Diese Datenverarbeitung war somit rechtswidrig.

Nationale Rechtsakte

· Am 28.01.2025 wurde die "Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der die Gesundheitstelematikverordnung 2013 und die ELGA-Verordnung 2015 geändert und die ELGA-und eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen wird (Gesundheitstelematik-Anpassungsverordnung 2025)", BGBl II 2025/11, kundgemacht. Mit dieser Verordnung wird neben der Gesundheitstelematikverordnung 2013 auch die ELGA-Verordnung 2015 novelliert und werden die eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen. Die Verordnungen enthalten neue Regelungen zur Verarbeitung von Gesundheitsdaten und genetischen Daten durch Gesundheitsdiensteanbieter.

Vorschau EuGH-Rechtsprechung

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

· Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.

Jänner 2025

08.01. | 12.01. | 22.01. | 29.01.

Datenschutzmonitor 29.01.2025

Rechtsprechung des EGMR

EGMR 23.01.2025, 31175/14, Reznik/Ukraine

Durchsuchung, Beschlagnahme, Anwaltsgeheimnis, wirksames Rechtsmittel

· Ein Anwalt schloss einen Vertrag über Rechtsdienstleistungen mit dem ukrainischen Informationszentrum ab, in dem die Übermittlung von Dokumenten zur Untersuchung und Analyse vereinbart wurde. Nach Beginn strafrechtlicher Ermittlungen gegen die Leitung des Informationszentrums forderte dieses den Rechtsanwalt zur Rückgabe der übergebenen Dokumente auf. Dieser Aufforderung kam der Anwalt nach. Dennoch wurde ein Durchsuchungsbeschluss für die Wohnung des Anwalts genehmigt. Der stellvertretende Generalstaatsanwalt wurde ermächtigt, Dokumente über die finanzielle und kommerzielle Tätigkeit des Informationszentrums und anderer konkret benannten Unternehmen und Einzelpersonen, die mit dem Informationszentrum in Verbindung standen, sowie IT-Geräte, mobile Kommunikationsgeräte und Datenspeicher sicherzustellen. Der Beschluss wurde für unanfechtbar erklärt. Während der Durchsuchung, bei der ua auch Vertreter der Anwaltskammer anwesend waren, wurden ua ein Computer und ein USB-Stick beschlagnahmt und zur forensischen Untersuchung weitergeleitet. Die Einwände und Beschwerden der Vertreter der Anwaltskammer und des Anwalts blieben zunächst erfolglos. Schlussendlich wurden dem Anwalt die beschlagnahmten Datenspeicher zurückgegeben.

Der EGMR stellte fest, dass eine Verletzung von Art 8 und Art 13 EMRK vorliegt und sprach dem Anwalt EUR 6.000 immateriellen Schadenersatz und EUR 3.450 Kostenersatz zu.

Der EGMR hat erwogen: Die Durchsuchung der Wohnung und die Beschlagnahme von Dokumenten und Geräten greifen in die Rechte des Anwalts auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs ein. Ein solcher Eingriff muss gesetzlich vorgesehen sein, einem legitimen Ziel dienen und in einer demokratischen Gesellschaft notwendig sein.

Der Durchsuchungsbeschluss basierte auf der ukrainischen Strafprozessordnung und dem Anwaltsgesetz, die spezifische Verfahrensgarantien zum Schutz des Anwaltsgeheimnisses vorsahen. Die Gesetze verlangten, dass Durchsuchungen von Anwaltspraxen nur mit richterlicher Genehmigung und unter Anwesenheit eines Vertreters der Anwaltskammer durchgeführt werden. Der Vertreter der Anwaltskammer hatte das Recht, Fragen zu stellen und Einwände zu erheben, die im Durchsuchungsprotokoll festzuhalten waren.

Die Einwände des Vertreters hatten jedoch keine praktische Wirkung, und sie konnten die Beschlagnahme der Gegenstände nicht verhindern. Die Durchsuchung und die Beschlagnahme wurden daher ohne ausreichende verfahrensrechtliche Schutzmaßnahmen durchgeführt, was zu einem unverhältnismäßigen Eingriff führte. Außerdem waren die Durchsuchung und Beschlagnahme in einer demokratischen Gesellschaft nicht notwendig, weil die richterliche Anordnung zu weit gefasst war und keine ausreichenden Gründe für die Annahme enthielt, dass relevante Beweismittel bei dem Anwalt gefunden würden.

Es muss ein wirksames Rechtsmittel zur Verfügung stehen, um die Rechtmäßigkeit der Durchsuchung und Beschlagnahme anzufechten. Das ukrainische Recht bietet keine Möglichkeit, eine Durchsuchungsanordnung anzufechten, sodass die verfügbaren Rechtsmittel unzureichend sind. Die Möglichkeit, beschlagnahmte Gegenstände zurückzufordern, reicht nicht aus, um die Beschwerden über die Rechtmäßigkeit der Durchsuchung zu behandeln.

Rechtsprechung des BVwG

BVwG 04.12.2024, W176 2295345-1

Trafik, Video, Piktogramm, Geldstrafe

· Ein Trafikant brachte an der Außenmauer seiner Trafik zwei Videokameras an, um sich vor Überfällen zu schützen. Die Kameras erfassten Teile des öffentlichen Gehsteigs, den angrenzenden Fahrradweg und einen Abschnitt der Straßenbahngleise. Durch die Überwachung konnte der Trafikant ein Foto einer Passantin anfertigen, welches sie dabei zeigte, wie diese von Ihrem Hund hinterlassenen Exkremente nicht wegräumte. Um auf das seines Erachtens unrechtmäßige Verhalten der Passantin aufmerksam zu machen, brachte der Trafikant das aufgenommene Foto vor seiner Trafik an. Durch einen leicht entfernbaren Sticker über das Gesicht der Passantin anonymisierte er das Foto. Der Sticker löste sich jedoch. Ein Bürger erhob gegen dieses Vorgehen Datenschutzbeschwerde bei der DSB. Die DSB verhängte wegen der unrechtmäßigen Datenverarbeitung und der nicht erteilten Information zu der Datenverarbeitung eine Geldstrafe iHv EUR 1.500 (zzgl Verfahrenskostenbeitrag von EUR 150). Gegen das Straferkenntnis erhob der Trafikant (hinsichtlich der Strafhöhe erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Mangels Öffnungsklausel in der DSGVO kommen die §§ 12 und 13 DSG bei der Prüfung der Zulässigkeit einer Videoüberwachung nicht zur Anwendung. Nach der DSGVO dürfen personenbezogene Daten nur auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Das Interesse am Schutz des Vermögens vor Angriffen in Form von Sachbeschädigungen, Raubfällen, etc überwiegt die Interessen Betroffener in einem kleinen Bereich vor der Trafik. Auch bei einer unbedingt erforderlich erscheinenden Videoüberwachung müssen jedoch Maßnahmen zur Einschränkung des Erfassungsbereichs getroffen werden. Videoüberwachungsanlagen dürfen den angrenzenden öffentlichen Raum geringfügig erfassen, sofern dies erforderlich ist, um eine sinnvolle Videoüberwachung zu ermöglichen. Eine Überwachung des gesamten öffentlichen Gehsteigs inkl weiter Teile des angrenzenden öffentlichen Raums ist nicht vom berechtigten Interesse gedeckt.

Am Aufzeigen des Fehlverhaltens einer Passantin besteht kein berechtigtes Interesse. Ein Überkleben mit einem leicht entfernbaren Sticker ist kein geeignetes Mittel zur Anonymisierung.

Die Erfüllung der Informationspflicht durch Kennzeichnung einer Videokamera durch Piktogramme kann zulässig sein, wenn es sich um die erste "Schicht" der Informationserteilung handelt und weitere Informationen zur Datenverarbeitung aufliegen.

Die Geldstrafe ist wegen des Hinzutretens eines Milderungsgrundes und der Verschlechterung der Vermögensverhältnisse des Trafikanten auf EUR 750 (zzgl EUR 75 Verfahrenskostenbeitrag) zu reduzieren.

BVwG 16.12.2024, W137 2292450-1

Rechtsanwalt, Anwaltsgeheimnis, Beschwerdegegner

· Ein Fitnesscentermitglied führte gegen die Betreiberin des Fitnesscenters wegen der unberechtigten Erhöhung von Mitgliedsbeiträgen ein zivilgerichtliches Verfahren. Im Verfahren vor dem Landesgericht ("LG") wurde vom Rechtsanwalt der Betreiberin des Fitnesscenters eine Mailkorrespondenz mit einer Zeugin als Beweis für das Zustandekommen von Mitgliederverträgen vorgelegt. Die Korrespondenz enthielt den Namen, die Mailadresse und die Information über das Vertragsverhältnis der Zeugin. Die Zeugin fühlte sich durch die Vorgehensweise in ihrem Recht auf Geheimhaltung verletzt und brachte explizit Datenschutzbeschwerde gegen die Betreiberin des Fitnesscenters bezüglich der Vorlage der E-Mails beim LG ein.

Die Betreiberin stütze die Rechtmäßigkeit der Verarbeitung der Daten auf die Erfüllung eines Vertrags und auf ihr berechtigtes Interesse. Die DSB gab der Datenschutzbeschwerde statt. Dagegen erhob die Betreiberin des Fitnesscenters Bescheidbeschwerde an das BVwG, das den Bescheid der DSB ersatzlos behob.

Das BVwG hat erwogen: Rechtsanwälte handeln, wenn sie Daten für den Zweck der Vertretung ihrer Mandanten verarbeiten, regelmäßig als für die Verarbeitung Verantwortliche im Sinne der DSGVO. Die Entscheidung, welche Daten für die Erfüllung des Mandats zu verarbeiten sind, wird, vorbehaltlich eines Beweises für das Gegenteil, vom Rechtsanwalt ohne Weisung des Mandanten getroffen.

Die Rechte der Betroffenen kommen nur in dem Umfang zur Anwendung, als dem nicht das Recht des Rechtsanwalts auf Verschwiegenheit zum Schutz der Partei oder der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche entgegensteht, sonst bestünde die Gefahr, dass der (Prozess-)Gegner einer zivilrechtlichen Streitigkeit im Weg des Auskunftsrechts nach der DSGVO Auskünfte aus den Akten des gegnerischen Rechtsanwalts erhalten könnte.

Ausschließlicher Gegenstand des Verfahrens war die Übermittlung der E-Mailkorrespondenz als Beweismittel im Gerichtsprozess durch den eigenständig agierenden Rechtsanwalt. Das Verfahren hätte aber gegen den Rechtsanwalt der Betreiberin des Fitnesscenters und nicht gegen diese selbst geführt werden müssen.

Die nicht rechtskundige Zeugin hat in der Datenschutzbeschwerde den falschen Beschwerdegegner bezeichnet. Die richtige Einordnung des Rechtsanwalts als Verantwortlichen für die Datenverarbeitung kann aber von ihr nicht verlangt werden.

Da das BVwG das Beschwerdeverfahren nicht gegen den Rechtsanwalt anstelle der Betreiberin des Fitnesscenters führen darf, ist der Bescheid der DSB ersatzlos zu beheben. Das Verfahren ist damit erneut zur inhaltlichen Entscheidung bei der DSB anhängig.

BVwG 16.12.2024, W137 2288040-1

Rollenverteilung, Identitätsdokumentenregister

· Anlässlich einer Lärmerregung und Störung der öffentlichen Ordnung forderten Polizeibeamte eine Passantin zur Identitätsfeststellung in Form einer Ausweisleistung auf. Da sich die Passantin weigerte, ihren Ausweis vorzuzeigen, wurde sie schließlich von den Polizeibeamten festgenommen und zur nächstgelegenen Polizeiinspektion verbracht, wo eine Abfrage ihres Lichtbildes im Identitätsdokumentenregister ("IDR") erfolgte. Die Passantin brachte eine auf das Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den Magistrat der Stadt Wien als Passbehörde ("MA 62") ein. Die DSB wies die Datenschutzbeschwerde ab. Die hiergegen erhobene Bescheidbeschwerde wies das BVwG ab.

Das BVwG hat erwogen: Die Stellung als datenschutzrechtlicher Verantwortlicher hat diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ergibt sich die Stellung als Verantwortlicher nicht aufgrund gesetzlicher Bestimmungen, muss die Qualifikation einer Partei als Verantwortlicher auf der Grundlage einer Bewertung der tatsächlichen Umstände der Verarbeitung festgestellt werden.

Die Bestimmung des § 52 SPG ermächtigt die Sicherheitsbehörden, personenbezogene Daten von Personen zu verarbeiten, soweit dies zur Erfüllung der ihnen übertragenen Aufgaben erforderlich ist. Das SPG regelt jedoch nicht, wem die datenschutzrechtliche Verantwortlichkeit für eine Abfrage aus dem IDR im Zuge einer Identitätsfeststellung zukommt. Die Mittel- und Zweckentscheidung war daher aufgrund der tatsächlichen Umstände zu beurteilen. Die Polizeibeamten als Bedienstete der Landespolizeidirektion ("LPD") haben selbst und allein für die LPD bestimmt, dass sie nach einer erfolgten Festnahme der Beschwerdeführerin eine Abfrage aus dem IDR im Zuge der Identitätsfeststellung tätigen. Sie haben damit den Zweck der Datenverarbeitung – in concreto die Feststellung der Identität der Passantin – allein bestimmt. Damit ist die LPD, der das Handeln der Polizeibeamten zuzurechnen ist, als alleinige Verantwortliche anzusehen. Mangels Rechtswidrigkeit des angefochtenen Bescheids war die Bescheidbeschwerde vom BVwG als unbegründet abzuweisen.

· Die Besetzung des Präsidiums des BVwG ist eine Angelegenheit des Interesses der Allgemeinheit. Dem um die Auskunft ersuchenden Journalisten kommt als "social watchdog" eine wichtige Rolle für die Garantie der Meinungsäußerungs- und Informationsfreiheit zu. Die Namen jener Bewerber, die von der eingesetzten Kommission nicht vorgeschlagen wurden, sind jedoch schützenswerte personenbezogene Daten. Diese Bewerber mussten nicht damit rechnen, dass ihre Identität und die Einschätzungen und Wertungen der Kommission veröffentlicht werden. Die Herausgabe des ungeschwärzten Gutachtens der Kommission sowie des ungeschwärzten Minderheitsvotums wird daher verweigert (BVwG 25.10.2024, W211 2295570-1).

· Gibt die DSB einer Datenschutzbeschwerde statt, ist der Betroffene in keinem subjektiven Recht verletzt. Die Bescheidbeschwerde ist mangels formeller Beschwer unzulässig. Voraussetzung für eine Untersagung der Verarbeitung iSd § 22 Abs 4 DSG ist, dass die Datenverarbeitung noch nicht abgeschlossen ist. Zudem gibt es keinen subjektiven Rechtsanspruch auf eine solche Untersagung. Im Administrativverfahren kann keine Geldbuße gegen einen Verantwortlichen verhängt werden. Auf das Verhängen einer Geldbuße besteht auch kein subjektiver Rechtsanspruch. Weiters kann gegen Körperschaften des öffentlichen Rechts gemäß § 30 Abs 5 DSG keine Geldbuße verhängt werden (BVwG 27.11.2024, W252 2299666-1).

Rechtsprechung des BFG

· Der EuGH hat mit Urteil vom 22.11.2022, C-37/20 und C-601/20, Luxembourg Business Registers, entschieden, dass die Bestimmung des Art 30 Abs 5 der 5. Geldwäscherichtlinie, die den öffentlichen Zugang zu Informationen über wirtschaftliche Eigentümer vorsieht, ungültig ist. Der EuGH begründete dies mit einem schwerwiegenden Eingriff in das Recht auf Achtung des Privat- und Familienlebens sowie das Recht auf Schutz personenbezogener Daten. Diese Entscheidung betrifft jedoch nur die öffentliche Einsicht in das Register der wirtschaftlichen Eigentümer gemäß § 10 WiEReG und nicht die Meldepflicht selbst. Die Verpflichtung zur Meldung und deren Erzwingung verletzen keine Grundrechte (BFG 19.12.2024, RV/7102904/2021).

Rechtsprechung der DSB

DSB 16.10.2024, 2024-0.641.771

Geldstrafe, handelsrechtlicher Geschäftsführer, Datenschutzbeauftragter

· Die DSB verhängte eine Geldstrafe von EUR 5.500 gegen ein Unternehmen, weil dieses ihren handelsrechtlichen Geschäftsführer ("Gf") als Datenschutzbeauftragten ("DSBA") benannte, ohne sicherzustellen, dass diese Doppelrolle nicht zu einem Interessenkonflikt führt. Das Unternehmen hat dadurch eine ungeeignete Person als Datenschutzbeauftragten benannt. Der Verstoß erstreckte sich über den Zeitraum von etwa drei Jahren.

Die DSB hat erwogen: Das Unternehmen verstieß gegen ihre Pflicht gemäß Art 38 Abs 6 DSGVO, indem sie ihren Gf zum DSBA benannte, obwohl dieser aufgrund seiner gleichzeitigen Tätigkeit als Gf und DSBA einem Interessenkonflikt unterlag, weshalb im Ergebnis eine ungeeignete Person als DSBA benannt wurde. Ein Interessenkonflikt liegt vor, wenn der DSBA zugleich Aufgaben oder Pflichten wahrnimmt, die die Ausübung seiner Stellung beeinträchtigen könnten. Dies ist insbesondere bei leitenden Managementpositionen wie der Geschäftsführung der Fall. Dem DSBA dürfen keine Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen, weil deren Überwachung unabhängig durchgeführt werden muss.

Bei der Strafzumessung ist insb der Umsatz (Geschäftsjahr 2023: EUR 4 Millionen), die Schwere der Zuwiderhandlung (niedrig; "low level of seriousness"), die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Fahrlässigkeit, weil sich das Unternehmen nicht mit seinen Verpflichtungen auseinandergesetzt hat, obwohl dies zumutbar und möglich gewesen wäre), die bisherigen Verstöße (keine) und die Mitwirkung im Ermittlungsverfahren als Bemessungsgrundlage heranzuziehen. Eine Geldstrafe von EUR 5.000 (zzgl EUR 500 Verfahrenskostenbeitrag) ist angemessen.

DSB 21.09.2022, 2022-0.672.331

Videoüberwachung, Mitwirkungspflicht, freie Beweiswürdigung

· Die Nachbarin der Betroffenen betrieb eine Kamera mit Video- und Tonüberwachung an ihrer Wohnungstüre, welche auch die Wohnungstüre der Betroffenen sowie den Stiegen- und Liftbereich umfasste. Nachdem die Nachbarin trotz Aufforderung, die Überwachung zu unterlassen, nicht reagierte, brachte die Betroffene bei der DSB eine Datenschutzbeschwerde wegen Verletzung ihres Rechts auf Geheimhaltung ein.

Die DSB forderte die Nachbarin mehrmals zur Stellungnahme auf, jedoch ohne Erfolg. Daraufhin leitete die DSB amtswegig ein Verwaltungsstrafverfahren wegen Verletzung der Mitwirkungspflicht iSd Art 31 DSGVO ein und verhängte eine Geldbuße.

Anschließend setzte die DSB das Administrativverfahren fort, stellte eine Verletzung des Rechts auf Geheimhaltung fest und trug der Nachbarin auf, den Bild- und Tonaufnahmebereich der von ihr betriebenen Kamera einzuschränken.

Die DSB hat erwogen: Dort, wo der Behörde die Ermittlung von Tatsachen ohne Mitwirkung der Partei nicht möglich ist, liegt es an der Partei, ihr Wissen einzubringen. Die nicht gehörige Mitwirkungspflicht im Beweisverfahren unterliegt der freien Beweiswürdigung, in dessen Rahmen die Behörde auch negative Schlüsse ziehen kann.

Die Kamera der Nachbarin erfasste den Wohnungseingangsbereich der Betroffenen und weitere genutzte Flächen in Bild und Ton, wodurch personenbezogene Daten verarbeitet wurden. Die Nachbarin hat keine Einwilligung der Betroffenen eingeholt. Die Verarbeitung kann auf Art 6 Abs 1 lit f DSGVO gestützt werden, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Der Schutz des Eigentums oder der Gesundheit kann ein berechtigtes Interesse sein. Die Erforderlichkeit der Datenverarbeitung muss sich aber auf das für die Zwecke der Verarbeitung absolut notwendige Maß beschränken.

Die Erfassung des Wohnungseingangsbereichs der Betroffenen sowie des gesamten Stiegen- und Liftbereichs war nicht erforderlich, um die allenfalls verfolgten Zwecke der Nachbarin zu erreichen. Die Kamera könnte so eingestellt werden, dass nur der unmittelbare Wohnungseingangsbereich der Nachbarin erfasst wird. Die von der Nachbarin angebrachte Kamera zeichnete nicht nur zeitlich beschränkte Momente auf, sondern filmte bereits vor Betätigen der Türklingel. Die Möglichkeit zur ortsungebundenen Betrachtung der Kameraübertragung und die Tonaufnahme stellen einen intensiveren Eingriff in die Rechte der Betroffenen dar. Die Verarbeitung war daher unverhältnismäßig und rechtswidrig.

Vorschau EuGH-Rechtsprechung

· Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.

· Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

· Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

· Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

Datenschutzmonitor 22.01.2025

Rechtsprechung des VfGH

VfGH 02.12.2024, E1380/2024; 02.12.2024, E1379/2024

Nationalrat, Auskunftsrecht

· Ein Abgeordneter zum Nationalrat stellte zur Vorbereitung seiner parlamentarischen Tätigkeit Auskunftsersuchen zu Korruptionsvorwürfen an den Bundesminister für Bildung, Wissenschaft und Forschung (E1379/2024) und an den Bundesminister für Finanzen (E1380/2024), die er auf das AuskunftspflichtG stützte. Nachdem ihm die Auskünfte verweigert wurden, erhob er Bescheidbeschwerden an das BVwG, das diese abwies. Begründet wurde dies damit, dass der Abgeordnete das Auskunftsbegehren als Abgeordneter zum Nationalrat gestellt habe. In dieser Funktion komme ihm gemäß Art 52 B-VG (Interpellationsrecht) ein besonderes Auskunftsrecht zu. Aufgrund dieses spezielleren Auskunftsrechts sei eine Auskunft gemäß § 6 AuskunftspflichtG ausgeschlossen. Dagegen erhob er Erkenntnisbeschwerden gemäß Art 144 B-VG wegen Verletzung in verfassungsgesetzlich gewährleisteten Rechten an den VfGH, der diesen stattgab und feststellte, dass der Abgeordnete im Recht auf Gleichheit aller Staatsbürger vor dem Gesetz gemäß Art 2 StGG und Art 7
B-VG verletzt wurde.

Der VfGH hat erwogen: Das BVwG begründet seine Entscheidung ausschließlich damit, dass das Auskunftsbegehren in der Funktion eines Abgeordneten zum Nationalrat und damit als Organ der Gesetzgebung gestellt wurde. Das Interpellationsrecht ist in Art 52 B-VG sowie den §§ 90 ff GOG-NR geregelt und unterliegt strengen Formalvoraussetzungen.

Anfragen von Abgeordneten sind nur dann eine der Gesetzgebung zuzuzählende Tätigkeit eines gesetzgebenden Organs, wenn sie in der vorgesehenen Weise gestellt wurden. Das Verhalten eines Abgeordneten ist nicht schlechthin immer schon dann der Gesetzgebung zuzuzählen, wenn der Abgeordnete als solcher auftritt. Auch ein Verweis auf die Vorbereitung der parlamentarischen Tätigkeit in den Auskunftsersuchen ändert daran nichts. Auch ein Abgeordneter muss wie jedermann das Recht haben, ein Auskunftsbegehren nach dem AuskunftspflichtG zu stellen.

Rechtsprechung des OGH

Aus der Rechtsprechung des OGH:

Zentrales Testamentsregister, Erbe, Notar

· Der quotenmäßige Erbe eines Verstorbenen hat kein Recht auf Einsicht in das von der Österreichischen Notariatskammer geführte Österreichische Zentrale Testamentsregister ("ÖZTR"). Auf die Datenverarbeitungen zur Führung des ÖZTR sowie die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sind die Notariatsordnung ("NO") und die nach § 140a Abs 2 Z 8 NO erlassenen Richtlinien ("RL") anzuwenden. § 140c Abs 3 NO sieht eine Übermittlung der registrierten Daten (nur) an die (i) Verlassenschaftsgerichte und (ii) öffentlichen Notare als Gerichtskommissäre in Verlassenschaftssachen sowie (iii) zu Kontrollzwecken an die Gerichte, Notare und Rechtsanwälte vor. Hingegen ist ein Erbe weder in der NO noch in den RL genannt (OGH 11.12.2024, 6Ob147/24x).

Rechtsprechung des BVwG

BVwG 06.11.2024, L532 2300411-1

Gesetzesprüfungsantrag, Handyauswertung

· Im Verfahren vor dem Bundesamt für Fremdenwesen und Asyl zielen die §§ 35a, 39, 39a BFA-VG darauf ab, die Reiseroute und Identität eines Asylwerbers zu ermitteln. Dazu erlauben sie die Sicherstellung und – aufgrund behördlicher Anordnung – die Auswertung von Datenträgern. Die Auswertung eines Datenträgers setzt lediglich voraus, dass ein Antrag auf internationalen Schutz gestellt wurde, eine Feststellung der Identität nicht möglich ist und eine Auswertung nicht bereits durch die Erstaufnahmestelle erfolgt ist.

In einem Maßnahmenbeschwerdeverfahren wurde die Verfassungskonformität dieser Bestimmungen in Frage gestellt, weil sie weitreichende Eingriffsbefugnisse ohne angemessenen Rechtsschutz und Garantien für die Betroffenen vorsehen würden. Erst kürzlich habe der VfGH entschieden, dass die Abnahme und Sicherstellung von Mobiltelefonen im strafrechtlichen Ermittlungsverfahren ohne richterliche Bewilligung gegen das Grundrecht auf Datenschutz und das Recht auf Privatleben verstoße und daher verfassungswidrig sei.

Die Maßnahmen im BFA-VG böten bei gleicher Eingriffsintensität schwächere Garantien zum Schutz der Geheimhaltungsinteressen der Betroffenen als die für verfassungswidrig erklärten Regelungen der StPO. Der Grundrechtseingriff könne im Rahmen einer Maßnahmenbeschwerde nicht vollständig angefochten werden, sodass der gesetzlich vorgesehene Rechtsschutz gegen die Sicherstellung und Auswertung eines Datenträgers unzureichend sei.

Das BVwG teilt diese Bedenken, setzte das Maßnahmenbeschwerdeverfahren aus und stellte einen Gesetzesprüfungsantrag an den VfGH auf Aufhebung einzelner Bestimmungen des BFA-VG.

Das BVwG hat erwogen: Es bestehen erhebliche Bedenken an der Verfassungskonformität der §§ 35a, 39, 39a BFA-VG und des § 38 Abs 2 BFA-VG. Zwar wurde die Verfassungsmäßigkeit von § 38 Abs 2 BFA-VG nicht in Zweifel gezogen, doch darf diese Bestimmung bei einer Aufhebung der übrigen Bestimmungen nicht bestehen bleiben.

Dem Gesetzgeber steht es frei, für verschiedene Regelungsregime wie Strafprozessrecht und fremdenrechtliches Verfahrensrecht unterschiedliche Anordnungen zu treffen. Es ist jedoch nicht nachvollziehbar, warum gravierende unterschiedliche Anforderungen gelten sollten, die zu unsachlichen Schlechterstellungen führen.

Ein gangbarer gesetzgeberischer Weg wäre, die Anordnungsbefugnis zur Datenträgersicherstellung unverändert im Rechtsbestand zu belassen, die Anordnung zur Datenträgerauswertung jedoch von einer bekämpfbaren Entscheidung des BVwG abhängig zu machen, sodass die Rechtsschutzmöglichkeiten von betroffenen Fremden bei gleichzeitiger Sicherstellung effektiver verwaltungsbehördlicher Verfahrensführung gewahrt blieben.

BVwG 18.10.2024, W256 2248161-1

Verarbeitung, Informationspflicht, Ausnahme

· Ein Wahlberechtigter abonnierte über die Website einer politischen Partei deren Newsletter unter Angabe seiner E-Mail-Adresse. Diese enthielten Informationen über politische Themen und Aktivitäten in Form von Texten, die von Regierungsmitgliedern verfasst und unterzeichnet wurden. Der Versand erfolgte über das technische Netzwerk der Partei und in deren eigener Verantwortung.

Der Wahlberechtigte stellte ein Auskunftsersuchen nach Art 15 DSGVO. Die darauf erteilte Auskunft hielt er für unzureichend. Zudem vertrat er die Ansicht, dass eine Offenlegung seiner personenbezogenen Daten an Dritte erfolgt sei. Weiters monierte er eine Verletzung der Informationspflicht gemäß Art 14 DSGVO wegen der Verarbeitung seiner Daten aus der Wählerevidenz. Die DSB stellte zwar fest, dass die Partei sein Recht auf Auskunft verletzt hatte, jedoch sei keine Offenlegung an Dritte erfolgt. Weiters wurde die Datenschutzbeschwerde hinsichtlich der Verletzung der Informationspflicht abgewiesen. Daraufhin erhob der Wahlberechtigte (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Spruch enthält keine explizite Abweisung in Bezug auf die vom Wahlberechtigten aufgezeigte Unvollständigkeit der Auskunft. Fehlt es dem Spruch an der gebotenen Deutlichkeit, so ist die Bescheidbegründung zu seiner Auslegung heranzuziehen. Unter Berücksichtigung der Bescheidbegründung kann kein Zweifel daran bestehen, dass die Datenschutzbeschwerde in dieser Hinsicht abgewiesen wurde.

Nach Art 4 Z 2 DSGVO fällt nicht nur die Offenlegung durch Übermittlung, sondern bereits jede "andere Form der Bereitstellung" unter den Begriff einer Verarbeitung. Damit wird der Charakter der Offenlegung als "Zugänglichmachen" verdeutlicht. Jedoch räumte man den jeweiligen Regierungsmitgliedern in keiner Weise eine Einblicksmöglichkeit in die Daten des Wahlberechtigten ein. Es wurden lediglich von diesen bereitgestellte Texte in die Newsletter kopiert und in weiterer Folge unter Verwendung der Daten des Wahlberechtigten an diesen versendet.

Gemäß Art 14 DSGVO hat der Verantwortliche der Betroffenen bestimmte Informationen zur Verfügung zu stellen. Nach Art 14 Abs 5 lit c DSGVO entfallen die Informationspflichten, wenn und soweit eine Rechtsvorschrift die Erhebung oder (zweckändernde) Offenlegung bestimmter Daten ausdrücklich regelt.

Die Daten des Wahlberechtigten wurden aufgrund der Bestimmung des § 4 Abs 2 Wählerevidenzgesetz aus der Wählerevidenz der Gemeinde erhoben. Die Ausnahmereglung des Art 14 Abs 5 lit c DSGVO greift hier zwar nicht, weil die Partei nicht verpflichtet war, die Daten zu erheben, sondern die Erhebung freiwillig erfolgte. Die Partei hatte aber bereits im Zeitpunkt der Datenerhebung in ihrer Datenschutzerklärung auf der Website und in den Aussendungen über die Datenverarbeitung informiert. Die zusätzliche Nennung der bereits im Gesetz ausreichend klar und präzise geregelten Informationen gemäß Art 14 DSGVO ist in einem solchen Fall nicht erforderlich. Schon allein der Hinweis auf die tatsächliche Datenverarbeitung versetzt die betroffene Person in die Lage, sich anhand der Rechtsvorschrift einen hinreichenden Überblick über die konkrete Datenverwendung zu verschaffen.

Da die gegenständliche Datenerhebung zum Zweck der Kommunikation erfolgt ist, bestehen im Hinblick auf die Ausnahmeregelung des Art 14 Abs 3 lit b DSGVO auch keine Bedenken daran, dass die Informationserteilung der Partei rechtzeitig erfolgt ist.

BVwG 30.10.2024, W256 2247276-1

Präklusion

· In einem Rechtsstreit vor Gericht übermittelte die beklagte Klinik Gesundheitsdaten auf deren Ansuchen an die dem Rechtsstreit beigetretene Nebenintervenientin. Von der Datenübermittlung erfuhr der klagende Patient von der Klinik im Mai 2019 aufgrund eines Auskunftsersuchens. Der Patient fühlte sich durch diese Vorgehensweise in seinem Recht auf Geheimhaltung verletzt, weil die Übermittlung der Gesundheitsdaten zur Verteidigung von Rechtsansprüchen nicht notwendig gewesen sei und brachte im Juni 2020 Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde ab. Dagegen erhob der Patient Bescheidbeschwerde an das BVwG. Das BVwG wies die Bescheidbeschwerde wegen bereits eingetretener Präklusion gemäß § 24 Abs 4 DSG zurück.

Das BVwG hat erwogen: Die Verjährungsregelung des § 24 Abs 4 DSG ist eine Präklusivfrist, die von Amts wegen wahrzunehmen ist und die Lebensdauer eines Rechts nicht verlängerbar begrenzt. Da die DSGVO keine Vorschriften oder Fristen für die Rechtsverfolgung enthält, ist es Sache jedes einzelnen Mitgliedstaats, das Verfahren für die Rechtsverfolgung und auch die Präklusion von Rechten in seiner innerstaatlichen Rechtsordnung unter Wahrung der Grundsätze der Äquivalenz und Effektivität auszugestalten.

Das Grundrecht auf Datenschutz darf nur unter Einhaltung strenger Bedingungen eingeschränkt werden. Zulässige Einschränkungen müssen dabei gesetzlich vorgesehen sein, den Wesensgehalt des betreffenden Rechts beachten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sein und dem von der EU anerkannten Gemeinwohl entsprechen. Die Präklusion und somit die Einschränkung des Grundrechts auf Datenschutz ist in § 24 Abs 4 DSG gesetzlich vorgesehen.

Die einjährige Präklusivfrist des § 24 Abs 4 DSG beginnt mit Kenntnis der Betroffenen vom "beschwerenden Ereignis" zu laufen. Der Patient war nach der Beantwortung des Auskunftsersuchens im Mai 2019 in der Lage, das zur Begründung seines Anspruchs erforderliche Sachvorbringen in Form einer Datenschutzbeschwerde konkret zu erstatten. Die einjährige subjektive Frist des § 24 Abs 4 DSG begann daher ab diesem Zeitpunkt zu laufen und war bei Beschwerdeerhebung schon verstrichen.

· Die Behörden und Gerichte dürfen nur darüber absprechen, was beantragt wurde. Sie sind an den Inhalt der Datenschutzbeschwerde gebunden. Gegenstand des Verfahrens ist daher ausschließlich die zugrundeliegende Datenschutzbeschwerde und die darin konkret geltend gemachte Rechtsverletzung. Weder die DSB noch das BVwG haben im Falle einer behaupteten Verletzung im Recht auf Auskunft jegliche Rechtsverletzung zu überprüfen. Ein subjektives Recht auf Einleitung eines Strafverfahrens besteht nicht. Darüber hinaus gilt nach § 25 Abs 1 VStG das Prinzip der Amtswegigkeit. Die Behörde hat sowohl bei der Einleitung als auch bei der Durchführung des Verwaltungsstrafverfahrens von Amts wegen vorzugehen. Der Betroffene hat keinen Anspruch auf Einleitung eines Verwaltungsstrafverfahrens (BVwG 27.11.2024, W256 2246546-1).

· Stirbt der Betroffene, hat das BVwG den angefochtenen Bescheid ersatzlos aufzuheben. Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod des Betroffenen untergeht und nicht auf einen etwaigen Rechtsnachfolger übergehen kann. Mit dem Verlust der Parteistellung fällt die Berechtigung weg, eine Datenschutzbeschwerde zu erheben. Damit einhergehend fällt die Berechtigung der DSB weg, über die Datenschutzbeschwerde zu entscheiden (BVwG 10.12.2024, W211 2272735-1).

Leitlinien

EDSA Leitlinien 01/2025 über Pseudonymisierung (2025)

Pseudonymisierung, Personenbezug, Weiterverarbeitung

· Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Pseudonymisierung angenommen, in welchen der EDSA insb die Definition und Anwendbarkeit der Pseudonymisierung und deren Vorteile erläutert. Klargestellt wird, dass pseudonymisierte Daten, die einer Person (vom Verantwortlichen oder einer anderen Person) durch zusätzliche Informationen zugeordnet werden könnten, immer noch personenbezogene Daten sind. Die Pseudonymisierung kann Risiken reduzieren und die Nutzung berechtigter Interessen als Erlaubnistatbestand erleichtern, sofern alle anderen Anforderungen der DSGVO erfüllt sind. Die Pseudonymisierung kann dazu beitragen, iSd Art 6 Abs 4 DSGVO die Vereinbarkeit der Weiterverarbeitung mit dem ursprünglichen Zweck zu gewährleisten. Die Pseudonymisierung kann Organisationen auch helfen, ihren Verpflichtungen gemäß Art 5, 25 und 32 DSGVO nachzukommen. Bestimmte technische Maßnahmen und Garantien bei der Verwendung von Pseudonymisierung können zudem die Vertraulichkeit gewährleisten und eine unbefugte Identifizierung von Personen verhindern. Anm: Die Leitlinien werden bis zum 28.02.2025 einer öffentlichen Konsultation unterzogen, um Interessenträgern Gelegenheit zur Stellungnahme zu geben.

Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht

Markt- und Wettbewerbsfaktoren, Datenschutzpraktiken, Regulierungsbehörden

· Der EDSA hat eine Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht angenommen, in der Konstellationen erörtert werden, in denen sich diese Rechtsgebiete überschneiden können. Obwohl es separate Rechtsgebiete mit unterschiedlichen Zielen in unterschiedlichen Rahmen sind, können sie in bestimmten Fällen für dieselben Einrichtungen gelten. Unter bestimmten Voraussetzungen sollen Schritte zur Einbeziehung von Markt- und Wettbewerbsfaktoren in die Datenschutzpraktiken und zur Berücksichtigung von Datenschutzvorschriften bei Wettbewerbsbewertungen gemacht werden.

Die Zusammenarbeit zwischen den Regulierungsbehörden soll verbessert werden, ua indem eine zentrale Anlaufstelle eingerichtet wird, um die Koordinierung zwischen Regulierungsbehörden zu fördern.

EU-Rechtsakte

· Am 15.01.2025 ist die "VO (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste", ABl L 2025/37, 1, kundgemacht worden. Mit dieser VO werden europäische Schemata für die Cybersicherheitszertifizierung eingeführt. Zudem wird ua ein europäischer Zertifizierungsrahmen für die Cybersicherheit geschaffen.

· Am 15.01.2025 ist die "VO (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694 (Cybersolidaritätsverordnung)", ABl L 2025/38, 1, kundgemacht worden. Mit dieser VO werden Maßnahmen zur Stärkung der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen festgelegt.

Vorschau EuGH-Rechtsprechung

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

Datenschutzmonitor 12.01.2025

Rechtsprechung des EuGH

EuGH 09.01.2025, C-394/23, Mousse

Anrede, Vertragserfüllung, berechtigtes Interesse

· Ein Transportunternehmen verlangte bei der Online-Buchung von Fahrscheinen die Angabe der Anrede "Herr" oder "Frau". Der Verband "Mousse" erhob Klage, weil diese Datenverarbeitung weder auf einer Rechtsgrundlage gemäß Art 6 Abs 1 DSVGO beruhe noch dem Grundsatz der Datenminimierung entspreche. Zudem seien Transparenz- und Informationspflichten gemäß Art 13 DSGVO verletzt. Die Vorlagefrage des vorlegenden Gerichts betraf die in Art 6 Abs 1 lit b (Vertragserfüllung) und lit f (berechtigte Interessen) DSGVO genannten Rechtfertigungsgründe.

Der EuGH hat erwogen: Eine geschlechtsspezifische Personalisierung der geschäftlichen Kommunikation ist weder objektiv unerlässlich noch wesentlich, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Die Datenverarbeitung kann daher nicht auf Art 6 Abs 1 lit b DSGVO gestützt werden. Weniger einschneidend wären allgemeine und inklusive Höflichkeitsformen, die von der Geschlechtsidentität unabhängig sind.

Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn (i) ein berechtigtes Interesse des Verantwortlichen oder eines Dritten wahrgenommen wird; (ii) die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich ist und (iii) die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Kommerzielle Direktwerbung und deren Personalisierung können ein berechtigtes Interesse sein. Gemäß Art 13 Abs 1 DSGVO ist den Betroffenen zum Zeitpunkt der Datenerhebung das verfolgte berechtigte Interesse aber mitzuteilen. Andernfalls kann die Erhebung nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden.

Die Abfrage einer Anrede und/oder Geschlechtsidentität erscheint im Licht des Grundsatzes der Datenminimierung nicht erforderlich. Für die Personalisierung reichen Name und Vorname der Kunden aus. Art 6 Abs 1 lit f DSGVO sieht bei der Beurteilung der Erforderlichkeit einer Datenverarbeitung keine Berücksichtigung der Gepflogenheiten und gesellschaftlichen Konventionen vor.

Im Fall der Gefahr einer Beeinträchtigung der Grundrechte und Grundfreiheiten der Betroffenen kann das berechtigte Interesse an kommerzieller Direktwerbung nicht überwiegen. Das vorlegende Gericht hat insbesondere zu prüfen, ob die Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität besteht. Dies vor allem im Licht der RL (EU) 2004/113, mit der der Grundsatz der Gleichbehandlung von Männern und Frauen beim Zugang zu und bei der Versorgung mit Gütern und Dienstleistungen verwirklicht wird. Diese Richtlinie gilt auch für Diskriminierungen, die ihre Ursache in der Änderung der Geschlechtsidentität einer Person haben.

EuGH 09.01.2025, C-416/23, Österreichische Datenschutzbehörde

Exzess, Wahlrecht der Aufsichtsbehörde

· Innerhalb von etwa 20 Monaten brachte eine Betroffene 77 ähnliche Datenschutzbeschwerden bei der DSB ein. Die DSB lehnte die Behandlung einer der Datenschutzbeschwerden ab, weil sie exzessiv sei. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH ersuchte den EuGH um Vorabentscheidung, ob (i) der Begriff der "Anfrage" iSd Art 57 Abs 4 DSGVO auch Beschwerden nach Art 77 Abs 1 DSGVO erfasse, (ii) ob ein Exzess allein an der Anzahl von Beschwerden, die eine Person an eine Aufsichtsbehörde stellt, festzumachen sei, und (iii) ob eine Aufsichtsbehörde frei wählen könne, eine angemessene Gebühr zu verlangen oder die Behandlung der Beschwerde zu verweigern.

Der EuGH hat erwogen: Für die Verfolgung des Ziels, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union sicherzustellen, ist das ordnungsgemäße Funktionieren der Aufsichtsbehörden unentbehrlich. Art 57 Abs 4 DSGVO soll der Verfolgung dieses Ziels dienen, indem verhindert wird, dass Aufsichtsbehörden durch offenkundig unbegründete oder exzessive Beschwerden behindert werden.

Eine Auslegung dahingehend, dass der Begriff "Anfrage" nur Anfragen nach Art 57 Abs 1 lit e DSGVO und nicht auch Beschwerden nach Art 77 Abs 1 DSGVO umfasse, würde Art 57 Abs 4 DSGVO eines großen Teils seiner praktischen Wirksamkeit berauben und – im Ergebnis – den wirksamen Schutz der durch diese Verordnung garantierten Rechte untergraben. Der in Art 57 Abs 4 DSGVO enthaltene Begriff der "Anfrage" umfasst daher auch Beschwerden an Aufsichtsbehörden.

Die – alleinige – Häufung von Beschwerden von einer Person kann ein Indiz für exzessive Anfragen sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann etwa dann der Fall sein, wenn eine Person eine große Zahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat und diese übermäßige Inanspruchnahme des Beschwerderechts in Verbindung mit anderen Gesichtspunkten, wie dem Inhalt der Beschwerden, die Absicht der Person erkennen lässt, die Behörde lahmzulegen, indem sie sie mit Anfragen überflutet. Eine isolierte Betrachtung der Zahl der Beschwerden könnte zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen. Die Feststellung, dass exzessive Anfragen iSd Art 57 Abs 4 DSGVO vorliegen, setzt aus diesen Überlegungen den Nachweis einer Missbrauchsabsicht der Person voraus, die solche Beschwerden einreicht.

Die beiden in Art 57 Abs 4 DSGVO für den Fall exzessiver Anfragen vorgesehenen Optionen, nämlich (i) eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, oder (ii) sich zu weigern, aufgrund solcher Anfragen tätig zu werden, sind nebeneinander aufgeführt und durch die nebenordnende Konjunktion "oder" getrennt. Dieser Wortinterpretation Rechnung tragend darf die Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung darüber wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Die Aufsichtsbehörde hat dabei jedoch alle relevanten Umstände zu berücksichtigen und muss sich vergewissern, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.

Rechtsprechung des EuG

EuG 08.01.2025, T-354/22, Bindl/Kommission

IP-Adresse, Datentransfer, Schadenersatz

· Ein Bürger besuchte eine Website der EU, für die die Europäische Kommission ("Kommission") datenschutzrechtliche Verantwortliche war. Er meldete sich für eine Veranstaltung über "EU Login" mittels "Sign in with Facebook" an. Der Bürger ersuchte die Kommission nach der Anmeldung zwei Mal um Datenauskunft bzgl der dadurch verarbeiteten Daten. Ihm wurde auf seine erste Anfrage mitgeteilt, dass seine Daten nicht an Drittländer übermittelt und nur innerhalb Europas gespeichert und verarbeitet werden. Auf seine (präzisierte) zweite Anfrage, die konkrete Fragen zur Datenübermittlung an Meta in den USA aufgrund der Anmeldung enthielt, reagierte die Kommission nicht innerhalb der vorgesehenen Frist, weshalb der Bürger eine Klage an das EuG erhob. Das EuG gab der Klage teilweise statt und sprach dem Bürger auch Schadenersatz zu.

Das EuG hat erwogen: Die beantragte Nichtigerklärung der Übermittlungen der personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau ist abzuweisen, weil sich ein solcher Antrag nur auf Rechtsakte beziehen kann. Die Datenübermittlung ist dagegen ein Realakt, der einer Nichtigerklärung nicht zugänglich ist.

Die Datenübermittlung an die USA bei der Anmeldung für die Veranstaltung ist der Kommission zuzurechnen. Diese hat als Verantwortliche der Website mit dem Hyperlink "Sign in with Facebook" die Voraussetzungen für die Übermittlung der IP-Adresse des Bürgers an Facebook (= Meta) geschaffen. Da – zum Zeitpunkt der Datenübermittlung – kein Angemessenheitsbeschluss vorlag und die Kommission auch keine geeigneten Garantien (Standarddatenschutz- oder Vertragsklauseln) nachweisen konnte, galten nur die Nutzungsbedingungen von Facebook. Die Kommission hat somit gegen die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ der Union verstoßen.

Durch die Datenübermittlung wurde der Bürger in eine Lage gebracht, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Daher hat er einen immateriellen Schaden erlitten. Für die unrechtmäßige Datenübermittlung ist eine Entschädigung iHv EUR 400 angemessen. Anm: Gegen diese Entscheidung könnte ein Rechtsmittel an den EuGH erhoben werden.

Rechtsprechung des VwGH

· Das BVwG hat mit Erkenntnis vom 27.06.2024, W176 2248629-1, ausgesprochen, dass die Übermittlung eines MRT-Befundes zur Behandlung im Gesundheitsbereich auf der Grundlage des MTD-Gesetzes zulässig ist. Die gegen dieses Erkenntnis gerichtete außerordentliche Revision wurde vom VwGH aus formalen Gründen zurückgewiesen. Ein Revisionswerber, der eine Abweichung des angefochtenen Erkenntnisses von der Rechtsprechung des Verwaltungsgerichtshofs behauptet, hat konkret darzulegen, dass der der gegenständlich angefochtenen Entscheidung zugrundeliegende Sachverhalt einer der von ihm ins Treffen geführten Entscheidung gleicht, das Verwaltungsgericht im revisionsgegenständlichen Fall jedoch anders entschieden hat und es damit von der ständigen Rechtsprechung des Verwaltungsgerichtshofs abgewichen ist. Eine bloße Wiedergabe von Rechtssätzen, die bloße Zitierung aus Literaturfundstellen oder Geschäftszahlen ohne Eingehen auf die behaupteten inhaltlichen Abweichungen reicht zur Darlegung des Abweichens von der Rechtsprechung des Verwaltungsgerichtshofs nicht aus (VwGH 26.11.2024, Ra 2024/04/0408). Anm: Die Zusammenfassung des Erkenntnisses des BVwG vom 27.06.2024, W176 2248629-1, können Sie im Schönherr Datenschutzmonitor vom 28.08.2024 nachlesen.

Rechtsprechung des BVwG

BVwG 25.11.2024, W252 2282050-1

Dark Patterns, Cookie-Banner, Widerruf

· Ein Websitenutzer brachte wegen behaupteter Mangelhaftigkeit eines Cookie-Banners einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Im Cookie-Banner war die Option zur Einwilligung farblich kontrastreich und groß gestaltet, die Möglichkeit zur Ablehnung war mit geringerem Kontrast und kleinerer Schrift gestaltet. Durch die Gestaltung wurde der Websitenutzer zu einer Einwilligung und damit zu einer Handlung gegen sein Interesse verleitet (Dark Patterns). In der Datenschutzbeschwerde machte der Websitenutzer die Verletzung in den Rechten auf Geheimhaltung und Löschung seiner Daten geltend. Die DSB wies die Datenschutzbeschwerde hinsichtlich des Rechts auf Geheimhaltung ab, gab ihr betreffend die Verletzung im Recht auf Löschung aber statt und trug dem Websitebetreiber eine Änderung des Cookie-Banners auf. Die Websitebetreiberin erhob Bescheidbeschwerde an das BVwG, insbesondere weil die DSGVO keine Gleichwertigkeit von Einwilligungs- und Ablehnungsoptionen vorschreibe. Das BVwG wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Durch die Verknüpfung von Zeichenfolgen mit zusätzlichen Daten, zB der IP‑Adresse oder einer anderen Kennung, kann die Identifizierung eines Websitenutzers ermöglicht werden. Es handelt sich dann um ein personenbezogenes Datum im Sinne von Art 4 Z 1 DSGVO. Eine Unique-ID ist auch dann ein personenbezogenes Datum, wenn der Websitebetreiber nicht selbst die Möglichkeit hat, diese mit einer gespeicherten oder unmittelbar von Dritten erhaltenen IP-Adresse zu kombinieren. Die Weiterverarbeitung von in Cookies gespeicherten oder weitergegebenen Daten fällt in den Anwendungsbereich der DSGVO.

Ein Verantwortlicher hat personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich gemäß Art 17 Abs 1 lit d DSGVO zu löschen. Dies trifft auch dann zu, wenn eine Einwilligung widerrufen wurde und eine andere Rechtsgrundlage für die Verarbeitung fehlt.

Eine Einwilligung muss in informierter Weise, unmissverständlich und eindeutig abgegeben werden. Eine versehentliche Einwilligung durch Betroffene soll durch die Bedingungen für die Einwilligung in Art 7 Abs 2 DSGVO und auch dem Transparenzgrundsatz in Art 5 Abs 1 lit a DSGVO verhindert werden.

Ist ein Einwilligungsbutton durch Größe, Kontrast und Platzierung auffällig gestaltet, die Widerspruchsmöglichkeit aber im Vergleich dazu unauffälliger, kann mangels Transparenz nicht von einer eindeutigen Einwilligung ausgegangen werden.

Ein Anspruch auf Ausgestaltung der Widerrufsmöglichkeit in Form eines "schwebenden" Symbols besteht jedoch nicht.

BVwG 18.11.2024, W274 2284469-1

Entschiedene Sache, Exekutionsverfahren

· Der Betroffene stellte ein Auskunftsersuchen an einen gerichtlich bestellten Gutachter, der im Rahmen eines Verfahrens vor dem Zivilgericht ein Gutachten mit Bezug zum Betroffenen erstellte. Dabei verlangte er ausdrücklich auch Auskunft über die Herkunft der Daten gemäß Art 15 Abs 1 lit g DSGVO. Der Betroffene behauptete, der Gutachter habe eine falsche Diagnose gestellt, ohne seine Krankengeschichte zu kennen. Nachdem der Gutachter dem Auskunftsersuchen nicht nachkam, brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Auskunft ein. Der Gutachter kam dem Ersuchen trotz zweimaligem Hinweis durch die DSB nicht nach, woraufhin die DSB eine Verletzung des Rechts auf Auskunft feststellte und dem Gutachter auftrug, innerhalb von vier Wochen dem Antrag des Betroffenen zu entsprechen. Der Gutachter übermittelte nach ergangenem Bescheid eine Auskunft zur Diagnose des Betroffenen und verwies auf eine frühere Diagnose eines anderen Arztes. Der Betroffene hielt die Diagnose für falsch und verlangte deren Korrektur. Nachdem der Gutachter an seiner Diagnose festhielt, forderte der Betroffene detailliertere Auskunft über die Herkunft der Daten. Der Gutachter verwies hierzu auf den Gerichtsakt. Der Betroffene erachtete diese Auskunft als unzureichend und reichte erneut eine Datenschutzbeschwerde bei der DSB ein, welche die DSB abwies, weil der Gutachter dem Betroffenen bereits Auskunft erteilt habe. Daraufhin erhob der Betroffene eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die materielle Rechtskraft eines Bescheids steht einer weiteren Entscheidung in derselben Rechtssache entgegen. Eine Änderung entscheidungsrelevanter Fakten führt dazu, dass die Sache ihre ursprüngliche Identität verliert, womit eine andere Sache vorliegt, über die bescheidmäßig abgesprochen werden kann oder muss. Bei der Beurteilung der Identität der Sache ist festzustellen, ob an den entscheidungsrelevanten Fakten eine wesentliche Änderung eingetreten ist.

Die Behörde hat die Identität der Sache im Vergleich mit dem im Vorbescheid angenommenen Sachverhalt zu beurteilen und zu prüfen, ob sich an diesem Sachverhalt oder an seiner rechtlichen Beurteilung eine wesentliche Änderung ergeben hat. Dem Vorbescheid lag eine Datenschutzbeschwerde zugrunde, der einen Antrag auf Feststellung der Rechtsverletzung durch den Gutachter sowie einen Leistungsauftrag zur Entsprechung des Auskunftsersuchens umfasste. Die zweite Datenschutzbeschwerde des Betroffenen bezog sich erneut auf die Herkunft der Daten. Die beantragte Auskunft über die Herkunft der Daten war bereits Gegenstand des Leistungsauftrags des ersten Bescheids. Die zweite Datenschutzbeschwerde war daher wegen entschiedener Sache zurückzuweisen.

Sollte der Betroffene mit den bisherigen Auskünften nicht zufrieden sein, ist er auf ein allfälliges Exekutionsverfahren zu verweisen. Zudem ist darauf hinzuweisen, dass die Fragen des Betroffenen typischerweise bei der Erörterung von Gutachten im Zivilverfahren zu klären sind.

BVwG 18.11.2024, W137 2297057-1

Auskunftsrecht, Rechte von Dritten, Öffnungsklausel

· Ein Mann war über acht Jahre mit der Pflege und Erziehung eines minderjährigen Kindes betraut. Nach einem behördlich eingeleiteten Überprüfungsverfahren wurde das Kind aufgrund von Bedenken hinsichtlich des Kindeswohls anderweitig untergebracht. Die Obsorge ging auf den Kinder- und Jugendhilfeträger über. Dieser verarbeitete personenbezogene Daten des ehemaligen Pflegevaters in mehreren elektronischen Akten. Neben dessen Papierakt lag ein weiterer Akt über das Kind vor, der auch personenbezogene Daten des ehemaligen Pflegevaters enthielt. Dieser stellte ein Auskunftsersuchen gemäß Art 15 DSGVO, um Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten. Weiters beantragte der ehemalige Pflegevater die Herausgabe seiner Daten in Papierform und forderte eine ungekürzte Übermittlung der beantragten Informationen samt Unterlagen. Die anschließend erteilte Auskunft hielt er für unvollständig. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Mann (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Eine Betroffene soll durch die Auskunft in die Lage versetzt werden, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Art 15 DSGVO gewährt jedoch nur das Recht, die eigenen Daten zu erhalten. Dementsprechend kann sich der ehemalige Pflegevater in Bezug auf die Daten des Kindes nicht auf Art 15 DSGVO stützen.

Weiters könnte er das Kind im Verfahren nur dann vertreten, wenn dies dessen Interesse im Rahmen des Kindeswohls entspräche. Da die Kinder- und Jugendhilfe ein höchst sensibler Bereich ist, können einzelne Informationen gemäß § 12 Abs 4 Wiener Kinder- und Jugendhilfegesetz (WKJHG) unter Berücksichtigung des Kindeswohls unter Umständen nicht erteilt oder Kopien nur eingeschränkt übermittelt werden.

Darüber hinaus darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Weiters enthalten die nach der Öffnungsklausel des Art 23 DSGVO zulässigen Bestimmungen, ua im WKJHG, Beschränkungen des Auskunftsrechts aufgrund von Kindeswohlerwägungen. Diese ähneln den Regelungen des § 4 Abs 6 DSG, die sich auf Geschäfts- und Betriebsgeheimnisse beziehen.

Da dem ehemaligen Pflegevater die Obsorge entzogen wurde, ist nicht anzunehmen, dass die Einsicht in den Papierakt seines ehemaligen Pflegekindes dem Kindeswohl dient. Dementsprechend ist die Zurverfügungstellung des noch nicht beauskunfteten Papierakts bzw der Aktenteile vor dem Hintergrund des Kindeswohls bzw der sonstigen Einschränkungen des Auskunftsrechts nach dem WKJHG nicht geboten.

Das Auskunftsrecht nach der DSGVO unterscheidet sich von den Rechten einer Verfahrenspartei im Rahmen eines Rechtsstreits. Es ist aber nicht dazu gedacht, allfällige Ausnahmen von einer Akteneinsicht auszuhebeln.

· Der Bürgermeister einer Stadt ist eine staatliche Behörde iSd § 1 Abs 2 DSG. Denn der Begriff "Behörde" ist im funktionellen Sinn zu verstehen, davon sind auch Selbstverwaltungskörper und alle Stellen der Hoheitsverwaltung erfasst. Eingriffe staatlicher Behörden sind nur aufgrund von Gesetzen zulässig, die ausreichend präzise, also für jedermann vorhersehbar, regeln, unter welchen Voraussetzungen die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist (BVwG 25.11.2024, W214 2273462-1).

· Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 04.12.2024, W603 2303734-1; 03.12.2024, I406 2300562-1).

Rechtsprechung der DSB

DSB 27.06.2024, 2024-0.028.256

Anzeige, Akteneinsicht, Interessenabwägung

· Der Betroffene machte eine Eingabe bei der Bauabteilung eines Gemeindeamts, in welcher er darauf hinwies, dass die Brandschutzsicherungsmaßnahmen sowie der Schallschutz eines Wohnbaus eines Grundstückseigentümers nicht in Ordnung seien und überprüft werden müssten. Dabei sei ihm nicht klar gewesen, dass es sich bei seiner Eingabe um eine Anzeige handle. Nachdem der Grundstückseigentümer Kenntnis von der Anzeige erlangte, nahm er Akteneinsicht und kontaktierte den Betroffenen telefonisch, wobei auch Beschimpfungen und Drohungen gefallen sein sollen. Das Gemeindeamt legte dem Grundstückseigentümer den Vor- und Nachnamen des Betroffenen offen, nicht aber dessen Telefonnummer. Daraufhin brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde gegen das Gemeindeamt bei der DSB ein, weil er sich durch die Weitergabe seiner Daten an den Grundstückseigentümer in seinem Grundrecht auf Geheimhaltung verletzt sah.

Die DSB hat erwogen: Gemäß § 1 Abs 1 DSG hat Jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Es spielt keine Rolle, auf welche Weise Daten verarbeitet werden, auch eine mündliche Mitteilung kann eine Verletzung sein. Der offengelegte Vor- und Nachname des Betroffenen fällt in den sachlichen Schutzbereich des § 1 DSG.

Die Offenlegung durch das Gemeindeamt erfolgte zwar auf Basis einer qualifizierten rechtlichen Grundlage, weil der Grundstückseigentümer sein Recht auf Akteneinsicht nach § 17 AVG wahrnahm. Grundsätzlich erstreckt sich die Akteneinsicht auf alle Unterlagen, die sich auf die Sache beziehen. § 17 Abs 3 AVG nimmt jedoch Aktenbestandteile davon aus, wenn der Einsichtnahme legitime Interessen entgegenstehen. Das Gemeindeamt hätte eine Interessenabwägung zwischen dem Recht auf Akteneinsicht des Grundstückseigentümers und dem Grundrecht auf Geheimhaltung des Betroffenen vornehmen müssen. Das Interesse des Grundstückseigentümers an vollständiger Information wäre dabei geringer zu gewichten als das Interesse an Geheimhaltung seitens des Betroffenen. Die Offenlegung der Identität des Betroffenen war zur Gewährleistung des Rechts auf Akteneinsicht nicht notwendig, weshalb eine Verletzung des Grundsatzes der Datenminimierung verwirklicht wurde.

EU-Rechtsakte

· Am 08.01.2025 ist die "VO (EU) 2025/12 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verbesserung und Erleichterung der Kontrollen an den Außengrenzen, zur Änderung der Verordnungen (EU) 2018/1726 und (EU) 2019/817 sowie zur Aufhebung der Richtlinie 2004/82/EG des Rates", ABl L 2025/12, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, bei Flügen in die Union sogenannte API-Daten (vorab übermittelte Fluggastdaten) zu erheben und diese verschlüsselt an die zuständigen Grenzbehörden zu übermitteln. Die API-Daten umfassen Identifizierungs-, Flugzeug- und Gepäckdaten.

· Am 08.01.2025 ist die "VO (EU) 2025/13 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818", ABl L 2025/13, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, zur Bekämpfung der länderübergreifenden schweren und organisierten Kriminalität sowie des Terrorismus an die sogenannten PNR-Zentralstellen verschlüsselte API-Daten und sonstige PNR-Daten (sonstige Fluggastdatensatzdaten) zu übermitteln.

· Am 10.01.2025 ist die "RL (EU) 2025/25 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinien 2009/102/EG und (EU) 2017/1132 zur Ausweitung und Optimierung des Einsatzes digitaler Werkzeuge und Verfahren im Gesellschaftsrecht", ABl L 2025/25, 1, kundgemacht worden. Ziel dieser RL ist es, durch die Vernetzung von Unternehmensregistern und die Schaffung von digitalen Werkzeugen, die grenzüberschreitende Gründung von Kapitalgesellschaften, Eintragung von Zweigniederlassungen und Einreichung von Dokumenten und Informationen bei den Unternehmensregistern zu erleichtern.

· Am 10.01.2025 ist eine Berichtigung der "VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte; DMA)", ABl L 2025/90024, 1, kundgemacht worden. Berichtigt wird ein redaktionelles Versehen und die Berichtigung betrifft nur einen Verweis auf die Befugnisse der Europäischen Kommission.

· Am 10.01.2025 ist die "UN-Regelung Nr. 155 — Einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems" im Amtsblatt der EU, ABL L 2025/5, 1, kundgemacht worden. Verbindlich ist jedoch die von der UN verabschiedete Originalfassung.

Vorschau EuGH-Rechtsprechung

· Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

Datenschutzmonitor 08.01.2025

Rechtsprechung des VfGH

VfGH 09.03.2023, E2097/2021

Finanzdatenaustausch, Besteuerung, GMSG

· Ein Österreicher mit einem deutschen Bankkonto erachtete sich in seinem Grundrecht auf Datenschutz verletzt, weil der Bundesminister für Finanzen (BMF) personenbezogene Daten vom deutschen Bundeszentralamt für Steuern erhielt, verarbeitete und an die zuständige Abgabenbehörde weiterleitete. Die Datenverarbeitung beruhte auf § 113 Gemeinsamer Meldestandard-Gesetz (GMSG) und der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG wies die Bescheidbeschwerde ab. Der VfGH wies die Erkenntnisbeschwerde ab und trat sie an den VwGH zur Entscheidung darüber ab, ob der Österreicher durch das angefochtene Erkenntnis in einem sonstigen Recht verletzt wurde.

Der VfGH hat erwogen: §§ 112 und 113 GMSG setzen den automatischen Austausch von Finanzdaten gemäß Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung deckungsgleich um. Der VfGH kann die Verfassungsmäßigkeit der §§ 112 und 113 GMSG daher nur dann prüfen, wenn der EuGH zuvor Art 8 Abs 3a der Richtlinie für ungültig erklärt. Der VfGH hat jedoch auch keine Bedenken ob der Vereinbarkeit des Art 8 Abs 3a der Richtlinie mit Art 7 und 8 GRC.

Einschränkungen der Rechte auf Achtung des Privat- und Familienlebens, der Wohnung sowie Kommunikation und des Rechts auf Schutz personenbezogener Daten sind gemäß Art 52 GRC zulässig, wenn sie gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte wahren. Die Einschränkungen müssen verhältnismäßig und notwendig sein und im Einklang mit dem Gemeinwohl dienenden Zielsetzungen oder dem Schutz der Rechte und Freiheiten Dritter stehen.

Bei Eingriffen in das Datenschutzrecht muss das öffentliche Interesse an der Datenerhebung gegen den Schutz des Privatlebens abgewogen werden. Besonders schützenswert sind Daten, die für die spätere automatische Datenverarbeitung gesammelt werden. Es ist sicherzustellen, dass nur relevante Daten erhoben werden und diese nicht länger aufbewahrt werden, als dies für die Erreichung der Ziele erforderlich ist. Auch Schutzmaßnahmen gegen Datenmissbrauch sind zu treffen. Der BMF und alle am Informationsaustausch beteiligten Behörden sind an die Vorgaben der DSGVO gebunden, um den erforderlichen Sicherheitsanforderungen für die Verarbeitung zu entsprechen.

Die Weitergabe von Finanzdaten gemäß der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und somit gemäß §§ 112 f GMSG soll Steuerbetrug und -hinterziehung verhindern, die Wirksamkeit und Effizienz der Steuererhebung fördern und aggressive Steuerplanung eindämmen. Diese Ziele liegen alle im öffentlichen Interesse. Der automatische Informationsaustausch geht nicht über das Maß hinaus, das notwendig und erforderlich ist, um diese Ziele zu erreichen.

Die Rechtsprechung des EuGH zur Verhältnismäßigkeit der Vorratsdatenspeicherung sind auf die Regelungen der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung nicht übertragbar, weil sich die Regelungen in ihren Zielsetzungen unterscheiden und die verarbeiteten Finanzdaten nicht den Kernbereich des Privatlebens betreffen. Auch anderen EuGH-Urteilen kann nicht entnommen werden, dass Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung gegen Art 8 GRC verstoßen würde.

Rechtsprechung des BVwG

· Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen. Es besteht eine erhöhte Mitwirkungspflicht, wenn es um Umstände geht, die in der persönlichen Sphäre der Parteien liegen (BVwG 22.11.2024, W211 2272744-1; 18.11.2024, W137 2272120-1).

EU-Rechtsakte

· Am 30.12.2024 ist die "VO (EU) 2024/3228 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Aufhebung der Verordnung (EU) Nr. 524/2013 und zur Änderung der Verordnungen (EU) 2017/2394 und (EU) 2018/1724 im Hinblick auf die Einstellung der Europäischen Plattform für Online-Streitbeilegung", ABl L 2024/3228, 1, kundgemacht worden. Mit dieser Verordnung wird die Europäische Plattform für Online-Streitbeilegung eingestellt.

· Am 30.12.2024 ist die "RL (EU) 2024/3237 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinie (EU) 2015/413 zur Erleichterung des grenzüberschreitenden Austauschs von Informationen über die Straßenverkehrssicherheit gefährdende Verkehrsdelikte", ABl L 2024/3237, 1, kundgemacht worden. Geregelt werden ua der Austausch von Fahrzeugzulassungsdaten und die Amts- und Rechtshilfe betreffend Verkehrsdelikte.

Vorschau EuGH-Rechtsprechung

· Am 08.01.2025 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, verkündet. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.

· Am 09.01.2025 wird das Urteil des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.

· Am 09.01.2025 wird das Urteil des EuGH in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

Dezember 2024

04.12. | 11.12 | 18.12. | 27.12. | 30.12.

Datenschutzmonitor 30.12.2024

Rechtsprechung des BVwG

· Eine Inhaberin von Urheberrechten ("Rechteinhaberin") übermittelte eine Abmahnung an einen Anbieter von Internetzugangsdiensten ("Internet Service Provider; ISP"). Der ISP teilte aufgrund dieser Abmahnung der zuständigen Telekom-Control-Kommission ("TKK") mit, dass er wegen eines Streaming-Links ua eine IP-Zugangssperre eingerichtet hat.

Die TKK leitete daraufhin von Amts wegen ein Verfahren ein und sprach mit Bescheid aus, dass die IP-Zugangssperre, die auf die Sperre einer IPv4-Adresse gerichtet war, gegen Art 3 Abs 3 der VO 2015/2120 verstoßen habe. Gegen den Bescheid der TKK wurde Bescheidbeschwerde an das BVwG erhoben.

Das BVwG setzte das Verfahren aus und legte dem EuGH zur Vorabentscheidung fünf Fragen zur Auslegung des Art 3 Abs 3 der VO 2015/2120 vor. Im Wesentlichen fragt das BVwG, welche Verkehrsmanagementmaßnahmen gemäß Art 3 VO 2015/2120 ein ISP zum Schutz urheberrechtlich geschützter Inhalte dritter Rechtsinhaber zu ergreifen hat. Konkret geht es dem BVwG um die Unterscheidung zwischen IP-Sperren und DNS-Sperren, um IP-Overblocking zu vermeiden. Dabei kritisiert das BVwG die Rechtsprechung des OGH, die keine entsprechende Unterscheidung trifft.

Das BVwG hat ua erwogen: In der Rechtsprechung des OGH, der über das Bestehen von Unterlassungsansprüchen in letzter Instanz entscheidet, wurde bisher nur die Sphäre jener Endnutzer beachtet, die selbst Kunden jenes ISP sind, der die IP-Sperren einrichtet. Die Definition der "Endnutzer" umfasst jedoch ausdrücklich auch Nutzer, die Informationen, Inhalte, Anwendungen und Dienste bereitstellen, also beispielsweise Webseiten bereitstellen und dort Dienste wie zB Webshops betreiben.

In den bisherigen nationalen zivilgerichtlichen Entscheidungen, in denen von ISP's drohendes Overblocking als Argument gegen die Zulässigkeit der Einrichtung von IP-Sperren ins Treffen geführt wurde, ist keine Differenzierung und konkrete Auseinandersetzung mit der Art des Overblockings (DNS vs IP-Overblocking) erfolgt. Diese Entscheidungen scheinen – in technischer Hinsicht irrig – davon auszugehen, dass unabhängig davon, ob eine IP- oder DNS-Sperre vom ISP angewandt wird, nur etwaige legale Inhalte, die unter derselben Domain abrufbar sind, wie die zu sperrenden illegalen Inhalte, mitblockiert werden.

Tatsächlich ergeben sich jedoch bei Vorliegen eines IP-Overblockings potenziell deutlich weitergehende Auswirkungen der Sperrmaßnahmen, weil Inhalte bzw Dienste Dritter mitblockiert werden könnten, die unter anderen Domains angeboten werden und in keinem näheren Zusammenhang mit den erwähnten illegalen Inhalten bzw Diensten stehen.

· Ein Berufsdetektiv darf zum Zweck der Verteidigung von Rechtsansprüchen mit der Erhebung (sensibler) personenbezogener Daten durch Observierung eines Klagegegners beauftragt werden, soweit die Datenerhebung für die Zweckerreichung erforderlich ist (BVwG 23.09.2024, W274 2257472-1).

Nationale Rechtsakte

· Am 27.12.2024 wurde das Strafprozessrechtsänderungsgesetz 2024, BGBl I 2024/157, kundgemacht. In Folge des Erkenntnisses des VfGH vom 14.12.2023, G 352/2021, wird die "Beschlagnahme" von Datenträgern (zB Mobiltelefone) und Daten sowie die Aufbereitung und Auswertung von Daten neu geregelt. Ausdrücklich umfasst ist ebenso die "Beschlagnahme" von Daten, die an anderen Speicherorten als auf einem Datenträger gespeichert sind (zB in der Cloud). Neben der Strafprozessordnung (StPO) wurden mit dem Strafprozessrechtsänderungsgesetz 2024 ua auch das Staatsanwaltschaftsgesetz, das Gerichtsorganisationsgesetz, das Finanzstrafgesetz und das AVG novelliert. Anm: Mit der Neuregelung der Beschlagnahme mobiler Daten(träger) hat sich unser Kollege Oliver M. Loksa vertieft auseinandergesetzt: https://www.schoenherr.eu/content/seizure-and-examination-of-mobile-data-in-austria-new-legal-framework-finally-passed-in-parliament.

Vorschau EuGH-Rechtsprechung

· Am 08.01.2024 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, veröffentlicht. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.

· Am 09.01.2024 wird das Urteil in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelsen werden.

· Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.

Datenschutzmonitor 27.12.2024

Rechtsprechung des EGMR

· Die Durchsuchung der Räumlichkeiten einer juristischen Person und die anschließende Beschlagnahme einer Vielzahl von Unterlagen auf Papier oder in digitaler Form, darunter einer Liste mit den Namen und den personenbezogenen Daten der Mitglieder eines Vereins, greift in das Recht auf Achtung der Wohnung und der Korrespondenz der juristischen Person gemäß Art 8 EMRK ein. Ein solcher Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Bei juristischen Personen haben die Staaten zwar einen weiteren Ermessensspielraum als bei natürlichen Personen. Auch den juristischen Personen müssen jedoch geeignete ausgleichende Garantien gegen Machtmissbrauch und Willkür zur Verfügung stehen (EGMR 19.12.2024, 29550/17, Grande Oriente D’italia/Italien).

Rechtsprechung des EuG und EuGH

EuGH 19.12.2024, C-65/23, K GmbH

Kollektivvereinbarung, Betriebsvereinbarung, gerichtliche Kontrolle, Anwendungsvorrang

· Ein deutscher Arbeitgeber verarbeitete personenbezogene Mitarbeiterdaten in einer SAP-Software. Die US-Muttergesellschaft führte die cloudbasierte Software "Workday" als einheitliches Personal-Informationsmanagementsystem ein. Anschließend übertrug der Arbeitgeber bestimmte Mitarbeiterdaten an den Standort der Muttergesellschaft in den USA.

Beim Arbeitgeber war ein Betriebsrat eingerichtet. Über die Einführung der Software "Workday" wurde eine Betriebsvereinbarung abgeschlossen, die näher festlegte, welche Mitarbeiterdaten zum Befüllen der Software verwendet werden durften. Der Vorsitzende des Betriebsrats klagte den Arbeitgeber ua auf Löschung ihn betreffender Daten und auf Schadenersatz, weil an den Server der Muttergesellschaft über die Betriebsvereinbarung hinausgehende Daten übertragen worden seien.

Das vorlegende Gericht stellte dem EuGH Fragen zur Datenverarbeitung auf der Grundlage einer Kollektivvereinbarung und zum Anspruch auf immateriellen Schadenersatz. Die Fragen zum immateriellen Schadenersatz zog das vorlegende Gericht später wieder zurück, weil diese Fragen durch zwischenzeitige Rechtsprechung des EuGH hinreichend beantwortet wurden.

Der EuGH hat erwogen: Die DSGVO soll eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Einzelne Bestimmungen der DSGVO ermöglichen jedoch den Mitgliedstaaten, zusätzliche, strengere oder einschränkende nationale Vorschriften vorzusehen, und lassen ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen ("Öffnungsklauseln"). Gemäß Art 88 DSGVO dürfen die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen "spezifischere Vorschriften" zur Datenverarbeitung im Beschäftigtenkontext vorsehen. Der Begriff Kollektivvereinbarungen umfasst auch "Betriebsvereinbarungen".

Der Regelungsgehalt der nach Art 88 DSGVO erlassenen spezifischen Vorschriften unterscheidet sich von den allgemeinen Regeln der DSGVO. Diese spezifischen Vorschriften, die durch Rechtsvorschriften oder durch Kollektivvereinbarung in die jeweiligen innerstaatlichen Rechtsordnungen eingeführt werden, haben jedoch die Anforderungen zu erfüllen, die sich aus den anderen Bestimmungen der DSGVO ergeben. Datenverarbeitungstätigkeiten aufgrund einer Kollektivvereinbarung müssen daher dem Kriterium der Erforderlichkeit der Verarbeitung entsprechen und eine der in Art 6 Abs 1 DSGVO vorgesehenen Rechtmäßigkeitsvoraussetzungen erfüllen. Daher müssen Verarbeitungstätigkeiten, die auf "spezifischere Vorschriften" gemäß Art 88 Abs 1 DSGVO beruhen, nicht nur die Voraussetzungen in Art 88 Abs 1 und 2 DSGVO, sondern auch die Voraussetzungen in den Art 5, 6 und 9 DSGVO erfüllen, wobei die Anforderungen aus den Art 5 und 6 DSGVO mit den Anforderungen aus Art 9 DSGVO kumulierbar sind.

Die Parteien einer Kollektivvereinbarung verfügen zwar über einen Spielraum beim Festlegen der Datenverarbeitungstätigkeit. Dieser Spielraum hat jedoch dieselben Grenzen wie das den Mitgliedstaaten zuerkannte Ermessen. Die Kollektivvereinbarungen unterliegen daher einer ebenso umfassenden gerichtlichen Kontrolle wie die Vorschriften des nationalen Rechts. Der Spielraum der Parteien einer Kollektivvereinbarung darf nicht dazu führen, dass diese Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse schließen, die die Ziele der DSGVO beinträchtigen könnten. Entsprechen einzelne Bestimmungen einer Kollektivvereinbarung den Anforderungen der DSGVO nicht, sind diese Bestimmungen vom nationalen Gericht unangewendet zu lassen.

· In Art 15 Abs 3 DSGVO ist kein eigenständiges Recht auf Erhalt einer Dokumentenkopie normiert. Das Recht des Betroffenen auf Erhalt einer Kopie der ihn betreffenden personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, bedeutet aber, dass dem Betroffenen eine originalgetreue und verständliche Reproduktion aller seiner Daten überlassen wird. Dieses Recht setzt den Erhalt einer vollständigen Kopie der Dokumente voraus, die ua diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um dem Betroffenen die Überprüfung der Korrektheit und Vollständigkeit der Daten zu ermöglichen und deren Verständlichkeit zu gewährleisten. Diese Verpflichtung trifft den Verantwortlichen selbst dann, wenn der Antrag des Betroffenen einen anderen Zweck verfolgt, als in ErwGr 63 DSGVO vorgesehen ist. Die Tatsache, dass die Verarbeitung personenbezogener Daten einer gesetzlichen Verpflichtung entspricht, hat keinen Einfluss auf den Umfang dieses Rechts (EuGH 27.05.2024, C-312/23, Addiko Bank).

· Ein Betroffener brachte Beschwerde gegen das Europäisches Amt für Personalauswahl (EPSO) beim Europäischen Datenschutzbeauftragten (EDSB) ein, weil er sich durch EPSO in seinem Recht auf Auskunft verletzt erachtete. Der EDSB wies die Beschwerde des Betroffenen zunächst mit einer in drei Spruchpunkte gegliederten Entscheidung ab. Der Betroffene erhob Rechtsmittel an das EuG gegen Spruchpunkt iii der Entscheidung und begehrte Schadenersatz vom EDSB, weil der EDSB ihn in eine unsichere Lage hinsichtlich der Verarbeitung seiner personenbezogenen Daten versetzt habe.

Nach Einlangen des Rechtsmittels änderte der EDSB Spruchpunkt iii seiner Entscheidung in Hinblick auf das Urteil des EuGH in der Rs Pankki dahingehend ab, dass der Betroffene einen Anspruch auf Auskunft auf die Logfiles in seinem EPSO-Account habe.

Da Spruchpunkt iii der Entscheidung vom EDSB iSd Betroffenen abgeändert wurde, hatte das EuG nur mehr den Schadenersatzanspruch zu beurteilen. Das EuG verneinte den Schadenersatzanspruch des Betroffenen, weil er keinen tatsächlich eingetretenen immateriellen Schaden nachzuweisen vermochte (EuG 17.06.2024, T-546/23, WS/EDSB).

Rechtsprechung des VwGH

· Der VwGH richtete ein Vorabentscheidungsersuchen zur Auslegung der Wortfolge "exzessive Anfragen" iSd Art 57 Abs 4 DSGVO an den EuGH. Dieses Vorabentscheidungsersuchen ist beim EuGH anhängig (C-416/23, Österreichische Datenschutzbehörde). Da dieses Vorabentscheidungsersuchen für das vorliegende Verfahren präjudiziell ist, wird dieses Verfahren bis zur Entscheidung des EuGH ausgesetzt (VwGH 19.11.2024, Ro 2022/04/0016).

Rechtsprechung des BVwG

BVwG 19.11.2024, W176 2286887-1

Auskunft, Betroffenenrechte, Datenherkunft, Speicherdauer

· Ein Rechtsanwalt reichte im Auftrag des Bruders einer Erbin eine Pflichtteilsergänzungsklage ein. Die Erbin beschuldigte den Rechtsanwalt, im Zuge dessen unbefugt eine Namensabfrage gemäß §§ 5 und 6a GUG durchgeführt zu haben, was zu einem Disziplinarverfahren führte. Dieses wurde jedoch mangels Nachweises einer solchen Abfrage eingestellt. Später stellte die Erbin ein Auskunftsersuchen gemäß § 44 DSG an den Rechtswalt. Dieser kontaktierte den Rechtsvertreter der Erbin und teilte mit, er könne ihr aus standesrechtlichen Gründen nicht direkt antworten. Die DSB gab der Datenschutzbeschwerde der Erbin statt und stellte fest, dass der Rechtsanwalt gegen das Recht auf Auskunft verstoßen hatte. Sie verpflichtete ihn, die geforderten Informationen innerhalb von vier Wochen bereitzustellen. Daraufhin erhob der Rechtsanwalt Bescheidbeschwerde an das BVwG, das den Bescheid dahingehend abänderte, dass nur mehr ein Teil der Auskunft zu erteilen ist.

Das BVwG hat erwogen: Die Erbin hat ihr Auskunftsersuchen durch Verwendung des Musterformulars der DSB auf § 44 DSG gestützt. Dieser regelt jedoch das Auskunftsrecht der betroffenen Person lediglich im Zusammenhang mit der Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des Verfassungsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs. Folglich ist er keine taugliche Rechtsgrundlage für das Auskunftsersuchen der Erbin. Wenngleich sie sich in der Rechtsgrundlage geirrt hat, ist unmissverständlich, dass die Erbin ihr Recht auf Auskunft geltend machen wollte, wie es ihr gemäß § 1 Abs 3 DSG und Art 15 DSGVO zusteht. Der Erbin die Erteilung jeglicher Auskunft lediglich wegen Vergreifens in der Rechtsgrundlage zu verwehren, stünde im diametralen Widerspruch zu ErwGr 63 der DSGVO.

Der Rechtsanwalt erteilte bis zum Abschluss des Verwaltungsverfahrens keinerlei Auskunft. Dies holte er in seiner Bescheidbeschwerde teilweise nach. Weiterhin erteilte der Rechtsanwalt der Erbin jedoch keine Auskunft über ihre Betroffenenrechte (Art 15 Abs 1 lit e DSGVO), über die Empfänger bzw Empfängerkategorien der Daten (Art 15 Abs 1 lit c DSGVO), über die Herkunft der Daten (Art 15 Abs 1 lit g DSGVO) sowie über deren Speicherdauer (Art 15 Abs 1 lit d DSGVO).

Betreffend die Datenherkunft können Verschwiegenheitspflichten eines Rechtsanwalts der Beauskunftung entgegenstehen, diese sind jedoch im Rahmen der Auskunftserteilung geltend zu machen.

Hinsichtlich der Speicherdauer ist, falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, sind die Kriterien für die Festlegung dieser Dauer zu beauskunften. Der Rechtsanwalt ist daher verpflichtet, zumindest die Kriterien für die Festlegung der Speicherdauer anzugeben (etwa Abschluss des zivilgerichtlichen Verfahrens oder – im Hinblick auf die Abwehr von Haftungsansprüchen – eine Speicherdauer im Sinne der absoluten Verjährungsfrist im ABGB von 30 Jahren). Anm: Die DSB unterscheidet in ihrer Rechtsprechung zwischen Verfahren wegen Nichterteilung der Auskunft und unvollständiger Auskunft. Dieser Unterscheidung hat sich das BVwG in seiner bisherigen Rechtsprechung angeschlossen. Auch der VwGH überprüfte zuletzt nicht die Vollständigkeit der nachträglich erteilten Auskunft in einem auf Nichterteilung der Auskunft gerichteten Verfahren (VwGH 02.08.2024, Ra 2022/04/0161). Soweit ersichtlich, war "Sache" des Verfahrens vor der DSB nur die Nichterteilung der Auskunft. Das BVwG ging von seiner bisherigen Rechtsprechung daher ab, indem es auch die Vollständigkeit der im laufenden Verfahren erteilten Auskunft prüfte und die Vervollständigung der Auskunft auftrug.

· Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod der natürlichen Person untergeht und auf einen etwaigen Rechtsnachfolger nicht übergehen kann. Mit dem Tod der natürlichen Person geht deren Parteistellung verloren. Mit dem Verlust der Parteistellung ist die Berechtigung weggefallen, eine Datenschutzbeschwerde zu erheben. Damit fiel auch die Berechtigung der DSB (nachträglich) weg, über die Datenschutzbeschwerde zu entscheiden. Der bekämpfte Bescheid ist daher ersatzlos zu beheben (BVwG 22.11.2024, W211 2272917-1).

Rechtsprechung der LVwG

· Bescheidmäßig verhängte Tierhalteverbote sind keine Umweltinformation iSd § 2 Z 3 UIG. Es kann jedoch dahingestellt bleiben, ob eine Anfrage über ein Tierhalteverbot betreffend eine geschützte Tierart als Umweltinformation iSd § 2 UIG zu werten ist. Denn der Mitteilung der Umweltinformation steht der Ablehnungsgrund des § 6 Abs 2 Z 3 UIG entgegen, wenn sie eine negative Auswirkung auf die Vertraulichkeit personenbezogener Daten hätte, sofern ein schutzwürdiges Interesse an der Geheimhaltung besteht. Eine Liste mit konkret namentlich bezeichneten Personen, über die ein Tierhalteverbot verhängt wurde, beinhaltet mit Blick auf den pönalisierenden Charakter des Tierhalteverbots sensible Daten. Das Interesse an der Geheimhaltung dieser Daten überwiegt das öffentlichen Interesse an der allgemeinen Bekanntgabe von verhängten Tierhalteverboten (LVwG OÖ 28.12.2023, LVwG-552738/2/SB). Anm: Das LVwG OÖ dürfte mit der Wortfolge "sensible Daten" auf die Sensibilität der Informationen hinweisen und keine besondere Kategorie personenbezogener Daten iSd Art 9 Abs 1 DSGVO meinen.

Nationale Rechtsakte

· Am 13.12.2024 wurde das FM-GwG-Anpassungsgesetz, BGBl I 2024/151, kundgemacht. Aufgrund von Empfehlungen des internationalen Gremiums Financial Action Task Force (FATF) sowie zur Umsetzung der VO 2023/1114 (Markets in Crypto-Assets Regulation – MiCAR) wurde der Geltungsbereich des Finanzmarkt-Geldwäschegesetzes (FM-GwG) auf Kryptowertetransfers und sämtliche gezielte finanzielle Sanktionen ausgeweitet. Zudem wurde auch das Wirtschaftliche Eigentümer Registergesetz (WiEReG) novelliert. Zu beachten sind verlängerte Verjährungsfristen. Gleichzeitig wurden ebenso aufgrund von Empfehlungen der FATF auch das Bilanzbuchhaltungsgesetz, das Wirtschaftstreuhandberufsgesetz und die Gewerbeordnung novelliert (BGBl I 2024/150).

Vorschau EuGH-Rechtsprechung

· Am 08.01.2024 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, veröffentlicht. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.

· Am 09.01.2024 wird das Urteil in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.

· Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.

Datenschutzmonitor 18.12.2024

Rechtsprechung des EuGH

· Datenschutzrechtliche Grundsätze müssen bei Untersuchungen durch Disziplinarbehörden gegen Beamte von EU-Organen eingehalten werden. Verwaltungsuntersuchungen haben auf einer rechtmäßigen Grundlage zu erfolgen, einem eindeutigen und rechtmäßigen Zweck zu dienen und die Beamten müssen über das Verfahren informiert werden. Der Grundsatz der Datenverarbeitung nach Treu und Glauben verhindert jedoch nicht die Nutzung von Informationen, die in einem Untersuchungsverfahren von dritter Stelle übermittelt werden, auch wenn diese Informationen zu anderen Zwecken erhoben wurden (EuGH 12.12.2024, C-587/21P, DD/FRA; 12.12.2024, C-130/22P, DD/FRA; 12.12.2024, C-680/22P, DD/FRA).

Rechtsprechung des VwGH

· Das gegen eine Beschwerdevorentscheidung vorgesehene Rechtsmittel ist der Antrag, dass die Bescheidbeschwerde gegen den Ausgangsbescheid dem Verwaltungsgericht zur Entscheidung vorgelegt wird (Vorlageantrag). Die DSB fasste die Beschwerdevorentscheidung in Form eines Aussetzungsbescheides. Das BVwG entschied dennoch in der Sache. Auch wenn mit der Beschwerdevorentscheidung das Verfahren ausgesetzt wurde, steht dieser Aussetzungsbescheid/"Beschwerdevorentscheidung" nach Wegfall des Aussetzungsgrundes der Entscheidung des Verwaltungsgerichts in der Sache nicht entgegen (VwGH 15.11.2024, Ro 2022/04/0028). Anm: Mit der Beschwerdevorentscheidung wird dem Ausgangsbescheid derogiert, sodass der Ausgangsbescheid vor dem Verwaltungsgericht nicht mehr dem Rechtsbestand angehört.

Rechtsprechung des BVwG

Energieunternehmen, intelligente Stromzähler, EEffG

· Der Bewohner einer Wohnung erhob Datenschutzbeschwerde, weil ihn das Energieunternehmen, das ihn mit Fernwärme belieferte, durch den Betrieb eines bei ihm eingebauten intelligenten Kleinwärmezählers in seinem Grundrecht auf Geheimhaltung verletzt habe. Die DSB wies die Datenschutzbeschwerde ab, woraufhin der Bewohner Bescheidbeschwerde an das BVwG erhob, die ebenfalls abgewiesen wurde.

Das BVwG hat erwogen: Das Energieunternehmen hat mit dem Bewohner einen privatrechtlichen Vertrag abgeschlossen. Somit ist das Energieunternehmen nicht als "staatliche Behörde" iSd § 1 Abs 2 DSG bzw "Behörde" iSd ErwGr 47 DSGVO zu qualifizieren.

Die anwendbare Rechtsgrundlage iSd Art 6 Abs 1 lit c DSGVO für die Installation und den Betrieb des intelligenten Wärmezählers ist § 55 EEffG, der den Zweck der Verarbeitung (Verrechnung, Kundeninformation, Energieeffizienz und Aufrechterhaltung eines sicheren Betriebes von der für die Abrechnung durchführenden Stelle, Aufrechterhaltung der Betriebsfunktion) festlegt. Aus dieser Bestimmung ergeben sich auch die Arten der Daten, die gespeichert werden dürfen, die Dauer der Aufbewahrungspflicht (zur Erfüllung des Zwecks, maximal sieben Jahre) sowie die zu ergreifenden Datensicherheitsmaßnahmen (ua Absicherung der Kommunikation der Geräte, Schutz vor unberechtigtem Zugriff).

Die Speicherung bestimmter Daten in LOG-Files ist aufgrund berechtigter Interessen des Energieunternehmens an der Aufrechterhaltung der Betriebsfunktion und dem ordnungsgemäßen Betrieb des Geräts rechtmäßig, weil ohne diese Aufzeichnung etwaige Fehler nicht erkannt und behoben werden könnten, wodurch der ordnungsgemäße Betrieb gefährdet wäre.

E-Scooter, Geheimhaltung

· Ein Passant beschwerte sich über das Abstellen von E-Scootern am Straßenrand bei der Stadt Wien mittels E-Mail, die auch ein Foto der Örtlichkeit der abgestellten Scooter enthielt. Die Stadt Wien leitete die E-Mail – ohne Angabe von Name/E-Mailadresse des Passanten – an die Betreiberfirma des E-Scooters weiter, um deren Wegschaffung zu veranlassen. Der Passant erachtete sich durch die Weiterleitung der E-Mail in seinem Recht auf Geheimhaltung verletzt und begründete dies damit, dass aus der Örtlichkeit der E-Scooter auf seinen Wohnort geschlossen werden könne. Die auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Dagegen erhob der Passant erfolglos Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Ein Personenbezug liegt vor, wenn Daten einer Person so zugeordnet sind, dass die Identität der Person für den jeweiligen Verwender direkt ersichtlich oder mit Hilfe von – vernünftigerweise zur Verfügung stehenden – Zusatzinformationen herstellbar ist. Die – auf keine solche Zusatzinformationen gestützte – bloße Vermutung, dass Daten einer bestimmten Person zugeordnet werden könnten, kann demnach keine Identifizierbarkeit und damit keinen Personenbezug begründen. Aus der bloßen Örtlichkeit der E-Scooter kann nicht auf den Wohnort des Passanten geschlossen werden, was schon aus der Tatsache folgt, dass dem Betreiberunternehmen eben keine Daten wie etwa Name/E-Mailadresse des Passanten übermittelt wurden.

Informationspflicht, Mitteilungspflicht

· Ein Inkassobüro und ein Rechtsanwalt machten gegenüber einem Betroffenen unberechtigte Forderungen geltend. Ursächlich dafür war eine unzutreffende "Identifizierung" aufgrund einer fälschlicherweise dem Betroffenen zugeordneten Adresse, die bei einer Identitäts- und Bonitätsdatenbank ("Kreditauskunftei") hinterlegt gewesen war. Der Betroffene begehrte die Löschung der "falschen" Adresse bei der Kreditauskunftei. Diese kam dem Löschungsersuchen erst nach, nachdem sie diese "falsche" Adresse der Berechnung eines Bonitätscores über den Betroffenen zugrunde gelegt hatte. Die Kreditauskunftei unterrichtete die jeweiligen Empfänger der – aufgrund der "falschen" Adresse zu gering bewerteten – Bonitätscores nicht über die nachträgliche Löschung der Adresse. Die DSB wies die vom Betroffenen erhobene Datenschutzbeschwerde wegen einer Verletzung des Rechts auf Information, auf Löschung sowie auf Mitteilung ab. Dagegen erhob der Betroffene (teilweise erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die von der Kreditauskunftei erfassten und verarbeiteten Daten sind personenbezogene Daten des Betroffenen, weil diese mit seinem Namen und Geburtsdatum verknüpft sind. Der Betroffene hat erst aufgrund mehrerer gestellter Auskunftsersuchen von den Datenverarbeitungen der Kreditauskunftei erfahren. Anders als bei den Rechten auf Auskunft, Berichtigung oder Löschung besteht beim Recht auf Information keine Möglichkeit seitens des Verantwortlichen, eine bereits erfolgte Verletzung durch einen actus contrarius (hier: Löschung der betreffenden Daten) rückwirkend zu beseitigen. Die nachträgliche Auskunftserteilung änderte nichts an der – in der Unterlassung der Erteilung einer entsprechenden Information begründeten – Informationspflichtverletzung.

Anders war die vom Betroffenen monierte Verletzung des Rechts auf Löschung zu beurteilen. Die Kreditauskunftei löschte die vom Betroffenen als unrichtig monierte Adresse noch vor dem Entscheidungszeitpunkt der DSB, sodass eine allfällige Beschwer des Betroffenen – im Nachhinein – weggefallen ist.

Die Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO ist antragslos wahrzunehmen. Die Rechtsverletzung besteht in der Unterlassung der entsprechenden Mitteilung. Die Unterlassung der Mitteilungspflicht kann ebensowenig wie die Verletzung der Informationspflicht saniert werden. Daher war (auch) die Verletzung der Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO festzustellen.

Geldbuße, Videoüberwachung, Verfahrenskosten

· Die Polizei entdeckte im April 2021 bei einer COVID-19-Kontrolle in einem Lokal den Betrieb einer Videoüberwachungsanlage. Die Kamera zeichnete nicht nur den Innenbereich, sondern auch die Zufahrt und einen Teil der gegenüberliegenden Liegenschaft auf. Zudem fehlte eine Kennzeichnung der Anlage. Die Beamten wiesen den Filialleiter auf die gesetzlichen Vorschriften hin. Bei einer Nachkontrolle im Oktober 2021 war die Situation dennoch unverändert. Daraufhin brachte die Polizei eine Anzeige bei der DSB ein, die ein Verwaltungsstrafverfahren gegen die Betreiberin des Lokals einleitete.

Die DSB stellte fest, dass die Betreiberin von April 2021 bis März 2022 personenbezogene Daten unrechtmäßig verarbeitet und gegen ihre Informationspflichten gemäß Art 12 und 13 DSGVO verstoßen hatte. Daher verhängte sie eine Geldstrafe iHv EUR 4.100. Dagegen erhob die Betreiberin Bescheidbeschwerde an das BVwG, das den Tatzeitraum einschränkte, im Übrigen die Bescheidbeschwerde aber abwies.

Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem datenschutzrechtlichen Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer konkreten natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist.

Die Betreiberin war Verantwortliche der Bildverarbeitung iSd Art 4 Z 7 DSGVO, weil sie deren Zweck und Mittel kontrollierte. Ihr ist der in ihrem Unternehmen angestellte Filialleiter als "unterstellte Person" zuzurechnen.

Bei der automatisierten Verarbeitung durch ein kamerabasiertes Videoüberwachungssystem ist bereits die "Fähigkeit", personenbezogene Daten zu erfassen, ausreichend, um von einer Verarbeitung zu sprechen. Entsprechend erfolgte durch den Betrieb der Videoüberwachungsanlage eine Verarbeitung gemäß Art 4 Z 2 DSGVO.

Es ist kein berechtigtes Interesse der Betreiberin erkennbar, weshalb über den Innenbereich ihres Lokals hinaus auch deren Außenbereich vom Aufnahmebereich der Kameras erfasst sein musste. Die Betreiberin verstieß somit gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Weiters folgte sie auch nicht dem Grundsatz der Datenminimierung.

Die Betreiberin hatte bis Ende Dezember 2021 überhaupt keine Kennzeichnung der Kamera vorgenommen. Auch das nachträglich angebrachte Hinweisschild enthielt nicht die in der Leitlinie des Europäischen Datenschutzausschusses 3/2019 angeführten Mindestinformationen. Über diese Kennzeichnung hinaus erhielten die Betroffenen im relevanten Zeitraum bis März 2022 keine weiteren Informationen in Bezug auf den Betrieb der Videoüberwachungsanlage.

Die DSB hat den Tatzeitraum unzulässigerweise bis März 2022 ausgedehnt. Der Tatzeitraum ist von April 2021 bis Dezember 2021 zu reduzieren, weil die Aufforderung zur Rechtfertigung nur diesen Zeitraum umfasste.

Ein Verantwortlicher kann für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. Die Betreiberin traf eine Erkundigungspflicht hinsichtlich der einschlägigen Bestimmungen der DSGVO vor der Verwendung einer Videoüberwachungsanlage. Nach dem eindeutigen Hinweis der Polizei konnte sie über die Rechtswidrigkeit der Datenverarbeitung jedenfalls nicht mehr im Unklaren sein.

Die Betreiberin hat personenbezogene Daten unrechtmäßig und schuldhaft über einen Zeitraum von knapp neun Monaten verarbeitet. Weiters verstieß sie mehr als elf Monate lang gegen ihre Informationspflichten. Die Verstöße wurden zwar fahrlässig begangen, sind jedoch nicht geringfügig, sondern weisen vielmehr bei Beurteilung nach Art 83 Abs 2 lit a DSGVO einen mittleren bis hohen Schweregrad auf. Auch bei der Verkürzung des Tatzeitraums von elfeinhalb auf neun Monate besteht kein Raum für eine Herabsetzung der Strafhöhe.

Da der Bescheidbeschwerde hinsichtlich des Tatzeitraums teilweise stattgegeben wurde, hat die Betreiberin die Kosten des verwaltungsgerichtlichen Verfahrens jedoch nicht zu tragen.

Stammzahlenregisterbehörde, ERsB, Informationspflicht

· Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB, weil er sich in seinem Recht auf Geheimhaltung verletzt sah. Er behauptete, dass die Stammzahlenregisterbehörde (SRB) seine Daten im Ergänzungsregister für sonstige Betroffene (ERsB) verarbeitet habe, obwohl er zu keinem Zeitpunkt einen Antrag auf Eintragung in das ERsB gestellt habe und immer im Zentralen Melderegister (ZMR) gemeldet gewesen sei. Darüber hinaus sei er zu keinem Zeitpunkt über die Eintragung gemäß Art 14 DSGVO informiert worden, weshalb er auch in seinem Recht auf Information verletzt worden sei. Die DSB wies die Datenschutzbeschwerde ab, weil die Eintragung erforderlich sei, um in einem elektronischen Verfahren unterscheiden zu können, ob eine natürliche Person in Privatangelegenheiten agiere oder unternehmerisch tätig sei. Der Betroffene richtete daraufhin eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die SRB war Verantwortliche, weil sie gemäß § 7 Abs 1 E-GovG iVm § 1 ERegV das Ergänzungsregister zu führen hatte.

Nach § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) waren Betroffene, die weder im Melderegister eingetragen waren noch im Firmenbuch oder im Vereinsregister eingetragen sein mussten, auf ihren Antrag im ERsB einzutragen. Der Betroffene war zum Zeitpunkt der Eintragung ins ERsB jedoch im ZMR eingetragen. Die Verarbeitung seiner personenbezogenen Daten im ERsB war daher unrechtmäßig.

Die Informationspflicht nach Art 14 DSGVO besteht unabhängig von einem vorherigen Antrag der betroffenen Person, sie erfordert vielmehr ein aktives Handeln des Verantwortlichen. Die SRB hat durch die Unterlassung der ihr zukommenden Informationspflicht nach Art 14 DSGVO den Betroffenen in seinen Rechten verletzt. Die Informationen hätten spätestens zum Zeitpunkt des Inkrafttretens der DSGVO erteilt werden müssen. Eine nachträgliche Sanierung der Verletzung ist nicht möglich.

· Der Zweck des Ergänzungsregisters für sonstige Betroffene (ERsB) war gemäß § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) die eindeutige digitale Identifikation von Betroffenen, die weder im Zentralen Melderegister (ZMR) noch im Firmenbuch (FB) oder im Vereinsregister eingetragen waren, durch ihre Stammzahlen. Die Eintragung der personenbezogenen Daten verstieß gegen das Zweckbindungsprinzip des Art 5 Abs 1 lit b DSGVO, wenn der Betroffene bereits im ZMR, FB oder Vereinsregister eingetragen war (BVwG 19.11.2024, W287 2248018-1).

· Die Information, dass sich eine Person in einem Therapiezentrum aufhält, das sich auf die Behandlung psychischer und psychiatrischer Erkrankungen spezialisiert, ist ein Gesundheitsdatum. Eine den Verfahrensgesetzen entsprechende Verwendung von (sensiblen) Daten ist aus datenschutzrechtlicher Sicht zulässig. Zusätzlich sind die sich aus den Bestimmungen des Art 5 Abs 1 und Art 6 Abs 1 DSGVO ergebenden Anforderungen einzuhalten und es muss eine der in Art 6 Abs 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt sein. Die strittige Datenverarbeitung muss in der Rechtsgrundlage allerdings nicht bezeichnet werden (BVwG 07.10.2024, W108 2277566-1).

· Eine Verletzung im Recht auf Geheimhaltung knüpft an der Verarbeitung personenbezogener Daten an. Durch einen Scheinwerfer ist die Verarbeitung personenbezogener Daten schon begrifflich ausgeschlossen. Ein Schlüsseltresor dient der Aufbewahrung von Schlüsseln. Die Datenerhebung des Außentemperatursensors einer Wetterstation beschränkt sich auf die Außentemperatur. Eine Einparkhilfe bemisst den Abstand zu einem zufahrenden Auto. Durch diese Objekte besteht keine Gefahr der Datenverarbeitung und erfolgt daher auch keine Verletzung des Rechts auf Geheimhaltung. Bleibt ein Antrag in der Datenschutzbeschwerde durch die DSB unerledigt, ist die dadurch begründete Rechtswidrigkeit nicht durch die Bescheidbeschwerde, sondern durch die Säumnisbeschwerde aufzugreifen (BVwG 29.10.2024, W274 2299991-1).

· Das datenschutzrechtliche Auskunftsrecht ist ein höchstpersönliches Recht. In höchstpersönliche Rechte eines Verstorbenen findet keine Rechtsnachfolge statt, weshalb auch die Fortsetzung des Verfahrens über solche Rechte durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Das in § 4 Abs 4 KontRegG normierte Auskunftsrecht ist eine Erweiterung des nach der DSGVO zustehenden Auskunftsrechts, weil auch über etwaige indirekte personenbezogene Daten Auskunft zu erteilen ist und über die Verweigerung dieses Auskunftsrechts mit Bescheid abzusprechen ist. Eine Rechtsnachfolge findet jedoch auch in das Auskunftsrecht nach § 4 Abs 4 KontRegG nicht statt (BVwG 10.10.2024, W177 2257566-2).

· Nach Ansicht des BVwG könnte die Rechtsprechung des EuGH zur DSGVO in der Rs C-807/21, Deutsche Wohnen, wonach die Strafbarkeit einer juristischen Person "keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt", auf die Geldwäsche-Richtlinie übertragbar sein. Aus diesem Grund hat das BVwG beschlossen, dem EuGH entsprechende Fragen zum FM-GwG vorzulegen (BVwG 30.10.2024, W172 2296169-1). Anm: Dieses Vorabentscheidungsersuchen ist insofern überraschend, weil ein anderer Senat des BVwG dieselben Fragen dem EuGH bereits vorgelegt hat. Wir haben darüber am 08.05.2024 in der 18. Ausgabe des Schönherr Datenschutzmonitors berichtet. Die damals vorgelegten Fragen sind beim EuGH unter der Zahl C-291/24, Steiermärkische Bank und Sparkasse, weiterhin anhängig. In solchen Fällen kann das spätere Verfahren ausgesetzt werden, eine erneute Vorlage an den EuGH ist nicht erforderlich.

· Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen. In einer erheblichen Anzahl von Verfahren ist ua die Frage anhängig, ob ein Verstoß des Auftragsverarbeiters gegen Art 32 DSGVO dem Verantwortlichen zugerechnet werden kann (BVwG 21.11.2024, W101 2284188-1).

Rechtsprechung der LVwG

· Die Speicherung von DNA-Daten ist ein Eingriff ins Grundrecht auf Datenschutz. Die §§ 65 und 67 SPG regeln die (materiellen) Voraussetzungen für eine entsprechende erkennungsdienstliche Behandlung der Tatverdächtigen. Ist das einzige Verdachtsmaterial, welches den Verdächtigen belastet, das Video über den Eingangsbereich einer observierten Adresse, ist dieses Video auch dann zu sichten, wenn auf dem Observierungsvideo ca 100 verdächtige Personen zu erkennen sind. Da das Observationsvideo nicht gesichtet wurde, ist die Verwechslung des Verdächtigen dem eingeschrittenen Organ vorwerfbar und die Durchführung der erkennungsdienstlichen Behandlung (Ermittlung und Speicherung der DNA) war rechtswidrig. Die rechtswidrig erlangten DNA-Daten mögen zwar von Amts wegen zu löschen sein. Für den Antrag auf Löschung ist jedoch die DSB zuständig, sodass der Löschungsantrag vom LVwG Tirol wegen Unzuständigkeit zurückzuweisen war (LVwG Tirol 03.12.2024, LVwG-2024/12/2131-5).

Neues vom EDSA

· Der Europäische Datenschutzausschuss (EDSA) hat am 03.12.2024 Leitlinien zu Art 48 DSGVO veröffentlicht. Gemäß Art 48 DSGVO dürfen Urteile oder Entscheidungen von Gerichten oder Behörden in Drittländern, die einem Verantwortlichen oder Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten auftragen, nur dann anerkannt oder vollstreckt werden, wenn sie auf ein internationales Abkommen gestützt sind. Die Leitlinien konzentrieren sich auf Anfragen, die auf eine direkte Zusammenarbeit zwischen einer Drittlandsbehörde und einer privaten Einrichtung in der Union abzielen und enthalten Empfehlungen, wie mit solchen Anfragen umzugehen ist.

Die Offenlegung oder Übermittlung von in der EU verarbeiteten Daten auf Anfrage einer Drittlandsbehörde muss den Grundsätzen des Art 5 DSGVO entsprechen und auf einer Rechtsgrundlage nach Art 6 DSGVO beruhen. Zudem muss eine Übermittlungsgrundlage nach Kapitel V vorliegen ("Zweistufentest"). Die Anfrage einer ausländischen Behörde allein ist weder eine Rechtsgrundlage noch ein Übermittlungsgrund.

Besteht eine rechtliche Verpflichtung aus einem internationalen Abkommen, auf dem die Anfrage beruht, kommt Art 6 Abs 1 lit c DSGVO als Rechtsgrundlage in Betracht. Andernfalls können andere Rechtsgrundlagen gemäß Art 6 Abs 1 DSGVO genutzt werden. Einzig Art 6 Abs 1 lit b DSGVO kann von einer privaten Stelle in der EU nicht als Rechtsgrundlage für die Beantwortung einer Anfrage herangezogen werden. Ein Verantwortlicher kann sich auch nicht auf Art 6 Abs 1 lit f DSGVO stützen, um personenbezogene Daten präventiv zu erheben und zu speichern, wenn dies nicht mit den tatsächlichen (wirtschaftlichen und kommerziellen) Aktivitäten des Unternehmens zusammenhängt.

Art 48 DSGVO ist keine Übermittlungsgrundlage. Bevor auf eine Anfrage einer Drittlandsbehörde reagiert wird, muss daher eine Übermittlungsgrundlage des Kapitel V identifiziert werden. Regelt ein internationales Abkommen die Zusammenarbeit zwischen dem Verantwortlichen oder Auftragsverarbeiter in der EU/EEA und der anfragenden Drittlandsbehörde, kann dieses Abkommen als Übermittlungsgrundlage dienen, wenn es die entsprechenden Schutzmaßnahmen gemäß Art 46 Abs 2 lit a DSGVO vorsieht. Andernfalls ist ein anderer Übermittlungsgrund des Kapitels V der DSGVO zu wählen. Anm: Zu diesen Leitlinien wurde eine öffentliche Konsultation eingeleitet. Stellungnahmen können bis zum 27.01.2025 abgegeben werden.

Vorschau EuGH Rechtsprechung

· Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

Datenschutzmonitor 11.12.2024

Rechtsprechung des EGMR

EGMR 03.12.2024, 28935/21, MSD/Rumänien

Online-Gewalt, Schadenersatz

Der Ex-Partner einer Frau erstellte auf Facebook gefälschte Profile, um von der Frau intime Fotos zu verbreiten und sendete die Fotos auch an ihre Familie und Freunde. Weiters veröffentlichte er die Fotos der Frau mit ihrem Namen und ihrer Telefonnummer auf Websites für Escort-Services. Die Frau wurde von zahlreichen Personen wegen sexuellen Dienstleistungen kontaktiert. Als sie ihren Ex-Partner konfrontierte, wurde sie von diesem physisch und verbal aggressiv attackiert. Sie erhob Strafanzeige gegen den Ex-Partner. Die Ermittlungen zogen sich aber jahrelang hin, die Behörden handelten nur zögerlich und stellten das Verfahren schließlich ein.

Der EGMR hat erwogen: Art 8 EMRK schützt das Recht auf Achtung des Privatlebens, einschließlich der körperlichen und psychischen Integrität einer Person. Der Staat hat positive Verpflichtungen, Maßnahmen zu ergreifen, um dieses Recht auch in den Beziehungen zwischen Privatpersonen zu schützen. Dies umfasst die Verpflichtung, ein wirksames rechtliches System zu schaffen und anzuwenden, das Schutz vor Gewalt bietet, einschließlich Schutz vor Online-Gewalt und Belästigung. Die Veröffentlichung intimer Fotos und die Verbreitung dieser Fotos stellten eine Form der Online-Belästigung dar, die die psychische Integrität der Frau erheblich beeinträchtigt haben. Diese Handlungen erforderten eine strafrechtliche Reaktion der nationalen Behörden. Ein zivilrechtlicher Rechtsbehelf allein ist in solchen Fällen nicht ausreichend. Das (nationale) Strafgesetzbuch in seiner damaligen Fassung bot keinen wirksamen Schutz, weil unklar war, ob die Verbreitung von Bildern, die rechtmäßig erlangt wurden, strafbar war. Die Ermittlungen der nationalen Behörden waren nicht effektiv, weil sie die Ermittlungen erst mehr als sechs Monate nach der Strafanzeige eröffneten und den Ex-Partner erst nach über einem Jahr befragten. Sie unternahmen keine ausreichenden Maßnahmen, um Beweise zu sichern oder die Frau vor weiteren Übergriffen zu schützen. Die nationalen Behörden haben ihre positiven Verpflichtungen aus Art 8 EMRK nicht erfüllt.

Die Feststellung des Verstoßes gegen Art 8 EMRK genügt für den Ausgleich des erlittenen immateriellen Schadens nicht, weshalb der Frau ein Schadenersatz iHv EUR 7.500 zuzusprechen ist.

Rechtsprechung des VwGH

Durch das Wr AuskunftspflichtG wird ein "Recht auf Information" gesetzlich eingeräumt. Mit der Pflicht der Behörde korrespondiert ein subjektiv öffentliches Recht des Auskunftswerbers. Dem Wr AuskunftspflichtG liegt ein Regel-Ausnahme-Prinzip zu Grunde, wonach grundsätzlich eine Auskunft zu erteilen ist. Eine Ausnahme ist zB, wenn der Auskunftserteilung gesetzliche Verschwiegenheitspflichten Eine pauschale Verweigerung der Auskunft über eine Mehrzahl von Verwaltungsvorgängen kann mit Verschwiegenheitspflichten hinsichtlich einzelner dieser Vorgänge nicht begründet werden. Vergaberechtliche Vertraulichkeitspflichten derogieren nationalen Rechtsvorschriften betreffend den Zugang zu Informationen nicht. An der Offenlegung der Information, mit wem die Stadt Wien städtebauliche Verträge schließt, besteht ein hohes öffentliches Interesse, um im Sinne eines "social watchdog" allfällige wirtschaftliche bzw politische Verflechtungen einer öffentlichen Debatte zuführen zu können. Der Datenschutz steht der Offenlegung dieser Information daher nicht entgegen (VwGH 24.10.2024, Ra 2023/05/0006).

Rechtsprechung des OGH

OGH 13.11.2024, 15Os51/24z

Persönlichkeitsrecht, Identifizierbarkeit

Ein Medienunternehmen berichtete mehrfach über den Einsturz einer Brücke auf den Philippinen, bei dem eine schwangere Frau auf ihrer Hochzeitsreise ihren Ehemann verlor. Aufgrund zahlreicher berichteter Details war die Frau identifizierbar. Die Frau klagte auf Entschädigung nach § 7 Abs 1 MedienG, weil die Berichte ihre Privatsphäre verletzt hätten. Das LG Graz gab der Klage statt, das OLG Graz bestätigte das Urteil. Daraufhin beantragte das Medienunternehmen beim OGH die Erneuerung des Verfahrens mit Verweis auf die Meinungsfreiheit gemäß Art 10 Abs 1 EMRK. Der OGH wies den Antrag zurück.

Der OGH hat erwogen: Der Erneuerungsantrag zeigt keine Begründungsmängel oder erhebliche Zweifel an der Identifizierbarkeit der Frau auf. Die Schwangerschaft, die einen die Gesundheitssphäre betreffenden Umstand darstellt, gehört zum höchstpersönlichen Lebensbereich iSd § 7 Abs 1 MedienG der Frau, weil die Hochzeit innerhalb eines begrenzten Personenkreises, daher nicht in einer medialen oder sonst vergleichbar großen Öffentlichkeit stattfand. Die Frau hat ihre Schwangerschaft und sonstige Umstände des Unfalls und ihres Privat- und Familienlebens auch nicht auf andere Weise selbst in die mediale oder sonst große Öffentlichkeit getragen.

Berichterstattungen über für eine begrenzte Öffentlichkeit sichtbare oder bekannte Umstände können bloßstellend sein, wenn sie den Betroffenen gegenüber einer grenzenlosen Öffentlichkeit als außergewöhnlich bedauernswert hinstellen, emotionsgeladen und unerwünschtes Mitleid heischend gestaltet sind.

Die Weigerung eines Hauseigentümers, unter anderem aus datenschutzrechtlichen Gründen, seinen analogen Stromzähler auf einen Smartmeter umzustellen, berechtigt einen Netzbetreiber nicht, mittels Androhung der Stromabschaltung den Stromzählertausch zu erzwingen. Gegen die Androhung der Stromabschaltung steht einem Hauseigentümer eine einstweilige Verfügung gegen den Netzbetreiber zu. Dem Netzbetreiber steht es aber offen, selbst gerichtliche Hilfe bei der Durchsetzung seines Interesses auf Tausch des Stromzählers in Anspruch zu nehmen (OGH 28.10.2024, 3Ob191/24w).
Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 06.11.2024, 6Ob195/24f).

Rechtsprechung des BVwG

BVwG 11.11.2024, W298 2295931-1

Säumnis, Kohärenzverfahren

Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Geheimhaltung. Die DSB setzte das Verfahren bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde aus. Der Betroffene erhob eine Bescheidbeschwerde gegen diesen Aussetzungsbescheid, weil er die Zuständigkeit der DSB annahm. Das BVwG hob den Aussetzungsbescheid auf, weil keine zu lösende Vorfrage vorlag, die ein Aussetzen des Verfahrens rechtfertigen würde. Der Betroffene erhob in Folge eine (erfolglose) Säumnisbeschwerde, weil die DSB nicht innerhalb der sechsmonatigen Entscheidungsfrist über seine Datenschutzbeschwerde entschieden habe. Die DSB wendete ein, dass die Entscheidungsfrist aufgrund des weiterhin laufenden Verfahrens gemäß Art 56 DSGVO gehemmt sei.

Das BVwG hat erwogen: Gemäß § 8 Abs 1 VwGVG beginnt die Entscheidungsfrist der Behörde von sechs Monaten in dem Zeitpunkt zu laufen, in dem der Antrag auf Sachentscheidung bei der zuständigen Stelle eingelangt ist. Das Verfahren über eine Datenschutzbeschwerde im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung besteht aus drei Phasen. In einem ersten Schritt werden die beteiligten Aufsichtsbehörden und ihre jeweilige Rolle als federführende oder betroffene Aufsichtsbehörde bestimmt, wobei sie der allgemeinen Kooperationspflicht gemäß Art 51 Abs 2 S 2 DSGVO unterliegen. In einem zweiten Schritt führt die federführende Aufsichtsbehörde das Kohärenzverfahren nach Art 60 DSGVO durch und fasst über die Beschwerde einen verbindlichen Beschluss. Im letzten Schritt wird gemäß Art 60 Abs 8 DSGVO dieser Beschluss von der Aufsichtsbehörde, bei der die Beschwerde eingebracht worden ist, erlassen.

Nach § 73 AVG ist über einen Antrag, hier die Datenschutzbeschwerde, ohne unnötigen Aufschub, spätestens aber sechs Monate nach Einlangen dieses Antrags zu entscheiden. Nicht in diese Entscheidungsfrist eingerechnet werden Zeiten während des Verfahrens zur Feststellung der federführenden Aufsichtsbehörde sowie eines Kohärenzverfahrens. Die Entscheidungsfrist wird gehemmt. Die sechsmonatige Entscheidungsfrist kann daher noch nicht abgelaufen sein.

Gemäß § 8 Abs 1 VwGVG kann eine Säumnisbeschwerde erst erhoben werden, wenn die Behörde die Sache nicht innerhalb von sechs Monaten entschieden hat. Der Säumnisbeschwerde ist stattzugeben, wenn die Verzögerung auf ein überwiegendes Verschulden der Behörde zurückzuführen ist. Ein überwiegendes Verschulden der Behörde liegt dann vor, wenn diese die für eine zügige Verfahrensführung notwendigen Schritte unterlässt oder mit diesen grundlos zuwartet. Das BVwG kann sich jedoch gemäß § 28 Abs 7 VwGVG in seinem Erkenntnis auf die Entscheidung einzelner maßgeblicher Rechtsfragen beschränken und der Behörde auftragen, den versäumten Bescheid unter Zugrundelegung der festgelegten Rechtsanschauung des BVwG binnen acht Wochen zu erlassen (kondemnatorische Entscheidung; BVwG 18.11.2024, W137 2297602-1).
Eine Bescheidbeschwerde gegen ein Straferkenntnis der DSB hat gewisse Punkte aufzuweisen, ua die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt (§ 9 Abs 1 VwGVG). Mängel im schriftlichen Anbringen berechtigten jedoch nicht zur Zurückweisung, sondern es ist ein Mangelbehebungsauftrag zu erteilen. Wird dem Mangelbehebungsauftrag nicht entsprochen, ist die Bescheidbeschwerde zurückzuweisen. Für das Verfahren vor dem BVwG sind im Fall der Zurückweisung der Bescheidbeschwerde keine Verfahrenskosten zu entrichten (BVwG 11.11.2024, W298 2296786-1).
Beschränkt sich die DSB trotz strittig gebliebener Tatsachenbehauptungen auf den Austausch wechselseitiger Stellungnahmen, ist das einem Unterlassen jeglicher erforderlichen Ermittlungstätigkeit Die von der DSB durchgängig geübte Praxis, die Ermittlungen trotz strittiger Tatsachenbehauptungen auf das Austauschen von schriftlichen Stellungnahmen zu beschränken, ist ein "nach-oben-Delegieren" der Ermittlungen an das BVwG. Der Bescheid ist daher zu beheben und an die DSB zur neuerlichen Entscheidung zurückzuverweisen (BVwG 18.11.2024, W274 2291293-1).
Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 10.2024, I406 2299747-1; 07.11.2024, I411 2300073-1).
Das Grundrecht auf Datenschutz ist im Verfahren über die Festsetzung des ORF-Beitrags nicht präjudiziell, weshalb allfällige datenschutzrechtliche Bedenken der Festsetzung des ORF-Beitrags nicht entgegenstehen (BVwG 02.12.2024, L521 2298795-1).

EU-Rechtsakte

Zur Erleichterung der grenzüberschreitenden elektronischen Identifizierung erließ die Europäische Kommission fünf Durchführungsverordnungen betreffend die "europäische Brieftasche" gemäß Art 5a der eIDAS-VO. Am 12.2024 wurden die DurchführungsVO 2024/2977, ABl L 2024/2977, 1; die DurchführungsVO 2024/2979, ABl L 2024/2979, 1; die DurchführungsVO 2024/2980, ABl L 2024/2980, 1; die DurchführungsVO 2024/2981, ABl L 2024/2981, 1; die DurchführungsVO 2024/2982, ABl L 2024/2982, 1, kundgemacht. Diese fünf DurchführungsVO enthalten Vorschriften hinsichtlich der europäischen Brieftasche: Personenidentifizierungsdaten und elektronische Attributsbescheinigungen (DurchführungsVO 2024/2977); Integrität und Kernfunktionen (DurchführungsVO 2024/2979); Notifizierungen an die Kommission (DurchführungsVO 2024/2980); Zertifizierung der EU-Brieftasche (DurchführungsVO 2024/2981) sowie Protokolle und Schnittstellen (DurchführungsVO 2024/2982).
Am 02.12.2024 wurde die "Durchführungsverordnung (EU) 2024/2956 der Kommission vom 29. November 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister", ABl L 2024/2956, 1, kundgemacht. Finanzunternehmen haben im Rahmen des IKT-Risikomanagements ein Informationsregister über die Nutzung von IKT-Drittdienstleister zu führen. Die DurchführungsVO 2024/2956 legt Standards für die Führung dieses Informationsregisters fest.
Am 03.12.2024 wurde die "Durchführungsverordnung (EU) 2024/2984 der Kommission vom 29. November 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Formulare, Formate und Mustertexte für die Kryptowerte-Whitepaper", ABl L 2024/2984, 1, kundgemacht. Personen, die Kryptowerte-Whitepaper erstellen, haben die in dieser DurchführungsVO vorgeschriebenen Informationen bereitzustellen.

Nationale Rechtsakte

Am 05.12.2024 wurde die Telekommunikationsgebührenverordnung 2025 (TKGV 2025), BGBl II 2024/356, kundgemacht. In der TKGV 2025 werden Gebühren im Bereich der Telekommunikation, insb für die Nutzung von Funkfrequenzen, festgelegt.

Vorschau EuGH-Rechtsprechung

Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

Datenschutzmonitor 4.12.2024

Rechtsprechung des EGMR

EGMR 28.11.2024, 31091/16, Csikos/Ungarn

Telefonüberwachung, Journalismus

Im Zuge verdeckter Ermittlungen gegen einen Polizeibeamten sollen Telefongespräche zwischen ihm und einer Journalistin abgehört worden sein. Die Abhörmaßnahmen wurden auf eine Bestimmung des ungarischen Polizeigesetzes gestützt, die in dringenden Ausnahmefällen eine Überwachungsmaßnahme ohne vorherige Genehmigung eines Richters erlaubte. Die Überwachungsmaßnahme sei jedoch nicht, wie gesetzlich vorgesehen, nachträglich von einem Richter genehmigt worden, die Daten der Journalistin seien nicht gelöscht worden und sie sei auch nicht benachrichtigt worden. Nachdem sich die Journalistin, die eine Offenlegung ihrer journalistischen Quellen befürchtete, erfolglos an mehrere Behörden wandte, beschwerte sie sich schließlich beim EGMR über das Abhören ihrer Telefongespräche. Der EGMR stellte eine Verletzung des Art 8 und 10 EMRK fest und sprach der Journalistin eine Entschädigung iHv EUR 6.500 zu.

Der EGMR hat erwogen: Das Abhören von Telefongesprächen ist ein Eingriff in das Recht auf Achtung des Privat- und Familienlebens. Ein solcher Eingriff ist nur dann zulässig, wenn er gesetzmäßig ist, eines oder mehrere der in Art 8 Abs 2 EMRK genannten Ziele verfolgt und in einer demokratischen Gesellschaft erforderlich ist.

Das Kriterium der Erforderlichkeit setzt angemessene und wirksame Schutzmaßnahmen gegen Missbrauch voraus. Der Schutz journalistischer Quellen zählt zu den tragenden Säulen der Pressefreiheit und ist ein hohes Gut in einer Demokratie. Die involvierten Behörden befassten sich mit der Beschwerde der Journalistin nur peripher. Auf die Frage, ob das Abhören der Telefongespräche stattfand und wenn ja, ob dieses im Hinblick auf die journalistische Tätigkeit rechtmäßig erfolgte, gingen die Behörden nicht ein.

Die einschlägige Bestimmung im ungarischen Polizeigesetz differenzierte nicht danach, ob eine Überwachung vertrauliche journalistische Quellen betrifft oder nicht. Auch verlangte die Bestimmung keine Abwägung der mit der Anwendung geheimer Überwachungsmaßnahmen verfolgten Ziele gegen die Folgen des Abhörens des Telefons eines Journalisten. Im Ergebnis waren keine ausreichenden Verfahrensgarantien vorhanden, damit die Journalistin den angeblichen Einsatz geheimer Überwachung zur Ermittlung ihrer journalistischen Quellen wirksam anfechten hätte können.

Rechtsprechung des EuGH

EuGH 28.11.2024, C-169/23, Masdi

Informationspflicht, Ausnahme, Datenquelle, Datengenerierung

Eine Betroffene erhielt von einer ungarischen Behörde ein Covid-19-Immunitätszertifikat, ohne über die Datenverarbeitung informiert zu werden. Die Behörde berief sich auf die Ausnahme von der Informationspflicht nach Art 14 Abs 5 lit c DSGVO, weil sie die Daten, basierend auf einer ungarischen Verordnung, von einer anderen Stelle erhalten habe. Das vorlegende Gericht stellte dem EuGH mehrere Fragen zu dieser Ausnahme von der Informationspflicht.

Der EuGH hat erwogen: Art 14 DSGVO bestimmt, welche Informationen der Verantwortliche der Betroffenen zur Verfügung stellen muss, wenn die personenbezogenen Daten nicht bei dieser erhoben wurden. Art 14 Abs 5 lit c DSGVO sieht eine Ausnahme von der Informationspflicht vor, sofern die Erlangung oder Offenlegung von Informationen durch Rechtsvorschriften der Union oder der Mitgliedstaaten, die geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsehen, ausdrücklich geregelt sind.

Die Ausnahmeregelung des Art 14 Abs 5 lit c DSGVO betrifft unterschiedslos alle personenbezogenen Daten, die der Verantwortliche nicht unmittelbar bei der Betroffenen erhoben hat. Dies gilt unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der Betroffenen erlangt hat oder er die Daten selbst im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.

Eine Beschwerde nach Art 77 Abs 1 DSGVO kann auf eine Verletzung der Informationspflicht durch den Verantwortlichen gestützt werden, die sich aus der Nichtbeachtung der Voraussetzungen für die Anwendung der in Art 14 Abs 5 lit c DSGVO vorgesehenen Ausnahme ergibt. Die Aufsichtsbehörde muss prüfen, ob nationales Recht oder Unionsrecht die Datenverarbeitung erlaubt und ein gleichwertiges Schutzniveau wie Art 14 Abs 1 bis 4 DSGVO gewährleistet. Die Regelungen müssen klar sein und den Betroffenen ermöglichen, ihre Rechte wahrzunehmen. Insb müssen diese Vorschriften die Quelle angeben, aus der die Betroffenen Informationen über die Datenverarbeitung erhalten.

Im Rahmen eines Beschwerdeverfahrens darf die Aufsichtsbehörde daher prüfen, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art 32 DSGVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.

EuGH 28.11.2024, C-80/23, Ministerstvo

DSRL-PJ 2016/680, biometrische und genetische Daten

Zur Beantwortung eines Vorabentscheidungsersuchens entschied der EuGH, dass die Erhebung von biometrischen und/oder genetischen Daten von Beschuldigten im Rahmen eines Strafverfahrens auch zwangsweise zulässig ist, sofern das nationale Recht nachgelagert eine wirksame gerichtliche Kontrolle der Bewilligung zur Erhebung dieser Daten gewährleistet. Das nationale Gericht hat insb zu prüfen, ob die Beurteilung der "unbedingten Erforderlichkeit" der Erhebung sowohl biometrischer als auch genetischer Daten der Betroffenen durch die zuständige Behörde sichergestellt ist (EuGH 26.01.2023, C‑205/21, Ministerstvo na vatreshnite).

Im Rahmen des nationalen Verfahrens, auf dem dieses Urteil beruhte, legte das zuständige bulgarische Gericht weitere Fragen zur Vorabentscheidung vor.

Der EuGH hat erwogen: Die zuständige Behörde muss die unbedingte Erforderlichkeit der Erhebung der biometrischen und genetischer Daten überprüfen und nachweisen. Das nationale Gericht kann die Einhaltung dieser Verpflichtung nicht sicherstellen, weil es Sache der zuständigen Behörde ist, die nach Art 10 Richtlinie 2016/680 (DSRL-PJ) erforderliche Beurteilung vorzunehmen. Nationale Rechtsvorschriften, die keine Verpflichtung der zuständigen Behörde vorsehen, die unbedingte Erforderlichkeit der Erhebung biometrischer und genetischer Daten zu überprüfen und nachzuweisen, verstoßen gegen Art 10 der DSRL-PJ. Anm: Die Zusammenfassung der Schlussanträge kann in der 24. Ausgabe des Schönherr Datenschutzmonitors vom 19.06.2024 nachgelesen werden.

Rechtsprechung des VwGH

Aus der Rechtsprechung des VwGH:

Bei Gefahr in Verzug darf die DSB eine Datenverarbeitung mit Mandatsbescheid untersagen (§ 22 Abs 4 DSG iVm § 57 Abs 1 AVG). Gegen den Mandatsbescheid kann Vorstellung bei der DSB erhoben werden. Prozessgegenstand des Vorstellungsverfahrens ist der Mandatsbescheid, der durch den Vorstellungsbescheid ersetzt wird. Die Formulierung "wie noch im Detail ausgeführt wird" in der Amtsrevision der DSB genügt dem Erfordernis nicht, die Zulässigkeitsbegründung der Revision gesondert auszuführen (VwGH 31.10.2024, Ra 2022/04/0145).

Rechtsprechung des BVwG

BVwG 13.09.2024, W298 2274626-1

reCAPTCHA, Cookies, berechtigtes Interesse

Auf einer Parteiwebsite verwendeten zwei Websitebetreiber den Google-Dienst reCAPTCHA. Verwendet wurde eine "unsichtbare" Version von reCAPTCHA, die auf einer Website nicht gleich erkannt werden kann. Das Cookie blieb für die Unterseiten der Website aktiv, auch wenn es beim Öffnen der Website deaktivierte wurde. Über die weitere Verwendung des Cookies wurde auf der Website nicht informiert und auch keine Einwilligung eingeholt. Ein Websitebesucher fühlte sich durch diese Websiteeinstellungen in seinem Recht auf Geheimhaltung verletzt und brachte eine erfolgreiche Datenschutzbeschwerde bei der DSB ein. Dagegen erhoben die Websitebetreiber Bescheidbeschwerde an das BVwG, welches diese abwies.

Das BVwG hat erwogen: Der Betrieb einer Website ist ein Dienst der Informationsgesellschaft gemäß § 3 Z 1 ECG und Art 4 Z 25 DSGVO. IP-Adressen sind unabhängig davon, ob sie dynamisch oder statisch sind, personenbezogene Daten. Sobald mit zusätzlichen Daten die Identifizierung eines Nutzers ermöglicht wird, liegt ein Personenbezug gemäß Art 4 Z 1 DSGVO vor. Das von reCAPTCHA gesetzte Cookie ermöglicht die Identifizierbarkeit eines Nutzers und ermöglicht es, Besucher einer Website zu unterscheiden. Durch die übermittelten Informationen kann von Nutzern ein "digitaler Fingerabdruck" generiert werden.

Der Begriff "Verantwortlicher" in Art 4 Z 7 DSGVO ist weit definiert und erfasst jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Mehrere Akteure können auch gemeinsam für eine Datenverarbeitung verantwortlich sein. Eine Person, die aus Eigeninteresse auf die Zwecke und Mittel der Verarbeitung Einfluss nimmt, kann Verantwortliche sein.

Die Websitebetreiber betreiben die Website zum Zweck, andere Menschen über die Partei zu informieren und um weitere Parteimitglieder zu rekrutieren. Sie nehmen dabei aus Eigeninteresse auf die Verarbeitungen personenbezogener Daten Einfluss und legen die Mittel der Verarbeitung fest. Zusätzlich sind beide Websitebetreiber im Impressum als Medieninhaber nach § 25 MedienG genannt.

Eine Einwilligung ist jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Die Einwilligung für die Speicherung von Cookies muss mit einem aktiven Verhalten erfolgen und darf nicht vermutet werden. Wenn eine echte Wahlfreiheit fehlt, ist die Einwilligung nicht freiwillig. Wenn Websitebesucher nicht über die Verwendung von reCAPTCHA informiert werden, können sie in die Datenverarbeitung nicht wirksam einwilligen.

Die Verarbeitung personenbezogener Daten gemäß Art 6 Abs 1 lit f DSGVO ist zulässig, sofern sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen, nicht überwiegen.

Ein berechtigtes Interesse kann nur dann vorliegen, wenn der Verantwortliche den Betroffenen über das verfolgte Interesse informiert hat. Da dies nicht erfolgte, war die Datenverarbeitung rechtswidrig.

Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, sind für den Betrieb einer Website technisch nicht erforderlich, weshalb kein berechtigtes Interesse zur Nutzung besteht und eine ausdrückliche Einwilligung des Websitebesuchers einzuholen gewesen wäre.

BVwG 05.09.2024, W211 2291307-1

Smart Meter, Vertragserfüllung, Koppelungsverbot, Transparenz

Ein Hausbewohner fühlte sich durch den Einbau eines digitalen Stromzählers (Smart Meter) in seinem Recht auf Geheimhaltung verletzt. Dagegen brachte er Datenschutzbeschwerde bei der DSB ein. Der Hausbewohner brachte vor, der Smart Meter verarbeite permanent bei systemerhaltenden oder systemüberwachenden Tätigkeiten Daten. Dies sei vom – vor längerer Zeit abgeschlossenen – Nutzungsvertrag nicht gedeckt. Der Vertragszweck könne auch durch einen analogen Stromzähler erreicht werden. Der Netzbetreiber stützte sich auf die Vertragserfüllung und konfigurierte den Smart Meter entsprechend dem Wunsch des Hausbewohners in der "Opt-Out"-Konfiguration, bei der nur einmal im Jahr der Stromverbrauch abgelesen wird.

Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass es sich bei Einbau und Inbetriebnahme eines Smart Meters mit "Opt-Out"-Konfiguration um keine Datenverarbeitung handelt. Dagegen erhob der Hausbewohner (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Entsprechend dem Netznutzungsvertrag, der als Grundlage für die Verarbeitung der Daten dient, kann der Netzbetreiber selbst entscheiden, welche Art von Stromzähler er einsetzt. Der Stromverbrauch wird sowohl bei einem Smart Meter in der "Opt-Out"-Konfiguration als auch bei einem analogen Stromzähler einmal im Jahr ausgelesen. Das Auslesen des Verbrauchs erfolgt beim Smart Meter extern und bei einem analogen Gerät vor Ort. Die jährliche Übermittlung des Zählerstands dient zur Erfüllung des Netznutzungsvertrags gemäß Art 6 Abs 1 lit b DSGVO und ist dadurch gerechtfertigt. Der Einbau und auch die Inbetriebnahme eines Smart Meters sind keine Datenverarbeitungen. Eine Verletzung des Koppelungsverbots kann mangels einer eingeholten Einwilligung nicht vorliegen.

Informationen zu den einzelnen Funktionen des Routers oder zu gesundheitlichen Gefahren durch den Smart Meter sind keine zu erteilenden Informationen nach Art 13 DSGVO. Die Nichtaushändigung der Bedienungsanleitung eines Smart Meters kann nicht nach der DSGVO gerügt werden und ist keine Verletzung des Transparenzgebots.

BVwG 17.09.2024, W298 2295130-1

Geldbuße, Mitwirkung, Selbstbezichtigung

Die DSB forderte eine im Bereich der Personalservice tätige Gesellschaft in einem Verwaltungsverfahren zur Mitwirkung Die Gesellschaft beantwortete die behördliche Aufforderung trotz nachweislicher Zustellung nicht. Weiters wirkte sie auch im anschließenden Verwaltungsstrafverfahren an der Aufklärung des Tathergangs nicht mit. Darüber hinaus machte sie keine Angaben zu ihren Einkommens- und Vermögensverhältnissen.

Die DSB verhängte wegen Verletzung der Mitwirkungspflicht gemäß Art 31 DSGVO eine Geldstrafe iHv EUR 1.500. Aufgrund der Bescheidbeschwerde der Gesellschaft setzte das BVwG diese Geldstrafe auf EUR 500 herab.

Das BVwG hat erwogen: Eine Verletzung der Mitwirkungspflicht liegt vor, wenn die Aufforderung zur Stellungnahme der DSB nicht rechtzeitig, fristgerecht oder innerhalb einer angemessenen Frist beantwortet wird, ohne dass ein bestimmter Erfolg erforderlich ist. Die Bestimmung des Art 31 DSGVO legt dem Verantwortlichen verwaltungsverfahrensrechtliche Kooperationslasten auf. Die Vorschrift drängt den Amtsermittlungsgrundsatz ein Stück weit zurück. Neben der Pflicht zur Kooperation verlangt sie dem Adressaten ein aktives Tun ab.

Der Grundsatz der Selbstbelastungsfreiheit ist nicht verletzt, solange mit einer Information kein unmittelbares Schuldeingeständnis verbunden ist. Die Mitwirkungspflicht begründet keinen Verstoß gegen Art 6 EMRK (nemo tenetur Prinzip), weil die initiale Ermittlung des Sachverhalts in einem vorgelagerten datenschutzrechtlichen Verfahren erfolgt. Weiters liegt ein Verstoß gegen Art 6 EMRK nur dann vor, wenn eine Selbstauskunft die Gefahr einer (verwaltungs-)strafrechtlichen Verfolgung birgt und einer Selbstbezichtigung gleichkommt. Das Verweigern jeglicher Kommunikation mit der DSB ist damit vor allem iZm dem Verhältnismäßigkeitsgrundsatz des Art 52 Abs 1 S 2 GRC und der Eignung, Erforderlichkeit und Angemessenheit der konkreten Frage nicht umfasst.

Gemäß Art 58 Abs 2 lit i DSGVO sind Aufsichtsbehörden befugt, eine Geldbuße gemäß Art 83 DSGVO "zusätzlich zu oder anstelle von" anderen in Art 58 Abs 2 DSGVO genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Darüber hinaus ist es Aufsichtsbehörden gestattet, im Fall eines geringfügigeren Verstoßes, oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen. Jedoch kann das gänzliche Unterlassen jeglicher Mitwirkung an der Aufklärung eines Sachverhalts nicht als geringfügiger Verstoß angesehen werden.

Die Strafe scheint in Anbetracht dessen, dass die Schuld als gering anzusehen ist und die Gesellschaft den Aufforderungen der Behörde schließlich doch, wenn auch erheblich verspätet, nachgekommen ist, in der vorgesehenen Höhe nicht zweckmäßig. Es handelte sich auch um den ersten einschlägigen Verstoß der Gesellschaft.

BVwG 30.09.2024, W108 2285483-1

Geldbuße, Videoüberwachung, Kennzeichnung

Die DSB erhielt eine anonyme Anzeige, dass ein Restaurantbetreiber an der straßenseitigen Fassade Kameras installiert habe, welche den öffentlichen Straßenraum filmten. Die DSB leitete daraufhin ein amtswegiges Prüfverfahren gegen den Restaurantbetreiber ein. Der Restaurantbetreiber gab an, die Kameras wegen wiederholter Fensterschäden angebracht zu haben, und legte Unterlagen iZm Einbrüchen und Sachschäden vor. Die DSB stellte einen Verstoß gegen die DSGVO fest und leitete ein Verwaltungsstrafverfahren ein. Die DSB stellte mit Straferkenntnis fest, dass die Kameras öffentliche Straßen erfassten und damit unrechtmäßig personenbezogene Daten verarbeitet wurden. Weiters stellte die DSB einen Verstoß gegen die Informationspflichten gemäß Art 13 DSGVO fest, weil die Kameras nicht gekennzeichnet waren. Aufgrund dieser Verstöße wurde eine Geldstrafe iHv EUR 4.125 verhängt. Über Bescheidbeschwerde des Restaurantbetreibers setzte das BVwG die Geldstrafe auf EUR 1.000 herab.

Das BVwG hat erwogen: Der Restaurantbetreiber brachte ein rechtfertigendes Interesse iSd Art 6 Abs 1 lit f DSGVO vor, weil die Überwachung dem Schutz des Eigentums dienen sollte. Allerdings war der Aufnahmebereich der Kameras überschießend groß gewählt, weil der Kamerawinkel so hätte eingestellt werden können, dass ein kleinerer Bereich des öffentlichen Raums erfasst wird. Da die Geheimhaltungsinteressen der Betroffenen – der zufällig am Restaurant vorbeikommenden Verkehrsteilnehmer – überwiegen, kann sich der Restaurantbetreiber nicht auf Art 6 Abs 1 lit f DSGVO stützen. Der Restaurantbetreiber hat, entgegen seiner Annahme, durch die Videoüberwachung personenbezogene Daten erhoben. Ein an der Glastür des Restaurants angebrachter Hinweisaufkleber über die Videoüberwachung ändert nichts an der Unzulässigkeit der Datenverarbeitung und entspricht zudem nicht den Informationspflichten gemäß Art 12 und 13 DSGVO.

Die Strafbemessung ist eine Einzelfallentscheidung, bei der die Bewertungskriterien des Art 83 Abs 2 DSGVO zu berücksichtigen sind. Da die Videoüberwachung einen erheblichen Teil des öffentlichen Grunds umfasste, handelt es sich jedenfalls um eine erhebliche Anzahl der von der Verarbeitung Betroffenen. Allerdings erstreckte sich der Zeitraum der Überwachung auf weniger als einen Monat und den Betroffenen entstand kein konkreter Schaden. Weiters ist zu berücksichtigen, dass ein (wenn auch unzureichender) Hinweis über die Videoüberwachung vorhanden war. Da der Restaurantbetreiber bisher unbescholten war und Einsicht zeigte, sich nicht ganz rechtskonform verhalten zu haben, ist eine Geldstrafe iHv EUR 1.000 schuld- und tatangemessen.

BVwG 17.10.2024, W274 2291368-1

Datenschutzbehörde, AuskunftspflichtG, amtswegige Verfahren

Eine Lehrerin stellte fest, dass ihre personenbezogenen Daten in einer von der Verantwortlichen angebotenen App verarbeitet wurden. Daraufhin erhob die Lehrerin eine Datenschutzbeschwerde bei der DSB und machte eine Verletzung der Informationspflichten gemäß Art 14 DSGVO geltend. Die Verantwortliche berief sich auf den Ausnahmetatbestand des Art 14 Abs 5 lit b DSGVO, weil die unmittelbare Kontaktaufnahme mit sämtlichen Lehrern einen unverhältnismäßigen Aufwand erfordern würde. Zudem habe sie die Datenschutzerklärung in der App und auf ihrer Website öffentlich zugänglich gemacht.

Die DSB wies die Datenschutzbeschwerde ab, weil alle festgestellten Mängel im Verlauf des Verfahrens behoben worden seien. Der objektive Verstoß gegen Art 14 DSGVO sei in einem amtswegigen Prüfverfahren gemäß Art 58 Abs 1 lit b DSGVO aufzugreifen. Nachdem das BVwG die von der Lehrerin eingebrachte Bescheidbeschwerde abwies, erhob die Lehrerin gegen das Erkenntnis des BVwG eine ordentliche Revision. Nach einer Revisionsbeantwortung der DSB, in welcher erneut auf die amtswegige Prüfung gemäß Art 58 Abs 1 lit b DSGVO hingewiesen wurde, stellte die Lehrerin eine Anfrage an die DSB. Sie wollte wissen, ob wegen des Verstoßes gegen Art 14 DSGVO ein amtswegiges Prüfverfahren oder ein Verwaltungsstrafverfahren eingeleitet wurde und welche Ergebnisse bislang vorlagen.

Die DSB verweigerte die Auskunft mit der Begründung, dass der Verfasser einer Meldung oder eine dritte Person keine Parteistellung in einem amtswegigen Prüf- oder Verwaltungsstrafverfahren habe und daher nicht über den Ausgang solcher Verfahren unterrichtet werde. Nachdem die Lehrerin die Erlassung eines Bescheids gemäß § 4 Auskunftspflichtgesetz (AuskunftspflichtG) beantragte, entschied die DSB in ihrem Bescheid, dass kein berechtigtes Interesse der Lehrerin an der begehrten Auskunft vorliege und das Geheimhaltungsinteresse der Verantwortlichen überwiege. Daher wurde die Auskunft verweigert. Gegen diesen Bescheid erhob die Lehrerin eine (teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Behörden des Bundes sind gemäß § 1 AuskunftspflichtG verpflichtet, über Angelegenheiten ihres Wirkungsbereichs Auskunft zu erteilen, sofern dem keine gesetzliche Verschwiegenheitspflicht entgegensteht. Bei Auskunftsersuchen von Personen, die nicht Partei eines Verfahrens sind, ist eine Interessenabwägung mit dem Recht auf Geheimhaltung gemäß § 1 DSG vorzunehmen. Dabei muss das Interesse des Auskunftswerbers an der Auskunftserteilung das Interesse des im Verfahren Beschuldigten an der Geheimhaltung überwiegen. Dem Interesse der Lehrerin, nähere Auskunft über amtswegige Prüf- und/oder Verwaltungsstrafverfahren zu erhalten, steht das Geheimhaltungsinteresse der Verantwortlichen gegenüber.

Für die Lehrerin sind diese Auskünfte auch im Hinblick auf mögliche weitergehende Ansprüche, wie Unterlassungs- oder Schadenersatzansprüche, relevant. Berücksichtigt man den Umstand, dass die DSB der Lehrerin selbst Hinweise auf mögliche Umstände lieferte, die für die Einleitung eines amtswegigen Prüfverfahrens und eines Verwaltungsstrafverfahrens sprechen könnten, überwiegt das Interesse der Lehrerin an der Beantwortung der Fragen, ob derartige Verfahren eingeleitet wurden, gegenüber dem Interesse der Verantwortlichen. Die Bekanntgabe, ob ein Verfahren eingeleitet wurde, ist keine wesentliche Gefahr für eine öffentliche Diskreditierung.

Über Ergebnisse der Verfahren dürfen hingegen keine Informationen offengelegt werden, wenn die jeweiligen Verfahren noch nicht abgeschlossen sind. Zudem kämen Informationen über Ergebnisse der Verfahren einer Akteneinsicht gleich, die ausschließlich Verfahrensparteien vorbehalten ist.

Solange Werbemittel in noch unbefüllte, unetikettierte Kartons oder Kuverts zB auf einer Packstraße eines Versandhändlers beigelegt werden, findet keine Datenverarbeitung statt ("Beipackwerbung"). Dasselbe gilt auch für das Beilegen von Werbemitteln nach dem Befüllen mit der zu versendenden Ware, sofern das Werbemittel allen und nicht nur einer vorselektierten Auswahl von Adressaten beigelegt wird. Eine Datenverarbeitung findet jedoch statt, wenn die Empfänger des beizulegenden Werbematerials aufgrund einer bestimmten Information über diese Empfänger ausgewählt werden (BVwG 16.10.2024, W287 2258171-1).
Die Daten des Begünstigten eines Sanierungsverfahrens dürfen von einer Kreditauskunftei so lange aufbewahrt werden, bis sie in der Insolvenzdatei gemäß § 256 IO öffentlich publiziert sind. Danach sind solche Daten des Begünstigten von der Kreditauskunftei zu löschen, weil die weitere Verarbeitung dieser Daten die Verwirklichung des Ziels, dem Begünstigten zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, gefährden würde (BVwG 05.11.2024, W292 2247063-1).
Die Voraussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem Grundsatz der "Datenminimierung" zu prüfen, der verlangt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind (BVwG 13.09.2024, W298 2277035-1).
Das Recht auf Geheimhaltung iSd § 1 Abs 1 DSG kann auch im Zuge einer nichtautomatisierten Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen (dh außerhalb des Anwendungsbereich der DSGVO), verletzt werden. Die Entgegennahme eines Einschreibens durch einen Auftragsverarbeiter, mit dem eine Vereinbarung zur Auftragsverarbeitung geschlossen wurde, ist jedoch rechtmäßig (BVwG 23.09.2024, W274 2286029-1).
Der Datenschutz für bereits veröffentlichte Daten unterscheidet sich grundsätzlich nicht vom Schutzumfang von sonstigen personenbezogenen Daten. Die Veröffentlichung einer Stellungnahme im Rahmen eines örtlichen Raumordnungsprogramms ist nicht zu beanstanden. Unzulässig ist jedoch die Veröffentlichung der Stellungnahme gemeinsam mit dem Namen des Einschreiters, auch wenn der Name des Einschreiters öffentlich verfügbar ist (BVwG 23.09.2024, W274 2265096-1).
Anrufe zu Werbezwecken sind ohne vorherige Einwilligung des Nutzers gemäß § 174 Abs 1 TKG 2021 unzulässig (Cold Calling). Eine Ausnahme von der Anwendbarkeit des § 174 Abs 1 TKG 2021 besteht nicht. Bereits der erstmalige Kontakt in Form der telefonischen Einholung der Einwilligung zu einem späteren Werbetelefonat ist als Anruf zu Werbezwecken zu qualifizieren und ist somit unzulässig (BVwG 07.10.2024, W271 2294874-1).
Die Prüfung der Frage, ob es bei der Führung eines datenschutzrechtlichen Beschwerdeverfahrens zu einer Datenschutzverletzung gekommen ist, ist keine Tätigkeit, die der Wahrung der nationalen Sicherheit Eine Datenverarbeitung, die der datenschutzrechtlichen Kontrolle einer disziplinarrechtlichen Kontrolle (allenfalls) militärischen Handelns dient, fällt daher nicht in den Bereich der militärischen Landesverteidigung bzw der nationalen Sicherheit. Die DSGVO ist anzuwenden. Die verantwortliche Stelle nach dem Heeresdisziplinargesetz ist die Disziplinarbehörde (BVwG 31.10.2024, W258 2253618-1).
Die Regelungen des 13 ORF Beitrags Gesetzes 2024 erscheinen dem BVwG sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt, weshalb auch die diesbezüglich gerügte Verfassungswidrigkeit nicht naheliegt. Zudem ist zum entsprechenden Beschwerdevorbringen darauf hinzuweisen, dass sich die Zuständigkeit des BVwG im Kontext datenschutzrechtlicher Anbringen gemäß § 27 Abs 1 DSG auf die Entscheidung über Bescheidbeschwerden gegen Bescheide der DSB beschränkt (BVwG 24.10.2024, W603 2301338-1).
Die Zuständigkeit des BVwG im Kontext mit datenschutzrechtlichen Anbringen beschränkt sich gemäß 27 Abs 1 DSG auf die Entscheidung über Bescheidbeschwerden gegen Bescheide der DSB. Aus diesem Grund ist in einem Verfahren gegen einen Bescheid der ORF-Beitrags Service GmbH über datenschutzrechtliche Bedenken nicht abzusprechen (BVwG 03.10.2024, I415 2296585-1).
Findet eine Verhandlung in Anwesenheit von Parteien statt, ist das Erkenntnis idR mündlich zu verkünden. Wird von den Parteien auf Rechtsmittel verzichtet, kann das Erkenntnis in gekürzter Form ausgefertigt werden (BVwG 06.11.2024, W292 2284079-1).
Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim BVwG sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 06.11.2024, W214 2261322-1).
Wird die Bescheidbeschwerde wegen exzessiver Ausübung des Rechts iSd Art 57 Abs 4 DSGVO abgelehnt, hat der Wiederaufnahmewerber darzutun, dass die Entscheidung des BVwG hinsichtlich dieser Ablehnung der inhaltlichen Behandlung seiner Datenschutzbeschwerde anders gelautet hätte. Kommt dem Wiederaufnahmewerber mangels Obsorge keine Vertretungsbefugnis hinsichtlich seines minderjährigen Sohnes zu, fehlt ihm die Legitimation zum Erheben des Wiederaufnahmeantrags im Namen seines Sohnes (BVwG 06.11.2024, W252 2259204-2).
Die Bescheidbeschwerde kann in jeder Lage des Verfahrens vor dem BVwG zurückgezogen werden. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 10.2024, W108 2281992-1; 11.11.2024, W101 2281202-1).

EU-Rechtsakte

Am 26.11.2024 ist die "Durchführungsverordnung (EU) 2024/2916 der Kommission vom 25. November 2024 zur Festlegung eines Standardformulars für die Daten, die in dem Bericht über die Verarbeitung personenbezogener Daten enthalten sind, der von Dienstleistern gemäß der Verordnung (EU) 2021/1232 des Europäischen Parlaments und des Rates veröffentlicht und der zuständigen Aufsichtsbehörde und der Kommission vorgelegt wird", ABl L 2024/2916, 1, kundgemacht worden. Für die Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste (NIICS) besteht eine vorübergehende Ausnahme von bestimmten Datenverarbeitungsverboten der ePrivacy RL 2002/58 zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet (VO 2021/1232). Die NIICS – darunter versteht man zB Anbieter von Internet-Sprachtelefonie, Messaging-Diensten und webgestützten E-Mail-Diensten – trifft eine Jahresberichtspflicht über ihre Datenverarbeitungstätigkeit zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet. Mit der DurchführungsVO 2024/2916 hat die Kommission ein Standardformular zum Erstellen dieses Jahresberichts festgelegt.
Am 26.11.2024 ist die "Durchführungsverordnung (EU) 2024/2545 der Kommission vom 24. September 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Muster und Verfahren für die Zusammenarbeit und den Informationsaustausch zwischen zuständigen Behörden", ABl L 2024/2545, 1, kundgemacht worden. Festgelegt werden technische Durchführungsstandards für die Behördenkooperation hinsichtlich der Regulierung der Märkte für Kryptowerte.

Nationale Rechtsakte

Am 27.11.2024 ist die "Verordnung des Bundesministers für Finanzen zur vierzehnten Änderung der FinanzOnline-Verordnung 2006", BGBl II 2024/325, kundgemacht worden. Neu geregelt wird ua die Teilnahme an FinanzOnline.

Vorschau EuGH Rechtsprechung

Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

November 2024

06.11. | 13.11. | 20.11. | 28.11.

Datenschutzmonitor 28.11.2024

Rechtsprechung des EuGH

EuGH 21.11.2024, C-336/23, Hrvatska pošta

PSI 2-RL, Dokumentenzugang

Die kroatische Post (HP), ein zu 100% von der Republik Kroatien gehaltenes Unternehmen, das den Universalpostdienst in Kroatien anbietet und auch kommerzielle Tätigkeiten ausübt, lehnte einen Antrag auf Bereitstellung von Bauverträgen, vorläufigen Abrechnungen und Protokollen über die Übergabe einer Immobilie ab, der auf der RL 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (PSI 2-RL) und dem kroatischen Gesetz über das Recht auf Zugang zu Informationen beruhte.

Dagegen wurde Beschwerde beim Informationsbeauftragten eingelegt, der HP anwies, dem Antrag stattzugeben. HP erhob Klage beim "Hohen Verwaltungsgericht", das die Sache zur erneuten Prüfung an den Informationsbeauftragten zurückverwies. Der Informationsbeauftragte bestätigte seine Anweisung, woraufhin HP erneut beim Hohen Verwaltungsgericht klagte, das den EuGH um Vorabentscheidung ersuchte. Die Vorlagefragen befassten sich insb damit, (i) ob unter "Weiterverwendung von Informationen" iSd PSI 2-RL der Zugang zu allen Informationen eines öffentlichen Unternehmens gemeint ist und ob diese bereitzustellen sind, (ii) auf welche Informationen im Besitz eines öffentlichen Unternehmens die Bereitstellungspflicht anwendbar ist, sowie (iii) unter welchen Voraussetzungen und unter welchen Einschränkungen Informationen offenzulegen sind.

Der EuGH hat erwogen: "Weiterverwendung" bedeutet die Nutzung von Dokumenten für kommerzielle oder nicht kommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags oder dem Zweck der Erbringung von Dienstleistungen von allgemeinem Interesse unterscheiden, für den die Dokumente erstellt wurden. "Weiterverwendung" setzt zwar einen Zugang zu den betreffenden Dokumenten voraus, gleichwohl handelt es sich um zwei offensichtlich unterschiedliche Vorgänge. Die PSI 2-RL regelt die Weiterverwendung vorhandener Dokumente, die im Besitz öffentlicher Stellen und öffentlicher Unternehmen der Mitgliedstaaten sind, ohne jedoch eine Pflicht in Bezug auf den Zugang zu Dokumenten vorzusehen. Die PSI 2-RL gilt nicht für Dokumente, für die nach den Zugangsregelungen der Mitgliedstaaten der Zugang ausgeschlossen oder eingeschränkt ist. Die PSI 2-RL gewährt kein Recht auf Zugang zu Dokumenten des öffentlichen Sektors, sondern setzt ein solches Recht im Recht der Mitgliedstaaten oder im Unionsrecht voraus. Die Voraussetzungen für den Zugang zu diesen Dokumenten fallen nicht in ihren Anwendungsbereich.

Rechtsprechung des OGH

OGH 05.11.2024, 14Os14/24a

ANOM, SKY ECC, Verwertungsverbot

Der Verurteilte eines Strafverfahrens wurde wegen mehrerer Verbrechen des Suchtgifthandels und seiner Mitgliedschaft in einer kriminellen Vereinigung für schuldig erkannt. Die kriminelle Vereinigung nutzte verschlüsselte Kommunikationsdienste wie ANOM und SKY ECC, um ihre Aktivitäten zu koordinieren. Der Verurteilte brachte gegen das ihn ergehende Urteil eine (erfolglose) Nichtigkeitsbeschwerde an den OGH ein und behauptete darin, dass die Verwendung des digitalen Datenmaterials betreffend die Krypto-Messenger-Dienste gegen einfach- und verfassungsgesetzliche Vorschriften, den Grundsatz der Verhältnismäßigkeit sowie gegen primäres und sekundäres Unionsrecht verstoßen würde. Die Überwachung verschlüsselter Kommunikationen sei in Österreich gesetzlich nicht vorgesehen.

Der OGH hat erwogen: Auf die Tätigkeit ausländischer Behörden beziehen sich die inländischen Verfahrensgesetze nicht. Die StPO kennt keine generellen Verwendungsbeschränkungen für Beweismittel, die durch ausländische Behörden erlangt wurden. Sofern in der Beweisverwendung nicht selbst eine Grundrechtsverletzung liegt, ist die Vorlage von Beweisen, die ohne gesetzliche Regelung gewonnen wurden, nicht zwingend unzulässig. Ein Beweisverwendungsverbot besteht, wenn bei der Beweiserhebung ein fundamentaler Verfahrensgrundsatz verletzt wurde, etwa durch eine gravierende Menschenrechtsverletzung. Ein Beweisverwendungsverbot für durch ausländische Behörden erlangte Beweismittel besteht, wenn gegen rechtsstaatliche Mindeststandards oder völkerrechtliche Garantien verstoßen wurde.

Die Staatsanwaltschaft wertete Daten aus, die sie zuvor vom Federal Bureau of Investigation (FBI) erhielt, und stellte fest, dass der Verurteilte ANOM-Mobiltelefone nutzte, welche in mutmaßliche kriminelle Organisationen eingeschleust wurden und nach Angaben des FBI von 100% der Nutzer für kriminelle Zwecke genutzt wurden. Die Daten mit der Information, dass der Verurteilte SKY ECC-Mobiltelefone verwendete, wurden dem österreichischen Bundeskriminalamt – durch Europol koordiniert – von ausländischen Behörden aufgrund einer Europäischen Ermittlungsanordnung (EEA) übermittelt. Die Sicherstellung und Entschlüsselung dieser Daten erfolgte weder durch noch unter Beteiligung österreichischer Strafverfolgungsorgane. Diesen wurden lediglich die Ergebnisse der Überwachung übermittelt.

Ein Beweisverwertungsverbot ergibt sich nicht allein daraus, dass die Überwachung verschlüsselter Nachrichten in der österreichischen Rechtsordnung nicht vorgesehen ist. Zudem wurden die ANOM-Telefone gezielt an mutmaßliche Mitglieder von kriminellen Vereinigungen ausgegeben, wobei der Verwendungszweck nicht die Erlangung von Daten aus dem persönlichen Lebensbereich jener Personen war. Der Eingriff in das Recht auf Privatleben tritt sohin hinter das öffentliche Interesse an der Aufklärung derartiger Formen von Schwerkriminalität zurück.

Die Annahme, dass von ausländischen Behörden gewonnene Beweisergebnisse jedenfalls nicht in inländischen Strafverfahren verwendet werden dürfen, ist nicht zutreffend. Eine Verletzung der Verständigungspflicht nach Art 31 Abs 1 RL-EEA durch die ausländischen Behörden nimmt den österreichischen Behörden zwar die Möglichkeit, Überwachungsmaßnahmen auf österreichischem Hoheitsgebiet zu unterbinden (vgl § 55d Abs 7 EU-JZG). Daraus lässt sich aber nicht unmittelbar ein Verbot der Verwendung dadurch erlangter Beweismittel ableiten.

Eine Europäische Ermittlungsanordnung zur Überwachung verschlüsselter Nachrichten darf von österreichischen Behörden nach 55a Abs 1 Z 13 EU-JZG nicht vollstreckt werden, wenn sie in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Die österreichische Staatsanwaltschaft muss die ausstellende Behörde informieren, dass die Überwachung nicht durchgeführt werden kann oder zu beenden ist und die Ergebnisse nicht verwendet werden dürfen. Der EuGH hat entschieden, dass die Überwachung verschlüsselter Kommunikation vom Begriff "Überwachung des Telekommunikationsverkehrs" erfasst ist und das Schutzniveau des Mitgliedstaats nicht unterlaufen werden darf. Es ist jedoch Sache des nationalen Gesetzgebers, die Zulässigkeit der Verwendung unionsrechtswidrig erlangter Beweise unter Beachtung grundrechtlicher Anforderungen an die Fairness des Verfahrens zu regeln. Im fortgesetzten Verfahren wird zu klären sein, ob ausländische Strafverfolgungsbehörden die von ihnen zur Verfügung gestellten Kommunikationsdaten auf eine Weise erlangten, die ein Vollstreckungshindernis nach § 55a Abs 1 Z 1 bis 5, 8 oder (insbesondere) 13 EU-JZG begründen würde (OGH 13.11.2024, 11Os129/24s).
Ermittlungsmaßnahmen von ausländischen Behörden ohne Veranlassung inländischer Strafverfolgungsbehörden sind keine Ergebnisse einer nach dem fünften Abschnitt des achten Hauptstücks der StPO durchgeführten Ermittlungsmaßnahme. Vor diesem Hintergrund findet das in § 140 Abs 1 StPO normierte Verwertungsverbot keine Anwendung auf die Ergebnisse (OGH 05.11.2024, 14Os100/24y).

Rechtsprechung des BVwG

BVwG 25.10.2024, W108 2285546-1

Geldbuße, sensible Daten, Verschulden, Strafzumessung

Die Sekretärin der Bundesorganisation einer politischen Partei versendete eine E-Mail für eine politische Kampagne. Den E-Mail-Verteiler mit ca 400 E-Mail-Adressen, davon zumindest 100 personalisierte E-Mail-Adressen, fügte sie versehentlich statt ins "An-Feld" ins "bcc-Feld" ein. Die E-Mail-Adressen stammten aus öffentlich zugänglichen Quellen.

Die DSB verhängte eine Geldbuße iHv EUR 50.700 gegen die politische Partei, weil durch den Versand der E-Mail politische Meinungen und weltanschauliche Überzeugungen offengelegt worden seien. Aufgrund der Bescheidbeschwerde der politischen Partei setzte das BVwG die Geldbuße auf EUR 28.000 herab.

Das BVwG hat erwogen: Sensible Daten können aus einer Information auch mittelbar hervorgehen. Der Inhalt der E-Mail erweckte den Eindruck, dass die E-Mail-Empfänger sich der politischen Partei angeschlossen haben. Dadurch wurde ihnen eine (vermeintliche) politische Überzeugung zugeschrieben. Für die zumindest 100 Personen deren E-Mail-Adressen personalisiert waren, liegt aufgrund der Offenlegung der E-Mail-Adressen das Gefahrenpotenzial der Benachteiligung oder Verfolgung vor.

Nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft begangen hat, können zur Verhängung einer Geldbuße führen. Verschulden liegt aber bereits dann vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt. Die politische Partei konnte sich über die Rechtswidrigkeit der Offenlegung von E-Mail-Adressen nicht im Unklaren sein.

Im Gegensatz zur Bestimmung der Bußgeldobergrenze ist für die Strafzumessung nicht der Umsatz im letzten abgeschlossenen Geschäftsjahr vor Erlass des Straferkenntnisses, sondern die im Entscheidungszeitpunkt des BVwG aktuelle Einkommens- und Vermögenslage der politischen Partei zu berücksichtigen. Nur so kann die Verhältnismäßigkeit der Geldbuße und die wirtschaftliche Überlebensfähigkeit gewährleistet werden. Anm: Entgegen der klaren Rechtsprechung des EuGH hat das BVwG das Schuldprinzip teilweise abgeschafft. Der Rechtsstaat gerät zunehmend unter die Datenschutzräder.

BVwG 13.09.2024, W252 2277317-1

Tonbandaufnahme, Scheidung, berechtigtes Interesse

Im Zuge von ehelichen Auseinandersetzungen fertigte ein Ehemann über einen Zeitraum von neun Monaten punktuell heimlich Tonbandaufnahmen von mit seiner Ehefrau geführten Streitgesprächen an, um diese ggf in einem streitigen Scheidungsverfahren vorlegen zu können (was schließlich auch – zumindest teilweise – geschah). Die Ehefrau erachtete sich in ihrem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB ein, welche von dieser als unbegründet abgewiesen wurde. Hiergegen erhob die Ehefrau erfolgreiche Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ("Haushaltsausnahme"). Entscheidend ist, dass der Datenumgang im ausschließlich privaten Aktionskreis stattfindet. Die Aufnahmen – obwohl in einem familiären Umfeld wurzelnd – waren mit dem Zweck angefertigt worden, diese ggf in einem streitigen Scheidungsverfahren als Beweismittel vorzulegen. Insofern fiel diese Datenverarbeitung nicht unter die Haushaltsausnahme.

Die Verarbeitung personenbezogener Daten ist gemäß § 6 Abs 1 lit f DSGVO unter drei kumulativen Voraussetzungen rechtmäßig. Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Die Durchsetzung von Rechtsansprüchen – wie hier im Rahmen einer Scheidung – kommt jedenfalls als berechtigtes Interesse in Frage. Es war dem Ehemann auch nicht möglich, in zumutbarer Weise seine Scheidungsklage ebenso wirksam mit anderen Mitteln – zB einem "Streittagebuch" – zu untermauern. Dies auch deswegen, weil die Scheidungsklage gerade mit den "provokanten Äußerungen, gehässigen Wortmeldungen und Beschimpfungen" der Ehefrau begründet wurde, welche ohne Tonaufnahmen kaum belegbar gewesen wären.

Das Verhalten der Ehefrau war dem Begriff "Psychoterror" jedoch (noch) nicht zuzuordnen. Das Interesse der Ehefrau, dass ihre gesprochenen Worte in den eigenen vier Wänden nicht aufgenommen werden, ist sehr hoch. Die Anfertigung der Tonbandaufnahmen war datenschutzrechtlich unzulässig, weil das Geheimhaltungsinteresse der Ehefrau überwog.

Rechtsanwalt, Rechtsdurchsetzung, berechtigtes Interesse

BVwG 30.09.2024, W256 2248861-1

Ein Ehemann fertigte mit einer im Garten des Hauses seiner Ehefrau montierten Kamera Fotos an, die sie bei intimen Handlungen mit einem anderen Mann zeigten. Im Rahmen der Korrespondenz zur Vorbereitung auf die Scheidung vermutete die Ehefrau, ihr Mann hätte noch Zugriff auf die Kamera und verlangte über ihren Rechtsvertreter die Herausgabe von angefertigten Fotos. Die Fotos wurden vom Rechtsvertreter des Ehemanns in einer ZIP-Datei per Mail an den Rechtsvertreter der Ehefrau übermittelt. Nach Ansicht der Ehefrau erfolgte die Verarbeitung der Fotos ohne ihre Einwilligung und die Übermittlung durch den Rechtsvertreter ohne geeignete Schutzmaßnahmen. Wegen der Verletzung ihres Rechts auf Geheimhaltung brachte sie Datenschutzbeschwerde bei der DSB ein. Gegen den abweisenden Bescheid brachte sie Bescheidbeschwerde beim BVwG ein, welches diese abwies.

Das BVwG hat erwogen: Rechtsanwälte sind nach § 9 Abs 1 RAO in der Ausübung ihres Mandats unabhängig und entscheiden über Zwecke und Mittel der diesbezüglichen Datenverarbeitung selbst. Sie sind eigenständige Verantwortliche iSd Art 4 Z 7 DSGVO.

Der Anspruch auf Geheimhaltung gemäß § 1 Abs 1 DSG kann gemäß § 1 Abs 2 DSG nur durch eine Datenverarbeitung eingeschränkt werden, die rechtmäßig ist und in der gelindesten zum Ziel führenden Art vorgenommen wird. Die in der DSGVO verankerten Grundsätze sind bei der Auslegung des Rechts auf Geheimhaltung zu berücksichtigen. Das Prinzip der Datenminimierung in Art 5 Abs 1 lit c DSGVO sieht eine Beschränkung der Datenverarbeitung auf das notwendige Maß vor. Eine Datenverarbeitung ist dann nicht notwendig, wenn die Verarbeitung der Daten weggedacht, die Zweckerreichung dabei aber nicht erschwert wird.

Eine Verarbeitung nach Art 6 Abs 1 lit f DSGVO ist zulässig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen des Betroffenen nicht überwiegen. Die Interessen des Betroffenen überwiegen insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen der Betroffene nicht mit einer Verarbeitung rechnen muss.

Die Verfolgung, Durchsetzung und Verteidigung von Rechtsansprüchen gemäß Art 9 Abs 2 lit f DSGVO ist ein von der DSGVO anerkanntes, berechtigtes Interesse. Darunter fallen auch Datenverarbeitungen zur außergerichtlichen Geltendmachung von Ansprüchen. Der Erlaubnistatbestand ist ein Sonderfall des berechtigten Interesses und erlaubt auch die Verarbeitung sensibler Daten. Die effektive Rechtsdurchsetzung des Einzelnen hat Vorrang vor den Interessen betroffener Personen am Schutz ihrer Daten.

Die Datenverarbeitung erfolgte im Zuge außergerichtlicher Scheidungsverhandlungen über Begehren der Ehefrau. Der Rechtsanwalt des Ehemanns handelte bei der Übermittlung sämtlicher Fotos im Sinne seines Mandanten zum Zweck der Rechtsverteidigung. Durch das Anfordern des gesamten Bildmaterials war es erforderlich alle Daten zu übermitteln. Da von einer Bildverarbeitung im Aufforderungsschreiben ausgegangen wurde, konnte die Datenverarbeitung auch nicht überraschend sein. Die vorzunehmende Interessenabwägung geht daher zu Gunsten des Rechtsanwaltes aus.

Rechtsprechung des BFG

Aus der Rechtsprechung des BFG:

Eine den Verfahrensgesetzen entsprechende Verwendung personenbezogener Daten, auch wenn es sich um Gesundheitsdaten handelt, ist grundsätzlich auch aus datenschutzrechtlicher Sicht zulässig (BFG 26.09.2024, RV/5101151/2020).

Rechtsprechung der BDB

Aus der Rechtsprechung der BDB:

Die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz (§ 1 DSG) zu durchbrechen, wird von einem Beamten dann missbräuchlich in Anspruch genommen, wenn eine Datenbankabfrage ohne dienstliche Rechtfertigung erfolgt. Nach der Rechtsprechung des OGH führt der Befugnismissbrauch bei deliktspezifischem Schädigungsvorsatz zu einer strafrechtlichen Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch), ohne dass an sich ein tatsächlicher Schadenseintritt erforderlich wäre. Durch den OGH wird bereits in der Verletzung des Grundrechts auf Datenschutz durch eine missbräuchliche Datenermittlung die konkrete Schädigung des Betroffenen/der Betroffenen erblickt (BDB 09.2024, 2024-0.266.730; 17.10.2024, 2023-0.246.270; 21.10.2024, 2022-0.607.066).

EU-Rechtsakte

Am 18.11.2024 ist "Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über die Haftung für fehlerhafte Produkte und zur Aufhebung der Richtlinie 85/374/EWG des Rates", ABl L 2024/2853, 1, kundgemacht worden. Die Richtlinie legt Vorschriften über die Haftung von Wirtschaftsakteuren für Schäden, die natürlichen Personen durch fehlerhafte Produkte entstanden sind, fest. Unter "Produkte" sind auch "digitale Konstruktionsunterlagen" und in Produkte integrierte digitale Dienste zu verstehen.
Am 20.11.2024 ist die "Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung)", ABl L 2024/2847, 1, kundgemacht worden. Die Verordnung beinhaltet Vorschriften zur Gewährleistung der Cybersicherheit von Produkten mit digitalen Elementen.

Nationale Rechtsakte

Am 21.11.2024 hat das Bundesland Niederösterreich, LGBl 2024/65, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Vorschau EuGH-Rechtsprechung

Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

Datenschutzmonitor 20.11.2024

Rechtsprechung der Justiz

Eine auf Überwachung verschlüsselter Nachrichten nach vorheriger Installation eines (Entschlüsselungs-)Programms auf den Mobiltelefonen der Nutzer ohne deren Kenntnis gerichtete Europäische Ermittlungsanordnung eines anderen Mitgliedstaats dürfte von österreichischen Behörden nach § 55a Abs 1 Z 13 EU-JZG nicht vollstreckt Wird eine österreichische Staatsanwaltschaft über eine solche Ermittlungsmaßnahme unterrichtet, hat sie der ausstellenden Behörde mitzuteilen, dass die Überwachung nicht durchgeführt werden kann oder zu beenden ist und bereits gesammelte Ergebnisse der Überwachung von Nachrichten nicht verwendet werden dürfen. Mit dieser Regelung hat der Gesetzgeber ein unbedingtes Beweisverwertungsverbot geschaffen (OGH 05.11.2024, 14Os107/24b).
Eine Rechtsanwaltsgesellschaft klagte eine Rechtsanwalts OG und ihre persönlich haftenden Gesellschafter wegen eines Verstoßes gegen § 1 und 2 UWG auf Unterlassung, weil die Rechtsanwalts OG unrichtig behauptet habe, keine Cookies auf ihrer Website zu verwenden und durch diese Nichteinhaltung der DSGVO sich gegenüber der klagenden Rechtsanwaltsgesellschaft einen Wettbewerbsvorteil verschafft habe. Im Beschluss des OLG Wien geht es nur um den Kostenrekurs der Rechtsanwaltsgesellschaft. Aus dem Beschluss geht jedoch klar hervor, dass die Unterlassungsklage der Rechtsanwaltsgesellschaft keinen Erfolgt hatte (OLG Wien 07.11.2024, 33R132/24k).

Rechtsprechung des BVwG

BVwG 22.10.2024, W252 2286224-1

Eltern-App, Haushaltsausnahme, Familienleben

Eine Mutter installierte eine Handy-App auf dem Handy ihrer Tochter, welche die Ortung des Geräts und die Aufnahme von Umgebungsgeräuschen ermöglichte. Durch die App fühlte sich ihr Ex-Mann (Kindsvater) in seinem Recht auf Geheimhaltung verletzt, weil die App auch seine Standortdaten und Daten aus seinem beruflichen Umfeld erfasse. Dagegen brachte er Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde sowohl hinsichtlich der Standortdaten als auch der Umgebungsgeräusche ab, ua weil die Aufnahmefunktion der App betreffend Umgebungsgeräusche nicht genutzt wurde. Der Ex-Mann erhob eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO ist gemäß Art 2 Abs 2 lit c DSGVO ("Haushaltsausnahme") auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten nicht anwendbar. Erfasst von der Ausnahme sind Tätigkeiten, die zum Privat- oder Familienleben von Privatpersonen zählen.

Ein Zugänglichmachen von Daten einer unbegrenzten Zahl von Personen oder Verarbeitungen, die sich teilweise auf den öffentlichen Raum erstrecken, fallen nicht unter diese Ausnahme. Die Verarbeitung muss im privaten Aktionskreis stattfinden. Der Verantwortliche und die betroffene Person müssen aber nicht im selben Haushalt zusammenleben.

Entscheidend ist der rein private Zweck der Verarbeitungstätigkeit. Die Kriterien "persönlich" und "familiär" beziehen sich auf die Tätigkeiten der Person, die personenbezogene Daten verarbeitet, nicht aber auf die Person, deren Daten verarbeitet werden.

Die Auslegung der Kriterien "persönlich" und "familiär" erfolgt nach der Verkehrsanschauung. Darunter fallen unter anderem die Freizeitgestaltung, Hobbies und die Anfertigung von Urlaubsaufnahmen zu rein privaten Unterhaltungszwecken. Der Begriff "Familie" ist unabhängig von der strengen familienrechtlichen Definition im Einzelfall zu beurteilen. Daher können auch andere von Ehe und Kindschaft abweichende Beziehungen umfasst sein.

Die Unterstützung des eigenen Kindes bei der Orientierung in einer neuen Stadt oder die Erhöhung der Sicherheit, aber auch die Erhöhung des Sicherheitsgefühls der Eltern kann unter den Begriff persönliche und familiäre Tätigkeit fallen. Von der Ausnahme sind auch Datenverarbeitungen erfasst, die nebenbei das Privatleben anderer Personen betreffen oder betreffen können. Die durch eine Ortung erlangte Information, wonach sich das Kind in Sicherheit beim Kindesvater befindet, fällt ebenfalls unter die Ausnahme.

Die Haushaltsausnahme dient der Erleichterung der Ausübung des Grundrechts auf Familienleben gemäß Art 8 EMRK und ist auf das DSG anzuwenden.

Die Verarbeitung der Standortdaten fiel in die Haushaltsausnahme, weshalb die DSGVO und das DSG nicht anzuwenden waren. Die Bescheidbeschwerde war daher abzuweisen, aber mit der Maßgabe, dass die DSB die Datenschutzbeschwerde hinsichtlich der Standortdaten wegen Unzuständigkeit zurückzuweisen gehabt hätte.

Hinsichtlich der Umgebungsgeräusche war die Bescheidbeschwerde abzuweisen, weil diese Funktion der App nicht genutzt wurde und somit die Datenverarbeitung nicht stattgefunden hat.

Rechtsprechung der LVwG

Die Auskunftspflichtigen iSd Bundesstatistikgesetzes sind verpflichtet, vollständig, rechtzeitig und nach bestem Wissen Auskunft über jene Daten, die Erhebungsmerkmal der angeordneten statistischen Erhebung sind, zu erteilen. Die Verletzung der Mitwirkungspflicht an der Mikrozensuserhebung ist strafbewehrt (LVwG Tirol 27.09.2024, LVwG-2024/27/1740-4).

Rechtsprechung der BDB

BDB 29.05.2024, 2023-0.604.684

Dienstpflichtverletzung durch Datenabfrage, AIS

Eine beim Finanzamt tätige Beamtin bewarb sich bei einem internen Besetzungsverfahren für eine Führungsfunktion, woraufhin eine notwendige systematische Analyse hinsichtlich dienstlich unbegründeter Datenbankzugriffe durchgeführt wurde. Dabei konnten 120 Zugriffe auf ihre eigenen Steuerdaten festgestellt werden. Daraufhin wurden weitere Ermittlungen vorgenommen, um mögliche dienstlich unbegründete Datenbankzugriffe zu analysieren. Hierbei stellte sich heraus, dass die Beamtin ohne dienstliche Veranlassung auf zahlreiche Steuerdatensätze im Abgabeninformationssystem der Finanzverwaltung (AIS) ihrer Familienmitglieder und Nachbarn aus ihrer Heimatgemeinde zugegriffen hat. Bei einer Befragung bestätigte die Beamtin ihre Zugriffe und dass keine dienstliche Veranlassung für diese Zugriffe vorlag. Sie führte aus, dass sie die Abfragen auf Verlangen der jeweiligen Personen durchgeführt habe. Während die Beamtin ihrer schriftlichen Stellungnahme unterzeichnete Erklärungen von neun abgefragten Personen beilegte, in denen sie angaben, die Abfragen selbst veranlasst zu haben, fehlte die Einverständniserklärung zweier Nachbarn. Diese teilten mit, dass sie die Beamtin um keine Auskunft gebeten haben und mit der Abfrage nicht einverstanden waren, weshalb sie sich in ihrem Recht auf Datenschutz verletzt fühlten. Das bei der Staatsanwaltschaft anhängige Verfahren wurde mit einer Diversion beendet.

Die BDB hat erwogen: Die Beamtin hat die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz gemäß § 1 DSG zu durchbrechen, missbräuchlich in Anspruch genommen, weil keine dienstliche Rechtfertigung vorlag. Dadurch hat sie die Personen, die mit der Abfrage nicht einverstanden waren, in ihrem Recht auf Datenschutz verletzt. Die Datenzugriffe durch die Beamtin sind Weisungsverstöße gemäß § 44 BDG 1979. Abfragen im AIS dürfen nämlich lediglich im Zuge eines Amtsgeschäfts, also bei einer dienstlichen Veranlassung, erfolgen. Zudem ist die Beamtin durch ihr Naheverhältnis zu den Familienangehörigen und Nachbarn befangen iSd § 47 BDG, weshalb die Vornahme eines Amtsgeschäfts in Bezug auf diese Daten von vornherein untersagt war.

Im Hinblick auf die Datenabfrage ihrer eigenen Steuerdaten liegt ein Verstoß gegen § 47 BDG iVm § 76 BAO und § 7 AVG vor. Die Beamtin hat schuldhaft und zumindest mit bedingtem Vorsatz gehandelt, weil aufgrund ihres Verwandtschaftsverhältnisses bzw durch das bestehende Naheverhältnis zu ihren Nachbarn keine dienstliche Notwendigkeit für die Abfragetätigkeit vorlag. Die Beamtin hat die Dienstanweisungen nicht eingehalten und die gesetzlich normierte Bestimmung der Befangenheit missachtet. Vor diesem Hintergrund war gegen die Beamtin wegen Dienstpflichtverletzung eine Disziplinarstrafe zu verhängen.

Fragt eine Teamleiterin der Finanzverwaltung ihre eigenen Steuerdaten ab, begeht sie eine Dienstpflichtverletzung. Das ist ihr auch vorwerfbar, denn eine Teamleiterin hat über die Sensibilität und Problematik des Datenschutzes bestens informiert zu sein (BDB 23.04.2024, 2024-0.002.580).

Rechtsakte

Am 11.11.2024 ist die "Richtlinie (EU) 2024/2831 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit", ABl L 2024/2831, 1, kundgemacht worden (Plattformarbeit-RL). Ziel der Plattformarbeit-RL ist neben den Arbeitsbedingungen auch den Schutz personenbezogener Daten in der Plattformarbeit (Arbeit, die über eine digitale Arbeitsplattform organisiert ist) zu verbessern.
Am 11.11.2024 wurde ein Erlass der Bundesministerin für Justiz "zur Gewährleistung einer verfassungs- und unionsrechtskonforme Rechtsanwendung bei der Sicherstellung und Auswertung von Datenträgen im Hinblick auf das VfGH-Erkenntnis G 352/2021-46 und das EuGH-Urteil C-548/21" (Handyauswertung) veröffentlicht.

Vorschau EuGH-Rechtsprechung

Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

Datenschutzmonitor 13.11.2024

Rechtsprechung des VwGH

Ist einem Löschungsersuchen durch Löschung der Bewerbungsdaten bereits entsprochen worden, ist eine auf Löschung dieser Daten gerichtete Revision an den VwGH unzulässig (VwGH 16.10.2024, Ra 2022/04/0151).
Die Veröffentlichung einer Stellungnahme samt Name und Wohnanschrift durch eine Behörde im Internet kann nicht auf die Wahrnehmung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden (VwGH 16.10.2024, Ra 2022/04/0140).
In Verwaltungsstrafverfahren ist – trotz des Offizialprinzips – dort, wo es der Behörde nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, von einer Mitwirkungspflicht der Partei auszugehen. In solchen Fällen hat die Partei betriebsbezogene oder personenbezogene Umstände mitzuteilen (VwGH 09.10.2024, Ra 2024/06/0161).

Rechtsprechung des BVwG

BVwG 30.09.2024, W603 2297646-1

Eine GmbH führte Telefonate durch, um Kunden zu akquirieren und Termine für einen Vertreterbesuch zum Verkauf von Sicherheitstechniken zu vereinbaren. Einer der Angerufenen zeigte kein Interesse, erteilte keine Einwilligung zu diesem Anruf und zeigte die GmbH beim Fernmeldebüro an. Das Fernmeldebüro verhängte eine Geldstrafe gegen den alleinvertretungsbefugten Geschäftsführer der GmbH, weil dieser gegen das Verbot des Cold Calling verstoßen hat (§ 174 Abs 1 iVm § 188 Abs 6 Z 9 TKG 2021) und sprach die Solidarhaftung des Unternehmens aus. Der Geschäftsführer brachte dagegen eine Bescheidbeschwerde beim BVwG ein und beantragte die Aufhebung des Straferkenntnisses bzw die Herabsetzung der verhängten Strafe. Der Geschäftsführer bestritt, dass es sich um einen Werbeanruf handelte, weil der Angerufene seine Telefonnummer bei der Herold Business Data GmbH hinterlegt habe, was eine konkludente Einwilligung darstelle. Zudem habe der Anruf nur dazu gedient, die Einwilligung zur Werbung zu erlangen.

Das BVwG hat erwogen: Anrufe zu Werbezwecken ohne vorherige Einwilligung des Nutzers sind gemäß § 174 Abs 1 TKG 2021 unzulässig (Cold Calling). Den Ausführungen des Geschäftsführers, es habe sich um keinen Werbeanruf gehandelt, kann nicht gefolgt werden. Der Begriff der Werbung ist weit auszulegen und bereits der erstmalige Kontakt in Form der telefonischen Einholung der Einwilligung zu einem späteren Werbetelefonat ist als Anruf zu Werbezwecken zu qualifizieren und somit unzulässig. Bei dem Anruf durch die GmbH handelt es sich somit um einen Werbeanruf, welcher für seine Zulässigkeit der vorherigen Einwilligung gemäß § 174 Abs 1 TKG 2021 bedurft hätte.

Mangels fehlender Definition des Einwilligungsbegriffs im TKG 2021 ist auf Art 4 Z 11 DSGVO zurückzugreifen. Da eine Eintragung von Kontaktinformationen in Telefonbüchern keine konkludente Einwilligung zum Empfang von Werbung ist und der Angerufene auch durch keine ausdrückliche Willenserklärung eine Einwilligung erteilte, ist der GmbH keine Einwilligung iSd § 174 Abs 1 TKG 2021 erteilt worden.

Zudem wird in den AGB der Herold Business Data GmbH darauf hingewiesen, dass die Bereitstellung der Rufnummern im Teilnehmerverzeichnis nicht auf die Zustimmung zum Erhalt von Werbeanrufen schließen lässt.

Cold Calling ist ein Ungehorsamsdelikt, sodass bereits fahrlässiges Verhalten für die Strafbarkeit ausreicht. Der Geschäftsführer hat kein wirksames Kontrollsystem eingerichtet und hat Übertretungen des § 174 Abs 1 TKG 2021 im Unternehmen gefördert. Der Geschäftsführer hat sich nicht über die Rechtslage erkundigt, was ebenfalls als Verschulden zuzurechnen ist. Bei der Bemessung der Strafe ist § 19 VStG heranzuziehen, weshalb das geschützte Rechtsgut – hier die Privatsphäre von natürlichen Personen, der Schutz vor Belästigungen und unerbetenen Nachrichten – und die Intensität seiner Beeinträchtigung zu beachten sind. Zudem sind Erschwerungs- und Milderungsgründe sowie die Einkommens- und Vermögensverhältnisse zu berücksichtigen. Die verhängte Geldstrafe ist somit tat- und schuldangemessen.

Die Bescheidbeschwerde kann in jeder Lage des Verfahrens vor dem BVwG zurückgezogen werden. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 09.10.2024, W274 2284620-1).

Leitlinien

EDPB Report on the first review of the European Commission Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework (2024)

Der Europäische Datenschutzausschuss (EDSA) hat einen Bericht über die erste Überprüfung des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) veröffentlicht. Bewertet wurden insbesondere die kommerziellen Aspekte des DPF und der Zugang der US-Behörden zu personenbezogenen Daten, die an DPF-zertifizierte Organisationen übermittelt werden.

Der EDSA stellte fest, dass das US-Handelsministerium den Zertifizierungsprozess für US-Unternehmen umgesetzt hat. Das implementierte mehrstufige Beschwerdesystem bietet EU-Bürgern leicht zugängliche Beschwerdemöglichkeiten. Aufgrund der wenigen Beschwerden empfiehlt der EDSA jedoch, dass das Handelsministerium und die Federal Trade Commission (FTC) die Einhaltung der DPF-Grundsätze bei zertifizierten Organisationen verstärkt von Amts wegen überwachen. Außerdem soll das Handelsministerium Leitlinien für DPF-zertifizierte Unternehmen zur Datenübermittlung an Drittländer erstellen und den in der EU und den USA unterschiedlich ausgelegten Begriff "Personaldaten" ("HR Data") klären.

Der EDSA anerkennt die Aktualisierung der Richtlinien und Verfahren der US-Geheimdienste zur Umsetzung der Prinzipien der Notwendigkeit und Verhältnismäßigkeit, fordert die Europäische Kommission aber auf, die Umsetzung dieser Prinzipien weiterhin zu überwachen. Insbesondere begrüßt der EDSA legislative Änderungen, die den Datenschutz verbessern. Allerdings wurden im US Foreign Intelligence Surveillance Act (FISA) bestimmte Empfehlungen nicht kodifiziert und somit keine zusätzlichen Schutzmaßnahmen eingeführt, wie es der EDSA empfohlen hatte. Auch die im FISA enthaltene erweiterte Definition von "elektronischen Kommunikationsdienstanbietern" schafft nach Ansicht des EDSA Unsicherheit über den tatsächlichen Umfang der Überwachung. Die Europäische Kommission soll daher Entwicklungen im Zusammenhang mit dem FISA verfolgen.

Die nächste Überprüfung des DPF soll in weniger als vier Jahren stattfinden, damit die Europäische Kommission und der EDSA früher als gesetzlich vorgesehen auf Informationen zur praktischen Anwendung des DPF reagieren können.

Rechtsakte

Am 11.2024 ist die Zugriffsberechtigungsverordnung (ZugriffsV), BGBl II 2024/300, kundgemacht worden. Geregelt werden darin Zugriffsberechtigungen auf die eHealth-Anwendung Elektronischer Impfpass (eImpfpass).

Vorschau EuG- und EuGH-Rechtsprechung

Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.

Datenschutzmonitor 06.11.2024

Rechtsprechung des VwGH

Aus der Rechtsprechung des VwGH:

Ein Betroffener wird klaglos gestellt, wenn seinem Löschungsersuchen entsprochen wird. Eine auf Löschung gerichtete Revision ist daher auch dann wegen nachträglichen Wegfalls des rechtlichen Interesses als gegenstandslos geworden zu erklären, wenn die Löschung erst nach Entscheidung durch das BVwG erfolgt. Ohne einen unverhältnismäßigen Prüfungsaufwand kann in solchen Fällen nicht beurteilt werden, welchen Ausgang das Verwaltungsverfahren ohne die Gegenstandsloserklärung genommen hätte. Daher findet kein Kostenzuspruch statt (VwGH 30.09.2024, Ro 2022/04/0033).

Rechtsprechung des OGH

OGH 08.10.2024, 14Os26/24s

Amtsgeheimnis, Amtsmissbrauch, Strafverfolgung

Ein Polizeibeamter wurde mutmaßlich bestochen, polizeiinterne Informationen preiszugeben und Daten aus der zentralen Datenanwendung des Bundesministers für Inneres (BMI) abzurufen. Er wurde (nicht rechtskräftig) schuldig gesprochen, mehrfach seine Amtsgewalt missbraucht und das Amtsgeheimnis verletzt zu haben, indem er ohne dienstliche Notwendigkeit personenbezogene Daten abrief und weitergab. Da der Polizeibeamte seine Bestecher auch über geplante Polizeikontrollen informiert und ihnen Fotos von Kollegen gezeigt haben soll, damit sie Kontrollen entgehen können, wurde er auch (nicht rechtskräftig) schuldig gesprochen, den Staat Österreich in seinem Recht auf Strafverfolgung geschädigt zu haben. Aufgrund von Rechtsfehlern hob der OGH den Schuldspruch gegen alle Beteiligten teilweise auf und verwies die Sache im Übrigen zur neuerlichen Entscheidung und Verhandlung an das Erstgericht zurück.

Der OGH hat erwogen: Es ist zwischen der missbräuchlichen Abfrage von Datenbanken und der Weitergabe der daraus gewonnenen Informationen zu unterscheiden. Das Ermitteln der Daten erfüllt den Tatbestand des Missbrauchs der Amtsgewalt, wenn der Beamte ohne dienstliche Rechtfertigung handelt und dadurch seine Befugnis missbraucht. Bei der Weitergabe amtsgeheimer Informationen kommt Missbrauch der Amtsgewalt durch Geheimnisverrat nur dann in Betracht, wenn der Beamte dies aufgrund einer ihn konkret treffenden Pflicht zu unterlassen hat. Ansonsten ist die Strafbarkeit einer Informationsweitergabe primär nach § 310 StGB (Verletzung des Amtsgeheimnisses) zu prüfen.

Aus den getroffenen Feststellungen ergibt sich, dass die vom Polizeibeamten vorgenommenen Abfragen in den Datenbanken einen Befugnisfehlgebrauch darstellen. Es wurde jedoch nicht festgestellt, dass er durch die Weitergabe der Informationen eine konkrete tatbildliche Befugnis iSd § 302 StGB (Amtsmissbrauch) wahrgenommen oder eine ihn konkret treffende Pflicht verletzt hat.

Im weiteren Verfahren wird zu beachten sein, dass das staatliche Recht auf Strafverfolgung auf Basis der bisherigen Aktenlage als Bezugspunkt des von § 302 StGB verlangten Schädigungsvorsatzes nicht in Betracht kommt. Eine durch die Datenabfrage bewirkte Schädigung der Betroffenen an deren Recht auf Datenschutz ist zwar denkbar, allerdings würde eine allfällige, den konkret erfolgten Eingriff umfassende, vorab erfolgte Einwilligung einen Rechtfertigungsgrund darstellen. Für die Weitergabe der durch die Datenabfrage gewonnenen Informationen wäre jedoch die Verletzung des Amtsgeheimnisses gemäß § 310 StGB zu prüfen.

Aus der weiteren Rechtsprechung des OGH:

Anders als die Produkthaftungs-RL 85/374/EWG ordnet Art 82 DSGVO ausdrücklich auch den Ersatz immaterieller Schäden Der Eintritt eines durch den Verstoß entstandenen Schadens ist jedoch auch dafür erforderlich (OGH 22.10.2024, 4Ob109/24v). Anm: Aus den Überlegungen des OGH könnte zumindest implizit abgeleitet werden, dass bloße Angst- und Unlustgefühle kein entstandener Schaden sind.

Rechtsprechung des BVwG

BVwG 19.09.2024, W287 2248365-1

AuskunftspflichtG, Meinungsäußerungsfreiheit

Im Zuge einer Demonstration sollen Mitglieder einer politischen Gruppierung den am Karl-Lueger-Denkmal angebrachten Betonschriftzug entfernt haben. Der Journalist einer Tageszeitung kommunizierte im Rahmen seiner Recherche über den Vorfall mit der Pressestelle einer Landespolizeidirektion ("LPD") und ersuchte um Auskunft, ob Ermittlungen gegen jene Polizeibeamten stattfinden würden, die nicht eingeschritten seien, als der Betonschriftzug gewaltsam entfernt wurde. Die Landespolizeidirektion teilte mit, dass eine interne Überprüfung der Vorgänge stattgefunden habe. Eine Auskunft über den Ausgang dieser internen Überprüfung lehnte die LPD mit der Begründung des Datenschutzes der involvierten Polizeibeamten ab. Gegen den hierüber von der LPD ausgestellten Bescheid erhob der Journalist (erfolgreich) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Grundsätzlich haben Organe des Bundes über Angelegenheiten ihres Wirkungsbereichs Auskünfte zu erteilen, soweit eine gesetzliche Verschwiegenheitspflicht dem nicht entgegensteht. Als solche gesetzliche Verschwiegenheitspflicht kommt auch das Recht auf Geheimhaltung personenbezogener Daten in Betracht, welches jedoch nicht uneingeschränkt gilt. Bei einer Auskunft über den Ausgang einer internen Überprüfung des Verhaltens zweier Polizeibeamter handelt es sich um personenbezogene Daten, weil die betroffenen Beamten zumindest für einen gewissen Personenkreis identifizierbar sind. Die Reichweite der das Auskunftsrecht gegebenenfalls einschränkenden Bestimmungen über die zulässige Verweigerung der Auskunft aus Gründen der Verschwiegenheit ist aufgrund der im Verfassungsrang stehenden Bestimmung des Art 10 EMRK (Recht auf freie Meinungsäußerung) verfassungskonform auszulegen. Nach der Rechtsprechung des EGMR ist das Recht auf freie Meinungsäußerung dahingehend auszulegen, dass dieses – unter bestimmten Voraussetzungen – ein Recht auf Zugang zu Informationen miteinschließt. Bei der Ermittlung der Reichweite dieses Rechts auf Informationszugang kommt es nach der Rechtsprechung des EGMR darauf an, dass (i) ein Journalist als public watchdog (ii) das Informationsersuchen als Vorbereitungsschritt für journalistische Aktivitäten zur Schaffung eines Forums einer notwendigen und bedeutenden öffentlichen Debatte stellt und (iii) die Offenlegung der begehrten Information im großen öffentlichen Interesse liegt.

Der Journalist war im Nachrichtenbereich tätig und erfüllte daher die Rolle eines "social watchdogs". Das Karl-Lueger-Denkmal ist ein polarisierendes und wiederholt in den Medien kontrovers diskutiertes Denkmal, sodass ein grundsätzliches Interesse der Allgemeinheit an der rechtlichen Einordnung des dienstlichen Verhaltens von Exekutivbeamten im Rahmen eines Einsatzes besteht. In diesem Licht ist die begehrte Auskunft jedenfalls geeignet, zur Transparenz über die Art und Weise der Führung von Amtsgeschäften beizutragen. Die vom Journalisten begehrte Information ist auch notwendig, um eine Beurteilung des Einsatzes vornehmen und eine Debatte eröffnen zu können.

Das öffentliche Interesse überwiegt das Interesse der involvierten Polizeibeamten an der Geheimhaltung ihrer personenbezogenen Daten, ua deshalb, weil Journalisten im Umgang mit personenbezogenen Daten an die datenschutzrechtlichen Bestimmungen gebunden sind.

BVwG 25.09.2024, W108 2287986-1

Präklusion, Haushaltsausnahme, Forderungsbetreibung

Zwischen einem Ehemann und seiner damaligen Ehefrau war ein Scheidungsverfahren anhängig. Im Zuge dessen gab die Ehefrau Konto- und Bankdaten an eine dritte Person weiter. Diese verarbeitete die Daten in einer Excel-Tabelle und übermittele sie wieder an die Ehefrau zurück. Inhalt der Excel-Tabelle war eine Übersicht über die Ausgaben bzw Einnahmen der letzten Jahre auf dem gemeinsamen Konto des Ehepaars. Die Ehefrau nutzte die erstellte Excel-Tabelle, um die Einkommensverhältnisse des Ehemanns im Scheidungsverfahren darzulegen. In dieser "Datenmanipulation" sah der Ehemann einen Versuch, überhöhte Ansprüche geltend zu machen, und fühlte sich dadurch in seinem Recht auf Geheimhaltung verletzt. Infolgedessen erhob er Datenschutzbeschwerde an die DSB.

Die DSB wies die Datenschutzbeschwerde zur behaupteten Weitergabe der Konto- und Bankdaten wegen Präklusion zurück. Die Tatsache, dass die Ehefrau seine Konto- und Bankdaten weitergegeben hatte, war dem Ehemann bereits im Jahr 2021 bekannt. Er hat damals eine Datenschutzbeschwerde gegen die dritte Person eingebracht. Hinsichtlich der Datenmanipulation wies die DSB die Datenschutzbeschwerde ab, weil der Ehemann keinen ausreichenden Beweis für eine Manipulation erbrachte und das berechtigte Interesse der Ehefrau zur Nutzung der Daten im Scheidungsverfahren überwog. Daraufhin erhob der Ehemann (erfolglos) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn sie nicht innerhalb eines Jahres ab Kenntnis des beschwerenden Ereignisses, jedoch spätestens innerhalb von drei Jahren ab dem Ereignis, eingebracht wird. Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen, auf die von Amts wegen, also bei feststehendem Sachverhalt ohne Einwendung, Bedacht genommen werden muss. Es ist nicht ersichtlich, dass die Fristen des § 24 DSG das Beschwerderecht nach der DSGVO unverhältnismäßig einschränken. Die Verjährung wird auch nicht durch ein allfällig noch anhängiges Strafverfahren hinausgeschoben. Die Weitergabe der Konto- und Bankdaten fand im Jahr 2020 statt und war dem Ehemann bereits seit 2021 bekannt.

Gemäß Art 2 Abs 2 lit c DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Nach der Rsp des OGH ist entscheidend für diese Haushaltsausnahme, dass der Datenumgang im privaten Aktionskreis stattfindet. Der persönlich-familiäre Bereich wurde durch die Vorlage der Daten im Scheidungsverfahren vor dem Bezirksgericht jedenfalls überschritten, weshalb die Haushaltsausnahme nicht zur Anwendung kommt.

Nach der Judikatur des VfGH hat ein Ehegatte im Scheidungsprozess kein Recht auf Geheimhaltung seiner Einkommensdaten gegenüber dem anspruchstellenden Ehepartner, zumal nach der Judikatur des OGH ein Anspruch auf Auskunft und Rechnungslegung besteht und daher eine Verletzung des (Noch-)Ehemannes in seinem Recht auf Geheimhaltung von vornherein nicht in Betracht kommt.

Selbst wenn man jedoch von einem Recht auf Geheimhaltung der Einkommensdaten des Ehemanns ausgeht, überwiegt das berechtigte Interesse der Ehefrau an deren Verarbeitung. Der EuGH hat bereits erkannt, dass die ordnungsgemäße Forderungsbetreibung ein berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) sein kann.

Weiters sind gemäß § 76 Abs 1 ZPO in jedem Schriftsatz die tatsächlichen Verhältnisse, durch welche die gestellten Anträge begründet werden, darzustellen. Wenn es eines Beweises oder einer Glaubhaftmachung dieser Anführungen bedarf, sind auch die Beweismittel im Einzelnen zu bezeichnen. Die Vorlage der Excel-Tabelle war im Scheidungsverfahren jedenfalls als Beweismittel geeignet, zumal die Ermittlung der nötigen Beweismittel und deren Anbieten grundsätzlich den Verfahrensparteien obliegt. Folglich ist es jedenfalls auch zulässig, etwa die Informationen aus Kontoauszügen in einer Tabelle zusammenzufassen.

Es kommt auch nicht darauf an, ob sich ex post herausstellt, dass die Datenverarbeitung im Prozess nicht zum Erfolg gereicht hat, sondern lediglich darauf, ob die vorgelegten Unterlagen ex ante denkmöglich als Beweismittel geeignet waren. Die Excel-Tabelle wurde von der erkennenden Richterin zum Verfahrensakt genommen, was die grundsätzliche Geeignetheit als Beweismittel bestätigt.

BVwG 25.09.2024, W108 2284790-1

Materielle Wahrheit, Zurückverweisung

Der Nachbar eines Cafés erhob Datenschutzbeschwerde bei der DSB und brachte dabei vor, dass ein Gast des Cafés ihn widerrechtlich gefilmt und fotografiert. Er legte auch eine Filmaufnahme vor, die dies beweisen sollte, weil der Gast darauf selbst zugibt, ihn minutenlang gefilmt zu haben. Auch ist zu sehen und zu hören, wie der Gast laufend seine Handy-Aufzeichnung kommentiert. Der Gast brachte vor, dass er das Handy in der Zwischenzeit gewechselt hat und keine Bilder oder Videos des Nachbarn mehr gespeichert hat. Das BVwG gab der Bescheidbeschwerde des Nachbarn statt, hob den Bescheid auf und verwies die Sache zur neuerlichen Entscheidung an die DSB zurück.

Das BVwG hat erwogen: Ob eine Videoaufnahme/Bildaufnahme angefertigt wurde, ist grundsätzlich strittig. Dennoch hat die DSB zu dieser zentralen Tatfrage ihr Ermittlungsverfahren auf die Einholung von schriftlichen Stellungnahmen beschränkt. Die DSB unterließ es, auf die vom Nachbarn vorgelegten Beweismittel einzugehen und somit die Durchführung der erforderlichen Ermittlungen, ob eine Aufnahme stattgefunden hat.

Im Interesse der Erforschung der materiellen Wahrheit wäre es zumindest erforderlich gewesen, die Parteien förmlich niederschriftlich einzuvernehmen. Es handelt sich dabei auch um einen rechtserheblichen Verfahrensmangel, weil nicht auszuschließen ist, dass die DSB bei dessen Vermeidung zu einem anderen Bescheid hätte kommen können. Der für eine Entscheidung in der Sache erforderliche Sachverhalt steht daher nicht fest. Eine Zurückverweisung der Sache zur Durchführung notwendiger Ermittlungen gemäß § 28 Abs 3 zweiter Satz VwGVG kommt bei gravierenden Ermittlungslücken in Betracht, insbesondere dann, wenn die DSB jegliche erforderliche Ermittlungstätigkeit unterlassen hat, wenn sie zur Ermittlung des maßgebenden Sachverhalts lediglich völlig ungeeignete Ermittlungsschritte gesetzt oder bloß ansatzweise ermittelt hat.

BVwG 25.09.2024, W108 2274176-1

Materielle Wahrheit, Zurückverweisung

Eine Arbeitsinspektorin führte eine unangemeldete Besichtigung in der Praxis eines Arztes durch. Da der Arzt nicht an einem direkten Gespräch interessiert war, gab die Ordinationsassistentin der Arbeitsinspektorin die notwendigen Auskünfte und legte die erforderlichen Unterlagen vor. Im Zuge der Besichtigung stellte die Arbeitsinspektorin fest, dass Vorschriften zum Arbeitsschutz nicht eingehalten wurden. Auf Nachfrage gab die Ordinationsassistentin eine E-Mail-Adresse als Kontaktadresse für die Ordination bekannt, an welche in Folge das Besichtigungsergebnis übermittelt wurde.

Daraufhin erhob der Arzt eine Datenschutzbeschwerde, weil er sich in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt sah. Die E-Mail-Adresse sei nicht die offizielle Kontaktadresse der Praxis und es sei ausgeschlossen, dass seine Ordinationsassistentin diese angegeben habe. Das Arbeitsinspektorat führte aus, dass es vom Arzt bereits zuvor im Rahmen einer Meldung gemäß § 3 Mutterschutzgesetz für die Praxis des Arztes eine E-Mail von eben dieser Adresse erhalten hatte, weshalb davon ausgegangen werden konnte, dass die von der Ordinationsassistentin bekanntgegebene E-Mail-Adresse die offizielle Kontaktadresse der Praxis sei. Die DSB hat der Datenschutzbeschwerde teilweise stattgegeben und festgestellt, dass das Arbeitsinspektorat durch die Übermittlung des Besichtigungsergebnisses an diese E-Mail-Adresse die Daten des Arztes unrechtmäßig an einen Dritten offengelegt und ihn damit in seinem Recht auf Geheimhaltung verletzt hat. Das Arbeitsinspektorat erhob eine (erfolgreiche) Bescheidbeschwerde aufgrund eines sekundären Feststellungmangels beim BVwG und erreichte die Aufhebung des Bescheides und die Zurückverweisung an die DSB.

Das BVwG hat erwogen: Die Entscheidung der DSB, dass eine Verletzung des § 1 DSG objektiv zu beurteilen ist und das Vorliegen eines individuellen Verschuldens irrelevant ist, ist grundsätzlich richtig. Jedoch ist die Frage, wie die Arbeitsinspektorin zur E-Mail-Adresse gekommen ist und diese verwendet hat, für die Beurteilung des Vorliegens einer Verletzung des § 1 DSG maßgebend. Bei Vorliegen einer Zustimmung in die Verarbeitung personenbezogener Daten ist eine Beschränkung des Anspruchs auf Geheimhaltung zulässig. Daher ist auf Tatsachenebene zu klären, ob der Arzt bzw seine Mitarbeiterin der Arbeitsinspektorin die E-Mail-Adresse zwecks Übermittlung des Besichtigungsergebnisses bekanntgegeben hat und – bejahendenfalls –, ob dadurch eine Zustimmung iSd § 1 Abs 2 DSG vorliegt.

Die DSB hat die Rechtslage verkannt und es unterlassen, Feststellungen dazu zu treffen, wie das Arbeitsinspektorat an die E-Mail-Adresse gekommen ist. Zudem hat die DSB im Ermittlungsverfahren bloß schriftliche Stellungnahmen der Parteien eingeholt, obwohl diese widersprechende Behauptungen aufgestellt hatten. Die DSB ist als Behörde verpflichtet, von Amts wegen die materielle Wahrheit zu erforschen.

BVwG 16.09.2024, W137 2293092-1

Sozialversicherung, AMS, rechtliche Verpflichtung

Ein Sozialversicherungsträger wurde aufgefordert, dem AMS bekannt zu geben, wann der Versicherte die Voraussetzungen für eine frühestmögliche Alterspension sowie Korridorpension erfüllt. Der Sozialversicherungsträger kontaktierte daraufhin mehrmals den Versicherten, um die bestehenden Lücken im Versicherungsverlauf zu klären. Es erging auch ein Schreiben, in welchem der Versicherte über die Einleitung eines Feststellungsverfahrens und die Konsequenzen bei mangelnder Mitwirkung informiert wurde. Nachdem der Versicherte auf keines dieser Schreiben reagierte, teilte der Sozialversicherungsträger dem AMS den frühestmöglichen Pensionsstichtag mit und informierte darüber, dass der Versicherte am Verfahren nicht mitgewirkt hat.

Der Versicherte erhob daraufhin eine Datenschutzbeschwerde bei der DSB und behauptete eine Verletzung in seinem Recht auf Geheimhaltung. Nachdem die DSB die Datenschutzbeschwerde abwies, brachte der Versicherte eine (erfolglose) Bescheidbeschwerde an das BVwG ein.

Das BVwG hat erwogen: Jede Verarbeitung personenbezogener Daten muss den Grundsätzen des Art 5 DSGVO entsprechen und rechtmäßig iSd Art 6 DSGVO erfolgen. Eine Verarbeitung ist dann rechtmäßig, wenn neben den in Art 5 DSGVO geregelten Grundsätzen mindestens einer der in Art 6 Abs 1 DSGVO festgelegten Rechtsgründe vorliegt. Eine Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit c DSGVO rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. § 69 Abs 1 Arbeitslosenversicherungsgesetz (AlVG) verpflichtet die Sozialversicherungsträger dazu, die regionalen Geschäftsstellen des AMS bei der Erfüllung ihrer Aufgaben zu unterstützen. Diese Pflicht umfasst unter anderem die Übermittlung von Daten über Versicherungszeiten der Arbeitnehmer. Der Sozialversicherungsträger hat den Versicherten mehrfach kontaktiert, um Lücken im Versicherungslauf zu klären, woran der Versicherte jedoch nicht mitgewirkt hat. Der Sozialversicherungsträger musste gemäß § 69 Abs 1 AlVG in Erfüllung einer gesetzlichen Auskunftspflicht iSd Art 6 Abs 1 lit c DSGVO die Informationen an das AMS übermitteln. Die Mitteilung über die mangelnde Mitwirkung durch den Versicherten war daher durch § 69 Abs 1 AlVG gedeckt und verstößt nicht gegen den Grundsatz der Datenminimierung iSd Art 5 Abs 1 lit c DSGVO. Die Verarbeitung der personenbezogenen Daten des Versicherten erfolgte daher gemäß Art 6 Abs 1 lit c DSGVO rechtmäßig.

Eine Warnung gemäß Art 58 Abs 1 lit a DSGVO kann nur ausgesprochen werden, solange die Verarbeitung lediglich geplant ist (beabsichtigte Datenverarbeitung). Eine Warnung kann nicht mehr ausgesprochen werden, wenn die Verarbeitung bereits durchgeführt wird (BVwG 15.10.2024, W254 2291347-1).

Verfolgt der Beschwerdeführer offenbar ein Anliegen allgemein rechtspolitischer Art, dann ist die Datenschutzbeschwerde unzulässig. Beim Auslegen der Willenserklärung eines berufsmäßigen Parteienvertreters (hier ein Wirtschaftsprüfer und Steuerberater) ist ein strengerer Maßstab anzulegen als für unvertretene Beschwerdeführer (BVwG 23.09.2024, W274 2266396-1).

Richtet sich eine Säumnisbeschwerde zwar formal auch gegen den Bescheid über die Einstellung des Säumnisbeschwerdeverfahrens, enthält sie jedoch keine Begründung, weshalb der Bescheid im Ausgangsverfahren die Verwaltungssache nicht zur Gänze erledigt haben soll, ist die Säumnisbeschwerde abzuweisen (BVwG 04.10.2024, W274 2291590-1).

Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen (BVwG 02.10.2024, W287 2273330-1).

Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Betroffene sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, einbringt. Nach Ablauf dieser einjährigen subjektiven Präklusivfrist ist das Erheben einer Datenschutzbeschwerde nicht mehr zulässig, sofern keine "fortgesetzte Schädigung" gegeben ist (BVwG 20.09.2024, W214 2291552-1).

Das Recht auf Auskunft steht unter keinen Voraussetzungen. Es muss insb nicht mit einem Rechtsschutzinteresse begründet werden. Verarbeitet der Verantwortliche keine Daten des Betroffenen (mehr), hat er innerhalb eines Monats eine Negativauskunft zu erteilen. Eine Negativauskunft setzt jedoch voraus, dass der Verantwortliche tatsächlich keine Daten des Betroffenen (mehr) verarbeitet (BVwG 20.09.2024, W214 2291834-1).

Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens Der VwGH ersuchte den EuGH um Vorabentscheidung zur Auslegung des Begriffs "exzessiv" iSd Art 57 Abs 4 DSGVO. Da diese Frage auch im vorliegenden Verfahren präjudiziell ist, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 23.09.2024, W274 2294608-1).

Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 03.10.2024, W258 2262116-1).

Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Erstbescheids und damit dessen Rechtswidrigkeit. Der Erstbescheid ist daher durch das BVwG (ersatzlos) aufzuheben. Bei dieser Art der Entscheidung handelt es sich um eine negative Sachentscheidung, womit auch das Beschwerdeverfahren erledigt wird. Eine darüber hinausgehende Einstellung des Beschwerdeverfahrens erübrigt sich daher (BVwG 04.10.2024, W211 2272474-1).

Das BVwG kann jederzeit von Amts wegen Schreib- und Rechenfehler oder diesen gleichzuhaltende Unrichtigkeiten in seinen Entscheidungen berichtigen. Einem Berichtigungsbeschluss kommt nur feststellende, nicht jedoch rechtsgestaltende Wirkung (BVwG 15.10.2024, W176 2234682-1).

Rechtsprechung der LVwG

Eine Ausschreibung ist aufgrund datenschutzrechtlicher Bedenken hinsichtlich der Datenerhebung nicht rechtswidrig, wenn rechtmäßige Mittel zur Verfügung stehen, um die für die Auftragserfüllung erforderlichen Daten zu erlangen (LVwG Wien 18.10.2024, VGW-123/095/6508/2024).

Rechtsprechung der BDB

BDB 04.03.2024, 2022-0.711.297

Amtsmissbrauch, Befangenheit

Eine Finanzbeamtin griff ohne dienstliche Notwendigkeit wiederholt auf Steuerdaten von sich selbst, ihren Familienmitgliedern und Bekannten zu. Die Zugriffe kamen im Rahmen einer Überprüfung von Logfiles der Datenbankzugriffe hervor. Die Beamtin rechtfertigte die Zugriffe auf die Daten mit der Zustimmung der betroffenen Personen. Die BDB verhängte aufgrund der Dienstpflichtverletzung gemäß § 44 iVm 47 BDG eine Geldbuße in der Höhe von EUR 800 gegen die Beamtin.

Die BDB hat erwogen: Ein Beamter darf nur aus dienstlicher Veranlassung Daten verarbeiten. Wenn personenbezogene Daten ohne dienstliche Rechtfertigung ermittelt werden, liegen eine missbräuchliche Datenverarbeitung und ein Verstoß gegen § 1 DSG vor. Der damit verwirklichte Befugnismissbrauch löst auch ohne tatsächlichen Schadenseintritt bei Schädigungsvorsatz strafrechtliche Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch) aus.

Eine dienstliche Veranlassung eines Datenzugriffes kann bei Vorliegen von Verwandtschaft oder Bekanntschaft aufgrund der Befangenheit des Organs nicht gegeben sein. Eine Einwilligung kann bei Befangenheit auch den Zugriff auf die Daten nicht rechtfertigen.

Zugriffe eines Beamten auf die eigenen Steuerdaten im System sind unrechtmäßig, weil damit die Akteneinsicht im Abgabenverfahren umgangen wird und auch auf Aktenteile Einsicht genommen werden kann, die sonst von der Einsicht ausgenommen sind.

Durch eine abgelegte Fachprüfung wird die Kenntnis der anwendbaren Gesetze und Erlässe vorausgesetzt und von vorsätzlichem Verhalten ausgegangen.

Bei der Schuldbemessung wirken das reumütige Geständnis und die bisherige disziplinarrechtliche Unbescholtenheit mildernd. Als erschwerend wird die Fortsetzung der strafbaren Handlungen über einen mehrjährigen Zeitraum gewertet.

EU-Rechtsakte

Am 05.11.2024 wurde die "Durchführungsverordnung (EU) 2024/2835 der Kommission vom 4. November 2024 zur Festlegung von Vorlagen für die Transparenzberichtspflichten der Anbieter von Vermittlungsdiensten und der Anbieter von Online-Plattformen gemäß der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates", ABl L 2024/2835, 1, kundgemacht. Mit dieser DurchführungsVO werden Transparenzberichtspflichten des Digital Service Act konkretisiert.

Vorschau EuG- und EuGH-Rechtsprechung

Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.

Oktober 2024

02.10. | 09.10. | 16.10. | 23.10. | 30.10.

Datenschutzrechts-Update 30.10.2024

Rechtsprechung des OGH

OGH 20.09.2024, 6Ob221/23b

Google-Bewertungen, Zuständigkeit, Herkunftslandprinzip, Rollenverteilung, Datentransfer in die USA

Über den Dienst "Google My Business" werden öffentlich zugängliche Informationen und Nutzerbewertungen über lokale Unternehmen veröffentlicht. Solche Profile können von Unternehmen selbst erstellt oder automatisch auf Grundlage öffentlich verfügbarer Daten generiert werden.

Eine Fachärztin erhob Klage gegen eine nach irischem Recht gegründete Gesellschaft (Google Ireland), die Google-Dienste in Europa anbietet und in Österreich die Domain www.google.at betreibt. Das Profil der Fachärztin auf "Google My Business" enthielt ihre Kontaktdaten, Öffnungszeiten, Lichtbilder der Ordination sowie Sternebewertungen und Rezensionen. In mehreren 1-Stern-Bewertungen wurden insb die langen Wartezeiten kritisiert. Die auf Google veröffentlichten Daten der Fachärztin (abseits der Bewertungen und Rezensionen) wurden von ihr selbst auf ihrer Homepage veröffentlicht und waren auch über eine Seite der zuständigen Landes-Ärztekammer abrufbar.

Die Fachärztin forderte die Löschung der Rezensionen und Bewertungen und eine Unterlassung zukünftiger Rezensionen ohne ihre Zustimmung (Art 17 DSGVO). Zudem verlangte sie Schadenersatz iHv 5.000 EUR.

Nach Ansicht der Fachärztin enthielten einige Rezensionen grob kreditschädigende und unrichtige Aussagen, was ihr allgemeines Persönlichkeitsrecht gemäß § 16 iVm § 1330 ABGB beeinträchtigte. Die Fachärztin sah auch das Schutzniveau ihrer Daten als gefährdet, weil ihre Daten konzernintern an die Muttergesellschaft in den USA übermittelt wurden. Nach ihrer Ansicht boten die eingesetzten Standardvertragsklauseln keinen gleichwertigen Schutz, weil diese als privatrechtliche Verträge die US-Behörden nicht binden konnten und somit ein DSGVO-konformer Schutz nicht gewährleistet war.

Das Erst- und das Berufungsgericht wiesen die Klage ab. Der OGH gab der Revision der Fachärztin Folge, behob die Entscheidungen der Vorinstanzen und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück.

Der OGH hat erwogen: Gemäß § 48 IPRG ist österreichisches Recht anzuwenden, weil sich die Wirkung der Verbreitung der Äußerungen vornehmlich im Inland entfaltet, in dem auch das Zentrum der sozialen Interaktion der Fachärztin liegt. Da Google Ireland ihren Sitz jedoch in einem anderen EWR-Mitgliedstaat hat und im koordinierten Bereich gemäß § 3 Z 8 ECG tätig ist, ist das Herkunftslandprinzip nach § 20 ECG relevant. Die rechtlichen Anforderungen für Diensteanbieter, die in einem Mitgliedstaat niedergelassen sind, sind nach dem Recht des Niederlassungsstaats zu beurteilen. Eine Ausnahme vom Herkunftslandprinzip nach den §§ 21 f ECG ist nicht ersichtlich, zumal die Rezensionen und Bewertungen, deren Unterlassung und Löschung die Fachärztin begehrt, nicht als die Würde eines einzelnen Menschen antastend zu qualifizieren sind. § 20 Abs 1 ECG enthält für Eingriffe in das (allgemeine) Persönlichkeitsrecht eine Sachnormverweisung auf die materiellen Rechtsvorschriften des Niederlassungsstaats. Demnach ist das Recht des Staats maßgeblich, in dem der Dienstleister iSd ECG seinen Sitz hat (daher irisches Sachrecht).

Auf eine fehlende Zustimmung der Fachärztin, sich bewerten zu lassen, kommt es nicht an, weil sich Google Ireland zu Recht auf Art 6 Abs 1 lit f DSGVO stützt. Anlässlich der Verarbeitung wird ein berechtigtes Interesse wahrgenommen. Dieses Interesse besteht in der Information der Öffentlichkeit über ärztliche Leistungen sowie in einem Einblick in persönliche Erfahrungen und subjektive Einschätzungen, die der jeweilige Nutzer bei seiner eigenen Arztwahl berücksichtigen kann.

Google Ireland ist als Verantwortliche iSd Art 4 Z 7 DSGVO zu qualifizieren. Durch ihren Dienst "Google My Business" erstellt und verwaltet sie Unternehmensprofile. Sie beeinflusst so den Zweck und die Mittel der Verarbeitung, weil sie die Kategorien der Informationen und die Verknüpfung der Rezensionen und Bewertungen mit Unternehmensprofilen vorgibt.

Die zentrale datenschutzrechtliche Problematik liegt in der Frage, was unter "Übermittlung an ein Drittland" zu verstehen ist. Um den durch die DSGVO innerhalb der EU gewährten Schutz des Einzelnen nicht zu untergraben, sind Übermittlungen personenbezogener Daten "an ein Drittland" nur unter bestimmten Voraussetzungen zulässig (Art 44 DSGVO). Dabei geht es im Wesentlichen um die Einhaltung eines angemessenen Schutzniveaus, welches Erfordernis sich nach der Rechtsprechung des EuGH direkt aus der EU-Grundrechte-Charta ergibt. Solange ein mit einem Drittland (hier den USA) geschlossenes Abkommen bestand oder besteht, zu dem ein (aufrechter) Angemessenheitsbeschluss iSd Art 45 Abs 1 DSGVO vorliegt, bedarf es für die Übermittlung keiner besonderen Genehmigung. Ohne einen solchen Angemessenheitsbeschluss (Art 45 Abs 3 DSGVO) dürfen nach Art 46 Abs 1 DSGVO personenbezogene Daten an ein Drittland nur übermittelt werden, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Kernargument der Revision für die Unzulässigkeit der Übermittlung der Daten in die USA als Drittland ist die Aufhebung des Angemessenheitsbeschlusses zum Privacy Shield-Abkommen durch den EuGH. Nachdem der US-Präsident den "Executive Order on Enhancing Safeguards for United States Signals Intelligence Activites" erlassen hat, wurde jedoch mit dem "EU-U.S. Data Privacy Framework" ein neuer Angemessenheitsbeschluss gefasst. Seither ist der Datentransfer (hinsichtlich der zertifizierten Empfänger) wieder "ohne besondere Genehmigung" zulässig.

Nicht zweifelsfrei geklärt ist aber, welche Vorgänge unter "Übermittlung" iSd Art 44 ff DSGVO überhaupt zu verstehen sind.

Auch nicht eindeutig geklärt ist, ob die Aufhebung des Angemessenheitsbeschlusses auf bereits zuvor erfolgte Datenübermittlungen zurückwirkt und somit das (Weiter-)Anzeigen (oder die Speicherung) von Bewertungen, die bereits zuvor "übermittelt" wurden, als unzulässige Übermittlungen nach Art 44 DSGVO anzusehen sind. Ist eine Rückwirkung nicht völlig auszuschließen, scheint auch die Frage einer etwaigen Sanierung durch einen nachfolgenden Angemessenheitsbeschluss offen.

Letztlich kann auch die Kategorie der übermittelten Daten in Betracht zu ziehen sein. Bei den Profildaten handelt es sich um allgemein verfügbare personenbezogene Daten der Fachärztin. Werden die Profildaten nicht bloß reproduziert, sondern mit einem neuen Element verknüpft (der Bewertung), werden damit "neue" personenbezogene Daten (unter Einschluss der Profildaten) erzeugt. Allerdings könnte das Verlangen der Löschung der gesamten Daten als "überschießend" angesehen werden.

Nicht zuletzt ist auch zu hinterfragen, ob – soweit von einer unzulässigen Übermittlung in ein Drittland nach Art 44 DSGVO auszugehen sein sollte – aus einem solchen Verstoß das Recht des Betroffenen auf Löschung seiner Daten nach Art 17 DSGVO resultiert, zumal es einer Verletzung eines dem Betroffenen eingeräumten subjektiven, individuellen Rechts bedarf. Es erscheint fraglich, ob die Fachärztin den Anspruch auf Löschung aller Bewertungen (bzw überhaupt all ihrer Daten) als verhältnismäßige Konsequenz auf Art 17 Abs 1 lit d DSGVO stützen kann.

Rechtsprechung des BVwG

Durch das ORF-Beitrags-Gesetz 2024 (OBG) ist kein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu erblicken. Die Verarbeitung bestimmter personenbezogener Daten zum Zwecke der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 OBG erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt (BVwG 01.10.2024, I406 2297556-1).
Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim Bundesverwaltungsgericht sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 30.09.2024, W258 2262547-1; W258 2262750-1 ua).
Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung zur Auslegung des Begriffs "exzessiv" iSd Art 57 Abs 4 DSGVO. Da diese Frage auch im vorliegenden Verfahren präjudiziell ist, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 09.2024, W274 2293407-1; 30.09.2024, W274 2290131-1).
Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Erstbescheides und damit (nachträglich) dessen Rechtswidrigkeit. Der Erstbescheid ist daher durch das BVwG (ersatzlos) aufzuheben. Bei dieser Art der Entscheidung handelt es sich um eine negative Sachentscheidung, womit auch das Beschwerdeverfahren erledigt wird. Eine darüberhinausgehende Einstellung des Beschwerdeverfahrens erübrigt sich daher (BVwG 30.09.2024, W211 2271492-1).

Rechtsakte

Am 23.10.2024 ist die 3. Novelle zur AutomatFahrV, BGBl II 2024/287, kundgemacht worden. Die Verordnung enthält Regelungen zum automatisierten Fahrzeug zur Personenbeförderung sowie zum automatisierten Absicherungsfahrzeug.

Vorschau EuG- und EuGH-Rechtsprechung

Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahren sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.

Datenschutzmonitor 23.10.2024

Rechtsprechung des EuGH

EuGH 17.10.2024, C-302/23, Jarocki

eIDAS-Verordnung

Ein Gläubiger beantragte bei einem polnischen Gericht die Erteilung einer Vollstreckungsklausel, um die Zwangsvollstreckung in eine Immobilie betreiben zu können. Er reichte seinen Antrag per E-Mail mit einer vertrauenswürdigen, aber nicht qualifizierten elektronischen Signatur über die elektronische Plattform des Gerichts ein. Die meisten polnischen Gerichte verfügen über kein Informations- und Kommunikationssystem, das die elektronische Einreichung von Schriftsätzen ermöglicht und nehmen daher keine elektronisch signierten Schriftstücke an. Der Rechtspfleger wies den Antrag zurück, weil er nicht handschriftlich unterzeichnet war. Der Gläubiger machte geltend, dass dies gegen das Unionsrecht verstoße.

Der EuGH hat erwogen: Die Verordnung (EU) 910/2024 (eIDAS-VO) gilt sowohl für sämtliche in der EU niedergelassene Vertrauensdiensteanbieter als auch für von einem Mitgliedstaat notifizierte elektronische Identifizierungssysteme. Selbst wenn ein Mitgliedstaat kein solches System notifiziert hat, bleiben die Bestimmungen über elektronische Signaturen anwendbar.

Die eIDAS-VO erlaubt es den nationalen Gerichten, elektronische Signaturen für ungültig zu erklären. Elektronischen Signaturen dürfen Rechtswirkung und Beweiskraft aber nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegen oder weil sie die Anforderungen an eine qualifizierte elektronische Signatur nicht erfüllen. Die eIDAS-VO hindert Mitgliedstaaten nicht daran, Vorgaben hinsichtlich der Form zu machen. Die eIDAS-VO wirkt sich daher nicht auf Verfahrensfragen aus, die im nationalen Recht die Modalitäten für die Einreichung von Schriftsätzen bei den Gerichten festlegen.

Die polnische Regelung untersagt die elektronische Einreichung eines elektronisch signierten Schriftstücks bei einem Gericht nicht deshalb, weil allein eine handschriftliche Unterzeichnung als Signatur angesehen wird, sondern verlangt, dass die elektronische Einreichung von Schriftsätzen über ein geeignetes Informations- und Kommunikationssystem, über das dieses Gericht verfügen muss, erfolgt. Wenn ein Gericht über kein solches Informations- und Kommunikationssystem verfügt, wird der Schriftsatz nicht "allein deshalb" abgelehnt, weil dieser elektronisch signiert wurde oder nicht den Anforderungen der qualifizierten elektronischen Signatur genügt, sondern weil er nicht über ein geeignetes Informations- und Kommunikationssystem eingereicht wurde, wie es das nationale Recht vorsieht. Dies ist keine Verletzung der eIDAS-VO.

Die eIDAS-VO steht daher einer nationalen Vorschrift, nach der ein Schriftsatz nur dann in elektronsicher Form und mit elektronischer Signatur bei einem Gericht eingereicht werden darf, wenn dieses über ein geeignetes Informations- und Kommunikationssystem verfügt und die Einreichung über dieses System erfolgt, nicht entgegen.

Rechtsprechung des VfGH

Bei einer ergänzenden Beweisanforderung zur Vorlage eines Steuerakts durch ein Viertel der Mitglieder des Untersuchungsausschusses gemäß § 25 Abs 2 VO-UA kommt von vornherein keine Verletzung von Persönlichkeitsrechten in Betracht. Die Entscheidung, ob Akten und Unterlagen dem Untersuchungsausschuss vorzulegen sind, obliegt dem informationspflichtigen Organ. Dieses hat auch zu entscheiden, ob die vorzulegenden Akten und Unterlagen nach dem Informationsordnungsgesetz zu klassifizieren sind. Der Eingriff in Persönlichkeitsrechte entsteht daher erst, wenn das vorlagepflichtige Organ dem Untersuchungssauschuss tatsächlich Akten oder Unterlagen vorlegt (VfGH 24.09.2024, UA17/2024).

Rechtsprechung des OGH

Wenn der Entscheidungsgegenstand nicht ausschließlich in einem Geldbetrag besteht, hat das Berufungsgericht (OLG) gemäß § 500 Abs 2 ZPO den Wert des Entscheidungsgegenstandes auszusprechen (Bewertungsausspruch). Die Zulässigkeit der Revision an den OGH hängt ua vom Wert des Entscheidungsgegenstandes ab. Ansprüche, die auf eine Verletzung des Datenschutzrechts gestützt werden, sind nicht zu bewerten.
Soweit für eine Person eine Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit besteht, dürfen personenbezogene Daten und andere Umstände, die Rückschlüsse auf die Identität oder die höchstpersönlichen Lebensumstände der gefährdeten Person zulassen, von der Akteneinsicht ausgenommen werden (51 Abs 1 iVm § 162 StPO). Eine darüber hinausgehende Beschränkung des Rechts auf Akteneinsicht des Beschuldigten ist unzulässig (OGH 24.09.2024, 11Os76/24x).
Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 20.09.2024, 6Ob219/23h).

Rechtsprechung des BVwG

BVwG 11.09.2024, W256 2290824-1

Kohärenzverfahren, Säumnisbeschwerde

Der Nutzer einer Social-Media-Plattform brachte im Zusammenhang mit der Einschränkung der ihm zur Verfügung stehenden Funktionen eine Datenschutzbeschwerde bei der DSB gegen den Betreiber der Plattform im Unionsraum ein. Nachdem mehr als sechs Monate verstrichen waren, wandte sich der Nutzer mittels Säumnisbeschwerde (erfolglos) an das BVwG.

Das BVwG hat erwogen: Grundsätzlich steht jedem Betroffenen nach Art 78 Abs 2 DSGVO die Möglichkeit einer Untätigkeitsklage frei, wenn sich die zuständige Aufsichtsbehörde nicht mit einer Datenschutzbeschwerde befasst (hat). Die Zulässigkeit einer Säumnisbeschwerde setzt die Säumnis der vor dem Verwaltungsgericht belangten Behörde voraus. Da es sich beim Betreiber der Plattform um ein in Irland hauptansässiges Unternehmen handelt, liegt eine grenzüberschreitende Verarbeitung vor.

Für grenzüberschreitende Verarbeitungen sieht Art 56 Abs 1 DSGVO ein Verfahren der Zusammenarbeit und Kohärenz vor, das auf einer Aufteilung der Zuständigkeiten zwischen einer "federführenden Aufsichtsbehörde" und den anderen betroffenen Aufsichtsbehörden beruht. Grundsätzlich fällt die Führung eines solchen – vom Sachentscheidungsverfahren zu unterscheidenden – Vorverfahrens in die Zuständigkeit der "federführenden Aufsichtsbehörde". Da somit bei grenzüberschreitenden Datenverarbeitungen die Zuständigkeit zur Entscheidung vom Ausgang des Verfahrens der Zusammenarbeit und Kohärenz abhängt und diese somit bis dahin nicht geklärt ist, kann eine Verletzung der Entscheidungspflicht durch eine Aufsichtsbehörde bis zum Abschluss eines solchen Verfahrens nicht rechtswirksam geltend gemacht werden. Korrespondierend ordnet § 24 Abs 10 Z 2 DSG an, dass in die Entscheidungsfrist die Zeit während eines solchen Verfahrens nicht eingerechnet wird.

Hieran ändert auch nichts, dass die DSB die vom Nutzer bei ihr eingebrachte Datenschutzbeschwerde an die zur Durchführung des Kohärenzverfahrens zuständige "federführende Aufsichtsbehörde" nicht weitergeleitet hat, weil die Frist zur Entscheidung bereits mit Einbringen der Datenschutzbeschwerde gehemmt wurde. Betreffend die hier allein geltend gemachte Entscheidungsfrist war die DSB nicht säumig.

BVwG 16.09.2024, W137 2288585-1

Wildkamera, zeitlicher Anwendungsbereich, DSG 2000 Verhältnismäßigkeit, gelindeste Mittel

Im Februar 2018 installierte ein Grundstücksbewohner, der ein Wohnrecht, aber kein Eigentum (mehr) an der Liegenschaft hatte, mehrere Kameras, darunter eine Wildkamera, auf seinem Anwesen. Der Zweck der Wildkamera bestand darin, die Hühner in seinem Garten vor einem Marder zu schützen. Der erfasste Bereich erstreckte sich auf den Eingang des Nachbarhauses und den Streifen zwischen den beiden Häusern. Dadurch erachtete sich der Nachbar in seinem Recht auf Geheimhaltung verletzt.

Die DSB gab der Datenschutzbeschwerde des Nachbarn statt. Gegen diesen Bescheid erhob der Grundstücksbewohner Bescheidbeschwerde an das BVwG und führte ua an, dass kein ordnungsgemäßes Ermittlungsverfahren stattgefunden hatte. Das BVwG hob den Bescheid der DSB auf und verwies die Angelegenheit an die DSB zurück. Es bemängelte, dass die DSB die Sachverhaltsfeststellungen ohne ordnungsgemäßes Ermittlungsverfahren getroffen hatte. Infolgedessen setzte die DSB das Verfahren fort und forderte vom Grundstücksbewohner weitere Beweismittel an. Letztendlich stellte die DSB fest, dass der Grundstücksbewohner seinen Nachbarn im Recht auf Geheimhaltung verletzt hatte, indem er den Eingangsbereich des Nachbarhauses mit der Wildkamera aufnahm. Daraufhin erhob der Grundstücksbewohner (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Das BVwG hat seine Entscheidung an der zum Zeitpunkt der Entscheidung maßgeblichen Sach- und Rechtslage auszurichten. Eine frühere Rechtslage ist anzuwenden, wenn der Anspruch nach den zu seiner Entstehungszeit geltenden materiell-rechtlichen Bestimmungen zu beurteilen ist. Die Kameraaufzeichnungen ereigneten sich vor Inkrafttreten der DSGVO (25.05.2018). Daher ist materiell-rechtlich die Rechtslage des DSG 2000 heranzuziehen.

Die Definition der Videoüberwachung knüpfte an die Feststellung von Geschehnissen an, die ein bestimmtes Objekt oder eine bestimmte Person "betreffen". Es wurde nicht darauf abgestellt, was von den Bilddaten erfasst wurde, sondern dass ein bestimmtes Objekt oder eine bestimmte Person von der Überwachung betroffen war.

Auch gezieltes Fotografieren kann eine Videoüberwachung sein, wenn es intentional auf die Überwachung einer Person oder eines Objekts gerichtet ist. Die regelmäßige Auslösung durch jedes Kommen und Gehen des Nachbarn verwirklichte den Überwachungsgedanken. Folglich lag eine Videoüberwachung iSd § 50a DSG 2000 vor.

Nach § 50a Abs 2 DSG 2000 galten die Grundsätze der §§ 6 und 7 DSG 2000, insbesondere der Verhältnismäßigkeitsgrundsatz (§ 7 Abs 3 DSG 2000). Die Videoüberwachung war weder gemeldet noch genehmigt. Somit war bereits die Aufnahme der Datenverarbeitung rechtswidrig (§ 17ff DSG 2000).

Der Grundstücksbewohner hatte gemäß § 7 Abs 1 DSG 2000 die rechtliche Befugnis zum Installieren der Wildkamera. Die Wildkamera war innen montiert und erfasste teilweise sein eigenes Grundstück. Die Verhältnismäßigkeit gemäß § 1 Abs 1 letzter Satz DSG erfordert jedoch, dass weniger eingriffsintensive Mittel vorzuziehen sind. Da bereits eine bessere Sicherung des Hühnerstalls ausreichend gewesen wäre, handelte es sich zweifelsfrei nicht um das gelindeste Mittel iSd § 7 Abs 3 DSG 2000.

Laut Art 56 Abs 1 VO (EU) 2022/2065 (Digital-Services-Act; DSA) verfügt der Mitgliedstaat, in dem sich die Hauptniederlassung des Anbieters von Vermittlungsdiensten befindet, über ausschließliche Befugnisse, den DSA zu überwachen und durchzusetzen. Das Kommunikationsplattformen-Gesetz (KoPl-G) ist gemäß § 10 Abs 1 Koordinator-für-digitale-Dienste-Gesetz (KDD-G) mit 17.02.2024 außer Kraft getreten. Verfahren, die nach dem KoPl-G gegen den Anbieter einer Kommunikationsplattform geführt wurden, der nach Art 56 DSA nunmehr in die Zuständigkeit eines anderen Mitgliedstaats oder der Europäischen Kommission fällt, sind einzustellen (BVwG 02.09.2024, W290 2242336-1). Anm: Hintergrund des Verfahrens ist, dass der österreichische Gesetzgeber die Anbieter von Kommunikationsplattformen dem
KoPl-G unterwarf. Google, Meta und TikTok beantragten daraufhin die Feststellung, dass sie dem KoPl-G nicht unterliegen, ua mit dem Argument, dass das KoplG mit dem Unionsrecht unvereinbar sei. Die zuständige Kommunikationsbehörde (KommAustria) stellte in allen drei Verfahren – wie auch in einem späteren Verfahren gegen Twitter – fest, dass diese Anbieter in den Anwendungsbereich des KoPl-G fallen. Die Bescheidbeschwerden dieser drei Anbieter wurden vom BVwG abgewiesen. Ihre Revisionen verband der VwGH zu einem Verfahren und der VwGH ersuchte den EuGH um Vorabentscheidung zur Vereinbarkeit des KoPl-G mit der eCommerce-Richtlinie. Der EuGH entschied, dass das KoPl-G mit dem Herkunftslandprinzip der eCommerceRL unvereinbar war. Daraufhin behob der VwGH die drei Erkenntnisse des BVwG und der Gesetzgeber hob das KoPl-G auf. Das BVwG hat nunmehr im zweiten Verfahrensgang den Bescheid der KommAustria gegen TikTok ersatzlos behoben und das Verfahren eingestellt.
Voraussetzung für die Geltendmachung des Beschwerderechts ist, dass die beschwerdeführende Person selbst durch die Datenverarbeitung betroffen Dort, wo es der DSB nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, ist von einer Mitwirkungspflicht der Partei auszugehen. Die beschwerdeführende Partei ist verpflichtet, in ihrer Sphäre liegende Unterlagen vorzulegen, um den Beweis zu erbringen, dass ihre personenbezogenen Daten tatsächlich verarbeitet wurden. Werden entsprechende Unterlagen nicht vorgelegt, kann keine Datenschutzverletzung festgestellt werden und ist die Datenschutzbeschwerde abzuweisen (BVwG 12.09.2024, W252 2271471-1).
Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 20.09.2024, W214 2262861-1).

Rechtsprechung der LVwG

LVwG Wien 29.02.2024, VGW-001/049/14641/2023

Handelsstatistik, UID-Nummer, Art 6 Abs 1 lit e DSGVO

Ein Unternehmen erhielt mehrere Strafverfügungen und Straferkenntnisse von der Bezirkshauptmannschaft (BH), weil es trotz Aufforderung unterließ, die nach dem Handelsstatistischen Gesetz (HStG) erforderlichen Daten der Statistik Austria zu übermitteln. Das Unternehmen sei am EU-Warenverkehr beteiligt und sei daher ua zur Bekanntgabe der UID-Nummern ihrer Handelspartner verpflichtet. Der Geschäftsführer des Unternehmens erhob Einspruch und Bescheidbeschwerde beim zuständigen LVwG, welches die anhängigen Straferkenntnisse mangels örtlicher Zuständigkeit der BH behob. Daraufhin wurde die Sache dem Magistrat der Stadt Wien abgetreten und es ergingen erneut Straferkenntnisse, gegen die der Geschäftsführer Bescheidbeschwerde an das LVwG Wien erhob.

Das LVwG hat erwogen: Die örtliche Zuständigkeit des Magistrats der Stadt Wien ergibt sich aus dem Sitz der Statistik Austria als auskunftbegehrende Stelle nach dem HStG. Gemäß § 1 Abs 1 HStG müssen Waren, die innerhalb der EU verbracht werden, und Waren, die über die Zollgrenze der EU ein- und ausgeführt werden, für die Zwecke der amtlichen Handelsstatistik angemeldet werden. Unter die bekanntzugebenden Daten fällt gemäß § 4 HStG und Art 13 der VO 2019/2152 auch die UID-Nummer des Handelspartners. Das Vorbringen, dass die Bekanntgabe der UID-Nummern mit einem unverhältnismäßigen administrativen Aufwand verbunden sei, ist nicht glaubhaft, weil das Unternehmen nicht von unwesentlicher Größe ist und auch international in Drittstaaten tätig ist. Ein Unternehmen dieser Größe wird zwangsläufig über einen entsprechenden Verwaltungsapparat verfügen, dem dieser Aufwand zumutbar ist. Das Argument des Datenschutzes greift nicht, weil es sich bei den UID-Nummern zwar um personenbezogene Daten handelt, jedoch im HStG und in der VO 2019/2152 mehrere Rechtsgrundlagen iSd Art 6 Abs 1 lit e DSGVO vorliegen. Auch kann das Unternehmen in keinem subjektiven Recht verletzt sein, weil es sich bei den UID-Nummern um die Daten seiner Handelspartner handelt. Das Vorbringen, die UID-Nummern aus Sorge vor einem etwaigen Data Breach bei der Statistik Austria oder der Eurostat nicht weitergeleitet zu haben, reicht nicht aus. Ein Data Breach kann nie zu 100% ausgeschlossen werden und die Statistik Austria unterliegt im Rahmen ihrer Tätigkeit dem Statistikgeheimnis nach § 17 Bundesstatistikgesetz und somit strengen Zweckbindungen bei der Verarbeitung personenbezogener Daten. Das Unternehmen hat somit durch Unterlassung der Bekanntgabe der erforderlichen Daten eine Verwaltungsübertretung begangen und es war eine Geldstrafe zu verhängen.

Leitlinien

Der EDSA veröffentlichte Leitlinien, um den technischen Anwendungsbereich der Art 5 Abs 3 ePrivacy-Richtlinie (ePrivacyRL) durch Aufzählung von Beispielen näher zu bestimmen. Die Leitlinien sind eine Ergänzung zur Stellungnahme 9/2014 der Art 29 Datenschutzgruppe (WP 224), in der die Anwendbarkeit von Art 5 Abs 3 ePrivacyRL auf den virtuellen Fingerabdruck erörtert wurde (device fingerprinting).

Ziel der ePrivacyRL ist es, die Privatsphäre der Nutzer zu schützen. Art 5 Abs 3 ePrivacyRL ist anwendbar, wenn (i) Informationen (diese müssen keinen Personenbezug aufweisen) (ii) auf einem Endgerät eines Nutzers oder Teilnehmers (iii) gespeichert oder von diesem abgerufen werden.

Ein Gerät wird als Endgerät definiert, wenn es direkt oder indirekt mit der Schnittstelle eines öffentlichen Telekommunikationsnetzes verbunden ist, um Informationen zu senden, zu verarbeiten oder zu empfangen. Bei der Speicherung und dem Abrufen handelt es sich um getrennte Vorgänge, diese müssen nicht in derselben Kommunikation stattfinden. Gespeicherte Informationen sind Informationen, die schon am Endgerät vorhanden sind. Dabei kommt es auf die Art und die Quelle der Information nicht an.

Anwendungsfälle von Art 5 Abs 3 ePrivacyRL sind etwa URL- und Pixel-Tracking, weil dafür Informationen vom Endgerät abgerufen werden. Auch fallen lokal auf dem Endgerät verarbeitete und generierte Daten in den Anwendungsbereich der ePrivacyRL, wenn durch eine installierte API (Programmierschnittstelle) bereits gespeicherte Informationen einem Dritten zugesandt werden.

Tracking durch IP-Adressen, die an Provider gesendet werden, fallen in den Anwendungsbereich der ePrivacyRL, wenn die IP-Adresse von einem Endgerät stammt. Kann der Empfänger nachweisen, dass es sich bei den Daten um keine Endnutzerdaten handelt, ist die Datenübermittlung vom Anwendungsbereich der ePrivacyRL jedoch ausgenommen.

Datenverbindungen von IoT-Geräten (Internet of Things; zB Smartwatches, intelligente Türschlösser, virtuelle Assistenten) fallen in den Anwendungsbereich der ePrivacyRL, wenn diese Geräte direkt oder indirekt Zugang zu einem öffentlichen Kommunikationsnetzwerk haben und Informationen senden.

Unique Identifier (UID/eindeutige Identifizierungsnummer) fallen in den Anwendungsbereich der ePrivacyRL, wenn über einen Browser die Aufforderung an das Endgerät gesendet wird, die UID zu übermitteln.

EU-Rechtsakte

Am 18.10.2024 wurde die Durchführungsverordnung (EU) 2024/2690 zur Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) veröffentlicht. Mit dieser DurchführungsVO werden technische und methodische Anforderungen für Risikomanagementmaßnahmen im Bereich der Cybersicherheit für folgende Anbieter/Betreiber und Dienstleister festgelegt: DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter.

Vorschau EuG- und EuGH-Rechtsprechung

Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.

Datenschutzmonitor 16.10.2024

Rechtsprechung des VfGH

VfGH 03.10.2024, E4003/2023

Videoüberwachung, Verschleierungsverbot

Ein Mann trug eine Burka, um nicht von einer öffentlichen Videoüberwachungskamera erfasst zu werden. Aufgrund des Verstoßes gegen § 2 Abs 1 Anti-Gesichtsverhüllungsgesetz (AGesVG) wurde ihm mit Bescheid eine Geldstrafe auferlegt. Der Mann erhob Bescheidbeschwerde beim LVwG Niederösterreich und behauptete, das AGesVG sei verfassungswidrig, weil es gegen das verfassungsgesetzlich gewährleistete Recht auf Datenschutz verstoße. Da das LVwG die Bescheidbeschwerde abwies, erhob der Mann Erkenntnisbeschwerde an den VfGH.

Der VfGH hat erwogen: Gemäß Art 8 Abs 1 EMRK hat jedermann Anspruch auf Achtung seines Privatlebens. Ein Eingriff in dieses Grundrecht ist nur statthaft, wenn dieser gesetzlich vorgesehen ist und dem materiellen Gesetzesvorbehalt des Art 8 Abs 2 EMRK entspricht. Zudem muss der Eingriff geeignet und erforderlich sein, um ein legitimes Ziel zu erreichen und er muss verhältnismäßig sein.

Das AGesVG zielt auf die Förderung von Integration durch die Stärkung der Teilhabe an der Gesellschaft und die Sicherung des friedlichen Zusammenlebens von Menschen unterschiedlicher Herkunft und Religion in einer pluralistischen Gesellschaft ab. Dies dient der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit. Zur Umsetzung dieses Ziels hat der Gesetzgeber den Verbotstatbestand des § 2 Abs 1 AGesVG normiert, der neutral formuliert ist und sämtliche Gesichtsverhüllungen in der Öffentlichkeit erfasst. Der EGMR erkennt dem Staat einen weiten Ermessensspielraum bei der Frage zu, ob es erlaubt sein soll, seine Gesichtszüge in der Öffentlichkeit zu verhüllen. Diesen rechtspolitischen Gestaltungsspielraum hat der österreichische Gesetzgeber nicht überschritten, sodass keine Verletzung im Recht auf Achtung des Privatlebens vorliegt.

Da auch keine Verletzung in anderen verfassungsgesetzlich gewährleisteten Rechten oder in einem sonstigen Recht zu erkennen ist, ist der Beschwerdeführer wegen Anwendung des § 2 Abs 1 AGesVG nicht in seinen Rechten verletzt worden.

Rechtsprechung des OGH

Soweit für eine Person eine Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit besteht, dürfen personenbezogene Daten und andere Umstände, die Rückschlüsse auf die Identität oder die höchstpersönlichen Lebensumstände der gefährdeten Person zulassen, von der Akteneinsicht ausgenommen werden (51 Abs 1 iVm § 162 StPO). Eine darüber hinausgehende Beschränkung des Rechts auf Akteneinsicht des Beschuldigten ist unzulässig (OGH 24.09.2024, 11Os75/24z; 24.09.2024, 11Os74/24b).
Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 20.09.2024, 6Ob112/24z).

Rechtsprechung des BVwG

BVwG 28.08.2024, W221 2279014-1

Tesla, Dash-Cam, Beweislast

Tesla-Fahrzeuge sind mit mehreren Dash-Cams ausgestattet, die das Umfeld überwachen. Der "Sentry Mode" speichert Aufnahmen bei Bedrohungen. Der "Alert Mode" wird bei Erschütterungen oder ähnlichen Ereignissen aktiviert. Für die Speicherung der Videos auf einem USB-Laufwerk muss dieses korrekt formatiert und angeschlossen sein.

Ein Passant fühlte sich durch die vermeintliche Videoaufzeichnung eines Teslas in seinem Recht auf Geheimhaltung verletzt. Das Fahrzeug parkte in einer Fußgängerzone, als der Passant vorbeiging. Seiner Ansicht nach filmte das Fahrzeug ihn im "Sentry Mode" und "Alert Mode", speicherte die Aufnahmen und übertrug diese in die USA. Weiters erachtete er sich in seinen Rechten auf Auskunft, Berichtigung und Löschung verletzt. Die Fahrzeughalterin verstieße gegen Art 6 DSGVO, weil es weder eine gesetzliche Grundlage noch eine Einwilligung für die Verarbeitung gebe. Zudem verletze sie mangels Kennzeichnung die Informationspflicht nach Art 13 DSGVO.

Die DSB wies die Datenschutzbeschwerde des Passanten wegen Verletzung in den Rechten auf Auskunft, Berichtigung und Löschung in einem Teilbescheid ab, weil der Passant kein entsprechendes Ersuchen an die Fahrzeughalterin richtete. In einem zweiten Teilbescheid wies die DSB auch die Datenschutzbeschwerde wegen behaupteter Verletzung der Rechte auf Information und Geheimhaltung ab, weil zum entscheidungsrelevanten Zeitpunkt der "Sentry Mode" zwar aktiv gewesen sei, die Kameras jedoch nicht eingeschaltet waren. Es habe somit keine Datenverarbeitung stattgefunden. Daraufhin erhob der Passant (erfolglose) Bescheidbeschwerde gegen den zweiten Teilbescheid an das BVwG.

Das BVwG hat erwogen: Die Aktivierung des "Sentry Mode" (auch wenn er nicht in den "Alert Mode" wechselt) ist eine Datenverarbeitung, die eine Informationspflicht des datenschutzrechtlich Verantwortlichen auslösen kann. Entscheidend ist daher, ob der "Sentry Mode" zum entscheidungsrelevanten Zeitpunkt tatsächlich aktiviert war.

Der Verantwortliche iSd Art 4 Z 7 DSGVO trägt die Beweislast für die Rechtmäßigkeit der Datenverarbeitung iSd Art 5 DSGVO. Darüber hinaus finden sich in der einschlägigen Judikatur und in den anzuwendenden Normen jedoch keine Hinweise auf eine entsprechende Beweislastumkehr in Bezug auf das Vorliegen einer Datenverarbeitung.

Weiters ist in diesem Zusammenhang auf den Amtswegigkeitsgrundsatz zu verweisen. Dieser verpflichtet die Behörde, den Sachverhalt vollständig von Amts wegen zu ermitteln, ohne in tatsächlicher Hinsicht an das Parteienvorbringen gebunden zu sein (§ 39 Abs 2 iVm § 37 AVG). Wenn es nicht gelingt, die anspruchsbegründenden Tatsachen festzustellen, geht dies zulasten des Betroffenen.

Der "Sentry Mode" war zum entscheidungsrelevanten Zeitpunkt nicht aktiviert. Folglich fanden auch keine Videoaufnahmen über Passanten statt. Da keine personenbezogenen Daten verarbeitet wurden, ist das Geheimhaltungsrecht des Passanten nicht verletzt worden. Weiters gelangt Art 13 DSGVO mangels Erhebung personenbezogener Daten nicht zur Anwendung. Anm: Nach der ständigen Rechtsprechung der DSB können die Rechte auf Auskunft, Berichtigung und Löschung in einer Datenschutzbeschwerde erst geltend gemacht werden, nachdem ein Auskunfts-, Berichtigungs- oder Löschungsersuchen an den Verantwortlichen gestellt worden ist. Deshalb ist die Datenschutzbeschwerde hinsichtlich dieser Rechte mit dem ersten (unbekämpften) Teilbescheid der DSB zurückgewiesen worden (vgl auch unten BVwG 12.09.2024, W287 2296629-1).

BVwG 22.08.2024, W256 2246158-1

SPG, Identitätsdokumentenregister, AuvBZ, Unzuständigkeit

Anlässlich einer Lärmerregung im öffentlichen Raum forderten Polizeibeamte eine Passantin zur Identitätsfeststellung in Form einer Ausweisleistung auf. Da sich die Passantin weigerte, ihren Ausweis vorzuzeigen, wurde sie schließlich von den Polizeibeamten festgenommen und zur nächstgelegenen Polizeiinspektion verbracht, wo eine Abfrage ihres Lichtbildes im Identitätsdokumentenregister ("IDR") Die von der Passantin auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Die hiergegen erhobene Bescheidbeschwerde wies das BVwG mit der Maßgabe ab, dass die ursprüngliche Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird.

Das BVwG hat erwogen: Die Organe des öffentlichen Sicherheitsdienstes sind gemäß § 35 Abs 2 und 3 SPG zur Feststellung der Identität einer tatverdächtigen Person ermächtigt. Dabei reicht die Skala der für die Feststellung der Identität einsetzbaren Maßnahmen vom Befragen des Betroffenen bis zur Einsichtnahme in einen amtlichen Lichtbildausweis.

Über Beschwerden wegen Verletzung von Rechten durch Verarbeiten personenbezogener Daten in Angelegenheiten der Sicherheitsverwaltung entscheidet grundsätzlich die DSB. Davon ausgenommen ist jedoch die Beurteilung der Rechtmäßigkeit der Ermittlung von personenbezogenen Daten infolge der Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt ("AuvBZ").

Eine AuvBZ liegt vor, wenn physischer Zwang ausgeübt wird oder die unmittelbare Ausübung physischen Zwangs bei Nichtbefolgung eines Befehls droht. Die Passantin wurde Zwecks Feststellung ihrer Identität festgenommen, worin die Ausübung physischen Zwangs zu sehen ist. Daraus ergibt sich, dass in die personenbezogenen Daten der Passantin infolge einer AuvBZ eingesehen wurde, deren Beurteilung gemäß § 88 Abs 1 SPG in die Zuständigkeit der Landesverwaltungsgerichte fällt. Demzufolge hätte die DSB die Datenschutzbeschwerde der Passantin als unzulässig zurückzuweisen gehabt.

BVwG 05.09.2024, W176 2273820-1

Rechtsanwaltskammer, AuskunftspflichtG

Ein Rechtsanwalt verlangte Auskunft gemäß 1 AuskunftspflichtG bei der für ihn zuständigen Rechtsanwaltskammer ("RAK") über die Zusammensetzung, das Abstimmungsverhalten der Mitwirkenden sowie über internen Abläufe und Entscheidungen der Kammer in den ihn betreffenden Ausschüssen. Die RAK lehnte das Auskunftsersuchen pauschal ohne vertiefende Begründung ab, weil die Fragen das interne Beratungs- und Willensbildungsverhalten der RAK sowie die detaillierten Abstimmungsergebnisse dem Amtsgeheimnis unterliegen würden. Der Rechtsanwalt erhob daraufhin Bescheidbeschwerde an ein LVwG, das die Bescheidbeschwerde zuständigkeitshalber an das BVwG weiterleitete. Das BVwG wies die Bescheidbeschwerde hinsichtlich des Abstimmungsverhaltens ab. Im Übrigen behob das BVwG den Bescheid und verwies die Angelegenheit zur Erlassung eines neuen Bescheids an die RAK zurück.

Das BVwG hat erwogen: Auskünfte über den Beratungs- und Willensbildungsprozess von Mitgliedern eines Kollegialorgans gefährden dessen Unabhängigkeit und unterliegen dem Beratungsgeheimnis. Wenn Mitglieder von Kollegialorganen die Offenlegung ihres Abstimmungsverhaltens befürchten müssen, kann dies das Stimmverhalten und die Unabhängigkeit gefährden. Der Begriff "Auskunft" umfasst nur die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens gegenüber dem Anfragenden.

Das Abstimmungsverhalten von Mitgliedern des Ausschusses der RAK sind interne Beratungs- und Willensbildungsprozesse, die dem für die Unabhängigkeit des Kollegialorgans wesentlichen Beratungsgeheimnis unterliegen, sodass die betreffenden Aktenteile von der Akteneinsicht auszunehmen sind.

Im Verfahren des Ausschusses der RAK ist das AVG anzuwenden. Gemäß § 18 Abs 4 AVG hat jede schriftliche Ausfertigung die Bezeichnung der Behörde, das Datum der Genehmigung und den Namen des Genehmigenden zu enthalten. Einzelne Mitglieder einer Kollegialbehörde müssen namentlich zwar nicht genannt werden. Die Bekanntgabe der Mitglieder der über eine Sache entscheidenden Behörde kann jedoch für die Überprüfung der richtigen Zusammensetzung und der Unbefangenheit erforderlich sein. Bei Auskünften nach dem AuskunftspflichtG hat eine Interessenabwägung zwischen der Amtsverschwiegenheit und dem Interesse des Auskunftswerbers an der Information zu erfolgen.

Angelegenheiten, in denen jemand Parteistellung hat, stehen einer Auskunftserteilung nach dem AuskunftspflichtG entgegen, weil die Möglichkeit zur Akteneinsicht besteht. In Angelegenheiten, in denen der Rechtsanwalt keine Parteistellung hatte, könnte sein Interesse an der Erlangung der Informationen über die Zusammensetzung der entscheidenden Behörde überwiegen. Da die RAK hierzu keine Feststellungen traf, war der Bescheid zu beheben und die Angelegenheit an die RAK zurückzuverweisen.

BVwG 02.09.2024, W292 2292958-1

BVwG, Verfristung

Ein Betroffener behauptete, durch das BVwG in seinem Grundrecht auf Datenschutz und Geheimhaltung sensibler personenbezogener Daten verletzt worden zu sein.

Der Betroffene wies sich bei einer öffentlichen mündlichen Verhandlung beim BVwG mit seinem Behindertenpass aus. Da im Verhandlungsprotokoll der mündlichen Verhandlung die Information über seinen Behindertenpass aufschien, erhob der Betroffene eine Beschwerde gemäß Art 130 Abs 2a

B-VG. Er führte aus, dass er nicht darüber informiert wurde, dass seine Daten an Dritte weitergegeben werden würden. Mit diesem Wissen hätte er sich mit dem Reisepass ausgewiesen. Dem Betroffenen wurde jedoch bereits nach der Verhandlung ein Kurzprotokoll vorgelegt, auf dem vermerkt wurde, dass er sich mit einem Behindertenpass ausgewiesen hat, wogegen er am Ende der Verhandlung keine Einwände erhob. Auch nach Zustellung einer Vollschrift des Verhandlungsprotokolls, in welchem die Information über den Behindertenpass übernommen wurde, erhob der Betroffene Einwendungen nur gegen das Verhandlungsprotokoll, jedoch nicht gegen die Protokollierung des Behindertenpasses selbst.

Das BVwG entschied in einem aus drei Berufsrichtern gebildeten Senat und wies die Beschwerde als verspätet zurück.

Das BVwG hat erwogen: Wer durch ein Organ in Ausübung seiner justiziellen Tätigkeit im Grundrecht auf Datenschutz verletzt wurde, kann gemäß § 85 Abs 8 GOG dem Bund gegenüber die Feststellung dieser Verletzung begehren. Gemäß § 24a BVwGG gelten die §§ 84 und 85 GOG sinngemäß für Organe des BVwG mit der Maßgabe, dass über behauptete Datenschutzverletzungen ein Senat des BVwG entscheidet. Der behaupteten Verletzung liegt das Handeln eines Organs des BVwG in Ausübung seiner justiziellen Tätigkeit iSd Art 55 Abs 3 DSGVO und den §§ 84 und 85 GO – nämlich die Aufnahme einer Information zum Ausweisdokument in eine Verhandlungsschrift – zugrunde.

Die Beschwerde ist innerhalb eines Jahres ab dem Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, beim BVwG einzubringen. Nach Ablauf von drei Jahren nach der Entscheidung oder dem Vorgang kann die Feststellung nicht mehr begehrt werden. Der Betroffene musste die behauptete Datenschutzverletzung bereits im Rahmen der Unterzeichnung des Kurzprotokolls am 21.04.2021 kennen. Er erhob die Beschwerde jedoch erst am 01.06.2024. Zudem hat der Betroffene fünf Tage nach Zustellung der Vollschrift des Verhandlungsprotokolls Einwendungen erhoben, welche sich damals nicht auf die Protokollierung des Behindertenausweises bezogen. Vor diesem Hintergrund war die Beschwerde als verfristet zurückzuweisen.

BVwG 12.09.2024, W252 2272069-1

Impferinnerungsschreiben, Mitwirkungspflicht

Der Empfänger eines COVID-19-Impferinnerungsschreibens behauptete, dass der (vermeintlich) absendende Verantwortliche sein Grundrecht auf Geheimhaltung verletzt habe. Der (vermeintliche) Verantwortliche soll rechtswidrig auf seine im Impfregister hinterlegten Daten zugegriffen haben. Das Impferinnerungsschreiben legte der Empfänger der Datenschutzbeschwerde nicht bei. Die DSB legte einen anderen Verantwortlichen als Beschwerdegegner fest und gab der Datenschutzbeschwerde statt. Daraufhin erhob der Beschwerdegegner eine (erfolgreiche) Bescheidbeschwerde.

Das BVwG hat erwogen: Gemäß Art 77 DSGVO kommt jeder Person das Recht zu, Beschwerde bei einer Aufsichtsbehörde zu erheben, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Art 77 DSGVO macht keine inhaltlichen Vorgaben, verlangt jedoch ausreichende Angaben, damit die DSB die Art und Weise der Verarbeitung sowie den Verstoß gegen die DSGVO nachvollziehen kann.

Wenn es der DSB nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, besteht eine Mitwirkungspflicht der Partei. Dies vor allem dann, wenn die DSB sich die Kenntnis von ausschließlich in der Sphäre der Partei liegenden Umständen nicht von Amts wegen beschaffen kann. Der Empfänger machte eine Verletzung seines Rechts auf Geheimhaltung geltend, legte auf Nachfrage des BVwG jedoch kein Impferinnerungsschreiben vor. Aufgrund der Mitwirkungspflicht wäre der Empfänger dazu verpflichtet gewesen, den Beweis zu erbringen, dass seine personenbezogenen Daten tatsächlich verarbeitet wurden. Da der Empfänger mittlerweile verstorben ist, kann er dieser Mitwirkungspflicht nicht mehr nachkommen. Die Verletzung des Rechts auf Geheimhaltung konnte somit nicht festgestellt werden. Vor diesem Hintergrund war der Bescheidbeschwerde stattzugeben und die ursprüngliche Datenschutzbeschwerde abzuweisen. Anm: Dem BVwG ist zwar beizupflichten, dass der Empfänger des Impferinnerungsschreibens seine Betroffenheit durch Vorlage des Impferinnerungsschreibens nachzuweisen gehabt hätte. Da der Empfänger während des laufenden Verfahrens verstorben ist, wäre der Bescheid jedoch ersatzlos zu beheben und das Verfahren einzustellen gewesen (vgl zB BVwG 07.06.2023, W214 2263568-1).

Das Recht auf eine Kopie der personenbezogenen Daten gemäß Art 15 Abs 3 DSGVO ist eine Regelung für die Form der Unterrichtung des Betroffenen. Art 15 Abs 3 Satz 1 DSGVO räumt dem Betroffenen neben dem Recht auf Auskunft gemäß Art 15 Abs 1 DSGVO kein zusätzliches – eigenständiges – Recht auf Kopien von Auszügen aus Dokumenten, von ganzen Dokumenten oder Auszügen aus Datenbanken, die personenbezogene Daten enthalten, ein (BVwG 09.09.2024, W176 2283061-1).
In der Systematik des Art 12 Abs 3 und 4 DSGVO kommt zum Ausdruck, dass das in Art 15 DSGVO normierte Betroffenenrecht auf Auskunft jedenfalls (zunächst) im Wege eines Antrags an den Verantwortlichen durchzusetzen ist. Ist an den Verantwortlichen kein Auskunftsersuchen gestellt worden, ist die Datenschutzbeschwerde von der DSB abzuweisen. Die Auslegung einer Erklärung ist am Empfängerhorizont zu messen. Ist für den objektiven Erklärungsempfänger kein Auskunftsersuchen ersichtlich, ist von keinem Auskunftsersuchen auszugehen (BVwG 12.09.2024, W287 2296629-1).
Wird eine Datenschutzbeschwerde während des laufenden Verfahrens vor dem BVwG zurückgezogen, entfällt die Zuständigkeit der DSB rückwirkend, sodass der Bescheid der DSB ersatzlos zu beheben und das Verfahren einzustellen ist (BVwG 16.09.2024, W137 2262841-1; W137 2263387-1; W137 2257622-1).
Wird eine Bescheidbeschwerde während des laufenden Verfahrens vor dem BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 10.09.2024, W292 2285395-1).

Rechtsprechung des BFG

Bescheidbeschwerden gegen Bescheide der DSB unterliegen einer Pauschalgebühr, die zum Zeitpunkt des Einbringens der Bescheidbeschwerde bei der DSB zu entrichten ist. Die Gebührenschuld entsteht bereits beim Einbringen der Bescheidbeschwerde (BFG 27.09.2024, RV/5100356/2024).

Vorschau EuG- und EuGH-Rechtsprechung

Am 17.10.2024 wird das Urteil des EuGH in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.

Datenschutzmonitor 09.10.2024

Rechtsprechung des EuGH

EuGH 04.10.2024, C-446/21, Schrems III

Personalisierte Online-Werbung, Datenminimierung, sensible Daten

Meta Platforms Ireland ("Meta") betreibt die Plattform Facebook innerhalb der EU. Ein Facebook-Nutzer klagte Meta, weil seine Daten für personalisierte Werbung ohne rechtsgültige Einwilligung verwendet worden seien. Das Geschäftsmodell von Meta ist es, Einnahmen durch zielgerichtete Werbung und kommerzielle Inhalte zu generieren. Die Werbung wird durch Erstellung detaillierter Profile der Nutzer personalisiert. Dafür werden Daten innerhalb und außerhalb des sozialen Netzwerks erfasst und verarbeitet. Laut Vorlageentscheidung hat der Nutzer Meta nicht erlaubt, seine außerhalb von Facebook erlangten Daten für personalisierte Werbung zu nutzen. Außerdem es hat der Nutzer nicht gestattet, bestimmte Profilinformationen (zB Beziehungsstatus, Arbeitgeber, Beruf, Ausbildung) für personalisierte Werbung zu verwenden. Meta habe jedoch Daten von Webseiten Dritter für die Erstellung von zielgerichteter Werbung verwendet, unter anderem auch Daten zur sexuellen Orientierung des Nutzers. Zwar habe der Nutzer seine sexuelle Orientierung öffentlich gemacht, aber nicht auf seinem Facebook-Profil.

Nachdem die Klage in den unteren Instanzen abgewiesen wurde, wandte sich der Nutzer mit seiner Revision an den OGH. Der OGH fragte den EuGH, ob personenbezogene Daten uneingeschränkt für personalisierte Werbung genutzt werden dürfen und ob die öffentliche Bekanntmachung sensibler Daten durch den Betroffenen die Verwendung dieser Daten für personalisierte Werbung erlaubt.

Der EuGH hat erwogen: Ziel der DSGVO ist, ein hohes Schutzniveau der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Jede Verarbeitung personenbezogener Daten muss im Einklang mit den in Art 5 DSGVO genannten Verarbeitungsgrundsätzen stehen, die in Art 6 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen und die Betroffenenrechte in Art 12-22 DSGVO beachten.

Dem Grundsatz der Datenminimierung entspricht eine Datenverarbeitung, wenn sie auf den notwendigen Zeitraum beschränkt ist. Auswirkungen für die Betroffenen sind umso schwerer, je länger Daten gespeichert werden. Umso höher sind auch die Anforderungen an die Rechtmäßigkeit der Datenspeicherung. Nach Erreichung des Verarbeitungszwecks müssen die Daten gelöscht werden. Eine ursprünglich zulässige Datenverarbeitung kann mit der Zeit gegen die DSGVO verstoßen, wenn die Daten nicht mehr für die Zweckerreichung, erforderlich sind. Eine unbegrenzte Speicherung der Nutzerdaten eines sozialen Netzwerks zu Zwecken der zielgerichteten Werbung ist ein unverhältnismäßiger Eingriff in die Rechte der Betroffenen.

Daten dürfen nicht unterschiedslos erhoben und gespeichert werden. Nicht erforderliche Daten sind nicht zu erheben. Dabei hat der Verantwortliche gemäß Art 25 Abs 2 DSGVO Maßnahmen zu treffen, die sicherstellen, dass nur die für die Zweckerreichung notwendigen Daten verarbeitet werden. Datenverarbeitungen sind besonders umfassend, wenn sie potenziell unbegrenzte Daten betreffen und die Onlineaktivitäten zum großen Teil erfassen. Bei Betroffenen kann dies das Gefühl der dauernden Überwachung auslösen.

Der Grundsatz der Datenminimierung steht einer Verarbeitung sämtlicher personenbezogener Daten entgegen, die ein Betreiber einer Onlineplattform von der betroffenen Person oder von Dritter Seite erhält, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet.

Mit der Verarbeitung von besonderen Kategorien personenbezogener Daten (zB politische Meinung, sexuelle Orientierung) ist ein erhebliches Risiko für die Grundfreiheiten und Grundrechte der Betroffenen verbunden. Die Bestimmung des Art 9 Abs 1 DSGVO verbietet grundsätzlich solche Datenverarbeitungen. Ausnahmen sieht Art 9 Abs 2 DSGVO für die Rechtfertigung von der Verarbeitung besonderer Kategorien personenbezogener Daten vor.

Eine Verarbeitung kann nach Art 9 Abs 2 lit e DSGVO gerechtfertigt sein, wenn Daten durch den Betroffenen durch eine eindeutige bestätigende Handlung einer breiten Öffentlichkeit zugänglich gemacht wurden. Eine Veröffentlichung im Rahmen einer Podiumsdiskussion mit Livestream ist so eine Handlung. Die Veröffentlichung von Daten bedeutet jedoch für den Betreiber einer Onlineplattform keine Zustimmung iSd Art 9 Abs 2 lit a DSGVO, die von dritten Partnern erhaltenen Daten für die Erstellung von personalisierter Werbung zu verwenden.

EuGH 04.10.2024, C-507/23, Patērētāju tiesību aizsardzības centrs

Immaterieller Schaden, Entschuldigung

Ein Journalist mit Fachkenntnissen im Automobilbereich wurde ohne sein Einverständnis in einer Videosequenz der Kampagne einer Verbraucherschutzbehörde von einer anderen Person imitiert. Der Journalist verlangte die Beendigung der Verbreitung und Schadenersatz wegen Rufschädigung.

Das Erstgericht sprach dem Journalisten einen Schadenersatz in Form einer (i) Entschuldigung und (ii) Entschädigung iHv EUR 2.000 zu. Das Berufungsgericht bestätigte den Schadenersatz in Form der Entschuldigung, verwarf jedoch die finanzielle Entschädigung. Das vorlegende Höchstgericht stellte dem EuGH mehrere Fragen zum immateriellen Schadenersatz, ua wollte das Höchstgericht wissen, ob ein immaterieller Schaden iSd Art 82 Abs 1 DSGVO durch eine Entschuldigung ausgeglichen werden kann.

Der EuGH hat erwogen: Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Eintritt eines Schadens ist nur eine potenzielle und keine automatische Folge einer rechtswidrigen Verarbeitung. Ein Verstoß gegen die DSGVO führt nicht zwangsläufig zu einem Schaden.

Die Voraussetzungen für einen immateriellen Schadenersatzanspruch sind (i) das Vorliegen eines immateriellen "Schadens", (ii) das Vorliegen eines Verstoßes gegen die DSGVO und (iii) ein Kausalzusammenhang zwischen Schaden und Verstoß.

Da Art 82 DSGVO keine Regeln für die Bemessung des Schadenersatzes festlegt, sind nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden. Der Schadenersatzanspruch nach Art 82 DSGVO hat ausschließlich eine Ausgleichsfunktion.

Bei fehlender Schwere des entstandenen Schadens kann ein geringfügiger Schadenersatz ausreichen. Auch eine Entschuldigung kann ein angemessener Ersatz für einen immateriellen Schaden sein, sofern diese Form des Schadenersatzes geeignet ist, den dem Betroffenen entstandenen Schaden in vollem Umfang auszugleichen.

Die Schwere eines Verstoßes gegen die DSGVO sowie die Haltung und die Beweggründe des Verantwortlichen sind beim Festlegen der Höhe der finanziellen Entschädigung – anders als bei der Strafbemessung nach Art 83 DSGVO – nicht zu berücksichtigen. Anm: Der EuGH leitete seine Rechtsprechungslinie zum immateriellen Schadenersatz iSd Art 82 DSGVO mit Urteil vom 04.05.2023, C-300/21, Österreichische Post, ein und sprach dort von einer "finanziellen Entschädigung" zum Ausgleich des erlittenen Schadens. Der EuGH wiederholte seine Wortwahl seitdem in mehreren Urteilen (EuGH 21.12.2023, C-667/21, Krankenversicherung Nordrhein; 25.01.2024, C-687/21, MediaMarktSaturn; 11.04.2024, C-741/21, juris; 20.06.2024, C-182/22 und C-189/22, Scalable Capital; 20.06.2024, C-590/22, PS [Fehlerhafte Anschrift]). Diese Wortwahl legte nahe, dass sofern ein Schaden festgestellt wird, eine finanzielle Entschädigung zuzusprechen ist. Aus der nunmehrigen Entscheidung folgt jedoch, dass der eingetretene Schaden nicht zwingend durch eine finanzielle Entschädigung auszugleichen ist, sondern etwa auch eine Entschuldigung ausreichen kann.

EuGH 04.10.2024, C-21/23, Lindenapotheke

Apotheke, Mitbewerber, Unterlassungsklage, Gesundheitsdaten

Der Betreiber der Lindenapotheke vertrieb apothekenpflichtige Arzneimittel über Amazon-Marketplace (Amazon), wofür Kunden Angaben wie Namen, Lieferadresse und Informationen zur Individualisierung der Arzneimittel eingeben mussten. Ein anderer Apotheker (= Mitbewerber) erhob Unterlassungsklage, weil der Vertrieb wegen des Verstoßes gegen Datenschutzvorschriften unlauter sei und beantragte, der Lindenapotheke den Vertrieb über Amazon zu verbieten, solange die Kunden nicht vorab in die Verarbeitung von Gesundheitsdaten einwilligen. Das vorlegende Gericht fragte, ob Mitbewerber bei Datenschutzverstößen zivilrechtlich gegen den Verletzer vorgehen können und ob die Daten tatsächlich als Gesundheitsdaten einzustufen sind.

Der EuGH hat erwogen: Die Bestimmungen des Kapitels VIII der DSGVO stehen einer nationalen Regelung nicht entgegen, die Mitbewerbern erlaubt, bei DSGVO-Verstößen unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken zu klagen. Die DSGVO schließt Klagen von Mitbewerbern nicht ausdrücklich aus. Das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bestehen vielmehr unbeschadet jeglicher anderer verwaltungsrechtlicher, gerichtlicher oder außergerichtlicher Rechtsbehelfe.

Aus dem Wortlaut und dem Kontext der Bestimmungen des Kapitels VIII ergibt sich, dass der Unionsgesetzgeber keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem DSGVO-Verstoß zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Unterlassungsklage erheben können. Diese Möglichkeit stärkt sogar die praktische Wirksamkeit der DSGVO und verbessert damit das Schutzniveau der Betroffenen. Es ist aber Sache des nationalen Gerichts, zu prüfen, ob der mutmaßliche Verstoß gegen die DSGVO auch ein Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken gemäß den einschlägigen nationalen Regelungen ist.

Daten zum Erwerb von Arzneimitteln sind Gesundheitsdaten iSd Art 5 Z 1 DSGVO, wenn daraus Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Es genügt, wenn aus den eingegebenen Daten mittels gedanklicher Kombination oder Ableitung Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können, indem eine Verbindung zwischen dem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und der natürlichen Person hergestellt wird.

Dies gilt auch, wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für den Kunden bestimmt sind. Werden die Arzneimittel für andere Personen bestellt, kann nicht ausgeschlossen werden, dass auch diese Personen identifiziert und Rückschlüsse auf ihren Gesundheitszustand gezogen werden können.

EuGH 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond

Interessenabwägung, wirtschaftliche Interessen

Der Tennisbond ist ein Sportverband, der in Form eines Vereins gegründet ist. Die Mitglieder dieses Sportverbands sind die ihm angeschlossenen Tennisvereine sowie deren Mitglieder, die durch Beitritt zum Tennisverein automatisch auch Mitglied des Tennisbonds werden. Der Tennisbond hat personenbezogene Daten seiner Mitglieder an zwei seiner Sponsoren gegen Entgelt offengelegt. Diese Daten umfassten Namen, Anschriften, Wohnorte, Geburtsdaten, Festnetz- und Mobiltelefonnummern, E-Mail-Adressen und die Namen der Tennisclubs, denen die Mitglieder angehörten. Die Sponsoren nutzten die Daten, um Werbebriefe an die Mitglieder zu versenden und Werbeanrufe durchzuführen. Die niederländische Aufsichtsbehörde verhängte eine Geldbuße von EUR 525.000 gegen Tennisbond, wogegen Tennisbond Rechtsmittel erhob. Das vorlegende Gericht fragte den EuGH ua, ob eine Datenverarbeitung, die im reinen wirtschaftlichen Interesse des Verantwortlichen liegt, auf die Wahrung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.

Der EuGH hat erwogen: Ziel der DSGVO ist es, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten. Um diesem Ziel gerecht zu werden, muss jede Verarbeitung personenbezogener Daten im Einklang mit den Art 5 und 6 DSGVO stehen. Art 6 Abs 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Art 6 Abs 1 lit b bis f DSGVO sind eng auszulegen, weil in diesen Fällen die Verarbeitung ohne Einwilligung der Betroffenen erfolgt.

Nach Art 6 Abs 1 lit f DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz dieser personenbezogenen Daten erfordern, überwiegen. Ein breites Spektrum von Interessen kann als berechtigt gelten. Der Begriff "berechtigtes Interesse" verlangt nicht, dass das Interesse gesetzlich geregelt sein muss. Ein wirtschaftliches Interesse des Verantwortlichen kann ein berechtigtes Interesse sein, sofern es nicht gesetzwidrig ist.

Die Verarbeitung personenbezogener Daten muss zur Verwirklichung des berechtigten Interesses erforderlich sein. Das berechtigte Interesse darf nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden können, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen. Dem Tennisbond wäre es möglich gewesen, seine Mitglieder im Voraus zu informieren und nachzufragen, ob sie einer Weitergabe ihrer Daten für Werbe- oder Marketingzwecke möchten.

Zu beachten ist insbesondere, dass es sich bei einem der Sponsoren um einen Glücksspielanbieter handelt und die Mitglieder daher der Gefahr der Entwicklung einer Spielsucht ausgesetzt werden könnten.

EuGH 04.10.2024, C-200/23, Agentsia po vpisvaniyata

Handelsregister, Rollenverteilung, immaterieller Schaden

Eine staatliche Agentur veröffentlichte das Gründungsdokument einer Gesellschaft mit beschränkter Haftung, aus dem Vor- und Zuname eines Gesellschafters, seine ID-Nummer samt Ausstellungsort und -datum, seine Adresse sowie seine Unterschrift für die Öffentlichkeit einsehbar waren. Der Gesellschafter wandte sich gegen die Agentur und zog vor Gericht. Das vorlegende Gericht stellte ua Fragen an den EuGH zur Verarbeitung personenbezogener Daten in einem Handelsregister.

Der EuGH hat erwogen: Die mit der Führung des Handelsregisters betraute Behörde eines Mitgliedsstaates, welche die in diesem Register enthaltenen personenbezogenen Daten veröffentlicht, ist sowohl als Empfängerin dieser Daten als auch als datenschutzrechtliche Verantwortliche anzusehen.

Die handschriftliche Unterschrift einer natürlichen Person ist ein personenbezogenes Datum.

Auch eine bloß temporäre Veröffentlichung personenbezogener Daten im Handelsregister eines Mitgliedstaats kann einen immateriellen Schaden auf Seiten der betroffenen Person auslösen, ohne dass der Begriff des "immateriellen Schadens" den Nachweis zusätzlicher konkreter negativer Folgen erfordert.

Eine auf Art 58 Abs 3 lit b DSGVO gestützte Stellungnahme einer Aufsichtsbehörde eines Mitgliedstaats reicht nicht aus, um die für die Führung des Handelsregisters – und als datenschutzrechtliche Verantwortliche zu qualifizierende – zuständige Behörde von einer allfälligen Haftung nach Art 82 DSGVO zu befreien.

EuGH 04.10.2024, C-548/21, Bezirkshauptmannschaft Landeck

StPO, Mobiltelefon, Auswertung

Zollbeamte beschlagnahmten im Rahmen einer Suchtmittelkontrolle ein Paket, in dem sich 85 g Cannabiskraut befanden. Die Kriminalpolizei nahm Ermittlungen gegen einen Tatverdächtigen auf. Die Polizeibeamten stellten das Mobiltelefon des Tatverdächtigen sicher und versuchten, es zu entsperren, um dessen Inhalte und Daten auszulesen. Einer Genehmigung der Staatsanwaltschaft oder eines Gerichts bedurfte es nach der StPO hierfür nicht. Über die versuchte Auswertung der Telefondaten wurde der Tatverdächtige erst in Kenntnis gesetzt, nachdem er Beschwerde gegen die Sicherstellung seines Mobiltelefons erhob.

Das LVwG Tirol fragte den EuGH zum einen, ob (i) der Zugriff öffentlicher Stellen auf sämtliche Daten eines Mobiltelefons einen so schweren Eingriff in das Grundrecht auf Datenschutz bewirke, dass dieser bloß bei der Bekämpfung schwerer Kriminalität erfolgen darf, (ii) ein solcher Zugriff auch ohne vorherige Genehmigung durch ein Gericht oder durch eine unabhängige Verwaltungsstelle erfolgen darf und (iii) die Datenauswertung durchgeführt werden darf, ohne dass der Betroffene hierüber in Kenntnis gesetzt wird.

Der EuGH hat erwogen: Die Grundrechte auf Schutz personenbezogener Daten und auf Achtung des Privat- und Familienlebens gelten grundsätzlich nicht uneingeschränkt, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden. Jegliche Einschränkung ihrer Ausübung muss gemäß Art 52 Abs 1 GRC gesetzlich vorgesehen sein, ihren Wesensgehalt achten sowie den Grundsatz der Verhältnismäßigkeit wahren. Dabei bedarf die Prüfung der Verhältnismäßigkeit eines Grundrechtseingriffs einer Gewichtung aller relevanten Gesichtspunkte des Einzelfalls. Zu diesen Gesichtspunkten zählen ua (i) die Schwere des Grundrechtseingriffs, die von der Natur und der Sensibilität der Daten abhängt, auf die von den zuständigen Sicherheitsbehörden zugegriffen werden kann, (ii) die Bedeutung des damit verfolgten, dem Gemeinwohl dienenden Ziels und (iii) die Verbindung zwischen dem Eigentümer des Mobiltelefons und der in Rede stehenden Straftat.

Die Gewichtung all dieser Gesichtspunkte hat eine unabhängige Stelle vorzunehmen, die über alle Befugnisse verfügt und alle Garantien bietet, die erforderlich sind, um einen gerechten Ausgleich zwischen den berechtigten Interessen zur Kriminalitätsbekämpfung (des Staates) einerseits und der Achtung des Privatlebens und des Datenschutzes (von potenziell Tatverdächtigen) andererseits herzustellen. Diese unabhängige Kontrolle muss – außer in hinreichend begründeten Einzelfällen – grundsätzlich im Vorfeld jedes Versuchs von staatlicher Seite, Zugang zu Daten auf einem Mobiltelefon zu erlangen, erfolgen.

Den behördlichen Zugang zu Daten auf einem Mobiltelefon bloß im Rahmen der Bekämpfung schwerer Kriminalität zuzulassen, könnte die Gefahr der Straflosigkeit von Straftaten bewirken und wäre dem der DSGVO immanenten Ziel der Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts in der Union abträglich.

Bei der Verhältnismäßigkeitsprüfung ist zu beachten, dass jede Einschränkung der Ausübung eines Grundrechts gesetzlich vorgesehen sein muss. Dabei hat die Rechtsgrundlage die Tragweite des Grundrechtseingriffs hinreichend klar und präzise zu definieren. Um diesem Erfordernis zu genügen, muss der nationale Gesetzgeber die zu berücksichtigenden Gesichtspunkte, insb die Art oder die Kategorie der betreffenden Straftaten, konkretisieren.

Daraus folgt, dass eine nationale Regelung, die Behörden den Zugriff zu sämtlichen auf einem Mobiltelefon gespeicherten Daten ermöglicht, dann unionrechtskonform ist, wenn diese Regelung die Art oder die Kategorie der betreffenden Straftaten hinreichend präzise definiert, die Wahrung des Grundsatzes der Verhältnismäßigkeit gewährleistet und der behördliche Zugriff – außer in hinreichend begründeten Einzelfällen – an eine vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle geknüpft ist.

Ein Betroffener ist über den Datenzugriff zu informieren, sobald die Übermittlung dieser Information die Aufklärung einer Straftat nicht (mehr) beeinträchtigen kann.

Rechtsprechung des VwGH

VwGH 03.09.2024, Ro 2022/04/0031

Schule, Art 6 Abs 1 lit e DSGVO, Interessenabwägung

Ein Lehrer einer Berufsschule fühlte sich durch die Veröffentlichung seiner personenbezogenen Daten auf der Schulwebsite in seinem Recht auf Geheimhaltung verletzt. Auf der Website sind der Vor- und Nachname, der akademische Grad und die dienstliche E-Mail-Adresse des Lehrers angegeben, um den Kontakt zwischen Lehrpersonal, Schülern und Erziehungsberechtigten zu erleichtern. Der Lehrer sah darin einen Verstoß gegen Art 5 und Art 6 DSGVO.

Die DSB wies die Datenschutzbeschwerde des Lehrers ab, weil die Veröffentlichung der personenbezogenen Daten des Lehrers auf Art 6 Abs 1 lit e DSGVO gestützt werden konnte. Die Bescheidbeschwerde des Lehrers an das BVwG und seine anschließende Revision an den VwGH wurden jeweils abgewiesen.

Der VwGH hat erwogen: Nach Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Der Zweck der Verarbeitung muss dabei nicht ausdrücklich in einer Rechtsgrundlage festgelegt sein. Daher ist es unerheblich, dass § 56 SchUG keine konkrete Datenverarbeitung normiert. Entscheidend ist, ob die in § 56 SchUG beschriebenen Aufgaben im öffentlichen Interesse liegen und ob die gegenständliche Datenverarbeitung einer dieser Aufgaben dient.

Gemäß § 56 Abs 2 SchUG obliegt dem Schulleiter die Leitung der Schule sowie die Pflege der Verbindung zwischen Schule, Schülern und ihren Erziehungsberechtigten. Diese Aufgaben zielen auf die schulische Qualitätsentwicklung ab und verfolgen letztlich das Ziel, den größtmöglichen Kompetenzerwerb der Schüler zu fördern. Folglich liegen diese Aufgaben im öffentlichen Interesse.

Weiters ermöglichen alternative Kommunikationswege, etwa über das Schulsekretariat oder geschützte Bereiche auf Online-Plattformen, nicht den gleichen Grad an direkter und rascher Kommunikation, wie die Veröffentlichung der E-Mail-Adressen. Darüber hinaus kann bei der Beurteilung der Rechtmäßigkeit der Datenverarbeitung darauf Bedacht genommen werden, dass die dienstliche E-Mail-Adresse nicht den Kernbereich der geschützten Privatsphäre, sondern die Sozialsphäre betrifft, die sich etwa durch die Interaktion mit Außenstehenden auszeichnet. Des Weiteren ist auch die Sensibilität der Daten und die Schwere des Eingriffs zu berücksichtigen.

VwGH 03.09.2024, Ra 2023/04/0042

AMS, Speicherbegrenzung, Rechtsansprüche

Ein Kunde des Arbeitsmarktservice (AMS) erhob bei der DSB eine Datenschutzbeschwerde, weil beim Erstellen eines eAMS-Kontos im Jahr 2019 seine Daten aus einem Geschäftsfall von 1992-1994 vorausgefüllt gewesen seien. Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Verarbeitung der Daten des Kunden zur Erfüllung der Aufgaben des AMS erforderlich war. Das BVwG gab der daraufhin vom Kunden erhobenen Bescheidbeschwerde teilweise statt. Es stellte fest, dass das AMS den Mitbeteiligten in seinem Recht auf Geheimhaltung verletzt habe, indem es die Daten von 1992-1994 ohne Rechtsgrundlage weiterverarbeitet habe. § 25 Abs 9 Arbeitsmarktservicegesetz (AMSG) sehe nämlich eine eindeutige Frist von sieben Jahren für die Aufbewahrung der in § 25 Abs 1 AMSG genannten Daten vor. Das AMS erhob daraufhin eine (erfolglose) Revision an den VwGH und brachte vor, § 25 Abs 9 AMSG würde Art 6 DSGVO einschränken, weil eine zeitliche Beschränkung vorgesehen wird, welche die DSGVO nicht kenne. Außerdem würde die Bestimmung die Ansprüche der Arbeitssuchenden beeinträchtigen, weil sich Ansprüche nicht bloß auf die letzten sieben Jahre beziehen würden.

Der VwGH hat erwogen: Gemäß Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Die Regelung des § 25 AMSG verfolgt das im öffentlichen Interesse liegende Ziel, dem AMS zur Erfüllung seiner gesetzlichen Aufgaben die Aufbewahrung der Daten zu ermöglichen. Die DSGVO erlaubt den Mitgliedstaaten, spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften zu erlassen. Die DSGVO geht somit davon aus, dass Zweckbegrenzungen oder Speicherfristen durch nationale Bestimmungen vorgesehen werden dürfen. § 25 Abs 9 AMSG legt eine Frist von sieben Jahren für die Aufbewahrung der Daten fest. Diese Frist steht im Einklang mit den Bestimmungen der DSGVO. Zudem normiert der Grundsatz der Speicherbegrenzung gemäß Art 5 Abs 1 lit e DSGVO eine zeitliche Begrenzung für die Verarbeitung personenbezogener Daten.

In § 25 Abs 9 zweiter Satz AMSG ist ein Ausnahmetatbestand von der siebenjährigen Frist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vorgesehen. Das BVwG geht davon aus, dass das AMS keine ihm zukommenden Rechtsansprüche aufgezeigt habe. Das AMS bringt vor, dadurch wären die Ansprüche der Arbeitssuchenden gefährdet. Unter dem Begriff "Verteidigung von Rechtsansprüchen" sind auch Fälle zu subsumieren, in denen der Verantwortliche Rechtsansprüche eines Dritten abwehrt oder bestreitet. Jedoch handelt es sich bei § 25 Abs 9 zweiter Satz um eine Ausnahme von der im ersten Satz AMSG vorgesehenen Aufbewahrungsfrist. Das AMS wird somit nicht ermächtigt, die Daten generell länger als sieben Jahre aufzubewahren. Das Vorbringen des AMS, dass die jährlichen Zahlen an Fällen zeigen, dass die Ansprüche der Arbeitssuchenden auf Leistungen nicht auf sieben Jahre befristet wären, ist nicht ausreichend. Das AMS hat keine konkrete Erforderlichkeit der längeren Speicherung der Daten des spezifischen Kunden aufgezeigt.

Die ungenaue oder unrichtige Bezeichnung des Verantwortlichen ist der Unzumutbarkeit seiner Namhaftmachung gleichzuhalten. Ein Mängelbehebungsauftrag ist dem Beschwerdeführer nicht aufzutragen, weil das die Zumutbarkeit der Benennung des Beschwerdegegners voraussetzen würde. Die DSB darf in solchen Fällen den Beschwerdegegner selbst ermitteln und gegen ihn das Verfahren führen. Daraus ergibt sich aber nicht, dass der ermittelte Beschwerdegegner tatsächlich der Verantwortliche ist (VwGH 03.09.2024, Ra 2023/04/0092; Ra 2023/04/0107 ua).
Ein Aussetzungsbescheid der DSB, mit dem das Verfahren "bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses" ausgesetzt wird, ist mangels einfachgesetzlicher Rechtsgrundlage rechtswidrig (VwGH 06.09.2024, Ro 2023/04/0006).

Rechtsprechung des OGH

Einer Bank kann keine Sorgfaltswidrigkeit zur Last gelegt werden, wenn trotz erfolgter starker Kundenauthentifizierung und erstmaliger Blockierung einer verdächtigen Überweisung durch das Transaktionsüberwachungssystem der Bank, der Kunde aufgrund falscher Vorstellungen die Überweisung dennoch (gestückelt in kleinere Beträge) freigibt (OGH 28.08.2024, 7Ob95/24g).

Rechtsprechung des BVwG

Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das BVwG hat in einem solchen Fall den erstinstanzlichen Bescheid ersatzlos zu beheben (BVwG 09.2024, W292 2247490-1; 16.09.2024, W287 2248646-1).
Wird eine Bescheidbeschwerde vor Entscheidung des BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 26.07.2024, W256 2247956-1; W256 2249414-1).

Rechtsprechung der LVwG

Eine Behörde darf durch den behördlich zugelassenen Zustelldienst "Bundesrechenzentrum GmbH" ("MeinPostkorb") eine Strafverfügung zustellen. Entscheidet sich die Behörde jedoch für eine Zustellung ohne Zustellnachweis durch ein Zustellsystem gemäß § 36 ZustG und wird ein Zustellmangel behauptet, liegt es an der Behörde, einer solchen Behauptung entgegenzutreten. Gelingt der Behörde der Nachweis über den Zustellzeitpunkt nicht, ist von einem Zustellmangel auszugehen, der gemäß § 7 ZustG geheilt werden kann (LVwG Steiermark 12.04.2024, 30.5-736/2024).

Vorschau der EuGH-Rechtsprechung

Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Datenschutzmonitor 02.10.2024

Rechtsprechung des EuGH

EuGH 26.09.2024, C-768/21, Land Hessen

Aufsichtsbehörde, Aufsichtsbefugnisse, Ermessen, subjektives Recht, Geldbuße

Eine Bankmitarbeiterin griff mehrmals unbefugt auf die Daten eines ihrer Kunden zu. Die Bank meldete die Datenschutzverletzung gemäß Art 33 DSGVO der zuständigen Aufsichtsbehörde. Den Bankkunden verständigte die Bank nicht. Nachdem der Bankkunde beiläufig erfuhr, dass die Bankmitarbeiterin mehrfach unrechtmäßig auf seine Daten zugegriffen hatte, beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt.

Die Bankmitarbeiterin gab die Daten des Bankkunden an keinen Dritten weiter und verwendete die Daten nicht zum Nachteil des Bankkunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Bankmitarbeiterin. Die Aufsichtsbehörde verneinte daher eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Den Bescheid der Aufsichtsbehörde bekämpfte der Bankkunde vor dem zuständigen Verwaltungsgericht. Das Gericht fragte den EuGH, ob die Aufsichtsbehörde, wenn sie eine Verletzung von Betroffenenrechten feststellt, stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.

Der EuGH hat erwogen: Jede Aufsichtsbehörde ist verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden in aller gebotenen Sorgfalt zu befassen. Zur Bearbeitung von Beschwerden verfügen Aufsichtsbehörden gemäß Art 58 Abs 1 DSGVO über weitreichende Untersuchungsbefugnisse. Bei der Feststellung eines Verstoßes gegen die DSGVO ist eine Aufsichtsbehörde verpflichtet, in geeigneter Weise zu reagieren, um die festgestellte Unzulänglichkeit zu beheben. Die gesetzten Maßnahmen sollen dabei geeignet, erforderlich, verhältnismäßig und den Umständen des Einzelfalls angemessen sein.

Aufsichtsbehörden haben bei der Wahl der Abhilfemaßnahmen ein Ermessen. Dieses Ermessen ist durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Geldbußen können nach Art 58 Abs 2 lit i DSGVO zusätzlich oder anstelle von Maßnahmen verhängt werden, wobei Art, Schwere und Dauer des Verstoßes gebührend zu berücksichtigen sind.

Die Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn das Einschreiten unter Berücksichtigung des konkreten Falls geeignet, erforderlich und verhältnismäßig ist, um einer festgestellten Unzulänglichkeit abzuhelfen.

Weder nach Art 58 Abs 2 DSGVO noch nach Art 83 DSGVO ist eine Aufsichtsbehörde jedoch verpflichtet, im Fall einer festgestellten Verletzung des Schutzes personenbezogener Daten stets eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Die Aufsichtsbehörde hat nur die Verpflichtung, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Der Betroffene hat kein subjektives Recht, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.

Dauert eine Datenschutzverletzung nicht mehr an und wurden schon geeignete technische und organisatorische Maßnahmen getroffen, um diese abzustellen, kann ausnahmsweise vom Ergreifen von Abhilfemaßnahmen, insbesondere von der Verhängung einer Geldbuße, abgesehen werden.

Das Ergreifen einer Abhilfemaßnahme kann ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles nicht geboten sein, wenn (i) der Situation, die einen Verstoß gegen die DSGVO begründete, bereits abgeholfen wurde, (ii) die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO durch den hierfür Verantwortlichen gewährleistet ist und (iii) das Nichteinschreiten der Aufsichtsbehörde nicht geeignet ist, das Erfordernis eines klar durchsetzbaren Rechtsrahmens zum Schutz personenbezogener Daten zu beeinträchtigen.

Rechtsprechung des OGH

OGH 27.08.2024, 6Ob233/23t

Erstkopie, Krankengeschichte, Beschränkung von Betroffenenrechten, Verhältnismäßigkeit

Ein Patient wurde infolge eines Arbeitsunfalls in ein Spital der Stadt Wien eingeliefert. Nach Empfang seines Patientenbriefs ersuchte der Anwalt des Patienten beim Spital, gestützt auf die DSGVO, um eine kostenlose Übermittlung einer Kopie der gesamten Krankengeschichte. Nachdem das Spital dem Ersuchen nicht nachkam, erhob der Patient Klage gegen die Stadt Wien und forderte die Herausgabe einer kostenlosen Kopie seines Patientenakts. Die Stadt Wien wendete ein, dass der Patient gemäß § 17 Abs 4 und § 17a Abs 2 lit g Wiener Krankenanstaltengesetz (WrKAG) nur das Recht auf Einsicht, nicht aber auf die kostenlose Herstellung einer Kopie hätte. Dies diene vor allem dazu, unnötige Anfragen zu verhindern und somit die Verwaltungskosten niedrig zu halten. Nachdem das Erstgericht der Klage stattgab, änderte das Berufungsgericht das Urteil im klagsabweisenden Sinn ab. Der OGH gab der Revision des Klägers Folge, hob die Urteile der Vorinstanzen auf und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück. Es müsse beurteilt werden, ob Art 15 Abs 3 DSGVO durch § 17 Abs 2 lit g WrKAG zulässiger Weise eingeschränkt wird oder als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben hat. Zudem sei eine Interessenabwägung durchzuführen.

Nach erneuter Verhandlung gab das Erstgericht der Klage des Patienten statt. Die Berufung durch die Stadt Wien führte erneut zur Klageabweisung durch das Berufungsgericht. Der Patient wandte sich mit einer durch das Berufungsgericht zugelassenen (erfolgreichen) Revision abermals an den OGH.

Der OGH hat erwogen: Der EuGH hat bereits in seinem Urteil vom 26.10.2023, C-307/22, FT, ausgesprochen, dass Art 15 Abs 3 iVm Art 12 Abs 5 DSGVO das Recht auf eine kostenlose Erstkopie der Krankengeschichte gewährt. Dieses Recht gilt unabhängig vom Zweck des Auskunftsersuchens, auch wenn es zur Geltendmachung von Schadenersatzansprüchen dient. Dieses Recht kann in Fällen des Rechtsmissbrauchs, in denen die Anträge offenkundig unbegründet oder exzessiv sind, eingeschränkt werden. Nach Art 15 Abs 3 DSGVO kann der Verantwortliche ein angemessenes Entgelt verlangen, wenn bereits eine kostenlose Kopie erstellt wurde. Der Patient hat jedoch weder rechtsmissbräuchlich gehandelt noch hat er zuvor eine kostenlose Kopie seiner Krankengeschichte erhalten.

Art 23 Abs 1 DSGVO erlaubt Beschränkungen der Betroffenenrechte gemäß Art 12 und 15 DSGVO zum Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses, worunter auch der Schutz wichtiger wirtschaftlicher und finanzieller Interessen im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit fällt. § 17a Abs 2 lit g WrKAG zielt darauf ab, die wirtschaftliche Belastung von Krankenanstalten zu verringern und liegt im wirtschaftlichen Interesse der öffentlichen Krankenanstalten. Diese Regelung normiert eine Beschränkung des Rechts auf eine kostenlose Erstkopie. Diese Beschränkung muss jedoch verhältnismäßig sein und es muss eine Interessenabwägung vorgenommen werden.

Die Leitlinien der EDSA besagen, dass die Kosten der Auskunftserteilung und die finanzielle Belastung öffentlicher Haushalte kein ausreichendes öffentliches Interesse an der Einschränkung der Betroffenenrechte sind. Die Kosten für die Erstellung und Ausfolgung von Kopien der Krankengeschichten sind im Verhältnis zu den gesamten Verwaltungskosten gering. Das Interesse des Patienten, eine kostenlose Erstkopie seiner Krankengeschichte zu erhalten, überwiegt das finanzielle Interesse der Stadt Wien. Patienten haben ein anerkanntes Recht, ihre Behandlungsunterlagen selbst zu besitzen, um beispielsweise weitere fachliche Meinungen einzuholen oder Ansprüche gegen Dritte prüfen zu können. Dem Argument der Stadt Wien, wonach der Kostenbeitrag einer Steigerung der Anfragen und damit einer Erhöhung des Aufwands entgegenwirken soll, kommt kein Wert zu.

Die Kostenersatzpflicht nach § 17a Abs 2 lit g WrKAG ist somit unverhältnismäßig und unzulässig und hat als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben. Der Patient hat ein Recht auf eine kostenlose Erstkopie der Krankengeschichte. Das klagestattgebende Urteil des Erstgerichts wird wiederhergestellt.

Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob37/24w).

Rechtsprechung des BVwG

Wird von einem Verantwortlichen das Datum "Geschlecht" in seinen IT-Systemen nicht (mehr) verarbeitet, ist es dem Verantwortlichen faktisch unmöglich, das Geschlecht des Antragstellers auf "divers" zu berichtigen. Ist die Verarbeitung des Datums "Geschlecht" auch nicht vorgesehen, ist auch von keinen unvollständigen personenbezogenen Daten iSd Art 16 letzter Satz DSGVO auszugehen. Die Feststellung einer allfälligen vergangenen Rechtsverletzung gemäß Art 16 DSGVO kommt nicht in Betracht, weil weder das DSG noch die DSGVO in Bezug auf das Recht auf Berichtigung die Feststellung vergangener Rechtsverletzungen vorsehen (BVwG 21.08.2024, W108 2283759-1).

Rechtsprechung der LVwG

Das Recht auf Berichtigung einer Eintragung im Zentralen Personenstandsregister (ZPR) ist ein höchstpersönliches Recht des Betroffenen. Nach dem Tod des Berechtigten findet keine Rechtsnachfolge statt, weshalb die Fortsetzung des Verfahrens über dieses Recht durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Parteistellung kommt bei der Aufnahme von Daten ins ZPR nur der Person zu, deren Personenstandsfall im ZPR verdatet (sic) wird. Eine Tochter hat keinen Rechtsanspruch auf die Eintragung und daher auch nicht auf die Berichtigung eines fehlerhaft eingetragenen akademischen Grads ihres Vaters bei der Verdatung (sic) ihres Personenstandsfalls "Geburt". Der Tochter kommt aber ein Recht zu, eine zu Unrecht erfolgte Eintragung eines akademischen Grades eines Elternteils beseitigen zu lassen. Da der akademische Grad des Vaters ohne Rechtsgrundlage und daher zu Unrecht in den Personenstandsfall "Geburt" der Tochter eingetragen wurde, war die Eintragung zu entfernen (LVwG Wien 06.08.2024, VGW-101/042/2543/2024).

Rechtsprechung der DSB

DSB 28.03.2024, 2024-0.215.259

Zuständigkeit, Mandatsbescheid, Untersuchungsausschuss, COFAG

Abgeordnete des Nationalrats verlangten vom Bundesminister für Finanzen ("Finanzminister") die Vorlage des Steueraktes und von der Bundesministerin für Justiz ("Justizministerin") die Vorlage des WKStA-Ermittlungsaktes eines Beschuldigten an den COFAG-Untersuchungsausschuss. Der Beschuldigte brachte eine Datenschutzbeschwerde bei der DSB ein und beantragte die Erlassung eines Mandatsbescheids. Konkret begehrte er die Untersagung jeder weiteren Übermittlung bzw Verarbeitung der Daten in seinem Steuer- und Ermittlungsakt durch den Finanzminister, die Justizministerin und den COFAG-Untersuchungssauschuss.

Der Beschuldigte brachte ua vor, es sei gängige Praxis, dass sämtliche Unterlagen und Daten, die Untersuchungsausschüssen übermittelt werden, veröffentlicht würden, oft durch "Leaks" an Medien. Aufgrund der aktuellen Wahlkämpfe sei damit zu rechnen, dass seine personenbezogenen Daten einer breiten Öffentlichkeit zugänglich gemacht würden.

Die DSB hat erwogen: Die DSB ist zur Kontrolle parlamentarischer Untersuchungsausschüsse berufen, weshalb der Antrag auf Erlassung eines Mandatsbescheids in Bezug auf den COFAG-Untersuchungsausschuss zulässig ist.

Die Erlassung eines Mandatsbescheids erfordert eine materielle Rechtswidrigkeit der Datenverarbeitung. Ein begründeter Verdacht reicht aus, wenn tatsächliche Anhaltspunkte vorliegen, dass eine Datenschutzverletzung vorliegt und dies nachvollziehbar dargelegt wird. Zudem ist erforderlich, dass aufgrund dieser Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen besteht.

Auch wenn personenbezogene Daten des Beschuldigten an Medien übermittelt und offengelegt würden, ist nicht erkennbar, wie diese Gefahrensituation unmittelbar aufgrund der Datenverarbeitung durch den Finanzminister oder die Justizministerin gegeben wäre. Die vermeintliche Gefährdung von Interessen des Beschuldigten wird in der Tätigkeit von Mitgliedern des Untersuchungsausschusses gesehen und nicht in der Datenverarbeitung durch den Finanzminister oder die Justizministerin und liegt daher außerhalb deren Sphären.

Die Weitergabe von Akten an Medien oder Dritte durch Mitglieder des Untersuchungsausschusses ist gesetzlich nicht vorgesehen. Die datenschutzrechtliche Verantwortlichkeit solcher Handlungen trifft somit nicht den COFAG-Untersuchungsausschuss, sondern vielmehr das einzelne Mitglied des Untersuchungsausschusses. Derartige Datenverarbeitungen fallen daher auch nicht in die Sphäre des COFAG-Untersuchungsausschusses. Anm: Ab dem 01.01.2025 übergeht die Kompetenz zur Überprüfung der Datenverarbeitungstätigkeiten parlamentarischer Untersuchungsausschüsse des Bundes auf das neu eingerichtete Parlamentarische Datenschutzkomitee (vgl §§ 35a ff DSG). Die fünf künftigen Mitglieder des Parlamentarischen Datenschutzkomitees wurden am 18.09.2024 benannt und vom Nationalrat gewählt (Hauptausschussbericht 2712 BlgNR 27. GP).

Vorschau der EuGH-Rechtsprechung

Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

September 2024

04.09. | 11.09. | 18.09. | 26.09.

Datenschutzmonitor 26.09.2024

Rechtsprechung des OGH

OGH 26.08.2024, 502Präs26/24d

Amtshaftung, feste Geschäftsverteilung, negativer Kompetenzkonflikt

Der Leiter einer Volksschule reichte im Rahmen der gesetzlich vorgesehenen Fortbildungsverpflichtung einen Antrag auf Zulassung eines Fortbildungsprogramms bei einer pädagogischen Hochschule ein. Der Antrag wurde bewilligt und der Volksschulleiter wurde als "Prozessbegleiter" für das Programm zugeteilt. Ein Lehrer ersuchte um Zuteilung eines anderen "Prozessbegleiters" und verlangte Auskunft über die vom Volksschulleiter über ihn verarbeiteten Daten. Insb wollte der Lehrer erfahren, von wem der Volksschulleiter die Auskunft erhielt, dass der Lehrer "im Bildungsbereich kein unbeschriebenes Blatt" sei und "das öffentliche Bildungswesen infrage" stelle. Die Vorinstanzen wiesen die Klage des Lehrers auf Auskunft und Schadenersatz

Beim OGH wurde das Verfahren dem 6. Senat als für die Fachsache "Datenschutz" zuständigem Senat zugewiesen. Der Vorsitzende des 6. Senats bot das Verfahren dem 1. Senat zur Übernahme an, weil das Verfahren die Frage der Amtshaftung betreffe. Der Vorsitzende des 1. Senats lehnte die Übernahme des Verfahrens ab und regte wegen eines negativen Kompetenzkonflikts die Vorlage des Akts an den Personalsenat an. Der Vorsitzende des 6. Senats beantragte, dass der Personalsenat die Zuständigkeit des 1. Senats ausspreche. Der Personalsenat beschloss jedoch, dass das Verfahren in die Zuständigkeit des 6. Senats fällt.

Der Personalsenat des OGH hat erwogen: Die Vorinstanzen haben ein auf das Datenschutzrecht gestütztes Klagebegehren abgewiesen, sodass nach der Geschäftsverteilung Fachzuständigkeit des 6. Senats besteht. Die Zulässigkeit des Rechtswegs ist eine Prozessvoraussetzung, die beim OGH von dem in der Hauptsache zuständigen Senat zu prüfen ist. Die Geschäftsverteilung weist dem 1. Senat Fragen der Amtshaftung zu, jedoch nicht schlechthin Klagen gegen Rechtsträger im Zusammenhang mit Aufgaben der Hoheitsverwaltung. Zudem war nicht über allgemeine Fragen des Amtshaftungsrechts, sondern darüber zu entscheiden, ob das Amtshaftungsrecht vom europäischen Datenschutzrecht überlagert wird. Darüber sollte der für das Datenschutzrecht als speziellere Materie zuständige Senat entscheiden, dies umso mehr, wenn der Schadenersatzanspruch mit einem datenschutzrechtlichen Auskunftsanspruch verbunden ist. Anm: Gemäß § 4 Bildungsdokumentationsgesetz 2020 sind Schulleiter datenschutzrechtliche Verantwortliche. Weshalb einem Schulleiter als "Prozessbegleiter" eines Fortbildungsprogramms, das an einer pädagogischen Hochschule durchgeführt wird, die Verantwortlichenrolle zukommt, geht aus dem im Urteil knapp dargestellten Sachverhalt jedoch nicht hervor.

Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das gegenständliche Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob217/23i und 6Ob159/23k).

Rechtsprechung des BVwG

BVwG 21.08.2024, W258 2246325-1

Anwendungsbereich, Unzuständigkeit, Schule, COVID

Während der COVID-19-Pandemie hatten zwei Schülerinnen an zwei verschiedenen Schulen im Klassenverband unter der Kontrolle ihrer jeweiligen Lehrer Selbsttests durchzuführen, um am Präsenzunterricht teilnehmen zu dürfen. Die Testmaterialien wurden unmittelbar nach der Durchführung entsorgt. Negative und nicht eindeutige Ergebnisse wurden nicht erfasst. Die rechtliche Grundlage der Tests war eine Verordnung des zuständigen Bundesministers, die auf die Verordnungsermächtigung des § 44 Schulunterrichtsgesetz (SchUG) gestützt war.

Die Schülerinnen führten die Tests in der vorgesehenen Form durch und erzielten dabei keine positiven Ergebnisse. Dennoch erachteten sie sich in ihrem Recht auf Geheimhaltung ua deshalb verletzt, weil § 44 SchUG keine taugliche Gesetzesgrundlage für die herangezogene Verordnung sei. Die DSB wies die Datenschutzbeschwerde der Schülerinnen ab. Die dagegen erhobene Bescheidbeschwerde der Schülerinnen wurde vom BVwG ebenso abgewiesen. Das BVwG änderte den Spruch des angefochtenen Bescheids zudem dahingehend ab, dass die Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird.

Das BVwG hat erwogen: Gemäß Art 2 Abs 1 DSGVO ist die DSGVO nur auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie auf die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, anwendbar. Die Testergebnisse wurden nicht auf Papier oder elektronisch festgehalten, es erfolgte keine automatisierte Verarbeitung oder Speicherung in einem Dateisystem. Der sachliche Anwendungsbereich der DSGVO war daher nicht eröffnet.

Das Grundrecht auf Datenschutz iSd § 1 Abs 1 DSG ist von den technisch-organisatorischen Bedingungen der Verarbeitung unabhängig und ist damit anwendbar. Ein eigenständiges Beschwerderecht besteht jedoch nicht, weil § 4 Abs 1 DSG den Anwendungsbereich der einfachgesetzlichen Bestimmungen des DSG (einschließlich des Beschwerderechts) – wie in der DSGVO – beschränkt. Somit besteht ein materiellrechtlicher Anspruch, der aber mangels eigenständigem Beschwerderecht vor der DSB nicht durchgesetzt werden kann.

Eine Rechtsschutzlücke entsteht hierdurch nicht. Die behauptete Verletzung des § 1 DSG hätte durch Einbringen eines Feststellungsantrags bei der datenverarbeitenden Behörde geltend gemacht werden können. Die behauptete Gesetzeswidrigkeit der Verordnung hätte durch Individualantrag gemäß Art 139 Abs 1 B-VG (Verordnungsprüfungskompetenz des VfGH) an den VfGH aufgegriffen werden können. Die Bedenken der DSB, wonach – sofern man die Zuständigkeit der DSB verneine – die mündliche Offenlegung personenbezogener Daten nicht mehr geschützt wäre, treffen somit nicht zu.

BVwG 27.08.2024, W298 2291640-1

Medien, Amtsverschwiegenheit

Ein Journalist begehrte vom Bundesminister für europäische und internationale Angelegenheiten ("Außenminister") nach dem Auskunftspflichtgesetz die Beantwortung mehrerer Fragen zur Beglaubigung der eidesstattlichen Erklärungen zweier Zeugen, die in einem Strafprozess vorgelegt wurden. Ua aufgrund datenschutzrechtlicher Bedenken verweigerte der Außenminister die Auskunft mit einem Auskunftsverweigerungsbescheid. Dagegen erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die im Auskunftspflichtgesetz geregelte Auskunftspflicht von Bundesorganen umfasst die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens. Das Auskunftspflichtgesetz soll der Partei nur Informationen über bereits vorhandenes Wissen der Behörde, nicht aber eine vorzunehmende Bewertung zugänglich machen. Die Auskunftspflicht beinhaltet auch nicht die Verpflichtung, Akteneinsicht zu gewähren, sondern Informationen über einen Akteninhalt oder ein Wissen der Behörde zu geben. Diese müssen nicht die Detailliertheit aufweisen, die bei Akteneinsicht zu gewähren wäre.

Gegenstand der Anfrage bilden personenbezogene Daten. Die entsprechenden Informationen sind beim Außenminister vorhanden. Durch das Entsprechen des Auskunftsbegehrens wäre jedoch eine unrechtmäßige Beeinträchtigung der Rechte Dritter zu befürchten.

Zur Beurteilung der Frage, ob ein subjektiver Auskunftsanspruch gegenüber dem Rechtsträger besteht, ist der Zweck des Auskunftsersuchens relevant. Dem Journalisten kommt als public watchdog eine besondere Verantwortung zu. Sein journalistisches Interesse besteht gerade darin, zu erfahren, wie die Zeugen ihre Erklärungen abgegeben haben bzw wie sie sich bei der Behörde, dh dem Außenminister, verhalten haben und wie die Amtshandlung zustande gekommen ist. Die eidesstattlichen Erklärungen dienen auch als zitierfähige Quelle für die journalistische Arbeit und haben daher einen Mehrwert gegenüber einer öffentlich verfügbaren Quelle.

Allerdings betreffen die Fragen des Journalisten zweifelsfrei Informationen über die Zeugen. Da dem Journalisten die Identität der Zeugen bekannt ist, kommt keine anonymisierte Auskunft in Frage. Die Beantwortung der Fragen des Journalisten würde sohin eine unrechtmäßige Beeinträchtigung der Rechte Dritter ergeben, weil die den Gegenstand der Anfrage bildenden Daten schutzwürdige personenbezogene Daten von Zeugen sind. Der Umstand, dass die Daten teilweise von einem anderen datenschutzrechtlichen Verantwortlichen zwischenzeitlich auf eine Weise verwendet wurden, die den Inhalt einer breiten Öffentlichkeit zugänglich gemacht hat, bedeutet nicht, dass der Außenminister von den ihn verpflichtenden Geheimhaltungspflichten entbunden ist.

BVwG 21.08.2024, W214 2254151-1

Heizkostenabrechnung, Zuständigkeit

Die Eigentümer einer Wohnung ("Wohnungseigentümer") verwehrten der mit der jährlichen Ablesung von Verbrauchserfassungsgeräten beauftragten Liegenschaftsverwalterin den Zutritt zu ihrer Wohnung, sodass eine Erfassung (Ablesung) der Heiz-, Warmwasser- und Kaltwasserwerte unmöglich war. Daher erfolgte die Einzelabrechnung für diese Wohnung – teilweise – mittels Hochrechnung der Verbrauchswerte, welche die Liegenschaftsverwaltung an die Wohnungseigentümer übermittelte. Die Wohnungseigentümer waren der Ansicht, dass die Verbrauchswerte unrichtig hochgerechnet wurden. Die auf eine Verletzung im Recht auf Berichtigung gestützte Datenschutzbeschwerde wies die DSB ab. Hiergegen erhoben die Wohnungseigentümer (vergeblich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Über Anträge zur Überprüfung der inhaltlichen Richtigkeit einer (Jahres-)Abrechnung entscheidet nach § 25 Abs 1 Z 2 HeizKG das für Zivilrechtssachen örtlich zuständige Bezirksgericht. Das HeizKG enthält sohin abschließende Bestimmungen zu einem eigenen Verfahren zur Richtigstellung der ermittelten Verbrauchsanteile, die der DSGVO als lex specialis derogieren. Die Wohnungseigentümer hätten die behauptete Unrichtigkeit der Einzelabrechnung vor dem zuständigen Bezirksgericht (bzw der vorgeschalteten Schlichtungsstelle) geltend zu machen gehabt.

Abseits dessen war eine Schlichtungsstelle für wohnrechtliche Angelegenheiten mit der monierten Einzelabrechnung befasst und wies die Anträge der Wohnungseigentümer auf Richtigstellung der ermittelten Verbrauchsanteile ab.

Wird einem Betroffenen, nachdem sich dieser über die Nichterteilung einer Auskunft iSd Art 15 DSGVO bei der DSB beschwerte, die begehrte Auskunft erteilt, wird die "Sache" des Verfahrens in ihrem Wesen geändert, wenn sich der Betroffene nicht mehr wegen der Nichterteilung, sondern wegen der mangelhaften Erteilung der Auskunft als beschwert erachtet. Die DSB darf daher von der Zurückziehung der ursprünglichen Datenschutzbeschwerde und der gleichzeitigen Einbringung einer neuen Datenschutzbeschwerde ausgehen (BVwG 21.08.2024, W214 2280448-1).
Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung, (i) ob eine Datenschutzbeschwerde als "Anfrage" iSd Art 57 Abs 4 DSGVO zu qualifizieren ist, (ii) welche Voraussetzungen für die Beurteilung der "Exzessivität" von Anfragen gelten und (iii) wie die DSB mit derartigen Anfragen umzugehen hat. Da diese Fragen auch im vorliegenden Verfahren präjudiziell sind, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 28.08.2024, W287 2297420-1).
Wird die Bescheidbeschwerde gegen ein Straferkenntnis ausdrücklich zurückgezogen, ist das Verfahren mit Beschluss als gegenstandslos einzustellen. Dies bewirkt, dass das angefochtene Straferkenntnis in Rechtskraft erwächst (BVwG 29.08.2024, W101 2276072-1).

Rechtsprechung des BFG

BFG 06.09.2024, AO/5100023/2024

Mutwillensstrafe, Akteinsicht

Bei der Prüfung mehrerer Einkommenssteuerbescheide eines Steuerzahlers holte das BFG zur Prüfung dessen Gesundheitszustands gemäß § 158 BAO ein Sachverständigengutachten vom Sozialministeriumsservice Der Steuerzahler erachtete die Datenerhebung für unzulässig, weil sich § 158 BAO nur auf Abgabenbehörden beziehe. Der Steuerzahler stellte ein Auskunftsbegehren an den Präsidenten des BFG. Das BFG teilte dem Steuerzahler mit, dass seine Bescheidbeschwerde abgewiesen wurde und er die Rechtmäßigkeit einzelner Verfahrensschritte durch das Einbringen eines entsprechenden Rechtsmittels hätte überprüfen lassen können, worüber er auch belehrt wurde. Weiters wies das BFG darauf hin, dass für personenbezogene Daten, die in einem Akt enthalten sind, das datenschutzrechtliche Auskunftsrecht gemäß § 48f BAO ausgeschlossen ist, der Steuerzahler könne jedoch Akteneinsicht nehmen. Den Antrag auf Akteneinsicht könne der Steuerzahler bei der Außenstelle Linz des BFG einbringen. Der Steuerzahler richtete ein beinahe wortidentes Schreiben – wie zuvor an den Präsidenten des BFG – an den Leiter der Außenstelle Linz des BFG. Das BFG verhängte daraufhin eine Mutwillensstrafe über den Steuerzahler.

Das BFG hat erwogen: Der Antragsteller erhielt bereits vom Präsidenten des BFG eine fundierte Antwort auf seine Anfrage. Nunmehr richtet der Steuerzahler ein nahezu wortidentes Anbringen an den Leiter der Außenstelle Linz des BFG.

Das BFG kann eine Mutwillensstrafe gegen eine Person verhängen, die offenbar mutwillig die Tätigkeit des BFG in Anspruch nimmt. Nachdem eine nahezu wortidente Eingabe des Steuerzahlers durch das Präsidialbüro des BFG beantwortet wurde, wendet sich der Steuerzahler mit dem gleichen Anliegen an den Leiter der Außenstelle Linz des BFG. Ein solches Vorgehen ist eine bewusste nutzlose Behelligung gerichtlicher Organe, weil mit mehrfachen, nahezu wortidenten Anbringen kein sinnvolles und hinsichtlich des gegenständlichen Auskunftsbegehrens zweckmäßiges Verfahrensergebnis erreicht werden kann. Anm: Da der Präsident des BFG den Steuerzahler ausdrücklich an die Außenstelle Linz des BFG zur Akteneinsicht verwies, ist der Vorwurf der Mutwilligkeit nicht ganz nachvollziehbar, auch wenn der Steuerzahler sein Schreiben zweifellos hätte anpassen können.

Rechtsprechung des DSB

DSB 05.09.2024, 2023-0.793.494

Grundbuch, Rollenverteilung, Gemeinsam Verantwortliche, justizielle Tätigkeit

Der Betroffene brachte eine Datenschutzbeschwerde gegen (i) ein Medienhaus, (ii) die Bundesministerin für Justiz ("Justizministerin") und (iii) ein Bezirksgericht ein. Er fühlte sich in seinem Recht auf Geheimhaltung verletzt, weil das Medienhaus auf seiner Website im Namen der Justizministerin das Grundbuch veröffentlicht und neben dem Grundbuchsauszug auch persönliche Daten und Urkunden gegen Entgelt an beliebige Personen im Internet verkauft. Das Medienhaus wendete ein, von der Republik Österreich, vertreten durch die Justizministerin, zur Veröffentlichung beauftragt worden zu sein und lehnte die Löschung ab, weil es bloß als Auftragsverarbeiter tätig werde.

Die Justizministerin bestritt ebenfalls ihre Verantwortlicheneigenschaft, weil sie bloß die technischen Ressourcen zur Verfügung stelle und ihr keine Entscheidungsbefugnis zukäme. Zudem sei die Datenverarbeitung im Grundbuch eine justizielle Tätigkeit, weshalb die DSB nicht zuständig sei.

Auch das Bezirksgericht hielt in seiner Stellungnahme fest, dass die Bereitstellung von Urkunden in einer Urkundensammlung im Rahmen der justiziellen Tätigkeit nach Art 55 Abs 3 DSGVO erfolge und der DSB daher keine Überprüfungskompetenz zukomme.

Die DSB hat erwogen: Verantwortlicher iSd Art 4 Z 7 DSGVO ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wesentliches Kriterium ist hierbei die Entscheidungsbefugnis. Auftragsverarbeiter iSd Art 4 Z 8 DSGVO hingegen ist jene Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei weisungsgebunden ist.

Das Medienhaus gewährleistet nur den Zugang zur Grundstücksdatenbank über IT-Anwendungen aufgrund einer Vereinbarung mit der Republik Österreich. Es hat keine Entscheidungsgewalt über die Daten/Dokumente in der Grundstücksdatenbank und leitet die Inhalte unverändert weiter. Aufgrund der Weisungsgebundenheit und der mangelnden Entscheidungsgewalt ist es ein Auftragsverarbeiter. Die Datenschutzbeschwerde gegen das Medienhaus ist daher abzuweisen.

Die Justizministerin ist gemäß § 1 Abs 1 Grundbuchsumstellungsgesetz (GUG) für die Umstellung des Grundbuchs auf automationsunterstützte Datenverarbeitung verantwortlich. Sie betreibt die Grundstücksdatenbank als Gemeinsam Verantwortliche. Sie hat jedoch keine Entscheidungsgewalt über die Aufnahme der Daten/Dokumente in die Grundstücks- bzw Urkundendatenbank. Diese Entscheidung trifft ausschließlich das örtlich zuständige Grundbuchsgericht. Die Justizministerin ist für diese Verarbeitungstätigkeiten keine Verantwortliche gemäß Art 4 Z 7 DSGVO. Die Datenschutzbeschwerde ist daher auch gegen die Justizministerin abzuweisen.

Gemäß Art 55 Abs 3 DSGVO sind Aufsichtsbehörden nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig. Die Grundbuchsnovelle 2024, mit der das GUG novelliert wurde, sieht vor, dass das Grundbuchsgericht über Anträge auf Beschränkung der Einsicht in Urkunden der Urkundensammlung entscheidet. Da es sich hierbei um eine justizielle Tätigkeit handelt, ist die DSB zur Behandlung der Datenschutzbeschwerde gegen das Bezirksgericht unzuständig, weshalb die Datenschutzbeschwerde gegen das Bezirksgericht zurückzuweisen ist. Anm: Mit der am 01.09.2024 in Kraft getretenen Grundbuchsnovelle 2024, BGBl I 2024/91, reagierte der Gesetzgeber auf das Urteil des EGMR vom 06.04.2021, 5434/17, Liebscher/Österreich, in dem Österreich vom EGMR wegen einer ohne Interessenabwägung erfolgten Veröffentlichung eines Scheidungsvergleichs in der Urkundensammlung des Grundbuchs verurteilt wurde (ErläutRV BlgNR27. GP 1; Fucik, Keine Grundbuchseinsicht in sensible Daten, ÖJZ 2024/109).

Rechtsakte

Am 19.09.2024 hat Oberösterreich, LGBl 2024/77, die Genehmigung der Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart

Vorschau der EuGH-Rechtsprechung

Am 26.09.2024 wurde das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH sprach über die Ausübung von Aufsichtsbefugnissen durch die Aufsichtsbehörden ab. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors vom 17.04.2024 nachgelesen werden. Über das Urteil informieren wir Sie nächste Woche.
Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Datenschutzmonitor 18.09.2024

Rechtsprechung des EuGH

EuGH 12.09.2024, C-17/22 ua, HTB Neunte Immobilien

Gesellschaftsrecht, Rechtsgrundlagen, vertragliche Verpflichtung, berechtigte Interessen

Mehre an einem als Publikumspersonengesellschaft organisierten Investmentfonds beteiligte Investmentgesellschaften verlangten von zwei treuhänderischen Beteiligungsgesellschaften Auskunft über Namen und Adressen aller ihrer mittelbar beteiligten Mitgesellschafter. Die Investmentgesellschaften verlangten diese Auskunft, um mit den anderen Gesellschaftern Kontakt aufnehmen und über den Abkauf ihrer Gesellschaftsanteile in Verhandlungen treten zu können. Die Beteiligungsgesellschaften lehnten die Auskunft ab, weil im Beteiligungsvertrag die Auskunftserteilung ausgeschlossen wurde. Das vorlegende Gericht fragte den EuGH, ob die Auskunft auf die Erfüllung einer vertraglichen Verpflichtung iSd Art 6 Abs 1 lit b DSGVO oder auf das berechtigte Interesse iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.

Der EuGH hat erwogen: Eine Datenverarbeitung ist für die Erfüllung eines Vertrags dann erforderlich, wenn der Verantwortliche nachweisen kann, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden kann. Die Daten müssen zur ordnungsgemäßen Erfüllung des Vertrags wesentlich sein. Für die Verarbeitung der Daten darf keine praktikable und weniger einschneidende Alternative bestehen. Wenn in Beteiligungs- und Treuhandverträgen die Weitergabe von Daten anderer Gesellschafter ausdrücklich ausgeschlossen ist, ist eine Weitergabe der Daten für die Erfüllung des Vertrags nicht erforderlich. Die Datenübermittlung kann daher nicht auf die Vertragserfüllung gestützt werden.

Bei der im Einzelfall durchzuführenden Interessenabwägung nach Art 6 Abs 1 lit f DSGVO ist das Interesse eines an dem Investmentfonds beteiligten Gesellschafters am Erhalt der Daten den Interessen anderer Gesellschafter an der Geheimhaltung ihrer Daten gegenüberzustellen. Ein Interesse der an einem Investmentfonds beteiligten Gesellschafter an einer Kontaktaufnahme wegen des Erwerbs ihrer Anteile kann nicht ausgeschlossen werden. Eine Verarbeitung der Daten im berechtigten Interesse muss jedoch zum Zeitpunkt der Erhebung der Daten erwartbar sein und darf für den Betroffenen nicht überraschend erfolgen. Ist die Weitergabe von Daten an andere Gesellschafter in einem Vertrag ausdrücklich ausgeschlossen, können die Gesellschafter nicht damit rechnen, von anderen Gesellschaftern kontaktiert zu werden.
Eine Datenverarbeitung gestützt auf Art 6 Abs 1 lit c DSGVO ist dann gerechtfertigt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt. Das Recht des Mitgliedstaats kann dabei auch die nationale Rechtsprechung umfassen. Die Rechtsprechung muss aber klar, präzise formuliert und für die Rechtsunterworfenen vorhersehbar sein und ein im öffentlichen Interesse liegendes Ziel verfolgen, zu dem sie in einem angemessenen Verhältnis steht.

EuGH Schlussanträge 12.09.2024, C‑203/22, Dun & Bradstreet

Automatisierte Entscheidung, Bonität, Auskunft

Einer Betroffenen wurde von einem Mobilfunkanbieter wegen mangelnder Bonität der Abschluss bzw die Verlängerung eines Mobilfunkvertrags verweigert. Die Bonitätsdaten wurden dem Mobilfunkanbieter von einer Bonitätsauskunftei zur Verfügung gestellt, die die Bonitätsbeurteilung automatisiert durchgeführt hat. Die DSB gab dem Antrag der Betroffenen auf Erteilung relevanter Informationen über die der automatisierten Entscheidungsfindung zugrunde liegende Logik statt. Das BVwG bestätigte teilweise die Entscheidung der DSB und stellte fest, dass das Auskunftsrecht der Betroffenen gemäß Art 15 Abs 1 lit h DSGVO verletzt wurde, weil ihr keine aussagekräftigen Informationen über die bei der automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten involvierte Logik zur Verfügung gestellt wurde. Die Betroffene beantragte beim Magistrat der Stadt Wien die Zwangsvollstreckung dieser Entscheidung, die abgelehnt wurde. Nach Einlegen eines Rechtsbehelfs beim LVwG Wien ersuchte dieses den EuGH um Vorabentscheidung.

Der Generalanwalt hat erwogen: Das Auskunftsrecht des Art 15 Abs 1 lit h DSGVO muss es der Betroffenen ermöglichen, ihre Rechte aus Art 22 DSGVO wahrzunehmen, die sich speziell auf eine Situation beziehen, in welcher die Betroffene einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird. Die Aussagekraft von Informationen setzt voraus, dass diese Informationen präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind. Zudem müssen sie hinreichend vollständig und kontextbezogen sein, um es der Betroffenen zu ermöglichen, ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen.

Grundsätzlich muss der – naturgemäß technische – Prozess, der zu dieser Entscheidung geführt hat, verständlich gemacht werden. Der Verantwortliche ist aber nicht verpflichtet, Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen ohne besondere technische Fachkenntnisse nicht nachvollzogen werden können. Dies gilt etwa für Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung eingesetzt werden. Der betroffenen Person sind Informationen über den Entscheidungsprozess, über die Gründe für das Ergebnis dieser Entscheidung und damit über die verwendete Methode und die berücksichtigten Kriterien sowie deren Gewichtung bereitzustellen, nicht aber die verwendeten Algorithmen ausführlich zu erläutern oder der gesamte Algorithmus offenzulegen.

EuGH Schlussanträge, C-383/23 12.09.2024, ILVA (Amende pour violation du RGPD)

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

Über die dänische Möbelhauskette ILVA, ein Tochterunternehmen der übergeordneten Lars Larsen Group, verhängte das Bezirksgericht Aarhus infolge einer Verletzung der DSGVO eine Geldbuße. Gegen diese Entscheidung legte die Staatsanwaltschaft Berufung an das vorlegende Gericht ein und vertrat die Ansicht, dass für die Berechnung der Geldbuße nicht nur der Umsatz des Tochterunternehmens ILVA, sondern der Gesamtumsatz der Lars Larsen Unternehmensgruppe zu berücksichtigen sei. Das vorlegende Gericht fragte nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Der Generalanwalt hat erwogen: Bei der Verhängung von Geldbußen nach der DSGVO sind die wesentlichen Garantien eines Strafverfahrens einzuhalten. Aus der Rechtsprechung des EuGH lässt sich ableiten, dass der Grundsatz der Verhältnismäßigkeit einer der fundamentalen Grundsätze des Unionsrechts ist und bei dessen Anwendung vor nationalen Gerichten und Behörden beachtet werden muss. Der Grundsatz der Verhältnismäßigkeit verpflichtet die Mitgliedstaaten, Maßnahmen zu ergreifen, die zur Erreichung der verfolgten Ziele geeignet sind und nicht über das hinausgehen, was für die Zielerreichung erforderlich ist.

Aus der Rechtsprechung des Gerichtshofs geht klar hervor, dass der Grundsatz der Verhältnismäßigkeit erstens erfordert, dass die verhängte Strafe der Schwere der Straftat entspricht, und zweitens, dass bei der Festsetzung der Strafe und der Höhe der Geldbuße die individuellen Umstände des konkreten Falls berücksichtigt werden. Nach der Rechtsprechung des EGMR haben die Mitgliedsstaaten die Pflicht, sicherzustellen, dass die verhängte Strafe nicht überschießend – und somit unverhältnismäßig – ist.

Bei der Festsetzung des Höchstbetrags einer Geldbuße soll der Begriff "Unternehmen" den Art 101 und 102 AEUV entsprechen. Daher wird der weltweite Gesamtjahresumsatz des Unternehmens berücksichtigt, zu dem der Verantwortliche oder der Auftragsverarbeiter gehört.

Bei der Bestimmung der tatsächlich zu verhängenden Geldbuße muss das nationale Gericht jedoch die speziellen Umstände zur Entscheidungsfindung berücksichtigen und sicherstellen, dass der Grundsatz der Verhältnismäßigkeit beachtet wird, wobei ein angemessener Ausgleich zwischen den Erfordernissen des allgemeinen Interesses der Gemeinschaft am Schutz personenbezogener Daten und den Erfordernissen des Schutzes der Grundrechte des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, zu dem dieser gehört, hergestellt wird.

EuGH Schlussanträge 12.09.2024, C-247/23, Deldits

Transgender, Berichtigung, Register

Ein Transgender-Mann mit iranischer Staatsangehörigkeit, der als "Frau" geboren wurde, erhielt in Ungarn die Flüchtlingseigenschaft. Die Fremdenpolizei nahm personenbezogene Daten, einschließlich des Geschlechts (weiblich), in das Flüchtlingsregister auf. Der Transgender-Mann beantragte unter Vorlage von Bescheinigungen von Psychiatern und Gynäkologen die Berichtigung des Registers gemäß Art 16 DSGVO, was abgelehnt wurde, weil keine geschlechtsangleichende Operation nachgewiesen wurde. Über die daraufhin erhobene Klage des Transgender-Mannes, fragte das vorlegende Gericht den EuGH, ob die Stelle, die ein nationales Register führt, die Daten einer Betroffenen zu berichtigten hat, wenn sich deren Daten, seit deren Eintragung ins Register geändert haben und bejahendenfalls, welche Nachweise die Betroffene zu erbringen hat.

Der Generalanwalt hat erwogen: Art 5 Abs 1 lit d DSGVO verlangt, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Art 16 DSGVO gibt der betroffenen Person das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Die Eintragung des Geschlechts als "weiblich" ist unrichtig, weil sich die Person als Transgender-Mann identifiziert und entsprechende Nachweise vorgelegt hat. Art 8 Abs 2 der EU-Grundrechtecharta garantiert das Recht auf Berichtigung der Daten, Art 16 DSGVO spiegelt dieses Recht wider und trägt zur Einhaltung des Grundsatzes der Richtigkeit bei. Die Richtigkeit der Daten hängt vom Kontext und dem Zweck der Datenerhebung ab.

Das Flüchtlingsregister dient der Identifizierung, und das Geschlecht gehört zu den Identifikationsdaten natürlicher Personen. Art 16 DSGVO verlangt nicht, dass eine Person eine geschlechtsangleichende Operation nachweist, um die Berichtigung ihrer Daten zu beantragen. Der EGMR verurteilt die Auferlegung eines solchen Erfordernisses, weil es die vollständige Ausübung des Rechts auf Achtung des Privatlebens von der Aufgabe des Rechts auf körperliche Unversehrtheit abhängig macht. Eine Betroffene, die die Berichtigung von Daten beantragt, muss zwar Nachweise vorlegen, um die Unrichtigkeit einer fehlerhaften Eintragung nachzuweisen, aber sie muss nicht nachweisen, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat.

Rechtsprechung des BVwG

BVwG 21.08.2024, W176 2281424-1

Exekution, justizielle Tätigkeit, Zustellung

Der Schuldner eines Exekutionsverfahrens beantragte beim Bezirksgericht die Aufschiebung der Exekution und eine Zustellung in kroatischer Sprache. Zudem gab er dem Gericht bekannt, einen sechswöchigen Rehabilitationsaufenthalt anzutreten und beantragte, dass in diesem Zeitraum keine Zustellungen verfügt werden mögen. Das Bezirksgericht lehnte den Aufschiebungsantrag mit Beschluss ab und trug dem Schuldner auf, für die Dauer seines Rehabilitationsaufenthalts eine zustellfähige Adresse bekanntzugeben, widrigenfalls eine Hinterlegung ohne vorhergehenden Zustellversuch erfolgen werde.

Dieser Aufforderung des Gerichts kam der Schuldner nicht nach. Daher stellte die zuständige Richterin des Exekutionsverfahrens ein Ersuchen an den zuständigen Rechtsträger um Bekanntgabe, in welcher Einrichtung sich der Schuldner befinde. Nachdem der Rechtsträger dem Ersuchen nachkam, wurden die Unterlagen des Exekutionsverfahrens dem Schuldner zugestellt. Dieser sah sich dadurch in seinem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB gegen das Bezirksgericht ein.

Das Bezirksgericht brachte in seiner Stellungnahme vor, im Rahmen seiner justiziellen Tätigkeit agiert zu haben, weshalb die DSB gemäß Art 55 Abs 3 DSGVO unzuständig sei. Die DSB führte in ihrem Bescheid aus, grundsätzlich für die Datenschutzbeschwerde zuständig zu sein. Es handle sich nämlich um keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO, sondern lediglich um die Vollstreckung des Exekutionstitels durch Zwangsmittel. Die Datenschutzbeschwerde sei jedoch abzuweisen, weil das Bezirksgericht gemäß § 8 Abs 2 ZustG berechtigt war, den Aufenthaltsort des Schuldners zu ermitteln. Die Bescheidbeschwerde des Schuldners wurde vom BVwG abgewiesen und das BVwG änderte den Spruch des Bescheids dahingehend ab, dass die Datenschutzbeschwerde zurückgewiesen wird.

Das BVwG hat erwogen: Der Vollzug der Exekution ist eine justizielle Tätigkeit, weil dabei weiterhin die richterliche Unabhängigkeit zu wahren ist. Zudem wird der Vollzug der Exekution nach den Bestimmungen der Exekutionsordnung im Auftrag und unter der Leitung des Gerichts durchgeführt. Die Zustellung von Schriftstücken in einem Exekutionsverfahren ist ebenso eine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO.

Die DSB war sohin zur Prüfung der Verletzung im Recht auf Geheimhaltung durch das Bezirksgericht unzuständig. Die Unzuständigkeit der DSB ist gemäß § 27 VwGVG vom BVwG von Amts wegen aufzugreifen, unabhängig davon, ob dies in der Bescheidbeschwerde eingewendet wird oder nicht. Bei einer Unzuständigkeit der Behörde haben die Verwaltungsgerichte den Bescheid grundsätzlich ersatzlos zu beheben. Infolge des ersatzlosen Behebens darf die Behörde über den gleichen Gegenstand nicht erneut entscheiden. Da dem Bescheid der DSB jedoch ein Parteiantrag zugrunde liegt, ist eine kassatorische Entscheidung nicht zulässig. Daher war die Datenschutzbeschwerde des Schuldners durch das BVwG zurückzuweisen.

BVwG 19.08.2024, W108 2286821-1

Altstoffsammelzentrum, Interessenabwägung

Ein Abfallbesitzer fuhr in ein Altstoffsammelzentrum (ASZ), um dort einen Sack mit künstlichen Mineralfasern und Verpackungsmaterial zu entsorgen. Ein Mitarbeiter des ASZ machte den Abfallbesitzer darauf aufmerksam, dass – mit Ausnahme von Verpackungsmaterial – nur die Bewohner einer bestimmten Stadt ihren Müll in diesem ASZ entsorgen dürfen. Nachdem der Abfallbesitzer dies ignorierte und den Sack mit künstlichen Mineralfasern im ASZ liegen ließ, erhielt er per Post eine Rechnung für seine Abfallentsorgung, die seiner Meinung nach zu hoch war.

Der Abfallbesitzer brachte Datenschutzbeschwerde ein, weil das ASZ seines Erachtens die Zulassungsdaten des von ihm gelenkten Pkw für die Zusendung der Rechnung nicht hätte erheben dürfen. Das ASZ führte in seiner Stellungnahme aus, es sei bereits in der Einfahrt klar erkennbar gewesen, dass der Abfallbesitzer keine Berechtigung zur Müllentsorgung in dem ASZ hatte. Die Kosten seien angemessen, weil die Entsorgung gefährlicher Abfälle erhebliche Kosten verursacht. Gegen den abweisenden Bescheid der DSB brachte der Abfallbesitzer eine (erfolglose) Bescheidbeschwerde ein.

Das BVwG hat erwogen: Die Erhebung der Zulassungsdaten des vom Abfallbesitzer gelenkten Fahrzeugs ist eine Verarbeitung personenbezogener Daten. Das ASZ ist als Verantwortlicher iSd Art 4 Z 7 DSGVO zu qualifizieren. Das Grundrecht auf Datenschutz umfasst auch den Schutz vor der Ermittlung und Weitergabe personenbezogener Daten. Die Ausforschung des Zulassungsbesitzers durch ein Ersuchen an die Bezirkshauptmannschaft berührt daher jedenfalls das Recht auf Geheimhaltung gemäß § 1 DSG.

Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen. Das ASZ hat ein berechtigtes Interesse an der Erhebung der Daten, um die entstandenen Kosten für die unrechtmäßige Abfallentsorgung weiterverrechnen zu können. Der Abfallbesitzer hat den Sack Mineralwolle trotz Hinweis des Mitarbeiters, dass dies nur für Bürger der Stadt erlaubt sei, im ASZ zurückgelassen. Dadurch sind ein erheblicher Aufwand und Kosten für die ordnungsgemäße Entsorgung entstanden, zumal es sich um Abfall einer gefährlichen Art handelte. Die Verarbeitung der personenbezogenen Daten des Abfallbesitzers war erforderlich, um die Forderung gegen ihn zu betreiben. Es gab keine alternativen Mittel zur Ermittlung der benötigten Daten.

Die erhobenen Daten waren weder sensible noch strafrechtlich relevante Daten. Der Abfallbesitzer musste mit einer Verarbeitung seiner Daten rechnen, weil er den Abfall unerlaubterweise zurückgelassen hat. Die berechtigten Interessen des ASZ überwogen daher die Interessen des Abfallbesitzers an der Geheimhaltung seiner personenbezogenen Daten. Die Verarbeitung war auch verhältnismäßig und auf das notwendige Maß beschränkt.

Überdies kann sich das ASZ auf Art 6 Abs 1 lit e DSGVO stützen, weil es gemäß § 8 der Abfallordnung der Stadt, die aufgrund des § 6 Oö Abfallwirtschaftsgesetzes 2009 erlassen wurde, im öffentlichen Interesse handelt und eine gesetzliche Aufgabe erfüllt. Im Zusammenhang mit dieser Aufgabe ist das ASZ jedenfalls berechtigt, personenbezogene Daten zu erheben und zu verarbeiten, wenn etwa unzulässigerweise gefährlicher Abfall hinterlassen wird.

Beim Versand einer unerbetenen Werbeemail kommt keine Ermahnung in Betracht, denn die Bedeutung des strafrechtlich geschützten Rechtsguts ist in Ansehung des Strafrahmens iHv bis zu EUR 50.000 nicht als gering zu betrachten. Wurde aufgrund der Werbeemail eine Anzeige erstattet, kann auch von keiner völlig unerheblichen Störung ausgegangen werden, weil der Empfänger beim Ausbleiben der Störung keine Anzeige erstattet hätte (BVwG 08.08.2024, W282 2289350-1).
Setzt ein Arbeitsloser keine Bemühungen zum Erlangen einer ihm zugewiesenen konkreten Arbeitsstelle, sind datenschutzrechtliche Einwände nicht geeignet, um das Unterlassen der Bewerbung zu rechtfertigen (BVwG 17.05.2024, G305 2282006-1).

Vorschau EuGH-Rechtsprechung

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors vom 17.04.2024 nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Datenschutzmonitor 11.09.2024

Rechtsprechung des EuGH

EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde

Ein Betroffener erachtete sich in seinem Auskunftsrecht verletzt, weil der Verantwortliche nicht innerhalb eines Monats auf sein Auskunftsersuchen geantwortet hat und erhob Datenschutzbeschwerde gemäß Art 77 Abs 1 DSGVO bei der DSB. Da er innerhalb von 20 Monaten bereits 77 ähnliche Datenschutzbeschwerden gegen verschiedene Verantwortliche eingereicht hat, die ebenfalls nicht fristgerecht auf seine Auskunfts- oder Löschersuchen reagiert haben sollen, stufte die DSB seine Datenschutzbeschwerde als exzessiv ein und verweigerte deren Bearbeitung. Das BVwG behob den Bescheid der DSB, die daraufhin Revision beim VwGH einlegte. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Anfrage iSd Art 57 Abs 4 DSGVO als exzessiv gilt.

Der Generalanwalt hat erwogen: Die Begriffe "Anfrage" bzw "Anfragen" iSd Art 57 Abs 4 DSGVO erfassen auch Beschwerden an die Datenschutz-Aufsichtsbehörden.

Um ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, ist ein ordnungsgemäßes Funktionieren der Aufsichtsbehörden sicherzustellen, indem verhindert wird, dass diese durch das Einreichen offenkundig unbegründeter oder exzessiver Beschwerden behindert werden. Die Bestimmung des Art 57 Abs 4 DSGVO ermöglicht den Aufsichtsbehörden, mit solchen Beschwerden speziell umzugehen und dadurch die Belastung zu verringern, die solche Beschwerden auslösen können.

Ein Schwellenwert, ab dem Beschwerden allein aufgrund ihrer Anzahl als exzessiv eingestuft werden könnten, würde die Betroffenenrechte beeinträchtigen. Da Art 57 Abs 4 DSGVO eng auszulegen ist, reicht die bloße Berücksichtigung der Anzahl der Beschwerden, so groß sie auch sein mag, als Rechtfertigung für die Anwendung dieser Bestimmung durch eine Aufsichtsbehörde nicht aus. Für die Feststellung, dass eine exzessive Anfrage vorliegt, ist eine missbräuchliche Absicht der Person, die die Beschwerden einreicht, nachzuweisen. Die Aufsichtsbehörde hat nachzuweisen, dass die Beschwerden nicht dem Schutz der Rechte aus der DSGVO dienen, sondern einem anderen Zweck, etwa dem Versuch, die Behörde zu überlasten.

Bei exzessiven Anfragen kann die Aufsichtsbehörde wählen, ob sie eine angemessene Gebühr verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Diese Wahl darf die Aufsichtsbehörde jedoch nicht nach freiem Ermessen und ohne Begründung treffen. In Hinblick auf den Verhältnismäßigkeitsgrundsatz, auf das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten und auf die Verpflichtung der Behörden, sich mit aller gebotenen Sorgfalt mit Beschwerden zu befassen, sollte vorranging eine angemessene Gebühr in Betracht gezogen werden, weil dadurch die Rechte der Betroffenen in geringerem Maße beeinträchtigt werden.

Rechtsprechung des BVwG

BVwG 31.07.2024, W108 2280724-1

Ein Nutzer brachte wegen behaupteter Mangelhaftigkeit des Cookie-Banners auf einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Der Nutzer monierte ua, dass auf der ersten Ebene des Cookie-Banners keine "Ablehnen"-Schaltfläche vorhanden war und die Einwilligung nicht ebenso einfach widerrufen wie erteilt werden konnte. Die DSB wies die Datenschutzbeschwerde teilweise ab und teilweise zurück. Gleichzeitig erteilte die DSB dem Websitebetreiber von Amts wegen die Aufträge, seinen Cookie-Banner und die damit verbundenen Datenverarbeitungen auf näher umschriebene Weise anzupassen. Der Websitebetreiber erhob Bescheidbeschwerde an das BVwG, entsprach jedoch während des laufenden Verfahrens vor dem BVwG den Leistungsaufträgen der DSB. Das BVwG gab der Bescheidbeschwerde daher statt und hob den angefochtenen Bescheid ersatzlos auf.

Das BVwG hat erwogen: Gemäß Art 7 Abs 3 DSGVO hat der Widerruf der Einwilligung genau so einfach zu sein, wie das Erteilen der Einwilligung. Der Websitebetreiber hat die Website in der Zwischenzeit angepasst. Im Cookie-Banner wird darauf hingewiesen, dass am Seitenende ein Link "Cookie Einstellungen und Widerruf" zu finden ist, über den die Einwilligung widerrufen werden kann. Diese Anpassung entspricht den gesetzlichen und behördlichen Vorgaben, auch wenn auf einen Link geklickt werden muss und der Nutzer erst auf einer "zweiten Ebene" die Einstellungen und den Widerruf findet. Einem durchschnittlich informierten Verbraucher ist das zumutbar.

Der Websitebetreiber hat auch die Datenverarbeitung angepasst und setzt beim Aufruf der Website, bevor eine Einwilligung abgegeben wurde, nur mehr technisch notwendige Cookies. Diese Cookies sind für die Diensterbringung unbedingt erforderlich und können demgemäß ohne Einwilligung gesetzt werden. Da technisch nicht notwendige Cookies erst nach Erteilen der Einwilligung gesetzt werden, hat der Websitebetreiber auch diesem Leistungsauftrag der DSB entsprochen.

Anm: Leistungsaufträgen der DSB im laufenden Verfahren vor dem BVwG zu entsprechen, kann eine gute Strategie sein. Denn die Leistungsaufträge der DSB sind Anweisungen iSd Art 83 Abs 6 DSGVO. Wird ein Leistungsauftrag rechtskräftig und ist der Betroffene der Ansicht, dass dem Auftrag nicht (vollständig) entsprochen wurde, kann er Exekution führen oder bei der DSB die Einleitung eines Verwaltungsstrafverfahrens anregen.

BVwG 10.07.2024, W298 2261830-1

Während der Corona-Pandemie sind die Mitarbeiter einer Behörde per E-Mail instruiert worden, ihren Arbeitsplatz ohne FFP2-Maske nur mit einem negativen Antigen-Test zu betreten. Die Testergebnisse konnten die Mitarbeiter in einer Datenbank einsehen, in der sie sich zuvor unter Angabe persönlicher Daten, wie etwa Vor- und Nachname, Sozialversicherungsnummer und Geburtsdatum, vorregistrieren mussten. In die Testergebnisse konnte (auch) die Behördenleitung sowie gelegentlich die Belegschaft einsehen. Die DSB gab der auf eine Verletzung des Geheimhaltungsrechts gestützten Datenschutzbeschwerde eines Mitarbeiters statt. Die dagegen erhobene Bescheidbeschwerde der Behörde wies das BVwG ab.

Das BVwG hat erwogen: Bei Covid-19-Testergebnissen handelt es sich um Gesundheitsdaten. Deren Verarbeitung ist – unter anderem – dann zulässig, wenn die betroffene Person in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich und freiwillig eingewilligt hat. Zwar wurde eine Einwilligung des Mitarbeiters mit dessen Unterschrift zur Verarbeitung der Gesundheitsdaten eingeholt. Das Kriterium der Freiwilligkeit war jedoch nicht erfüllt, weil der Mitarbeiter keine echte Wahl hatte. Ohne der "freiwilligen" Teilnahme am Testprogramm hätte der Mitarbeiter während der Dienstzeiten verpflichtend durchgängig eine FFP2-Atemschutzmaske zu tragen gehabt. Davon abgesehen bedingt das einem Dienstverhältnis regelmäßig innewohnende Abhängigkeitsverhältnis des Mitarbeiters von seinem Dienstgeber, dass die Einwilligung nicht freiwillig erteilt wurde.

Ebenso wenig erteilte der Mitarbeiter seine ausdrückliche Einwilligung dazu, dass nicht nur er, sondern auch Dritte (hier: die Behördenleitung) in seine Testergebnisse einsehen konnten. Die Behördenleitung konnte sich auch auf keine gesetzliche Grundlage iSd Art 9 Abs 2 lit b DSGVO stützen. Denn die 3. COVID-19-NotMV betraf die Bereithaltung von Informationen zum Beweis der Einhaltung von Präventionsmaßnahmen gegen die Verbreitung des Covid-19-Virus. Daraus ergab sich jedoch keine Datenverarbeitungsgrundlage, auf deren Basis die Behördenleitung in die Testergebnisse ihrer Mitarbeiter hätte einsehen dürfen.

BVwG 19.08.2023, W214 2242818-1

Der Miteigentümer einer Liegenschaft schrieb E-Mails an die Hausverwaltung, in denen er Beschwerden über verschiedene Missstände äußerte. Diese E-Mails, einschließlich der E-Mail-Adresse des Miteigentümers, leitete die Hausverwaltung ohne die Zustimmung des Miteigentümers an drei andere Miteigentümer der Liegenschaft, die laut Hausverwaltung als "Vertrauensleute" bestellt waren, weiter. Die darüber erhobene Datenschutzbeschwerde des Miteigentümers wies die DSB ab. Gegen diesen Bescheid der DSB erhob der Miteigentümer (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Inhalt der E-Mails sowie die E-Mail-Adresse des Miteigentümers sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Das Datenschutzrecht gilt auch für die teilweise öffentlich zugänglichen Daten des Miteigentümers. Der Eigentümer hat in die Weiterleitung seiner E-Mail-Adresse nicht eingewilligt.

Die Hausverwaltung war auch vertraglich iSd Art 6 Abs 1 lit b DSGVO zur Weiterleitung der Nachrichten an die "Vertrauensleute" nicht verpflichtet. Zwar übte der Miteigentümer in seinen Nachrichten massive Kritik an der Hausverwaltung, dennoch war die Weitergabe seiner personenbezogenen Daten an die "Vertrauensleute" kein geeignetes Mittel, um die Aufgabe der Hausverwaltung zu erfüllen.

Die drei "Vertrauensleute" wurden nicht als Eigentümervertreter iSv § 22 WEG bestellt. Gemäß § 26 Abs 1 WEG könnten alle Wohnungseigentümer eine Vereinbarung über bestimmte Funktionen treffen. Es existiert jedoch keine entsprechende Vereinbarung, und die ehrenamtliche Tätigkeit der "Vertrauensleute" reicht nicht aus.

Zwar hatte die Hausverwaltung ein berechtigtes Interesse, die übrigen Eigentümer über den Konflikt zu informieren, jedoch wäre dies auch ohne Weiterleitung der E-Mails durch alternative Methoden möglich gewesen. Folglich überwog das Recht des Miteigentümers auf Geheimhaltung seiner Daten.

BVwG 19.08.2024, W214 2248588-1

Der Pächter einer Parzelle eines Siedlervereins brachte mehrere Überwachungskameras am Parkplatz und an den Straßen am Areal des Siedlervereins an. Einer seiner Nachbarn, welcher ebenfalls eine Parzelle gepachtet hat, brachte daraufhin wegen behaupteter Verletzung im Geheimhaltungsrecht eine Datenschutzbeschwerde bei der DSB ein. Der Pächter gab an, dass das Anbringen der Kameras durch den Vorstand des Siedlervereins genehmigt wurde und sein Nachbar Mitglied des Vorstands sei. Die Kameras sollten zur Überwachung des Fahrzeugs des Pächters und zur Feststellung von unberechtigt parkenden Fahrzeugen dienen, weil es sich um einen Privatgrund handle. Die Kameras zeichneten kontinuierlich auf und speicherten die Aufnahmen für 72 Stunden. Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte eine Verletzung in seinem Recht auf Geheimhaltung fest, weil die Parkplätze und Zufahrtsstraßen von allen Pächtern des Areals genutzt werden konnten und es sich somit um allgemein nutzbare Flächen handelte. Der Pächter erhob eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Pächter ist Verantwortlicher der Bildverarbeitung iSd Art 4 Z 7 DSGVO. Er hat die Installation der Kameras beauftragt und wurde auf den Hinweisschildern als Verantwortlicher angegeben. Die Videoüberwachung ist eine Verarbeitung personenbezogener Daten iSd Art 4 Z 2 DSGVO, weil die Kameras in der Lage sind, personenbezogene Daten zu erfassen und zu speichern.

Entgegen den Behauptungen des Pächters hat der Vorstand dem Anbringen der Kameras nicht zugestimmt. Dem Protokoll der Jahreshauptversammlung des Vorstands konnte nur entnommen werden, dass über die Anbringung einer Kamera-Attrappe abgestimmt wurde. Der Pächter hat nicht hinreichend über die Details informiert.

Der Pächter hat zwar ein berechtigtes Interesse an der Überwachung seines Eigentums zum Schutz vor Diebstahl und Beschädigungen sowie zur Hintanhaltung der Ablagerung von Müll. Demgegenüber steht jedoch das berechtigte Interesse des Nachbarn, nicht überwacht zu werden. Die Videoüberwachung des gesamten Parkplatzes durch vier Kameras und die Speicherung der Aufnahmen für 72 Stunden über einen Zeitraum von mehreren Jahren war unverhältnismäßig, zumal dem Pächter kein fixer Parkplatz zugewiesen war, sondern alle Parkplätze von allen Pächtern genutzt werden durften. Die Interessen des Nachbarn überwogen die berechtigten Interessen des Pächters.

Auch die Überwachung der Zufahrtsstraße durch die Kameras war unverhältnismäßig, weil es allgemein zugängliche Bereiche waren und den Nachbarn nicht zuzumuten ist, bei jeder Benutzung dieser Straße von der Videoüberwachung erfasst zu werden. Der Eingriff ins Recht auf Geheimhaltung war somit unverhältnis- und unrechtmäßig.

Eine auf § 13 Abs 3 AVG gestützte Zurückweisung kommt nur bei solchen Datenschutzbeschwerden in Frage, die mit Mängeln behaftet sind. Fehlen (i) die Bezeichnung des als verletzt erachteten Rechts, (ii) das Begehren, die behauptete Rechtsverletzung festzustellen, sowie (iii) die Angaben, die zur Beurteilung der Rechtzeitigkeit der Datenschutzbeschwerde erforderlich sind, ist das Erteilen eines Mängelbehebungsauftrags erforderlich. Kommt der Beschwerdeführer dem Mängelbehebungsauftrag nicht nach, ist die DSB berechtigt, die Datenschutzbeschwerde zurückzuweisen (BVwG 26.07.2024, W292 2265092-1).
Wird gegen einen Zurückweisungsbescheid eine Bescheidbeschwerde erhoben, darf das BVwG nur über die Rechtmäßigkeit der Zurückweisung absprechen. Da die Zurückweisung rechtswidrig war, ist der angefochtene Bescheid aufzuheben und der DSB die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufzutragen (BVwG 18.06.2024, W214 2222613-2).
Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 21.08.2024, W214 2262974-1).
Wird eine Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 31.07.2024, W292 2250709-1).

EU-Rechtsakte

Das Rahmenübereinkommen des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit, SEV 225, ist am 05.09.2024 zur Zeichnung aufgelegt worden. Am 04.09.2024 ist der "Beschluss (EU) 2024/2218 des Rates vom 28. August 2024 über die Unterzeichnung — im Namen der Europäischen Union — des Rahmenübereinkommens des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit" kundgemacht worden, ABl L 2024/2218, 1. Das Rahmenübereinkommen wurde von der EU am 05.09.2024 unterzeichnet.

Nationale Rechtsakte

Am 03.09.2024 hat der Bund die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht, BGBl I 2024/138.

Am 04.09.2024 hat der Bundesminister für Bildung, Wissenschaft und Forschung die Registerforschungsverordnung-BMK kundgemacht, BGBl II 2024/241. Mit dieser Verordnung wurden zehn Register im Wirkungsbereich des Bundesministeriums für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie als registerforschungstaugliche Register festgelegt.

Vorschau EuGH-Rechtsprechung

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in einem öffentlichen Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Datenschutzmonitor 04.09.2024

Rechtsprechung des OGH

Aus der Rechtsprechung des OGH:

Werden in einem Strafverfahren Kommunikationsdaten des Strafverdächtigten von ausländischen Behörden erhoben und an die inländischen Strafverfolgungsbehörden übermittelt, unterliegen solche Daten keinem Beweisverwertungsverbot (OGH 27.08.2024, 11Os85/24w).

Rechtsprechung des BVwG

BVwG 31.07.2024, W108 2284491-1

Ein Nutzer besuchte die Website eines Medienunternehmens, die im Cookie-Banner keine "Ablehnen"-Schaltfläche auf der ersten Ebene enthielt. Der Nutzer begehrte vom Medienunternehmen die Löschung aller durch die Cookies erhobenen personenbezogenen Daten. Das Medienunternehmen argumentierte, dass die Verarbeitung personenbezogener Daten zu journalistischen Zwecken erfolgte und daher von den Bestimmungen der DSGVO ausgenommen war. Der Nutzer erhob Datenschutzbeschwerde bei der DSB, die dieser teilweise stattgab und das Medienunternehmen zur Anpassung des Cookie-Banners aufforderte. Das Medienunternehmen erhob Bescheidbeschwerde beim BVwG, das diese abwies.
Das BVwG hat erwogen: Die DSGVO verlangt, dass die Einwilligung zur Verarbeitung personenbezogener Daten freiwillig, informiert und unmissverständlich erfolgt. Eine Einwilligung muss genauso einfach zu widerrufen sein, wie sie erteilt wurde. Auch die Nichtabgabe einer Einwilligung muss genauso einfach sein, wie die Abgabe der Einwilligung. Ein Cookie-Banner muss daher eine gleichwertige Option zum Ablehnen der Cookies auf der ersten Ebene enthalten.

Das Medienunternehmen kann sich nicht auf das Medienprivileg berufen, weil das Setzen von Cookies für Analyse-, Marketing- und Werbezwecke keine journalistische Tätigkeit ist. Bei Verarbeitungstätigkeiten für andere Zwecke von Medienunternehmen wie zB für die Personalverwaltung oder Marketing sind die Bestimmungen des DSG und der DSGVO ungeschmälert anwendbar. Auch wenn aufgrund der Wichtigkeit des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft der Begriff der "journalistischen Tätigkeit" weit auszulegen ist, zielt die Verarbeitung personenbezogener Daten zu den oben genannten Zwecken nicht auf die Vermittlung von Informationen und Ideen über Fragen im öffentlichen Interesse ab.

Die DSB hat die Befugnis, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen. Dies umfasst auch die Gestaltung des Cookie-Banners. Die Gestaltung des Cookie-Banners des Medienunternehmens entspricht nicht den Anforderungen der DSGVO, weil die Schaltfläche zum Ablehnen der Cookies nicht auf der ersten Ebene ist und mit der Schaltfläche "Akzeptieren" optisch nicht gleichwertig gestaltet ist.

BVwG 22.04.2024, W214 2253376-1

Im Rahmen eines Forschungsprojekts veröffentlichte ein Universitätsprofessor Adressdaten und ZVR-Nummern von Vereinen und ihren Vertretern. Bei den veröffentlichten Adressdaten handelte es sich teilweise um die Privatadressen der Vertreter. Die Vereine und deren Vertreter erachteten sich in ihren Rechten auf Geheimhaltung und Information verletzt und brachten Datenschutzbeschwerde bei der DSB gegen die Universität, den Universitätsprofessor und den Fonds, welcher das Forschungsprojekt sponserte, ein. Die DSB wies die Datenschutzbeschwerde ua deshalb ab, weil die veröffentlichten Adressen und ZVR-Nummern der betroffenen Vereine und ihrer Vertreter aus öffentlich zugänglichen Quellen stammten.

Die DSB sprach jedoch auch aus, dass eine gemeinsame Verantwortlichkeit zwischen der Universität und dem Fonds besteht und daher eine Vereinbarung gemäß Art 26 DSGVO abgeschlossen werden muss. Gegen diesen Bescheid erhoben sowohl die Universität als auch die Vereine und ihre Vertreter (teilweise erfolgreiche) Bescheidbeschwerden an das BVwG.

Das BVwG hat erwogen: Die Universität ist allein datenschutzrechtlich Verantwortliche für das Forschungsprojekt. Das Handeln des Universitätsprofessors als Angestellter ist der Universität zuzurechnen. Der Fonds stellt lediglich finanzielle Mittel bereit und nimmt keinen Einfluss auf die Datenverarbeitung.

Die Veröffentlichung von Adressen und ZVR-Nummern von Vereinen und deren Vertretern ist eine Datenverarbeitung. Durch die Verknüpfung der personenbezogenen Daten und die Anreicherung mit weiteren Informationen werden neue Daten und Informationen generiert. Diese neuen Daten stammen nicht aus öffentlichen Quellen.

Die Daten juristischer Personen, somit die Adressen der Vereine, unterliegen dem Schutz des § 1 DSG. Da die Daten nicht 1:1 aus öffentlichen Quellen zusammengeführt, sondern mit anderen Daten kombiniert wurden, sind sie nicht allgemein verfügbar iSd § 1 DSG.

Zwar kann sich die Universität bei der Durchführung und Veröffentlichung von Forschungsarbeiten auf die Wissenschaftsfreiheit gemäß § 17 StGG berufen. Allerdings ist auch bei wissenschaftlichen Vorhaben das Recht auf Geheimhaltung zu beachten. Die Veröffentlichung personenbezogener Daten muss verhältnismäßig sein und dem Grundsatz der Datensparsamkeit entsprechen. Die Veröffentlichung der Adressen der Vereine und deren Vertreter war für die Erreichung des Projektziels nicht erforderlich. Durch die überschießende Datenverarbeitung wurde das Recht auf Geheimhaltung verletzt.

Betroffene natürliche Personen haben ein Recht auf Information zu der Verarbeitung ihrer Daten gemäß Art 14 DSGVO. Eine Ausnahme von der Informationspflicht besteht zwar unter anderem dann, wenn die Informationserteilung unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde. Im Projekt wurden jedoch einzelne Betroffene vorab direkt angeschrieben und informiert. Es ist nicht ersichtlich, warum dies nicht für alle Betroffenen hätte erfolgen können. Eine erst nachträglich bereitgestellte Datenschutzinformation gilt nicht als rechtzeitig erteilt.

BVwG 20.11.2023, W214 2222613-2

Eine Kreditauskunftei speicherte ua Bonitätsscores sowie Zwischenergebnisse (Teil-scores) zu den errechneten Bonitätsscores. Ein Betroffener ersuchte um Auskunft und um eine Kopie der über ihn gespeicherten personenbezogenen Daten. Die Kreditauskunftei erteilte eine Auskunft, der Betroffene erachtete diese jedoch für unzureichend und erhob Datenschutzbeschwerde wegen Verletzungen der Rechte auf Auskunft, Information und Geheimhaltung. Die DSB wies die Datenschutzbeschwerde teilweise zurück und teilweise ab.

Über die Bescheidbeschwerde des Betroffenen erging ein Teilerkenntnis des BVwG, das von beiden Parteien mit ordentlicher Revision beim VwGH bekämpft wird.

Mit Beschluss vom selben Tag ersuchte das BVwG den EuGH um Vorabentscheidung betreffend die Zurverfügungstellung einer Kopie personenbezogener Daten. Mit Urteil vom 04.05.2023, C‑487/21, Österreichische Datenschutzbehörde, beantwortete der EuGH die Vorlagefragen, weshalb das Verfahren fortgesetzt wurde. Das BVwG gab der Bescheidbeschwerde (im noch zu erledigenden Umfang) teilweise statt, und trug der Kreditauskunftei auf, dem Betroffenen die ihn betreffenden Bonitätsreports mit Ausnahme allenfalls vorhandener Daten dritter natürlicher Personen zu übermitteln.

Das BVwG hat erwogen: Gegenstand des Verfahrens ist nurmehr, ob die über den Betroffenen gespeicherten personenbezogenen Daten in Form einer Kopie – allenfalls in kontextualisierter Form – zu beauskunften sind. Auf die darüber hinausgehenden Ausführungen des Betroffenen zu den Verarbeitungszwecken und der Herkunft der Daten ist nicht weiter einzugehen. Ebenso wenig sind aussagekräftige Informationen über Logik, Tragweite und Auswirkungen der eingesetzten Scoreformel Verfahrensgegenstand.

Kreditauskunfteien sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher für sieben Jahre aufzubewahren. Dementsprechend werden im Archiv der Kreditauskunftei die an den Kunden der Kreditauskunftei übermittelten Bonitätsscores aufbewahrt. Die Kreditauskunftei hat daher dem Betroffenen die Kopien der entsprechenden Bonitätsreports zur Verfügung zu stellen, wobei eventuell vorhandene personenbezogene Daten Dritter (etwa Namen natürlicher Personen als Mitarbeiter des Unternehmens, welches Empfänger der Bonitätsreporte war) unkenntlich zu machen sind.

Der EuGH hat den Begriff der "Kopie" im gewöhnlichen Sinn ausgelegt, wonach dadurch die originalgetreue Reproduktion oder Abschrift der personenbezogenen Daten bezeichnet wird. Somit handelt es sich beim Begriff der "Kopie" nicht um eine Binärfolge, sondern um eine Darstellung in einem für den Menschen verständlichen/lesbaren Format.

Eine manuell erstellte Aufstellung kann eine originalgetreue Reproduktion der Daten sein, weil es auf die Originaltreue der verarbeiteten Daten und nicht auf jene des Formats ankommt. Die Daten des Betroffenen wurden originalgetreu aus der Datenbank exportiert und stimmen somit mit den in der Datenbank verarbeiteten Daten überein. Die originalgetreue Reproduktion geht nicht dadurch verloren, dass die Daten des Nutzers in ein anderes Format übertragen werden. In welchem Format die Auskunft erteilt wird, liegt im Ermessen des Verantwortlichen.

Zudem darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Die Datenbankstruktur gilt als Geschäfts- und Betriebsgeheimnis, das durch Screenshots offengelegt werden würde.

Die Teilscores sind zwar personenbezogene Daten, durch ihre Offenlegung könnten jedoch Rückschlüsse auf die Scoreformel möglich werden. Sie sind daher Bestandteil des durch das Geschäftsgeheimnis geschützten Algorithmus und demnach nicht zu beauskunften.

BVwG 22.07.2024, W211 2171666-1

Eine Kreditauskunftei prognostizierte anhand mathematisch-statistischer Verfahren das zukünftige Verhalten von Personen und erstellte darauf basierende Score-Werte. Diese Score-Werte übermittelte die Kreditauskunftei an ihre Geschäftskunden, darunter einem Telekomunternehmen. Ein Kunde dieses Telekomunternehmens richtete ein Auskunftsersuchen an die Kreditauskunftei. Da er mit der erteilten Auskunft unzufrieden war, erhob er Datenschutzbeschwerde bei der DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt, weil die Kreditauskunftei Negativauskünfte über den Betroffenen gelöscht hatte. Gegen den abweisenden Teil des Bescheides erhob der Kunde eine Bescheidbeschwerde.

Das BVwG teilte seine Entscheidung in zwei Spruchpunkte. Mit dem ersten Spruchpunkt setzte das BVwG das Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus. Mit dem zweiten Spruchpunkt trug das BVwG der Kreditauskunftei auf, dem Kunden eine Auskunft über die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.

Das BVwG hat erwogen: Die Kreditauskunftei ermittelt automatisiert einen Score-Wert, der auf mathematisch-statistischen Methoden beruht und das Verhalten sowie die Bonität des Kunden analysiert. Dieses Verfahren ist als Profiling zu qualifizieren. Von den übermittelten Score-Werten der Kreditauskunftei hängt maßgeblich ab, ob ihre Geschäftskunden, hier das Telekomunternehmen, ein Vertragsverhältnis mit der abgefragten Person eingehen. Daher können sich in einer Marktwirtschaft schwerwiegende Folgen für die Unabhängigkeit und Handlungsfähigkeit von Betroffenen ergeben. Nach vorläufiger Ansicht des BVwG ist der errechnete Score daher eine automatisierte Entscheidung iSd Art 22 DSGVO. In welchem Umfang die entsprechende Auskunft nach Art 15 Abs 1 lit h DSGVO zu erteilen ist, hängt jedoch vom Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, ab, weshalb das Verfahren ausgesetzt wird.

Das BVwG hat bereits in einem vorhergehenden Erkenntnis ausgesprochen, dass die Kreditauskunftei dem Kunden die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu beauskunften hat. Ein entsprechender Leistungsauftrag wurde jedoch nicht erteilt. Über Revision des Kunden behob der VwGH das vorherige Erkenntnis des BVwG. Der Kreditauskunftei war nunmehr ein Leistungsauftrag zur Beauskunftung der Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.

Das eigene Grundstück mit Video zu überwachen, ist grundsätzlich berechtigt. Über das eigene Grundstück hinaus dürfen Teile eines öffentlichen Weges und Teile von Nachbargrundstücken jedoch ohne ein entsprechendes berechtigtes Interesse nicht erfasst werden (BVwG 15.07.2024, W137 2268788-1).
Das BVwG kann ein Verfahren bis zur Entscheidung des EuGH über ein Vorabentscheidungsersuchen aussetzen, auch wenn beim EuGH eine (bloß) ähnliche Rechtsfrage anhängig ist. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Datenschutzbeschwerde exzessiv ist. Diese Frage ist präjudiziell, weshalb das Verfahren auszusetzen ist (BVwG 04.07.2024, W211 2283135-1; BVwG 31.07.2024, W108 2283036-1).
Wird die Datenschutzbeschwerde zurückgezogen, hat dies zur Folge, dass die angefochtenen Spruchpunkte des Bescheids der DSB dadurch (nachträglich) von einer unzuständigen Behörde erlassen wurden und sich diese Spruchpunkte (rückwirkend) als rechtswidrig erweisen (BVwG 21.08.2024, W214 2257555-1).

Rechtsakte

Am 28.08.2024 hat Wien, LGBl 2024/24, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Vorschau EuGH-Rechtsprechung

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

August 2024

08.08. | 14.08. | 21.08. | 28.08.

Datenschutzmonitor 28.08.2024

Rechtsprechung des VwGH

VwGH 24.07.2024, Ra 2024/04/0376

Die Lebensgefährtin eines Angestellten fühlte sich von der Überwachung durch einen Detektiv in ihrem Recht auf Geheimhaltung verletzt. Die Arbeitgeberin ließ den Angestellten wegen einer arbeitsrechtlichen Auseinandersetzung observieren. Obwohl die Lebensgefährtin nicht Gegenstand des Observationsauftrags war, enthielt der Observationsbericht Fotos der Lebensgefährtin, auf denen sie allein zu sehen war, ihren vollen Namen und bezeichnete sie als "Zielperson 2". Die DSB gab der Datenschutzbeschwerde der Lebensgefährtin teilweise statt.

Gegen das Erkenntnis erhob der observierende Detektiv Bescheidbeschwerde an das BVwG, welches die Beschwerde abwies. Das BVwG sah die Verarbeitung der Daten der Lebensgefährtin nicht vom berechtigten Interesse des Detektivs gedeckt. Gegen das Erkenntnis erhob der Detektiv eine außerordentliche Revision an den VwGH. Der VwGH wies die Revision zurück.

Der VwGH hat erwogen: Bei der Beurteilung der Rechtmäßigkeit einer Datenverarbeitung gemäß Art 6 Abs 1 lit f DSGVO ist eine einzelfallbezogene Interessenabwägung durchzuführen. Eine Rechtsfrage von grundsätzlicher Bedeutung iSd Art 133 Abs 4 B-VG liegt bei Einzelfallbeurteilungen nur dann vor, wenn die Beurteilung krass fehlerhaft ist.

Die Ermittlung von Zeugen kann im berechtigten Interesse eines Detektivs liegen, muss aber vom Auftragsumfang gedeckt sein. Das Anfertigen von Fotos, auf denen die Lebensgefährtin allein zu sehen ist, fällt nicht unter die Beschaffung von Beweismitteln für ein gerichtliches oder behördliches Verfahren. Inwieweit die Fotos für einen eventuellen arbeitsrechtlichen Streit mit dem Angestellten von Nutzen sein könnten, ist nicht ersichtlich. Eine krasse Fehlbeurteilung, die aus Gründen der Rechtssicherheit einer Korrektur bedürfte, wurde in der Revision ebenso wenig aufgezeigt wie eine konkrete Rechtsfrage.

Rechtsprechung des BVwG

BVwG 08.07.2024, W177 2287425-1

Ein Verlassenschaftskurator stellte für die Verlassenschaft beim Bundesminister für Finanzen (BMF) ein Auskunftsbegehren betreffend den Verstorbenen bzw seiner Verlassenschaft, einschließlich seiner Kontodaten im Kontenregister. Der BMF wies den Antrag mit Bescheid ab. Gegen diesen Bescheid erhob die Verlassenschaft (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verlassenschaft hat kein Auskunftsrecht aus dem Kontenregister nach § 4 Abs 1 KontRegG, weil die Ermittlung und Feststellung von Nachlassvermögen keiner der in dieser Bestimmung taxativ genannten Zwecke ist.

Gemäß § 4 Abs 4 KontRegG haben betroffene Personen und Unternehmer das Recht auf Auskunft, welche sie betreffende Daten in das Kontenregister aufgenommen sind. Der Verlassenschaft steht dieses Auskunftsrecht nicht zu, weil es personenbezogene Daten des Verstorbenen sind. Das Auskunftsrecht nach dieser Bestimmung ist ein höchstpersönliches Recht, das mit dem Tod des Berechtigten erlischt. In höchstpersönliche Rechte des Verstorbenen findet eine Rechtsnachfolge durch die Verlassenschaft nicht statt. Dies gilt auch für das Auskunftsrecht nach dem DSG oder der DSGVO, an die die Bestimmung des § 4 Abs 4 KontRegG angelehnt ist.

Die Verlassenschaft steht zudem in keinem schuldrechtlichen Verhältnis zur Behörde, von der die Auskunft begehrt wird, sodass ein Eintritt im Wege der Gesamtrechtsnachfolge iSd Eigenschaft eines Kunden oder einer Kundin eines Kreditinstituts zur Begründung des Auskunftsrechts nicht in Betracht kommt. Die Verlassenschaft hat jedoch die Möglichkeit, direkt vom Kreditinstitut, mit dem der Verstorbene ein Vertragsverhältnis begründet hatte, Auskunft zu begehren.

BVwG 24.07.2024, W274 2287428-1

Ein Versicherter ersuchte die Gebietskrankenkasse um Löschung des Krankengeldbezugs über einen näher bezeichneten Zeitraum aus seinem Sozialversicherungsdatenauszug, weil der Krankengeldbezug für diesen Zeitraum seines Erachtens zu Unrecht als "Krankengeldbezug Sonderfall" ausgewiesen war. Der Versicherte befürchtete, dass die Daten ihm bei der Arbeitssuche schaden würden. Die Gebietskrankenkasse verweigerte die Löschung.

Der Versicherte erhob eine Datenschutzbeschwerde. Die DSB hat allerdings bereits zuvor eine Datenschutzbeschwerde des Versicherten, in dem die Löschung des Krankengeldbezugs zum Teil über denselben Zeitraum verlangt wurde, abgewiesen. Obwohl die DSB diese zeitliche Überlappung erkannte, wies sie die Datenschutzbeschwerde zur Gänze ab. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Versicherten teilweise wegen entschiedener Sache (res iudicata) zurück und teilweise ab.

Das BVwG hat erwogen: Über einen Teil des Zeitraums betreffend den Krankengeldbezug hat die DSB bereits mit einem früheren Bescheid abgesprochen. Die DSB erkannte zwar die Identität der Sache über einen Großteil des Zeitraums, dennoch wies sie die Datenschutzbeschwerde ab. Wurde von der DSB ein neuerlicher Antrag trotz Identität der Sach- und Rechtslage nicht wegen res iudicata zurückgewiesen, sondern aus materiellen Gründen (wieder) abgewiesen, ist die Partei ungeachtet der Rechtswidrigkeit des Bescheids in keinem Recht verletzt. Wird gegen eine solche rechtswidrige meritorische Erledigung jedoch Bescheidbeschwerde an das BVwG erhoben, hat das BVwG den Antrag – ungeachtet der Sachentscheidung der DSB – wegen res iudicata zurückzuweisen.

Hinsichtlich des darüber hinausgehenden Zeitraums war die Bescheidbeschwerde abzuweisen. Die gesetzliche Pensionsversicherung knüpft am Krankengeld an. Die Grundlage der entsprechenden Information für die Pensionsversicherung ist der Versicherungsdatenauszug. Die Verarbeitung des Versicherungsdatenauszugs ist zur Erfüllung der gesetzlichen Pflicht der Gebietskrankenkasse erforderlich.

Die Qualifikation "Krankenfeldbezug Sonderfall" wird verwendet, wenn aufgrund des Bezugs von Arbeitslosengeld, Karenzurlaubsgeld oder Notstandshilfe oder auf Grund einer durch eine Beschäftigung bei einer internationalen Organisation (zB IAEO, UNIDO) oder verschiedenen Gemeinde- und Landesbediensteten begründeten Krankenversicherung nach dem ASVG-Krankengeld bezogen wurde, wobei der Grund, warum es zu diesem Krankengeldbezug gekommen ist, für die Speicherung der Qualifikation unerheblich ist.

Der Versicherte meint, sein Krankengeldbezug wäre im genannten Zeitraum aufgrund einer unzulässigen Zwangsmaßnahme nach dem UbG erfolgt, woran die Qualifikation "Krankengeldbezug Sonderfalle" anknüpfe, weshalb die Aufnahme dieser Qualifikation des Krankengeldbezugs in den Versicherungsdatenauszug unrechtmäßig war. Für die Speicherung der Qualifikation ist der Grund, weshalb es zum Krankengeldbezug gekommen ist, jedoch unerheblich. Relevant ist nur der festgestellte und nicht bestrittene Zusammenhang mit dem Notstandshilfebezug des Versicherten.

BVwG 27.06.2024, W176 2248629-1

Eine Patientin absolvierte nach einer Hüftoperation ein Anschlussheilverfahren gemäß § 65a B-KUVG in einem Rehabilitationszentrum. Zu diesem Zeitpunkt war sie dement und kognitiv signifikant eingeschränkt. Die Ärzte des Rehabilitationszentrums forderten einen neurologischen MRT-Befund von einer medizinischen Einrichtung an, um den Gesundheitszustand der Patientin und den weiteren Behandlungsverlauf besser einschätzen zu können. Durch die Weitergabe ihrer Daten ohne ausdrückliche Zustimmung erachtete sich die Patientin in ihrem Recht auf Geheimhaltung verletzt. Sie legte deshalb eine Datenschutzbeschwerde bei der DSB ein. Die Datenschutzbeschwerde wurde von der DSB abgewiesen, ihre anschließende Bescheidbeschwerde beim BVwG blieb ebenso erfolglos.

Das BVwG hat erwogen: Bei der Verarbeitung besonderer Kategorien von Daten iSd Art 9 Abs 1 DSGVO, wozu ua Gesundheitsdaten gehören, muss ein Erlaubnistatbestand des Art 9 Abs 2 DSGVO erfüllt sein. Die Patientin war aufgrund ihrer kognitiven Einschränkungen nicht in der Lage, eine ausdrückliche Einwilligung zur Datenverarbeitung zu erteilen. Folglich kann sich die medizinische Einrichtung nicht auf die ausdrückliche Einwilligung der Patientin zur Datenverarbeitung gemäß Art 9 Abs 2 lit a DSGVO berufen.

Das physiotherapeutische Anschlussheilverfahren war keine medizinische Notsituation. Die durchgeführte Datenverarbeitung kann daher nicht auf ein lebenswichtiges Interesse der Patientin gestützt werden. Die Datenverarbeitung war weder zum Schutz lebenswichtiger Interessen der Patientin erforderlich noch war eine konkrete Gefahrensituation abzuwenden.

Die Übermittlung des MRT-Befundes war jedoch erforderlich, um den Gesundheitszustand und den weiteren Behandlungsverlauf im Anschlussheilverfahren zu beurteilen. Diese Verarbeitung von Gesundheitsdaten ist gemäß Art 9 Abs 2 lit h DSGVO zulässig, weil sie der medizinischen Diagnostik, Versorgung oder Behandlung der Patientin dient. Die medizinische Einrichtung war Teil eines gehobenen medizinisch-technischen Dienstes (§ 1 Z 3 iVm § 2 Abs 3 MTD-G) und unterliegt der Verschwiegenheitspflicht gemäß § 11c Abs 1 MTD-G. Allerdings ist sie verpflichtet, relevante medizinische Informationen an andere Angehörige der Gesundheitsberufe weiterzugeben, sofern diese für die Behandlung oder Pflege erforderlich sind (§ 11b Abs 2 MTD-G).

BVwG 08.07.2024, W137 2265905-1

Ein Ehemann installierte eine Kamera in der Tiefgarage eines Mehrparteienhauses, weil der PKW seiner Ehefrau in der Vergangenheit des Öfteren beschädigt wurde. Nach der Darstellung des Ehemanns zeichnete die Kamera nur dann auf, wenn sie Bewegungen in unmittelbarer Nähe des PKWs erkannte, zudem war der Aufnahmebereich auf seinen eigenen Garagenplatz begrenzt. Auch das Mikrofon der Kamera würde nur durch Stimmen in unmittelbarer Umgebung aktiviert werden. Ein Nachbar fühlte sich durch die Kamera gestört und belegte mit Screenshots, dass größere Flächen der Garage aufgenommen wurden.

Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte fest, dass der Ehemann den Nachbarn durch die Verarbeitung von Bild- und Tonaufnahmen in seinem Recht auf Geheimhaltung verletzt hat. Die dagegen erhobene Bescheidbeschwerde des Ehemannes blieb erfolglos.

Das BVwG hat erwogen: Eine Videoüberwachung durch eine Privatperson kann grundsätzlich rechtmäßig sein, wenn die Privatperson an der Datenverarbeitung ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO hat sowie die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Das berechtigte Interesse des Ehemanns lag im Schutz seines Eigentums. Die von ihm durchgeführte Datenverarbeitung war jedoch überschießend und ging über den Zweck hinaus, weil die Kamera auch andere Garagenplätze sowie den Durchgang der Tiefgarage erfasste. Die Datenverarbeitung war somit nicht auf das notwendige Maß beschränkt.

Eine Tonaufnahme kann im berechtigte Interesse zulässig sein. Die entsprechenden Tonaufnahmen waren zur Überwachung des PKWs jedoch nicht erforderlich, weil eine auf den Garagenplatz eingeschränkte Videoüberwachung jedenfalls ausgereicht hätte, um im Falle der Beschädigung des PKWs als Beweismittel zu dienen.

Die DSGVO selbst schützt nur natürliche Personen, jedoch ist in verfassungskonformer Interpretation davon auszugehen, dass die in § 1 DSG normierten Rechte auch juristischen Personen zukommen und diese sich folglich darauf berufen können. Geschäftliche Daten, die Schlüsse auf die wirtschaftliche Gebarung der juristischen Person zulassen, sind schutzwürdige unternehmensbezogene Wirtschaftsdaten. Betreffend die Anforderungen für eine Zustimmung iSd § 1 Abs 2 DSG ist auf das Konzept der Einwilligung iSd Art 4 Z 11 DSGVO zurückzugreifen. Eine rechtswirksame Zustimmung zur Datenverarbeitung durch eine Behörde ist möglich (BVwG 30.07.2024, W287 2254678-1).

In einer Datenschutzbeschwerde ist das als verletzt erachtete Recht zu bezeichnen. Wird dieses Recht – auch nach einem Mangelbehebungsauftrag – nicht bezeichnet, ist die Datenschutzbeschwerde von der DSB zurückzuweisen (BVwG 24.07.2023, W274 2291735-1).

Wird dem einzigen Beschwerdepunkt durch die DSB mit Beschwerdevorentscheidung vollinhaltlich entsprochen, ist die Beschwerdevorentscheidung zu bestätigen, auch wenn der Bescheidbeschwerde Berechtigung zukam (BVwG 24.07.2024, W274 2292105-1).

Auf Verfahren zur Bestimmung der federführenden Aufsichtsbehörde ist § 38 Satz 2 AVG (Aussetzung eines Verfahrens bis zur Lösung einer Vorfrage) nicht anzuwenden. Eine Verfahrensaussetzung ist auch nach 24 Abs 10 Z 2 DSG nicht möglich, weil diese Bestimmung keine rechtliche Grundlage für eine Verfahrensaussetzung enthält, sondern nur eine Hemmung des Fristenlaufes normiert. Die Zeit während eines Kohärenzverfahrens nach Art 56, 60 und 63 DSGVO ist in die sechsmonatige Entscheidungsfrist nicht einzurechnen (BVwG 08.07.2024, W137 2280182-1).

Gemäß § 13 Abs 7 AVG können Anbringen in jeder Lage des Verfahrens zurückgezogen werden. Solange die Bescheidbeschwerde beim BVwG anhängig ist, kann sie zurückgezogen werden. Das Verfahren ist mit Beschluss einzustellen (BVwG 17.07.2024, W108 2276381-2).

Rechtsprechung der DSB

DSB 07.07.2024, 2023-0.358.049

Ein Fahrgast erhielt vom Verkehrsunternehmen eine Mehrgebühr wegen der Nutzung öffentlicher Verkehrsmittel ohne Fahrschein, obwohl er zu diesem Zeitraum nicht in der Stadt war und ein Klimaticket besaß. Nachdem er einen Scan seines Klimatickets an das Verkehrsunternehmen übermittelte, wurde der Fall geschlossen. Der Betroffene verlangte die Löschung seiner Daten.

Das Verkehrsunternehmen verweigerte die Löschung und verwies auf die buchhalterischen Aufbewahrungspflichten nach § 132 Abs 1 BAO, den §§ 190, 212 UGB und § 18 UStG. Der Fahrgast erachtete sich in seinem Recht auf Löschung verletzt, weil die Datenverarbeitung auf einer Fahrlässigkeit des Verkehrsunternehmens beruht habe. Hätte das Verkehrsunternehmen die Identität der tatsächlich kontrollierten Person ordnungsgemäß überprüft, wäre die Buchung nicht erfolgt. Die DSB wies die Datenschutzbeschwerde des Fahrgasts ab.

Die DSB hat erwogen: Das Verkehrsunternehmen verarbeitete die personenbezogenen Daten des Fahrgasts als Verantwortliche iSd Art 4 Z 7 DSGVO. Nach Art 17 Abs 1 DSGVO steht dem Fahrgast grundsätzlich das Recht zu, die Löschung seiner personenbezogenen Daten zu begehren. Die Löschung kann jedoch nach Abs 3 lit b leg cit verweigert werden, soweit die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Gemäß § 212 Abs 1 UGB und § 132 BAO trifft den Unternehmer eine siebenjährige Aufbewahrungspflicht hinsichtlich seiner Bücher, Belege und Buchungen. Dies dient der Erfüllung der Rechnungslegungspflicht gemäß §§ 189 ff UGB, um den zuständigen Behörden steuerrechtliche Feststellungen und mögliche Nachprüfungen zu ermöglichen. Die Speicherung der personenbezogenen Daten des Fahrgasts ist für die Erfüllung dieser gesetzlichen Aufgabe erforderlich, um den Grundsätzen ordnungsgemäßer Buchführung gerecht zu werden. Dabei ist es unerheblich, dass die Daten des Fahrgasts ohne sein Zutun von dem Verkehrsunternehmen erhoben wurden, weil die kontrollierte Person in betrügerischer Absicht seine Daten angab. Das Verkehrsunternehmen entsprach daher dem Löschungsersuchen des Fahrgasts zu Recht nicht. Es liegen auch keine Anhaltspunkte vor, dass die Daten des Fahrgasts vom Verkehrsunternehmen zweckwidrig verwendet wurden, weshalb Art 17 Abs 1 lit d DSGVO nicht einschlägig ist.

Rechtsakte

Am 19.08.2024 hat das Bundesland Tirol, LGBl 2024/56, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Am 23.08.2024 hat das Bundesland Steiermark, LGBl 2024/87, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Vorschau EuGH-Rechtsprechung

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge in dieser Rechtssache kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Datenschutzmonitor 21.08.2024

Rechtsprechung des VwGH

VwGH 24.07.2024, Ro 2023/04/0001; VwGH 24.07.2024, Ra 2023/04/0270

Die DSB gab zwei Datenschutzbeschwerden statt, in welchen jeweils bei derselben Kreditauskunftei die Löschung von negativen Zahlungserfahrungen begehrt wurde. Das BVwG änderte beide Bescheide der DSB dahingehend ab, dass die Datenschutzbeschwerden abgewiesen werden. Die DSB erhob jeweils Amtsrevision an den VwGH.

Die Kreditauskunftei teilte dem VwGH in beiden Verfahren mit, dass sie in der Zwischenzeit die negativen Erfahrungswerte gelöscht und die Betroffenen hierüber informiert hat. Der VwGH erklärte beide Verfahren für gegenstandslos und stellte die Verfahren mit Beschluss ein.

Der VwGH hat erwogen: Gemäß § 33 Abs 1 erster Satz VwGG ist die Revision mit Beschluss als gegenstandslos geworden zu erklären und das Verfahren einzustellen, wenn in irgendeiner Lage des Verfahrens offenbar wird, dass der Revisionswerber klaglos gestellt wurde. Auch im Fall einer Amtsrevision ist bei Wegfall des rechtlichen Interesses an einer meritorischen Entscheidung das Verfahren wegen Gegenstandslosigkeit einzustellen.

Dem mit der Datenschutzbeschwerde erhobenen Löschungsbegehren wurde von der Kreditauskunftei entsprochen. Der mit der Datenschutzbeschwerde begehrte Zustand wurde hergestellt, weshalb von einer Klaglosstellung des Betroffenen und einem Wegfall des rechtlichen Interesses an der Entscheidung über die Revision ausgegangen werden kann. Achtung: Die Klaglosstellung führt vor dem VwGH nur dann zur Einstellung des Verfahrens, wenn der Verantwortliche vor dem BVwG obsiegt hat. Bis zur Entscheidung des BVwG kann der Betroffene hinsichtlich Auskunfts-, Löschungs-, Berichtigungs-, Einschränkungs- und Portabilitätsbegehren jederzeit klaglos gestellt werden.

Anm: Zwischen den Entscheidungen des BVwG und des VwGH hat der EuGH am 07.12.2023 in den verbundenen Rs C-26/22 und C-64/22, SCHUFA Holding (Libération de reliquat de dette), über die Speicherdauer von Daten, die von Kreditauskunfteien aufbewahrt werden, entschieden. Im Mai 2024 informierte die Kreditauskunftei den VwGH über die Löschung der negativen Erfahrungswerte.

Rechtsprechung des OGH

Steht nicht fest, dass eine Information erteilt wurde (Negativfeststellung), fehlt die Kausalität für sämtliche Schadenersatzansprüche. Die Wahrnehmungen von Zeugen, die keine Angaben zur tatsächlichen Weitergabe personenbezogener Daten machen können, sind kein taugliches Beweisthema (OGH 24.07.2024, 1Ob87/24m).

Rechtsprechung des BVwG

BVwG 22.07.2024, W211 2271978-1

Für eine Hausbetreuung benutzte eine Hausverwaltung die private E-Mailadresse und Telefonnummer eines Hausbesorgers. Der Hausbesorger widerrief gegenüber der Hausverwaltung – seinem Arbeitgeber – die Einwilligung, seine privaten Kontaktdaten an Dritte weiterzugeben. Der Hausbesorger ersuchte um ein Diensttelefon sowie einen dienstlichen E-Mailaccount. Dennoch versandte die Hausverwaltung weiterhin E-Mails bzw Auftragsbestätigungen, in denen die privaten Kontaktdaten des Hausbesorgers aufschienen. Erst nach mehreren Monaten stellte die Hausverwaltung dem Hausbesorger ein Diensttelefon und eine dienstliche E-Mailadresse zur Verfügung. Aufgrund eines Krankenstands versandte die Personalverrechnung der Hausverwaltung – nachdem eine Kontaktaufnahme über die dienstliche E-Mailadresse und das Diensttelefon scheiterte – eine Aufforderung zur Vorlage einer Krankenstandbestätigung an die private E-Mailadresse des Hausbesorgers. Die auf eine Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB als unbegründet ab. Hiergegen erhob der Hausbesorger Bescheidbeschwerde an das BVwG, das der Bescheidbeschwerde teilweise stattgab.

Das BVwG hat erwogen: Sowohl bei privaten Telefonnummern als auch privaten E-Mailadressen handelt es sich um personenbezogene Daten. Seine Zustimmung für die Weitergabe dieser personenbezogenen Daten widerrief der Hausbesorger zwar, doch ist eine Datenverarbeitung auch dann ohne Zustimmung der betroffenen Person zulässig, wenn dies zur Wahrung überwiegender berechtigter Interessen von Dritten erforderlich ist. Im Hinblick auf die ordnungsgemäße Erfüllung der dienstlichen Aufgaben eines Hausbesorgers bestand zwar ein berechtigtes Interesse der Hausverwaltung daran, den Hausbesorger ausreichend einfach und für den Notfall rasch erreichen zu können. Das Verwenden der privaten Kontaktdaten war jedoch nicht erforderlich.

Der Hausverwaltung wäre es freigestanden, ein dienstliches Telefon und eine dienstliche E-Mailadresse bereits sehr viel früher zur Verfügung zu stellen und damit den notwendigen Kommunikationsfluss auch abseits der privaten Kontaktdaten aufrecht zu erhalten.

Auch wenn die Änderung der Kommunikationswege nach langjähriger Praxis eine gewisse Übergangszeit in Anspruch nehmen kann, wäre es der Hausverwaltung spätestens innerhalb eines Monats zumutbar gewesen, ein dienstliches Telefon mit einer Sim-Karte und einen dienstlichen E-Mailaccount zur Verfügung zu stellen. Insofern war die Angabe der privaten Kontaktdaten des Hausbesorgers in den E-Mails bzw Auftragsbestätigungen nicht erforderlich, weshalb die Hausverwaltung gegen das Geheimhaltungsrecht verstoßen hat.

Die Kontaktaufnahme der Personalverrechnungsstelle der Hausverwaltung zur Übermittlung einer Krankenstandbestätigung durch den Hausbesorger war hingegen rechtmäßig. Die Personalverrechnung bediente sich aufgrund der Dringlichkeit und der möglichen Folgen einer Verspätung (auch) der privaten E-Mailadresse des Hausbesorgers. Die damit verbundene Datenverarbeitung lag nicht nur im überwiegenden berechtigten Interesse der Hausverwaltung an der Abwicklung ihrer rechtlichen Verpflichtungen, sondern auch im Interesse des Hausbesorgers an einer rechtzeitigen und richtigen Lohnabrechnung.

BVwG 08.07.2024, W252 2241322-1

Ein ehemaliger Beschuldigter beantragte die Löschung seiner erkennungsdienstlichen Daten. Diese Daten (Identität, Beschreibung, Finger- und Handflächenabdrücke, Lichtbilder, DNA-Profil) wurden aufgrund eines Tatverdachts gegen ihn iZm absichtlich schwerer Körperverletzung erhoben und in der "Zentralen erkennungsdienstlichen Evidenz" iSd § 75 SPG gespeichert. Obwohl der ehemalige Beschuldigte von diesem Vorwurf später rechtskräftig freigesprochen wurde, lehnte die Landespolizeidirektion die Löschung der Daten ab. Sie begründete dies mit einer nicht ausreichend langen Wohlverhaltenszeit sowie einer negativen Gefährdungsprognose und einem öffentlichen Interesse an der weiteren Speicherung der Daten. Folglich erhob der ehemalige Beschuldigte eine Datenschutzbeschwerde bei der DSB. Die DSB wies diese jedoch ab, woraufhin er (erfolglos) Bescheidbeschwerde beim BVwG einlegte.

Das BVwG hat erwogen: Bei den erkennungsdienstlichen Daten handelt es sich sowohl um personenbezogene Daten iSd Art 4 Z 1 DSGVO (Identität, Beschreibung, Lichtbilder) als auch um genetische Daten iSd Art 4 Z 13 DSGVO (DNA-Profil) und biometrische Daten iSd Art 4 Z 14 DSGVO (Finger- und Handflächenabdrücke). Aufgrund der Schwere des dem ehemaligen Beschuldigten vorgeworfenen Delikts sind die Voraussetzungen für die erkennungsdienstliche Erhebung der Daten iSd §§ 64, 65 und 67 SPG erfüllt. Gemäß § 73 Ab 1 Z 4 SPG hat eine Löschung der erkennungsdienstlichen Daten von Amts wegen zu erfolgen, es sei denn, es liegen konkrete Umstände vor, die befürchten lassen, dass der Beschuldigte erneut gefährliche Angriffe begeht.

Der ehemalige Beschuldigte wurde zwar im Verfahren betreffend absichtlicher schwerer Körperverletzung freigesprochen, jedoch zeigt seine Vorgeschichte, dass weiterhin von einer Gefahr auszugehen ist. Er trat in regelmäßigen Abständen mehrfach polizeilich in Erscheinung, ua iZm Besitz verbotener Waffen, falscher Beweisaussage und Suchtgifthandel. Gerade bei Gewaltdelikten mit direktem Körperkontakt können aus DNA-Spuren wesentliche Schlüsse gezogen werden. Auch die spezialpräventive Wirkung des Wissens des ehemaligen Beschuldigten um die Verarbeitung seiner erkennungsdienstlichen Daten ist geeignet, künftige gefährliche Angriffe zu verhindern.

BVwG 18.07.2024, W137 2252081-1

Eine Betroffene trat beim Sanierungsprojekt ihres Elternhauses als Ansprechperson für das Bauunternehmen auf. Für die Fertigstellung der Fassade beauftragte das Bauunternehmen eines seiner Subunternehmen. Auf Nachfrage der Betroffenen um den Stand der Dinge leitete das Bauunternehmen den Namen, die Adresse und die Telefonnummer der Betroffenen an das Subunternehmen, ein Fassadenunternehmen, weiter, um eine einfachere Korrespondenz bezüglich der Fassade zu ermöglichen. Die Betroffene brachte daraufhin eine Datenschutzbeschwerde bei der DSB ein und behauptete, durch die Weitergabe ihrer Daten durch das Bauunternehmen und dessen Geschäftsführer in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Das Bauunternehmen und dessen Geschäftsführer brachten im Verfahren vor, dass die Betroffene am Telefon bestätigte, mit der Weitergabe ihrer Informationen einverstanden zu sein. Diese stritt dies jedoch ab. Die DSB gab der Datenschutzbeschwerde statt. Daraufhin erhoben das Bauunternehmen und dessen Geschäftsführer eine (erfolgreiche) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Die Betroffene hat bereits zuvor dem Bauunternehmen die Zustimmung erteilt, ihre Telefonnummer zwecks Terminvereinbarung und Kontaktaufnahme an diverse Subunternehmen weiterzugeben. Dies ergab sich aus dem vorgelegten E-Mail-Verkehr zwischen der Betroffenen und dem Bauunternehmen. Die Einwilligung bezog sich auf alle zu denselben Zwecken vorgenommenen Verarbeitungsvorgänge. Der Zweck der Weitergabe war die rasche und unkomplizierte Bearbeitung von Problemen sowie die Terminvereinbarung bei Mängeln und Reklamationen.

Betreffend das Fassadenunternehmen erfolgte ausschließlich eine telefonische Kommunikation. Bei einer lebenspraktischen Betrachtung konnte auch das Fassadenunternehmen davon ausgehen, dass die Betroffene dem Bauunternehmen die Zustimmung zur Weitergabe der Telefonnummer gab.

Der Zweck der Weitergabe, nämlich die Kontaktaufnahme, war zudem klar abgegrenzt. Eine funktionale Abgrenzung kann auch über eine längere Periode definiert sein. Nicht gefolgt wird der dem angefochtenen Bescheid offensichtlich zugrunde gelegten Ansicht, dass ein Bauunternehmen in jedem Einzelfall eine gesonderte Zustimmung einholen müsste. Dies wäre im Kontext eines Bauprojekts lebensfremd und würde auch von einem überschießenden Schutzgedanken getragen.

Darüber hinaus durfte das Bauunternehmen die Daten auch in seinem berechtigten Interesse an das Fassadenunternehmen weitergeben. Das berechtigte Interesse des Bauunternehmens war die Weitergabe von Kontaktdaten an Subunternehmen zur raschen und unkomplizierten Bearbeitung von Problemen.

BVwG 22.07.2024, W211 2286882-1

Ein Minderjähriger stellte, vertreten durch seine Eltern, ein Auskunftsersuchen an die DSB. Die DSB erteilte dem Minderjährigen mehrfach Auskünfte und übermittelte ihm Kopien von Unterlagen, die seine personenbezogenen Daten enthielten. Der Minderjährige erachtete die Auskunft und die Kopien für unvollständig und erhob daher Datenschutzbeschwerde bei der DSB. Die DSB wies die Datenschutzbeschwerde zunächst im Hinblick auf Art 15 Abs 1 und 2 DSGVO ab und setzte das Verfahren hinsichtlich Art 15 Abs 3 DSGVO aus. Das BVwG bestätigte diese Entscheidung rechtskräftig. Nachdem der EuGH in der Rechtssache C-487/21, Österreichische Datenschutzbehörde, klargestellt hatte, dass das Recht auf eine Kopie kein eigenständiges Recht, sondern eine Modalität der Auskunftserteilung ist, wies die DSB die Beschwerde des Minderjährigen hinsichtlich Art 15 Abs 3 DSGVO zurück. Dagegen erhob der Minderjährige (erfolglos) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Wird die Datenschutzbeschwerde von der DSB zurückgewiesen, ist "Sache" des Verfahrens vor dem BVwG nur die Frage der Rechtmäßigkeit der Zurückweisung. Eine inhaltliche Entscheidung ist dem BVwG verwehrt. Das BVwG entschied bereits mit rechtskräftigem Erkenntnis über das Auskunftsersuchen des Minderjährigen und hielt fest, dass die DSB die Auskunft iSd Art 15 Abs 1 bis 3 DSGVO vollständig erteilt hat und diese ausreichend verständlich und nachvollziehbar war. Da Art 15 Abs 3 DSGVO dem Betroffenen kein zusätzliches, eigenständiges Recht auf Kopien einräumt, bleibt kein Raum, über Art 15 Abs 3 DSGVO gesondert abzusprechen. Durch das rechtskräftige Erkenntnis des BVwG wurden alle Aspekte des Auskunftsrechts behandelt und einer Entscheidung zugeführt.

Wird das Verhängen einer Geldbuße nur angeregt – nicht aber beantragt –, darf die Datenschutzbehörde den "Antrag" auf Verhängen einer Geldbuße nicht zurückweisen. Der entsprechende Spruchpunkt ist vom BVwG ersatzlos zu beheben.

Voraussetzung für die Zulässigkeit der Bescheidbeschwerde ist das Bestehen eines Rechtsschutzinteresses. Der Bescheid muss die Rechtssphäre des Beschwerdeführers zu dessen Nachteil berühren. Stellt die DSB eine Verletzung im Recht auf Geheimhaltung fest, ist der Beschwerdeführer durch die abschlägige Behandlung eines weiteren auf das gleiche Rechtsschutzziel abzielenden "Beschwerdevorbringens" nicht beschwert (BVwG 27.06.2024, W176 2251448-1). Anm: Der Beschwerdeführer wird auch durch die Zurückweisung eines nichtgestellten Antrags auf das Verhängen einer Geldbuße in seiner Rechtsphäre nicht berührt und ist somit nicht beschwert. Wurde kein Antrag gestellt, war die DSB jedoch unzuständig. Die Unzuständigkeit ist von Amts wegen aufzugreifen. Das BVwG behob daher den entsprechenden Spruchpunkt zu Recht.

Bei Nichtfeststellbarkeit eines Umstandes ist davon auszugehen, dass dieser nicht vorliegt. Dies gilt auch für die Frage, ob personenbezogene Daten verarbeitet wurden. Ist auf einer Videoaufnahme die Erkennbarkeit der Personen ausgeschlossen, ist davon auszugehen, dass keine personenbezogenen Daten verarbeitet wurden (BVwG 27.06.2023, W298 2261979-1).

Das LVwG Wien fragte den EuGH zu den inhaltlichen Anforderungen, die eine Auskunft iSd Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidungsfindung) erfüllen muss (Rs C-203/22, Dun & Bradstreet Austria). Da im anhängigen Verfahren vor dem BVwG die gleichen Rechtsfragen zu beurteilen sind, die dem Vorlagebeschluss des LVwG Wien zugrunde liegen, ist das Verfahren iSv Art 81 DSGVO auszusetzen (BVwG 01.07.2024, W108 2230691-1). Anm: Das BVwG setzt regelmäßig Verfahren aus, um Urteile des EuGH abzuwarten. IdR wird die Aussetzung "nur" auf § 38 AVG gestützt. Das BVwG zog in diesem Fall zusätzlich Art 81 DSGVO im Lichte des ErwGr 144 DSGVO heran.

Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis vom beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen. Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen, auf die von Amts wegen, also bei feststehendem Sachverhalt, ohne Einwendung Bedacht genommen werden muss. Bringt der Beschwerdeführer vor, dass er von einem Datenschutzverstoß, der länger als die einjährige Präklusivfrist zurückliegt, erst später Kenntnis erlangt hat, hat er dies nachzuweisen (BVwG 15.07.2024, W137 2273833-1).

Die Zurückziehung der Bescheidbeschwerde ist so lange zulässig, bis die Bescheidbeschwerde unerledigt ist. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 01.07.2024, W108 2247870-1).

Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 07.2024, W287 2261108-1; 10.07.2024, W252 2261086-1 und andere).

EU-Rechtsakte

Am 12.08.2024 wurde mit der VO 2024/2019 "zur Änderung des Protokolls Nr. 3 über die Satzung des Gerichtshofs der Europäischen Union" die Satzung des EuGH novelliert. Gleichzeitig erfolgten auch Änderungen der Verfahrensordnungen des EuGH und des EuG. Zudem erließ das EuG praktische Durchführungsbestimmungen zu seiner Verfahrensordnung und beschloss die Einreichung und Zustellung von Schriftsätzen via e-Curia.

Zweck der Reform der Verfahren vor den Unionsgerichten ist die Entlastung des EuGH. Einerseits wird künftig das EuG in besonderen Sachgebieten für Vorabentscheidungsersuchen grundsätzlich zuständig. Andererseits wird die Zulässigkeit von Rechtsmitteln gegen Entscheidungen des EuG an den EuGH eingeschränkt.

Das Datenschutzrecht verbleibt in der Zuständigkeit des EuGH. Aufgrund der Entlastung des EuGH könnten datenschutzrechtliche Vorabentscheidungsersuchen jedoch schneller erledigt werden.

Nationale Rechtsakte

Am 12.08.2024 haben die Bundesländer Kärnten, LGBl 2024/64, und Salzburg, LGBl 2024/69, die Etablierung eines Transparenzportals verlautbart.

Am 12.08.2024 wurde vom Bundesfinanzminister die Transparenzdatenbank-Abfrageverordnung 2024, BGBl II 2024/223, kundgemacht. Darin werden für die Transparenzdatenbank die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensible Daten") geregelt.

Vorschau EuGH-Rechtsprechung

Datenschutzmonitor 14.08.2024

Rechtsprechung des VwGH

VwGH 25.06.2024, Ra 2022/04/0167

Eine Justizwachebeamtin wurde von einem Strafgefangenen tätlich angegriffen. Die zuständige Staatsanwaltschaft (StA) führte deshalb ein Strafverfahren gegen den Strafgefangenen durch. Die personenbezogenen Daten der Beamtin gelangten in den Ermittlungsakt und wurden von der StA an den Haftrichter übersendet. Der Strafgefangene nahm Akteneinsicht und gelangte dadurch an die personenbezogenen Daten der Justizwachebeamtin.

Die Justizwachebeamtin brachte Datenschutzbeschwerde bei der DSB ein und brachte vor, die StA habe ihr Recht auf Geheimhaltung durch Weitergabe ihrer Daten an den Strafgefangenen verletzt. Die DSB wies die Datenschutzbeschwerde ab, weil bei der StA keine Einsicht in den physischen Akt stattgefunden hat und somit von der StA an den Strafgefangenen keine Daten weitergegeben wurden.

Das BVwG gab der Bescheidbeschwerde der Justizwachebeamtin mit der Begründung statt, dass die StA dem Haftrichter personenbezogene Daten der Justizwachebeamtin weitergegeben hat, obwohl dies nicht erforderlich gewesen wäre.

Der VwGH stellte zunächst an den VfGH den Antrag, dieser möge jene Bestimmungen des DSG als verfassungswidrig aufheben, die die DSB für Datenverarbeitungstätigkeiten bei den Staatsanwaltschaften für zuständig erklären. Nachdem der VfGH diesen Antrag des VwGH abwies, behob der VwGH das Erkenntnis wegen funktioneller Unzuständigkeit des BVwG.

Der VwGH hat erwogen: Aufgrund der zulässigen Revision ist eine allfällige Unzuständigkeit des BVwG von Amts wegen aufzugreifen.

Den äußersten Rahmen für die Prüfbefugnis des BVwG bildet die "Sache" des Verfahrens. Diese "Sache" ist nur jene Angelegenheit, die den Inhalt des Spruchs der DSB gebildet hat. Die Entscheidung des BVwG hat sich innerhalb jenes Themas zu bewegen, über das die DSB entschieden hat. Entscheidet das BVwG in einer Angelegenheit, die kein Gegenstand des Verfahrens vor der DSB war, so fällt eine solche Entscheidung nicht in die funktionelle Zuständigkeit des BVwG. Eine solche Entscheidung ist daher mit Rechtswidrigkeit infolge Unzuständigkeit belastet.

Der verfahrenseinleitende Antrag, dh die Datenschutzbeschwerde, ist nicht maßgeblich. Wird die Datenschutzbeschwerde durch den Bescheid der DSB nicht vollständig erledigt, steht dem Betroffenen das Säumnisbeschwerdeverfahren zur Verfügung.

Die DSB hat nur über die Offenlegung bzw Nichtoffenlegung durch die StA an den Strafgefangen abgesprochen. Der Datenfluss von der StA an den Haftrichter war vom Spruch des Bescheides der DSB nicht umfasst. Indem das BVwG über einen Verfahrensgegenstand entschieden hat, der nicht Inhalt des Spruchs des angefochtenen Bescheides war, hat es seine Kognitionsbefugnis überschritten.

Rechtsprechung des OGH

Nach Ablauf der gesetzlich normierten Löschungspflichten der Telefonanbieter gemäß § 167 Abs 1 und 2 TKG 2021 [bzw § 99 Abs 1 und 2 TKG 2003] kann die Auswertung von Verkehrsdaten grundsätzlich nicht mehr durchgeführt werden (OGH 17.07.2024, 11Os20/24m).

Gemäß § 358 ASVG ist für die Feststellung des Geburtsdatums der versicherten Person die erste schriftliche Angabe der versicherten Person gegenüber dem Versicherungsträger heranzuziehen. Eine spätere Berichtigung des Geburtsdatums durch ein ausländisches Gericht ändert daran nichts. Das sozialversicherungsrechtliche Geburtsdatum ist eine andere Datenkategorie als das biologische Geburtsdatum. Die Legitimität des Zwecks einer Datenverarbeitung ist gegeben, wenn der Zweck von der Rechtsordnung gedeckt bzw mit ihr vereinbar ist. Die Regelung des § 358 ASVG ist weder verfassungswidrig (vgl VfGH 12.06.2023, G 206/2023) noch ist sie mit der DSGVO unvereinbar (OGH 09.07.2024, 10ObS11/24a). Anm: Auch der VwGH hält § 358 ASVG mit Art 16 DSGVO für vereinbar (VwGH 08.04.2024, Ra 2022/04/0056).

Rechtsprechung des BVwG

Ein Grundstückseigentümer montierte eine Wildkamera auf seinem Grund. Die Kamera erfasste einen Teil eines Forstweges, der von einer Bringungsgenossenschaft genutzt wurde. Eine Bringungsgenossenschaft ist eine forstrechtliche Genossenschaft, die von Grundeigentümern und Nutzungsberechtigten gebildet wird (§ 68 ForstG).

Bei dem überwachten Abschnitt des Weges handelte es sich um einen Interessentenweg gemäß § 7 Abs 1 Z 5 Steiermärkisches Landes-Straßenverwaltungsgesetz (LStVG). Die Mitglieder der Bringungsgenossenschaft nutzten den Weg für forstliche und jagdliche Zwecke.

Der Grundstückseigentümer installierte die Kamera, um Lichtbilder zu sammeln, welche er an die Polizei weitergab. Dies führte zu Verwaltungsstrafverfahren gegen andere Mitglieder der Bringungsgenossenschaft.

Die DSB gab einer Datenschutzbeschwerde dieser anderen Mitglieder Folge und stellte eine Verletzung ihrer Geheimhaltungsrechte fest. Das BVwG änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird.

Das BVwG hat erwogen: Die Überwachung eines öffentlichen Interessentenwegs durch eine Wildkamera erfolgt im berechtigten Interesse des Grundstückseigentümers, um die Nutzung des Weges durch unberechtigte Personen zu verhindern. Als Eigentümer des Grundstücks hat er ein berechtigtes Interesse, dass dieser Weg nicht von einem weiteren als den im § 7 Abs 1 Z 5 LStVG genannten Personenkreis benutzt wird. Die Überwachung durch eine einzelne Wildkamera, die nur bei Bewegung auslöst und bei Erkennen der Bewegung ein einzelnes Bild lokal speichert, ist als verhältnismäßig anzusehen. Gelindere Mittel, wie eine persönliche Kontrolle, wären praktisch kaum umsetzbar.

Da sowohl der Grundstückseigentümer als auch die betroffenen Mitglieder Teil der Bringungsgenossenschaft sind, stehen diese in einem engen Verhältnis zueinander und kannten die Natur des Weges sowie den zur Benützung berechtigten Personenkreis. Bei objektiver Würdigung lag die Überwachung auch im Interesse der Bringungsgenossenschaft, denn die Satzung der Genossenschaft sprach wiederholt von "schonender" und "notwendiger" Nutzung.

Die Anfertigung der Lichtbilder zum Zweck der Beweissicherung und zur Erstattung von Anzeigen wegen verwaltungsstrafrechtlich relevanter Sachverhalte ist ein erhebliches Interesse iSd Art 6 Abs 1 lit f DSGVO.

Wird ein Erkenntnis nach der Verhandlung mündlich verkündet, kann das Erkenntnis in gekürzter Form ausgefertigt werden, wenn von den Parteien auf die Revision beim Verwaltungsgerichtshof und die Beschwerde beim Verfassungsgerichtshof verzichtet wird oder nicht binnen zwei Wochen nach Ausfolgung bzw Zustellung der Verhandlungsniederschrift die Ausfertigung des Erkenntnisses beantragt wird (BVwG 24.07.2024, W605 2282514-1).

Anbringen können in jeder Lage des Verfahrens zurückgezogen werden. Unter "Anbringen" ist auch eine Säumnisbeschwerde zu verstehen. Wird eine Säumnisbeschwerde zurückgezogen, ist das Säumnisbeschwerdeverfahren mangels Erledigungsanspruch als gegenstandslos einzustellen (BVwG 22.07.2024, W292 2294844-1).

Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 02.07.2024, W214 2261131-1, BVwG 02.07.2024, W214 2263511-1 und andere).

Rechtsakte

Am 08.08.2024 haben die Bundesländer Vorarlberg, LGBl 2024/48, und Burgenland, LGBl 2024/49, eine Vereinbarung gemäß Art 15a B-VG über die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht. Zur Vermeidung von Doppel- und Mehrfachförderungen aus öffentlichen Mitteln werden an das Transparenzportal personenbezogene Daten, darunter auch besondere Kategorien personenbezogener Daten, übermittelt.

Am 12.08.2024 haben auch die Bundesländer Kärnten, LGBl 2024/64 und Salzburg, LGBl 2024/69, die Etablierung des Transparenzportals verlautbart.

Vorschau EuGH-Rechtsprechung

Datenschutzmonitor 08.08.2024

Rechtsprechung des EuGH

Der Begriff des Privatlebens umfasst die Freiheit jeder Person, ihr Leben und ihre persönlichen, beruflichen und gesellschaftlichen Tätigkeiten zu gestalten. Der Eingriffsvorbehalt, dh die Zulässigkeit des Grundrechtseingriffs, kann bei beruflichen und geschäftlichen Tätigkeiten allerdings weitergehen als in anderen Fällen.

Eine Meldepflicht für steuerliche Planungs- und Gestaltungsaktivitäten im Kontext persönlicher, beruflicher oder geschäftlicher Tätigkeiten greift in das Recht auf Achtung des Privatlebens ein. Der Eingriff ist zwar nicht unerheblich, aber dennoch verhältnismäßig und gerechtfertigt, weil die Bekämpfung der aggressiven Steuerplanung und die Verhinderung der Gefahren von Steuervermeidung und Steuerhinterziehung wichtige Ziele des Unionsrechts sind (EuGH 29.07.2024, C-623/22, Belgian Association of Tax Lawyers).

Rechtsprechung der Justiz

OLG Graz 15.07.2024, 9Bs171/24a

Ein Vermieter wurde verdächtigt, in einem von ihm an Urlauber vermieteten Appartement unbefugte Bildaufnahmen sexuell konnotierter Körperteile durch eine als Wecker getarnte Spykamera gemacht zu haben, sodass die Anordnung der Hausdurchsuchung bewilligt wurde. Gegen diesen Durchsuchungsbeschluss erhob der Vermieter Beschwerde.

Das OLG Graz hat erwogen: Da die Durchsuchung bereits vollzogen wurde, ist die richtige Anwendung des Gesetzes zu prüfen. Die Rechtmäßigkeit der Durchsuchungsbewilligung ist zum Zeitpunkt der Entscheidung des Erstgerichts (ex-ante-Perspektive) zu beurteilen.

Die gerichtliche Bewilligung der Hausdurchsuchung erfordert einen begründeten Verdacht, der vor dem Eingriff bestimmt und hinreichend sein muss. Eine Durchsuchung ist nur zulässig, wenn aufgrund bestimmter Tatsachen anzunehmen ist, dass sich dort sicherzustellende oder auszuwertende Gegenstände oder Spuren befinden. Der Verdacht beruhte auf den Ermittlungsergebnissen, insbesondere den Angaben der mutmaßlichen Opfer. Die heimliche Installation einer auf die Sauna gerichteten Kamera legt auch den Schluss nahe, dass es dem Vermieter darauf ankam, Bildaufnahmen ohne Einwilligung seiner Opfer zu machen.

Zwar wurde die Spykamera direkt nach der Anzeige von einem Polizeibeamten sichergestellt, ob die Kamera tatsächlich Videos aufzeichnete, konnte aber vorerst nicht festgestellt werden. Um zu beweisen, dass auf die Kamera zugegriffen wurde und unbefugte Bildaufnahmen gemacht wurden, war daher eine Hausdurchsuchung erforderlich. Ein Zuwarten auf die Auswertung hätte die Gefahr geborgen, dass der Vermieter Beweise vernichtet. Aus demselben Grund kamen eine Vernehmung des Vermieters oder ein anderer zielführender und grundrechtsschonenderer Ermittlungsschritt nicht in Frage.

Die Durchsuchung war verhältnismäßig. Das Gewicht einer strafbaren Handlung und deren sozialer Störwert misst sich nicht ausschließlich an der Strafdrohung. Angesichts der beiden Opfer des mehrtägigen Tatzeitraums und dem nicht unerheblichen Gewicht der angelasteten Straftat ist die Durchsuchung gerechtfertigt.

Aus der Rechtsprechung des OGH (Strafrecht):

Gelangt der Inhalt einer verschlüsselten Kommunikation im Rechtshilfeweg in das Ermittlungsverfahren der Staatsanwaltschaft, unterliegen die von ausländischen Behörden übermittelten Kommunikationsdaten keinem Beweisverwertungsverbot (OGH 17.07.2024, 11Os55/24h).

Rechtsprechung der LVwG

Sicherheitspolizeiliche Fallkonferenzen verfolgen – wie sich bereits aus dem Gesetzeswortlaut des § 22 Abs 2 SPG ergibt – das Ziel, gefährlichen Angriffen auf Leben, Gesundheit, Freiheit, Sittlichkeit, Vermögen oder Umwelt vorzubeugen und Schutzmaßnahmen für die gefährdeten Personen möglichst effizient aufeinander abzustimmen. Es wird durch den Informationsaustausch zwischen den zuständigen Behörden und Institutionen die Möglichkeit geschaffen, koordinierte Maßnahmen zur Verhinderung von Straftaten zu ergreifen. Gemäß § 56 Abs 1 Z 9 SPG dürfen die Sicherheitsbehörden personenbezogene Daten an die Teilnehmerinnen und Teilnehmer der Sicherheitspolizeilichen Fallkonferenz übermitteln. Die Teilnehmer sind – sofern sie nicht ohnehin der Amtsverschwiegenheit unterliegen – jedoch zur vertraulichen Behandlung der Daten verpflichtet (LVwG NÖ 06.06.2024, LVwG-AV-2018/001-2023).

Rechtsprechung des BVwG

BVwG 08.07.2024, W137 2278780-1

Ein ehemaliger Arbeitnehmer erhob Datenschutzbeschwerde bei der DSB, weil die von ihm begehrte Datenauskunft des ehemaligen Arbeitgebers unvollständig gewesen sei. Der Arbeitnehmer befand sich parallel bereits in zwei Arbeits- und Sozialgerichtlichen Verfahren gegen den Arbeitgeber. Der Arbeitgeber hat Dokumente von der Auskunft ausgenommen, weil sonst in Rechte und Freiheiten anderer Personen in Hinsicht auf die Verfahren eingegriffen werden würde. Die DSB hat die Beschwerde abgewiesen, woraufhin der Arbeitnehmer Bescheidbeschwerde beim BVwG erhob, das diese ebenfalls abwies.

Das BVwG hat erwogen: Die Auskunft war vollständig. Vorbringen, die auf Dokumente gerichtet sind, die angeblich existieren müssten, sind unbeachtlich. Eine Auskunft darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen (Art 15 Abs 4 DSGVO). Das betrifft grundsätzlich alle Rechte, die vom Recht der Union oder des nationalen Rechts anerkannt sind. Nach § 4 Abs 6 DSG besteht das Auskunftsrecht "in der Regel" dann nicht, wenn durch die Erfüllung Geschäfts- oder Betriebsgeheimnisse gefährdet werden. Durch diese Formulierung ist klargestellt, dass eine Abwägung der Interessen im Einzelfall stattfinden muss. Die begehrten Dokumente waren Teil der parallel geführten ASG-Verfahren. Deren Beauskunftung hätte die Prozessposition des Arbeitgebers geschwächt, weshalb ein berücksichtigungswürdiges Geheimhaltungsinteresse vorlag und die Beauskunftung verweigert werden durfte. Die Beschaffung von prozessstärkender Information geht über den Schutzzweck der Norm hinaus.

BVwG 15.07.2024, W298 2284627-1

Die Betreiberin eines Restaurants betrieb in den Gästeräumen mehrere Überwachungskameras zum Zwecke des Eigentumsschutzes der Gäste und zur speziellen Gefahrenprävention sowie zur Möglichkeit der Aufklärung von Straftaten. Eine der Kameras im Garderobenbereich war so eingestellt, dass sie den Toiletteneingangsbereich miterfasste. Die DSB stellte einen Verstoß gegen die Verarbeitungsgrundsätze der DSGVO fest, weil der Aufnahmebereich über das für die Gefahrenabwehr unbedingt erforderliche Ausmaß hinausging. Die DSB verhängte über die Restaurantbetreiberin eine Geldstrafe. Die Restaurantbetreiberin bekämpfte das Straferkenntnis nur der Höhe nach beim BVwG. Das BVwG reduzierte den Betrag der Geldstrafe.

Das BVwG hat erwogen: Das Verhängen einer Geldbuße im Zuge einer überschießenden Videoüberwachung ist aus generalpräventiven Gründen unbedingt erforderlich. Eine Verwarnung nach Art 11 DSG kommt nicht in Betracht. Grundsätzlich hat jede Aufsichtsbehörde nach Art 83 Abs 1 DSGVO sicherzustellen, dass das Verhängen von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

In Art 83 Abs 2 DSGVO sind Zumessungskriterien angeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall "gebührend" zu berücksichtigen sind (zB Art, Schwere und Dauer des Verstoßes).

Das Verschulden der Restaurantbetreiberin war – entgegen der Auffassung der DSB – nur geringfügig. Zum einen war es nicht möglich, den Toiletteneingangsbereich zu betreten, ohne zuvor den Garderobenbereich zu passieren, für dessen Videoüberwachung eine Registrierung bei der DSB vorlag. Insofern hatten sich die Gäste beim Betreten der Toilette ohnedies einer (kurzfristigen) Datenverarbeitung auszusetzen. Zum anderen war die Beeinträchtigung durch die unrechtmäßige Überwachung im Toiletteneingangsbereich als zeitlich gering und vergleichsweise wenig eingriffsintensiv zu werten. Da es sich zudem um den ersten einschlägigen Verstoß der Restaurantbetreiberin handelte, war die verhängte Geldbuße auf EUR 1.500 zzgl EUR 150 an Kosten des Strafverfahrens zu reduzieren.

BVwG 12.07.2024, W298 2287221-1

Anlässlich eines Nachbarschaftskonflikts erließ das örtlich zuständige Bezirksgericht mehrere einstweilige Verfügungen gegen den Nachbarn, einen Stalker. Dem Stalker wurde das Betreten des Straßenabschnitts rund um das Grundstück seines Nachbarn, der die einstweiligen Verfügungen erwirkte, untersagt. Der Stalker verstieß gegen das Betretungsverbot. Zum Beweis dafür legte der Nachbar im bezirksgerichtlichen Verfahren mehrere Videoaufnahmen vor, die er mit seiner Actionkamera angefertigt hatte. Darüber hinaus betrieb er zwei fest montierte Videokameras, die ausschließlich sein Grundstück erfassten. Sowohl die DSB als auch das BVwG beurteilten die Anfertigung der Videoaufnahmen zur Beweismittelsicherung als datenschutzrechtlich zulässig.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten durch Anfertigung von Videoaufnahmen ist nach der Judikatur des EuGH unter drei kumulativen Voraussetzungen zulässig. Die Videoüberwachung bedarf (i) der Wahrnehmung eines berechtigten Interesses, sie muss (ii) erforderlich sein und (iii) das berechtigte Interesse des Verantwortlichen muss das Interesse des Betroffenen auf Datenschutz überwiegen.

Der Nachbar verfolgte mit der Installation des Videoüberwachungssystems ein berechtigtes Interesse. Er wollte sein Eigentum sowie Leib und Leben schützen. Zur Beantwortung der Frage, ob die Videoaufnahmen erforderlich gewesen sind, ist der besondere Unrechtsgehalt, der sich aus dem Stalking über einen längeren Zeitraum ergibt, zu beachten. Alternative Maßnahmen, wie ein vor dem Bezirksgericht vorgelegtes Stalking-Protokoll, sind nicht ausreichend, um das Stalking zu unterbinden. Der Stalker hat sich – hinsichtlich der Verarbeitung aller hier verfahrensgegenständlichen personenbezogenen Daten – entgegen seinen rechtlichen Verpflichtungen in Bereiche begeben, in denen er sich nicht aufhalten durfte. Nach den vernünftigen Erwartungen konnte der Stalker davon ausgehen, dass er einer Datenverarbeitung unterliegen könnte, die zum Ziel hat, sein Verhalten gegenüber Behörden und Gerichten offenzulegen, die für die Einhaltung dieser Regeln verantwortlich sind.

BVwG 10.06.2024, W148 2291941-1

Ein Journalist begehrte eine erweiterte Auskunft gem § 9 WiEReG aus dem Register der wirtschaftlichen Eigentümer. Er begehrte insbesondere Einsicht in das dort hinterlegte Compliance-Package zu einer GmbH. Der Journalist begründete sein Recht auf Auskunft mit seiner Rolle als public watchdog. Die Information brauchte der Journalist für eine Recherche über die Umsetzung von Sanktionsmaßnahmen gegen die für die GmbH handelnden Akteure. Der Bundesminister für Finanzen als Registerbehörde wies die Anträge des Journalisten zurück. Gegen den Zurückweisungsbescheid erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Das WiEReG räumt natürlichen Personen und Organisationen, die ein berechtigtes Interesse nachweisen können, gemäß § 10 WiEReG ein Einsichtsrecht ein. Dieses umfasst Angaben zum Rechtsträger sowie den wirtschaftlichen und indirekt wirtschaftlichen Eigentümern. Weitere Informationen, insbesondere zum Compliance-Package, sind vom Einsichtsrecht nicht umfasst. In der Bestimmung hat der Gesetzgeber die Aufgabe von Journalisten als public watchdogs anerkannt und ihnen ein berechtigtes Interesse zugestanden. Ein gesamtgesellschaftliches Interesse des Journalisten auf Einsicht kann aber nur soweit aufgegriffen werden, wie dies vom anwendbaren Gesetz anerkannt ist, was im vorliegenden Fall durch § 10 WiEReG geschehen ist.

BVwG 10.07.2024, W298 2293438-1

Eine Hausverwaltung veröffentlichte durch Aushang in einer Wohnanlage ein Schreiben, das personenbezogene Daten eines Wohnungseigentümers enthielt. Die Hausverwaltung sah zur Durchführung eines Umlaufbeschlusses gem § 24 WEG eine gesetzliche Notwendigkeit für die Veröffentlichung des Schreibens. Der betroffene Wohnungseigentümer fühlte sich in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde. Gegen den stattgebenden Bescheid der DSB erhob die Hausverwaltung (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Nach § 1 Abs 2 DSG sind Beschränkungen des Geheimhaltungsanspruchs unter anderem bei überwiegenden berechtigten Interessen eines Dritten oder bei Vorhandensein einer qualifizierten gesetzlichen Grundlage zulässig.

Auf das ausgedruckte veröffentlichte Schreiben ist die DSGVO anwendbar, weil dieses in einem elektronischen Textverarbeitungsprogramm und via E-Mail verarbeitet wurde. Der Inhalt des Schreibens und die Veröffentlichung an einen nicht näher definierbaren Personenkreis liegt im Anwendungsbereich des § 1 Abs 1 DSG, weil keine familiäre Tätigkeit der Hausverwaltung vorliegt.

Die offengelegten Daten waren nicht öffentlich, weil im Schreiben Informationen enthalten waren, die sich nicht aus öffentlichen Quellen ergaben. Die Daten wurden auch nicht nur gegenüber den beschlussfassenden Parteien veröffentlicht. Die Möglichkeit von der Kenntnisnahme von schützenswerten Daten reicht für die Verletzung einer Geheimhaltungspflichtverletzung aus. Der Wortlaut des § 24 Abs 5 WEG enthält keine Verpflichtung, ein an Wohnungseigentümer adressiertes Schreiben zu veröffentlichen.

Für die Begründung eines berechtigten Interesses ist eine einzelfallbezogene Interessenabwägung durchzuführen. Dabei ist das Interesse der Hausverwaltung an der Veröffentlichung dem Interesse des Wohnungseigentümers an Geheimhaltung seiner Daten gegenüberzustellen. Für die Zweckerreichung war die Veröffentlichung in der gewählten Form nicht erforderlich.

BVwG 12.06.2024, W292 2283307-1

Ein Journalist, der sich als "public watchdog" bezeichnete, verlangte Auskünfte gemäß den §§ 2, 3 iVm § 4 Auskunftspflichtgesetz von der Bundesministerin für Landesverteidigung (Ministerin). Diese Informationen betrafen ein Disziplinarverfahren wegen Wiederbetätigung und das entsprechende Erkenntnis der Bundesdisziplinarbehörde. Die Anfragen des Journalisten umfassten detaillierte Fragen zu den beteiligten Personen, den Inhalt verschiedener Bescheide und die Maßnahmen innerhalb des Bundesministeriums für Landesverteidigung.

Die Ministerin beantwortete einige der Fragen. Der Journalist hielt die Beantwortung jedoch für unvollständig. Die Ministerin verweigerte die Beantwortung weiterer Fragen mit Bescheid. Daraufhin erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Auskunftspflicht besteht nur innerhalb der örtlichen und sachlichen Zuständigkeit des ersuchten Organs. Die vom Journalisten erfragten Informationen über die Disziplinarverfahren betreffen auch Angelegenheiten, die nicht in den Wirkungsbereich der Ministerin fielen. Für die Entscheidungen der Bundesdisziplinarbehörde oder für deren Veröffentlichung ist die Ministerin nicht zuständig.

Hinzu kommt, dass auch aus der Verpflichtung zur Auskunft iSv Art 20 Abs 4 B-VG keine Verpflichtung einer Behörde abgeleitet werden kann, behördliches Handeln oder Unterlassen zu begründen. Daher kommt dem Journalisten als nicht am Verfahren beteiligten Dritten kein Recht zu, eine nähere Begründung hinsichtlich der ergangenen Entscheidungen zu erhalten.

Die Pflicht zur Amtsverschwiegenheit gemäß Art 20 Abs 3 B-VG besteht, wenn schutzwürdige Geheimhaltungsinteressen vorliegen. Die Namen, Ränge und Funktionsbezeichnungen sind personenbezogene Daten iSv § 1 Abs 1 DSG, deren Geheimhaltung schutzwürdig ist. Insbesondere die Aufrechterhaltung des guten Rufes des Disziplinaranwalts und die bestehende Gefahr, bei medialer Berichterstattung in der Öffentlichkeit angeprangert zu werden, ist als legitimes und überwiegendes Interesse an der Geheimhaltung seiner Identität anzusehen. Des Weiteren fallen alle Personen unter die Verschwiegenheitsverpflichtung des § 26 Ab 2 HDG 2014, die mit einem Disziplinarverfahren in Berührung kamen.

Weiters würde die Bekanntgabe personenbezogener Daten, wie die Identität des Disziplinaranwalts, nicht zur Meinungsbildung in einer Debatte von allgemeinem Interesse beitragen. Darüber hinaus ist die Disziplinarentscheidung im RIS veröffentlicht. Der Journalist hat somit Zugang zu den Informationen, die nicht den höchstpersönlichen Lebensbereich betreffen. Daher kommt ihm auch aus Art 10 EMRK kein Recht auf Auskunftserteilung zu. Der Name als Mittel zur individuellen Bezeichnung einer Person ist vom Schutzbereich des Art 8 EMRK umfasst. Auch aus Art 8 EMRK folgt, dass eine Übermittlung der geforderten Informationen nicht zulässig ist.

Des Weiteren wurden einige Fragen bereits hinreichend beantwortet, wie aus den Schreiben der Ministerin hervorgeht. Folglich steht dem Journalisten kein Recht auf weitere Auskünfte in Bezug auf diese Fragen zu.

Wird Einsicht in einen Vergabeakt gewährt, der personenbezogene Daten enthält, sind zum Schutz personenbezogener Daten entsprechende Datenminimierungsmaßnahmen zu treffen (BVwG 24.06.2024, W606 2286002-2).
Hat ein Beschwerdeführer vor der DSB vollständig obsiegt, ist er durch den Bescheid der DSB nicht beschwert. Werden in der Beschwerde an das BVwG eine Bescheidbeschwerde und eine Säumnisbeschwerde vermischt, ist die Beschwerde hinsichtlich der Säumnisbeschwerde zwecks allfälliger weiterer Behandlung gemäß § 6 AVG der DSB zu übermitteln (BVwG 08.07.2024, W137 2289439-1).
Das Säumnisbeschwerdeverfahren hat als Rechtsschutzziel (nur) die Herbeiführung einer Entscheidung in der betreffenden Verwaltungsangelegenheit und nicht die Richtigkeit der Entscheidung. Hat die DSB nach Einlangen der Säumnisbeschwerde innerhalb von drei Monaten eine Entscheidung getroffen, ist das Säumnisbeschwerdeverfahren einzustellen (BVwG 08.07.2024, W137 2293870-1).
Der Antrag, personenbezogene Daten von einer Website zu löschen, ist ein Löschungsersuchen. Sind die personenbezogenen Daten zum Entscheidungszeitpunkt auf der Website nicht mehr abrufbar, kommt ein Leistungsauftrag zur Entfernung dieser Daten von der Website jedoch nicht mehr in Betracht. Auch eine wesentliche unmittelbare Gefährdung des Betroffenen (Gefahr in Verzug) liegt nicht mehr vor, sodass ein Vorgehen mit einem Mandatsbescheid nach § 22 Abs 4 DSG ausscheidet (BVwG 28.06.2024, W108 2250401-2).
Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 26.06.2024, W258 2261057-1, BVwG 03.07.2024, W258 2262326-1 und andere).

Rechtsakte

Am 22.07.2024 wurde das " Bundesgesetz, mit dem die Gewerbeordnung 1994 geändert wird", BGBl I 2024/130, kundgemacht. Mit der Novelle werden elektronische Eintragungen in das Gewerbeinformationssystem Austria (GISA) ermöglicht. Hierzu gelangt die E-ID zum Einsatz. Die DSGVO wird berücksichtigt.

Vorschau EuGH-Rechtsprechung

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 05.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Juli 2024

03.07. | 10.07. | 17.07. | 24.07. | 31.07.

Datenschutzmonitor 31.07.2024

Rechtsprechung des OGH

Aus der Rechtsprechung des OGH:

Personenbezogene Daten verkörpern einen monetären Wert. Die Bereitstellung personenbezogener Daten wie etwa Kontakt- und Einkaufsverhaltensdaten ist eine (Gegen-)Leistung, mit der man "zahlt". Die Bereitstellung dieser Daten und die Mitgliedschaft in einem Kundenbindungsprogramm sind gegenseitige Hauptleistungspflichten. In einem Kundenbindungsprogramm die Gewährung und Einlösung von Bonuspunkten anzubieten, dann aber den Mitgliedern keinen Anspruch auf das entsprechende Angebot zu gewähren, steht in krassem Missverhältnis zur vom Mitglied erbrachten Gegenleistung, nämlich vorab Daten zu seiner Person und seinem Einkaufsverhalten offengelegt zu haben (OGH 25.06.2024, 4Ob102/23p).

Rechtsprechung des BFG

Aus der Rechtsprechung des BFG:

Die Organe der Abgabenbehörden und des BFG sind gemäß § 48a BAO zur Geheimhaltung der ihnen im Rahmen ihrer Amtsausübung zukommenden Daten verpflichtet. Dadurch ist der Datenschutz gewährleistet (BFG 05.06.2024, RV/7102695/2023).

Rechtsprechung des DSB

DSB 04.07.2024, 2024-0.199.724

Der Rechnungshof Österreich veröffentlichte die Spendenhöhe sowie den Namen und die Postleitzahl eines Parteispenders auf seiner Website. Da diese Daten seine politische Meinung offenbarten, sah der Spender in der Veröffentlichung eine Verletzung seines Rechts auf Geheimhaltung. Daraufhin reichte der Parteispender eine Datenschutzbeschwerde gegen den Rechnungshof ein. Die DSB setzte das Verfahren bis zum Urteil des EuGH vom 01.2024, C-33/22, Österreichische Datenschutzbehörde, aus. Das EuGH-Urteil bestätigte die Zuständigkeit der DSB für Datenverarbeitungstätigkeiten der Gesetzgebungsorgane. Nach Fortsetzung des Verfahrens erklärte sich die DSB für zuständig, sie wies die Datenschutzbeschwerde jedoch ab.

Die DSB hat erwogen: Da das neu geschaffene Parlamentarische Datenschutzkomitee erst mit 01.01.2025 eingerichtet wird, ist zum Zeitpunkt der Entscheidung die DSB gemäß Art 55 Abs 1 DSGVO zuständig. Weiters fallen die Daten des Parteispenders in den Anwendungsbereich des Art 9 Abs 1 DSGVO, weil jedenfalls seine politischen Vorlieben aus seiner Spendentätigkeit hervorgehen. Art 9 Abs 2 lit g DSGVO erlaubt die Verarbeitung dieser Daten, wenn sie auf einer gesetzlichen Grundlage beruht, die ein erhebliches öffentliches Interesse verfolgt und angemessene Maßnahmen zum Schutz der Betroffenen vorsieht. § 6 Abs 2 und 3 PartG bietet diese gesetzliche Grundlage. Darüber hinaus ist die Transparenz der Parteienfinanzierung ein erhebliches öffentliches Interesse. Zudem setzte man durch das Absehen der Veröffentlichung der gesamten Anschrift des Parteispenders sowie durch Festlegung einer Löschfrist (§ 6 Abs 2 letzter Satz PartG) und Abhilfemaßnahmen angemessene Maßnahmen zur Wahrung der Grundrechte und Interessen.

Die Verarbeitung ist auch verhältnismäßig. Sie unterscheidet nach Höhe der Spende und Zeitraum, in dem gespendet wird. Die Veröffentlichung der Daten greift zwar in das Grundrecht auf Geheimhaltung ein, ist im Hinblick auf das erhebliche öffentliche Interesse an einer transparenten Parteienfinanzierung jedoch gerechtfertigt.

DSB 08.10.2021, 2021-0.698.184

Ein Geschäftsführer fühlte sich durch die Veröffentlichung seiner Daten auf der Website einer Werbeagentur in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt. Auf der Website der Werbeagentur wurde ein firmenbuchähnlicher Service angeboten, bei dem Informationen über im Firmenbuch eingetragene Rechtsträger und handelnde Personen miteinander verknüpft wurden, um auch Verbindungen zwischen den handelnden Personen darzustellen. Die Werbeagentur stützte die Veröffentlichung auf ihr berechtigtes Interesse. Der Geschäftsführer erachtete die Verarbeitung für unrechtmäßig und brachte (erfolglose) Datenschutzbeschwerde bei der DSB ein.

Die DSB hat erwogen: Bei der Verknüpfung von öffentlich zugänglichen Daten mit neuen Daten handelt es sich um eine neue Datenverarbeitung, deren Zulässigkeit nach dem DSG und der DSGVO zu prüfen ist. Zulässigerweise veröffentlichte Daten sind nicht per se einem Geheimhaltungsanspruch entzogen.

Bei der Interessenabwägung im Rahmen der Prüfung des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO werden die Interessen der Werbeagentur am Betrieb der Plattform dem Interesse des Geschäftsführers an Geheimhaltung gegenübergestellt. Eine Werbeagentur hat ein wirtschaftliches Interesse ihre Dienstleistungen zu bewerben und Werbeeinnahmen zu generieren sowie ein Interesse, den Nutzern ihrer Website interessante und nützliche Informationen über bestehende Unternehmen und deren handelnde Personen zur Verfügung zu stellen. Als Website-Betreiber schaltet die Werbeagentur für unterschiedliche Unternehmen Werbung. Es liegt im Interesse eines Website-Betreibers, möglichst viele Nutzer durch die Bereitstellung interessanter Informationen auf die Website zu bringen, um dadurch Werbeeinnahmen zu generieren. Der Geschäftsführer hat ein Interesse an der Geheimhaltung seiner personenbezogenen Daten. Bei der Interessenabwägung ist auch zu berücksichtigen, ob ein Betroffener absehen kann, ob möglicherweise eine Verarbeitung zu diesem Zweck zukünftig erfolgen wird.

Die Schutzwürdigkeit der Daten des Geschäftsführers ist aufgrund ihrer allgemeinen Verfügbarkeit geringer zu bewerten. Die veröffentlichten Daten gehören ausschließlich der beruflichen Sphäre an und der Geschäftsführer entscheidet selbst, ob er als Gesellschafter oder Geschäftsführer am Wirtschaftsleben teilnimmt.

Das berechtigte Interesse der Werbeagentur an der Verarbeitung der Daten im Rahmen ihrer Website überwiegt aufgrund der geringen Eingriffsintensität die Interessen des Geschäftsführers an der Geheimhaltung.

Rechtsakte

Am 19.07.2024 wurde das "Bundesgesetz, mit dem das E-Government-Gesetz geändert wird", BGBl I 2024/117, kundgemacht. Die Novelle des E-GovG regelt ua die Wahlfreiheit der Kommunikation für Bürgerinnen und Bürger sowie den elektronischen Verkehr zwischen Verantwortlichen des öffentlichen Bereichs.

Am 22.07.2024 wurde das "Bundesgesetz, mit dem das Schulorganisationsgesetz, das Schulunterrichtsgesetz, das Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge, das Bildungsdokumentationsgesetz 2020 und das Schulpflichtgesetz 1985 geändert werden", BGBl I 2024/121, kundgemacht. Das Bundesgesetzt enthält Regelungen zur Datenverarbeitung, darunter zur Verarbeitung des elektronischen Zertifikats zum Nachweis der Schülereigenschaft (edu.digicard). Weiters wurden Datenverarbeitungstätigkeiten auf der Grundlage des Bildungsdokumentationsgesetzes novelliert.

Am 22.07.2024 wurde das "Bundesgesetz, mit dem das Sicherheitspolizeigesetz geändert wird", BGBl I 2024/122, kundgemacht. Mit der Novelle werden den Sicherheitsbehörden Befugnisse für Datenverarbeitungstätigkeiten eingeräumt und Regelungen für den elektronischen Rechtsverkehr getroffen.

Neues vom EDSA

Am 16.07.2024 hat der EDSA eine Erklärung zur Rolle der Datenschutzbehörden im Rahmen der KI-VO angenommen.

Am 16.07.2024 hat der EDSA zum EU-US Data Privacy Framework separate FAQs für Einzelpersonen und für Unternehmen veröffentlicht.

Vorschau EuGH-Rechtsprechung

Am 05.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Datenschutzmonitor 24.07.2024

Rechtsprechung des EuG

EuG 17.07.2024, T-1077/23, Bytedance

Die Europäische Kommission (Kommission) hat Bytedance, ein chinesisches Unternehmen, das die Online-Plattform TikTok betreibt, als einen Torwächter (Gatekeeper) im Sinne der Verordnung über digitale Märkte (DMA) benannt. Bytedance hat gegen diese Benennung Klage erhoben und insbesondere drei Gründe geltend gemacht: (i) Eine Verletzung von Art 3 Abs 1 und 5 DMA (Benennung als Torwächter); (ii) eine Verletzung ihrer Verteidigungsrechte; und (iii) eine Verletzung des Gleichbehandlungsgrundsatzes. Das EuG wies die Klage in vollem Umfang ab.

Das EuG hat erwogen: Die Kommission hat TikTok zu Recht als einen zentralen Plattformdienst und ein wichtiges Zugangstor für Unternehmen, die ihre Endnutzer erreichen wollen, angesehen, weil Bytedance kumulativ die quantitativen Schwellenwerte von Art 3 Abs 2 lit a, b und c DMA erfüllt (Jahresumsatz, Anzahl der Endnutzer, Anzahl der Geschäftsjahre).

Bytedance hat nicht ausreichend begründet, weshalb diese Schwellenwerte nicht erfüllt sein sollten. Die vorgebrachten Argumente, wie etwa (i) das Fehlen eines Plattformökosystems, (ii) das Vorhandensein von Multihoming (die parallele Verwendung mehrerer Dienste), (iii) der angeblich geringe Umsatz in der Union, (iv) die Herkunft des Marktwerts (Hauptmarkt China), (v) die geringere Größe im Vergleich zu anderen Plattformen, (vi) die niedrigen Werbeeinnahmen, (vii) die Tatsache, dass Bytedance ein neuer Marktteilnehmer ist, oder dass (viii) seine Position von anderen Gatekeepern wie Meta und Alphabet herausgefordert wird, sind nicht geeignet, um die Einstufung als Torwächter in Frage zu stellen.

Bytedance hat einen erheblichen Einfluss auf den Binnenmarkt, weil Bytedance auch den Schwellenwert für den Marktwert von Art 3 Abs 2 lit a DMA überschritten hat (Jahresumsatz). Die Verteidigungsrechte von Bytedance wurden nicht verletzt, weil es weder nachgewiesen hat, dass es ohne die angeblichen Verfahrensfehler seine Verteidigung besser hätte wahrnehmen können, noch, dass diesfalls die Entscheidung der Kommission anders ausgefallen wäre. Der Gleichbehandlungsgrundsatz wurde nicht verletzt, weil Bytedance nicht nachgewiesen hat, dass ähnliche Argumente in vergleichbaren Fällen berücksichtigt worden wären.

EuG 17.07.2024, T-761/21, Courtois

Die Europäische Kommission ("Kommission") hat für EUR 2,7 Mrd Impfstoffe gegen COVID-19 von Pharmaunternehmen bestellt. Abgeordnete des Europäischen Parlaments sowie Privatpersonen (Antragsteller) stellten an die Kommission den Antrag, diese möge ihnen Zugang zu den Verträgen mit den Pharmaunternehmen und bestimmten mit diesen Verträgen in Zusammenhang stehenden Dokumenten gewähren.

Die Kommission verweigerte teilweise den Zugang zu den Verträgen und auch zu den Dokumenten. Hinsichtlich der Erklärungen der Mitglieder des Verhandlungsteams über das Nichtvorliegen von Interessenkonflikten stützte die Kommission die Verweigerung des (ungeschwärzten) Dokumentenzugangs auf den Schutz der Privatsphäre dieser EU-Vertreter. Das EuG erklärte die Entscheidung der Kommission für nichtig.

Das EuG hat erwogen: Die Kommission hat den Zugang zu den Erklärungen über das Fehlen von Interessenkonflikten zu Unrecht verweigert. Diese Erklärungen sind für die Transparenz und die Rechenschaftspflicht der EU-Vertreter, die an den Verhandlungen mit den Impfstoffherstellern beteiligt waren, von wesentlicher Bedeutung. Die Antragsteller haben hinreichend dargelegt, dass sie die Offenlegung dieser Erklärungen zur Überprüfung benötigen, ob die an den Verhandlungen beteiligten EU-Vertreter keinem Interessenkonflikt unterlagen. Für diese Überprüfung ist die Kenntnis der Vor- und Nachnamen sowie der beruflichen und institutionellen Rollen der besagten EU-Vertreter erforderlich.

Rechtsprechung des VwGH

VwGH 17.05.2024, Ra 2021/04/0009

Eine Ärztin begehrte im Jahr 2017 die Löschung ihrer personenbezogenen Daten auf einer Ärztebewertungsplattform. Nachdem die Betreiberin der Bewertungsplattform das Löschungsbegehren der Ärztin ablehnte, brachte die Ärztin eine zivilgerichtliche Klage ein, in der sie eine Verletzung im Recht auf Datenschutz geltend machte und die Löschung der Daten beantragte. Anschließend brachte die Ärztin zusätzlich eine Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde mit der Begründung zurück, dass sie nicht über dieselbe Frage absprechen könne, welche bereits gemäß Art 79 DSGVO zivilgerichtlich anhängig sei. Eine gleichzeitige Inanspruchnahme des Beschwerderechts bei der Aufsichtsbehörde und des gerichtlichen Rechtsbehelfs in ein- und derselben Sache komme nicht in Betracht.

Das BVwG gab der von der Ärztin eingebrachten Bescheidbeschwerde keine Folge, bestätigte die Zurückweisung der Datenschutzbeschwerde aber aus einem Grund. In der Zwischenzeit wurde die zivilrechtliche Klage der Ärztin – im Zeitpunkt der Entscheidung des BVwG jedoch noch nicht rechtskräftig – abgewiesen. Gegen diese Entscheidung erhoben sowohl die Ärztin als auch die DSB jeweils Revision an den VwGH.

Der VwGH setzte das Verfahren aus und legte dem EuGH die Fragen vor, ob im innerstaatlichen Recht das Zusammenspiel der Rechtsbehelfe so geregelt werden darf, dass

sofern ein Rechtsbehelf beim Gericht bereits anhängig ist, oder (zumindest)
nachdem eine (wenn auch noch nicht rechtskräftige) inhaltliche Entscheidung des Gerichts ergangen ist,

die DSB die Datenschutzbehörde zurückweisen darf.

Der VwGH hat erwogen: Nach der Rechtsprechung des EuGH dürfen eine Datenschutzbeschwerde gemäß Art 77 DSGVO an eine Aufsichtsbehörde und ein zivilgerichtlicher Rechtsbehelf gemäß Art 79 DSGVO nebeneinander und unabhängig voneinander eingelegt werden. Laut den Ausführungen des EuGH obliegt die Festlegung der Modalitäten für die Verwaltungs- und Gerichtsverfahren den EU-Mitgliedstaaten, die dabei ein hohes Schutzniveau der Unionsrechte gewährleisten müssen. Dieses hohe Schutzniveau bedinge die Vermeidung einander widersprechender Entscheidungen.

Vor diesem Hintergrund ist zu klären, ob es eine zulässige Modalität des Rechtsschutzes ist, wenn eine Datenschutzbeschwerde nach Art 77 DSGVO zurückgewiesen wird, weil in derselben Sache bereits ein gerichtlicher Rechtsbehelf nach Art 79 DSGVO eingelegt wurde und das gerichtliche Verfahren noch anhängig ist.

Anm: Das ist bereits das zumindest 14. Vorabentscheidungsersuchen an den EuGH aus Österreich mit Bezug zur DSGVO (ab 2021), wobei ein Vorabentscheidungsersuchen zurückgezogen wurde (C-701/20) und ein Vorabentscheidungsersuchen als unzulässig zurückgewiesen wurde (C-115/22). Zählt man diese nicht mit, wurden bis dato aus Österreich zwölf Vorabentscheidungsersuchen mit Bezug zur DSGVO an den EuGH gestellt. Davon kamen vier vom VwGH (C-33/22, C-416/23, C-638/23, C-414/24), drei vom OGH (C-154/21, C-300/21, C-446/21), drei vom BVwG (C-487/21, C-291/24, C-474/24), eins vom LVwG Wien (C-203/22) und eins vom LG St. Pölten (C-468/24).

Rechtsprechung des BVwG

BVwG 11.03.2024, W214 2235505-1

Ein Journalist begehrte im Rahmen des Auskunftspflichtgesetzes (AuskunftspflichtG) beim Bundesminister für Finanzen (BMF) per E-Mail eine Liste aller Unternehmen, die COVID-19-Hilfsmaßnahmen in Form von Steuerstundungen, Fixkostenzuschüsse oder Haftungen für Kredite in Anspruch genommen haben, einschließlich der jeweiligen Höhe der bewilligten Hilfen. Der BMF wies das Auskunftsbegehren mit Bescheid gemäß § 4 AuskunftspflichtsG ab, weil die Geheimhaltungsinteressen der Unternehmen zu wahren seien und die angeforderten Daten nicht ohne weiteres verfügbar seien, weshalb vor der Beauskunftung eine zusätzliche Verarbeitung stattfinden müsste. Gegen den abweisenden Bescheid erhob der Journalist Bescheidbeschwerde an das BVwG, das der Beschwerde hinsichtlich der Daten zu offenlegungspflichtigen Unternehmen stattgab.

Das BVwG hat erwogen: Unternehmen, die verpflichtet sind, erhaltene Corona-Beihilfen im Transparency Award Module (TAM) oder im Firmenbuch zu veröffentlichen, haben kein schutzwürdiges Interesse an der Geheimhaltung der erhaltenen Beihilfen. Einzelunternehmer und natürliche Personen genießen dagegen ein erhöhtes Geheimhaltungsinteresse. Deren Daten dürfen nur veröffentlicht werden, wenn sie auch der Offenlegungspflicht im TAM unterliegen, weil dann kein schutzwürdiges Interesse an der Geheimhaltung mehr vorliegt. Das öffentliche Interesse an der Kontrolle der Verwendung von öffentlichen Mitteln für COVID-19-Hilfsmaßnahmen überwiegt das Interesse der Unternehmen an der Wahrung ihrer Geschäfts- und Betriebsgeheimnisse. Journalisten üben dabei als "public watchdog" eine wichtige Funktion für die demokratische Meinungsbildung aus.

Auch wenn Daten erst aufzuarbeiten sind, ist eine pauschale Auskunftsverweigerung nicht zulässig. Wenn Daten bereits in automationsunterstützter und strukturierter Weise verarbeitet werden, ist eine Auskunft jedenfalls nicht unzumutbar.

Die untersten 10% der Beihilfeempfänger sind nicht zu beauskunften, weil diese eine geringe Relevanz für die öffentliche Kontrolle haben und eine höhere Gefahr der Offenlegung der Identität besteht.

BVwG 17.06.2024, W298 2283379-1

Eine für Parteimitglieder bestimmte E-Mail wurde von einer politischen Partei versehentlich an einen Bürger versendet. Seine E-Mail-Adresse wurde versehentlich in die Mitgliederdatenbank eingetragen und mit einem Parteimitglied verknüpft. Der Bürger erhob Datenschutzbeschwerde und monierte, dass die politische Partei ihn in seinem Recht auf Geheimhaltung verletzt hatte, indem sie (i) seine E-Mail-Adresse verarbeitete, (ii) ein Tracking-Pixel einsetzte und (iii) seine personenbezogenen Daten aus der Wählerevidenz abgerufen hat. Den ersten beiden Beschwerdepunkten gab die DSB statt, der dritte Beschwerdepunkt wurde abgewiesen. Dagegen richtete sich die Bescheidbeschwerde an das BVwG, die abgewiesen wurde.

Das BVwG hat erwogen: Gemäß § 1 Abs 2 PartG iVm § 4 Abs 2 WEviG ist eine politische Partei berechtigt, die dort angeführten Daten für Zwecke der Beeinflussung der staatlichen Willensbildung, insbesondere durch die Teilnahme an Wahlen zu allgemeinen Vertretungskörpern und dem Europäischen Parlament, zu empfangen. Es ist zulässig, dass politische Parteien Werbung für eigene politische Ziele durch direkte Ansprache der Wähler betreiben und dabei privilegiert auf Daten der Wählerevidenz zugreifen dürfen, sofern ein Zweck gemäß § 1 Abs 2 PartG verfolgt wird. Die politische Partei hat die Daten des Bürgers zwar zum Zweck der Wahlwerbung erhoben, aber die Daten falsch verknüpft. Der Datenschutzbeschwerde wurde in diesem Punkt auch stattgegeben. Die Abfrage der Daten aus der Wählerevidenz war jedoch rechtmäßig.

Der Antrag zur Vorabentscheidung an den EuGH wird abgewiesen, weil die Beschränkung auf die in § 1 Abs 2 PartG genannten Daten sowie die Einschränkung der Datenverarbeitung zu wahlwerbenden Zwecken iSd DSGVO hinreichend sind.

BVwG 17.06.2024, W298 2261552-1

Eine Bewohnerin hatte in ihrer Liegenschaft zwei Strompunktzähler und beauftragte für jeden Zähler einen anderen Energieanbieter. Beide Anbieter leiteten daraufhin unabhängig voneinander einen Zählpunktidentifizierungsprozess über die Wechselplattform ein, um den Wechsel der Stromlieferanten zu vollziehen. Der Netzbetreiber meldete beide Zähler an beide Energieanbieter zurück, obwohl jeweils nur für einen der beiden Zähler eine Vollmacht vorlag. Dies führte dazu, dass die Daten beider Zähler an beide Energieanbieter weitergegeben wurden. Die DSB gab der Datenschutzbeschwerde der Bewohnerin statt und stellte eine Verletzung ihres Geheimhaltungsrechts fest. Das BVwG gab der Bescheidbeschwerde des Netzbetreibers teilweise statt.

Das BVwG hat erwogen: Die Weitergabe der Daten an den zweiten Energieanbieter erfolgte ohne rechtliche Grundlage und verletzte somit das Geheimhaltungsrecht der Bewohnerin. Die Weitergabe der Daten an den ersten Energieanbieter war jedoch rechtmäßig.

Die Energieanbieter haben von der Bewohnerin jeweils eine Vollmacht zur Vornahme eines spezifischen Rechtsgeschäfts iSd § 76 Abs 3 ElWOG und des § 4 Wechselverordnung (WVO) erhalten, die zur Übernahme jeweils eines Zählers berechtigt. Die Energieanbieter müssen das Vorliegen der Vollmacht nur glaubhaft machen, sofern die Vollmacht tatsächlich erteilt wurde. Unklarheiten über den Umfang der Vollmacht muss sich die Bewohnerin zurechnen lassen. Der Netzbetreiber durfte darauf vertrauen, dass die Vollmacht dem ersten Energieanbieter im Umfang der Übernahme beider Zählpunkte erteilt worden ist.

Hinsichtlich des zweiten Energiebetreibers verletzte der Netzbetreiber jedoch seine Sorgfaltspflichten. Beide Energieanbieter haben unabhängig voneinander eine Zählpunktidentifizierung für beide Zählpunkte gestartet, welche vom Netzbetreiber jeweils genehmigt wurden.

Gemäß § 5 WVO kann der Netzbetreiber bei begründetem Verdacht, wenn die zu wechselnde Zählpunktbezeichnung einem anderen Endverbraucher zugeordnet ist, den Wechselprozess verweigern. Da die Zählpunktidentifizierung durch den ersten Energieanbieter bereits gestartet wurde, hätte der Netzbetreiber bei der Anfrage des zweiten Energieanbieters Überschneidungen der beiden Verfahren prüfen müssen.

Der Verstoß gegen die gesetzlichen Sorgfaltspflichten indiziert auch einen Verstoß gegen das Grundrecht auf Datenschutz.

Erfolgt die Datenverarbeitung durch eine Videokamera nur im unmittelbaren Bereich vor der Eingangstüre, um zu überwachen, wer sich wann und wie unmittelbar vor der Eingangstüre aufhält, ist die Datenverarbeitung verhältnismäßig und erforderlich, wenn sie aus einem nachvollziehbaren Grund erfolgt. Auf das Verhängen einer Strafe besteht kein subjektives Recht, weshalb dem Betroffenen hierfür keine Antragslegitimation zukommt (BVwG 20.06.2024, W211 2276490-1).

Wird eine Säumnisbeschwerde rechtmäßig erhoben, räumt § 28 Abs 7 VwGVG dem BVwG eine "kondemnatorische" Entscheidungsbefugnis ein. Dh das BVwG darf ihre Entscheidung auf einzelne maßgebliche Rechtsfragen beschränken und die DSB zum Erlassen eines Bescheides "verurteilen". Die DSB erhält damit eine "dritte Chance" und hat ihre Entscheidung unter Zugrundelegung der Rechtsanschauung des BVwG innerhalb von acht Wochen nachzuholen (BVwG 13.06.2024, W292 2281684-1).

Ein Aussetzungsbescheid ist ersatzlos zu beheben, wenn der von der DSB angenommene Aussetzungsgrund nicht besteht. Im fortgesetzten Verfahren wird die DSB das Verfahren formlos einzustellen haben, weil der Verantwortliche in der Zwischenzeit dem Berichtigungsersuchen des Betroffenen entsprochen hat, indem der Verantwortliche den Geschlechtseintrag des Betroffenen auf "divers" geändert hat (BVwG 18.06.2024, W214 2275651-1).

Ist kein Wiederaufnahmegrund ersichtlich, ist ein Antrag auf Wiederaufnahme aussichtslos. Die Verfahrenshilfe wird daher nicht gewährt (BVwG 27.06.2024, W292 2293432-1).

Gemäß § 62 Abs 4 AVG kann das BVwG Schreib- und Rechenfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten in Entscheidungen jederzeit von Amts wegen berichtigen. Eine Berichtigung nach § 62 Abs 4 AVG ist keine Entscheidung in der Sache und hat daher gemäß § 31 Abs 1 VwGVG in Form eines Beschlusses zu erfolgen (BVwG 14.06.2024, W292 2282284-1).

Ist die DSB der Auffassung, in der Sache nicht entscheiden zu können, weil der Sachverhalt mangelhaft vorgebracht ist oder Beweismittel fehlen, hat die DSB den Betroffenen zur Stellungnahme oder Urkundenvorlage aufzufordern. Die Zurückweisung der Datenschutzbeschwerde ohne Durchführung eines Ermittlungsverfahrens ist dagegen verfehlt (BVwG 16.05.2024, W252 2281584-1).

Die wirksame Zurückziehung der Datenschutzbeschwerde im Beschwerdeverfahren vor dem BVwG bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des angefochtenen Aussetzungsbescheides und damit (nachträglich) dessen Rechtswidrigkeit. Die Unzuständigkeit einer Behörde hat das Verwaltungsgericht von Amts wegen wahrzunehmen. Das BVwG ist somit gehalten, den Bescheid ersatzlos aufzuheben (BVwG 12.06.2024, W108 2280177-1).

Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 20.06.2024, W292 2248579-1).

Rechtsprechung des BFG

BFG 20.06.2024, RV/5100216/2024

Im Rahmen einer Außenprüfung forderte das Finanzamt für Großbetriebe von einem Kreditinstitut Kundenkonten und -depots zur Überprüfung der Sorgfalts- und Meldepflichten nach dem Gemeinsamen Meldestandard-Gesetz (GMSG) an. Das Kreditinstitut verweigerte die geforderte Datenübermittlung mit Hinweis auf die fehlende Erforderlichkeit und Bedenken aufgrund Bestimmungen des Datenschutzrechts. Da diese Unterlagen nicht übermittelt wurden, wurde eine Zwangsstrafe iHv EUR 500 verhängt. Gegen diesen Bescheid wurde Bescheidbeschwerde erhoben, weil die Abfrage personenbezogener Daten zur Ausübung der Kontrollbefugnisse unrechtmäßig sei. Die Bescheidbeschwerde wurde mit Beschwerdevorentscheidung als unbegründet abgewiesen. Die DSGVO-Rechtmäßigkeit der Prüfung der Abgabenerklärung ergäbe sich aus dem klar definierten öffentlichen Interesse iSd Art 6 Abs 1 lit e DSGVO an der Steuererhebung und der Bekämpfung von Steuerbetrug. Somit sei die Abgabenerklärung auch eine rechtliche Verpflichtung iSd Art 6 Abs 1 lit c DSGVO. Dagegen richtet sich der Vorlageantrag des Kreditinstituts.

Das BFG hat erwogen: Aus § 110 und 111 GMSG ergibt sich der gesetzliche Auftrag zur Überprüfung der Meldepflicht und der ausgeübten Sorgfalt und somit eine klare gesetzliche Grundlage für die vom Finanzamt vorgenommenen Datenanforderungen. Die auf § 111 GMSG iVm § 114 BAO basierende Datenverarbeitung ist ein verhältnismäßiger und minimalinvasiver Eingriff in das Grundrecht auf Datenschutz und erfolgt in der Durchführung von Unionsrecht anhand der Abgabevorschriften. Die Möglichkeit der Einsicht in die erhobenen Daten ist zudem ausschließlich auf Organe der Finanzverwaltung im Rahmen ihrer dienstlichen Tätigkeit beschränkt, sodass keine datenschutzrechtlichen Bedenken vorliegen. Durch die Verweigerung der Herausgabe der Kundenkonten wurde der Zweck der Prüfungshandlung, die Vollständigkeit der GMSG-Daten zu überprüfen, konterkariert, sodass die Verhängung der Zwangsstrafe rechtmäßig war.

Um den Erfordernissen des Datenschutzes zu entsprechen, haben die Abgabenbehörden nach Maßgabe ihrer technischen Möglichkeiten Zustellungen an Empfänger, die Teilnehmer von FinanzOnline sind, elektronisch vorzunehmen (BFG 30.04.2024, RV/7100834/2023).

Rechtsprechung der LVwG

Ein durchdachtes Berechtigungskonzept, in dem Zugriffsrechte auf Rollenebene definiert werden, trägt zur Erfüllung der Anforderungen der DSGVO bei (LVwG 11.07.2024, LVwG-2024/32/1750-4).

Rechtsakte

Am 17.07.2024 wurde das "Bundesgesetz, mit dem ein Qualifizierte-Einrichtungen-Gesetz erlassen wird und die Zivilprozessordnung, das Konsumentenschutzgesetz, das Gerichtsgebührengesetz und das Rechtsanwaltstarifgesetz geändert werden (Verbandsklagen-Richtlinie-Umsetzungs-Novelle)", BGBl I 2024/85, kundgemacht. Mit diesem Bundesgesetz wird die Verbandsklagen-Richtlinie (EU) 2020/1828 ins österreichische Recht umgesetzt. Gestützt auf dieses Bundesgesetz können Verbandsklagen auch wegen (behaupteten) Verletzungen des Datenschutzrechts geltend gemacht werden.

Am 18.07.2024 wurde das "Bundesgesetz, mit dem das KommAustria-Gesetz geändert wird", BGBl I 2024/90, kundgemacht. Ua wird das KOG dem "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G) angepasst. Zudem wird der RTR-GmbH ein jährliches Budget iHv EUR 0,5 Mio zur Verfügung gestellt, um Audio-Podcasts über Medien- und Digitalkompetenz etc zu produzieren.

Am 19.07.2024 wurde das "Bundesgesetz, mit dem das Arbeitsvertragsrechts-Anpassungsgesetz, das Arbeitsverfassungsgesetz, das Arbeitsinspektionsgesetz 1993, das Dienstnehmerhaftpflichtgesetz, das Allgemeine Sozialversicherungsgesetz, das Beamten-Kranken- und Unfallversicherungsgesetz, das Notarversorgungsgesetz, das Einkommensteuergesetz 1988, das Heimarbeitsgesetz und das Landarbeitsgesetz 2021 geändert werden (Telearbeitsgesetz)", BGBl I 2024/110, kundgemacht. Als Telearbeit wird die regelmäßige Verrichtung der Arbeit unter Einsatz von Informations- und Kommunikationstechnologien von Örtlichkeiten außerhalb des Unternehmens verstanden.

Am 19.07.2024 wurde das "Bundesgesetz, mit dem ein DORA-Vollzugsgesetz erlassen und das Alternative Investmentfonds Manager-Gesetz, das Bankwesengesetz, das Börsegesetz 2018, das Finanzmarktaufsichtsbehördengesetz, das Investmentfondsgesetz 2011, das Pensionskassengesetz, das Sanierungs- und Abwicklungsgesetz, das Versicherungsaufsichtsgesetz 2016, das Wertpapieraufsichtsgesetz 2018 und das Zahlungsdienstegesetz 2018 geändert werden", BGBl I 2024/112, kundgemacht. Mit dem DORA-Vollzugsgesetz wird ua die FMA als zuständige Behörde für die Überwachung der Einhaltung der DORA-Verordnung (EU) 2022/2554 festgelegt.

Am 07.2024 wurde das "Zweite Oö Digitalisierungsgesetz", OÖ LGBl 2024/59, kundgemacht. Mit diesem Landesgesetz wurde ua das oberösterreichische Auskunftspflicht-, Datenschutz- und Informationsweiterverwendungsgesetz geändert.

Vorschau EuGH-Rechtsprechung

Der EuGH hält Sommerpause.

Datenschutzmonitor 17.07.2024

Rechtsprechung des EuGH

EuGH 11.07.2024, C-757/22, Meta

Beim Aufruf des "App-Zentrums" von Meta wurden die Nutzer darüber informiert, dass sie durch die Nutzung bestimmter Spieleanwendungen das Sammeln und Veröffentlichen persönlicher Daten gestatten und sie den AGB und der Datenschutzpolitik zustimmen. Der Bundesverband der Verbraucherzentralen und Verbraucherverbände hielt diese Hinweise ua mangels wirksamer Einwilligung für unlauter und erhob eine Unterlassungsklage. Der EuGH äußerte sich zur Frage, ob ein Verband eine Verletzung der Rechte einer betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO geltend macht, wenn die Klage darauf gestützt wird, dass der Verantwortliche seine Informationspflichten verletzt hat.

Der EuGH hat erwogen: Die Informationspflicht des Verantwortlichen gegenüber der von der Datenverarbeitung betroffenen Person ist logische Folge des Informationsrechts, das dieser Person durch Art 12 und 13 DSGVO zuerkannt wird. Dieses Recht gehört damit zu den Rechten, auf welche die in Art 80 Abs 2 DSGVO vorgesehenen Verbandsklagen gestützt werden sollen.

Die Erhebung einer auf Art 80 Abs 2 DSGVO gestützten Verbandsklage impliziert, dass es anlässlich der Verarbeitung personenbezogener Daten zu einer Verletzung der Rechte einer betroffenen Person aus den Datenschutzvorschriften der DSGVO kommt. Die Gültigkeit einer datenschutzrechtlichen Einwilligung hängt davon ab, ob die betroffene Person zuvor Informationen über alle Umstände im Zusammenhang mit der Datenverarbeitung hat, auf die sie nach Art 12 und 13 DSGVO Anspruch hat. Diese Informationen ermöglichen es ihr, die Einwilligung in voller Kenntnis der Sachlage zu geben. Eine Verletzung des Informationsrechts könnte der Erteilung einer Einwilligung in informierter Weise entgegenstehen und somit die Datenverarbeitung rechtswidrig machen.

Eine Verletzung des Informationsrechts verstößt gegen die in Art 5 DSGVO festgelegten Anforderungen und ist daher als Verstoß gegen die Rechte der betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO anzusehen.

EuGH 11.07.2024, C-461/22, MK

Ein Schutzbedürftiger ersuchte seinen ehemaligen Erwachsenenvertreter, einen Anwalt aus seinem persönlichen Umfeld, um Auskunft über jene personenbezogenen Daten, die der Anwalt im Zuge der Wahrnehmung seiner Aufgaben als Erwachsenenvertreter verarbeitet hatte.

Das vorlegende Gericht fragte den EuGH, ob ein gesetzlich bestellter Erwachsenenvertreter, der diese Tätigkeit berufsmäßig ausübt, Verantwortlicher gemäß Art 4 Z 7 DSGVO ist und demzufolge zur Auskunft verpflichtet ist.

Der EuGH hat erwogen: Laut ErwGr 18 und Art 2 Abs 2 lit c DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten, die durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ohne Bezug zu beruflichen oder wirtschaftlichen Tätigkeiten vorgenommen werden. Der Umstand, dass der Erwachsenenvertreter aus dem persönlichen Umfeld des Schutzbefohlenen stammte, ändert aber nichts daran, dass der Vertreter seine Aufgaben im Rahmen der Erwachsenenvertretung in Ausübung seiner anwaltlichen Tätigkeiten berufsmäßig wahrgenommen hat. Zwar handelt ein Erwachsenenvertreter nach den Vorschriften des deutschen Betreuungsrechts im Namen und auf Rechnung des Vertretenen, doch handelt es sich bei einem ehemaligen Erwachsenenvertreter um eine dritte Person.

Daraus folgt, dass ein ehemaliger Erwachsenenvertreter, der seine Aufgaben in Bezug auf eine unter seine Betreuung gestellte Person berufsmäßig wahrgenommen hat, als Verantwortlicher gemäß Art 4 Z 7 DSGVO einzustufen ist und sämtliche Bestimmungen der DSGVO, darunter auch die Auskunftspflicht gemäß Art 15 DSGVO, zu beachten hat.

EuGH Schlussanträge 11.07.2024, C-394/23, Mousse

Ein Verband erhob Klage gegen ein Transportunternehmen, weil dieses bei der Online-Buchung von Fahrscheinen die Angabe der Anrededaten "Herr" oder "Frau" von seinen Kunden verlangte. Der Generalanwalt äußerte sich zur Auslegung von Art 5 Abs 1 lit c sowie Art 6 Abs 1 lit b und c DSGVO.

Der Generalanwalt hat erwogen: Die systematische Verarbeitung von Anrededaten ist für die Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen nicht erforderlich, wenn sie der personalisierten geschäftlichen Kommunikation oder geschlechtsspezifischen Anpassung von Beförderungsleistungen dient. Hauptgegenstand des Vertrags ist die Bereitstellung eines Fahrscheins und die Beförderung der Kunden. Die Kommunikation mit dem Kunden ist zwar integraler Bestandteil des Beförderungsvertrags, die Verarbeitung der Anrededaten ist aber nicht erforderlich, weil personalisierte Kommunikation auch ohne Anrededaten möglich ist. Für spezielle Anpassungen der Beförderungsdienstleistung (zB Reservierung eines Nachtzugwagons für Frauen oder Unterstützung von Personen mit eingeschränkter Mobilität) sind nicht Anrede- sondern Geschlechtsdaten erforderlich. Dieses Ziel kann auch erreicht werden, indem diese Daten nur in besonderen Fällen und nicht bei allen Fahrscheinkäufen erhoben werden.

Das Transportunternehmen hat die betroffenen Personen zum Zeitpunkt der Datenerhebung nicht über die verfolgten berechtigten Interessen informiert. Aus der Nichteinhaltung der Informationspflicht resultiert die Rechtswidrigkeit der Verarbeitung der Anrededaten. Ohne Information über die berechtigten Interessen kann die Verarbeitung der Anrededaten auch nicht als erforderlich angesehen werden. Selbst wenn das berechtigte Interesse der personalisierten Kundenkommunikation mitgeteilt worden wäre, wäre die Verarbeitung der Anrededaten nicht erforderlich, weil die Kommunikation auch ohne diese Daten möglich ist. Kunden können vernünftigerweise nicht absehen, dass ihre Anrededaten zur Kommunikation aufgrund eines Fahrscheinerwerbs verarbeitet werden.

Die Verarbeitung von Anrededaten könnte die Grundrechte oder -freiheiten betroffener Personen beeinträchtigen, weil sie zu einer Diskriminierung aufgrund des Geschlechts führen könnte. Dies gilt insb bei Transgender-Personen oder Personen mit Staatsangehörigkeit eines Staates, der das neutrale Geschlecht anerkennt. Das berechtigte Interesse an der Kommunikation mit dem Kunden überwiegt daher nicht die Interessen oder die Grundrechte oder -freiheiten der betroffenen Person.

Das Bestehen eines Widerspruchsrechts ist für die Beurteilung der Erforderlichkeit bei einer Verarbeitung nach Art 6 Abs 1 lit f DSGVO irrelevant, weil es eine rechtmäßige Verarbeitung voraussetzt. Es kann erst ausgeübt werden, wenn die rechtmäßige Verarbeitung bereits erfolgt ist, um diese zu unterbinden. Eine andere Auslegung würde die Rechtmäßigkeitsgründe des Art 6 DSGVO ausweiten. Das Schutzniveau der betroffenen Personen hinge davon ab, dass diese der Datenverarbeitung widersprechen.

Rechtsprechung des VwGH

Eine Zurückverweisung an die DSB zur Durchführung notwendiger Ermittlungen gemäß § 28 Abs 3 VwGVG ist nur bei besonders gravierenden Ermittlungslücken gerechtfertigt. Wenn die DSB auf Grundlage ihrer Ermittlungsergebnisse bereits Feststellungen getroffen hat und ergänzende Ermittlungen ohne Schwierigkeiten vom Verwaltungsgericht durchgeführt werden können, ist eine Zurückverweisung nicht erforderlich. Im Interesse der Verfahrensbeschleunigung und der angemessenen Verfahrensdauer haben Verwaltungsgerichte erforderliche ergänzende Ermittlungen selbst vorzunehmen (VwGH 13.06.2024, Ra 2023/04/0259).

Rechtsprechung des BVwG

BVwG 27.03.2024, W214 2243436-1

Ein Unternehmen betrieb ein branchenübergreifendes Kundenbindungsprogramm, für das zur Rechtfertigung der Verarbeitung Einwilligungen physisch über ein Anmeldeformular und über eine Website eingeholt wurden. Um die Rechtmäßigkeit der Vorgehensweise zu prüfen, leitete die DSB ein amtswegiges Prüfverfahren ein. Da die Einwilligungen nicht der DSGVO entsprachen, verhängte die DSB im darauffolgenden Strafverfahren eine Geldstrafe iHv EUR 1,2 Mio (zuzüglich EUR 120.000 Verfahrenskostenbeitrag). Dagegen erhob das Unternehmen Bescheidbeschwerde an das BVwG, welches die Strafe auf EUR 700.000 (zuzüglich EUR 70.000 Verfahrenskostenbeitrag) herabsetzte und den Bescheid teilweise abänderte.

Das BVwG hat erwogen: Das Selbstbezichtigungsverbot des Art 90 Abs 2 B-VG und Art 6 EMRK gilt in Verwaltungsstrafverfahren nach der DSGVO jedenfalls nicht für juristische Personen. Beweisergebnisse, die in einem vorgelagerten Administrativverfahren unter strafbewehrter Mitwirkungspflicht erlangt wurden, dürfen im nachgelagerten Verwaltungsstrafverfahren verwertet werden.

Bei der Beurteilung der Gültigkeit einer Einwilligung ist maßgeblich, wie eine durchschnittliche einwilligende Person, die über keine juristischen oder technischen Kenntnisse verfügt und sich der Einwilligung mit durchschnittlicher Aufmerksamkeit widmet, diese versteht. Eine datenschutzrechtliche Erklärung, die zwar fettgedruckt ist, jedoch am Ende eines physischen Anmeldeformulars unter einem Unterschriftsfeld platziert wurde, ist irreführend. Eine bei einem Onlineformular missverständlich beschriftete Schaltfläche ist dabei irreführend und intransparent. Durch die intransparente Vorgehensweise entsprechen die Einwilligungen nicht den Erfordernissen iSd Art 7 DSGVO. Eine darauf gestützte Datenverarbeitung ist rechtswidrig.

Bei Profiling iSd DSGVO handelt es sich um einen erheblichen Eingriff in die Grundrechte von Betroffenen. Das Interesse Betroffener, keinem Profiling unterworfen zu werden, überwiegt das Interesse eines Unternehmens, ohne Einwilligung Daten zur interessensgerichteten Werbung verarbeiten zu dürfen.

Geschäftsführer trifft eine Erkundigungspflicht hinsichtlich einschlägiger Bestimmungen vor Beginn einer Datenverarbeitung. Zur Wirksamkeit eines internen Kontrollsystems muss dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen.

Für die Bemessung der Höhe einer Strafe nach der DSGVO liegt eine Unternehmensgruppe vor, wenn eine Muttergesellschaft einen entscheidenden Einfluss auf ein Tochterunternehmen ausübt.

Werden personenbezogene Daten (i) schuldhaft unrechtmäßig verarbeitet, (ii) betrifft die Verarbeitung das gesamte Bundesgebiet, (iii) stellt die Verarbeitung eine zentrale Tätigkeit des Verantwortlichen dar und (iv) sind eine große Anzahl natürlicher Personen von der Verarbeitung über einen Zeitraum von zwei Jahren betroffen, liegt bei einem fahrlässigen Verstoß gegen die DSGVO für die Strafbemessung ein mittlerer bis hoher Schweregrad vor. Anm: Das BVwG verwehrt datenschutzrechtlich Verantwortlichen, insb wenn sie juristische Personen sind, den Schutz vor Zwang zur Selbstbezichtigung.

BVwG 07.06.2024, W256 2246230-1

Ein Unternehmen hat von Mai 2019 bis Januar 2021 personenbezogene Daten für personalisierte Werbung, basierend auf Einwilligungserklärungen, die mittels Flyer und Webseite eingeholt wurden, erhoben. Die DSB leitete ein amtswegiges Prüfverfahren ein, in dem sie die Einwilligungserklärungen für ungültig erklärte. Im anschließenden Verwaltungsstrafverfahren verhängte die DSB eine Geldstrafe iHv EUR 2 Mio. Das Unternehmen erhob dagegen Bescheidbeschwerde an das BVwG, das die Geldbuße auf EUR 500.000 herabsetzte.

Das BVwG hat erwogen: Ergebnisse des amtswegigen Prüfverfahrens können in ein Verwaltungsstrafverfahren einbezogen werden. Das Recht, sich selbst nicht einer strafbaren Handlung bezichtigen zu müssen, kommt einer juristischen Person nicht zu. Die Einwilligungserklärungen entsprechen nicht den Anforderungen des Art 7 Abs 2 DSGVO, weil sie nicht klar und verständlich gestaltet, und damit nicht freiwillig waren. Die Einwilligungserklärung muss optisch und sprachlich transparent ausgestaltet sein, insb wenn sie verschiedene Sachverhalte betrifft. Das Unternehmen hat den Gesamteindruck vermittelt, dass es sich eigentlich um eine Unterschrift für die Teilnahme am Kundenbindungsprogramm und nicht um eine Einwilligung zum Profiling handelt.

Die Verarbeitung kann nicht auf Art 6 Abs 1 lit f oder Art 6 Abs 4 DSGVO gestützt werden, weil die betroffenen Personen nicht mit einer solchen Verarbeitung rechnen mussten. Das Unternehmen hat fahrlässig gehandelt, weil den Geschäftsführern und/oder dem Datenschutzbeauftragten die Rechtswidrigkeit der Einwilligungserklärungen hätte auffallen müssen. Die Geldbuße ist jedoch zu hoch angesetzt, weil die Verhältnismäßigkeit und die wirtschaftliche Leistungsfähigkeit des Unternehmens sowie mildernde Umstände zu berücksichtigen sind.

Die Revision an den VwGH ist zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage von grundsätzlicher Bedeutung abhängt, insb zu Art 7 DSGVO und zum entschuldbaren Verbotsirrtum im Anwendungsbereich der DSGVO.

Die mündliche Weitergabe personenbezogener Daten fällt nicht in den sachlichen Anwendungsbereich der DSGVO, ist aber anhand des Maßstabs des § 1 DSG zu prüfen. Eine Information über den stationären Aufenthalt einer Patientin ist ein Gesundheitsdatum iSd Art 4 Z 15 DSGVO. Die allgemeine Verfügbarkeit von Daten schließt die Verletzung eines Geheimhaltungsinteresses iSd § 1 DSG ausdrücklich aus. Daten, die nur einem begrenzten Personenkreis offengelegt werden, sind jedoch nicht allgemein verfügbar (BVwG 12.06.2024, W211 2281442-1). Beachte: Fällt eine Datenverarbeitung in den Anwendungsbereich der DSGVO, sind auch allgemein verfügbare Daten geschützt.

Über die Beschwerde einer Sportlerin gegen eine Entscheidung der Unabhängigen Dopingkontrolleinrichtung (NADA) legte die Unabhängige Schiedskommission (USK) mehrere Fragen hinsichtlich der Vereinbarkeit von Anti-Doping-Regelungen mit der DSGVO dem EuGH vor. Der EuGH wies die Fragen der USK mit Urteil vom 05.2024, C‑115/22, NADA, zurück, weil die USK kein Gericht iSd Art 267 AEUV ist. Das BVwG setzte ein bei ihm anhängiges Verfahren bis zur Entscheidung des EuGH aus. Nunmehr hat das BVwG das bei ihm anhängige Verfahren fortgesetzt und als Gericht iSd Art 267 AEUV dem EuGH die Fragen der USK nochmals vorgelegt. Den Fragen der USK stellt das BVwG jedoch eine weitere Frage voran, die die Schlussanträge der Generalanwältin reflektieren. Die Generalanwältin hinterfragte, ob die Durchführung des Anti-Doping-Rechts in den Anwendungsbereich des Unionsrechts und somit in jenen der DSGVO fällt (BVwG 28.06.2024, W108 2250401-1).

Von einem unvertretenen juristischen Laien kann die rechtliche Einordnung und Anführung der korrekten Norm nicht erwartet werden (BVwG 17.06.2024, W287 2285759-1).

Entsteht nach Ansicht des Beschuldigten aufgrund der Zusammenstellung personenbezogener Daten eine inhaltliche Irreführung, kann er Fehlannahmen durch Vorbringen im Einklang mit der Strafprozessordnung richtigstellen. Ein Recht auf Vervollständigung seiner Daten im Ermittlungsakt kommt ihm nicht zu (BVwG 12.06.2024, W605 2280077-1).

Wird das Recht auf Löschung geltend gemacht, kann eine Verantwortliche bis zum Abschluss des Verfahrens vor der DSB die behauptete Rechtsverletzung nachträglich beseitigen, indem sie den Anträgen des Betroffenen entspricht (§ 24 Abs 6 DSG). Diese Bestimmung ist sinngemäß auch im Verfahren beim BVwG anzuwenden (§ 17 VwGVG). Bei materieller Klaglosstellung wegen Wegfalls des Rechtsschutzinteresses ist das Verfahren einzustellen (BVwG 20.06.2024, W211 2225136-1).

Die DSB kann eine Verletzung des Grundrechts auf Geheimhaltung nur ex post betrachtet feststellen, weshalb eine Datenschutzbeschwerde über eine möglicherweise in der Zukunft eintretende Verletzung bereits aus diesem Grund abzuweisen ist (BVwG 27.05.2024, W137 2288754-1).

EU-Rechtsakte

Am 07.2024 wurde die Verordnung über künstliche Intelligenz "VO (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13.06.2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828" im Amtsblatt der EU veröffentlicht. Anm: Einen kurzen Überblick finden Sie unter folgendem Link.

Vorschau EuGH-Rechtsprechung

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

Datenschutzmonitor 10.07.2024

Rechtsprechung des VwGH

VwGH 06.06.2024, Ra 2022/04/0008

Die Teilnehmerin einer Gruppe zur Stressbewältigung erachtete sich in ihrem Recht auf Geheimhaltung verletzt, weil die Betreiberin der Gruppe Chatverläufe an den Ex-Freund der Teilnehmerin weitergeleitet haben soll. Die DSB gab der Datenschutzbeschwerde der Teilnehmerin statt. Der von der Betreiberin der Gruppe erhobenen Bescheidbeschwerde gab das BVwG insofern statt, als es den Bescheid behob und die Angelegenheit zur Verfahrensergänzung und Erlassung eines neuen Bescheids an die DSB zurückverwies. Aufgrund der dagegen erhobenen außerordentlichen Amtsrevision der DSB behob der VwGH den Zurückverweisungsbeschluss des BVwG wegen Rechtswidrigkeit des Inhalts.

Der VwGH hat erwogen: Die nach § 28 Abs 3 Satz 2 VwGVG bestehende Zurückverweisungsmöglichkeit stellt eine Ausnahme von der grundsätzlichen meritorischen Entscheidungszuständigkeit der Verwaltungsgerichte dar. Das BVwG wich insofern von der stRsp des VwGH ab, als die Voraussetzungen für eine Aufhebung und Zurückverweisung der Angelegenheit an die DSB mangels gravierender Ermittlungslücken nicht vorlagen. Eine Zurückverweisung ist regelmäßig nur dann zulässig, wenn die Verwaltungsbehörde jegliche erforderliche Ermittlungstätigkeit unterlassen hat, die zur Ermittlung des maßgebenden Sachverhalts gesetzten Ermittlungsschritte völlig ungeeignet waren oder von der Verwaltungsbehörde bloß ansatzweise ermittelt wurde. Solche – einen Zurückweisungsbeschluss rechtfertigende – Mängel haften dem Ermittlungsverfahren nicht an. Das BVwG hätte die von ihm als notwendig angesehenen ergänzenden Ermittlungsschritte – etwa im Rahmen einer mündlichen Verhandlung – nachholen können.

Die DSB hat den Ex-Freund der Teilnehmerin als Zeugen einvernommen. Auf Grundlage dieser Ermittlungsergebnisse hat die DSB – nach Einräumung des Parteiengehörs – Sachverhaltsfeststellungen getroffen und diese ihrer Entscheidung zugrunde gelegt. Zu beurteilen, ob die Beweiswürdigung der DSB im Zusammenhang mit der Weiterleitung der Chats ggf verfehlt war, gehört zu den zentralen Aufgaben des BVwG.

Ebenso wenig kann die Frage, ob die Haushaltsausnahme nach Art 2 Abs 2 lit c DSGVO anzuwenden gewesen wäre, eine Zurückverweisung rechtfertigen. Diese Rechtsfrage hat das BVwG selbst zu beantworten.

Die DSB hat von sich aus den vollständigen und wahren entscheidungsrelevanten Sachverhalt durch Aufnahme aller nötigen Beweise festzustellen. Wenn die DSB jegliche erforderliche Ermittlungstätigkeit unterlässt, nur völlig ungeeignete Ermittlungsschritte setzt oder bloß ansatzweise ermittelt, darf das BVwG das Verfahren an die DSB zurückverweisen (VwGH 06.06.2024, Ra 2023/04/0280).

Die Zurückziehung einer Datenschutzbeschwerde nach Entscheidung durch das BVwG und somit nach Eintritt der Rechtskraft ist nicht mehr möglich (VwGH 06.06.2024, Ra 2023/04/0004; Ra 2023/04/0006).

Rechtsprechung des BVwG

BVwG 23.04.2024, W292 2248672-1

Eine Kreditauskunftei übermittelte Informationen zur Bonität eines Betroffenen in Form eines Scoring-Wertes an einen Energieversorger, wobei sie dem Betroffenen eine "mittlere" Bonität zuschrieb, obwohl keine sachlich begründenden Informationen hierfür vorlagen. Aufgrund dieses Bonitätsscores verweigerte der Energieversorger einen Vertragsabschluss mit dem Betroffenen. Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB und machte mehrere Verletzungen seiner Rechte durch die Kreditauskunftei geltend, insbesondere das Recht auf Auskunft, das Recht auf Datenrichtigkeit, das Prinzip der Verarbeitung nach Treu und Glauben und das Recht, keiner automatisierten Entscheidung unterworfen zu werden.

Die DSB stellte fest, dass die Kreditauskunftei gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben verstoßen hatte, weil die Berechnung ohne Vorhandensein von konkreten Zahlungserfahrungsdaten zur Person des Betroffenen durchgeführt wurde. Zudem sah die DSB einen Verstoß gegen den Grundsatz der Transparenz vorliegen, weil die Kreditauskunftei es unterlassen hatte, verständlich darzustellen, ob sie die personenbezogenen Daten auch zu anderen Zwecken als zur Ausübung des Gewerbes der Kreditauskunftei verarbeite. Der Betroffene wurde nach Ansicht der DSB auch in seinem Recht auf Geheimhaltung und Auskunft verletzt, weil seine personenbezogenen Daten unrechtmäßig verarbeitet wurden und die Kreditauskunftei ihm keine Auskunft gemäß Art 15 Abs 1 lit h DSGVO erteilt hatte. Die gegen diesen Bescheid erhobene Bescheidbeschwerde der Kreditauskunftei war zum Teil erfolgreich.

Das BVwG hat erwogen: Die Kreditauskunftei hat bei der Berechnung des Bonitätsscores eine automatisierte Entscheidungsfindung iSd Art 22 DSGVO durchgeführt, weil sie einen auf personenbezogene Daten gestützten Wahrscheinlichkeitswert in Bezug auf die Fähigkeit der Betroffenen, künftige Zahlungsverpflichtungen zu erfüllen, automatisiert erstellt hat und der Energieversorger aufgrund dessen den Vertragsabschluss verweigert hat. Damit hat die automatisierte Entscheidungsfindung den Energieversorger maßgeblich geleitet und rechtliche Wirkung für den Betroffenen entfaltet bzw ihn in ähnlicher Weise erheblich beeinträchtigt.

Es waren keine Ausnahmetatbestände iSd Art 22 Abs 2 DSGVO erfüllt. Auch den weitergehenden Informationspflichten nach Art 13 Abs 2 lit f und Art 14 Abs 2 lit g DSGVO ist die Kreditauskunftei nicht nachgekommen, weil sie dem Betroffenen keine Informationen über die involvierte Logik sowie Tragweite und die angestrebten Auswirkungen der Verarbeitung zur Verfügung gestellt hat. Es war aus den Bonitätsauszügen auch nicht ersichtlich, dass der darin enthaltene Bonitätsscore ohne Zahlungserfahrungsdaten berechnet wurde. Die Kreditauskunftei verstieß somit gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben.

Der Ausspruch der DSB, wonach die Kreditauskunftei gegen den Grundsatz der Transparenz verstoßen hat, war aufzuheben, weil dieser Verstoß von der Datenschutzbeschwerde nicht umfasst war und die Kreditauskunftei in ihrer zuvor ergangenen Stellungnahme klar angegeben hatte, zu welchen Zwecken sie die Daten verarbeitet. Auch eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG wurde in der Datenschutzbeschwerde nicht geltend gemacht, weshalb auch der hierzu ergangene Spruchpunkt des Bescheides der DSB ersatzlos zu beheben war.

Die Kreditauskunftei vertrat die Ansicht, dass sie keine automatisierte Entscheidungsfindung durchführe, weshalb kein Anspruch des Betroffenen auf Auskunft bestehe. Damit ist sie dem Auskunftsersuchen des Betroffenen bis zum Abschluss des Verfahrens nicht vollständig nachgekommen und hat ihn in seinem Recht auf Auskunft gemäß Art 15 DSGVO verletzt. Das Argument der Kreditauskunftei, dass die verlangten Informationen zum Bonitätsscore Geschäftsgeheimnisse sind, schließt den Auskunftsanspruch nicht absolut aus. Dennoch müssen Informationen über die Berechnung des Bonitätsscores zumindest grundlegend bereitgestellt werden, ohne dass hierbei Geschäftsgeheimnisse preisgegeben werden müssen.

BVwG 28.05.2024, W176 2249328-1

Eine Muttergesellschaft ist Alleingesellschafterin einer Tochtergesellschaft, die ein Kundenbindungsprogramm betreibt. In der Konzeptionsphase legte der Vorstand der Muttergesellschaft die Strategie für ein Multipartner-System fest, das die Tochtergesellschaft durch das Kundenbindungsprogramm ohne Involvierung der Muttergesellschaft umsetzte. In Folge eines amtswegigen Prüfverfahrens leitete die DSB ein Verwaltungsstrafverfahren gegen die beiden Gesellschaften als gemeinsame Verantwortliche ein. Die gemeinsame Verantwortlichkeit wurde damit begründet, dass die Muttergesellschaft die strategische Entscheidung traf, ein Multipartner-Kundenbindungsprogramm einzurichten, die Tochtergesellschaft zu gründen und diese finanziell und personell zu unterstützten. Den Gesellschaften wurde vorgeworfen, dass die Einwilligungsformulare für die Datenverarbeitung zu Zwecken des Profiling nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung entsprechen würden und die Datenverarbeitung daher auf keinen Erlaubnistatbestand des Art 6 Abs 1 DSGVO gestützt werden könne. Der Muttergesellschaft wurde eine Geldbuße iHv EUR 8 Mio und ein Verfahrenskostenbeitrag von EUR 800.000 auferlegt. Das BVwG hat das Straferkenntnis behoben und das Verwaltungsstrafverfahren eingestellt.

Das BVwG hat erwogen: Die gemeinsame Verantwortlichkeit erfordert ein kooperatives Zusammenwirken zweier Akteure. Ein solches ist nicht erkennbar, weil die Muttergesellschaft seit Abschluss der Konzeptionsphase nicht mehr in die maßgeblichen Vorgänge involviert war und sie keinen Einfluss auf konkrete Datenverarbeitungszwecke und -mittel nehmen konnte.

Die Muttergesellschaft ist nicht Verantwortliche für die Datenverarbeitung, weil sich ihre Tätigkeit auf die strategische Festlegung eines Multipartner-Kundenbindungsprogramms und der Gründung der Tochtergesellschaft in der Konzeptionsphase beschränkte. Ab der Aufnahme des operativen Geschäftsbetriebs hat sie keine Leitungs- und Kontrolltätigkeiten in Bezug auf die Tochtergesellschaft vorgenommen oder veranlasst. Es fehlt eine gewollte und bewusste Zusammenarbeit der Beteiligten, die wesentlichen Entscheidungen über Zwecke und Mittel der Datenverarbeitung zu treffen, sodass keine gemeinsame Verantwortlichkeit vorliegt.

BVwG 28.06.2023, W214 2245388-1

Eine Bürgerin fühlte sich von dem Bundesminister für Digitalisierung und Wirtschaftsstandort als Stammzahlenregisterbehörde (Stammzahlenregisterbehörde) in ihrem Recht auf Geheimhaltung und Löschung verletzt, weil personenbezogene Daten zu ihrer Person im Ergänzungsregister für sonstige Betroffene (ERsB) eingetragen wurden und ihrem Löschersuchen nicht nachgekommen wurde. Die Eintragung war ihrer Ansicht nach nicht notwendig, weil ihre Daten schon im Zentralen Melderegister (ZMR) erfasst waren und sie keine unternehmerische Tätigkeit ausübt. Die Datenschutzbeschwerde blieb erfolglos. Die gegen den Bescheid der DSB erhobene Bescheidbeschwerde der Bürgerin hatte Erfolg.

Das BVwG hat erwogen: Die Stammzahlenregisterbehörde führt neben dem Ergänzungsregister für natürliche Personen (ERnP) auch das ERsB für alle anderen Betroffenen.

Die Bürgerin wurde als Einzelunternehmerin ins ERsB eingetragen, weil die Stammzahlenbehörde von einem weiten Unternehmensbegriff ausgeht, der natürliche Personen, Personengesellschaften, Personengemeinschaften und Personenvereinigungen, die unternehmerisch tätig sind, umfasst.

Die Bürgerin bezog zwar für eine Tätigkeit Funktionsgebühren, die gemäß § 29 Z 4 EStG als sonstige Einkunft zu den außerbetrieblichen Einkunftsarten aus nicht selbständiger Arbeit zählen. Eine unternehmerische Tätigkeit entfaltete sie jedoch nicht. Die Eintragung der Bürgerin ins ERsB erfolgte daher zu Unrecht.

BVwG 03.06.2024, W292 2282284-1

Die Ordinationsassistentin einer Fachärztin für Psychiatrie und psychotherapeutische Medizin versendete eine Terminerinnerung versehentlich mittels Gruppentextnachricht an 27 Patienten. Dadurch legte sie personenbezogene Daten, einschließlich Gesundheitsdaten der Patienten, für alle Empfänger offen. Die DSB verhängte eine Geldbuße iHv EUR 6.000 und einen Verfahrenskostenbeitrag von EUR 600. Das BVwG gab der Bescheidbeschwerde der Fachärztin teilweise statt und senkte die Geldbuße auf EUR 4.000 und den Verfahrenskostenbeitrag auf EUR 400 herab.

Das BVwG hat erwogen: Die Telefonnummern der Patienten sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Die Information über die Inanspruchnahme des Dienstleistungsangebots der Fachärztin durch die Patienten ist als Gesundheitsdatum iSd Art 4 Z 15 DSGVO zu qualifizieren. Diese Daten lassen zumindest indirekt auf eine psychische Erkrankung der Empfänger schließen. Die Fachärztin hat die unbefugte Offenlegung der Daten nicht unverzüglich und innerhalb von 72 Stunden der DSB gemeldet (Art 33 Abs 1 DSGVO).

Die Informationen aus der Gruppen-Textnachricht können zu physischen, materiellen oder immateriellen Schäden für die Patienten führen. Darüber hinaus erfordern Gesundheitsdaten ein besonderes Maß an Sorgfalt. Diese Informationen unterliegen einem besonderen Geheimhaltungsinteresse. Es ist die Pflicht der Fachärztin, ihre Mitarbeiter ausreichend zu schulen und für die Einhaltung der datenschutzrechtlichen Vorgaben zu sorgen. Die Fachärztin ergriff keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit. Weiters führte die Fachärztin auch kein Verzeichnis über ihre Verarbeitungstätigkeiten (Art 30 DSGVO).

Nach Art 83 Abs 1 DSGVO müssen Aufsichtsbehörden sicherstellen, dass Geldbußen wirksam, verhältnismäßig und abschreckend sind. Bei der Bemessung sind Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens und die Kategorie der betroffenen Daten zu berücksichtigen. Die Verknüpfung der offengelegten Telefonnummern mit namentlich identifizierbaren Personen ist mit einem gewissen Aufwand verbunden, was eine geringfügige Minderung der Schwere des Eingriffs und eine Reduktion der Geldbuße rechtfertigt. Für Terminerinnerungen per SMS muss eine ausdrückliche Einwilligung der Patienten gemäß Art 9 Abs 2 lit a DSGVO vorliegen. Die Fachärztin war sich dieser Vorgaben nicht bewusst und setzte keine sichere technische Lösung ein. Diese Handlungen und Unterlassungen sind als grob fahrlässiges Verhalten zu qualifizieren. Mildernd wirken die fahrlässige Begehung, die Unbescholtenheit, die Mitwirkung im Ermittlungsverfahren, die Anpassung der technischen Einstellungen und die nachträgliche Erstellung eines Verarbeitungsverzeichnisses.

BVwG 06.06.2024, W108 2280859-1

Nachdem das E-Mail-Postfach eines Arztes und des von ihm geführten Labors kompromittiert wurde, gelangte eine Excel-Liste mit tausenden PCR-Test-Ergebnissen und personenbezogenen Daten an zwei Medienunternehmen. Nachdem die Medienunternehmen über die geleakten Ergebnisse berichteten, beantragte das Labor die Löschung der E-Mail und nach Ablehnung durch die Medienunternehmen stellten der Arzt und das Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht vollständig nachkamen. Vor diesem Hintergrund brachten der Arzt und das Labor Datenschutzbeschwerden bei der DSB ein. Der Arzt behauptete eine Verletzung in seinem Recht auf Auskunft und das Labor in seinem Recht auf Löschung, Geheimhaltung und Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie gemäß § 9 DSG dem Medienprivileg unterliegen würden und den Arzt und das Labor nicht in ihren Rechten verletzt hätten. Die DSB wies die Datenschutzbeschwerden zunächst mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin der Arzt und das Labor Bescheidbeschwerden an das BVwG richteten. Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein, welches zur Aufhebung des § 9 Abs 1 DSG wegen Verfassungswidrigkeit führte. In weiterer Folge entschied die DSB, dass keine Verletzung des Rechts auf Löschung vorlag und stellte fest, dass die Medienunternehmen gewisse Informationen aufgrund des § 31 Abs 1 MedienG nicht zu beauskunften hatten, hinsichtlich anderer Informationen jedoch den Arzt und das Labor in ihren Rechten auf Auskunft verletzt haben. Daraufhin erhoben sowohl die Medienunternehmen als auch der Arzt und das Labor Bescheidbeschwerden an das BVwG. Das BVwG wies sämtliche Bescheidbeschwerden ab.

Das BVwG hat erwogen: Der Begriff "personenbezogene Daten" ist weit zu verstehen. Auch wenn die Excel-Liste personenbezogene Daten Dritter enthielt, war die Medienberichterstattung mit dem Arzt und dem Labor verknüpft. Daher wurden auch personenbezogene Daten des Arztes und des Labors verarbeitet. Das Labor ist, entgegen der Annahme der Medienunternehmen, als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre.

Das Interesse des Arztes und des Labors auf Auskunft überwog dem Geheimhaltungsinteresse der Medienunternehmen jedoch nicht, weil eine Berufung auf das Redaktionsgeheimnis auch außerhalb des § 31 Abs 1 MedienG möglich ist. Dies gilt vor allem mit Blick auf Art 10 EMRK, weil Informanten die Medien nicht unterstützen könnten, wenn kein Schutz journalistischer Quellen im Rahmen der Pressefreiheit garantiert wäre. Da den Medien in ihrer Rolle als "public watchdog" eine wichtige Kontroll- und Aufklärungsfunktion zukommt, muss ein dringendes Erfordernis des öffentlichen Interesses vorliegen, um in den Schutz journalistischer Quellen einzugreifen. Ein solches Interesse besteht hier nicht.

Unter "Stammdaten", die von den Medienunternehmen zu beauskunften sind, fallen persönliche Angaben wie Namen, Adresse, Geburtsdatum, Sozialversicherungsnummer und Kontaktdaten, nicht jedoch das gesamte journalistische Recherchematerial. Das Redaktionsgeheimnis wird durch das Offenlegen dieser Daten nicht verletzt.

Da dem Grundrecht auf Datenschutz unmittelbare Horizontal- bzw Drittwirkung zukommt, können auch Private verpflichtet sein. Das Untätigbleiben der Medienunternehmen mit der Begründung, dass juristischen Personen kein Auskunftsrecht zukommt, war rechtswidrig, weil die Betroffenenrechte gemäß Art 12 f DSGVO analog auf juristische Personen anzuwenden sind.

Das Erleichterungsgebot gemäß Art 12 Abs 2 DSGVO ist eine Strafnorm. Ein Verstoß dagegen kann gemäß Art 83 Abs 5 lit b DSGVO mit einer Geldbuße geahndet werden. Der Verantwortliche hat jedoch nur leicht fahrlässig gehandelt, weshalb die Strafe von EUR 9,5 Mio auf EUR 500.000 herabzusetzen war (BVwG 18.04.2024, W137 2248575-1).

Die DSB ist berechtigt, die Herausgabe personenbezogener Daten eines Beschwerdeführers vom Verantwortlichen zu verlangen, wenn die angeforderten Daten für das Erheben des maßgeblichen Sachverhalts erforderlich sein können. Der Verantwortliche hat dem Auftrag der DSB auf Herausgabe der Daten im Rahmen seiner Mitwirkungspflicht gemäß Art 31 DSGVO zu entsprechen (BVwG 13.05.2024, W101 2249293-1).

Wird in einem Einspruch gegen eine Strafverfügung nur die Herabsetzung der Strafe beantragt, tritt Teilrechtskraft hinsichtlich des Schuldspruchs ein (BVwG 06.05.2024, W108 2281246-1).

Krankheitsrisiken sind Gesundheitsdaten. Daher ist das Datum "Impfstatus" als Gesundheitsdatum iSd Art 9 Abs 1 DSGVO zu qualifizieren (BVwG 11.07.2023, W214 2257639-1).

Kommt dem Wiederaufnahmewerber mangels Obsorge keine Vertretungsbefugnis für seinen minderjährigen Sohn zu, fehlt ihm die Legitimation zur Erhebung eines Antrags auf Wiederaufnahme (BVwG 12.06.2024, W211 2267466-2; W211 2280883-2).

Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheides und damit (nachträglich) dessen Rechtswidrigkeit. Das BVwG hat daher den bekämpften Bescheid (ersatzlos) zu beheben (BVwG 06.06.2024, W287 2268623-1).

Rechtsakte

Der EuGH hat mit Urteil vom 16.01.2024, C-33/22, Österreichische Datenschutzbehörde, die Zuständigkeit der DSB für Datenverarbeitungstätigkeiten der Gesetzgebungsorgane bejaht, weil keine andere Aufsichtsbehörde für die Überwachung der entsprechenden Datenverarbeitungstätigkeiten eingerichtet war.

Der Gesetzgeber hat am 04.07.2024 mit einem Gesetzgebungspaket reagiert (BGBl I 2024/68; BGBl I 2024/70; BGBl I 2024/71). Es sind ua das Bundes-Verfassungsgesetz (B-VG), das DSG, das Informationsordnungsgesetz, das Rechnungshofgesetz und das Volksanwaltschaftsgesetz novelliert worden.

Mit dem Gesetzgebungspaket wird insb ein "Parlamentarisches Datenschutzkomitee" eingerichtet, das neben der DSB als nationale Aufsichtsbehörde fungieren wird. Das Parlamentarische Datenschutzkomitee wird für Datenschutzbeschwerden gegen den Nationalrat, den Bundesrat, den Rechnungshof, die Volksanwaltschaft sowie die obersten Organe des Nationalrats, des Bundesrats, des Rechnungshofs sowie der Volksanwaltschaft zuständig sein.

Durch Landesverfassungsgesetz kann die Zuständigkeit des Parlamentarischen Datenschutzkomitees auf die Datenverarbeitungstätigkeiten

Am 07.2024 wurde das Bundesgesetz zur Einrichtung einer nationalen Behörde für die Cybersicherheitszertifizierung (Cybersicherheitszertifizierungs-Gesetz, CSZG, BGBl I 2024/78), mit dem eine nationale Behörde für die Cybersicherheitszertifizierung eingerichtet wurde, kundgemacht.

Vorschau EuGH-Rechtsprechung

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuGH in der Rs C-461/22, MK (Curateur professionnel), veröffentlicht. Geklärt wird, ob ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter) bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 03.07.2024

Rechtsprechung des EGMR

EGMR 25.06.2024, 23215/21, Vlaisavljevikj/Nordmazedonien

Der Betroffene machte bei der zuständigen nationalen Behörde (Direktion für den Schutz personenbezogener Daten) eine Datenschutzbeschwerde geltend und brachte vor, durch einen Wärmelieferanten in seinem Recht auf Schutz seiner personenbezogenen Daten verletzt worden zu sein. Dieser soll dem Betroffenen Rechnungen geschickt haben, obwohl in seiner Wohnung keine Heizungen installiert waren und er keinen Vertrag mit dem Wärmelieferanten abgeschlossen hatte. Der Wärmelieferant stütze sich auf das nationale Energiegesetz und brachte vor, die Verarbeitung sei rechtmäßig gewesen, weil er die Daten vom vorherigen Versorger erhalten hatte und berechtigt sei, die Daten zu verarbeiten, um Zahlungen einzuziehen. Die Direktion wies die Datenschutzbeschwerde ab und argumentierte dies mit dem berechtigten Interesse des Wärmelieferanten, die Wärmemenge in Rechnung zu stellen und erachtete die Verarbeitung als rechtmäßig iSd Energiegesetzes.

Der Betroffene ging gegen die Entscheidung der Direktion beim Verwaltungsgericht vor und hielt fest, dass die herangezogene Bestimmung auf seinen Fall nicht anzuwenden sei, weil dies bloß für Wärmeverbraucher anzuwenden wäre. Er habe aber nie einen Vertrag geschlossen, daher sei bereits der frühere Versorger unrechtmäßig an seine Daten gelangt. Nachdem das Verwaltungsgericht dem Betroffenen Recht gab, hob das Oberverwaltungsgericht dieses Urteil wieder auf und argumentierte im Wesentlichen wie die Direktion. Der Betroffene machte nunmehr eine Verletzung des Art 8 EMRK vor dem EGMR geltend, weil die inländischen Behörden es versäumt hätten, ihn vor der rechtswidrigen Erhebung und Verwendung seiner personenbezogenen Daten zu schützen. Die nordmazedonische Regierung trug vor, dass der Betroffene die sechsmonatige Frist zur Antragstellung nicht eingehalten und den innerstaatlichen Rechtsweg nicht ausgeschöpft habe.

Der EGMR hat erwogen: Da der Betroffene nicht die zugrundeliegenden Bestimmungen selbst als verfassungsrechtlich bedenklich hielt, sondern vielmehr die Versäumnis der Behörden und somit die Anwendung des Gesetzes auf seinen Fall rügte, war keine Verfassungsbeschwerde durch den Betroffenen erforderlich. Zudem kann die Klage nicht wegen der Nichteinhaltung der sechsmonatigen Frist abgewiesen werden, weil das Abwarten des Betroffenen auf die endgültige Erledigung seiner verwaltungsrechtlichen Beschwerde angemessen war, bevor er eine Beschwerde beim EGMR eingereicht hat. Es steht jedenfalls fest, dass der Wärmelieferant die personenbezogenen Daten des Betroffenen verarbeitet hat. Dass die Daten im Grundbuch eingetragen und somit auf der Website des Grundbuchamts öffentlich zugänglich und abrufbar waren ändert nichts daran, dass die Daten dem Schutz von Art 8 EMRK unterliegen. Der Wärmelieferant war nicht berechtigt, die Daten des Betroffenen zu verarbeiten und hat ihn in seinen Rechten nach Art 8 EMRK verletzt.

Der nordmazedonische Staat hat eine positive Verpflichtung zur Gewährleistung des Rechts des Betroffenen auf Achtung des Privatlebens. Die Wärmeversorger sind durch das Energiegesetz zwar berechtigt, Daten zu verarbeiten, um das ordnungsgemäße Funktionieren des Wärmeversorgungssystems als Angelegenheit des öffentlichen Interesses zu gewährleisten. Der Betroffene machte jedoch geltend, dass er nie einen Vertrag mit einem Wärmelieferanten abgeschlossen hatte, worauf weder die Direktion noch das Oberverwaltungsgericht eingegangen sind. Damit wurde der Kern des vom Betroffenen geltend gemachten Anspruchs nie wirklich geprüft, weil es an einer umfassenden Prüfung der Frage gefehlt hat, ob die Speicherung und Verwendung der Daten in Ermangelung eines vertraglichen Verhältnisses zwischen dem Betroffenen und dem Wärmelieferanten dem legitimen Ziel des Energiegesetzes entsprachen. Vor diesem Hintergrund haben die nationalen Gerichte das Recht des Betroffenen auf Achtung seines Privatlebens nicht wirksam geschützt. Es liegt eine Verletzung des Art 8 EMRK vor. Achtung: Die Beschwerdefrist an den EGMR ist in der Zwischenzeit auf vier Monate herabgesetzt worden!

Rechtsprechung des VwGH

VwGH 17.05.2024, Ro 2022/04/0026

Die auf einer Bewertungsplattform für Reisen gelisteten Betreiber eines Hotels forderten die Löschung aller ihrer personenbezogenen Daten einschließlich der Bewertungen. Die Bewertungsplattformbetreiberin ist diesem Löschersuchen nicht nachgekommen, weil die Datenverarbeitung im berechtigten Interesse der Plattform und ihrer Nutzer liege und durch die Meinungsäußerungsfreiheit und das Informationsinteresse der Öffentlichkeit geschützt sei. Die DSB und das BVwG wiesen die Beschwerden der Hotelbetreiber mangels Rechtswidrigkeit der Datenverarbeitung ab. Der VwGH wies die ordentliche Revision ab.

Der VwGH hat erwogen: Die Wahrnehmung des Rechts auf Meinungs- und Informationsfreiheit kann ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Dementsprechend sieht Art 17 Abs 3 lit a DSGVO eine Ausnahme vom Recht auf Löschung vor, soweit die Datenverarbeitung zur Ausübung dieser Rechte erforderlich ist. Die Bewertungsplattform ermöglicht Meinungsäußerungen und strukturierte Suchen, was der Ausübung der Meinungsäußerungsfreiheit dient. Daher ist die damit verbundene Datenverarbeitung zur Wahrung eines berechtigten Interesses erforderlich. Dass die Daten nur für einen kleinen Teil der Öffentlichkeit relevant sind, ändert nichts an dem grundsätzlichen Vorliegen eines berechtigten Interesses, kann aber bei der Interessenabwägung berücksichtigt werden.

Die Bewertungen betreffen die Erbringung von Dienstleistungen gegenüber Dritten und damit ein Verhalten in der Öffentlichkeit. Die verarbeiteten Daten fallen daher in die Sozialsphäre der Hotelbetreiber, die einen geringeren Schutz als der Kernbereich der Privatsphäre (zB Daten zum Sexualleben) genießt. Der bloße Umstand, dass sich die Eingriffsintensität einer Datenverarbeitung durch die Änderung maßgeblicher Umstände (zB Betriebsübergabe) in Zukunft ändern kann, führt für sich genommen nicht dazu, dass eine solche Datenverarbeitung von vornherein nicht der Sozial- bzw Berufssphäre zuzurechnen wäre.

Wer Dienstleistungen öffentlich anbietet, muss mit Beobachtung und Kritik rechnen und die Bewertungsplattform auf unberechtigte Kritik prüfen. Dies ist auch zumutbar, weil die Bewertungsplattform es ermöglicht, per E-Mail über neue Bewertungen informiert zu werden und zu Kommentaren Stellung zu nehmen. Die Bewertungsplattformbetreiberin hat hinreichende Maßnahmen ergriffen, um missbräuchliche Verwendungen durch Nutzer einzuschränken bzw den Betroffenen zu ermöglichen, sich gegen Kommentare zu wehren. Da die Datenverarbeitung rechtmäßig ist, besteht kein Löschungsanspruch der Hotelbetreiber.

VwGH 28.05.2024, Ro 2021/04/0034

Eine Kreditauskunftei hatte zu einem Geschäftsführer einer GmbH unter anderem einen Hinweis über dessen Insolvenz in ihrer Wirtschaftsdatenbank gespeichert. Nach Abschluss des Insolvenzverfahrens erhob der Geschäftsführer Datenschutzbeschwerde und begehrte die Löschung des Eintrags. Die DSB wies die Datenschutzbeschwerde ab, wogegen der Geschäftsführer Bescheidbeschwerde erhob. Das BVwG gab der Bescheidbeschwerde statt und trug der Kreditauskunftei die Löschung des Eintrags auf. Die Kreditauskunftei erhob Revision beim VwGH, der diese zurückwies.

Der VwGH hat erwogen: Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach Art 6 Abs 1 lit f DSGVO verlangt eine fallbezogene Interessenabwägung zwischen den Interessen der Kreditauskunftei und den Interessen, Grundrechten und Grundfreiheiten des Geschäftsführers. Das BVwG hat die Interessenabwägung anhand der konkreten Umstände des Einzelfalls und der Rechtsprechung des EuGH vorgenommen. Die Insolvenz des Geschäftsführers der GmbH ist nicht bonitätsrelevant für die Gesellschaft, weil sie weder ein Ausschlussgrund für die Bestellung noch ein zwingender Grund für seine Abberufung ist. Die Haftung des Geschäftsführers gegenüber Dritten ist deliktischer Natur und mit der Haftbarkeit von Dienstnehmern vergleichbar. Die Verarbeitung der Insolvenzdaten des Geschäftsführers durch die Kreditauskunftei ist daher nicht zur Wahrung ihrer berechtigten Interessen oder der ihrer Kunden erforderlich. Auch überwiegt das Interesse des Geschäftsführers an der Löschung des Eintrags, weil dieser die Gefahr einer Missinterpretation seiner Bonität und seiner organschaftlichen Verpflichtungen mit sich bringt. Die Revision zeigt keine grundsätzliche Rechtsfrage auf, die eine Korrektur der Interessenabwägung des BVwG erfordert.

Die in der Marketingbranche als Sinus-Geo-Milieus bekannten anonymen statistischen Wahrscheinlichkeitswerte verwandeln sich in personenbezogene Daten, wenn sie einer natürlichen Person zugeordnet werden. Gleichzeitig gehen aus ihnen die weltanschaulichen Überzeugungen der Person hervor, der sie zugeordnet werden (irrelevant ist, dass diese Person beim Berechnen der Sinus-Geo-Milieus nicht einmal bekannt ist). Das Einhalten genehmigter Verhaltensregeln kann eine rechtswidrige Datenverarbeitung nicht rechtfertigen (VwGH 17.05.2024, Ra 2023/04/0005).

Rechtsprechung des BVwG

BVwG 03.06.2024, W211 2273051-1

Ein Richter des Landesgerichts für Strafsachen (LG) übermittelte aufgrund eines Ersuchens gemäß § 360 ASVG Verfahrens- und Gerichtsakten an die GKK (nunmehr ÖGK), die PVA und das Sozialministerium zur straf- und regressrechtlichen Verfolgung. Der Beschuldigte fühlte sich von der Vorgehensweise in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde bei der DSB gegen den Richter und das LG. Die DSB wies die Datenschutzbeschwerde gegen den Richter ab und gegen das LG zurück. Aufgrund der weit auszulegenden justiziellen Tätigkeit sei die DSB nicht zuständig. Dagegen erhob der Beschuldigte (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Richter ist als Rechtsprechungsorgan dem LG zuzuordnen. Die Eigenschaft eines datenschutzrechtlich Verantwortlichen kommt ihm nicht zu. Im Bereich der Gerichtsbarkeit (justizielle Tätigkeiten) kommt dabei dem jeweils verfahrensführenden Gericht die Eigenschaft als für die Verarbeitung Verantwortlichen in Betracht, wenn Verfahrensbestimmungen die konkrete gerichtliche Zuständigkeit anordnen. Da sich der Richter mit der Datenübermittlung innerhalb der Verfahrensordnung bewegte, kommt die Eigenschaft als Verantwortlicher dem LG zu.

Im Falle der Zurückweisung einer Datenschutzbeschwerde durch die DSB ist Sache des Beschwerdeverfahrens lediglich die Frage deren Rechtmäßigkeit. Hinsichtlich der Datenschutzbeschwerde gegen das LG ist die in Art 55 Abs 3 DSGVO genannte "justizielle Tätigkeit" weit zu verstehen. Diese ist nicht ausschließlich auf die Erlassung von Entscheidungen in konkreten Rechtssachen beschränkt. Auch die Datenübermittlung iS § 360 ASVG fällt unter die justizielle Tätigkeit eines Gerichts. Die DSB war für die Datenschutzbeschwerde daher nicht zuständig.

Für die Rüge einer Datenschutzverletzung durch ein Gericht in Ausübung der justiziellen Tätigkeit steht dem Beschuldigten der Rechtschutzbehelf des § 85 GOG zur Verfügung.

Der Empfänger eines "Impferinnerungsschreibens" hat seine Datenschutzbeschwerde gegen den falschen Verantwortlichen gerichtet. Richtet sich eine Datenschutzbeschwerde unzweifelhaft gegen eine bestimmte Person oder Stelle, welche die Datenverarbeitung nicht zu verantworten hat, dann ist die Datenschutzbeschwerde abzuweisen. Überdies konnte das Versenden des "Impferinnerungsschreibens" auf § 750 Abs 1a und 2 ASVG gestützt werden (BVwG 03.06.2024, W211 2263700-1).

Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung beim Zugriff auf den Patientenindex sowie auf das zentrale Impfregister für den Versand von COVID-Impferinnerungsschreiben ist beim VwGH anhängig. Zudem liegen dem BVwG etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage vor. Aus Gründen der Prozessökonomie gilt es, die gleiche Rechtsfrage nicht nebeneinander in mehreren Verfahren zu erörterten. Um das Verfahren zu vereinfachen und die Parteien vor unnötigen Revisionen beim VwGH zu schützen, wird das Verfahren ausgesetzt (BVwG 03.06.2024, W211 2262341-1).

Säumnisbeschwerden sind bei der belangten Behörde einzubringen, sofern das Verwaltungsverfahren noch bei dieser anhängig ist. Wenn die belangte Behörde bereits einen (negativen) Bescheid erlassen hat, liegt faktisch keine Säumnis vor (BVwG 05.06.2024, W252 2288636-1).

Rechtsakte

Am 06.2024 wurde das "Bundesgesetz, mit dem das Datenschutzgesetz geändert wird" kundgemacht (BGBl I 2024/62). Mit dieser Novelle wird das sogenannte Medienprivileg (§ 9 DSG) neugefasst, weil der VfGH den alten § 9 DSG als verfassungswidrig aufgehoben hat. Darüber hinaus enthält die DSG-Novelle redaktionelle Anpassungen.

Vorschau EuGH-Rechtsprechung

Juni 2024

05.06. | 12.06. | 19.06. | 26.06.

Datenschutzmonitor 26.06.2024

Rechtsprechung des EGMR

EGMR 20.06.2024, 8826/20, Namazli/Azerbaijan

Ein aserbaidschanischer Häftling wurde von seinem Rechtsanwalt besucht und sie berieten sich über ein vor dem EGMR anhängiges Verfahren. Der Rechtsanwalt wurde sowohl beim Betreten als auch beim Verlassen des Gefängnisgebäudes vom Gefängnispersonal durchsucht. Dabei stellte das Gefängnispersonal die schriftliche Kopie einer Stellungnahme sicher, die der Rechtsanwalt für seinen Mandanten vorbereitet hatte, um diese anschließend beim EGMR einzubringen. Das Schriftstück wurde dem Gefängnisdirektor vorgelegt, der daraufhin die Beschlagnahme anordnete. Ein Protokoll über die Beschlagnahme wurde nicht angefertigt.

In seiner Beschwerde an den EGMR behauptete der Rechtsanwalt, dass er wegen der Beschlagnahme von Unterlagen, die unter den Schutz des Anwaltsgeheimnisses fallen, in seinen Rechten gemäß Art 8 EMRK verletzt wurde. Der EGMR stellte eine Verletzung des Art 8 EMRK in Bezug auf die Beschlagnahme des anwaltlichen Schriftstücks fest und sprach dem Rechtsanwalt eine Entschädigung iHv EUR 4.500 zu.

Der EGMR hat erwogen: Die Beschlagnahme von Schriftstücken, die dem Anwaltsgeheimnis unterliegen, ist ein Eingriff in die Rechte gemäß Art 8 EMRK, der nur dann zulässig ist, wenn er gesetzlich vorgesehen ist, einem legitimen Zweck dient und in einer demokratischen Gesellschaft notwendig ist.

Das aserbaidschanische Strafvollzugsgesetz legt fest, dass ein Anwalt gegen Vorlage seines Personalausweises ein Gefängnis betreten darf. Gleichzeitig ermächtigt das Strafvollzugsgesetz das Gefängnispersonal, die Besitztümer von ein- und ausgehenden Personen zu kontrollieren, ohne dabei zwischen den verschiedenen Personenkategorien zu unterscheiden. Ferner enthielten die aserbaidschanischen Regelungen keine Vorschriften darüber, wie die Leibesvisitation durchzuführen ist.

Die Durchsuchung einer Person ist ein schwerwiegender Eingriff in die Rechte nach Art 8 EMRK und bedarf daher einer besonders präzisen gesetzlichen Grundlage. Klare und detaillierte Vorschriften zum Schutz gegen möglichen Missbrauch oder Willkür sind unerlässlich.

Die anlasslose Einsichtnahme in anwaltliche Schriftstücke ist mit dem durch Art 8 EMRK garantierten Schutz des Anwaltsgeheimnisses unvereinbar.

Rechtsprechung des EuGH

EuGH 20.06.2024, C-182/22 und C-189/22, Scalable Capital

Die Kläger hatten bei Scalable Capital, einer Gesellschaft deutschen Rechts, die eine Trading-App betreibt, einen Account eröffnet und dazu bestimmte personenbezogene Daten hinterlegt. Im Jahr 2020 wurden diese Daten von unbekannten Dritten abgegriffen, ohne dass bisher ein Identitätsdiebstahl oder -betrug festgestellt wurde. Die Kläger klagten auf Ersatz des immateriellen Schadens, der ihnen durch den Diebstahl ihrer personenbezogenen Daten entstanden ist.

Der EuGH hat erwogen: Eine auf Art 82 DSGVO gestützte Entschädigung in Geld soll es ermöglichen, den erlittenen Schaden in vollem Umfang auszugleichen, sodass diese Bestimmung eine ausschließliche Ausgleichsfunktion, keine Abschreckungs- oder Straffunktion hat.

Art 82 DSGVO verlangt nicht, dass die Schwere des Verschuldens bei der Bemessung der Höhe des Schadenersatzes berücksichtigt wird. Damit die finanzielle Entschädigung vollständig und wirksam ist, ist der Betrag jedoch so festzulegen, dass er den konkret aufgrund des DSGVO-Verstoßes erlittenen Schaden in vollem Umfang ausgleicht. Dieser Grundsatz des vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden könnte durch die Annahme, dass eine Körperverletzung von Natur aus schwerer wiegt als ein immaterieller Schaden, in Frage gestellt werden.

Bei fehlender Schwere des Schadens kann ein Gericht diesen ausgleichen, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.

Der Diebstahl personenbezogener Daten stellt für sich genommen keinen Identitätsdiebstahl oder -betrug dar. Der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens kann aber nicht auf Fälle beschränkt werden, in denen nachgewiesen wird, dass er anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat.

EuGH 20.06.2024, C-590/22, PS (Adresse erronée)

Zwei Mandanten einer deutschen Steuerberatungskanzlei teilten dieser ihre neue Postanschrift mit. Aufgrund eines Fehlers der Kanzlei wurde die Steuererklärung aber an die alte Adresse der Mandanten verschickt und von den neuen Bewohnern an dieser Adresse geöffnet. Die Mandanten erhoben daraufhin Klage gegen die Kanzlei und begehrten Schadenersatz zur Wiedergutmachung des immateriellen Schadens, der ihnen durch die Weitergabe ihrer personenbezogenen Daten an Dritte entstanden sein soll. Das vorlegende Gericht legte dem EuGH mehrere Fragen zu den Voraussetzungen und zur Bemessung des Schadenersatzanspruchs nach Art 82 DSGVO vor.

Der EuGH hat erwogen: Ein Verstoß gegen die DSGVO reicht für sich genommen nicht aus, um einen Anspruch auf Schadenersatz nach Art 82 Abs 1 DSGVO zu begründen. Die Betroffenen müssen auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen. Dieser Schaden muss jedoch keinen bestimmten Schweregrad erreichen. Bereits die Befürchtung, dass Daten an Dritte weitergegeben wurden, kann zur Begründung eines Schadenersatzanspruchs reichen, wenn die Befürchtung und ihre negativen Folgen ordnungsgemäß nachgewiesen wurden. Ein Nachweis der tatsächlichen Datenweitergabe ist nicht erforderlich.

Die Kriterien zur Festlegung von Geldbußen (Art 83 DSGVO) sind nicht zur Bemessung von Schadenersatz heranzuziehen. Ebenso wenig zu berücksichtigen sind nationale Vorschriften, die zwar ebenfalls personenbezogene Daten schützen sollen, aber die DSGVO nicht präzisieren.

Rechtsprechung der Zivilgerichte

OGH 15.05.2024, 6Ob70/24y

Der Mieter einer Wohnung versuchte im alkoholisierten Zustand sein Auto vor seiner Wohnung zu parken, wobei er über die Parkplatzbegrenzungen hinausfuhr und sein Auto dabei beschädigte. Da der Mieter in seiner Unfallmeldung an seinen Kaskoversicherer behauptete, der Unfall sei aufgrund einer plötzlich vor sein Auto laufenden Katze passiert, erhielt er zunächst eine Deckungszusage. Im Zuge einer Nachschau vor Ort fielen dem Mitarbeiter der Versicherung die vom Vermieter am Gebäude installierten Videoüberwachungskameras auf. Der Vermieter übermittelte dem Versicherer auf Anfrage die Videoaufnahmen des Unfalls, woraufhin die Versicherung die Deckung für die Reparaturkosten nun ablehnte. Der Mieter brachte daraufhin eine Klage gegen seinen Vermieter ein und begehrte die Zahlung der Reparaturkosten aus dem Titel des Schadenersatzes gemäß Art 82 DSGVO. Nach abweisenden Urteilen durch die Erst- und Berufungsgerichte brachte der Mieter eine Revision beim OGH ein.

Der OGH hat erwogen: Nach Art 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Nach § 29 DSG sind für Schadenersatzansprüche die allgemeinen Bestimmungen des bürgerlichen Rechts anwendbar. Der Mieter stützte seine Schadenersatzklage darauf, dass der Vermieter durch eine unzulässige Datenverarbeitung die Deckung der Reparaturkosten durch den Versicherer verhindert hätte.

Der Mieter versucht eine vom Versicherer zu Recht verweigerte Versicherungsleistung im Zuge einer Schadenersatzklage geltend zu machen. Dies liegt außerhalb des Schutzzweckes des Art 82 DSGVO. Auch im Lichte des Effektivitätsgebots ändert sich das Ergebnis nicht, weil eine versuchte Erschleichung einer Versicherungsleistung erfolgt ist. Die abweisenden Urteile der Vorinstanzen sind aufgrund des mangelnden Rechtswidrigkeitszusammenhangs zu bestätigen, weil der vom Mieter geltend gemachte Schadenersatzanspruch nicht vom Schutzzweck des Art 82 DSGVO umfasst ist.

Die Auskunftsverpflichtung besteht auch dann, wenn das Auskunftsersuchen aus einem datenschutzfremden Zweck gestellt wird. Dient das Auskunftsersuchen der Beschaffung von Beweismitteln für eine Rückforderungsklage, ist das weder rechtsmissbräuchlich noch schikanös. Die Auskunft ist zu erteilen (OLG Wien 10.06.2024, 14R48/24t).

Rechtsprechung des BVwG

BVwG 24.05.2024, W271 2269889-1

Ein Hauseigentümer erhielt von einer von ihm beauftragen Hausverwaltung eine Willkommensmail mit diversen Anhängen, darunter auch Angebote von Drittanbietern. Der Hauseigentümer wertete die E-Mail als unerlaubte Werbung und zeigte die Hausverwaltung beim Fernmeldebüro an. Die Hausverwaltung brachte vor, dass sie mit der E-Mail nicht werben wollte und dass der Hauseigentümer bei einem von ihm selbst organisierten Treffen der Zusendung einer solchen E-Mail nicht widersprochen hat. Das Fernmeldebüro verhängte aufgrund der Verletzung von § 174 Abs 3 TKG 2021 eine Strafe. Die Bescheidbeschwerde der Hausverwaltung an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Die Zusendung elektronischer Post zu Zwecken der Direktwerbung ist ohne vorherige Einwilligung des Empfängers gemäß § 174 Abs 3 TKG 2021 unzulässig.

Nicht nur die in der E-Mail selbst enthaltenen Informationen, sondern auch die in den Anhängen enthaltenen Informationen sind dabei erfasst. Für die Einordnung als Werbung ist es irrelevant, ob es sich um Informationen zu eigenen oder fremden Produkten handelt. Der Begriff der Werbung ist weit gefasst und umfasst auch Äußerungen, die für eine bestimmte Idee werben oder dafür Argumente liefern.

Das TKG enthält keine Erfordernisse, die eine Einwilligung erfüllen muss. Insofern ist auf die allgemeinen datenschutzrechtlichen Bestimmungen zurückzugreifen. Die Willensbekundung kann sowohl ausdrücklich als auch konkludent erfolgen. Entscheidend für die konkludente Willensbekundung ist, ob ein bestimmtes Verhalten unzweifelhaft als Einwilligung in den Erhalt von Werbung verstanden werden kann. Die bloße Eintragung von Kontaktinformationen in Listen oder Websites ist keine konkludente Einwilligung. Auch nicht die Nichtbeanstandung bereits erhaltener Werbesendungen. Die Anwesenheit bei einer Versammlung oder das Fehlen eines ausdrücklichen Widerspruchs zur Übermittlung von Werbung kann deshalb keine Einwilligung nach dem TKG sein, unabhängig davon, ob es sich um eine Privatperson oder einen Unternehmer handelt.

Ob es sich bei dem Adressaten und Empfänger der E-Mail um eine Firma oder Privatperson, einen Verbraucher oder Unternehmer handelt, ist für die gesetzliche Bestimmung des § 174 Abs 3 TKG 2021 unerheblich.

Bei der Zusammenstellung einer Zusendung ist die der Bedeutung der Sache gebührende Sorgfalt aufzubringen. Dabei muss ein gut funktionierendes Kontrollsystem eingerichtet sein, um die Zusendung von Werbeinhalten ohne Einwilligung zu verhindern. Durch das Nichtvorliegen eines solchen Systems handelte die Hausverwaltung zumindest fahrlässig.

BVwG 23.05.2024, W298 2284122-1

Die Unterstützerin eines Initiativantrags iSd § 6 NÖ STRÖG brachte eine Datenschutzbeschwerde bei der DSB ein, weil sie sich vom Bürgermeister in ihrem Recht auf Geheimhaltung für verletzt erachtete. Die Unterstützerin brachte vor, dass sie vom Bürgermeister zwei Schreiben erhalten hatte, eines mit Werbung der ÖVP NÖ und eines mit einer Verständigung über das Ergebnis der Behandlung des Initiativantrags. Der Bürgermeister hatte die Adressdaten der Unterstützerin aus dem Initiativantrag entnommen, den sie unterschrieben hatte. Hinsichtlich der Werbung erstattete der Datenschutzbeauftragte der ÖVP NÖ eine Stellungnahme und führte aus, dass das Schreiben von der ÖVP NÖ stammte und diese daher Verantwortliche sei. Die Daten seien rechtmäßig aus dem Wählerregister entnommen worden.

Hinsichtlich des Ergebnisses des Initiativantrags nahm der Magistratsdirektor Stellung und führte aus, dass der Bürgermeister dazu verpflichtet sei, den Zustellungsbevollmächtigten über das Ergebnis zu unterrichten, und dieser in Folge die Unterstützer zu benachrichtigen hat. Da sich dies in der Praxis jedoch als schwierig bzw unmöglich erwiesen hat, wäre § 8 Abs 4 NÖ STRÖG so auszulegen, dass die Unterstützer konkludent mit der Unterzeichnung des Initiativantrags auch in die Verständigung vom Ergebnis einwilligen würden. Die DSB gab der Datenschutzbeschwerde statt und stellte eine Verletzung des Rechts auf Geheimhaltung der Unterstützerin durch den Bürgermeister fest, welcher in Folge eine (erfolglose) Bescheidbeschwerde erhob.

Das BVwG hat erwogen: Der Bürgermeister hat als staatliche Behörde iSd § 1 Abs 2 DSG gehandelt und personenbezogene Daten der Unterstützerin verarbeitet. Für einen behördlichen Eingriff in das Grundrecht auf Datenschutz ist eine gesetzliche Grundlage erforderlich, die hinreichend determiniert ist und der Eingriff muss verhältnismäßig sein. Der Bürgermeister berief sich auf § 8 Abs 4 NÖ STRÖG, wonach er den Zustellungsbevollmächtigten des Initiativantrags vom Ergebnis der Behandlung zu verständigen hat. Diese Bestimmung erlaubt jedoch nicht die Verständigung aller Unterstützer durch den Bürgermeister, sondern verpflichtet den Zustellungsbevollmächtigten dazu. Die Verarbeitung kann daher nicht auf § 8 Abs 4 NÖ STÖG gestützt werden. Auch eine konkludente Einwilligung der Unterstützerin in die Verarbeitung ihrer personenbezogenen Daten konnte nicht angenommen werden, weil sie diese nicht in informierter Weise und unmissverständlich abgegeben hatte. Hierfür hätte sie mit einer eindeutig bestätigenden Handlung einwilligen müssen, was gerade nicht geschehen ist.

Der sachliche Anwendungsbereich der DSGVO ist gemäß Art 2 Abs 1 DSGVO auch für die nichtautomatisierte Verarbeitung personenbezogener Daten eröffnet, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Werden physische Kopien von Beilagen, die personenbezogene Daten enthalten, manuell an Teilnehmer einer Sitzung übergeben, ist der sachliche Anwendungsbereich der DSGVO eröffnet, wenn die Beilagen in einem Dateisystem abgespeichert werden (BVwG 13.05.2024, W101 2216385-1).

Anbieter von Kommunikationsdiensten sind, sofern eine befugte Behörde (Gericht, Staatsanwaltschaft, Kriminalpolizei) ein Auskunftsbegehren betreffend die Übermittlung von Kundendaten stellt, unter anderem gemäß § 181 Abs 9 TKG 2021 verpflichtet, die entsprechenden Auskünfte zu erteilen (BVwG 17.04.2024, W108 2271999-2).

Das Beschwerdeverfahren wird bis zur Entscheidung des EuGH, ob Betroffene ein subjektives Recht auf das Ergreifen bestimmter Maßnahmen durch die Aufsichtsbehörde haben, ausgesetzt (BVwG 12.04.2024, W108 2274731-1).

Das Beschwerdeverfahren wird bis zur Klärung der Frage durch den EuGH, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung dem Betroffenen gemäß Art 15 Abs 1 lit h DSGVO zur Verfügung zu stellen sind, ausgesetzt (BVwG 26.04.2024, W256 2253364-1).

Wird eine Datenverarbeitung nicht nachgewiesen, ist weder der Verantwortliche passiv- noch der Betroffene aktivlegitimiert (BVwG 22.05.2024, W298 2263508-1).

Zum Klären der Fragen, ob (i) eine Beschwerdeerhebung verfristet (präkludiert) ist und (ii) ein Auskunftsersuchen ordnungsgemäß beantwortet worden ist, ist das Bereitstellen eines Rechtsanwalts als Verfahrenshelfer mangels besondere rechtliche und technische Schwierigkeiten nicht erforderlich (BVwG 23.04.2024, W605 2289290-1).

Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren als gegenstandslos einzustellen (BVwG 29.05.2024, W101 2246818-1).

EU-Rechtsakte

Am 06.2024 wurde die "VO (EU) 2024/1620 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Errichtung der Behörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung … " im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "VO (EU) 2024/1624 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche oder der Terrorismusfinanzierung" im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "RL (EU) 2024/1640 des Europäischen Parlaments und des Rates vom 31. Mai 2024 über die von den Mitgliedstaaten einzurichtenden Mechanismen zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche oder der Terrorismusfinanzierung, zur Änderung der Richtlinie (EU) 2019/1937 und zur Änderung und Aufhebung der Richtlinie (EU) 2015/849" im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "Richtlinie (EU) 2024/1654 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Änderung der Richtlinie (EU) 2019/1153 in Bezug auf den Zugang zuständiger Behörden zu zentralen Bankkontenregistern über das Vernetzungssystem und auf technische Maßnahmen zur Erleichterung der Verwendung von Transaktionsaufzeichnungen" im Amtsblatt der EU veröffentlicht.

Vorschau EuGH-Rechtsprechung

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Datenschutzmonitor 19.06.2024

Rechtsprechung des EuGH

EuGH 13.06.2024, C-229/23, HYA ua II

Die bulgarische Staatsanwaltschaft (StA) stellte mehrere Anträge auf Telefonüberwachung betreffend vier Personen, die schwerer Straftaten verdächtigt wurden. Die Anträge der StA enthielten detaillierte individualisierte Begründungen. Genehmigt wurden die Anträge am Einreichungstag vom zuständigen Gericht mittels Textvorlage ohne individualisierte Begründung. Die Zulässigkeit dieser Vorgehensweise nach dem Unionsrecht wurde im Verfahren HYA ua I (EuGH 16.02.2023, C-349/21) bejaht. Das nun mit der Sache befasste Gericht stieß bei der Anwendung der vom EuGH festgehaltenen Grundsätze auf Schwierigkeiten. Gerichtliche Genehmigungen haben nach dem bulgarischen Recht ausdrücklich eine schriftliche Begründung zu enthalten, während nach dem Unionsrecht eine standardisierte gerichtliche Genehmigung in bestimmten Fällen ausreicht.

Vor diesem Hintergrund fragte das vorlegende Gericht den EuGH, ob nationale Rechtsvorschriften, die die ausdrückliche Angabe von schriftlichen Gründen in der gerichtlichen Genehmigung verlangen, unangewendet zu lassen sind.

Der EuGH hat erwogen: Das Urteil HYA ua I kann nicht dahin ausgelegt werden, dass damit ein Begründungsmodell entwickelt worden ist, welches die bulgarischen Behörden verpflichten würde, Bestimmungen des nationalen Rechts zur Genehmigung von Überwachungsmaßnahmen unangewendet zu lassen, weil sie mit dem Unionsrecht unvereinbar sind. Eine nationale Regelung, nach der gerichtliche Entscheidungen zur Genehmigung von Überwachungsmaßnahmen selbst eine ausdrückliche schriftliche Begründung enthalten müssen, entspricht den Anforderungen des Unionsrechts. Nationale Gerichte sind nicht verpflichtet, eine solche Regelung unangewendet zu lassen.

Die Anforderungen an eine ausreichende Begründung dürfen vom nationalen Recht nicht untergraben werden. Die Mitgliedstaaten sollen aber nicht von höheren nationalen Anforderungen abweichen, auch wenn dies das Unionsrecht zulassen würde.

EuGH Schlussanträge 13.06.2024, C-80/23, Ministerstvo na vatreshnite raboti

Über die Beschuldigte eines vorsätzlichen Verbrechens sollte eine Polizeiakte angelegt werden, die auch biometrische und genetische Daten erfassen sollte. Die Beschuldigte verweigerte die Zustimmung dazu, woraufhin die Polizei die zwangsweise Erstellung der Akte bei einem bulgarischen Gericht beantragte. Das Gericht hatte Zweifel an der Zulässigkeit und der Vereinbarkeit der entsprechenden bulgarischen Regelung mit den Anforderungen der Richtlinie 2016/680, insbesondere hinsichtlich der Verarbeitung sensibler Daten, und legte dem EuGH zwei Fragen zur Vorabentscheidung vor.

Der Generalanwalt hat erwogen: Die Richtlinie 2016/680 verlangt, dass die Verarbeitung besonderer Kategorien personenbezogener Daten nur in einer stark begrenzten Anzahl von Fällen als "unbedingt erforderlich", und damit zulässig, angesehen werden darf. Die Erforderlichkeit ist für den jeweils eindeutig festgelegten Zweck zu bestimmen. Die Prinzipien der Richtlinie (insb Datenminimierung) sind besonders streng zu prüfen.

Die bulgarische Regelung lässt keinen Raum für eine wirksame Beurteilung der "Erforderlichkeit" durch die zuständigen Behörden, sondern erst durch das überprüfende Gericht. Das führt zu einer diskriminierenden und generalisierten Erhebung der biometrischen und genetischen Daten der meisten beschuldigten Personen, unabhängig von der Art und Schwere der Straftat, der sie beschuldigt werden, und von den besonderen Umständen des Falles. Deshalb ist die bulgarische Regelung mit Art 10 der Richtlinie 2016/680 nicht vereinbar.

Rechtsprechung des OGH

OGH 26.04.2024, 6Ob210/23k

Ein Polizist wurde bei einer Demonstration fotografiert und gefilmt. Das Video wurde auf Facebook veröffentlicht. Der Polizist wurde nicht nur des Amtsmissbrauchs bezichtigt, sondern es wurde auch zur Weiterverbreitung aufgerufen, woraufhin ein Shitstorm losbrach. Tatsächlich war der Polizist nur Glied einer polizeilichen Absperrkette und an der behaupteten Amtshandlung überhaupt nicht beteiligt. Der Beklagte teilte das Bild des Polizisten samt herabsetzendem Text auf seinem Facebook-Profil ohne Prüfung auf den Wahrheitsgehalt. Der Polizist begehrte Ersatz für den immateriellen Schaden, den er aufgrund des Shitstorms erlitten hat. Der OGH sprach ihm EUR 3.000 zu.

Der OGH hat erwogen: Schadenersatz nach der DSGVO verlangt nicht nur einen schuldhaften Verstoß gegen die jeweiligen Rechtsvorschriften und den Eintritt eines Schadens, sondern auch einen Kausalzusammenhang zwischen Verstoß und eingetretenem Schaden.

Ein Shitstorm ist ein "Sturm der Entrüstung im virtuellen Raum" mit zum Teil beleidigenden Äußerungen gegen eine Person, der durch das Zusammenwirken vieler Menschen entsteht. Ein Einzelner kann einen Shitstorm nur lostreten oder daran teilnehmen, ihn aber nicht allein bewirken. Die Schlagkraft eines Shitstorms liegt in der öffentlichen Schmähung durch viele Personen, die vom Opfer als ungerechte Verurteilung durch die Allgemeinheit erlebt wird.

Jeder Teilnehmer an einem Shitstorm begeht durch das Teilen des Postings allein eine Datenschutz- und Bildnisschutzverletzung, die einen ideellen Schaden des Polizisten verursacht. Allerdings verursacht ein Shitstorm einen anderen Schaden, der zusätzliche Ängste auslöst, insbesondere über die Verbreitung und über zukünftige Anwürfe. Die Entwicklung des Schadens ist nicht linear, weil jede schädigende Handlung in Kombination mit dem Aufruf zur Weiterverbreitung ein weiteres Verbreiterungs- und damit Schadenspotenzial eröffnet. Die Schadensentwicklung ist damit potenziell exponentiell, sodass sich der Gesamtschaden nicht in begrenzt bewertbare Einzelschäden zerteilen lässt.

Die Unaufklärbarkeit der Verursachung eines bestimmten Schadens durch einen einzelnen Beitrag führt nicht zur Entlastung des einzelnen Täters. Der Geschädigte kann den Ersatz für den gesamten Schaden im Wege der Solidarhaftung auch nur von einem Schädiger verlangen, wenn er behauptet und belegt, Opfer eines Shitstorms (gewesen) zu sein. Die Schwierigkeit, andere Schädiger ausfindig zu machen und das Risiko der Uneinbringlichkeit ist von den Schädigern zu tragen. Die einzelnen Teilnehmer am Shitstorm haben die Schadensaufteilung im Regressweg untereinander vorzunehmen.

Der Schaden des Polizisten besteht in der (i) Schädigung des Rufs sowie (ii) empfindlichen Kränkung und der dadurch bewirkten Ängste und Sorgen. Die Bemessung des Schadens ist gemäß § 273 ZPO vorzunehmen. Der Polizist hat zwar bereits Zahlungen erhalten, dennoch erhält der Polizist beim Zuspruch von (weiteren) EUR 3.000 nicht mehr als EUR 5.000. Der gesamte Zahlungsanspruch ist unzweifelhaft berechtigt.

OGH 15.05.2024, 6Ob20/24w

Im Rahmen eines Pflegschaftsverfahrens erachtete sich eine Mutter in ihrem Recht auf Geheimhaltung verletzt und begehrte ggü dem Bund die Feststellung einer Datenschutzverletzung nach § 85 Gerichtsorganisationsgesetz (GOG). Das Erstgericht wies den Antrag teilweise zurück und teilweise ab. Hiergegen wandte sich die Mutter mittels Rekurs an den OGH. Mangels Vorliegens einer erheblichen Rechtsfrage wies der OGH den Antrag der Mutter zurück.

Der OGH hat erwogen: Die Zulässigkeit des Zugangs zum OGH setzt das Vorliegen einer erheblichen Rechtsfrage nach § 85 Abs 5 GOG voraus. Über eine Beschwerde wegen einer Verletzung im Grundrecht auf Datenschutz im Rahmen der justiziellen Tätigkeit ist grundsätzlich im Verfahren außer Streitsachen zu entscheiden. Während ein Antrag im Verfahren außer Streitsachen kein bestimmtes Begehren enthalten muss, stellt § 85 Abs 3 GOG höhere Anforderung an die Präzisierungspflicht eines Beschwerdeführers. Diesen Mindestinhalt in Form einer Angabe, worin die Mutter konkret eine Verletzung in ihrem Recht auf Geheimhaltung sieht, lässt ihr Antrag vermissen. Vielmehr erschöpfte sich das Vorbringen der Mutter in der Pauschalbehauptung, vertrauliche Unterlagen aus Gerichtsakten, die ihre Person betreffen, seien an verfahrensunbeteiligte Dritte weitergegeben worden.

Bereits das Erstgericht hielt fest, dass das Vorbringen der Mutter mangels Konkretisierung nicht überprüfbar sei. Nachdem die Mutter im Rahmen des Rekurses nicht dargelegt hat, warum diese Beurteilung unrichtig sein sollte – und lediglich auf "inkriminierte Handlungen/Vorgänge" verwiesen hat –, vermag das Rechtsmittel der Mutter keine erhebliche Rechtsfrage anzusprechen.

Die Bemessung des immateriellen Schadenersatzes erfolgt nicht im Wege der Rechnungslegung, sondern im Wege des § 273 ZPO (OGH 15.05.2024, 6Ob43/24b).

Rechtsprechung des BVwG

BVwG 23.05.2024, W298 2255416-1

Ein Berufsdetektiv hat im Zuge einer Observierung auch Bilder von der Lebensgefährtin der auftragsgemäß zu überwachenden Person (Zielperson) angefertigt, die Beschwerde bei der DSB erhob. Die DSB stellte einen Verstoß gegen das Recht auf Geheimhaltung fest. Der Detektiv erhob Bescheidbeschwerde an das BVwG, das diese abwies.

Das BVwG hat erwogen: Der Detektiv hat die personenbezogenen Bilddaten der Lebensgefährtin ohne Rechtfertigungsgrund verarbeitet. Die Lebensgefährtin war auf den Fotos zu erkennen und wurde auch bezeichnet (Zielperson 2). Die Lebensgefährtin war sohin zumindest identifizierbar, weshalb der Detektiv ihre personenbezogenen Daten verarbeitet hat. Der Detektiv hatte kein berechtigtes Interesse an der Verarbeitung dieser Daten, weil er damit seinen Auftrag, die eigentliche Zielperson zu observieren, überschritten hat. Die Beobachtung und das Fotografieren der Lebensgefährtin waren weder für die Ausübung seines Gewerbes als Berufsdetektiv noch für die Wahrung der Interessen seines Auftraggebers erforderlich. Zudem überwog das Geheimhaltungsinteresse der Lebensgefährtin.

BVwG 28.08.2023, W214 2226813-1

Ein Fluggast brachte eine Datenschutzbeschwerde bei der DSB ein, weil er sich durch den Bundesminister für Inneres (BMI) in seinem Recht auf Geheimhaltung verletzt sah. Der BMI soll seine personenbezogenen Daten auf Grundlage des PNR-Gesetzes für die Flüge zwischen Wien und Brüssel verarbeitet haben, ohne dass ein begründeter Verdacht vorlag. Da die Verarbeitung verdachtsunabhängig erfolgt sei, war nach Ansicht des Fluggastes keine taugliche Rechtsgrundlage gegeben. Die DSB hielt fest, dass die Verarbeitung ausdrücklich gesetzlich vorgesehen ist und bloß die im PNR-G vorgesehen Daten verarbeitet wurden. Zu prüfen, ob das PNR-G grundrechtskonform ist, obliege nicht der DSB. Die DSB wies die Datenschutzbeschwerde daher ab. Daraufhin erhob der Fluggast Bescheidbeschwerde an das BVwG. Das BVwG setzte das Verfahren bis zur Vorabentscheidung des EuGH vom 21.06.2022, C-817/19, Ligue des droits humains, aus und wies die Bescheidbeschwerde in weiterer Folge ab.

Das BVwG hat erwogen: Eine Verarbeitung personenbezogener Daten iSd 3. Hauptstücks des DSG ist erfolgt. Die verarbeitende Behörde ist eine zuständige Behörde iSd § 36 Abs 2 Z 7 DSG. Bei den verarbeitenden Fluggastdaten handelt es sich um personenbezogene Daten iSd § 36 Abs 2 Z 1 DSG. Nach dem 3. Hauptstück des DSG ist eine Verarbeitung rechtmäßig, soweit sie gesetzlich vorgesehen ist und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist. § 4 Abs 1 PNR-G enthält eine Ermächtigung für die beim BMI eingerichteten Fluggastdatenzentralstelle, die bei ihr eingelangten Fluggastdaten mit Daten aus Fahndungsevidenzen und sonstigen sicherheitspolizeilichen Datenverarbeitungen abzugleichen und das Ergebnis gemeinsam mit den Fluggastdaten zu verarbeiten, wenn dies der Vorbeugung oder Verfolgung von gerichtlich strafbaren Handlungen dient.

Bei Situationen und Ergebnissen, die zu einer erhöhten Gefährdungslage führen können, darf der BMI auf der Grundlage von § 2 Abs 5 PNR-G Verordnungen erlassen. Die auf dieser Grundlage erlassene Verordnung (die PNR-V) sah eine Erstreckung des PNR-G auf EU-Flüge für einen Zeitraum von sechs Monaten vor und wurde dreimal jeweils um sechs Monate verlängert.

Laut dem EuGH darf die Verarbeitung der Fluggastdaten nur dann auf die PNR-RL und somit auf die PNR-V gestützt werden, wenn der Mitgliedstaat zum Zeitpunkt der Verarbeitung mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert war. Da der BMI glaubhaft ausführte, dass zu dem Zeitpunkt aufgrund islamistisch motivierter Terroranschläge und des Anstiegs in der Jihadisten-Szene eine solche Bedrohung vorlag, war die Verarbeitung erforderlich und verhältnismäßig. Zudem war die PNR-V zeitlich befristet und somit ein auf das absolut Notwendige beschränkte Mittel zur Terrorismusbekämpfung.

Die Zurückweisung einer Datenschutzbeschwerde ist rechtmäßig, wenn (i) die Datenschutzbeschwerde mangelhaft und der Verbesserungsauftrag daher erforderlich war, (ii) der Verbesserungsauftrag den gesetzlichen Anforderungen entsprach und (iii) der Mangelbehebungsauftrag nicht befolgt wurde. Der Betroffene machte Verletzungen in den Rechten auf Berichtigung und Geheimhaltung geltend. Zur Geltendmachung der Verletzung im Recht auf Berichtigung hätte der Betroffene die Vorkorrespondenz mit dem Verantwortlichen, in der dieses Recht ausgeübt wurde, vorzulegen gehabt. Da der Betroffene auch nach erfolgtem Verbesserungsauftrag keine Vorkorrespondenz vorlegte, war die Zurückweisung der Datenschutzbeschwerde in diesem Punkt rechtmäßig. Hinsichtlich des Geheimhaltungsrechts war die Datenschutzbeschwerde jedoch nicht mangelhaft, weshalb der Zurückweisungsbescheid der DSB zu beheben war (BVwG 16.04.2024, W605 2285496-1).

Eine Datenschutzbeschwerde ist zurückzuweisen, wenn ihr Angaben (i) zum für verletzt erachteten Recht, (ii) zum Rechtsträger, dem die Rechtsverletzung zugerechnet wird, (iii) zur Rechtzeitigkeit sowie (iv) das Begehren, die Rechtsverletzung festzustellen, fehlen. Die DSB hat im Rahmen ihrer gesetzlichen Pflicht gehandelt, indem sie einen Verbesserungsauftrag erteilt hat (BVwG 10.04.2024, W605 2275708-1).

Das Informationsschreiben zur dritten Corona-Schutzimpfung war keine Maßnahme des Krisenmanagements gemäß § 24d Abs 2 Z 5 GTelG 2012, weshalb die Abfrage der Daten aus dem Impfregister nicht darauf gestützt werden konnte (BVwG 23.05.2024, W298 2261884-1).

Die Trägerin einer Pensionsversicherung darf Gutachten, die für die Gewährung einer Berufsunfähigkeitspension erstellt wurden, einschließlich der darin befindlichen Gesundheitsdaten, an das AMS übermitteln (BVwG 16.05.2024, W252 2276589-1).

Die DSB lehnte die Behandlung der Datenschutzbeschwerde als "exzessiv" iSd Art 57 Abs 4 DSGVO ab, weil der Betroffene innerhalb von zwei Jahren 42 Beschwerdeverfahren vor der DSB anstrengte. Der VwGH legte dem EuGH die Frage vor, wie der Begriff "exzessiv" iSd Art 57 Abs 4 DSGVO auszulegen ist. Bis zur Entscheidung des EuGH war das Verfahren daher auszusetzen (BVwG 15.05.2024, W108 2284624-2).

Die DSB lehnte die Behandlung der Datenschutzbeschwerde als "exzessiv" iSd Art 57 Abs 4 DSGVO ab, weil der Betroffene innerhalb von 50 Monaten 19 Datenschutzbeschwerden gegen die Einzelabrechnungen einer Immobilienkanzlei einbrachte. Der VwGH legte dem EuGH die Frage vor, wie der Begriff "exzessiv" iSd Art 57 Abs 4 DSGVO auszulegen ist. Bis zur Entscheidung des EuGH war das Verfahren daher auszusetzen (BVwG 10.04.2024, W605 2284124-1).

Rechtsprechung der DSB

DSB 06.10.2023, 2023-0.273.912

Nachdem das E-Mail-Postfach eines Arztes und des von ihm geführten Labors kompromittiert wurde, gelangte eine Excel-Liste mit tausenden COVID19-PCR-Test-Ergebnissen und personenbezogenen Daten an zwei Medienunternehmen. Nachdem die Medienunternehmen über die geleakten Ergebnisse berichteten, beantragte das Labor die Löschung der E-Mail und nach Ablehnung durch die Medienunternehmen stellten der Arzt und das Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht vollständig nachkamen. Vor diesem Hintergrund brachten der Arzt und das Labor Datenschutzbeschwerde bei der DSB ein. Der Arzt behauptete eine Verletzung in seinem Recht auf Auskunft und das Labor in seinem Recht auf Löschung, Geheimhaltung und Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie gemäß § 9 DSG dem Medienprivileg unterliegen würden und den Arzt und das Labor nicht in ihren Rechten verletzt hätten. Die DSB wies die Datenschutzbeschwerde mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin der Arzt und das Labor eine Bescheidbeschwerde beim BVwG einbrachten. Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein, welches zur Aufhebung des § 9 Abs 1 DSG wegen Verfassungswidrigkeit führte. Aufgrund der Anlassfallwirkung war § 9 Abs 1 DSG bereits vor dessen Außerkrafttreten am 01.07.2024 auf den vorliegenden Fall nicht anzuwenden.

Die DSB hat erwogen: Das Labor ist als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre. Nachdem das Medienunternehmen dem Löschersuchen nicht nachgekommen ist, hat das Labor seinen Antrag gewechselt und Auskunft darüber verlangt, welche Daten zu welchem Zweck verarbeitet werden und an wen diese übermittelt wurden. Damit bestand zum Zeitpunkt der Beschwerdeerhebung kein aufrechtes Löschungsersuchen, weshalb das Recht auf Löschung nicht verletzt wurde. Selbst bei einem aufrechten Löschungsersuchen würde gemäß Art 17 Abs 3 lit a DSGVO kein Löschungsrecht bestehen, soweit die Datenverarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Da die E-Mail das Kernelement der Medienberichterstattung war, würde dessen Löschung den Kerninhalt der Berichterstattung vernichten.

Im Hinblick auf die Auskunftsersuchen ist die Verweigerung dann gerechtfertigt, wenn die Geheimhaltungsinteressen der Medienunternehmen gegenüber dem Auskunftsinteresse des Arztes und des Labors überwiegen, wobei die Interessenabwägung für jede Datenart gesondert erfolgen muss. Eines der Medienunternehmen erteilte dem Arzt zwar eine Auskunft über seine Stammdaten. Über die im Zusammenhang mit der Medienberichterstattung verarbeiteten Daten erteilte das Medienunternehmen jedoch keine Auskunft, wodurch es den Arzt in seinem Recht auf Auskunft verletzt hat.

Die Herkunft personenbezogener Daten ist gemäß § 31 Abs 1 MedienG von Medienunternehmen nicht zu beauskunften, wenn die Daten die Person des Verfassers, Einsenders oder Gewährsmannes betreffen. Das Medienunternehmen hat die Auskunft darüber also zu Recht verweigert. Das zweite Medienunternehmen erteilte dem Arzt bloß Auskunft im Zusammenhang mit seiner Digital-Sat-Karte, nicht jedoch hinsichtlich der Medienberichterstattung und verletzte ihn somit ebenfalls in seinem Recht auf Auskunft.

Da das Labor an beide Medienunternehmen das gleiche Auskunftsersuchen gestellt hat, war eine einheitliche Vorgehensweise der Medienunternehmen hinsichtlich der Löschung der der Berichterstattung zugrundeliegenden Nachricht geboten. Der Austausch zwischen den Medienunternehmen über die an sie gerichteten Auskunftsersuchen lag im Schutzbereich der Meinungsäußerungs-/Informationsfreiheit. Das Recht der Medienunternehmen überwiegt dem Interesse des Labors auf Schutz seiner personenbezogenen Daten. Daher wurde das Labor durch den Informationsaustausch zwischen den Medienunternehmen in seinem Recht auf Geheimhaltung nicht verletzt.

Vorschau EuGH-Rechtsprechung

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Datenschutzmonitor 12.06.2024

Rechtsprechung des EGMR

Der EGMR hatte sich mit Inhaltsdaten, die aus einem Mobiltelefon stammten, auseinanderzusetzen. Eine Anwältin händigte ihr Mobiltelefon "freiwillig" einem Untersuchungsrichter aus. Da das Mobiltelefon extensiv durchsucht wurde, stellte der EGMR neben einer Verletzung des Rechts auf Geheimhaltung der Korrespondenz und des Privatlebens auch eine Verletzung des Anwaltsgeheimnisses fest (EGMR 06.06.2024, 36559/19, Bersheda/Monaco).

Rechtsprechung des EuGH

EuGH Schlussanträge 06.06.2024, C-169/23, Masdi

Eine Betroffene erhielt von einer Regierungsbehörde ein Immunitätszertifikat für ihre Covid-19-Impfung. Einige darin enthaltene Daten (zB Seriennummer, Gültigkeitsdauer, QR-Code) wurden nicht bei der Person selbst erhoben oder von einer anderen Organisation erlangt, sondern von der Regierungsbehörde selbst erzeugt. Die Betroffene monierte, dass ihr kein Datenschutzhinweis bereitgestellt wurde. Die zuständige Aufsichtsbehörde wies ihre Beschwerde zurück, weil die Ausnahme nach Art 14 Abs 5 lit c DSGVO gelte, sodass die Verantwortliche nicht zur Informationserteilung verpflichtet gewesen sei. Das Rechtsmittelgericht gab der Klage der Betroffenen statt, weil die Daten von der Behörde selbst erzeugt wurden und die Ausnahme daher nicht greife. Das vorlegende Gericht befragte den EuGH zur Auslegung des Art 14 Abs 5 lit c DSGVO.

Der Generalanwalt hat erwogen: Art 14 Abs 5 lit c DSGVO enthält keine Einschränkung hinsichtlich einer bestimmten Art der Verarbeitung oder der Methode, mit der Verantwortliche die Daten erlangen. Diese Ausnahmeregelung gilt daher sowohl für Daten, die von anderen Einrichtungen stammen als auch für solche, die von Verantwortlichen selbst erzeugt wurden. Die durch die Mitgliedstaaten gewählten alternativen Unterrichtungswege für Betroffene müssen aber ebenso sicherstellen, dass diese Kontrolle über ihre Daten ausüben und ihre Rechte nach der DSGVO wahrnehmen können. Betroffene müssen daher wissen, von wem sie Informationen über die Verarbeitung ihrer Daten erhalten.

Aufsichtsbehörden sind zur Prüfung befugt, ob alle Voraussetzungen des Art 14 Abs 5 lit c DSGVO erfüllt sind. Insbesondere sind sie zur Prüfung der Frage berechtigt, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Sind die Voraussetzungen nicht erfüllt, darf die Aufsichtsbehörde Verantwortliche anweisen, der Betroffenen die in Art 14 Abs 1 bis 4 DSGVO genannten Informationen bereitzustellen. Eine solche Anweisung berührt nicht die Gültigkeit der Rechtsvorschrift, an die Verantwortliche gebunden sind.

Ist die Aufsichtsbehörde der Ansicht, dass die fragliche Rechtsvorschrift ungültig ist, kann sie ein nach nationalem Recht vorgesehenes Gerichtsverfahren anstrengen. Sieht die einschlägige Rechtsvorschrift keine geeigneten Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vor, ist die Aufsichtsbehörde befugt, der Legislative oder der Exekutive zu raten, die einschlägige Rechtsvorschrift zu ändern.

Der Begriff der "geeigneten Maßnahmen" ist im Licht des Transparenzgrundsatzes auszulegen. Unter der Ausnahmeregelung des Art 14 Abs 5 lit c DSGVO übernimmt das nationale Recht die Informationspflicht des Verantwortlichen. Es obliegt daher dem Gesetzgeber, je nach Kategorie der erlangten Daten und dem Kontext, in dem die Verarbeitung stattfindet, geeignete Maßnahmen zu bestimmen und dadurch für eine faire und transparente Verarbeitung zu sorgen.

Damit die Betroffene eine Risikoeinschätzung der Datenverarbeitung vornehmen kann, muss sie in der Lage sein, einfach nachlesen zu können, wer die Daten aus welchem Grund und auf welche Weise verarbeitet. Die Mitgliedstaaten können dabei spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen. Der nationale Gesetzgeber hat aber nicht die in Art 32 DSGVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit umzusetzen.

Rechtsprechung des BVwG

BVwG 02.09.2022, W292 2255476-1

Eine politisch aktive Bürgerin reichte im Rahmen der öffentlichen Auflage eines Stadtentwicklungsplans per E-Mail eine Stellungnahme ein. Diese Stellungnahme veröffentlichte sie auch selbst auf einer eigenen Homepage. Darin enthalten war ihr Name und ihre Privatadresse. Der Magistrat der Stadt veröffentlichte in Vorbereitung auf eine Gemeinderatsitzung auf der städtischen Internetseite einen Bericht, der die Stellungnahme der Bürgerin inklusive Name und Privatadresse enthielt. Durch die Veröffentlichung erachtete die sich Bürgerin in ihrem Recht auf Geheimhaltung verletzt und brachte Datenschutzbeschwerde bei der DSB ein. Die Stadt sah die Veröffentlichung als rechtmäßig an, weil es eine ausreichende Rechtsgrundlage für die Veröffentlichung gab. Zudem seien die Daten aufgrund der Veröffentlichung allgemein zugänglich, weswegen kein Geheimhaltungsinteresse der Bürgerin bestehe. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob der Magistrat der Stadt (erfolglose) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Das Grundrecht zum Schutz personenbezogener Daten ist in Art 8 der Europäischen Grundrechtecharta (GRC) geregelt. Der Anwendungsbereich knüpft an die Verarbeitung personenbezogener Daten an. Eine Ausnahme des Anwendungsbereichs betreffend "allgemein verfügbare Daten" kennt die GRC nicht. Das DSG sieht in § 1 DSG als zusätzliches Anwendungskriterium die Schutzwürdigkeit des Geheimhaltungsinteresses vor. Die DSGVO enthält dieses Kriterium jedoch nicht und es besteht auch keine Öffnungsklausel für eine solche Regelung. Die Ausnahmeregelung des § 1 DSG wird sohin aufgrund des Anwendungsvorrangs vom Unionsrecht verdrängt. Eine Veröffentlichung von Daten an einer anderen Stelle im Internet steht einem berechtigten Geheimhaltungsinteresse nicht entgegen.

Art 6 Abs 1 lit e DSGVO unterscheidet zwei Rechtfertigungstatbestände, zum einen eine Aufgabe im öffentlichen Interesse und zum anderen eine Aufgabe in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde. Die Verarbeitung muss in beiden Fällen zur Wahrnehmung der Aufgabe erforderlich sein. Die Erforderlichkeit ist dabei eng mit dem Grundsatz der Datenminimierung in Art 5 Abs 1 lit c DSGVO verbunden.

Die landesgesetzlichen Bestimmungen der §§ 24 Abs 4, Abs 6, Abs 26 NÖ STROG 2014 und § 24 Abs 9 NÖ ROG 2014 enthalten keinen gesetzlichen Auftrag oder eine Ermächtigung, anlässlich des Begutachtungsprozesses oder im Zuge der Vorbereitung von Gemeinderatssitzungen sowie der Durchführung von Gemeinderatssitzungen in Stellungnahmen enthaltene personenbezogene Daten zu veröffentlichen.

BVwG 19.04.2024, W287 2251990-1

Eine Wohnungseigentümerin richtete eine E-Mail an ihre Hausverwaltung, um Aufklärung über Ungereimtheiten bei Betriebskostenabrechnungen zu fordern. Die Hausverwaltung leitete diese E-Mail an das von ihr beauftragte Hausbetreuerunternehmen weiter, um eine Stellungnahme zu den bemängelten Rechnungen zu erhalten. Dadurch wurden dem Hausbetreuerunternehmen Name, E-Mail-Adresse und Inhalt der E-Mail der Wohnungseigentümerin offengelegt. Als die Wohnungseigentümerin von der Weiterleitung erfuhr, erhob sie Datenschutzbeschwerde bei der DSB, der die DSB stattgab. Die Bescheidbeschwerde der Hausverwaltung blieb erfolglos.

Das BVwG hat erwogen: Die Hausverwaltung übermittelte personenbezogene Daten der Wohnungseigentümerin (Name, E-Mail-Adresse und Inhalt der E-Mail) an das Hausbetreuungsunternehmen. Diese Daten sind eindeutig der Wohnungseigentümerin zuzuordnen und nicht allgemein verfügbar, weshalb sie ein schutzwürdiges Interesse an diesen Daten hat. Daran ändert auch die Tatsache nichts, dass dem Hausbetreuungsunternehmen Name und E-Mail-Adresse der Wohnungseigentümerin bereits vorher bekannt waren, zumal auch die spezifische Information über die Beanstandung der Abrechnung des Hausbetreuungsunternehmens offengelegt wurde.

Die Wohnungseigentümerin willigte in die Datenverarbeitung nicht ein. Die bloße Bitte, die Themen mit dem Hausbetreuungsunternehmen zu klären, ist keine Einwilligung. Auch eine allgemeine Datenschutzklausel im Wohnungseigentumsvertrag erfüllt nicht die spezifischen Anforderungen an eine Einwilligung. Zur Erfüllung vertraglicher Verpflichtungen war die Datenverarbeitung nicht notwendig, weil eine Klärung der Anliegen auch ohne Offenlegung der Identität erfolgen kann.

Die Hausverwaltung kann sich auch nicht auf ein allfälliges berechtigtes Interesse berufen, weil eine anonymisierte Klärung der Fragen möglich gewesen wäre. Zudem verfügte die Wohnungseigentümerin über die Kontaktdaten des Hausbetreuerunternehmens selbst. Sie hätte daher die Themen auf direktem (nicht anonymen) Weg mit dem Hausbetreuerunternehmen klären können, wenn sie das gewollt hätte.

BVwG 19.04.2024, W287 2276988-1

Ein Betroffener ersuchte um die Löschung seiner bonitätsrelevanten Daten aus der Bonitätsdatenbank einer Kreditauskunftei. Die Kreditauskunftei kam dem Ersuchen nicht nach. Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB und machte die Verletzung seiner Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch geltend. Die Kreditauskunftei bot dem Betroffenen an, die Daten bloß für interne buchhalterische Zwecke zu speichern und nicht mehr an Dritte weiterzugeben. Nachdem die siebenjährige abgabenrechtliche Aufbewahrungsfrist verstrichen war, löschte die Kreditauskunftei die bonitätsrelevanten Daten des Betroffenen gänzlich. Der Betroffene hielt an seiner Datenschutzbeschwerde jedoch weiterhin fest, weil die Löschung zu spät erfolgt sei. Die DSB wies die Datenschutzbeschwerde als unbegründet ab, woraufhin der Betroffene eine (erfolglose) Bescheidbeschwerde erhob.

Das BVwG hat erwogen: Das Recht auf Löschung umfasst kein Recht auf Feststellung vergangener, inzwischen behobener Rechtsverletzungen. Sobald die Löschung vom Verantwortlichen durchgeführt ist, hat der Betroffene sein Rechtsschutzziel erreicht. Die Kreditauskunftei ist dem Löschungsersuchen nachgekommen, womit der Betroffene im Entscheidungszeitpunkt durch die DSB in seinem Recht auf Löschung nicht mehr verletzt war. Die Möglichkeit, eine Schadenersatzklage vor den ordentlichen Gerichten einzubringen, wird dadurch nicht eingeschränkt, weil ein Feststellungsbescheid der DSB keine Voraussetzung für eine solche Klage ist.

Die Rechte auf Berichtigung, Einschränkung der Verarbeitung und Widerspruch sind antragsbedürftige Rechte. Da der Betroffene lediglich einen Antrag auf Löschung der ihn betreffenden bonitätsrelevanten Daten gestellt hat, wurde er in diesen Rechten nicht verletzt. Auch ergab sich keine Verpflichtung der Kreditauskunftei, die Daten von sich aus zu berichtigen.

Anm: In der verwaltungsrechtlichen Rechtsprechung wird zwischen "antragsbedürftigen Rechten" und solchen Rechten unterschieden, die ohne vorherigen Antrag an den Verantwortlichen ausgeübt werden dürfen. Damit ist gemeint, dass vor dem Erheben einer Datenschutzbeschwerde ein Ersuchen um Auskunft, Löschung, Berichtigung, Vervollständigung, Einschränkung der Verarbeitung an den Verantwortlichen zu stellen oder ein Widerspruch beim Verantwortlichen einzulegen ist. Bei den Rechten auf Geheimhaltung oder hinsichtlich der Verletzung der Informationspflicht kann antragsunabhängig (= ohne vorherige Kontaktaufnahme mit dem Verantwortlichen) eine Datenschutzbeschwerde erhoben werden.

Die Zurückziehung einer Beschwerde wird mit dem Zeitpunkt ihres Einlangens wirksam. Ab diesem Zeitpunkt ist – mangels einer aufrechten Beschwerde – die Pflicht des BVwG zur Entscheidung weggefallen und das Beschwerdeverfahren ist einzustellen. Der Beschwerdeverzicht (bzw die Zurückziehung der Beschwerde) ist unwiderruflich, weil es eine einseitige, verbindliche Prozesshandlung ist (BVwG 12.04.2024, W605 2280854-1).

Die Zulässigkeit einer Säumnisbeschwerde setzt die Säumnis der vor dem Verwaltungsgericht belangten Behörde voraus, deren Entscheidungspflicht geltend gemacht wird, und somit die Verpflichtung dieser Behörde, über den bei ihr eingebrachten Antrag mittels Bescheid zu entscheiden. Fehlt es an der Säumnis der Behörde, so ist die Säumnisbeschwerde zurückzuweisen. Da zum Zeitpunkt des Einbringens der Säumnisbeschwerde die DSB bereits mit Bescheid über den Antrag der Betroffenen vollständig abgesprochen hat, kann der DSB nicht vorgeworfen werden, ihre Entscheidungspflicht verletzt zu haben (BVwG 22.12.2022, W292 2246171-1).

Rechtsprechung der DSB

DSB 01.09.2022, 2022-0.616.013

Ein Minderjähriger richtete ein Auskunftsersuchen an ein Unternehmen, das dessen Daten im Rahmen eines Kundenbindungsprogramms verarbeitete. Das Unternehmen erteilte dem Minderjährigen die Auskunft und teilte gleichzeitig mit, dass die Mitgliedschaft aufgekündigt wurde, weil er – entgegen den zugrundeliegenden Teilnahmebedingungen – noch nicht volljährig sei. Der Minderjährige erachtete sich in seinem Recht auf Auskunft verletzt und erhob (erfolglose) Datenschutzbeschwerde bei der DSB.

Die DSB hat erwogen: Das Recht auf Auskunft ist auf jene Daten beschränkt, die zum Zeitpunkt des Einlangens des Auskunftsersuchens tatsächlich verarbeitet werden. Ein Recht auf Verarbeitung personenbezogener Daten kann aus der DSGVO nicht abgeleitet werden. Die Grundlage jeder datenschutzrechtlichen Auskunftserteilung ist der Istzustand an gespeicherten Personendaten und verfügbaren Informationen über deren Verwendung, nicht ein wie immer gearteter Sollzustand.

Das Unternehmen hat die Daten des Minderjährigen nach Auskunftserteilung gelöscht, weil es der Ansicht war, dass dessen Registrierung mangels Volljährigkeit nicht wirksam erfolgt war. Das Vorbringen des Minderjährigen, wonach er mit Vollendung seines 14 Lebensjahres in die Verarbeitung seiner Daten wirksam einwilligen könne, war irrelevant, weil die Frage der Wirksamkeit der datenschutzrechtlichen Einwilligung keinen Einfluss auf die Frage der (zivilrechtlich zu beurteilenden) Gültigkeit eines Vertragsabschlusses hat. Die Prüfung der Frage, ob das Unternehmen berechtigt war, das Vertragsverhältnis mit dem Minderjährigen zu beenden, fällt nicht in die Zuständigkeit der Datenschutzbehörde, sondern in die Zuständigkeit der Zivilgerichte.

Das Unternehmen hat dem Minderjährigen gesetzmäßig Auskunft über die zu seiner Person verarbeiteten Daten erteilt. Die gleichzeitig erteilte Information, dass nun eine Löschung dieser Daten erfolgen werde, ist keine Verletzung des Auskunftsrechts des Minderjährigen gemäß Art 15 DSGVO.

DSB 16.12.2021, 2021-0.816.492

Eine Betroffene stellte per E-Mail ein Auskunftsersuchen gemäß § 44 DSG über polizeiliche Eintragungen an den Bundesminister für Inneres (BMI). Der E-Mail war auch eine Kopie ihres Reisepasses angehängt und sie gab an, die Auskunft per E-Mail erhalten zu wollen. Der BMI versuchte zunächst, die Auskunft an die (aus dem Antrag hervorgehende) Anschrift zuzustellen, was aufgrund der Ortsabwesenheit der Betroffenen scheiterte. Nach einer ZMR-Abfrage versuchte der BMI eine erneute Zustellung an die neue Wohnadresse der Betroffenen, welche aus gleichem Grund erfolglos blieb. Die Betroffene brachte Datenschutzbeschwerde bei der DSB ein.

In seiner Stellungnahme an die DSB hielt der BMI fest, dass er als Behörde bei Zustellungen nach dem ZustG vorgehen müsse. Demnach sei eine Zustellung aus besonders wichtigen Gründen nach § 21 ZustG bloß zu eigenen Handen mittels RSa-Brief oder gemäß § 28 Abs 3 ZustG elektronisch mit Zustellnachweis durch Zustellsysteme möglich, wobei E-Mails keine zulässige Zustellform sind. Dadurch soll vor allem vermieden werden, dass Ersatzempfänger Kenntnis von strafrechtsrelevanten Daten erlangen. Da die Betroffene ihre Identität mit keiner Bürgerkarte nachgewiesen hat, konnte die Zustellung nicht elektronisch erfolgen. Die DSB gab der Datenschutzbeschwerde statt, weil der BMI nicht alle ihm zur Verfügung stehenden Maßnahmen ausgeschöpft hatte, um die Auskunft zuzustellen. Daraufhin brachte der BMI eine Bescheidbeschwerde bei der DSB ein und führte darin aus, dass er die Auskunft durch Hinterlegung sehr wohl zugestellt hat. Zudem brachte der BMI vor, dass keine Feststellung darüber getroffen wurde, ob er die Auskunft per E-Mail zustellen müsse. Die DSB änderte den Spruch ihres (weiterhin) stattgebenden Bescheides mit einer Beschwerdevorentscheidung ab.

Die DSB hat erwogen: Der Verantwortliche hat die Auskunft grundsätzlich in derselben Form, in der er das Auskunftsersuchen erhalten hat, zu übermitteln.

Der Verantwortliche muss alle Anstrengungen unternehmen, damit die Auskunft der Betroffenen tatsächlich zukommt. Dem BMI ist zwar zuzustimmen, dass er eine Behörde ist und daher der Anwendung des AVG und des ZustG unterliegt. Das 3. Hauptstück des DSG ist jedoch eine lex specialis. Einschlägig ist daher § 42 Abs 4 DSG, welcher im Lichte des Art 12 der "Datenschutz-RL für den Bereich Inneres und Justiz" auszulegen ist. Die Auskunft ist demnach in derselben Form, in der das Ersuchen gestellt wurde, zu erteilen. Eine Abweichung hiervon bedarf einer Begründung. Das ZustG steht einer Zustellung per E-Mail nicht entgegen. Da es zwei Zustellversuche zu eigenen Handen der Betroffenen gegeben hat, lagen keine Zweifel an der Identität dieser vor, weshalb die Auskunft per E-Mail zu erfolgen gehabt hätte.

Vorschau EuGH-Rechtsprechung

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Datenschutzmonitor 05.06.2024

Rechtsprechung des EGMR

EGMR 28.05.2024, 72038/17, Pietrzak/Polen

Fünf polnische Staatsbürger wendeten sich gegen die nationale Gesetzgebung zur geheimen Überwachung von Kommunikationsdaten. Die Beschwerdeführer waren Rechtsanwälte, Menschenrechtsaktivisten und Journalisten, die befürchteten, dass ihre berufliche und private Kommunikation von den polnischen Behörden überwacht und gespeichert wurde, ohne dass sie davon Kenntnis hatten oder dagegen vorgehen konnten. Sie machten geltend, dass die polnischen Rechtsvorschriften zur Vorratsdatenspeicherung von Kommunikationsdaten unverhältnismäßig und unklar waren sowie einer unzureichenden Aufsicht unterlagen und daher gegen ihre Rechte gemäß Art 8 EMRK sowie gegen ihr Recht auf einen wirksamen Rechtsbehelf verstießen. Der EGMR stellte eine Verletzung der Rechte der Staatsbürger fest.

Der EGMR hat erwogen: Die Staatsbürger sind potenzielle Opfer einer Verletzung der EMRK, weil sie einer ständigen Gefahr einer geheimen Überwachung ihrer Kommunikation ausgesetzt sind, die sich aus der bloßen Existenz und Anwendung der angegriffenen Rechtsvorschriften ergibt, ohne dass die Staatsbürger dies nachweisen oder dagegen vorgehen könnten.

Die geheime Überwachung von Kommunikationsdaten ist ein Eingriff in die Rechte gemäß Art 8 EMRK, der nur dann zulässig ist, wenn er gesetzlich vorgesehen ist, einem legitimen Zweck dient und in einer demokratischen Gesellschaft notwendig ist.

Die polnischen Regelungen zur Vorratsdatenspeicherung von Kommunikationsdaten sind zwar gesetzlich vorgesehen, genügen jedoch nicht den Anforderungen, die der EGMR in seiner Rechtsprechung entwickelt hat, um einen angemessenen Schutz vor willkürlichen Eingriffen zu gewährleisten.

Nicht ausreichend klar und präzise geregelt sind etwa die Kategorien von Personen, die der geheimen Überwachung unterliegen können, die Art und der Umfang der zu erfassenden Daten, die Dauer sowie die Bedingungen der Speicherung. Weiters ist keine wirksame gerichtliche oder parlamentarische Kontrolle der Überwachungsmaßnahmen vorgesehen.

Die Staatsbürger hatten auch keinen wirksamen Rechtsbehelf iSd Art 13 EMRK, um die Rechtmäßigkeit der geheimen Überwachung ihrer Kommunikationen überprüfen zu lassen.

EGMR 23.05.2024, 2507/19, Contrada/Italien

Ein (ehemaliger) Polizeibeamter geriet in den Fokus umfangreicher Ermittlungen zum Mord an einem anderen Polizisten. Die Staatsanwaltschaft (StA) wollte Verbindungen zwischen den mutmaßlichen Tätern und mafiösen Strukturen aufdecken und ordnete die Überwachung von fünf Telefonleitungen an, die der Polizeibeamte genutzt hat. Obwohl er nicht als Verdächtiger galt, vermutete die StA, dass der Polizeibeamte als ehemaliger Vorgesetzter der verdächtigen Polizisten und aufgrund seiner Kontakte wertvolle Informationen besaß. Die Ermittlungen gründeten auf der Annahme, dass der ermordete Polizist Teil einer geheimen Einheit des italienischen Geheimdienstes war, die gegen die Mafia operierte und durch Korruption unterwandert worden war. Der Polizeibeamte stand unter Verdacht, Informationen zurückzuhalten und nicht kooperativ zu sein, was die Überwachung seiner Telefonate begründete. Zudem hatten die nationalen Gerichte ihn bereits zuvor wegen Unterstützung der mafiösen Organisation "Cosa Nostra" verurteilt. Der Polizeibeamte erfuhr erst durch einen Durchsuchungsbeschluss für seine Wohnung über die Abhörmaßnahmen.

In seiner Beschwerde an den EGMR behauptete der Polizeibeamte, wegen des Durchsuchungsbeschlusses und des Abhörens der Telefone in seinen Rechten gemäß Art 8 EMRK verletzt worden zu sein. Der EGMR stellte eine Verletzung des Art 8 EMRK in Bezug auf das Abhören der Telefone fest und sprach dem Polizeibeamten eine Entschädigung iHv EUR 9.000 zu.

Der EGMR hat erwogen: Nach italienischem Recht kann ein Durchsuchungsbefehl gerichtlich überprüft werden, sofern dabei eine Beschlagnahme von Gegenständen erfolgt. Der Polizeibeamte hätte die Durchsuchungsanordnung bekämpfen und beschlagnahmte Gegenstände zurückerhalten können. Der Polizeibeamte beantragte jedoch keine gerichtliche Überprüfung. Seine Beschwerde war daher hinsichtlich des Durchsuchungsbeschlusses unzulässig, weil er die innerstaatlichen Rechtsmittel nicht ausgeschöpft hat.

Das Abhören der Telefone verletzte jedoch den Polizisten in seiner Privatsphäre. Nach italienischem Recht müssen die Parteien eines Verfahrens nach Abschluss der Abhörmaßnahmen sofort informiert werden. Weiters muss ihnen Zugang zu den entsprechenden Aufnahmen und Transkripten sowie zu allen relevanten gerichtlichen Entscheidungen gewährt werden, damit sie die Rechtmäßigkeit dieser Maßnahmen anfechten können. Diese nachträgliche Benachrichtigung ist jedoch für Personen, deren Kommunikation abgehört wurde, die an den Verfahren aber nicht beteiligt waren, nicht vorgesehen. Folglich erhielt der Polizeibeamte keine Benachrichtigung über die Abhörmaßnahmen, weshalb er die Rechtmäßigkeit der Maßnahme nicht überprüfen lassen konnte.

Das italienische Recht bietet somit keine hinreichenden Garantien gegen Missbrauch für Personen, die abgehört werden, aber nicht verdächtigt oder angeklagt sind. Aufgrund dieser Mängel genügt das italienische Gesetz den Anforderungen des Art 8 EMRK nicht und ist auch nicht geeignet, die Beeinträchtigung auf das "in einer demokratischen Gesellschaft notwendige" Maß zu beschränken.

Rechtsprechung des EuGH

EuGH Schlussanträge 30.05.2024, C-200/23, Agentsia po vpisvaniyata

Der Gesellschaftsvertrag einer GmbH bulgarischen Rechts, der gesetzlich nicht erforderliche personenbezogene Daten einer Gesellschafterin enthielt, wurde ungeschwärzt im Handelsregister eingetragen und veröffentlicht. Die Gesellschafterin beantragte bei der für die Eintragung zuständigen Agentur die Löschung ihrer überschießenden personenbezogenen Daten im Gesellschaftsvertrag und erklärte, dass sie ihre Einwilligung widerruft, sofern die Datenverarbeitung auf einer solchen beruht.

Gemäß bulgarischem Recht ist dem Antrag auf Eintragung einer Gesellschaft in das Handelsregister das Original oder eine beglaubigte Kopie der offenzulegenden Urkunden, somit auch des Gesellschaftsvertrags, beizufügen. Die Agentur ersuchte daher die Gesellschafterin, ihr eine geschwärzte Kopie des Gesellschaftsvertrags vorzulegen, um ihrem Löschersuchen entsprechen zu können. Da die Gesellschafterin keine geschwärzte Kopie vorlegte, lehnte die Agentur ihr Löschersuchen ab.

Der Generalanwalt hat erwogen: Die Agentur ist für die Verarbeitung die alleinige Verantwortliche, weil das öffentliche Zugänglichmachen der personenbezogenen Daten im Handelsregister in Wahrnehmung der Aufgaben erfolgte, die ihr als mit der Führung des Registers betraute Stelle übertragen wurden. Irrelevant ist, dass die in den Urkunden enthaltenen personenbezogenen Daten vor ihrer Veröffentlichung nicht kontrolliert werden oder die Agentur diese Daten nicht ändern oder berichtigen kann.

Schwärzt der Eintragungspflichtige die gesetzlich nicht erforderlichen Informationen nicht, wird er dadurch nicht selbst für die Verarbeitung verantwortlich. Er hat auf die gesetzlich bestimmten Zwecke und Mittel der Datenverarbeitung bei der Agentur nämlich keinen Einfluss. Der Eintragungspflichtige legt mit der Erfüllung der Eintragungsformalitäten einen eigenen Zweck fest, der sich von den öffentlichen Zwecken unterscheidet, die von der Agentur verfolgt werden.

Die im bulgarischen Recht aufgestellte Vermutung der Einwilligung erfüllt die Voraussetzungen der DSGVO nicht, weil sie nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich, in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erteilt wird. Die Datenverarbeitung kann daher nicht auf die Einwilligung gestützt werden.

Die Datenverarbeitung kann auch nicht auf die Erfüllung einer rechtlichen Verpflichtung gestützt werden, weil die bloße Tatsache, dass die Agentur eine ihr ungeschwärzt übermittelte Urkunde veröffentlicht, nicht ausreicht, um eine rechtliche Verpflichtung zu begründen. Die Datenverarbeitung erfolgt auch nicht in Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt. Zwar wird die Datenverarbeitung anlässlich einer im öffentlichen Interesse liegenden Aufgabe durchgeführt, sie ist dafür aber nicht erforderlich. Die Offenlegung der Urkunden kann auch so erfolgen, dass personenbezogene Daten, deren öffentliches Zugänglichmachen nicht erforderlich ist, geschwärzt werden.

Um einen angemessenen Ausgleich zwischen den Interessen der betroffenen Person und den Interessen der Öffentlichkeit zu schaffen, müsste die Agentur die Befugnis haben, die Daten unverzüglich nach Eingang des Löschersuchens selbst in der öffentlich zugänglichen Kopie der Urkunde unkenntlich zu machen. Gleichzeitig sollte sie das Original dieser Urkunde aufbewahren und von der Gesellschaft verlangen, eine Änderung der Urkunde vorzulegen, aus der die Daten entfernt wurden, wobei diese Änderung ebenfalls im Register veröffentlicht werden sollte.

Rechtsprechung des BVwG

BVwG 29.04.2024, W176 2234682-1

Ein "Bürgerjournalist" filmte einen Jäger ohne dessen Wissen und Einverständnis bei der Jagd. Ein daraufhin vom Jäger gestelltes Auskunftsersuchen ließ der "Bürgerjournalist" unbeantwortet. Stattdessen rechtfertigte er die Anfertigung des Videomaterials damit, dass er den Vorgang einer Jagd zu journalistischen Zwecken dokumentieren wollte.

Das BVwG hat erwogen: Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber zu journalistischen Zwecken eines Medienunternehmens oder Mediendienstes finden gemäß § 9 Abs 1 DSG weite Teile der DSGVO keine Anwendung.

Zwar verfolgte der "Bürgerjournalist" mit der Anfertigung der Bildaufnahmen möglicherweise journalistische Zwecke, doch fand deren Verarbeitung nicht im Rahmen eines Medienunternehmens statt.

Dem Vorbringen des "Bürgerjournalisten", er sei ein "Ein-Personen-Medienunternehmen" kann nicht gefolgt werden. Nach der Rechtsprechung des OGH wird ein Medieninhaber erst dann zum Medienunternehmer iSd § 1 Abs 1 Z 6 MedienG, wenn er über den Zweck der bloß privaten Verbreitung von Inhalten hinaus ein Unternehmen – mit einem Mindestmaß an unternehmerischen Strukturen – betreibt, dessen Unternehmenszweck die inhaltliche Gestaltung einer redaktionell gestalteten Website ist.

Da der "Bürgerjournalist" die Fotos von seinem privaten Facebook-Account veröffentlichte und selbst angab, diese aus Eigeninteresse angefertigt zu haben, handelte er nicht als Medienunternehmer. Der "Bürgerjournalist" konnte die Nichterteilung der Auskunft deshalb nicht auf das Medienprivileg stützen.

Anm: Der VfGH hat § 9 Abs 1 DSG mit Erkenntnis vom 14.12.2022, G 287/2022, für verfassungswidrig erklärt und er hat für das Außerkrafttreten der Bestimmung eine Frist bestimmt (VfSlg 20590/2022). In der derzeitigen Form tritt § 9 Abs 1 DSG mit Ablauf des 30.06.2024 außer Kraft. Eine Novelle ist bereits auf dem Weg.

BVwG 12.04.2024, W108 2249366-1

Ein emeritierter Rechtsanwalt brachte bei der DSB eine Datenschutzbeschwerde gegen eine Rechtsanwaltskammer (RAK) ein. Er behauptete darin, die RAK habe ihm trotz mehrmaliger Auskunftsersuchen keine ausreichenden und gesetzesmäßigen Auskünfte erteilt. So wurde ihm etwa die gewünschte Korrespondenz zwischen ihm und der RAK nicht übermittelt und weiters gäbe es den Verdacht, dass unbefugte Mitarbeiter auf seine Daten zugreifen könnten. Außerdem hätte die RAK es unterlassen, seine Daten zu berichtigen, die RAK würde das Prinzip der Zweckbindung missachten und kein passendes Löschkonzept besitzen.

Die RAK hielt in einer Stellungnahme fest, dass der Rechtsanwalt mehrere Auskunftsersuchen mit gleichem Inhalt gestellt hatte, wobei das erste Ersuchen fristgerecht und vollständig beantwortet wurde. Mit dem zweiten Ersuchen verlangte der Rechtsanwalt im Grunde dieselben Auskünfte und eine postalische Übermittlung sämtlicher Korrespondenz der vergangenen 15 Jahre, was eine schikanöse Rechtsausübung sei, weil dies einen erheblichen Aufwand und monetären Schaden für die RAK verursachen würde.

Die DSB wies die Datenschutzbeschwerde als unbegründet ab, weil die RAK dem ersten Ersuchen entsprochen hatte und die ersuchten Auskünfte samt Kopie der geforderten Unterlagen übermittelt hatte. Auch hinsichtlich des Rechts auf Berichtigung und Geheimhaltung sah die DSB keinen Verstoß. Daraufhin erhob der Rechtsanwalt eine (erfolglose) Bescheidbeschwerde beim BVwG.

Der BVwG hat erwogen: Sämtliche Personen (zB Mitarbeiter) und Stellen, die unter der Aufsicht bzw Anweisung des Verantwortlichen eine Datenverarbeitung durchführen, sind ihm funktional zuzurechnen.

Die RAK ist gemäß § 23 Abs 7 RAO ermächtigt, personenbezogene Daten ihrer Mitglieder zu verarbeiten, soweit dies zur Wahrnehmung ihrer gesetzlichen Aufgaben notwendig ist. Die RAK konnte nachweisen, dass sie die Daten den Gesetzen entsprechend im bloß erforderlichen Umfang verarbeitet hat. Zudem wurde auch glaubhaft gemacht, dass die Mitarbeiter der RAK ihre Befugnisse nicht überschritten haben. Die Datenverarbeitung durch die RAK war somit rechtmäßig.

Mit dem Recht auf Auskunft wird dem Betroffenen ermöglicht, sich der Verarbeitung seiner Daten bewusst zu werden und deren Rechtmäßigkeit zu kontrollieren. Bei den vom Rechtsanwalt begehrten Dokumenten handelte es sich um E-Mails und Schreiben, die der Rechtsanwalt selbst regelmäßig (3 – 4 Schreiben pro Monat) an die RAK übermittelte. Eine postalische Zurverfügungstellung sämtlicher Korrespondenz war nicht unerlässlich, weil der Rechtsanwalt diese selbst an die RAK verschickte und damit über diese Schreiben verfügt hat.

In seinem Recht auf Berichtigung ist der Rechtsanwalt schon deshalb nicht verletzt, weil er keinen Berichtigungsantrag an die RAK gestellt hat, sondern bloß eine Verletzung dieses Rechts behauptete.

BVwG 12.04.2024, W108 2255217-1

Ein Arbeitssuchender brachte beim AMS ein Auskunftsersuchen über die zu seiner Person verarbeiteten Daten ein. Da die Auskunft zu seinen Daten zu spät erteilt wurde, brachte er Datenschutzbeschwerde bei der DSB ein. Im Laufe des Verfahrens wurde ihm vom AMS umfassende Auskunft über seine Daten erteilt. Der Arbeitssuchende erachtete die ihm erteilte Auskunft aber für unvollständig. Seiner Ansicht nach fehlten in der Auskunft unter anderem Informationen zur Ermittlung von Daten, die als Grundlage für einen Bescheid in einem Verwaltungsverfahren verwendet wurden. Weiters wurden keine Kopien der Aktenbestandteile iSd Art 15 Abs 3 DSGVO übermittelt. Die Datenschutzbeschwerde wurde mit Teilbescheid abgewiesen. Hinsichtlich der Frage der Aktenkopie gemäß Art 15 Abs 3 DSGVO wurde das Verfahren ausgesetzt. Gegen den Teilbescheid erhob der Arbeitssuchende erfolglose Bescheidbeschwerde an das BVwG, das auch über den ausgesetzten Verfahrensteil entschied.

Das BVwG hat erwogen: Das Recht auf Kopie gemäß Art 15 Abs 3 DSGVO ist kein eigenständiges subjektives öffentliches Recht eines Betroffenen. Über einen Verstoß gegen dieses Recht kann nicht gesondert abgesprochen werden. Die DSB hätte demnach das Verfahren nicht trennen dürfen. Das BVwG darf jedoch über den nicht behandelten Aspekt urteilen, weil die Beurteilung des Rechts auf Auskunft nach Art 15 Abs 1 DSGVO auch Rechtsverletzungen nach Abs 3 mitumfasst.

Mit dem Recht auf Auskunft wird der Zweck verfolgt, Betroffenen zu ermöglichen, sich der sie betreffenden Datenverarbeitungen bewusst zu werden. Eine Übermittlung von originalgetreuen Kopien, Auszügen aus Dokumenten, ganzer Dokumente oder Auszügen aus Datenbanken ist nur dann erforderlich, wenn die Zurverfügungstellung solcher Kopien unerlässlich ist, um die wirksame Ausübung der durch die DSGVO eingeräumten Rechte zu ermöglichen.

Die für die Erlassung eines Bescheids zugrundeliegenden Daten eines Ermittlungsverfahrens müssen im Rahmen des Auskunftsrechts nach Art 15 DSGVO beauskunftet werden. Das Recht auf Auskunft gemäß Art 15 DSGVO besteht neben dem Recht auf Akteneinsicht, ist aber auf die Daten des Auskunftswerbers beschränkt und ermöglicht keine vollständige Einsicht in die Ergebnisse des Ermittlungsverfahrens oder den Gang des Verfahrens. Das AVG sieht keine Einschränkung von Betroffenenrechten gemäß Art 23 DSGVO vor. Im AVG besteht dazu keine planwidrige Lücke, die durch Analogie geschlossen werden muss.

Beim Auskunftsrecht handelt es sich um ein subjektives Kontrollrecht, um den Ist-Zustand der verarbeiteten Daten feststellen zu können. Die vom AMS erteilte Auskunft war vollständig.

Wird die inhaltliche Behandlung einer Datenschutzbeschwerde wegen exzessiver Ausübung der Rechte iSd Art 57 Abs 4 DSGVO abgelehnt, ist in einem Wiederaufnahmeantrag darzutun, dass aufgrund neu hervorgekommener Tatsachen oder Beweismittel die Entscheidung des BVwG hinsichtlich dieser Ablehnung der inhaltlichen Behandlung der Datenschutzbeschwerde anders gelautet hätte (BVwG 18.04.2024, W137 2255503-2).

Ist die Löschung der Daten bereits erfolgt, ist ein von der DSB erteilter Löschungsauftrag nicht mehr durchführbar. Der entsprechende Spruchpunkt des angefochtenen Bescheids ist ersatzlos zu beheben (BVwG 17.04.2024, W298 2273385-1).

Eine Datenschutzbeschwerde ist innerhalb eines Jahres nach Kenntniserlangung vom beschwerenden Ereignis bei der DSB einzubringen. Andernfalls erlischt das Recht auf Beschwerdebehandlung und ist die Datenschutzbeschwerde zurückzuweisen (BVwG 17.04.2024, W298 2274023-1).

Rechtsprechung des BFG

Mit dem Register der wirtschaftlichen Eigentümer wird das Ziel verfolgt, die hinter Unternehmen und Vermögensmassen stehenden Eigentümer transparent und überprüfbar zu machen (BFG 12.04.2024, RV/4100104/2024).

EU-Rechtsakte

Am 24.05.2024 wurde die "Delegierte Verordnung (EU) 2024/1366 der Kommission vom 11. März 2024 zur Ergänzung der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates durch Festlegung eines Netzkodex mit sektorspezifischen Vorschriften für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse" im Amtsblatt der EU veröffentlicht.

Am 30.05.2024 wurde die "Delegierte Verordnung (EU) 2024/1502 der Kommission vom 22. Februar 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch" im Amtsblatt der EU veröffentlicht.

Am 30.05.2024 wurde die "Delegierte Verordnung (EU) 2024/1505 der Kommission vom 22. Februar 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren" im Amtsblatt der EU veröffentlicht.

Vorschau EuGH-Rechtsprechung

Am 06.06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Mai 2024

03.05. | 08.05. | 15.05. | 22.05. | 29.05.

Datenschutzmonitor 29.05.2024

Rechtsprechung des VwGH

VwGH 22.04.2024, Ro 2022/04/0038

Der Betroffene erhob eine Datenschutzbeschwerde bei der DSB, weil er sich durch das Verhalten einer Kreditauskunftei in seinem Recht auf Geheimhaltung gemäß § 1 DSG und seinem Recht auf Löschung gemäß Art 17 DSGVO verletzt sah. Der Betroffene ersuchte um die Löschung seiner insolvenzbezogenen Daten aus der Bonitätsdatenbank der Kreditauskunftei. Die Kreditauskunftei kam diesem Ersuchen nicht nach. Die DSB wies die Datenschutzbeschwerde ab und begründete dies damit, dass die Datenverarbeitung durch die Kreditauskunftei dazu diene, den Unternehmen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko eingehen, Zugang zu diesen Daten zu ermöglichen. Die Löschung der Daten aus der Insolvenzdatei gemäß § 256 IO müsse keine Löschung aus der Bonitätsbank nach sich ziehen. Das BVwG wies die daraufhin erhobene Bescheidbeschwerde des Betroffenen ab und hielt fest, dass längere Speicherfristen im Falle von Insolvenzverfahren gerechtfertigt werden können. Zudem würde sich die höchstzulässige Speicherfrist nicht aus der IO ergeben. Der Betroffene brachte daraufhin eine (erfolgreiche) Revision beim VwGH ein.

Der VwGH hat erwogen: Unter Bezugnahme auf das Urteil des EuGH vom 07.12.203, C-26/22 und C-64/22, SCHUFA Holding, ist festzuhalten, dass die Speicherung personenbezogener Daten durch eine Kreditauskunftei nach der Löschung aus der Insolvenzdatei gemäß § 256 IO nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden kann. Aus diesem Grund war die Speicherung der Daten des Betroffenen betreffend seine Insolvenz nicht rechtmäßig. Die Löschung aus der Insolvenzdatei soll den Schuldner vor negativen Auswirkungen im Geschäftsverkehr schützen. Dieser Schutz kann nicht gewährleistet werden, wenn die Daten über die Insolvenz, welche die Bewertung der Kreditwürdigkeit des Schuldners negativ beeinflussen, durch eine Kreditauskunftei länger gespeichert werden. Vor diesem Hintergrund rechtfertigen die berechtigten Interessen der Kreditauskunftei die Verarbeitung der personenbezogenen Daten über die Insolvenz nicht. Die Annahme des BVwG, wonach sich die höchstzulässige Speicherfrist nicht aus § 256 IO ergäbe, trifft nicht zu. Das angefochtene Erkenntnis war daher aufzuheben.

Rechtsprechung des BVwG

BVwG 26.04.2024, W211 2281997-1

Ein Nutzer besuchte die Website eines Medienunternehmens und erhob danach Datenschutzbeschwerde bei der DSB, weil der Cookie-Banner so aufgebaut war, dass die Zustimmung zu mehreren Tracking-Cookies erteilt werden musste, um die Website öffnen zu können. Die DSB gab der Datenschutzbeschwerde statt und erteilte dem Medienunternehmen den Auftrag, den Cookie-Banner so abzuändern, dass eine gültige Einwilligung vorliegt. Das Medienunternehmen erhob Bescheidbeschwerde an das BVwG, das dieser stattgab.

Das BVwG hat erwogen: Das Medienprivileg des DSG (und damit der Ausschluss der DSGVO) kommt nicht zur Anwendung, weil die durch Cookies erhobenen Daten nicht journalistischen Zwecken dienen. Das Medienprivileg schützt das inhaltliche Tätigwerden der Presse und damit nur solche Tätigkeiten, die ausschließlich zum Ziel haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten.

Auch wenn der Nutzer nicht in Österreich wohnhaft ist, kann dennoch eine Datenschutzbeschwerde bei der DSB eingebracht werden. Anlassloses "forum shopping" ist zwar nicht möglich, Art 77 DSGVO erlaubt einem Betroffenen aber eine Datenschutzbeschwerde bei einer Aufsichtsbehörde einzureichen, zu der ein räumliches und/oder sprachliches Naheverhältnis iZm dem Beschwerdesachverhalt besteht.

Websitebetreiber dürfen als Gegenleistung für ihr Angebot das Entgelt in Form personenbezogener Daten verlangen, wenn ihnen keine marktbeherrschende Stellung zukommt. In der Rs C-252/21, Meta Platforms, wurde dem EuGH ein wettbewerbsrechtlich determiniertes Vorabentscheidungsersuchen gestellt. Aus diesem Urteil des EuGH kann daher nicht abgeleitet werden, dass die personenbezogenen Daten des Betroffenen zu keiner Hauptleistung eines Rechtsgeschäfts werden dürften, wenn dem Verantwortlichen keine marktbeherrschende Stellung zukommt.

Die Voraussetzungen festzulegen, unter denen Nutzer ihre Website besuchen dürfen, ist den Websitebetreibern zu überlassen. Den Websitebetreibern aufzuerlegen, dass sie ein echtes Alternativangebot, wie ein "Pay or Okay"-Modell zu schaffen haben, wäre ein ungerechtfertigter Eingriff in die Privatautonomie.

Da das Medienunternehmen keine marktbeherrschende Stellung innehat, keine lebensnotwendigen Güter verkauft und es zahlreiche Alternativen gibt, muss auch kein "Pay or Okay"-Modell verwirklicht werden. Werden personenbezogene Daten als Gegenleistung für eine Hauptleistung erhoben, ist darauf zwar explizit hinzuweisen. Das Medienunternehmen hat das jedoch durch ein Pop-Up Fenster getan. Die Einwilligung verstieß somit nicht gegen das Koppelungsverbot und sie wurde wirksam erteilt. Anm: Das BVwG bestätigt damit die datenschutzrechtliche Zulässigkeit von Online-Angeboten, die als Gegenleistung für personenbezogene Daten erbracht werden. Gleichzeitig stellt das BVwG klar, dass das Recht auf Datenschutz anderen Grundrechten nicht vorgeht. Voraussetzung der Rechtmäßigkeit der Verarbeitung ist aber der ausdrückliche Hinweis, dass personenbezogene Daten als Gegenleistung für das Online-Angebot erhoben werden.

BVwG 23.04.2024, W221 2281444-1

Ein Rechtsanwalt richtete ein Auskunftsersuchen an den Disziplinarrat einer Rechtsanwaltskammer (RAK) und begehrte Auskunft darüber, wer konkret, also welcher Mitarbeiter der RAK, ein ihn betreffendes Disziplinarerkenntnis an den Bundesminister für Justiz (BMJ) übersandt hat. Sein Ersuchen stützte der Rechtsanwalt neben Art 15 DSGVO auch auf das AuskunftspflichtG.

Die RAK verweigerte die Auskunftserteilung mit der Begründung, dass sie ihren Mitarbeitern zur gesetzlichen Verschwiegenheit verpflichtet ist. Gegen den Bescheid des Disziplinarrats der RAK erhob der Rechtsanwalt Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Im Hinblick darauf, dass Auskünfte nach dem AuskunftspflichtG auch personenbezogene Daten umfassen können, stellt die Bestimmung des § 1 Abs 1 AuskunftspflichtG einen Eingriff in das Grundrecht auf Datenschutz dar. Das Auskunftsbegehren des Rechtsanwalts betrifft den Namen eines Mitarbeiters der RAK und damit personenbezogene Daten. Die Erteilung der Auskunft wäre folglich mit einem Eingriff in das Recht des betroffenen Mitarbeiters auf Datenschutz verbunden gewesen. Für die Beurteilung der Rechtmäßigkeit der Auskunftsverweigerung war daher eine Abwägung des Geheimhaltungsinteresses des betroffenen Mitarbeiters mit dem Informations- und Auskunftsinteresse des Rechtsanwalts maßgebend. Da die Identität des betroffenen Mitarbeiters der RAK, der das Disziplinarerkenntnis für die RAK an den BMJ übermittelte, keinerlei Relevanz in Bezug auf die Information der Öffentlichkeit über die Amtsgeschäftsführung der RAK hat, war die begehrte Auskunft nicht von öffentlichem Interesse.

Soweit der Rechtsanwalt in seiner Bescheidbeschwerde klarstellte, dass sich sein Antrag vordergründig auf die Identität des Genehmigenden bezog, war darin eine Änderung des Antrags zu sehen, der im Rahmen des Beschwerdeverfahrens vor dem BVwG nicht berücksichtigt werden konnte. Denn "Sache" des Verfahrens vor dem BVwG war allein die Frage, ob die mit dem Auskunftsbegehren befasste RAK die Auskunft zu Recht oder zu Unrecht verweigert hat. Damit war eine Änderung jenes Auskunftsbegehrens, welches dem Auskunftsverweigerungsbescheid zu Grunde lag, im Beschwerdeverfahren nicht vereinbar.

BVwG 17.04.2024, W298 2277414-1

Gegen einen Beschuldigten wurde ein Ermittlungsverfahren wegen des Verdachts der gefährlichen Drohung und der versuchten Bestimmung zum Amtsmissbrauch geführt. In der Verfahrensautomation Justiz (VJ) wurden daher seine Vermögensdaten gespeichert. Der Beschuldigte richtete ein Löschersuchen an die sachlich und örtlich zuständige StA und behauptete, die Erhebung der Daten sei illegal erfolgt. Die DSB wies seine Datenschutzbeschwerde ab. Das BVwG bestätigte den Bescheid der DSB mit der Maßgabe, dass die Datenschutzbeschwerde wegen der Verarbeitung von Daten im VJ zurückgewiesen wird.

Das BVwG hat erwogen: Der Beschuldigte hat die behauptete Rechtswidrigkeit der Datenerhebung sowie die Unrichtigkeit der Daten nicht hinreichend konkretisiert, obwohl er dazu gemäß § 24 Abs 2 Z 4 DSG verpflichtet war. Zwar muss keine umfassende Schilderung des Beschwerdegrundes angegeben werden, der Antragsteller hat die ihn begünstigenden maßgeblichen Umstände aber in schlüssiger Weise zu behaupten und zu konkretisieren, um die DSB in die Lage zu versetzen, Erhebungen zur Frage durchzuführen, ob diese Behauptungen zutreffen. Eine etwaige Unmöglichkeit, die anspruchsbegründenden Tatsachen (positiv) festzustellen, geht zu Lasten des Antragstellers. Zur amtswegigen Ermittlung ist die DSB nur insoweit verhalten, als ein ausreichend konkretes, maßgebliches Vorbringen erstattet wurde. Sie ist nicht verpflichtet zu prüfen, ob irgendwelche denkbaren Verstöße vorliegen. Da es sich um keine gesetzwidrig ermittelten Daten handelt, besteht keine Verpflichtung, diese zu löschen.

Der Beschuldigte behauptete die Unrichtigkeit der über ihn verarbeiteten Daten, verlangte aber auch mehrfach die Schwärzung seiner Daten. Damit widersprach sich der beschuldigte, denn eine Schwärzung falscher Daten würde keinen Sinn ergeben. Infrage käme nur die Löschung oder Richtigstellung falscher Daten.

Verantwortlich für den VJ ist der Bundesminister für Justiz. Soweit der Beschuldigte eine Löschung aus dem VJ verlangt, ist dies zurückzuweisen, weil die StA mangels Verantwortlichkeit nicht passivlegitimiert ist.

BVwG 26.04.2024, W211 2261821-1

Ein Konsument erachtete sich wegen der behaupteten Verarbeitung seiner Daten für drei Produkte einer Kreditauskunftei, nämlich "Wirtschaftlichkeitsindex", "InfoPass für Mieter" sowie "PersonenProfile Consumer" in seinen Rechten verletzt. Aufgrund eines bereits anhängigen datenschutzrechtlichen Rechtsstreits und weiterer angedrohter Zivilrechtsverfahren beschränkte die Kreditauskunftei die Datenverarbeitung hinsichtlich der Daten des Konsumenten. Die Einschränkung der Verarbeitung führte zu Negativauskünften zum Namen des Konsumenten bei Anfragen zu diesen Produkten.

Nach Ansicht des Konsumenten waren die Negativauskünfte der Berichtigung gemäß Art 16 DSGVO zugänglich, weil sie ein falsches Bild über seine Bonität vermittelten. Sowohl die Datenschutzbeschwerde als auch die Bescheidbeschwerde des Konsumenten blieben erfolglos.

Das BVwG hat erwogen: Das Produkt "Wirtschaftlichkeitsindex" wird von der Kreditauskunftei nicht mehr angeboten. Die Produkte "InfoPass für Mieter" und "PersonenProfile Consumer" werden auf Anfrage im Einzelfall anhand der gespeicherten Daten über den Betroffenen erstellt/generiert. Aufgrund der Einschränkung der Datenverarbeitung durch die Kreditauskunftei wurden im Rahmen dieser Produkte keine Werte über den Konsumenten generiert.

Eine Einschränkung der Datenverarbeitung durch die Kreditauskunftei verstößt nicht gegen den Grundsatz der Verarbeitung nach Treu und Glauben und Transparenz, weil durch die Einschränkung der Verarbeitung kein datenschutzrechtlicher Verarbeitungsvorgang, auf den der Grundsatz anwendbar sein könnte, vorliegt. Eine Einschränkung der Datenverarbeitung durch die Kreditauskunftei führt für den Konsumenten zu keinem erheblichen Nachteil im Wirtschaftsleben.

Das Recht auf Berichtigung nach Art 16 DSGVO soll Betroffenen ermöglichen, unrichtige Daten, die rechtmäßig verarbeitet werden, richtigzustellen oder zu vervollständigen. Maßstab für die Datenrichtigkeit ist der Zweck der Datenverarbeitung. Ein Ersuchen auf Berichtigung muss eine Begründung enthalten, warum die Daten unrichtig sind und wie diese zu berichtigen sind. Eine Berichtigung ist nur dann durchzuführen, wenn die verarbeiteten personenbezogenen Daten isoliert betrachtet richtig sind, in der Gesamtheit aber eine objektiv falsche oder missverständliche Aussage treffen. Mit der Negativauskunft wird keine objektiv falsche oder missverständliche Aussage getroffen, eine gute oder schlechte Bonität wird dem Konsumenten nicht attestiert, vielmehr wird keine Aussage getroffen. Die erteilten Negativauskünfte sind keine unrichtigen Daten, die nach Art 16 DSGVO berichtigt werden müssen.

BVwG 15.04.2024, W211 2277264-1

In einem Mehrparteienhaushalt ist es vermehrt zu Einbrüchen, einer versuchten Vergewaltigung, einem Brandanschlag und zu zahlreichen Sachbeschädigungen gekommen. Die Eigentümergemeinschaft installierte für den Schutz der dortigen Bewohner eine Videoüberwachungsanlage bestehend aus fünf Kameras. Eine Mieterin erhob eine Datenschutzbeschwerde bei der DSB, in der sie vorbrachte, durch die installierten Kameras in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Die Kameras überwachten den gesamten Weg vom Eingang in das Mehrparteienhaus bis zur Wohnungstür der Mieterin. Eine der Kameras war so positioniert, dass sie bei geöffneter Wohnungstüre auch den privaten Wohnbereich der Mieterin erfasste. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob die Eigentümergemeinschaft (erfolglose) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Eine konkludente Einwilligung in die Verarbeitung von personenbezogenen Daten ist nach der DSGVO strengsten Bedingungen unterworfen. Eine solche eindeutige und bestätigende Handlung/Erklärung der Mieterin iSd Art 4 Z 11 DSGVO lag nicht vor. Die Mieterin willigte nicht freiwillig und ausdrücklich in die Datenverarbeitung durch die Videoüberwachungsanlage ein.

Der Eigentümergemeinschaft kann grundsätzlich im Rahmen ihrer Stellung nach dem WEG 2002 ein Interesse am Schutz des Hauses und der Bewohner vor strafrechtlich relevanten Sachverhalten nicht von vornherein abgesprochen werden. Jedoch müssen die angewandten Mittel erforderlich sein und der Grundsatz der Datenminimierung eingehalten werden. Die installierten Kameras erfassen nicht nur die Bewohner, sondern auch alle zufällig und rechtmäßig anwesenden Personen. In den letzten zehn Jahren sind keine gröberen Vorfälle mehr im Haus geschehen. Darüber hinaus übergab man die angefertigten Bildaufnahmen kein einziges Mal wegen zB eines Einbruchsversuchs an die Polizei. Folglich sind die getroffenen Maßnahmen nicht geeignet, um tatsächlich zB Einbruchsversuche gänzlich zu verhindern oder sinnvoll eine effektive Strafverfolgung zu begünstigen. Weiters schafft die Videoüberwachung, bei der die Bilddaten bei einem Bewohner zusammenlaufen, der auch Miteigentümer ist, einen Überwachungsdruck. Es stehen der Eigentümergemeinschaft gelindere Mittel zur Zielerreichung zur Verfügung, wie etwa die Adaptierung der Eingangstüren und eine Kameraattrappe zur Erzeugung eines Drucks für mögliche Täter. Die aktuell festgestellte Verarbeitungssituation wird jedenfalls dem Rechtfertigungstatbestand des Art 6 Abs 1 lit f DSGVO nicht gerecht. Die durch die Videoüberwachungsanlage im Mehrparteienhaus vorgenommene Verarbeitung der personenbezogenen Daten der Mieterin ist demnach nicht rechtmäßig.

Ein Recht auf Feststellung einer Rechtsverletzung in der Vergangenheit besteht nicht, wenn die Rechtsverletzung zum Zeitpunkt der Entscheidung nicht mehr besteht. Wird mit einer Datenschutzbeschwerde das Recht auf Löschung geltend gemacht, tritt durch Löschung der entsprechenden Daten materielle Klaglosstellung ein. Das Beschwerdeverfahren ist als gegenstandslos einzustellen (BVwG 22.01.2024, W101 2134867-1).

Rechtsprechung der DSB

DSB 06.08.2021, 2021-0.415.529

Ein Personalvermittlungsunternehmen schickte unaufgefordert eine SMS mit Jobangeboten an einen Arbeitssuchenden. Dieser verlangte von dem Unternehmen Auskunft über die Herkunft seiner Daten. Die Daten stammten vom AMS, wurde ihm telefonisch mitgeteilt. Daraufhin brachte er ein Löschersuchen bei dem Unternehmen ein. Auf das Löschersuchen reagierte das Unternehmen nicht, stattdessen schickte es dem Arbeitssuchenden erneut eine SMS mit Jobangeboten. Der Arbeitssuchende brachte Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde statt.

Die DSB hat erwogen: Ein datenschutzrechtlich Verantwortlicher benötigt zur Sicherung der Rechtmäßigkeit der Datenverarbeitung nicht nur einen Rechtfertigungsgrund gemäß Art 6 DSGVO, sondern muss auch die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art 5 Abs 1 DSGVO beachten und deren Einhaltung im Anlassfall gegenüber der DSB nachweisen.

Insbesondere müssen Daten auf transparente Weise verarbeitet werden. Für Betroffene soll Klarheit darüber bestehen, wie die sie betreffenden personenbezogenen Daten verarbeitet werden. Der Transparenzgrundsatz wird insbesondere durch die Informationspflicht gemäß Art 14 DSGVO umgesetzt. Diese Bestimmung kommt zur Anwendung, wenn die zu verarbeitenden Daten nicht beim Betroffenen selbst erhoben werden.

Das Unternehmen hat verabsäumt, den Arbeitssuchenden entsprechend Art 14 Abs 3 lit b DSGVO, spätestens zum Zeitpunkt der ersten SMS, Informationen über die Verarbeitung zukommen zu lassen. Durch die Nichteinhaltung des Transparenzgrundsatzes wurden die Daten bereits von Anfang an unrechtmäßig verarbeitet. Das Personalvermittlungsunternehmen ist folglich verpflichtet, die unrechtmäßig verarbeiteten Daten zu löschen.

EU-Rechtsakte

Am 05.2024 wurde die "VO (EU) 2024/1358 des Europäischen Parlaments und des Rates … über die Einrichtung von Eurodac für den Abgleich biometrischer Daten … sowie zur Feststellung der Identität illegal aufhältiger Drittstaatsangehöriger oder Staatenloser und über der Gefahrenabwehr und Strafverfolgung dienende Anträge der Gefahrenabwehr- und Strafverfolgungsbehörden der Mitgliedstaaten und Europols auf den Abgleich mit Eurodac-Daten …" im Amtsblatt der EU veröffentlicht.

Am 05.2024 wurde der "Durchführungsbeschluss (EU) 2024/1432 der Kommission vom 21. Mai 2024 zur Gründung des Konsortiums für eine europäische Digitalinfrastruktur für eine europäische Blockchain-Partnerschaft und eine europäische Blockchain-Dienste-Infrastruktur (EUROPEUM-EDIC)" im Amtsblatt der EU veröffentlicht.

Vorschau EuGH-Rechtsprechung

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 06.2024 wird das Urteil des EuGH in den verbundenen, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 06.2024 wird das Urteil des EuGH in der, verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Datenschutzmonitor 22.05.2024

Rechtsprechung des EuG

Ein Abgeordneter des Europäischen Parlaments (EP) wurde wegen mehrerer Straftaten verfolgt und nach Aufhebung seiner Immunität strafgerichtlich zu einer langjährigen Haftstrafe verurteilt. Auf sein Mandat im EP verzichtete der Abgeordnete auch nach seiner Verurteilung nicht. Drei Aktivisten bzw Journalisten beantragten Zugang zu Dokumenten des EP, ua über Bezüge und Vergütungen des Abgeordneten und Vergütungen seiner parlamentarischen Assistenten. Das EP verweigerte den Zugang zu diesen Dokumenten mit Verweis auf den Schutz personenbezogener Daten. Die Aktivisten legten Rechtsmittel beim EuG ein.

Das EuG hat erwogen: Gemäß Art 15 Abs 3 AEUV hat jeder Unionsbürger das Recht auf Zugang zu Dokumenten der Organe, Einrichtungen und sonstigen Stellen der Union. Laut Art 9 Abs 1 lit b der Datenschutzverordnung für die Organe, Einrichtungen und sonstigen Stellen der Union (VO (EU) 2018/1725) dürfen personenbezogene Daten an Empfänger, die keine Organe oder Einrichtungen der Union sind, nur übermittelt werden, wenn der Empfänger nachweist, dass die Datenübermittlung im öffentlichen Interesse liegt und der Verantwortliche nachweist, dass die Datenübermittlung verhältnismäßig ist. Die Übermittlung der beantragten Dokumente, die personenbezogene Daten enthalten, ist daher nur zulässig, wenn die Anforderungen der genannten Bestimmung eingehalten werden.

Der Sachverhalt ist außergewöhnlich, weil der Abgeordnete zu einer langjährigen Haftstrafe wegen schwerer Kriminalität verurteilt wurde, dennoch Abgeordneter des EP blieb, daher weiterhin Anspruch auf Bezüge und Vergütungen des EP hatte und diese auch bezogen hat. Das öffentliche Interesse am Zugang zu den entsprechenden Dokumenten des EP ist gegeben.

Das Recht auf Dokumentenzugang geht jedoch nicht so weit, dass Dokumente, die nicht existieren oder über die das EP nicht verfügt, herausgegeben werden müssten. Zudem sind die Bezüge von Abgeordneten öffentlich verfügbar, weshalb die Herausgabe entsprechender personenbezogener Unterlagen nicht erforderlich ist. Das EP hat den Antrag der Aktivisten daher teilweise zu Recht abgelehnt.

Die Dokumente über die Vergütung für Reisekosten und Taggelder sind jedoch herauszugeben, weil entsprechende Informationen öffentlich nicht verfügbar sind. Auch die Dokumente über die Vergütung der Reisekosten der parlamentarischen Assistenten sind herauszugeben, weil nicht ausgeschlossen werden kann, dass diese Dokumente Hinweise auf mögliche, wenn auch nur indirekte, Beteiligungen an Straftaten enthalten.

Rechtsprechung des VwGH

Die DSB hat im Verfahren über eine Datenschutzbeschwerde den Grundsatz der materiellen Wahrheit zu beachten. Für eine "partielle" Derogation dieses Grundsatzes ergeben sich aus der DSGVO keine Anhaltspunkte. Stützt die DSB ihre Entscheidung nur auf schriftliche Stellungnahmen ohne Einvernahme der Verfahrensparteien, ist die Auffassung des BVwG, wonach der Sachverhalt ergänzungsbedürftig geblieben ist, vertretbar (VwGH 19.04.2024, Ra 2022/04/0006).

Übermittelt die Staatsanwaltschaft (StA) Ermittlungsakte an das Straflandesgericht, hängt die Entscheidung des Strafrichters über das Recht des Beschuldigten auf Akteneinsicht und dessen allfällige Beschränkung nicht davon ab, ob die StA zuvor das Recht des Beschuldigten auf Akteneinsicht beschränkt hat. Die Beurteilung der Erforderlichkeit der Datenübermittlung unterliegt einer Einzelfallbetrachtung. Diese Beurteilung wurde vom BVwG richtig vorgenommen. Der Strafrichter hätte allerdings zu prüfen gehabt, ob Daten des Opfers und seiner Familienangehörigen unkenntlich zu machen und von der Akteneinsicht auszunehmen sind (VwGH 19.04.2024, Ra 2024/04/0303).

Rechtsprechung des BVwG

BVwG 30.04.2024, W252 2272830-1

Eine Richterin gewährte einem Anwalt Akteneinsicht in den Strafakt eines verurteilten Straftäters. Die Akteneinsicht erfolgte ohne Wissen und Zustimmung des Straftäters. Der Anwalt war vom Straftäter nicht bevollmächtigt. Durch die gewährte Akteneinsicht fühlte sich der Straftäter von der Richterin und dem Gericht in seinem Recht auf Geheimhaltung verletzt und brachte eine erfolglose Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde hinsichtlich der Richterin aufgrund mangelnder Verantwortlichkeit ab. Betreffend das Gericht wies die DSB die Datenschutzbeschwerde mangels Zuständigkeit für Datenverarbeitungen im Rahmen der justiziellen Tätigkeit zurück. Das BVwG änderte den Bescheid der DSB dahingehend ab, dass auch die Datenschutzbeschwerde des Straftäters gegen die Richterin zurückgewiesen wird.

Das BVwG hat erwogen: Die "Sache" des Beschwerdeverfahrens in einem Verfahren, bei dem es um die Zurückweisung einer Beschwerde durch die Vorinstanz geht, ist die Frage der Rechtmäßigkeit der Zurückweisung. Die Zurückweisung der Datenschutzbeschwerde durch die DSB betreffend das Gericht war daher rechtmäßig.

Für den Rechtsschutz im Bereich der justiziellen Tätigkeit der Strafgerichte sind ausschließlich die Gerichte zuständig. Die Gewährung von Akteneinsicht an eine am Verfahren nicht beteiligte Person ist der justiziellen Tätigkeit des Gerichts zuzurechnen. Die DSB war daher auch für die Datenschutzbeschwerde gegen die Richterin unzuständig, weshalb die Datenschutzbeschwerde mangels Zuständigkeit der DSB zurückzuweisen war.

Dem Straftäter steht es offen, sich mit einer Beschwerde gemäß §§ 85a iVm 85 GOG an das zuständige Gericht zu wenden oder einen Einspruch iSd § 106 StPO zu erheben.

BVwG 02.04.2024, W176 2266382-1

Ein Betroffener beschwerte sich bei einem Sprachprüfungsverein über die fehlende Qualifikation bestimmter Sprachprüfer. Der Verein leitete das Beschwerdeschreiben an eigene Mitarbeiter sowie an das Sprachenzentrum einer Universität, das Lizenznehmer des Vereins war, weiter. Der Betroffene erhob Datenschutzbeschwerde an die DSB, weil durch die Weiterleitung des Schreibens seine Identität als Urheber des Beschwerdeschreibens offengelegt wurde. Die DSB wies die Datenschutzbeschwerde ab und verweigerte dem Betroffenen die Akteneinsicht in die Lizenzvereinbarung zwischen dem Verein und der Universität. Das BVwG wies die Bescheidbeschwerde des Betroffenen ab und befand die Verweigerung der Akteneinsicht für rechtmäßig.

Das BVwG hat erwogen: Entgegen der in der Praxis üblichen Ausdrucksweise "überwiegende berechtigte Interessen" müssen die berechtigten Interessen des Verantwortlichen (oder eines Dritten) tatsächlich die Interessen (oder Grundrechte und Grundfreiheiten) des Betroffenen nicht überwiegen – es genügt ein Gleichgewicht der Interessen.

Der Sprachprüfungsverein und das Sprachenzentrum der Universität hatten ein berechtigtes Interesse an der Datenweiterleitung, weil das Sprachenzentrum das Recht hatte, zu den Vorwürfen Stellung zu nehmen. Das Sprachenzentrum war aufgrund der Lizenzvereinbarung auch verpflichtet, sich zum Vorwurf, bei ihr kämen unqualifizierte Prüfende zum Einsatz, zu äußern. Die Identität des Betroffenen war auch deshalb offenzulegen, um die kritisierten Institutionen und Personen in die Lage zu versetzen, gegebenenfalls wegen möglichen Persönlichkeits- und Rechtsverletzungen rechtliche Schritte gegen den Betroffenen einzuleiten.

Der Betroffene musste damit rechnen, dass sein Schreiben, einschließlich seiner personenbezogenen Daten an die kritisierten Personen und Institutionen weitergegeben wird. Um eine vertrauliche Behandlung seines Schreibens ersuchte er nicht.

Betriebs- und Geschäftsgeheimnisse dürfen von der Akteneinsicht ausgenommen werden. Hinsichtlich der Lizenzvereinbarung machte der Sprachprüfungsverein in plausibler Weise geltend, dass durch ihre Offenlegung vertragliche Geheimhaltungspflichten gegenüber den Lizenznehmern verletzt würden. Anm: Die Verweigerung der Akteneinsicht erfolgt durch Verfahrensanordnung (§ 17 Abs 4 AVG). Diese Verfahrensanordnung kann nur gemeinsam mit dem Bescheid beim BVwG bekämpft werden.

BVwG 12.04.2024, W108 2275368-1

Ein Kirchenmitglied erhielt aufgrund seines mehrjährigen Rückstandes beim Kirchenbeitrag die Mahnklage einer Diözese zugestellt. Die Klage wurde an eine Liegenschaftsadresse des Kirchenmitgliedes gesandt, an der er keinen Wohnsitz hatte. Daraufhin erhob das Mitglied eine Datenschutzbeschwerde bei der DSB und brachte vor, dass die Diözese bei der Ermittlung seiner Adresse sein Recht auf Geheimhaltung verletzt habe. Die Diözese führte in ihrer Stellungnahme aus, dass ihre Mahnabteilung aufgrund eines Zustellanstandes eine ZMR-Abfrage sowie eine Internetabfrage auf den öffentlich zugänglichen Seiten der WKO durchführte. Nachdem eine Zustellung der Mahnklage an die abgefragte Adresse erfolglos blieb, beantragte die Diözese beim Gericht die Zustellung an die Liegenschaftsadresse, weil diese in der Diözesanen Katholikendatei (DKD) als ehemaliger Hauptwohnsitz des Mitglieds und seiner Ehefrau erfasst war. Die DSB wies die Datenschutzbeschwerde ab. Eine darauffolgende Bescheidbeschwerde des Kirchenmitglieds blieb erfolglos.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie zur Wahrnehmung eines berechtigten Interesses erfolgt, erforderlich ist und das Recht der betroffenen Person nicht überwiegt. Zudem müssen die Grundätze des Art 5 DSGVO erfüllt sein. Das Interesse an der Datenverarbeitung ist weit zu verstehen. Darunter fallen sowohl rechtliche als auch wirtschaftliche und ideelle Interessen. Der EuGH hat in seinem Urteil vom 17.06.2021, C-597/19, M.I.C.M, erkannt, dass die ordnungsgemäße Forderungsbetreibung ein berechtigtes Interesse sein kann. Da das Kirchenmitglied seit geraumer Zeit im Rückstand mit seinen Kirchenbeiträgen war, hatte die Diözese ein berechtigtes Interesse an der Mahnklage. Nachdem die zuvor versuchte Zustellung an die im ZMR angegebene Wohnadresse erfolglos blieb, musste die Diözese dem Gericht gemäß § 75 ZPO eine andere Adresse angeben, an welche die Mahnklage zugestellt werden konnte. Die gegenständliche Verarbeitung der Adresse war daher für das Mahnklageverfahren notwendig und das gelindeste Mittel.

Nicht maßgeblich ist, aus welcher Quelle die Diözese die Information über den früheren Hauptwohnsitz des Mitglieds erhoben hat. Denn die Eigentumsverhältnisse an der Liegenschaft sind Informationen, die die Diözese für die Zustellung der Mahnklage jedenfalls rechtmäßig aus dem – öffentlich zugänglichen – Grundbuch hätte erheben dürfen.

Betrifft eine Datenschutzbeschwerde einen grenzüberschreitenden Sachverhalt, der nicht in die Alleinzuständigkeit der DSB fällt, darf das Verfahren – bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses – dennoch nicht mit Bescheid ausgesetzt werden (BVwG 17.04.2024, W298 2281864-1).

Die Rechtsfrage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung dem Betroffenen gemäß Art 15 Abs 1 lit h DSGVO zur Verfügung zu stellen sind, ist beim EuGH in der Rs C-203/22, Dun & Bradstreet Austria, anhängig. Bis zur Entscheidung des EuGH wird das Verfahren über das Auskunftsrecht auf Bonitätsscores ausgesetzt (BVwG 17.04.2024, W287 2253353-1).

Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung beim Zugriff auf den Patientenindex sowie auf das zentrale Impfregister zum Versenden von COVID-Impferinnerungsschreiben ist beim Verwaltungsgerichtshof anhängig. Beim BVwG sind etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage anhängig. Aus Gründen der Prozessökonomie ist zu vermeiden, dass die gleiche Rechtsfrage nebeneinander in mehreren Verfahren erörtert werden muss. Zur Vereinfachung des Verfahrens und zur Bewahrung der Parteien vor der Einbringung unnötiger Revisionen bei dem Verwaltungsgerichtshof wird das Verfahren ausgesetzt (BVwG 18.04.2024, W256 2273356-1).

Vorschau EuGH-Rechtsprechung

Am 06.06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insb die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS, verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

back

Datenschutzmonitor 15.05.2024

Rechtsprechung des EuGH

EuGH 07.05.2024, C‑115/22, NADA

Eine Profisportlerin, die gegen Anti-Doping-Regeln verstoßen hat, wurde von der Österreichischen Anti-Doping-Rechtskommission (ÖADR) sanktioniert. Die Daten der Sportlerin wurden von der Unabhängigen Dopingkontrolleinrichtung (NADA) auf deren Website veröffentlicht. Die Sportlerin forderte eine Überprüfung des Beschlusses durch die Unabhängige Schiedskommission (USK), die die Konformität der Veröffentlichung mit der DSGVO hinterfragte und ein Vorabentscheidungsersuchen an den EuGH richtete. Der EuGH erklärte das Vorabentscheidungsersuchen der USK für unzulässig.

Der EuGH hat erwogen: Zur Anrufung des EuGH mit einem Vorabentscheidungsersuchen sind nur solche Stellen berechtigt, die als "Gericht" iSd Art 267 AEUV eingestuft werden können. Diese Einstufung setzt voraus, dass die Einrichtung (i) eine gesetzliche Grundlage hat, (ii) ständig eingerichtet ist, (iii) eine obligatorische Gerichtsbarkeit ausübt, (iv) über streitige Verfahren entscheidet, (v) Rechtsnormen anwendet und (vi) unabhängig ist.

Die USK ist durch ein (i) nationales Gesetz eingerichtet (§ 8 Anti-Doping-Bundesgesetz; ADBG), (ii) hat einen ständigen Charakter, (iii) übt eine obligatorische Gerichtsbarkeit aus, (iv) entscheidet über streitige Verfahren und (v) wendet Rechtsnormen an. Fraglich ist jedoch, ob die USK (vi) dem Unabhängigkeitskriterium genügt. Die Unabhängigkeit erfordert im Außenverhältnis, dass die Einrichtung ihre Funktion in völliger Autonomie ausübt, ohne Anweisungen zu erhalten und ohne dem Druck von Interventionen ausgesetzt zu sein.

Dies setzt die Unabsetzbarkeit der Mitglieder der Einrichtung voraus. Dh, dass die Richter im Amt bleiben dürfen, bis sie das obligatorische Ruhestandsalter erreicht haben oder ihre Amtszeit, sofern diese befristet ist, abgelaufen ist. Ausnahmen bedürfen legitimer und zwingender Gründe, wobei der Verhältnismäßigkeitsgrundsatz zu beachten ist. Der Grundsatz der Unabsetzbarkeit ist gewährleistet, wenn Mitglieder der Einrichtung nur nach ausdrücklichen gesetzlichen Vorschriften abberufen werden können, die über die allgemeinen Regeln des Verwaltungs- und Arbeitsrechts hinausgehende Garantien bieten.

Im Innenverhältnis erfordert die Unabhängigkeit die Unparteilichkeit der Einrichtung. Dh, dass die Zusammensetzung der Einrichtung, die Ernennung, die Amtsdauer und die Gründe für Enthaltung, Ablehnung und Abberufung ihrer Mitglieder es ermöglichen, bei den Rechtsunterworfenen jeden berechtigten Zweifel an der Unempfänglichkeit der genannten Stelle für Einflussnahmen von außen auszuschließen.

Die Mitglieder der USK sind in der Ausübung ihrer Funktion grundsätzlich unabhängig und unparteilich. Ihre Bestellung kann jedoch "aus wichtigen Gründen" widerrufen werden, ohne dass diese wichtigen Gründe näher definiert werden. Es gibt daher keine spezielle Vorschrift, die die Unabsetzbarkeit der Mitglieder der USK gewährleistet. Weiters ist für die Bestellung der Mitglieder des USK ein Bundesminister und somit ein Mitglied der Exekutive zuständig, ohne dass genaue Kriterien oder Garantien festgelegt wären. Die USK ist sohin nicht als "Gericht" iSd Art 267 AEUV einzustufen.

Rechtsprechung des BVwG

BVwG 02.04.2024, W176 2277128-1

Ein Richter des BVwG sah sich mit disziplinarrechtlichen Maßnahmen konfrontiert, nachdem sein Referent wegen Krankheit länger abwesend war. Während dieser Zeit stellte man Mängel in der Aktenführung und Verfahrensadministration des Referenten fest, was zu einer Überprüfung der offenen Arbeitsaufträge und einer Durchsuchung seines Büros führte. Daraufhin erstattete der Präsident des BVwG eine Disziplinaranzeige gegen den Referenten wegen Verstößen gegen Dienstpflichten und eine weitere Anzeige gegen den Richter selbst. Grundlage dieser Disziplinaranzeigen war ein Analysebericht, der insbesondere eine bildliche Darstellung des Arbeitsplatzes im Zeitpunkt des Beginns der durchgeführten Bestandsaufnahme, Angaben zur Anzahl der auf dem Arbeitsplatz vorgefundenen Unterlagen sowie eine nähere Berichterstattung enthielt.

Infolgedessen erhob der Richter eine Datenschutzbeschwerde gegen den Präsidenten des BVwG bei der DSB. Die DSB setzte das Verfahren zunächst aus, bis der EuGH in der Rs C-245/20, Autoriteit Persoonsgegevens, entschieden hat. Danach wies sie die Beschwerde des Richters ab. Gegen diesen Bescheid erhob der Richter Bescheidbeschwerde an das BVwG. Dieses wies die Bescheidbeschwerde hinsichtlich der Datenverarbeitungen iZm der erstatteten Disziplinaranzeige wegen Unzuständigkeit zurück und im Übrigen ab.

Das BVwG hat erwogen: Datenverarbeitungen, die sich auf den Richter oder seinen Referenten beziehen, sind rechtlich unterschiedlich zu bewerten. Die Ansicht der DSB und des Präsidenten des BVwG, dass keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO vorliegt, ist bzgl der Datenverarbeitungen betreffend die Disziplinaranzeige gegen den Richter unzutreffend.

Der EuGH beschränkt die Verarbeitungen von Daten durch Gerichte "im Rahmen ihrer justiziellen Tätigkeit" nicht auf solche, welche die Gerichte während der Bearbeitung konkreter Rechtssachen durchführen. Der Begriff "justizielle Tätigkeit" schließt auch Aufgaben ein, die möglicherweise nicht direkt mit einer gerichtlichen Entscheidung verbunden sind, aber die richterliche Unabhängigkeit beeinflussen können. Selbst scheinbar administrative Aufgaben können, wenn sie Ermessen beinhalten, Einfluss auf die Unabhängigkeit der Gerichte haben. Die disziplinarrechtlichen Schritte, die man gegen den Richter einleitete, sind als justizielle Tätigkeit anzusehen, weil sie geeignet sind, Einfluss auf die Kerntätigkeit des richterlichen Organs zu nehmen. Darüber hinaus ist ein Disziplinarverfahren gegen einen Richter des BVwG ein gerichtliches Verfahren vor dem BFG als Disziplinargericht und keine (bloße) Verwaltungstätigkeit bzw rein administrative Aufgabe. Es überwiegen die Gründe, die für das Vorliegen einer "justiziellen Tätigkeit" in Art 55 Abs 3 DSGVO sprechen. Folglich ist gemäß Art 130 Abs 2a B-VG iVm § 24a BVwGG iVm §§ 84 f GOG für Beschwerden wegen Datenschutzverletzungen das BVwG (in erster Instanz) zuständig.

Hinsichtlich des Referenten fand die Datenverarbeitung in Ausübung der Dienstaufsicht über den Referenten statt. Der Präsident des BVwG handelte somit gegen kein richterliches Organ und übte keine justizielle Tätigkeit aus. Weiters war der Präsident berechtigt und verpflichtet, potenziellen Dienstpflichtverletzungen nachzugehen. Die entsprechenden Datenverarbeitungen waren erforderlich und angemessen für das Disziplinarverfahren. Darüber hinaus ist die Datenschutzbehörde bzw das BVwG in einem datenschutzrechtlichen Verfahren nicht dazu berufen, eine allgemeine Rechtskontrolle über die Verfahrensführung anderer Behörden oder Gerichte auszuüben (Übermaßverbot).

Ist ein Vater für sein Kind nicht mehr obsorgeberechtigt, fehlt ihm auch die Antragslegitimation für die Erhebung eines Antrags auf Wiederaufnahme des Verfahrens (BVwG 03.04.2024, W221 2280884-2).

Im verwaltungsgerichtlichen Verfahren ist die Zurückziehung einer (Datenschutz-)Beschwerde zulässig und bis zur Entscheidung des Verwaltungsgerichts möglich. Die Zurückziehung einer Datenschutzbeschwerde führt zum Verlust des Erledigungsanspruchs. Geht der Erledigungsanspruch verloren, ist das Verfahren mit Beschluss einzustellen (BVwG 19.04.2024, W258 2252485-1).

Rechtsprechung der BDB

Die Liste der Jägerschaft der jeweiligen Bezirke ist eine offizielle Liste, die für jedermann einsehbar ist und nicht dem Amtsgeheimnis unterliegt. Die Jägerschaftsliste enthält die Namen der Jagdausübungsberechtigten (= Pächter) und der mit der Jagdaufsicht betrauten, vereidigten Behördenvertreter (BDB 04.07.2023, 2023-0.375.632).

Vorschau EuGH-Rechtsprechung

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Ab 5 lit c DSGVO.

Datenschutzmonitor 08.05.2024

Rechtsprechung des EuGH

EuGH 30.04.2024, C-470/21, La Quadrature du Net II

Der französischen Behörde für Urheberrechtsschutz im Internet (Hadopi) ist der Zugang zu Verbindungsdaten für im Internet begangene Urheberrechtsverstöße ohne vorherige Kontrolle durch einen Richter gestattet. Die Verstöße müssen keine "schweren Straftaten" sein. Der Verein La Quadrature du Net beantragte deshalb die Aufhebung der entsprechenden Rechtsvorschrift.

Das vorlegende Gericht fragte den EuGH, ob (i) zu IP-Adressen zugeordnete Identitätsdaten Verkehrs- oder Standortdaten sind und einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegen müssen, (ii) die ePrivacyRL nationalen Regelungen entgegensteht, die keine vorherige Kontrolle vorsieht und (iii) die Kontrolle automatisiert stattfinden darf.

Der EuGH hat erwogen: Der Hadopi werden erhobene IP-Adressen übermittelt, welche für die Verletzung von Urheberrechten oder verwandten Schutzrechten genutzt wurden. Auf Anfrage der Hadopi haben die Internetanbieter die IP-Adressen mit den Inhabern der Adressen abzugleichen und stellen der Hadopi eine Reihe personenbezogener Daten zur Verfügung. Dies dient dazu, dass die Hadopi gegen die Verletzungen Maßnahmen ergreifen und "Empfehlungen" (Warnungen) übersenden kann. IP-Adressen sind sowohl Verkehrsdaten iSd ePrivacyRL als auch personenbezogene Daten iSd DSGVO, unterscheiden sich jedoch von den anderen Kategorien der Verkehrsdaten, weil sie einen geringeren Sensibilitätsgrad aufweisen. Werden IP-Adressen nur zur Identifizierung einer Person verwendet, sind sie jedoch Identitätsdaten.

Eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen ist zulässig, wenn ausgeschlossen ist, dass diese Speicherung einen schweren Eingriff in das Privatleben der Betroffenen darstellt. Hierzu müssen die Mitgliedstaaten sichergehen, dass die Modalitäten der Vorratsspeicherung gewährleisten, dass jede Kombination der IP-Adresse mit anderen auf Vorrat gespeicherten Daten ausgeschlossen ist und keine Schlüsse auf das Privatleben der Personen gezogen werden können. Hierfür muss jede Kategorie von Daten völlig getrennt voneinander gespeichert werden und eine strikte Trennung zwischen den Kategorien stattfinden. Außerdem muss die Dauer der Speicherung auf das absolut notwendigste begrenzt werden und die Betroffenen müssen über wirksame Rechtsschutzgarantien verfügen. Der Zugang von Hadopi darf nur der Identifizierung von Personen dienen, die im Verdacht stehen eine Straftat begangen zu haben.

Eine vorherige Kontrolle des Zugangs durch ein Gericht oder eine unabhängige Verwaltungsstelle ist dann erforderlich, wenn die Behörde durch den Zugang genaue Schlüsse auf das Privatleben des Betroffenen ziehen und somit schwerwiegend in seine Grundrechte eingreifen könnte. Eine solche Kontrolle darf nicht vollständig automatisiert sein, weil die kontrollierende Stelle für einen Ausgleich zwischen den berechtigten Interessen im Rahmen der Kriminalitätsbekämpfung und dem Grundrecht auf Schutz personenbezogener Daten der Person, auf dessen Daten zugegriffen wird, zu sorgen hat. Zudem müssen die von den Behörden genutzten Datenverarbeitungssysteme regelmäßig von unabhängigen Stellen kontrolliert werden.

EuGH 30.04.2024, C-178/22, Procura della Repubblica presso il Tribunale di Bolzano

Ein italienisches Gesetz verpflichtet Gerichte, der Staatsanwaltschaft den Zugang zu Verkehrs- oder Standortdaten zur Verfolgung schwerer Straftaten zu genehmigen. Der italienische Gesetzgeber stufte Straftaten, die mit einer Freiheitsstrafe im Höchstmaß "von mindestens drei Jahren" bedroht sind, als schwere Straftaten ein.

Das vorlegende Gericht fragte den EuGH, ob dieses Gesetz mit Art 15 der ePrivacyRL vereinbar ist, weil durch das Abstellen auf die Schwelle von "drei Jahren Freiheitsstrafe" auch die Verfolgung von Straftaten erfasst ist, die nur eine begrenzt sozialschädliche Wirkung entfalten (zB Diebstähle von Mobiltelefonen oder Fahrrädern).

Der EuGH hat erwogen: Der Zugang zu Verkehrs- oder Standortdaten wie IMEI-Codes, Websiteaufrufe, Zeitpunkt und Dauer von Anrufen, gesendete und empfangene SMS/MMS ermöglicht genaue Rückschlüsse auf das Privatleben einer Person (zB Gewohnheiten des täglichen Lebens, Aufenthaltsorte oder soziale Beziehungen). Ein solcher Eingriff in die Privatsphäre kann nur durch die Ziele der Bekämpfung schwerer Straftaten oder der Verhütung ernsthafter Bedrohungen der öffentlichen Sicherheit gerechtfertigt werden.

Die Definition des Begriffs "schwere Straftaten" ist Sache der Mitgliedstaaten. Diese Definition muss aber den Anforderungen des Art 15 ePrivacyRL und der GRCh entsprechen. Eine Definition, wonach "schwere Straftaten" solche sind, für die die Freiheitsstrafe im Höchstmaß mindestens eine gesetzlich bestimmte Dauer beträgt, ist auf ein objektives Kriterium gestützt und steht damit im Einklang mit diesen Anforderungen. Das Fehlen der Bezugnahme auf eine anwendbare Mindeststrafe verstößt nicht zwangsläufig gegen den Grundsatz der Verhältnismäßigkeit. Die Gerichte müssen aber befugt sein, den Zugriff auf die Daten zu verweigern oder einzuschränken, wenn sie feststellen, dass es sich bei der betreffenden Tat offensichtlich um keine schwere Straftat handelt.

EuGH 30.04.2024, C-670/22, M.N. (EncroChat)

Französische Behörden installierten eine Trojaner-Software auf Kryptohandys von Personen im Bereich der Betäubungsmittelkriminalität, die den sogenannten "EncroChat"-Dienst nutzten, um Ende-zu-Ende verschlüsselte Telekommunikation zu betreiben, die mit herkömmlichen Ermittlungsmethoden nicht überwacht werden konnte. Betroffen waren ca 32.500 Nutzer in 122 Ländern, davon ca 4.600 in Deutschland. Die Generalstaatsanwaltschaft Frankfurt ersuchte daher die französischen Behörden mittels einer Europäischen Ermittlungsanordnung (EEA), die von ihnen erhobenen EncroChat-Daten zu erlangen, um diese in Strafverfahren verwenden zu können. Der EuGH präzisierte bestimmte, sich aus der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen ergebende Voraussetzungen für die Übermittlung und Verwendung von Beweismitteln.

Der EuGH hat erwogen: Eine EEA, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Staats befinden, in dem die EEA vollstreckt werden soll (Vollstreckungsstaat), muss nicht notwendigerweise von einem Richter erlassen werden. Sie kann von einem Staatsanwalt erlassen werden, wenn dieser in einem rein innerstaatlichen Verfahren dafür zuständig ist, die Übermittlung bereits erhobener Beweise anzuordnen.

Der Erlass einer solchen Anordnung unterliegt denselben materiell-rechtlichen Voraussetzungen, wie sie für die Übermittlung ähnlicher Beweismittel bei einem rein innerstaatlichen Sachverhalt gelten. Nicht erforderlich ist, dass er denselben materiell-rechtlichen Voraussetzungen unterliegt, wie sie für die Erhebung der Beweise gelten.

Die Infiltration von Endgeräten, die auf die Abschöpfung von Kommunikations-, Ver-kehrs- oder Standortdaten eines internetbasierten Kommunikationsdienstes abzielt, ist eine Überwachung des Telekommunikationsverkehrs. Der Mitgliedstaat, in dessen Hoheitsgebiet sich die Zielperson der Überwachung befindet, muss von dieser Überwachungsmethode unterrichtet werden. Sollte der überwachende Mitgliedstaat nicht in der Lage sein, die zuständige Behörde des zu unterrichtenden Mitgliedstaats zu ermitteln, kann die Unterrichtung an jede Behörde gerichtet werden, die der überwachende Mitgliedstaat für geeignet hält.

Die zuständige Behörde des Mitgliedstaats, in dem sich die Zielperson befindet, kann die Überwachung des Telekommunikationsverkehrs untersagen oder beenden, wenn die Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Auch kann sie der Behörde des überwachenden Mitgliedstaats mitteilen, dass das bereits gesammelte Material nicht oder nur unter den von ihr festzulegenden Bedingungen verwendet werden darf. Dies dient einerseits der Achtung der Souveränität des unterrichteten Mitgliedstaats, andererseits dem Schutz des Betroffenen.

Es muss ein nationaler Rechtsbehelf für Betroffene bestehen. Das nationale Strafgericht muss Beweismittel gegen die Zielperson unberücksichtigt lassen, wenn diese nicht in der Lage ist, sachgerecht zu ihnen Stellung zu nehmen und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Rechtsprechung des VwGH

VwGH 06.03.2024, Ro 2021/04/0027

Ein Betroffener beschwerte sich wegen unvollständiger Auskunftserteilung an die DSB, die seine Datenschutzbeschwerde abwies. Nachdem seine Bescheidbeschwerde vom BVwG abgewiesen wurde, richtete der Betroffene eine Revision an den VwGH. Der Revision wurde der Erfolg ebenso versagt.

Der VwGH hat erwogen: Das DSG sieht als Rechtsbehelf im Fall einer datenschutzrechtlichen Rechtsverletzung explizit einen Feststellungantrag im Rahmen der Beschwerde vor. Dieser ist gemäß § 24 Abs 5 DSG Folge zu geben, sofern sie sich als berechtigt erweist.

Kommt der Beschwerdegegner dem Leistungsbegehren (Auskunft, Richtigstellung, Löschung) nach, kommt die Feststellung einer Rechtsverletzung nicht mehr in Frage. Dem steht die DSGVO nicht entgegen, weil diese keine Feststellung einer Rechtsverletzung verlangt.

Es ist nicht ersichtlich, inwiefern es erforderlich wäre, dem Betroffenen eine Feststellung über eine bereits beseitigte Rechtsverletzung zuzugestehen. Wenn das Rechtsschutzbegehren darauf abzielt, eine bestimmte Leistung zu erhalten, die zum Entscheidungszeitpunkt erfüllt wurde, hat der Betroffene sein Rechtsschutzziel erreicht. Dies steht einem allfälligen Schadenersatzanspruch wegen der verspäteten Auskunftserteilung nicht entgegen, weil die Frage der Verspätung im Verfahren über das Ersuchen um Auskunftserteilung selbst nicht geklärt wird. Die Feststellung der Aufsichtsbehörde betreffend die verspätete Auskunftserteilung ist auch nicht Voraussetzung für eine Schadenersatzklage vor den Zivilgerichten. Ein Betroffener ist daher an der Verfolgung seiner Ansprüche nicht gehindert.

Eine "entscheidende Erleichterung" bei der Geltendmachung weiterer Ansprüche begründet kein rechtliches Interesse an einem Feststellungsbescheid.

Gemäß § 358 ASVG wird die unbedingte Anknüpfung an das "wahre" Geburtsdatum aufgegeben. Das biologische Geburtsdatum und das sozialversicherungsrechtliche Geburtsdatum sind unterschiedliche Datenkategorien. Die Regelung des § 358 ASVG ist eine zulässige Beschränkung gemäß Art 23 DSGVO, weshalb kein Recht auf Berichtigung besteht (VwGH 08.04.2024, Ra 2022/04/0056).

Bei einer im Einzelfall vorgenommenen Interessenabwägung ist die Revision an den VwGH nur dann zulässig, wenn das Ergebnis der Abwägung im angefochtenen Erkenntnis des BVwG in unvertretbarer Weise erzielt worden ist (VwGH 02.04.2024, Ro 2021/04/0018).

Einer Revision ist die aufschiebende Wirkung zuzuerkennen, wenn der Zuerkennung keine zwingenden öffentlichen Interessen entgegenstehen (VwGH 04.03.2024, Ra 2024/04/0010).

Rechtsprechung des BVwG

BVwG 09.11.2022, W292 2256548-1

Bei einer Häftlingsüberstellung verletzte ein Häftling eine Justizwachebeamtin. Die Justizanstalt erstattete Strafanzeige gegen den Häftling und legte der Anzeige Unterlagen der Justizwachebeamtin bei, die den Namen, die Kontaktdaten, die private Mobiltelefonnummer und Gesundheitsdaten enthielten. Die Staatsanwaltschaft (StA) prüfte nicht ob in den übermittelten Unterlagen personenbezogene Daten enthalten waren. Durch Akteneinsicht im Ermittlungsverfahren erlangte der Häftling Kenntnis über die Daten der Justizwachebeamtin. Infolgedessen drohte der Häftling der Justizwachebeamtin, sie an ihrem Wohnort aufzusuchen. Nach Einbringen des Strafantrags regte die StA bei dem zuständigen Richter die Schwärzung der Gesundheitsdaten im Akt an. Dieser Anregung folgte das Gericht nicht. Durch die Offenlegung der Daten durch die StA sah die Justizwachebeamtin sich in Ihrem Recht auf Geheimhaltung verletzt und erhob (erfolglose) Datenschutzbeschwerde bei der DSB. Gegen den Bescheid erhob sie Bescheidbeschwerde an das BVwG. Dieses hob die Entscheidung der DSB auf und stellte eine Verletzung des Rechts auf Geheimhaltung fest.

Das BVwG hat erwogen: Die StA ist datenschutzrechtlich für die Durchführung des Ermittlungsverfahrens verantwortlich. Sie hat zu jedem Zeitpunkt des Verfahrens die Grundsätze der Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit einzuhalten. Die Aufnahme der privaten Mobiltelefonnummer der Justizwachebeamtin in den Ermittlungsakt und die Übermittlung an den Haft- und Rechtsschutzrichter erfolgte unrechtmäßig. Die Verarbeitung der privaten Mobiltelefonnummer war zur Erfüllung der gesetzlichen Aufgaben der StA iSd § 74 StPO und der §§ 37 und 38 DSG nicht erforderlich.

Die Verarbeitung der weiteren Angaben der Justizwachebeamtin hat unter Wahrung des Geheimhaltungsinteresses und den Vorgaben des § 74 Abs 2 StPO zu erfolgen. Die StA hat Schritte zu unternehmen, um zu überprüfen, ob Unterlagen personenbezogene Daten enthalten, die für die Erfüllung ihrer Aufgaben nicht erforderlich sind. Auch hat die StA Maßnahmen zu ergreifen, um personenbezogene Daten vor unbeabsichtigter Weitergabe im Laufe eines Strafverfahrens zu schützen.

Das BVwG hat in einer bankenrechtlichen Angelegenheit dem EuGH zur Vorabentscheidung die Frage vorgelegt, ob die Regelung des § 35 FM-GwG, wonach juristische Personen nur unter bestimmten Voraussetzungen bestraft werden dürfen, mit Art 60 Abs 5 der 4. GeldwäscheRL vereinbar ist. Der Vorlagebeschluss ist ua darauf gestützt, dass die im Wesentlichen inhaltsgleiche Regelung des § 30 DSG infolge des EuGH Urteils in der Rs Deutsche Wohnen (C-870/21) nunmehr als unionrechtswidrig gilt (BVwG 25.04.2024, W148 2289668-1).

Rechtsprechung der DSB

DSB 26.01.2024, 2024-0.044.042

Eine Gemeinde beabsichtigte, ihr gesamtes Straßennetz mittels Panoramaaufnahmen zu dokumentieren, um eine umfassende Datenbasis für städtische Infrastrukturprojekte zu schaffen. Für die Durchführung des Projekts verhandelte sie mit dem Anbieter DataViewing. Vor Beginn des Projekts führte die Gemeinde eine Datenschutz-Folgenabschätzung (DSFA) durch. Diese ergab ein hohes Risiko für Betroffene, insbesondere wegen der Identifizierbarkeit von Personen und KFZ-Kennzeichen. Die angebotene Lizenzierung beinhaltete lediglich eine 95%ige Verpixelung. Eine vollständige Verpixelung hätte mehr gekostet. Die Gemeinde beantragte daher eine vorherige Konsultation bei der DSB (Art 36 DSGVO). Die DSB wies den Antrag zurück, weil die Voraussetzungen für die vorherige Konsultation gemäß Art 36 DSGVO mangels in der DSFA (dargelegtem) hohen Risikos nicht vorlagen.

Die DSB hat erwogen: Sind die entsprechenden Voraussetzungen erfüllt, ist die vorherige Konsultation keine Möglichkeit, sondern eine Verpflichtung des Verantwortlichen. Die Art 32, 35 und 36 DSGVO normieren ein dreistufiges System, wonach die Hürden für risikoreiche Verarbeitungen abhängig von der Höhe des Risikos und der Schwierigkeit, dieses Risiko einzudämmen, steigen.

Zum Zeitpunkt der Erstellung von Panoramabildern sind Personen und Kennzeichen identifizierbar, es werden somit personenbezogene Daten verarbeitet. Weite Teile des öffentlichen Straßennetzes im Gemeindegebiet zu erfassen, ist aufgrund des Verarbeitungsumfangs mit potenziell vielen Betroffenen mit einem hohen Risiko verbunden. Die Zweck-Mittel-Entscheidung über diese Datenerfassung trifft jedoch die DataViewing.

Die Gemeinde ist somit nicht die verantwortliche Stelle für diese Datenverarbeitung. Weiters haben Aufnahmen bereits stattgefunden. Schon alleine deshalb ist der Verarbeitungsvorgang einer vorherigen Konsultation nicht zugänglich.

DataViewing prüft nach Erfassen des Straßennetzes die einzelnen Aufnahmen und gibt sie erst in bearbeiteter Form an die Gemeinde weiter. Die Verpixelung verringert die Identifizierbarkeit und hat einen datenminimierenden Effekt. Für die Gemeinde als potenzielle Lizenznehmerin ist der Personenbezug nicht notwendig, daher erscheint dies auch als geeignete technische und organisatorische Maßnahme gemäß Art 25 und 32 DSGVO. Aufgrund der fehlenden Ganzkörperverpixelung wird jedoch die Identifizierbarkeit nicht gänzlich beseitigt. Zudem ist aufgrund möglicher technischer Gebrechen mit unzureichenden Verpixelungen zu rechnen.

Indem die Gemeinde, das von DataViewing prozessierte Bildmaterial über einen Webviewer zur Schaffung einer Geodateninfrastruktur abfragt, wird sie selbst zum Verantwortlichen iSd Art 4 Z 7 DSGVO. Das Restrisiko für diesen Verarbeitungsvorgang wurde von der Gemeinde jedoch als "niedrig" eingestuft. Ist das Risiko niedrig, liegen die Voraussetzungen für eine vorherige Konsultation laut der DSFA nicht vor. Eine über die DSFA hinausgehende Prüfung liegt nicht im Aufgabenbereich der DSB.

Das Konsultationsverfahren dient nicht der Beantwortung allgemeiner Fragestellungen hinsichtlich der Zulässigkeit von Verarbeitungstätigkeiten und noch weniger zur Beurteilung der Angemessenheit allfälliger Zusatzangebote (bzw der damit verbundenen Kosten). Im Übrigen kann auch ein (zulässiges) Konsultationsverfahren in keinem Fall "abschließende Rechtssicherheit" durch die DSB gewähren.

Rechtsprechung der BDB

BDB 18.04.2024, 2023-0.907.787

Ein Polizeibeamter hat während der Ausübung seines Dienstes mehrere Abfragen zu Personen und Kennzeichen durchgeführt, ohne diese entsprechend zu dokumentieren. Unter anderem Adressenabfragen von ehemaligen Kollegen, um diesen Einladungen zu einer Abschiedsfeier zu schicken und eine Kennzeichenabfrage vom Auto seines Sohnes, welcher sich nicht an sein neues Kennzeichen erinnern konnte.

Die BDB hat erwogen: Der Polizeibeamte hat insgesamt 26 Abfragen durchgeführt, wobei die von ihm angeführten Gründe teilweise nicht schlüssig und teilweise unzureichend waren. Er arbeitet seit acht Jahren in diesem Bereich und hat jährlich eine Datenschutzerklärung unterfertigt, in der auf die datenschutzrechtlichen Vorschriften hingewiesen wurde. Demnach dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke und zur Erfüllung einer Aufgabe verarbeitet werden. Bei den Abfragen betreffend seine Kollegen und seines Sohnes handelte es sich eindeutig um keine dienstlichen, sondern um private und somit ungerechtfertigte Abfragen. Aus diesem Grund hat der Polizeibeamte gegen näher bezeichnete Dienstanweisungen verstoßen, weshalb eine Geldbuße gegen ihn verhängt wurde.

Vorschau EuGH-Rechtsprechung

Am 05.2024 hat der EuGH in der Rs C-115/22, NADA, entschieden. Das Vorabentscheidungsersuchen wurde als unzulässig zurückgewiesen. Wir werden nächste Woche berichten.

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Ab 5 lit c DSGVO.

Datenschutzmonitor 03.05.2024

Rechtsprechung des EuGH

EuGH Schlussanträge 25.04.2024, C-446/21, Schrems (Communication de données au grand public)

Ein Facebook-Nutzer klagte Meta, weil seine personenbezogenen Daten, insbesondere zu seiner sexuellen Orientierung, für personalisierte Werbung verwendet wurden. Zwar hat er seine Homosexualität öffentlich erwähnt, aber nicht auf seinem Facebook-Profil angegeben. Außerdem hat der Nutzer es Meta nicht gestattet, bestimmte Profil-Informationen (zB Beziehungsstatus, Arbeitgeber, Beruf, Ausbildung) für personalisierte Werbung zu verwenden. Dennoch erhielt er regelmäßig Werbung, die sich an Homosexuelle richtete.

Das vorlegende Gericht zog zwei seiner ursprünglichen Fragen zurück, weil diese bereits Gegenstand eines anderen EuGH-Verfahrens waren. Zu klären blieb, ob personenbezogene Daten uneingeschränkt für personalisierte Werbung genutzt werden dürfen und ob die öffentliche Bekanntmachung sensibler Daten durch den Betroffenen die Verwendung dieser Daten für personalisierte Werbung erlaubt.

Der Generalanwalt hat erwogen: Der Grundsatz der Datenminimierung (Art 5 Abs 1 lit c DSGVO) steht der schrankenlosen Verarbeitung personenbezogener Daten nach Speicherdauer oder Art der Daten für die Zwecke personalisierter Werbung entgegen. Das vorlegende Gericht hat im Rahmen einer Einzelfallbeurteilung und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu prüfen, ob die Speicherdauer und die Art der verarbeiteten Daten für die personalisierte Werbung angemessen sind. Dem Gericht steht es dabei frei, zwischen "statischen" Daten (zB Alter, Geschlecht) und "verhaltensorientierten" Daten (zB Surfverhalten) sowie zwischen der Erhebung von Daten, die ein "aktives" Verhalten (zB Anklicken eines Like-Button) oder ein "passives" Verhalten (zB bloßer Besuch einer Website) betreffen, zu unterscheiden. Das vorlegende Gericht darf auch unterscheiden, ob die Daten innerhalb oder außerhalb der Facebook-Plattform erhoben werden. Dabei sind die jeweils zweitgenannten Unterscheidungen für den Betroffenen jeweils eingriffsintensiver. Zu berücksichtigen sind die vernünftigen Erwartungen des Betroffenen.

Gemäß Art 9 Abs 2 lit e DSGVO dürfen sensible Daten verarbeitet werden, wenn sie der Betroffene öffentlich bekannt gemacht hat. Dies erfordert die objektive Bedingung, dass die personenbezogenen Daten offensichtlich öffentlich gemacht wurden und die subjektive Bedingung, dass dies durch den Betroffenen geschah. Der Nutzer hat seine sexuelle Orientierung beiläufig im Rahmen einer Podiumsdiskussion offengelegt. Dies ist eine Handlung, mit der in voller Kenntnis der Sachlage sensible Daten offensichtlich öffentlich gemacht wurden. Aufgrund des offenen Charakters der live und dann als Streaming übertragenen Veranstaltung sowie des Interesses der Öffentlichkeit an dem dort behandelten Thema wurde ein unbestimmtes Publikum erreicht, das weit über das im Saal anwesende Publikum hinausgeht. Indem der Nutzer seine sexuelle Orientierung im Rahmen einer offenen und der Presse zugänglichen Veranstaltung offen erwähnte, hatte er zumindest das volle Bewusstsein, dieses Datum öffentlich zu machen. Die Anwendung des Art 9 Abs 2 lit e DSGVO hat aber lediglich zur Folge, dass der besondere Schutz durch den Betroffenen bewusst aufgehoben wird und die ursprünglich "geschützten" personenbezogenen Daten zu "gewöhnlichen" (dh nicht sensiblen) Daten werden. Die öffentliche Bekanntmachung allein bedeutet jedoch nicht, dass die Daten für die Zwecke der personalisierten Werbung verarbeitet werden dürfen.

EuGH Schlussanträge 25.04.2024, C-21/23, Lindenapotheke

Das vorlegende Gericht fragte den EuGH, ob (i) eine Apotheke, die Arzneimittel online verkauft, aufgrund eines Verstoßes gegen die DSGVO von einem Mitbewerber auf Unterlassung geklagt werden kann, und (ii) Daten, die bei der Online-Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln übermittelt werden, Gesundheitsdaten im Sinne der DSGVO sind.

Der Generalanwalt hat erwogen: Die DSGVO räumt nur natürlichen Personen Rechte ein. Unternehmen können sich aber inzident auf die Bestimmungen der DSGVO berufen, wenn sie eine Klage auf der Grundlage des nationalen Rechts erheben, wie etwa eine Unterlassungsklage wegen unlauteren Wettbewerbs. Eine solche Klage ist dann zulässig, wenn sie das in der DSGVO vorgesehene System von Rechtsbehelfen, die Ziele und die praktische Wirksamkeit der DSGVO nicht beeinträchtigt. Die Bestimmungen von Kapitel VIII der DSGVO stehen einer Klage eines Unternehmens aufgrund unlauteren Wettbewerbs, weil Mitbewerber gegen die materiellen Bestimmungen der DSGVO verstoßen haben, nicht entgegen.

Der Begriff der Gesundheitsdaten ist weit auszulegen und umfasst alle Daten, aus denen Informationen über den Gesundheitszustand eines Betroffenen hervorgehen. Diese Informationen müssen aber ein Mindestmaß an Gewissheit über den Gesundheitszustand bieten und nicht bloß hypothetisch oder ungenau sein. Der Kontext, in dem die Daten erhoben und verarbeitet werden, sowie die Identität des für die Verarbeitung Verantwortlichen ist zu berücksichtigen. Die Daten der Kunden einer Apotheke, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, sind keine Gesundheitsdaten, weil die bestellten Arzneimittel nicht auf die Behandlung eines bestimmten Krankheitszustands abstellen, sondern auch allgemein für Alltagsbeschwerden oder rein vorsorglich verwendet werden können. Es ist auch nicht sicher, dass die bestellende Person jene Person ist, die das Arzneimittel anwendet. Auch kann eine Person etwas bestellen, ohne genaue Angaben zu ihrer Identität zu machen.

Der Umstand, dass zur Identifizierung des Betroffenen zusätzliche Informationen erforderlich sind, vermag nicht auszuschließen, dass die fraglichen Daten als personenbezogene Daten qualifiziert werden können. Die Möglichkeit, die fraglichen Daten mit zusätzlichen Informationen zu kombinieren, muss jedoch ein Mittel sein, das nach allgemeinem Ermessen wahrscheinlich genutzt wird, um den Betroffenen zu identifizieren (EuGH 07.03.2024, C-479/22P, OC/Kommission). Anm: Dieses Urteil ist bereits am 07.03.2024 veröffentlicht worden.

Rechtsprechung des EuG

Der Zugang der Öffentlichkeit zu amtlichen Dokumenten gemäß VO (EG) 1049/2001 darf beschränkt werden, wenn der Aufwand zum Schwärzen personenbezogener Daten einen unverhältnismäßigen Verwaltungsaufwand verursachen und dadurch gegen den Grundsatz der ordnungsgemäßen Verwaltung verstoßen würde. (EuG 24.04.2024, T-205/22, Naass und Sea-Watch/Frontex).

Rechtsprechung des VwGH

VwGH 06.03.2024, Ro 2021/04/0030

Ein Betroffener stellte ein Auskunftsersuchen an eine Kreditauskunftei. Die erteilte Auskunft erachtete er für unvollständig. Der Betroffene erhob Datenschutzbeschwerde wegen Verletzungen in seinen Rechten auf Geheimhaltung und Auskunft sowie wegen Verletzungen der Informationspflicht nach Art 14 DSGVO, der Datenminimierungspflicht nach Art 5 DSGVO sowie der Datensicherungspflichten nach Art 25 DSGVO. Die DSB wies die Datenschutzbeschwerde teilweise ab und teilweise zurück. Das BVwG gab der Bescheidbeschwerde des Betroffenen teilweise statt. Die DSB und die Kreditauskunftei erhoben Revisionen gegen das Erkenntnis des BVwG, denen der VwGH teilweise stattgab.

Der VwGH hat erwogen: Die Feststellung einer Verletzung im Recht auf Auskunft ist im DSG ausdrücklich vorgesehen. Deshalb ist die Rechtsprechung zur Subsidiarität von Feststellungsbescheiden auf Datenschutzbeschwerden wegen Verletzung im Recht auf Auskunft nicht anzuwenden.

Die Kreditauskunftei hat den Betroffenen in seinem Recht auf Auskunft durch die fehlende Bekanntgabe der genauen Speicherdauer jedoch nicht verletzt, weil die Kreditauskunftei über die Kriterien für die Festlegung der Speicherdauer hinreichend präzise informiert hat. Darauf, ob die beauskunftete Speicherdauer mit dem Grundsatz der Speicherbegrenzung vereinbar ist, kommt es bei der Beurteilung der Auskunft nicht an.

Gemäß Art 77 DSGVO haben Betroffene das Recht auf Datenschutzbeschwerde, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Der Wortlaut des Art 77 DSGVO stellt somit nicht auf eine Verletzung in Rechten, sondern auf einen Verstoß der Datenverarbeitung gegen die DSGVO ab. Eine Datenschutzbeschwerde kann daher auf einen der Grundsätze des Art 5 Abs 1 DSGVO (zB Datenminimierung) gestützt werden.

Eine Verletzung im Recht auf Geheimhaltung ist nicht in jedem Fall automatisch auch ein Verstoß gegen die DSGVO. Umgekehrt ist nicht ausgeschlossen, dass in einer Datenschutzbeschwerde nach Art 77 DSGVO ein Verstoß gegen die DSGVO geltend gemacht wird, die keine Verletzung im Recht auf Geheimhaltung ist.

Die Informationspflicht nach Art 14 DSGVO unterscheidet sich von den Regelungen der Rechte auf Auskunft, Berichtigung und Löschung dadurch, dass sie von keinem Antrag des Betroffenen abhängt. Demnach gibt es keinen Leistungsantrag, dem der Verantwortliche entsprechen könnte. Die Rechtsverletzung liegt in der Unterlassung der (antraglos zu erfolgenden) Mitteilung. Die nachträgliche Beseitigung der Pflichtverletzung gemäß § 24 Abs 6 DSG ist nicht möglich.

Die Informationspflicht nach Art 14 DSGVO erfordert ein proaktives Handeln des Verantwortlichen. Die Bereitstellung einer Datenschutzerklärung auf der Homepage ist nicht ausreichend, wenn der Betroffene keine Kenntnis von der Datenverarbeitung hat. Die Kreditauskunftei hat ihre Informationspflicht nach Art 14 Abs 1 lit e DSGVO verletzt, weil sie den Betroffenen nicht aktiv informierte. Anm: Nach der bisherigen Rechtsprechung der DSB konnte eine Datenschutzbeschwerde nur auf die Verletzung subjektiver Rechte gestützt werden, wobei die Verletzung des Rechts auf Geheimhaltung aus Verletzungen unterschiedlichster Bestimmungen der DSGVO hergeleitet werden konnte. Nunmehr kann eine Datenschutzbeschwerde auf die Verletzung jeder Bestimmung der DSGVO gestützt werden.

Nach der bisherigen Rechtsprechung der DSB und des BVwG konnten Verströße gegen das Recht auf Information (Art 13 und 14 DSGVO) bis zum Ende des Verfahrens vor der DSB bzw des BVwG saniert werden. Das ist nun nicht mehr möglich, weshalb mit einer zunehmenden Zahl von Bescheiden wegen Verletzung der Informationspflicht zu rechnen ist.

VwGH 02.04.2024, Ro 2021/04/0008

Ein Betroffener richtete ein Auskunftsersuchen an eine Kreditauskunftei, die ihren Geschäftskunden Scorewerte in der Form von Ampelfarben zur Verfügung gestellt haben soll. Die Kreditauskunftei erteilte nach Ansicht des Betroffenen keine vollständige Auskunft. Die DSB und auch das BVwG stellten jeweils fest, dass die Kreditauskunftei den Betroffenen in seinem Auskunftsrecht teilweise verletzt hat. Das BVwG entschied jedoch, dass der Betroffene kein Recht auf Auskunft gemäß Art 15 Abs 1 lit h DSGVO habe, weil die Auskunftei keine automatisierte Entscheidung iSd Art 22 DSGVO treffe.

In der Zwischenzeit sprach der EuGH mit Urteil vom 07.12.2023, C-634/21, SCHUFA Holding (Scoring) aus, dass Profiling eine "automatisierte Entscheidung im Einzelfall" iSd Art 22 Abs 1 DSGVO ist, wenn das Ergebnis des Profiling für eine bestimmte – weitere – Entscheidung insofern maßgeblich ist, als das Handeln des Dritten von dem betreffenden Profiling bzw Scorewert maßgeblich geleitet wird, und so den Betroffenen erheblich beeinträchtigt. Der VwGH behob daher das Erkenntnis des BVwG im angefochtenen Spruchpunkt.

Der VwGH hat erwogen: Der Ansicht des BVwG zur Frage der Anwendbarkeit des Art 15 Abs 1 lit h DSGVO kann vor dem Hintergrund der Rechtsprechung des EuGH nicht gefolgt werden, weil der Umstand, dass der Verantwortliche das Ergebnis des Profiling (bloß) an eine dritte Person weitergibt, die darauf eine Entscheidung gründet, nichts daran ändert, dass das Profiling selbst eine automatisierte Entscheidung im Sinne des Art 22 Abs 1 DSGVO ist, sofern der sich aus dem Profiling ergebende Informationswert maßgeblich die von der dritten Person vorgenommene Entscheidung beeinflusst und derart dem Betroffenen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Das BVwG traf keine Feststellungen zum von der Kreditauskunftei als Bonitätsbeurteilung erstellten "Ampelwert", der wiederum von Kunden der Kreditauskunftei als Grundlage für den Abschluss von Verträgen herangezogen worden sein könnte. Aufgrund dieses sekundären Feststellungsmangels ist das Erkenntnis im angefochtenen Spruchpunkt zu beheben. Anm: Sowohl der Betroffene als auch die DSB haben gegen denselben Spruchpunkt des BVwG-Erkenntnisses Revisionen an den VwGH erhoben. Beide erstatteten Revisionsbeantwortungen auf die Revision des/der jeweils andere/n, obwohl die Revisionen dasselbe Ziel verfolgten. Der VwGH wies beide Revisionsbeantwortungen als unzulässig zurück, weil der Betroffene wie auch die DSB in Wirklichkeit ihre eigenen Revisionen weiter ausführten.

Über Datenschutzbeschwerden, die auf eine Verletzung im Recht auf Auskunft gerichtet sind, ist – auch wenn das Auskunftsersuchen vor Inkrafttreten der DSGVO gestellt wurde – die neue Rechtslage, dh Art 15 DSGVO, anzuwenden (VwGH 06.03.2024, Ro 2021/04/0037).

Rechtsprechung des BVwG

BVwG 27.03.2023, W214 2259197-1

Ein Fußgänger passierte ein geparktes und verriegeltes Fahrzeug. Über Nachschau durch das Fahrerfenster stellte der Fußgänger fest, dass der Halter des Fahrzeugs einen "Überwachungsmodus" aktiviert hatte, in dem die am Fahrzeug befestigten Kameras Bewegungen im Nahebereich des Fahrzeuges erkennen und aufzeichnen können. Die DSB wies die wegen Verletzung im Recht auf Geheimhaltung eingebrachte Datenschutzbeschwerde ab. Auch den Antrag des Fußgängers, eine Verletzung in seinen Informationsrechten durch den Fahrzeughalter festzustellen, wies die DSB ab.

Das BVwG hat erwogen: Der "Überwachungsmodus" ist eine Funktion zur Überwachung des Fahrzeugs gegen etwaige Einbrüche oder Diebstähle. Wenn diese Funktion aktiviert ist, bleiben die am Fahrzeug angebrachten Kameras und Sensoren eingeschaltet und bereit zur Aufzeichnung verdächtiger Aktivitäten rund um das Fahrzeug. Der Modus benötigt ein korrekt formatiertes USB-Laufwerk, das in den USB-Anschluss des Fahrzeugs eingesteckt ist, um Aufnahmen auf dem USB-Stick zu speichern und abzuspielen. Zum Zeitpunkt des Passierens des Fußgängers war zwar kein USB-Stick angeschlossen. Die fehlende Speicherung der Videosequenz ändert allerdings nichts daran, dass der Fußgänger von den Kameras erfasst und somit eine Datenverarbeitung durchgeführt wurde. Insofern trifft aufgrund der erfolgten Bildverarbeitung den Fahrzeughalter auch die Pflicht zur Information bei Erhebung personenbezogener Daten nach der DSGVO.

Das Gesetz sieht als Rechtsbehelf im Fall einer datenschutzrechtlichen Rechtsverletzung explizit einen Feststellungsantrag im Rahmen der Datenschutzbeschwerde vor, der gemäß § 24 Abs 5 DSG Folge zu geben ist, sofern sie sich als berechtigt erweist. Da die Informationspflichten im Zeitpunkt der Datenerhebung zu erfüllen sind, kommt es darauf an, ob es einem Verantwortlichen zu diesem Zeitpunkt grundsätzlich möglich ist, den Betroffenen zu kontaktieren und ihm die gebotenen Informationen zur Verfügung zu stellen. Dies ist prinzipiell der Fall, wenn der Betroffene selbst als unmittelbare Datenquelle dient, indem der Verantwortliche entweder seine Erscheinung oder sein Verhalten synchron wahrnimmt oder mit ihr in einen – auch asynchronen – persönlichen Kontakt tritt. Demgegenüber ist es irrelevant, ob der Betroffene aktiv an der Datenerhebung mitwirkt, sich ihr entziehen kann oder auch nur von ihr weiß. Da der Fahrzeughalter die entsprechenden Informationen im Zeitpunkt der Datenverarbeitung – während des Parkvorgangs – nicht zur Verfügung gestellt hatte, verletzte er die Informationspflicht.

BVwG 01.03.2024, W176 2249967-1

Ein Journalist begehrte beim AMS eine Auskunft nach dem AuskunftspflichtG, über die Unternehmen, die im Zuge der COVID-19-Pandemie Kurzarbeitsbeihilfen von mehr als 100.000 Euro erhalten haben, sowie Daten zu der Höhe der Beihilfen. Das AMS lehnte die Auskunftserteilung mit der Begründung ab, es handle sich bei den Daten der Unternehmen um Informationen, die dem Amtsgeheimnis und dem Datenschutz unterliegen. Gegen den Bescheid erhob der Journalist Bescheidbeschwerde an das BVwG. Das BVwG gab der Bescheidbeschwerde teilweise statt und verpflichtete das AMS, die Auskunft zu erteilen.

Das BVwG hat erwogen: Ob eine Auskunft nach dem AuskunftspflichtG erteilt werden muss, ist nach einer Interessenabwägung zu bestimmen. Bei der Abwägung ist das Recht auf Zugang zu Informationen (Art 10 EMRK) jenen Rechten gegenüberzustellen, die eine zulässige Verweigerung einer Auskunft erlauben. Die DSGVO kennt den Schutz personenbezogener Daten juristischer Personen, anders als das DSG, nicht. Angaben zu juristischen Personen können sich jedoch indirekt auf eine natürliche Person beziehen. Dies trifft beispielsweise auf Kapitalgesellschaften mit nur einem Gesellschafter zu. Dabei kann die Anwendbarkeit der DSGVO bei der Auskunftserteilung zu juristischen Personen nicht gänzlich ausgeschlossen werden.

Der Journalist hat ein berechtigtes Interesse an den begehrten Informationen, weil er über die Verwendung von öffentlichen Mitteln für die Bewältigung der COVID-19-Krise berichten will. Die Information ist für die journalistische Tätigkeit notwendig, um einen öffentlichen Diskurs über die Verteilung öffentlicher Mittel zur Bewältigung der COVID-19-Pandemie anzuregen. Die schutzwürdigen Interessen der Betroffenen überwiegen nicht, weil die angefragten Daten wirtschaftliche und unternehmensbezogene Daten sind, die keinen hohen Schutz nach dem Datenschutzrecht genießen. Zudem hat der Beschwerdeführer seine Anfrage auf die Unternehmen beschränkt, die mehr als 100.000 Euro an Kurzarbeitsbeihilfen erhalten haben, um einen unverhältnismäßigen Eingriff in die Rechte von natürlichen Personen, wie zum Beispiel Einzelunternehmer, zu vermeiden.

Bei der Auskunftserteilung werden die Daten zu einem anderen Zweck übermittelt als zu dem sie erhoben wurden. Es liegt aber kein inkompatibler Zweck für eine Weiterverarbeitung vor. Das AuskunftspflichtG ist zudem ein Eingriffsgesetz iSd Art 23 Abs 1 lit i DSGVO.

BVwG 05.10.2023, W292 2256176-1

Das AMS legte zur Auszahlung von Leistungen die Sozialversicherungsnummer eines Arbeitslosen offen. Der Arbeitslose erhob Datenschutzbeschwerde und machte geltend, dass die Sozialversicherungsnummer ein Gesundheitsdatum sei und dass seine Geheimhaltungsinteressen verletzt worden seien. Die DSB wies die Datenschutzbeschwerde ab und stützte sich dabei auf § 25 Abs 1 AMSG, wonach das AMS zur Verarbeitung der Sozialversicherungsnummer insoweit ermächtigt ist, als dies zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung ist. Gegen den Bescheid erhob der Arbeitslose (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verwendung der Sozialversicherungsnummer durch das AMS war rechtmäßig, weil die Verwendung auf einer qualifizierten gesetzlichen Grundlage beruhte (§ 25 AMSG). Die Sozialversicherungsnummer ist kein Gesundheitsdatum, weil sie sich weder auf die körperliche oder geistige Gesundheit einer natürlichen Person bezieht noch daraus Informationen über den Gesundheitszustand hervorgehen. Die Sozialversicherungsnummer wurde auch nicht zweckfremd oder überschießend verwendet, sondern lediglich als Identifikator im postalischen Benachrichtigungsvermerk angeführt. Das Vorbringen des Arbeitslosen, dass seine Sozialversicherungsnummer Dritten gegenüber offengelegt worden ist, war unsubstantiiert und nicht nachvollziehbar.

BVwG 05.04.2024, W287 2259607-1

Der Eigentümer eines Hauses fertigte eine Videoaufnahme an, in welcher seine Nachbarn und deren, auf der Zufahrt des Eigentümers abgestellte, Auto zu sehen waren. Im Video war auch eine "Drohung" von einem der Nachbarn zu hören, welche ca 30 Sekunden nach Beginn der Videoaufnahme fiel. Die Aufnahme wurde den Nachbarn von der Polizei zugestellt, weil der Eigentümer eine Anzeige wegen gefährlicher Drohung erstattete. Daraufhin erhoben die Nachbarn eine Datenschutzbeschwerde bei der DSB und brachten vor, durch die Aufnahme in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Der Eigentümer hielt in seiner Stellungnahme fest, dass die Aufnahme als Beweismittel im Rahmen einer Besitzstörungsklage und einer Anzeige bei der Polizeiinspektion dienen sollte. Die DSB gab der Datenschutzbeschwerde. Daraufhin erhob der Eigentümer eine (erfolglose) Bescheidbeschwerde an das BVwG.

Der BVwG hat erwogen: Die Nachbarn sind im Video erkennbar und wurden vom Eigentümer namentlich angesprochen, damit sind personenbezogene Daten verarbeitet worden. Da bei der Datenverarbeitung keine Einwilligung der Nachbarn vorlag, ist eine Interessenabwägung durchzuführen. Im Hinblick auf die Besitzstörung ist festzuhalten, dass eine mit Datum und Uhrzeit versehene Bildaufnahme ausreichend gewesen wäre. Eine Videoaufnahme zum Beweis einer gefährlichen Drohung kann grundsätzlich rechtmäßig sein, jedoch gab es zu Beginn der Videoaufnahme keine Drohungen seitens der Nachbarn, weshalb die Aufnahme nicht anlassbezogen zur Dokumentation einer Drohung erfolgte. Das Video begann bereits ca 30 Sekunden vor der "Drohung" und dauerte danach noch ca weitere 4 Minuten an. Damit war die Datenverarbeitung nicht auf das notwendigste Maß gemäß Art 5 Abs 1 lit c DSGVO beschränkt und unzulässig.

Das Verwaltungsgericht kann gegen Personen, die offenbar mutwillig die Tätigkeit der Behörde in Anspruch nehmen oder in der Absicht einer Verschleppung der Angelegenheit unrichtige Angaben machen, eine Mutwillensstrafe in der Höhe von bis zu EUR 726 verhängen. Wiederholte grund- und aussichtslose Eingaben sind als rechtsmissbräuchlich zu werten (BVwG 12.03.2024, W292 2256176-1).

Das Erheben einer Säumnisbeschwerde nach Erlassen des beantragten Bescheids ist zulässig. Eine Säumnisbeschwerde wird jedoch gegenstandlos, wenn die Verwaltungsbehörde den beantragten Bescheid erlassen hat (BVwG 08.04.2024, W108 2288735-1).

Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Betroffene den Anspruch nicht binnen eines Jahres ab Kenntnis vom beschwerenden Ereignis geltend macht. Die Weitergabe von Daten ist eine abgeschlossene Handlung, weshalb keine "fortgesetzte Schädigung" besteht (BVwG 05.04.2024, W211 2274025-1).

Die Frist zum Erheben einer Bescheidbeschwerde beträgt vier Wochen. Wird die Rechtsmittelfrist versäumt, ist die Bescheidbeschwerde als verspätet zurückzuweisen (BVwG 15.04.2024, W108 2287168-1).

Ein grenzüberschreitendes Verfahren liegt vor, wenn potenziell von der verfahrensgegenständlichen Verarbeitung in anderen Mitgliedstaaten Personen betroffen sein können. Das Verfahren darf zur Ermittlung der federführenden Aufsichtsbehörde formell jedoch nicht ausgesetzt werden (BVwG 02.04.2024, W176 2275060-1).

Das Verfahren vor der DSB darf zur Ermittlung der federführenden Aufsichtsbehörde formell nicht ausgesetzt werden. Denn § 24 Abs 10 Z 2 sieht keine Verfahrensaussetzung vor, sondern normiert nur eine Hemmung des Fristenlaufs, während das Kohärenzverfahren anhängig ist (BVwG 04.04.2024, W211 2280745-1; 04.2024, W211 2278962-1).

Rechtsprechung der DSB

DSB 17.01.2022, 2021-0.512.929

Die A1 übermittelte monatlich Daten des Personalakts eines Mitarbeiters an ihren Zentralausschuss (Zentralbetriebsrat). Weiters gewährte sie dem Zentralausschuss einen direkten Zugriff auf Teile des Personalverwaltungssystems SAP. Daraufhin brachte der Mitarbeiter Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde teilweise statt. Sie stellte eine Verletzung im Recht auf Geheimhaltung durch die monatliche Übermittlung der Daten fest.

Die DSB hat erwogen: Der Zentralausschuss ist ein gemäß §§ 9 iVm 21 PBVG bei der A1 eingerichtetes Personalvertretungsorgan. Bei der A1 sind mehrere Personalausschüsse und zahlreiche Vertrauenspersonenausschüsse etabliert. Adressat der Mitwirkungsrechte des § 89 ArbVG ist jedoch nur der jeweils zuständige Betriebsrat. § 73 PBVG sieht eine entsprechende Kompetenzabgrenzung der Personalvertretungsorgane vor. Gemäß § 73 Abs 1 PBVG sind primär die Personalausschüsse und sekundär der Vertrauenspersonenausschuss für die der Arbeitnehmerschaft gemäß § 72 PBVG zustehenden Befugnisse zuständig. Die dem Betriebsrat zustehenden Überwachungsbefugnisse fallen demnach in die Zuständigkeit der Personalausschüsse. Eine Zuständigkeit des Zentralausschusses ist hierfür im PBVG nicht vorgesehen. Darüber hinaus sieht § 89 ArbVG zwar Überwachungs- und Kontrollbefugnisse des Betriebsrats vor, jedoch wird darin keine Rechtsgrundlage für die proaktive und periodische Übermittlung von Mitarbeiterdaten durch den Betriebsinhaber normiert. Der Zentralausschuss hatte die Daten des Mitarbeiters in Ausübung seiner Befugnisse auch nicht aktiv angefordert. Folglich übermittelte A1 die personenbezogenen Daten des Mitarbeiters ohne qualifizierte gesetzliche Rechtsgrundlage und ohne berechtigtes Interesse an ein unzuständiges Personalvertretungsorgan.

Es erfolgte jedoch kein unrechtmäßiger Zugriff auf die Daten des Mitarbeiters im Personalverwaltungssystem SAP. Der Mitarbeiter behauptete auch keinen solchen Zugriff. Eine Verletzung des Grundrechts auf Geheimhaltung kann nur aus einer ex-post Betrachtung aufgrund der in der Datenschutzbeschwerde relevierten Umstände festgestellt werden. Verletzungen, die sich entweder noch nicht manifestiert haben oder nur möglicherweise auftreten könnten, dürfen nicht geltend gemacht werden.

Vorschau EuGH-Rechtsprechung

Am 04.2024 hat der EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, über den Zugang einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrter Verkehrs- oder Standortdaten entschieden. Wir werden nächste Woche berichten.

Am 04.2024 hat der EuGH in der Rs C-470/21, La Quadrature du Net II, über den Zugang zu IP-Adressen entschieden. Wir werden nächste Woche berichten.

Am 04.2024 hat der EuGH in der Rs C‑670/22, M.N. (EncroChat), über die Verarbeitung personenbezogener Daten in Zusammenhang mit der Europäische Ermittlungsanordnung entschieden. Wir werden nächste Woche berichten.

Am 05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

April 2024

03.04. | 10.04. | 17.04. | 24.04.

Datenschutzmonitor 24.04.2024

Rechtsprechung des BVwG

BVwG 26.03.2024, W137 2241630-1

Einem Kreditinstitut wurde von der DSB eine Geldbuße iHv EUR 4 Mio und ein Kostenbeitrag von EUR 400.000 auferlegt, weil eine Mitarbeiterin versehentlich eine E-Mail samt Excel-Liste verschickte, in der personenbezogene Bankdaten von ca 5970 Kunden enthalten waren. Dies erfolgte unter Verletzung interner Arbeitsanweisungen zur E-Mailkultur. Zuständig für die Verbreitung der Liste waren die Filialleiterin und die Mitarbeiterin, die den E-Mail-Versand durchführte. Das BVwG wies die Bescheidbeschwerde des Kreditinstituts mit der Maßgabe ab, dass die Geldbuße auf EUR 50.000 und der Kostenbeitrag auf EUR 5.000 herabgesetzt wird.

Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist. Eine Strafbarkeit gemäß Art 83 DSGVO erfordert Vorsatz oder Fahrlässigkeit, nicht aber eine Handlung oder die Kenntnis des Leitungsorgans. Die entsprechenden nationalen Regelungen des § 9 VStG und § 30 DSG sind daher nicht anzuwenden.

Unternehmen haften im Rahmen des Art 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten, sofern diese nicht im Exzess handeln. Ein allfälliger Exzess ist auszuschließen, weil die Mitarbeiterin die Datenverarbeitung im Rahmen ihres Arbeitsverhältnisses und im Interesse des Kreditinstituts durchführte. Die Verantwortung für die Konfiguration und Absicherung der Daten lag bei den Leitungsorganen des Kreditinstituts. Letzteres entscheidet allein und mit Entscheidungsgewalt über die wesentlichen Aspekte der Zwecke und Mittel der Verarbeitung, ua durch Weisungen, weshalb das Kreditinstitut Verantwortlicher gemäß Art 4 Z 7 DSGVO ist. Das Verwaltungsstrafverfahren wurde somit gegen die korrekte Beschuldigte geführt.

Insgesamt verstieß der Versand der E-Mails samt Anhang gegen Art 5 Abs 1 lit f und Art 32 DSGVO und erfüllte den Straftatbestand des Art 83 Abs 4 lit a DSGVO. "State of the art" wäre eine vollständig pseudonymisierte Kundendatei gewesen, die unabhängig von einer zusätzlichen Verschlüsselung bei Verlust keine Verbindung zu konkreten Personen durch Dritte ermöglicht. Indem das Kreditinstitut eine nicht vollständig pseudonymisierte Excel-Liste für Arbeitsprozesse zur Verfügung stellte, die technisch problemlos in eine Massen-E-Mail exportiert werden konnte, handelte es leicht fahrlässig. Dass ein solcher Export grundsätzlich untersagt war, steht der leichten Fahrlässigkeit nicht entgegen, weil eine unbeabsichtigte Offenlegung einer Datei, die regelmäßig in Arbeitsprozessen verwendet wird, als potenzielles Risiko nicht ausgeschlossen werden kann.

Für den Strafrahmen ist mangels Vorliegens einer wirtschaftlichen Einheit mit der Muttergesellschaft nur das Betriebsergebnis des Kreditinstituts als hundertprozentige Tochter heranzuziehen. Unabhängig von der Beteiligungshöhe der Muttergesellschaft ist eine wirtschaftliche Einheit nicht anzunehmen, wenn das Kreditinstitut eigenständig am Markt auftritt und selbstbestimmt handelt. Das Kreditinstitut ist mit einer eigenen Führungsebene bis hin zu einem Vorstand ausgestattet, ihr sind die relevanten Geschäftszweige selbst überlassen und es besteht ein gesondertes Filialnetz, das auch personell durch das Kreditinstitut selbst geführt wird. Zudem bewahren die einzelnen Tochtergesellschaften unabhängig von der Muttergesellschaft ein eigenständiges Auftreten auf dem Markt. Neben einem gemeinsamen Datenschutzbeauftragten im Bereich des Datenschutzes sind verantwortliche Beauftragte auf Filialebene installiert. Weiters war Auslöser des Verfahrens ein individueller Fehler auf Filialebene iVm einer nicht pseudonymisierten Datei, die ein eigenes Produkt des Kreditinstituts war und somit allein die Filialebene betraf.

Praxistipp: Auch für den internen Gebrauch bestimmte Excel-Dateien mit Kunden- oder Mitarbeiterdaten sollten nach Möglichkeit pseudonymisiert oder mit Passwort geschützt werden.

BVwG 11.03.2024, W252 2271937-1

Ein "Ungeimpfter" erhielt ein COVID-19-Impferinnerungsschreiben. In der Kopf- und Fußzeile des Schreibens waren die Logos mehrerer Körperschaften öffentlichen Rechts abgebildet. Der Ungeimpfte erhob eine auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den vermeintlichen Verantwortlichen. Die DSB leitete parallel ein amtswegiges Prüfverfahren ein und stellte die datenschutzrechtliche Verantwortlichkeit hinsichtlich eines anderen Verantwortlichen fest. Dieses Ermittlungsergebnis übertrug die DSB auf die Datenschutzbeschwerde des Ungeimpften. Die DSB stellte einen unrechtmäßigen Zugriff auf die Daten des Ungeimpften im zentralen Impfregister sowie im zentralen Patientenindex – durch den im amtswegigen Prüfverfahren identifizierten Verantwortlichen – fest. Der dagegen erhobenen Bescheidbeschwerde gab das BVwG statt.

Das BVwG hat erwogen: Eine Datenschutzbeschwerde kann grundsätzlich nur dann erfolgreich sein, wenn der bezeichnete Beschwerdegegner tatsächlich für die Datenverarbeitung verantwortlich ist. Dies gilt jedoch nur unter der Prämisse, dass die Bezeichnung des richtigen Beschwerdegegners zumutbar ist. Indem das Impferinnerungsschreiben von zwei verschiedenen Stellen unterfertigt wurde und die Logos von vier verschiedenen Krankenkassen enthielt, war dem Ungeimpften die korrekte Bezeichnung des Beschwerdegegners unzumutbar. Es oblag diesfalls der DSB, im Rahmen der Ermittlung der materiellen Wahrheit festzustellen, wer vom möglichen Personenkreis tatsächlich über Zweck und Mittel der Datenverarbeitung bestimmt hat. Die DSB hat jedoch die falsche Stelle als Beschwerdegegnerin und damit als Verantwortliche bestimmt. Dadurch führte die DSB das Verfahren gegen eine Stelle, die vom Rechtsschutzantrag des Ungeimpften nicht umfasst war. Aus diesem Grund war der Bescheid ersatzlos zu beheben.

Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata.

BVwG 24.01.2024, W176 2265906-1

Ein den Sozialversicherungsträgern zugehöriges Unternehmen durchsuchte auf Grund des Verdachts eines innerbetrieblichen Verstoßes gegen Verschwiegenheitspflichten, nach der Veröffentlichung vertraulicher Sitzungsprotokolle, sämtliche E-Mail-Konten und Postfächer seiner rund 6.000 Mitarbeiter auf Nachrichtenübermittlungen im Zeitraum vom 30.07.2020 bis 15.08.2020 an eine spezielle Domain. Dabei sind Protokolldaten des E-Mail-Systems ausgewertet worden, die Inhalte der einzelnen Mails wurden nicht ausgewertet.

Mitglieder des Betriebsrats des Unternehmens meinten, dass diese Kontrollmaßnahme gegen das Recht auf Geheimhaltung verstoßen hat. Die Ergebnisse der Recherche seien zu vernichten. Gegen das Vorgehen des Unternehmens brachten die Mitglieder des Betriebsrats, die selbst betroffen waren, Datenschutzbeschwerde bei der DSB ein. Das Unternehmen brachte vor, dass die Überwachungsmaßnahme datenschutzkonform an das Modell der stufenweisen Kontrollverdichtung angelehnt war und die Auswertung eine Vorbereitungshandlung für die Geltendmachung bzw Abwehr von Rechtsansprüchen gewesen ist. Auch bestünde ein Interesse des Unternehmens daran, die Rechtmäßigkeit der durch die Mitarbeiter stattfindende Verarbeitung personenbezogener Daten zu überprüfen. Die DSB gab der Datenschutzbeschwerde der Mitglieder des Betriebsrats statt und stellte eine Verletzung ihres Geheimhaltungsrechts fest. Der Antrag auf Vernichtung der Ergebnisse der Datenrecherche wurde zurückgewiesen. Gegen den Bescheid der DSB brachte das Unternehmen eine (erfolglose) Bescheidbeschwerde beim BVwG ein.

Das BVwG hat erwogen: Das Unternehmen war bei der Durchführung der Überwachungsmaßnahme nicht hoheitlich tätig, sondern handelte im Rahmen der Privatwirtschaftsverwaltung. Daher durfte das Unternehmen grundsätzlich zur Wahrung seiner berechtigten Interessen personenbezogene Daten verarbeiten (Art 6 Abs 1 lit f DSGVO). Das Unternehmen hatte ein berechtigtes Interesse an der Aufklärung einer möglichen Dienstpflichtverletzung durch seine Mitarbeiter und an der Wahrung von Geschäftsgeheimnissen. Die Verarbeitung der Daten von 6.000 Mitarbeitern war jedoch nicht erforderlich. Das Unternehmen hat keine Einschränkung auf bestimmte Personenkreise oder Zeiträume vorgenommen. Seine Vorgehensweise entsprach somit nicht dem Modell der stufenweisen Kontrollverdichtung.

Zudem war die Durchsuchung der Logfiles für den maßgeblichen Zeitraum technisch nicht mehr möglich. Die Kontrollmaßnahme war daher nicht geeignet, die Weiterleitung des Protokolls an die spezielle Domain aufzuspüren. Das Unternehmen hat somit gegen den Grundsatz der Datenminimierung verstoßen (Art 5 Abs 1 lit c DSGVO). Darüber hinaus hat das Unternehmen gegen die Betriebsvereinbarung verstoßen, indem sie die örtlichen Betriebsratskörperschaften in die geplante Datenverarbeitung nicht involviert hat. Die durchgeführte Kontrollmaßnahme war daher nicht rechtmäßig.

BVwG 09.01.2024, W211 2262321-1

Die Patientin einer medizinischen Anstalt, welche gleichzeitig Arbeitnehmerin der Anstalt war, erhob eine Datenschutzbeschwerde bei der DSB, weil verschiedene Personen unbefugt auf ihre im elektronischen Patientendokumentationssystem gespeicherten Daten zugegriffen haben sollen. Zudem brachte die Patientin eine Datenschutzbeschwerde gegen die DSB selbst ein und gab vor, dass diese im Verfahren unzulässigerweise Stellungnahmen von einer nicht berechtigten Person entgegennahm. Nachdem die DSB die gegen sie gerichtete Datenschutzbeschwerde abwies, brachte die Patientin eine erfolglose Bescheidbeschwerde und in weiterer Folge eine außerordentliche Revision beim BVwG ein. Die Leiterin der zuständigen Gerichtsabteilung des BVwG leitete die Revision im Verfahren gegen die DSB auch Dritten, nämlich dem Arbeitgeber der Patientin und dessen Rechtsvertreter, weiter. Daraufhin erhob die Patientin eine Beschwerde gemäß Art 130 Abs 2a B-VG gegen das BVwG, weil sie sich durch das Handeln der Leiterin in ihrem Geheimhaltungsrecht verletzt fühlte.

Das BVwG hat erwogen: Die Leiterin der Gerichtsabteilung ist ein Rechtssprechungsorgan des BVwG. Das BVwG handelte bei der Zustellung der außerordentlichen Revision in Ausübung seiner justiziellen Tätigkeit. Die Zustellung der Revision an den Arbeitgeber und dessen Rechtsvertreter erfolgte aufgrund eines fehlerhaften Eintrags in der elektronischen Verfahrensadministration des BVwG, der diesen fälschlicherweise als Verfahrenspartei führte. Die außerordentliche Revision enthielt personenbezogene Daten der Patientin, wie zB ihren Namen, ihre Adresse, sowie Gesundheitsdaten. Festzuhalten ist, dass die dem Arbeitgeber unzulässigerweise übermittelten Daten diesem bereits aus dem Dienstverhältnis und der Behandlung in seiner Anstalt bekannt waren. Dennoch ist die Zustellung eine datenschutzrechtliche Verarbeitung iSd Art 4 Z 2 DSGVO, die nicht durch eine Rechtsgrundlage nach Art 6 oder 9 DSGVO gerechtfertigt war. Die Patientin wurde daher in ihrem Recht auf Geheimhaltung verletzt, weshalb der Beschwerde stattzugeben war.

Anm: Das BVwG entscheidet über Beschwerden gemäß Art 130 Abs 2a B-VG in einem Richtersenat, der aus drei Berufsrichtern besteht.

BVwG 19.03.2024, W287 2239852-1

Ein Arbeitnehmer (AN) erhob Datenschutzbeschwerde bei der DSB und brachte darin vor, dass ihm sein Arbeitgeber (AG) unvollständig Auskunft über die ihn betreffenden personenbezogenen Daten erteilt hätte. Er brachte ua vor, dass die beantragten Daten für ein zivilgerichtliches Verfahren gegen seinen AG entscheidend wären. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte fest, dass der AG den AN in seinem Recht auf Auskunft verletzt hat. Ein Anspruch auf Herausgabe ganzer Dokumente hätte gemäß Art 15 Abs 3 DSGVO jedoch nicht bestanden und auch die Herausgabe von Unterlagen für zivilgerichtliche Verfahren sei von der DSGVO nicht gedeckt. Daraufhin erhob der AN eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSB trug dem AG in ihrem Bescheid auf, eine ergänzende Auskunft an den AN zu erteilen. Die in diesem Beschied festgestellte Unvollständigkeit der erteilten Auskunft ist nicht Gegenstand des Verfahrens vor dem BVwG.

Darüber hinaus stellte der AN bloß zwei eingeschränkte Auskunftsersuchen an den AG. Die Vollständigkeit der erteilten Auskunft ist anhand dieser Ersuchen zu beurteilen. Die vom AN vorgebrachte Unvollständigkeit zielt auf Daten ab, die nachweislich nicht im Personalakt gespeichert werden und nicht vom Auskunftsersuchen des AN umfasst sind. Vor diesem Hintergrund liegt keine Unvollständigkeit vor.

Ein Anspruch auf Erhalt einer Dokumentenkopie besteht nur, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Rechte zu ermöglichen. Neben dem Auskunftsrecht besteht kein zusätzliches Recht auf Kopien von Auszügen aus ganzen Dokumenten oder Datenbanken.

BVwG 22.03.2024, W287 2273049-1

Das Interesse des Vermächtnisnehmers, seine Rechte als Nachlassgläubiger zu sichern, überwiegt dem Geheimhaltungsinteresse des Alleinerben, sofern die Ausführungen des Vermächtnisnehmers abstrakt geeignet sind, seinen rechtlichen Standpunkt zu stützen. Daran ändert es auch nichts, wenn der beim Verlassenschaftsgericht ursprünglich gestellte Antrag wieder zurückgezogen wird. Zudem hielt das BVwG in dieser Entscheidung fest, dass Rechtsanwälte und Gerichtssachverständige datenschutzrechtlich Verantwortliche sind.

BVwG 19.03.2024, W287 2249380-1

Der Umfang der Auskunftserteilung wird durch den Zeitpunkt der Antragstellung bestimmt. Ist ein konkreter Auskunftsgegenstand vom Spruch des angefochtenen Bescheides nicht umfasst, ist dem BVwG ein Ausspruch über diesen – neu vorgebrachten – Auskunftsgegenstand verwehrt. Wird eine zunächst unvollständige Auskunft durch eine ergänzende Auskunft vervollständigt, ist der Auskunftswerber in seinem Auskunftsrecht nicht mehr verletzt. Ein Recht auf Feststellung vergangener und inzwischen behobener Rechtsverletzungen besteht nicht.

BVwG 25.03.2024, W150 2288580-2

Rechtsanwälte haben Schriftsätze – sofern beim Gericht eingerichtet – über eine spezielle Software, dem Elektronischen Rechtsverkehr (ERV), einzubringen. Die Einbringung eines Schriftsatzes mittels ERV entspricht im Gegensatz zu den unsicheren Übermittlungsformen von E-Mail und Fax den Anforderungen der Datensicherheit nach Art 32 DSGVO.

Anm: Diese Aussage des BVwG mag zutreffen. In seiner Gesamtheit ist der Beschluss des BVwG jedoch nicht nachvollziehbar. Das BVwG wirft einem Rechtsanwalt vor, kein ERV verwendet zu haben, obwohl beim BVwG für Rechtsanwälte ERV vorgeschrieben ist. Der Rechtsanwalt brachte sein Rechtsmittel jedoch (richtig) bei der erstinstanzlichen Verwaltungsbehörde ein, wo kein ERV eingerichtet war und daher auch nicht verwendet werden konnte.

BVwG 19.03.2024, W252 2271599-1

Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das Verwaltungsgericht hat in einem solchen Fall den Bescheid der DSB ersatzlos zu beheben.

Rechtsprechung des BFG

BFG 05.04.2024, RV/7100792/2023

Ein Bescheid bedarf gemäß § 96 Abs 2 BAO weder einer Unterschrift noch einer Beglaubigung, wenn er elektronisch ausgefertigt und mit einer Amtssignatur versehen ist. Das Anbringen einer DVR-Nummer ist im Jahr 2022 weder geboten noch möglich, weil die Datenverarbeitungsregister-Verordnung mit 24.05.2018 außer Kraft trat. Aus dem erfolgreichen Anbringen einer qualifizierten elektronischen Amtssignatur ist zu schließen, dass die Ausfertigung mittels automationsunterstützter Datenverarbeitung erstellt wurde und somit iSd § 96 Abs 2 BAO rechtlich in Existenz getreten ist.

Rechtsprechung der LVwG

LVwG NÖ 25.01.2024, LVwG-S-2489/001-2023

Nach dem Bundesstatistikgesetz kann jede (natürliche) Person zur Auskunft verpflichtet werden (Auskunftspflichtige). Wird für statistische Erhebungen eine Befragung der Auskunftspflichtigen angeordnet, sind die Auskunftspflichtigen zur Auskunftserteilung über jene Daten, die Erhebungsmerkmal der angeordneten statistischen Erhebung sind, verpflichtet. Wer die Auskunftserteilung verweigert, begeht eine Verwaltungsübertretung, die mit einer Geldstrafe bis zu EUR 2.180 zu bestrafen ist.

Rechtsprechung der DSB

DSB 05.11.2020, 2020-0.714.215

Das AMS übermittelte bei der Abwicklung der Leistungserbringung nach dem Arbeitslosenversicherungsgesetz der Bank eines Arbeitslosen ua dessen Sozialversicherungsnummer. In die Übermittlung seiner Sozialversicherungsnummer willigte der Arbeitslose nicht ein. Die DSB wies die wegen Verletzung im Recht auf Geheimhaltung eingebrachte Datenschutzbeschwerde ab.

Die DSB hat erwogen: Das AMS ist ein Dienstleistungsunternehmen des öffentlichen Rechts zur Durchführung der Arbeitsmarktpolitik des Bundes. Es handelt sich um eine staatliche Behörde iSd § 1 Abs 2 DSG. Die Sozialversicherungsnummer ist als personenbezogenes Datum zu qualifizieren, an dem grundsätzlich ein schutzwürdiges Geheimhaltungsinteresse besteht. Im Geschäfts- und Behördenverkehr dient die Sozialversicherungsnummer regelmäßig als Identifikator.

Behördliche Eingriffe in das Grundrecht auf Datenschutz dürfen nur auf Basis einer hinreichend determinierten Rechtsgrundlage erfolgen. Nach § 25 Abs 1 AMSG ist das AMS zur Verarbeitung der Sozialversicherungsnummer insoweit ermächtigt, als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung bildet. Die Abwicklung der Auszahlung aus der Arbeitslosenversicherung ist eine gesetzliche Aufgabe des AMS. Die Verwendung der Sozialversicherungsnummer bei Zahlungsanweisungen im Zusammenhang mit Leistungen aus der Arbeitslosenversicherung dient dem AMS zur ordnungsgemäßen und richtigen Zuordnung der Leistung zum jeweiligen Leistungsempfänger. Für den durchschnittlichen Arbeitslosen ist nachvollziehbar, dass das AMS Daten wie die Sozialversicherungsnummer zwangsläufig verarbeiten muss. Zudem kann es aufgrund des großen Arbeitsaufkommens auf Seiten des AMS zu Leistungsrücklaufverfahren kommen, die eine eindeutige Identifizierung der Leistungsempfänger – auch aus buchhalterischen Gründen – voraussetzen.

Da aus der Sozialversicherungsnummer keine Rückschlüsse auf den körperlichen oder geistigen Gesundheitszustand einer Person möglich sind, ist die Sozialversicherungsnummer kein Gesundheitsdatum und somit kein besonders schutzwürdiges Datum iSd Art 9 Abs 1 DSGVO.

Vorschau EuGH-Rechtsprechung

Am 25.04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 30.04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 30.04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

Am 07.05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 17.04.2024

Rechtsprechung des EuGH

EuGH Schlussanträge 11.04.2024, C-768/21, Land Hessen

Der Kunde einer Bank erfuhr, dass eine Bankmitarbeiterin mehrmals unbefugt auf seine Daten zugegriffen hat. Daraufhin beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt. Die Mitarbeiterin gab die Daten des Kunden jedoch an keinen Dritten weiter und sie verwendete die Daten auch nicht zum Nachteil des Kunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Mitarbeiterin. Die Aufsichtsbehörde verneinte eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Das vorlegende Gericht fragte den EuGH, ob die Aufsichtsbehörde bei Feststellung einer Verletzung der Betroffenenrechte stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.

Der Generalanwalt hat erwogen: Aufsichtsbehörden sind verpflichtet, sich mit Beschwerden nach Art 77 DSGVO zu befassen und diese mit aller gebotenen Sorgfalt zu bearbeiten. Sofern eine Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten feststellt, ist sie aufgrund des Legalitätsprinzips verpflichtet, einzuschreiten und die am besten geeigneten Abhilfemaßnahmen zur Behebung des Verstoßes zu ermitteln. Hinsichtlich der Frage, wie die Aufsichtsbehörde in den konkreten Fällen zu handeln hat, kommt ihr ein Handlungsspielraum zu. Sie hat unter Berücksichtigung der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit die am besten geeigneten Abhilfemaßnahmen zu ermitteln. Der den Aufsichtsbehörden zuerkannte Ermessensspielraum umfasst aber auch die Möglichkeit, keine der in Art 58 Abs 2 DSGVO genannten Abhilfemaßnahmen zu ergreifen, wenn die besonderen Umstände im konkreten Einzelfall dies rechtfertigten. Etwa, wenn das Problem bereits gelöst oder bewältigt ist, oder wenn der Grad der Verwerflichkeit des Verhaltens des Verantwortlichen offensichtlich gering ist. Auch ist es möglich, dass geringfügige Verstöße durch andere, vom Verantwortlichen selbst ergriffene Maßnahmen behoben werden können. Betroffenen kommt im Hinblick auf Art 58 Abs 2 DSGVO kein subjektives Recht zu, bestimmte Maßnahmen zu verlangen. Das Verhängen einer Geldbuße ist nicht in allen Fällen zwingend erforderlich und kann bei geringfügigen Verstößen durch eine Verwarnung ersetzt werden. Das heißt, dass die Beschwerden stets zu prüfen sind, die Entscheidung der heranzuziehenden Abhilfemaßnahmen jedoch im Ermessen der Aufsichtsbehörde liegt.

EuGH 11.04.2023, C-741/21, juris

Ein Rechtsanwalt war Kunde der Rechtsdatenbank juris und erhielt trotz eingelegten Widerspruchs mehrfach Werbeschreiben von juris. Daher klagte er Schadenersatz für den Verlust der Kontrolle über seine Daten ein. Das vorlegende Gericht befragte den EuGH zum Begriff des immateriellen Schadens, zur Haftungsbefreiung des Verantwortlichen, zur Bemessung des Schadenersatzes und zur Berücksichtigung mehrfacher Verstöße gegen die DSGVO.

Der EuGH hat erwogen: Der bloße Verstoß gegen Bestimmungen der DSGVO ist kein Schaden. Ein Schaden setzt kumulativ voraus: (i) den tatsächlichen Eintritt eines Schadens, (ii) einen Verstoß gegen eine DSGVO-Bestimmung und (iii) einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Der Nachweis des DSGVO-Verstoßes und des dadurch entstandenen Schadens obliegt der betroffenen Person. Die Beweislast, dass kein Kausalzusammenhang zwischen Schaden und Pflichtverletzung besteht, trifft den Verantwortlichen.

Der Verantwortliche kann sich nicht dadurch von seiner Haftung befreien, dass er sich auf die Fahrlässigkeit oder das Fehlverhalten einer ihm unterstellten Person beruft. Der Verantwortliche hat sicherzustellen, dass ihm unterstellte Personen im Einklang mit seinen Weisungen Daten verarbeiten und hat sich zu vergewissern, dass seine Weisungen korrekt ausgeführt werden. Eine Haftungsbefreiung des Verantwortlichen kommt dann in Betracht, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der Verletzung der ihm obliegenden Datenschutzpflichten und dem der betroffenen Person entstandenen Schaden gibt. Der Nachweis allein, dass der Verantwortliche den ihm unterstellten Personen Weisungen erteilt hat, genügt für die Haftungsbefreiung nicht.

Rechtsprechung des BVwG

BVwG 20.02.2024, W211 2261811-1

Die langjährige Kundin einer Kreditkartenanbieterin informierte diese über eine Adressänderung und legte dabei einen anderen Reisepass eines EU-Mitgliedstaates vor, als sie noch bei der Beantragung der Kreditkarte vorgelegt hatte. Die Kreditkartenanbieterin forderte im Sinne ihrer Sorgfaltspflichten nach dem Finanzmarkt-Geldwäschegesetz (FM-GwG) die Einkommens-, Konto- und Steuerunterlagen der Kundin an und erklärte die Karte mangels Konnexes der Kundin zu Österreich für ungültig. Die Kundin erachtete sich in ihrem Recht auf Geheimhaltung verletzt. Die DSB gab der Datenschutzbeschwerde statt, weil es keine Hinweise oder Indizien gegeben hätte, wonach bei der Kundin ein Risiko im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung vorliegen würde und somit kein Anlass für eine Aktualisierung der Unterlagen zur Mittelherkunft bestanden hätte. Gegen diesen Bescheid erhob die Kreditkartenanbieterin Bescheidbeschwerde, der das BVwG stattgab.

Das BVwG hat erwogen: Die Datenverarbeitung nach dem FM-GwG zu Zwecken der Verhinderung von Geldwäsche und Terrorismusfinanzierung ist eine Angelegenheit des öffentlichen Interesses iSd Art 6 Abs 1 lit e DSGVO. Nach dem FM-GwG treffen die Kreditkartenanbieterin gegenüber ihren Kunden bestimmte Sorgfaltspflichten, die auch die Einholung und Überprüfung von Informationen über die Herkunft der eingesetzten Mittel umfassen. Diese Sorgfaltspflichten sind gemäß § 7 Abs 6 FM-GwG nicht nur auf neue, sondern risikoorientiert auch auf bestehende Kunden anzuwenden. Gemäß § 8 FM-GwG ist bei Kunden mit niedrigem Risiko eine anlassfallbezogene Datenaktualisierung ausreichend. Zur Einhaltung der Sorgfaltspflichten und der Einstufung von Kunden als Niedrigrisikokunden treffen die Kreditkartenanbieterin gegenüber der FMA bestimmte Nachweis- und Dokumentationspflichten, an deren Nichteinhaltung Verwaltungsstrafen geknüpft sind. Die Kreditkartenanbieterin steht somit in einem Spannungsverhältnis zwischen ihren Pflichten aus der Geldwäsche- und Terrorismusfinanzierungsprävention und sonstigen rechtlichen Pflichten, wie dem Datenschutz.

Die Durchführung der Datenaktualisierung in Bezug auf die Mittelherkunft durch Anforderung von Einkommens-, Konto- und Steuerunterlagen war verhältnismäßig, weil bei der Kundin seit Aufnahme der Geschäftsbeziehung keinerlei Datenaktualisierung vorgenommen wurde, sie mehrfach den Wohnsitz wechselte und bei der Bekanntgabe der Adressänderung einen anderen Reisepass als bei der Eröffnung der Geschäftsbeziehung vorlegte. Das Vorgehen der Kreditkartenanbieterin war daher nicht exzessiv.

Die Kreditkartenanbieterin kann sich auch nicht von ihren Verpflichtungen im Zusammenhang mit den durch sie vorgenommenen Transaktionen entziehen, indem sie auf die von einer anderen Bank für andere Dienstleistungen wahrzunehmenden Sorgfaltspflichten verweist, weil sie selbst dem FM-GwG unterliegt.

BVwG 18.01.2024, W137 2263970-1

Der Arbeitgeber eines Koches nutzte ein biometrisches System (Handvenenscanner) zur Erfassung der Arbeitszeit. Darüber hinaus wurde die Arbeitsstätte mit 29 Kameras überwacht und die Aufnahmen wurden länger als 72 Stunden gespeichert. Der Koch willigte beim Abschluss des Dienstvertrages in die Systemnutzung ein. Über die Widerrufmöglichkeit wurde er nicht informiert. Ein Betriebsrat war nicht eingerichtet. Der Koch erhob Datenschutzbeschwerde an die DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte eine Verletzung im Recht auf Geheimhaltung bezüglich des Handvenenscanners und zweier Videokameras fest. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Arbeitsgebers grundsätzlich ab, behob jedoch den Leistungsauftrag der DSB, wonach die Kameras zu kennzeichnen waren, weil der Arbeitgeber diesem Auftrag zwischenzeitlich entsprach.

Das BVwG hat erwogen: Die Verarbeitung sensibler Daten darf mit ausdrücklicher Einwilligung gemäß Art 9 Abs 2 lit a DSGVO erfolgen, eine konkludente (schlüssige) Einwilligung ist ausgeschlossen. Der Begriff "ausdrücklich" bezieht sich auf die Art und Weise, in der die Zustimmung der betroffenen Person ausgedrückt wird. Eine schriftliche Erklärung ist jedenfalls ausdrücklich. Das Koppelungsverbot dient dem Zweck, die freie Willensbetätigung der Betroffenen zu schützen. Faktisch erzwungene Einwilligungserteilungen sollen damit verhindert werden. Eine Einwilligung ist nicht freiwillig, wenn die betroffene Person keine andere Wahl hat, als der Datenverarbeitung zuzustimmen, um in den Genuss einer vertraglichen Leistung zu kommen. Hat die Betroffene keine wirkliche Wahl, fühlt sie sich zur Einwilligung gedrängt oder muss sie bei Verweigerung der Einwilligung negative Auswirkungen erdulden, ist die Einwilligung ungültig. Dies trifft im Beschäftigungskontext oft zu, weil ein Ungleichgewicht der Macht aufgrund der Abhängigkeit aus dem Dienstverhältnis gegeben ist.

Die §§ 12 und 13 DSG regeln speziell die Bildverarbeitung und sind grundsätzlich mangels unionsrechtlicher Grundlage nicht anzuwenden. Dies gilt für § 12 Abs 4 Z 2 DSG nicht, weil dessen Legitimität auf die spezifische Ermächtigung des Art 88 Abs 1 iVm Art 6 Abs 1 DSGVO gestützt werden kann. Nach § 12 Abs 4 Z 2 DSG ist die Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern unzulässig. Da die DSGVO keine speziellen Regelungen zu Bildaufnahmen vorsieht, ist diese Einschränkung zulässig, weil sich diese ausschließlich auf das Arbeitsrecht bezieht und nach Art 88 DSGVO für den Bereich des Arbeitsrechts eine Öffnungsklausel besteht. Die Kameras waren zwar nicht zu Kontrollzwecken der Arbeitnehmer installiert. Mit beiden zu beurteilenden Kameras war die Datenverarbeitung jedoch nicht erforderlich, weil weniger eingriffsintensive Maßnahmen hätten gesetzt werden können.

Das BVwG hat in seine Entscheidung alle Veränderungen bis zum Zeitpunkt der Erkenntniserlassung miteinzubeziehen und die neue Kennzeichnung der Videokameras auf Konformität nach Art 12 und 13 DSGVO zu prüfen. Ausreichend für die Informationserteilung einer Videoüberwachung ist eine Mehrebenen-Datenschutzerklärung. Auf der ersten Ebene erfolgt dabei ein Überblick über die Informationen, die zur Verfügung stehen und ein Verweis darauf, wo auf einer zweiten Ebene weitere Informationen zu finden sind. Demnach ist eine Information mit den essenziellen Informationen des Art 13 Abs 1 DSGVO (erste Ebene) in Kombination mit einem Piktogramm und einem QR-Code / einer Webadresse, welche zu umfassenderen Datenschutzinformationen (zweite Ebene) führt als Kennzeichnung für eine Kameraüberwachung ausreichend transparent.

BVwG 28.02.2024, W292 2235435-1

Ein Bürger stellte ein Auskunftsersuchen an den Österreichischen Presserat (Presserat). Der Presserat erteilte ihm die Auskunft, dass seine personenbezogenen Daten nicht nur wegen der von ihm eingebrachten Mitteilungen betreffend potenzielle Ethikverstöße verarbeitet wurden, sondern auch anlässlich einer von Dritten eingebrachten Mitteilung. Die Übermittlung dieser Mitteilung eines Dritten verweigerte der Presserat selbst in anonymisierter Form unter Berufung auf Betriebs- und Geschäftsgeheimnisse. Die auf eine Verletzung im Recht auf Auskunft gestützte Datenschutzbeschwerde wies die DSB ab. Auch die Bescheidbeschwerde des Bürgers hatte keinen Erfolg.

Das BVwG hat erwogen: Der Presserat ist eine als Verein eingerichtete Institution zur Förderung der Pressefreiheit sowie der redaktionellen Qualitätssicherung. In diesem Zusammenhang verfügt der Verein insbesondere über Kontrolleinrichtungen und Gremien, die bei Beschwerden von Betroffenen oder bei Mitteilungen von Lesern betreffend medienethisch relevante Sachverhalte tätig werden. Die Tätigkeit des Presserats unterliegt der DSGVO, weil es sich bei diesem weder um ein Medienunternehmen noch um einen Mediendienst handelt.

Der Presserat ist seinen Informationspflichten nach Art 14 DSGVO nachgekommen, obwohl der Ausnahmegrund des unverhältnismäßigen Aufwands der Verständigung einschlägig gewesen wäre. Eine Verständigung sämtlicher Personen, die in einer Mitteilung an den Presserat genannt werden, würde nicht nur einen unbewältigbaren Aufwand für den Presserat darstellen, sondern den geordneten Verfahrensablauf nach einer Presseratsmitteilung erschweren oder verunmöglichen.

Hinsichtlich der vom Bürger geforderten Übermittlung einer Kopie der Mitteilung eines Dritten an den Presserat wurde der Bürger transparent und verständlich darüber informiert, welche Daten, zu welchem Zweck und wie lange verarbeitet werden. Die Berufung auf Geschäfts- und Betriebsgeheimnisse war zwar unzulässig, weil ein Verein ideelle Zwecke verfolgt, womit die Verarbeitung der personenbezogenen Daten nicht in einem Geschäftsbetrieb erfolgt. Ein Anspruch auf Herausgabe von (auch anonymisierten) Mitteilungen von Dritten, mögen diese auch personenbezogene Daten des Auskunftswerbers enthalten, besteht jedoch nicht. Personen, die Mitteilungen bei möglichen Verstößen gegen den Ehrenkodex des Presserates an den Presserat richten, werden naturgemäß ein erhöhtes Interesse auf vertrauliche Behandlung ihrer Eingaben haben. Der Presserat kann seiner im öffentlichen Interesse gelegenen, staatlich geförderten Kontroll- und Aufklärungsfunktion nur dann uneingeschränkt und effektiv nachkommen, wenn Daten in Mitteilungen nicht an Dritte weitergegeben werden. Die Rechte Dritter können daher auch durch Anonymisierung nicht in ausreichendem Maße gewahrt werden, sodass der Presserat die Übermittlung der Kopie der Mitteilung zurecht verweigerte.

BVwG 18.03.2024, W211 2261881-1; BVwG 18.03.2024, W211 2261903-1; BVwG 19.03.2024, W211 2261795-1¸ BVwG 19.03.2024, W211 2262126-1

Ein Amt der Landesregierung (Amt) verschickte Corona-Impferinnerungsschreiben an "Ungeimpfte". Vier der Ungeimpften brachten Datenschutzbeschwerden bei der DSB ein und behaupteten, dass der Zugriff auf ihre Daten im zentralen Impfregister und im zentralen Patientenindex zur Versendung der personalisierten Schreiben unrechtmäßig war. Die DSB gab den Datenschutzbeschwerden statt. Die dagegen gerichteten Bescheidbeschwerden des Amtes hatten keinen Erfolg.

Das BVwG hat erwogen: Die Bestimmung des § 24d Abs 2 Z 5 GTelG erlaubt eine Datenverarbeitung der im Impfregister gespeicherten personenbezogenen Daten zum Zweck des Krisenmanagements im Rahmen des Ausbruchsmanagements von anzeigepflichtigen Krankheiten nur zur Unterstützung der hoheitlichen Aufgaben im Zusammenhang mit dem Epidemiegesetz. Im Zeitpunkt der Versendung der Schreiben gab es jedoch im Epidemiegesetz keine hoheitliche Aufgabe, die die vorliegende Datenverarbeitung hätte rechtfertigen können. Die entsprechende Regelung "Erinnerung an Auffrischungsimpfungen gegen COVID-19" in § 4g EpiG ist erst nach dem Versenden der Schreiben in Kraft getreten. Somit handelte es sich bei den Impferinnerungsschreiben um keine Maßnahmen iSd § 24d Abs 2 Z 5 GTelG und die Datenverarbeitungen verletzten das Recht auf Geheimhaltung der Ungeimpften. Der Zugriff auf die Daten im zentralen Impfregister gemäß § 24f Abs 4 Z 5 GTelG ist an den Zweck des Krisenmanagements gebunden. Daher war das Amt nicht berechtigt, auf diese Daten zuzugreifen. Daraus lässt sich auch ableiten, dass auf den Patientenindex gemäß § 4 Abs 3 GTelG keine Zugriffsberechtigung vorlag.

Wird ein Auskunftsersuchen über Aufzeichnungen mit einer Videokamera gestellt, darf die Auskunft verweigert werden, wenn der Zeitraum, in dem die Aufzeichnungen erfolgt sein sollen, nicht hinreichend präzise bezeichnet wird (Datum und Uhrzeit) und zur Identifizierung des Betroffenen eine große Datenmenge zu verarbeiten wäre. Werden zum Zeitpunkt des Einlangens des Auskunftsersuchens keine Daten über den Betroffenen (mehr) verarbeitet, wird mit einer Negativauskunft der Auskunftspflicht entsprochen (BVwG 12.02.2024, W176 2247266-1).

Anm: Dieses Erkenntnis enthält (obiter dicta) eine wesentliche Präzisierung, wie mit Auskunftsersuchen wegen Videoaufzeichnungen umzugehen ist. Gemeinsam mit der oben angeführten Entscheidung (BVwG 18.01.2024, W137 2263970-1) und einer rezenten Entscheidung der DSB (DSB 04.08.2023, 2023-0.159.938) entsteht ein zunehmend klares Bild, was beim Einsatz von Videoüberwachung zu beachten ist.

Art 15 Abs 3 DSGVO räumt den Betroffenen kein eigenständiges Recht auf Kopien von Auszügen aus Dokumenten oder Datenbanken ein. Zudem ist das Auskunftsrecht als ein sehr bedeutsames, aber nur vorgelagertes Recht zu verstehen, das die Ausübung weiterer Betroffenenrechte ermöglicht (BVwG 23.02.2024, W211 2262850-2).

Eine Datenverarbeitung im Einklang mit den anzuwendenden Verfahrensgesetzen ist zulässig. Die Verpflichtung zur Beschränkung der Akteneinsicht zum Schutz personenbezogener Daten trifft nicht die Staatsanwaltschaft, sondern das zuständige Strafgericht (BVwG 23.01.2024, W108 2250843-1).

Der Grundsatz der Rechenschaftspflicht erfordert, dass der Verantwortliche nachweisen ("und dokumentieren") muss, welche Informationen der Betroffene nach Art 13 und 14 DSGVO bereits hat, wie und wann er diese erhalten hat und dass seitdem keine Änderungen an den Informationen vorgenommen wurden, die sie veraltet bzw unrichtig machen würden. Mit der nachträglichen Erteilung der Informationen wird die Beschwer jedoch beseitigt (BVwG 13.02.2024, W221 2243696-1).

Eine grenzüberschreitende Datenverarbeitung liegt nur dann vor, wenn jemand von einer Datenverarbeitung betroffen ist und dies wahrscheinlich gewisse Auswirkungen von beträchtlichem Ausmaß auf diese Person hat. Die Aufsichtsbehörden haben jeweils im Einzelfall zu bestimmen, inwieweit erhebliche Auswirkungen gegeben sind (risikobasierter Ansatz). Der durchzuführenden Abwägung liegt somit eine Prognoseentscheidung zugrunde, weil ein (auch bloß möglicher) Nachteil auf Personen anderer Mitgliedsstaaten zu berücksichtigen ist (BVwG 14.03.2024, W137 2280743-1).

Ein Auskunftsersuchen, das darauf abzielt, trotz eines aufrechten Kontaktverbots eine Kontaktmöglichkeit zum minderjährigen Sohn zu erlangen, ist exzessiv (BVwG 21.02.2024, W137 2280882-1).

Die Namen von Mitarbeitern dürfen zum Schutz ihrer nachvollziehbaren und schutzwürdigen Interessen auch bei der Akteneinsicht geschwärzt werden, sofern die Offenlegung der Namen für die effektive Rechtsverfolgung nicht von Bedeutung ist (BVwG 04.03.2024, W211 2263780-1).

Bewerbungsunterlagen dürfen für sieben Monate aufbewahrt werden. Ist im Bewerbungsformular in eine dreijährige Evidenzhaltung einzuwilligen, kann dem Arbeitssuchenden nicht vorgeworfen werden, dass er seine Einwilligung verweigert und das Beschäftigungsverhältnis deshalb nicht zustande kommt (BVwG 15.03.2024, W269 2277315-1).

Nachdem einem Löschungsersuchen entsprochen wurde, ist einem Auskunftsersuchen mit einer (eingeschränkten) Negativauskunft zu entsprechen. Stehen zur Herkunft von Daten keine Informationen zur Verfügung, besteht dennoch keine nachträgliche Erhebungspflicht (BVwG 20.03.2024, W221 2257567-1).

Die Dienstbehörde darf zur Wahrnehmung der Dienstaufsicht im Büro eines Gerichtsreferenten Nachschau halten, handschriftlich Akten der Gerichtsabteilung erfassen und Lichtbilder vom Arbeitsplatz anfertigen. Daran ändert es auch nichts, wenn die Lichtbilder auf einem privaten Mobiltelefon gespeichert werden (BVwG 23.02.2024, W108 2278709-1).

Die Datenschutzbeschwerde ist der falsche Weg, um behauptete Verletzungen des Beamtendienstgesetzes geltend zu machen (BVwG 23.02.2024, W137 2277123-1).

Im Einklang mit der ständigen Rechtsprechung behob das BVwG den Bescheid der DSB, weil darin in einem amtswegigen Prüfverfahren eine Rechtsverletzung in einem selbständigen Spruchpunkt festgestellt wurde, obwohl es hierfür keine Rechtsgrundlage gibt (BVwG 22.03.2024, W211 2213604-1).

Rechtsprechung des BFG

Wer gegen einen Bescheid der DSB Bescheidbeschwerde an das BVwG erhebt, hat die Eingabegebühr iHv EUR 30 zu entrichten (BFG 19.03.2024, RV/7104071/2023).

Rechtsprechung der DSB

DSB 04.01.2024, 2023-0.592.319

Ein Fußballverband speicherte auf einer öffentlichen Webseite personenbezogene Daten zu Spielern, die in seiner Liga teilnahmen. Ein seit 2019 nicht mehr aktiver Spieler ersuchte 2020 um die Löschung seiner Daten. Der Fußballverband lehnte die Löschung aufgrund der Speicherung aus Statistikgründen ab. Der Spieler brachte Datenschutzbeschwerde bei der DSB ein. Die DSB gab ihm Recht und forderte den Verband zur Datenlöschung auf, welcher dieser nicht nachkam. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren gegen den Fußballverband ein.

Die DSB verhängte eine Geldstrafe in der Höhe von EUR 11.000 – zuzüglich EUR 1.100 Verfahrenskosten – gegen den Fußballverband, weil der Fußballverband (i) keine geeigneten technischen und organisatorischen Maßnahmen ergriff, um Spielerdaten gänzlich aus der Datenbank zu entfernen, (ii) dem Löschungsersuchen des Spielers nicht vollständig nachkam und (iii) die Anweisung der Datenschutzbehörde nicht befolgte, wodurch der Verband seine Rechenschafts- und Kooperationspflicht verletzte.

DSB 06.09.2023, 2022-0.858.901

In einer Mittelschule wurden in der Vergangenheit mehrmals Wertsachen des Lehrpersonals gestohlen. Zum Schutz vor (weiteren) Diebstählen, aber auch zum Schutz von Personen und vor Überfällen, installierte die Mittelschule in ihren Schulräumlichkeiten insgesamt vier Überwachungskameras. Die Videoüberwachung erfolgte sowohl während als auch außerhalb der Schulstunden. Die DSB leitete ein amtswegiges Prüfverfahren ein und stellte fest, dass die Bildverarbeitung entgegen Art 6 Abs 1 DSGVO nicht rechtmäßig erfolgte und trug der Mittelschule auf, die Videoüberwachung auf die Zeit außerhalb der Schulstunden zu begrenzen.

Die DSB hat erwogen: Bei der Mittelschule handelt es sich um eine öffentliche Pflichtschule. Verantwortliche für die gegenständliche Bildverarbeitung ist folglich eine öffentliche Stelle. Hinsichtlich der Beurteilung, ob die Videoüberwachung zu hoheitlichen Zwecken oder im Rahmen der Privatwirtschaftsverwaltung erfolgt, kommt es darauf an, ob die Videoüberwachung nur während der Nachtstunden oder auch während des Schulbetriebs erfolgt. Während des Schulbetriebs agiert die Schule als öffentliche Stelle im Rahmen der Hoheitsverwaltung. Zwar lagen im gegenständlichen Fall berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO (Eigentums- und Personenschutz) vor, doch bedarf es während des Schulbetriebes einer ausdrücklichen, hinreichend determinierten gesetzlichen Ermächtigung. Eine derartige gesetzliche Ermächtigung zur Videoüberwachung in Schulgebäuden lag weder mit § 51 Abs 3 Schulunterrichtsgesetz, wonach die Pausenaufsicht vom Lehrpersonal wahrzunehmen ist, noch mit einer anderen gesetzlichen Bestimmung vor. Eine durchgehende Videoüberwachung auf sämtlichen Gängen der Mittelschule stellt darüber hinaus nicht das gelindeste Mittel dar, zumal Kinder nach ErwGr 38 DSGVO einen besonderen Schutz ihrer personenbezogenen Daten genießen.

Die Videoüberwachung während der Nachtstunden, also außerhalb des Schulbetriebes, erfolgte hingegen zulässigerweise im Rahmen privatwirtschaftlichen Handelns und unterlag dem Hausrecht der Schule.

Vorschau EuGH-Rechtsprechung

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 10.04.2024

Rechtsprechung der DSB

DSB 18.12.2023, 2023-0.594.826

Die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) leitete eine interne Untersuchung wegen angeblicher sexueller Belästigung und Diskriminierung gegen einen Botschafter, der als Projektkoordinator für die OSZE tätig war, ein. In diese Untersuchung waren auch vier Mitarbeiter der OSZE involviert. Das Diensthandy des Botschafters wurde beschlagnahmt und forensisch ausgewertet, wobei auch gelöschte Inhalte wieder hergestellt wurden. Die ausgewertete Kommunikation zeigte kein belästigendes oder diskriminierendes Verhalten. Jedoch ergab der forensische Bericht, dass die wiederhergestellten Fotos ua Nacktheit und pornographische Inhalte enthielten. Deshalb leitete die OSZE ein weiteres Verfahren wegen Verletzung der OSCE-Codes of Conduct und anderer OSZE-Vorschriften gegen den Botschafter ein.

Das Diensthandy des Botschafters war in ein Privat- und ein Arbeitsprofil unterteilt. Aus dem Diensthandy wurden eine große Menge an Daten extrahiert, darunter auch Daten über die Intimsphäre des Botschafters und seiner Ehefrau sowie Gesundheitsdaten. Der Botschafter forderte die Löschung der erlangten Daten und Auskunft über die Empfänger dieser Daten. Die OSZE lehnte diese Anträge ab. Daraufhin erhoben der Botschafter und dessen Ehefrau eine Datenschutzbeschwerde bei der DSB gegen die OSZE sowie gegen die vier beteiligten Mitarbeiter der OSZE. Die DSB wies die Datenschutzbeschwerde hinsichtlich der vier Mitarbeiter ab und betreffend die OSZE zurück.

Die DSB hat erwogen:  Die vier Mitarbeiter handelten im Rahmen ihrer Tätigkeit für die OSZE. Ihr Verhalten ist der OSZE zuzurechnen. Eine Kompetenzüberschreitung der vier Mitarbeiter kam nicht hervor. Es ist daher von keiner datenschutzrechtlichen Verantwortlichkeit der vier als Beschwerdegegner benannten Mitarbeiter auszugehen. Verantwortliche ist nur die OSZE.

Die OSZE ist eine internationale Organisation mit Amtssitz in Wien. Eine Datenverarbeitung durch eine internationale Organisation mit Sitz in Wien fällt sachlich (Art 2 DSGVO) und räumlich (Art 3 DSGVO) in den Anwendungsbereich der DSGVO. Nach gefestigter Rechtsprechung europäischer Höchstgerichte genießen internationale Organisationen keine vollständige Immunität in ihrem Sitzstaat. Eine grundsätzliche Zuständigkeit der Gerichte und Verwaltungsbehörden des Sitzstaats besteht aber nur dann, wenn dies im Amtssitzabkommen vorgesehen oder zumindest nicht ausgeschlossen ist. Zudem hängt die Zuständigkeit dieser Gerichte und Behörden davon ab, ob bei der internationalen Organisation ein angemessener alternativer Rechtsweg eingerichtet ist.

Die internen Regelungen der OSZE zum Datenschutz sind zwar nicht vollständig mit der DSGVO vergleichbar, ermöglichen aber ein Beschwerderecht und Rechtsmittelschutz. Es liegen keine Anhaltspunkte vor, dass das Amtssitzabkommen offenkundig gegen Unionsrecht verstößt und somit nicht zur Anwendung gelangt. Die OSZE genießt daher aufgrund des Amtssitzabkommens (BGBl III 2018/84) und ihrer eigenständigen Regelungen zum Schutz personenbezogener Daten Immunität gegenüber Handlungen der DSB. Die OSZE kann vor der DSB nicht belangt werden, außer sie verzichtet auf die ihr eingeräumte Immunität.

Der Botschafter könnte gegebenenfalls durch die internen datenschutzrechtlichen Regelungen der OSZE in seinen verfassungsgesetzlich gewährleisteten Rechten verletzt worden sein. Für die Prüfung der Verfassungsmäßigkeit ist jedoch der VfGH und nicht die DSB zuständig.

DSB 09.01.2023, 2022-0.479.809

Ein österreichischer Künstler erstellte einen Wikipedia-Beitrag über sich selbst. Anschließend ist der Beitrag vom Künstler selbst, aber auch von anderen Wikipedia-Nutzern bearbeitet worden. Der Künstler war mit dem Beitrag in der auch von anderen Nutzern bearbeiteten Form nicht (mehr) einverstanden und ersuchte Wikimedia, die Betreiberin von Wikipedia, um Löschung des Beitrags. Wikimedia entsprach dem Ersuchen des Künstlers nicht und der Künstler durfte den Beitrag auch nicht in seinem Sinne vervollständigen. Deshalb brachte er Datenschutzbeschwerde bei der DSB ein, die die Datenschutzbeschwerde abwies.

Die DSB hat erwogen: Die Wikimedia hat ihren Sitz in den USA. Sie verfügt als Dachorganisation aber auch über 38 Vereine, von welchen sich mindestens einer in Österreich befindet. Auf diesen Verein ist die Domain wikipedia.at registriert und über diese Domain wird man automatisch auf die Domain de.wikipedia.org weitergeleitet. Der Wikipedia-Beitrag über den Künstler ist auf Deutsch veröffentlicht. Die DSGVO ist auf Datenverarbeitungen durch Wikimedia anzuwenden, weil Wikimedia Informationsdienstleistungen anbietet und diese auf den österreichischen Markt ausrichtet ("Marktortprinzip"). Die Unentgeltlichkeit spielt keine Rolle.

Wikimedia brachte vor, dass sie für die Verarbeitung der Daten des Beschwerdeführers nicht verantwortlich sei. Die Löschung von Wikipedia-Beiträgen werde von sog Administratoren, die aus dem Kreis der Wikipedia-Nutzer gewählt werden, durchgeführt. Für die Verantwortlicheneigenschaft ist es jedoch nicht erforderlich, dass der Verantwortliche selbst Daten verarbeitet oder auf Daten zugreift. Wikimedia verfügt über bestimmte Durchgriffsrechte und ist verantwortlich für Finanzierung, Öffentlichkeitsarbeit und diverse technische und rechtliche Aufgaben. Somit ist Wikimedia neben den Administratoren zumindest "Gemeinsam Verantwortliche".

Wikimedia ist kein Medienunternehmen. Weder hat Wikimedia einen Chefredakteur, einen Redaktionsausschuss, eine Verwaltungsstelle noch eine ähnliche Einrichtung. Wikimedia kontrolliert auch nicht, welche Beiträge von den Nutzern veröffentlicht werden. Auch eine redaktionelle Tätigkeit wird von Wikimedia nicht durchgeführt. Das Medienprivileg iSd § 9 Abs 1 DSG gelangt daher nicht zur Anwendung.

Der Wikipedia-Beitrag über den Künstler bedarf keiner Vervollständigung. Die Rechtspflicht des Verantwortlichen zur Vervollständigung besteht nur dann, wenn die hinzugefügten Informationen für den Verarbeitungsprozess tatsächlich relevant sind, um die objektive Richtigkeit der Daten zu gewährleisten. Über den Künstler ergibt sich kein unzutreffendes Bild, das durch Hinzufügen weiterer Daten korrigiert werden müsste.

Das Recht auf Löschung besteht nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Es ist eine Interessenabwägung iSd Art 6 Abs 1 lit f DSGVO zwischen dem Interesse auf Meinungsäußerungsfreiheit und dem Interesse des Künstlers auf Geheimhaltung seiner Daten durchzuführen.

Das Interesse von Wikimedia besteht darin, eine Online-Enzyklopädie zu betreiben. Das Interesse der Allgemeinheit besteht darin, diese unentgeltlich angebotene Informationsdienstleistung in Anspruch zu nehmen. Das Geheimhaltungsinteresse des Künstlers ist gering, weil er eine Person des öffentlichen Lebens ist und die im Wikipedia-Beitrag veröffentlichten Informationen auch an anderen Stellen öffentlich verfügbar sind. Der Tatbestand des Art 17 Abs 3 lit a DSGVO ist erfüllt, weshalb Wikimedia dem Löschungsersuchen des Künstlers zu Recht nicht entsprach.

Vorschau EuGH-Rechtsprechung

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen gemäß Art 58 Abs 2 DSGVO zu ergreifen.

Am 16.04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, durchgeführt. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Datenschutzmonitor 03.04.2024

Rechtsprechung des VwGH

VwGH 28.02.2024, Ro 2024/04/0001; VwGH 28.02.2024, Ro 2023/04/0032

Eine Kreditauskunftei erteilte zwei Betroffenen jeweils Auskunft ua über verschiedene Bonitätsscores. Beide Betroffene erhoben Datenschutzbeschwerde an die DSB. Die DSB gab beiden Datenschutzbeschwerden teilweise statt, weil die erteilten Auskünfte über die Bonitätsscores nach Ansicht der DSB den Vorgaben des Art 15 Abs 1 lit h DSGVO nicht entsprachen. Das BVwG gab den Bescheidbeschwerden der Kreditauskunftei statt, weil die erteilten Auskünfte nach Ansicht des BVwG – unabhängig davon, ob diese Bestimmung überhaupt anzuwenden ist – den Vorgaben des Art 15 Abs 1 lit h DSGVO entsprachen.

Gemäß Art 15 Abs 1 lit h DSGVO sind betreffend eine "automatisierte Entscheidungsfindung einschließlich Profiling" aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung zu erteilen. Der EuGH sprach aus, dass uU der von einer Kreditauskunftei errechnete Scorewert als automatisierte Entscheidungsfindung zu qualifizieren ist (EuGH 07.12.23, C-634/21, SCHUFA Holding (Scoring)). Der VwGH dürfte daher davon ausgehen, dass über die vor ihm verfahrensgegenständlichen Bonitätsscores eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO zu erteilen ist.

Über ein Vorabentscheidungsersuchen des LVwG Wien ist allerdings derzeit beim EuGH die Frage anhängig, welche inhaltlichen Erfordernisse eine Auskunft über Scorewerte erfüllen muss, damit die Auskunft als ausreichend "aussagekräftig" im Sinne des Art 15 Abs 1 lit h der DSGVO einzustufen ist (C-203/22, Dun & Bradstreet Austria).

Vor diesem Hintergrund setzte der VwGH beide bei ihm anhängigen Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus.

Rechtsprechung der Justiz

OLG Graz 12.02.2024, 9Bs274/23x

Die Staatsanwaltschaft Graz (StA) führte gegen hunderte Beschuldigte ein Ermittlungsverfahren wegen des Verdachts der Fälschung von Beweismitteln. Die Ermittlungsakten enthielten eine Patientenliste mit folgenden Daten: Name, Geburtsdatum, Adresse, E-Mail-Adresse und Bezahlungshinweise. Diese Liste konnte im Rahmen der Akteneinsicht von sämtlichen Mitbeschuldigten eingesehen werden. Zwei der Beschuldigten erachteten sich dadurch in ihrem Grundrecht auf Datenschutz verletzt und erhoben Einspruch wegen Rechtsverletzung. Das Landesgericht für Strafsachen Graz gab dem Einspruch nicht Folge. Der Beschwerde der beiden Einspruchswerber gegen diesen Beschluss wurde vom OLG Graz auch nicht Folge gegeben.

Das OLG Graz hat erwogen: Mittels Einspruch kann nicht nur die Verletzung ausdrücklich in der StPO eingeräumter Rechte geltend gemacht werden, sondern es fließen über § 5 Abs 1 StPO auch die Garantien der EMRK in die Bestimmung des § 106 Abs 1 StPO ein. Daher kann grundsätzlich auch wegen der Verletzung des Grundrechts auf Datenschutz Einspruch erhoben werden. Allerdings gilt das DSG bloß subsidiär gegenüber der StPO, die einen "generalisierend" wirkenden Vorrang gegenüber dem DSG hat. Nach § 74 StPO, der die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten normiert, ist nicht zu kritisieren, dass die in der Patientenliste enthaltenen Daten der Einspruchswerber von der StA zu den Akten genommen und verarbeitet wurden, weil dies zur Aufklärung von Straftaten zwingend erforderlich war. Da die Patientenliste keine hochsensiblen medizinischen Daten enthielt, wurde keine Rechtsverletzung bewirkt.

Zudem darf das verfassungsrechtlich gewährleistete Recht eines Beschuldigten, in sämtliche Ergebnisse des Ermittlungsverfahrens Einsicht zu nehmen, nur in den in § 51 Abs 1 StPO normierten Ausnahmefällen beschränkt werden, die nicht vorlagen. Im Verhältnis zu Mitbeschuldigten sieht das Gesetz in Bezug auf den Umfang der Akteneinsicht – anders als bei Opfern, Privatbeteiligten oder Privatanklägern – auch keine Interessenabwägung vor. Damit hatte die StA keine gesetzliche Grundlage dafür, die Patientenliste für Mitbeschuldigte von der Akteneinsicht auszunehmen. Durch die Gewährung der Akteneinsicht und die Weitergabe der Liste mit personenbezogenen Daten wurden die Einspruchswerber in ihren subjektiven Rechten nicht verletzt.

Rechtsprechung des BVwG

BVwG 21.02.2024, W137 2261065-1

Während der COVID-19-Pandemie wurden Impferinnerungsschreiben an nicht geimpfte Personen gesendet, was eine Vielzahl von Datenschutzbeschwerden bei der DSB zur Folge hatte. Ein Empfänger brachte Datenschutzbeschwerde ausdrücklich gegen eine Landesregierung ein. Die DSB änderte die Datenschutzbeschwerde jedoch nach einer Stellungnahme in einem Parallelverfahren, in welcher sich das Amt der Landesregierung (das Amt) als Verantwortlicher der Datenverarbeitung bezeichnete, dahingehend ab, dass sie das Verfahren nun gegen das Amt führte. In weiterer Folge gab die DSB der Datenschutzbeschwerde statt und begründete dies mit dem unrechtmäßigen Zugriff des Amtes auf die im Impfregister hinterlegten Daten. Gegen diesen Bescheid erhob das Amt eine Bescheidbeschwerde.

Das BVwG hat erwogen: Der Empfänger des Schreibens hatte in seiner Datenschutzbeschwerde ausdrücklich die Landesregierung als Beschwerdegegner benannt. Die DSB hingegen hat in ihrer Entscheidung jemand anderen, nämlich das Amt, als Beschwerdegegner angeführt und somit den falschen datenschutzrechtlichen Verantwortlichen herangezogen. Das Impferinnerungsschreiben wurde von der Landesregierung, der Ärztekammer sowie anderen Organen und diversen Sozialversicherungsträgern unterfertigt und enthielt keinerlei Hinweise auf das Amt. Wenn die DSB feststellt, dass der ursprünglich als Beschwerdegegner benannte nicht der Verantwortliche für die Datenverarbeitung ist, hat sie die Datenschutzbeschwerde abzuweisen. Da es der DSB nicht zusteht, den Parteiantrag einseitig abzuändern, hat sie durch die Änderung des Beschwerdegegners die "Sache" des Verwaltungsverfahrens überschritten. Auch eine Erklärung gegenüber dem Empfänger des Schreibens, dass das Verfahren gegen jemand anderen geführt wird, ändert daran nichts. Der Bescheid der DSB war daher ersatzlos zu beheben.

Rechtsprechung des BFG

Eine den Verfahrensgesetzen entsprechende Verwendung personenbezogener Daten, auch wenn es sich um Gesundheitsdaten handelt, ist grundsätzlich auch aus datenschutzrechtlicher Sicht zulässig (BFG 06.01.2024, RV/7100970/2023).

Rechtsprechung der LVwG

Das Recht auf Auskunft gemäß Art 15 DSGVO bezieht sich nicht auf Auskunftsrechte über Daten von Dritten. Für die Behandlung einer Beschwerde wegen Verarbeitung personenbezogener Daten ist zudem nicht der Magistrat der Stadt Wien, sondern die Datenschutzbehörde zuständig (LVwG Wien 23.02.2024, VGW-101/032/11502/2023).

Rechtsprechung der DSB

DSB 04.08.2023, 2023-0.159.938

Ein anonymer Hinweis informierte die DSB über ein Videoüberwachungssystem in der Wohnhausanlage einer gemeinnützigen Wohnbaugesellschaft. Daraufhin leitete die DSB ein amtswegiges Prüfverfahren ein. In der Vergangenheit hatten sich dort vermehrt Diebstähle und Sachbeschädigungen in ua Keller- und Fahrradräumlichkeiten ereignet. Zudem haben sich vermehrt hausfremde Personen in der Garage und im Stiegenhaus aufgehalten. Aufgrund dessen installierte die gemeinnützige Wohnbaugesellschaft zur Verbesserung der Sicherheit ein elektronisches Zugangssystem und eine Videoüberwachungsanlage mit 38 Videokameras, um Eigentum und Bewohner zu schützen. Die DSB stellte hinsichtlich 30 der Videokameras einen Verstoß gegen die DSGVO fest, trug der Wohnbaugesellschaft auf, den Aufnahmebereich zwei der Videokameras einzuschränken und untersagte die Datenverarbeitung mit den übrigen 28 (rechtswidrig betriebenen) Videokameras.

Die DSB hat erwogen: Eine Videoüberwachung in allgemeinen Teilen einer Liegenschaft ist als Maßnahme der außerordentlichen Verwaltung iSd § 29 Abs 1 WEG anzusehen. Daher könnte selbst bei faktischem Vorliegen eines Mehrheitsbeschlusses jeder der überstimmten Wohnungseigentümer die gerichtliche Aufhebung des Mehrheitsbeschlusses verlangen.

Als Erlaubnistatbestand kommen die Erfüllung eines Vertrages (Art 6 Abs 1 lit b DSGVO) sowie die berechtigten Interessen der Wohnbaugesellschaft, anderer Miteigentümer und Dritter (Art 6 Abs 1 lit f DSGVO) in Frage. Zwischen der Wohnbaugesellschaft und den Hausbewohnern besteht ein Bestandsvertragsverhältnis (Mietvertrag), die dauerhafte Videoüberwachung aller Bewohner bei jedem Betreten und Verlassen des Wohnobjekts ist dadurch jedoch nicht rechtfertigbar.

Die Videoüberwachung an öffentlich zugänglichen Orten zum Schutz von Personen und Eigentum ist gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich zulässig, sofern bereits Rechtsverletzungen stattgefunden haben oder ein hohes Gefährdungspotenzial besteht. Der EuGH sieht den Betrieb solcher Videoüberwachungssysteme zum Eigentumsschutz als berechtigtes Interesse an. Dennoch muss jede Datenverarbeitung, einschließlich Videoüberwachung, die Grundsätze des Art 5 Abs 1 DSGVO (ua Datenminimierung) erfüllen. Die Wohnbaugemeinschaft hat gemeinsam mit der Videoüberwachung ein elektronisches Zugangssystem eingebaut. Der Zweck, hausfremde Personen vom Wohnhaus fernzuhalten, wurde bereits durch dieses gelindere Mittel erreicht.

Zwei der Kameras dienten dem Zweck, den Diebstahl von Paket- und Briefsendungen zu verhindern. Hierfür genügt es jedoch, wenn die Aufnahmebereiche der Kameras auf die Abholstationen der Post eingeschränkt werden.

Soweit die Aufnahmebereiche der Kameras die Bereiche innerhalb der Müll-, Fahrrad- und Kinderwagenabstellräume erfassen, erfolgt die Videoüberwachung zur Verhinderung von Diebstählen und Sachbeschädigungen rechtmäßig, weil gelindere Mittel (zB Attrappen) nicht geeignet sind. Soweit die Kameras jedoch die vor diesen Räumen befindlichen Gangbereiche aufzeichnen, erfolgt die Datenverarbeitung rechtswidrig.

Die komplette Überwachung von Gemeinschaftsbereichen stellt einen unverhältnismäßig schweren Eingriff in das Grundrecht auf Geheimhaltung der Bewohner bzw deren Besucher dar. Das Interesse der Bewohner und ihrer Gäste, dass ihre personenbezogenen Daten nicht bei jedem Verlassen und Betreten der Wohnungen durch Bildaufnahmen aufgezeichnet werden, wiegt schwerer als das berechtigte Interesse der Wohnbaugesellschaft am Schutz ihres Eigentums. Folglich ist die Verarbeitung personenbezogener Daten durch jene Kameras, deren Aufnahmebereiche alle Personen beim Verlassen und Betreten des Wohnobjekts erfassen, durch das berechtigte Interesse der Wohnbaugesellschaft nicht gedeckt. Anm: Die Entscheidung ist für die Praxis ein guter Leitfaden, unter welchen Voraussetzungen die DSB den Einsatz von Videoüberwachung akzeptiert. Nach ständiger Rechtsprechung des VwGH hat die DSB keine Kompetenz, in einem von Amts wegen eingeleiteten Prüfverfahren einen Verstoß gegen die DSGVO festzustellen. Weshalb die DSB dies dennoch getan hat, ist nicht nachvollziehbar und wird auch nicht begründet.

DSB 08.09.2021, 2021-0.474.768

Die berufliche Stellung eines Mitarbeiters des Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT) wurde durch eine Aktenvorlage des Bundesministers für Inneres (BMI) an die Mitglieder des BVT-Untersuchungsausschusses offengelegt. Die Daten waren Teil eines als vertraulich klassifizierten Aktes. Der BVT-Mitarbeiter brachte Datenschutzbeschwerde bei der DSB ein. Die DSB stellte fest, dass der BMI durch Offenlegung der Daten gegenüber dem BVT-Untersuchungsausschuss das Recht des BVT-Mitarbeiters auf Geheimhaltung verletzte.

Die DSB hat erwogen: Art 53 Abs 3 letzter Satz B-VG normiert das Geheimhaltungsinteresse von "Quellen" und stellt somit eine Ausnahme von der sonst geltenden Vorlagepflicht an einen Untersuchungsausschuss dar. Daraus ergibt sich eine objektive Verpflichtung, die vom zuständigen Organ (hier: der BMI) einzuhalten ist. Ein subjektives Geheimhaltungsrecht des Betroffenen lässt sich aus dieser Bestimmung nicht ableiten. Werden personenbezogene Daten entgegen dieser Bestimmung vorgelegt, bewirkt diese objektive Rechtsverletzung eine Verletzung des verfassungsgesetzlich gewährleisteten und subjektiven Rechts auf Geheimhaltung gemäß § 1 DSG. Der Betroffene kann daher Datenschutzbeschwere erheben.

Beschränkungen des Grundrechts auf Datenschutz dürfen nur in der gelindesten, zum Ziel führenden Art vorgenommen werden. Der BMI bezweckte mit der Vorlage der Unterlagen den Nachweis von rational begründeten und frei von politischer Einflussnahme erfolgten personellen Maßnahmen bezüglich des BVT-Mitarbeiters. Der verfolgte Zweck hätte auch durch Übermittlung geschwärzter Akten erreicht werden können. Die ungeschwärzte Übermittlung der personenbezogenen Daten des BVT-Mitarbeiters verstieß daher gegen seine Geheimhaltungsinteressen.

Vorschau EuGH-Rechtsprechung

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdiensten aufbewahrter Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

März 2024

06.03. | 13.03. | 20.03. | 27.03.

Datenschutzmonitor 27.03.2024

Rechtsprechung des EuGH

EuGH 21.03.2024, C-61/22, Landeshauptstadt Wiesbaden

Ein Unionsbürger beantragte bei der Stadt Wiesbaden die Ausstellung eines neuen Personalausweises und verlangte, dass hierfür seine Fingerabdrücke nicht aufgenommen werden sollten. Die Stadt Wiesbaden lehnte den Antrag ab und berief sich auf die VO 2019/1157, welche die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen vorsieht.

Das vorlegende Gericht fragte den EuGH, ob die VO 2019/1157 gegen höherrangiges Unionsrecht verstößt, weil (i) sie auf die falsche Primärrechtsgrundlage gestützt wurde, (ii) sie gegen Art 7 und Art 8 GRC verstößt und (iii) keine Datenschutz-Folgeabschätzung nach Art 35 DSGVO durchgeführt wurde. Der EuGH erklärte die VO für ungültig, weil sie auf einer falschen Primärrechtsgrundlage erlassen wurde, entschied aber, dass die Wirkung der VO für eine angemessene Frist aufrechtzuerhalten ist, damit die VO, gestützt auf die richtige Rechtsgrundlage, erneut erlassen werden kann. Die datenschutzrechtlichen Regelungen der VO wurden vom EuGH für rechtmäßig befunden.

Der EuGH hat erwogen: Bei einer Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten iSd Art 35 Abs 1 DSGVO durchführen. Die VO sieht jedoch lediglich vor, dass die Mitgliedstaaten bei der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen sollen. Art 35 DSGVO ist daher nicht anzuwenden.

Fingerabdrücke sind biometrische und somit sensible Daten. Die Aufnahme und anschließende Speicherung von Fingerabdrücken in Personalausweisen schränkt die Rechte nach Art 7 und 8 GRC ein. Eine solche Einschränkung ist jedoch zulässig, sofern sie gesetzlich vorgesehen ist, der Wesensgehalt der Rechte geachtet, der Grundsatz der Verhältnismäßigkeit gewahrt wird und ein dem Gemeinwohl dienendes Ziel verfolgt wird.

Die in Fingerabdrücken enthaltenen Informationen ermöglichen für sich genommen keinen Einblick in das Privat- und Familienleben der betroffenen Personen. Die Aufnahme der Fingerabdrücke dient zur Feststellung der Echtheit der Ausweise und zur zuverlässigen Identifizierung des Inhabers. Weiters trägt die Maßnahme auch zur Interoperabilität der Systeme der Mitgliedstaaten zur Überprüfung von Identitätsdokumenten bei und verhindert das Fälschungs- und Betrugsrisiko, was ein Ziel im öffentlichen Interesse ist. Dies liegt auch im Interesse der Unionsbürger, weil ihnen dadurch die Freizügigkeit innerhalb der Union erleichtert wird. Die Aufnahme der vollständigen Fingerabdrücke ist hierfür erforderlich, weil die Mitgliedstaaten unterschiedliche Technologien zur Überprüfung von Identitätsdokumenten verwenden. Eine Aufnahme bloß bestimmter charakteristischer Punkte bietet nicht dieselbe Sicherheit und kann nicht von allen, durch die Mitgliedstaaten angewandten, unterschiedlichen Systeme erkannt werden. Hinsichtlich der Schwere des Eingriffs ist anzumerken, dass die Fingerabdrücke lediglich im Speichermedium der Personalausweise gespeichert werden, wobei diese ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal aufgenommen werden dürfen. Weiters sind die Mitgliedstaaten dazu verpflichtet, die biometrischen Daten bei Abholung des Dokuments durch den Inhaber, spätestens aber nach 90 Tagen zu löschen und keine nationalen Datenbanken zu führen. Auch ist zu beachten, dass die Fingerabdrücke bloß sekundär herangezogen werden sollen, sofern nach einer Überprüfung anhand des Gesichtsbilds noch Zweifel an der Echtheit des Dokuments bzw der Identität des Inhabers bestehen. Vor dem Hintergrund der obigen Ausführungen ist die Einschränkung der Art 7 und 8 GRC verhältnismäßig.

Anm: Für die Praxis ist diese Entscheidung relevant, weil der EuGH eine umfassende Rechts- und Verhältnismäßigkeitsprüfung durchführt und anerkennt, dass bereits vorhandene Systeme dem Datenschutz nicht immer angepasst werden müssen.

Rechtsprechung des VwGH

VwGH 01.02.2024, Ro 2021/04/0013

Aufgrund einer Ermittlung wegen Amtsmissbrauchs führte die Staatsanwaltschaft (StA) eine Rufdatenerhebung bei einem Verdächtigen durch. Nach Abschluss übermittelte die StA die Ergebnisse an die "Telefonkontakte" des Verdächtigen. Sie übermittelte nicht nur die Tatsache der Rufdatenerhebung, sondern auch die staatsanwaltliche Anordnung samt Begründung. Diese Begründung beinhaltete die bisherigen Ermittlungsergebnisse (Schilderung der Verdachtslage). Der Verdächtige erhob daraufhin Datenschutzbeschwerde bei der DSB. Nach Auffassung der DSB bestand für die Offenlegung der bisherigen Ermittlungsergebnisse keine gesetzliche Grundlage, weshalb eine Verletzung im Recht auf Geheimhaltung vorlag. Gegen diesen Bescheid erhob die StA Bescheidbeschwerde an das BVwG. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH wies die Amtsrevision als unbegründet ab.

Der VwGH hat erwogen: Das BVwG rügte die mangelhafte Begründung des Bescheides und änderte ihn dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird. Das BVwG darf einer Bescheidbeschwerde aber nicht allein wegen einer unzureichenden Begründung des bekämpften Bescheides Folge geben, es hat die Datenschutzbeschwerde inhaltlich zu erledigen. Das BVwG hat seine Entscheidung jedoch nicht nur auf diese Rüge gestützt. Es hat die Abweisung der Datenschutzbeschwerde vorrangig damit begründet, dass die Regelungen der StPO den einschlägigen Bestimmungen im 3. Hauptstück des DSG vorgehen.

Der Umstand, dass die § 138 Abs 5 und § 139 Abs 2 StPO besondere Regelungen über Verständigungspflichten und Einsichtsrechte enthalten, kann dazu führen, dass bestimmte Informations- und Auskunftsrechte nach dem DSG unangewendet bleiben. Trotz dieser besonderen Reglungen müssen die allgemeinen Anforderungen der StPO und des DSG zur Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung beachtet werden. § 74 Abs 1 StPO erlaubt es der StA, während ihrer Aufgaben notwendige personenbezogene Daten zu verarbeiten und erklärt das DSG für subsidiär anwendbar. Die Zulässigkeitsvoraussetzungen nach dem DSG sind auch im Anwendungsbereich der StPO maßgeblich.

Gemäß § 138 Abs 5 StPO hat die StA nach Beendigung einer Ermittlungsmaßnahme ihre Anordnung den von der Durchführung der Ermittlungsmaßnahme Betroffenen unverzüglich zuzustellen. Auch wenn sich die Anordnung im Nachhinein (ex post) als rechtswidrig erweist, sind die Betroffenen von der Ermittlungsmaßnahme zu verständigen, denn die Verständigung der Betroffenen dient deren Interessen. Sie sollen von dem Eingriff erfahren, um ggf Rechtsmittel erheben zu können.

Rechtsprechung des OGH

OGH 21.02.2024, 6Ob236/23h

Ein Kläger erhob Klage gegen Medieninhaberinnen, die ihren Sitz nicht im Sprengel des Erstgerichts hatten, weil sein Bild samt Begleittext in einer Print- und Online-Ausgabe veröffentlicht wurde. Er begehrte beim Erstgericht, in dessen Sprengel er wohnte und arbeitete, die Beseitigung und Löschung des Bildes und Begleittexts sowie Schadenersatz. Das Erstgericht erklärte sich für örtlich unzuständig. Der OGH entschied im Revisionsrekursverfahren, dass das Erstgericht für die Klage gegen das Printmedium örtlich unzuständig ist, für jene gegen das Onlinemedium hingegen örtlich zuständig ist.

Der OGH hat erwogen: § 29 Abs 2 DSG normiert einen Wahlgerichtsstand. Klagen gegen Verantwortliche und Auftragsverarbeiter können entweder beim Landesgericht erhoben werden, das im Sprengel des gewöhnlichen Aufenthalts oder Sitzes des Klägers oder des Beklagten liegt. Das Medienprivileg des § 9 Abs 1 DSG, dessen Aufhebung erst mit 30.06.2024 in Kraft tritt, bewirkt jedoch, dass § 29 Abs 2 DSG keine Anwendung findet, wenn Daten für journalistische Zwecke verarbeitet werden. Die Geltung des Medienprivilegs kann im Zuständigkeitsstreit dazu führen, dass ein Kläger den Verantwortlichen oder Auftragsverarbeiter vor einem anderen Gericht als dem seines gewöhnlichen Aufenthalts zu klagen hat. Dies ist nicht unionsrechtswidrig. Betroffenen Personen steht dennoch ein wirksamer gerichtlicher Rechtsbehelf iSd Art 79 Abs 1 DSGVO offen, weil die örtliche Zuständigkeit durch § 28 JN gewährleistet wird. Aufgrund des (noch geltenden) Medienprivilegs kann der Kläger die Zuständigkeit des § 29 Abs 2 DSG jedoch nicht in Anspruch nehmen.

Entfällt die Anwendung des § 29 Abs 2 DSG, verbleibt für Ansprüche aus Persönlichkeitsrechtsverletzungen in einem elektronischen Kommunikationsnetz der Gerichtsstand des § 92b JN. Entscheidend ist, dass über einen einheitlichen Sachverhalt zu entscheiden ist, bei dem verschiedene Anspruchsgrundlagen das angestrebte Ergebnis tragen. Dann ist das angerufene Gericht zuständig, wenn es die Zuständigkeit auch nur hinsichtlich einer der konkurrierenden Normen besitzt. Dies gilt auch für die örtliche Zuständigkeit, denn der Kläger soll nicht gezwungen sein, auf Anspruchsgrundlagen zu verzichten, um einen gewünschten Gerichtsstand zu erreichen. Der Kläger verfolgt mit seiner Klage eine vermeintliche Verletzung seiner Persönlichkeitsrechte und leitet sämtliche Ansprüche aus der Veröffentlichung des Bildes mit Begleittext ab. Da der Kläger sämtliche Ansprüche denkmöglich auch auf sein Grundrecht auf Datenschutz und die DSGVO gestützt hat und über einen einheitlichen Sachverhalt zu entscheiden ist, wobei verschiedene Rechtsgründe das nach dem Urteilsbegehren angestrebte Ergebnis tragen könnten, genügt es, wenn die örtliche Zuständigkeit des angerufenen Gerichts in Ansehung dieses Rechtsgrundes vorliegt.

Rechtsprechung des BVwG

Im Einklang mit seiner ständigen Rechtsprechung sprach das BVwG aus, dass die Zurückziehung der Datenschutzbeschwerde, während das Verfahren beim BVwG anhängig ist, zum Wegfall der Zuständigkeit der DSB führt. Dadurch wird der Bescheid der DSB (nachträglich) rechtswidrig und ist von Amts wegen zu beheben (BVwG 27.02.2024, W221 2265528-2).

Rechtsprechung der LVwG

LVwG Burgenland 08.01.2024, E 263/07/2023.001/018

Der Lenker eines PKW wurde auf einer Landstraße von Polizeibeamten in einem Zivilfahrzeug zur Vorführung zum Strafantritt angehalten, weil der Lenker mit der Zahlung mehrerer rechtskräftig verhängter Geldstrafen säumig war. Die Polizeibeamten nahmen den Lenker mit auf die Polizeiwache, von wo er anschließend in das Polizeianhaltezentrum überstellt wurde. Da der Lenker an Diabetes litt, verschlechterte sich sein Gesundheitszustand. Er wurde zur Versorgung in das Landesklinikum und anschließend wieder ins Polizeianhaltezentrum gebracht. Dort wurde er aufgefordert, die vom Krankenhaus erstellen Befunde abzugeben. Der Lenker wendete ein, dass die darin enthaltenen Daten dem Datenschutz unterliegen, doch wurde dieser Einwand von den Polizeibeamten ignoriert. Am nächsten Tag beglich die Gattin des Lenkers die Geldstrafen und er kam frei. Gegen die erfolgte Ausübung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt erhob der Lenker Maßnahmenbeschwerde gemäß Art 132 Abs 2 B-VG iVm §§ 7 ff VwGVG an das LVwG Burgenland. In der Beschwerde behauptete er ua, durch das Vorgehen der Polizeibeamten in seinem Recht auf Geheimhaltung verletzt worden zu sein. Der Datenschutzverstoß ergab sich gemäß dem Lenker durch die Aufforderung, Behandlungsbefunde abzugeben, welche dann Eingang in den zu ihm angelegten Gesundheitsakt im Polizeianhaltezentrum gefunden haben. Die Maßnahmenbeschwerde wurde vom LVwG in diesem Punkt als unzulässig zurückgewiesen.

Das LVwG Burgenland hat erwogen: Durch die eindeutige Festlegung von Behördenzuständigkeiten in Art 83 Abs 2 B-VG kommt die Zuständigkeit zur Überprüfung von Datenanwendungen auf Entscheidung über Beschwerden von Personen, die behaupten, in ihrem Recht auf Geheimhaltung verletzt zu sein, ausschließlich der DSB zu. Dies hat auch schon der VwGH mit Erkenntnis vom 22.04.2015, Ra 2014/04/0046 entschieden. Der Lenker hätte die in der Maßnahmenbeschwerde erhobene Rüge der Datenschutzverletzung bei der DSB erheben müssen. Die Verletzung eines Datenschutzrechts kann nicht im Rahmen eines Maßnahmenbeschwerdeverfahrens geprüft werden. Das Ersuchen auf Übergabe der Befunde zur Vorlage an den Amtsarzt ist keine Zwangsmaßnahme, weshalb die Maßnahmenbeschwerde aus diesem Punkt schon unzulässig ist. Die Maßnahmenbeschwerde dient darüber hinaus dem Zweck, eine Lücke im Rechtsschutzsystem zu schließen. Mit dieser Beschwerde sollen keine Zweigleisigkeiten für die Verfolgung ein- und desselben Rechtes geschaffen werden. Eine Maßnahmenbeschwerde steht nur offen, soweit die Rechtmäßigkeit des in Beschwerde gezogenen Handelns nicht in einem Verwaltungsverfahren geklärt werden kann. Was in einem Verwaltungsverfahren ausgetragen werden kann, kann daher nicht Gegenstand einer Maßnahmenbeschwerde sein. Die Maßnahmenbeschwerde ist ein subsidiärer Rechtsbehelf, der unzulässig ist, wenn ein anderer Rechtsschutzweg wie eine Datenschutzbeschwerde an die DSB zur Verfügung steht.

Rechtsprechung der DSB

DSB 19.11.2021, 2020-0.591.897

Ein Bankkunde sah sich im Recht auf Geheimhaltung verletzt, weil die Bank ein Telefongespräch mit ihm aufgezeichnet hatte. Eine Option, die Aufzeichnung abzulehnen, gab es nicht. Die DSB gab der Beschwerde statt und stellte fest, dass die Bank den Kunden in seinem Recht auf Geheimhaltung verletzt hatte, indem sie das Gespräch ohne rechtmäßige Grundlage verarbeitet hatte.

Die DSB hat erwogen: Die Bank berief sich auf ihre gesetzlichen Pflichten nach dem Wertpapieraufsichtsgesetz (WAG) und dem Zahlungsdienstegesetz (ZaDiG), die eine Aufzeichnung von Telefongesprächen im Zusammenhang mit Wertpapiergeschäften und eine (nicht näher definierte) Nachweispflicht eines Zahlungsdienstleisters bei Zahlungsaufträgen vorsehen. Diese Pflichten kamen jedoch nicht zum Tragen, weil das Gespräch weder ein Wertpapiergeschäft noch einen Zahlungsauftrag zum Inhalt hatte, sondern lediglich eine Anfrage über die Durchführung einer Geldüberweisung. Die Bank hätte ihre Organisation so einzurichten gehabt, dass Telefongespräche, die unter eine Aufzeichnungspflicht fallen, von anderen Kundengesprächen getrennt geführt werden. Die Bank durfte die Aufzeichnung des Telefongesprächs auch nicht auf das berechtigte Interesse der Qualitätssicherung ihrer Dienstleistungen stützen, weil das Geheimhaltungsinteresse des Kunden überwog. Die Datenverarbeitung war daher unrechtmäßig.

Vorschau EuGH-Rechtsprechung

Datenschutzmonitor 20.03.2024

Rechtsprechung des EuGH

EuGH 14.03.2024, C‑46/23, Ujpesti Polgarmesteri Hivatal

Eine Bezirksverwaltung wollte Stadtbewohner, die durch die COVID-19-Pandemie gefährdet waren und bestimmte Anforderungen erfüllten, finanziell unterstützen. Für die Prüfung der Anspruchsvoraussetzungen erhob die Bezirksverwaltung personenbezogene Daten (Identifizierungsdaten und Sozialversicherungsnummern) bei anderen staatlichen Stellen und fasste diese in einer Datenbank zusammen. Die nationale Aufsichtsbehörde leitete ein amtswegiges Prüfverfahren ein und trug der Bezirksverwaltung auf, die personenbezogenen Daten jener Stadtbewohner zu löschen, die zwar Anspruch auf die Unterstützung gehabt hätten, diese aber nicht beantragt hatten.

Das vorlegende Gericht fragte den EuGH, ob eine Aufsichtsbehörde ohne Löschungsersuchen der Betroffenen von Amts wegen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anordnen darf und bejahendenfalls, ob diese Befugnis davon abhängt, dass die Daten bei den Betroffenen selbst erhoben wurden oder nicht.

Der EuGH hat erwogen: Art 58 Abs 2 DSGVO unterscheidet zwischen Abhilfemaßnahmen, die von Amts wegen ausgeübt werden und solchen, die nur auf Antrag der Betroffenen hin ergriffen werden können. Ebenso wird in Art 17 DSGVO zwischen der Löschung der Daten auf Antrag der Betroffenen und der Löschung aufgrund des Bestehens einer dem Verantwortlichen obliegenden Verpflichtung unterschieden. Um sicherzustellen, dass Datenverarbeitungen im Einklang mit der DSGVO stehen, müssen Aufsichtsbehörden über wirksame Befugnisse verfügen. Übt eine Aufsichtsbehörde ihre Befugnisse aus, muss sie geeignete Maßnahmen erlassen können, um festgestellten Verstößen abzuhelfen, und zwar unabhängig davon, ob die betroffene Person zuvor einen Antrag auf Ausübung ihrer Rechte gestellt hat. Die Aufsichtsbehörden dürfen auch ohne Antrag eines Betroffenen die Löschung personenbezogener Daten anordnen. Untätig bleibenden Personen würde ansonsten der Schutz genommen werden, obwohl ihre personenbezogenen Daten unrechtmäßig verarbeitet werden.

Auf die Herkunft der Daten kommt es nicht an. Die Befugnis der Aufsichtsbehörde zur Anordnung der Löschung unrechtmäßig verarbeiteter Daten bezieht sich sowohl auf bei den Betroffenen erhobenen als auch aus einer anderen Quelle stammenden Daten.

Rechtsprechung VfGH

VfGH 12.03.2024, E3436/2023

Die Finanzmarktaufsichtsbehörde (FMA) veröffentlichte die Daten eines Unternehmens im Rahmen einer Investorenwarnung auf ihrer Webseite, weil das Unternehmen trotz fehlender Berechtigung den Anschein erweckte, konzessionspflichtige Wertpapierdienstleistungen zu erbringen. Nachdem das Unternehmen eine entsprechende inhaltliche Veränderung auf ihrer Webseite vornahm, indem es den "Footer" mit dem irreführenden Hinweis löschte, erhob es eine Datenschutzbeschwerde an die DSB. Darin brachte das Unternehmen vor, die FMA hätte die Investorenwarnung trotz der geänderten Sachlage nicht behoben und hätte das Unternehmen somit in ihrem Recht auf Löschung verletzt. Die DSB erklärte, dass das Unternehmen als juristische Person iSd § 24 DSG legitimiert sei, Datenschutzbeschwerde zu erheben und gab dieser statt, weil sich die Sachlage durch das Entfernen des "Footer" auf der Webseite geändert hatte. Die FMA habe demnach das Unternehmen in seinem Recht auf Löschung verletzt. Angesichts einer Bescheidbeschwerde der FMA beim BVwG hob dieses den Bescheid der DSB auf und führte aus, dass juristische Personen nicht von § 24 DSG erfasst seien und somit nicht aktiv legitimiert wären. Dagegen erhob das Unternehmen (erfolglos) eine Erkenntnisbeschwerde an den VfGH.

Der VfGH hat erwogen: Der VfGH hat keinen Zweifel, dass die Grundrechtsbestimmung des § 1 DSG auch juristische Personen als Grundrechtsträger erfasst, wobei auch Wirtschaftsdaten als personenbezogene Daten zu qualifizieren sind. Im konkreten Fall der Investorenwarnung gibt es jedoch einen eigenen Rechtsschutzweg an die FMA, der sowohl natürlichen als auch juristischen Personen offensteht. Das Unternehmen hätte nach Änderung der Sachlage erneut bei der FMA die Überprüfung auf Rechtmäßigkeit gemäß § 92 Abs 11 WAG beantragen müssen, in dessen Rahmen auch eine etwaige Verletzung des Grundrechts auf Datenschutz zu prüfen ist. Sollte eine solche Verletzung vorliegen, wäre die FMA dazu verpflichtet, die Veröffentlichung richtigzustellen, zu widerrufen oder zu entfernen. Die Begründung des BVwG, dass die DSB aufgrund der fehlenden Aktivlegitimation des Unternehmens unzuständig sei, war zwar unrichtig, jedoch würden daraus keine verfassungsrechtlichen Bedenken hervorgehen. Dies vor eben jenem Hintergrund, dass nicht die DSB, sondern ausschließlich die FMA zur Entscheidung über die Rechtmäßigkeit einer Investorenwarnung zuständig ist.

Rechtsprechung des VwGH

VwGH 01.02.2024, Ra 2021/04/0088

In das Vermögen des Verpflichteten einer Forderung sollte Exekution geführt werden, weshalb der Gerichtsvollzieher dessen Wohnung aufsuchte und, als er ihn nicht antraf, seine Visitenkarte hinterließ. Der Verpflichtete erhob gegen das BG Innsbruck, dem der Vollzieher zuzurechnen war, Beschwerde bei der DSB, die diese abwies. Das BG Innsbruck erhob dennoch Bescheidbeschwerde gegen diesen Bescheid, weil es der Ansicht war, dass die Tätigkeit des Vollziehers als "justizielle Tätigkeit" iSd Art 55 Abs 3 DSGVO zu qualifizieren ist und die DSB deshalb unzuständig war. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH schloss sich der Rechtsansicht des BVwG an, hob das Erkenntnis des BVwG aber dennoch auf, weil der Spruch des Erkenntnisses falsch formuliert war.

Der VwGH hat erwogen: Die Tätigkeit von Exekutivorganen bei einer gerichtlichen Vollstreckung nach der EO ist eine Tätigkeit der "Gerichtspolizei im engeren Sinn", die der Gerichtsbarkeit zuzuordnen ist; die zu setzenden Akte sind als "abgeleitete richterliche Akte" zu qualifizieren. Das Exekutionsverfahren und dessen Vollzug ist somit eine "justizielle Tätigkeit", in deren Zusammenhang die richterliche Unabhängigkeit zu wahren ist. Art 55 Abs 3 DSGVO ist so zu verstehen, dass Datenverarbeitungen im Rahmen einer "justiziellen Tätigkeit" nicht nur auf Verarbeitungen durch Gerichte in konkreten Rechtssachen beschränkt sind, sondern in weiterem Sinn alle Verarbeitungsvorgänge durch Gerichte bei "justiziellen Tätigkeiten" erfassen. Diese Verarbeitungen sind der Kontrolle durch die DSB nicht unterworfen.

Dennoch war das Erkenntnis des BVwG aufzuheben, weil das BVwG den Bescheid der DSB nur behoben hat und eine rein kassatorische Entscheidung des Verwaltungsgerichts nicht zulässig ist, wenn dem verwaltungsbehördlichen Bescheid ein Parteiantrag zugrunde liegt. Das BVwG hätte somit in der Sache entscheiden müssen.

Anm: Das BVwG hätte den Bescheid der DSB nicht "bloß" beheben dürfen, sondern hätte den Spruch des Bescheids auch dahingehend abzuändern gehabt, dass die Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird. Das wird im fortgesetzten Verfahren wohl auch geschehen.

VwGH 01.02.2024, Ro 2020/04/0016

Eine Rechtsanwältin verlangte die Übermittlung von Aktenkopien von der Staatsanwaltschaft (StA). Die StA übermittelte teilweise sensible Daten von zwei Personen, die zwar im angeforderten Akt geführt wurden, jedoch nicht die Eingabe der Rechtsanwältin betrafen. Die Rechtsanwältin leitete den Sachverhalt an die DSB weiter, die ein amtswegiges Prüfverfahren gegen die StA einleitete und eine Verletzung des Rechts auf Geheimhaltung der Betroffenen feststellte. Das BVwG wies die Bescheidbeschwerde der StA ab. Die StA erhob, vertreten durch die Finanzprokuratur, Revision an den VwGH. Der VwGH hegte Bedenken im Hinblick auf das Recht auf ein Verfahren vor dem gesetzlichen Richter (Art 83 Abs 2 B-VG) sowie den Trennungsgrundsatz (Art 94 B-VG) und stellte an den VfGH den Antrag, die Bestimmungen § 31 Abs 1 erster Satz, § 32 Abs 1 Z 3 sowie § 36 Abs 2 Z 15 DSG aufzuheben. Der VfGH teilte zwar die verfassungsgesetzlichen Bedenken des VwGH hinsichtlich des Trennungsgrundsatzes, sah jedoch wegen des Vorrangs des Unionsrechts keinen Raum die angefochtenen Bestimmungen aufzuheben, weil unter Wahrung des Unionsrechts keine verfassungskonforme Ersatzregelung möglich ist (VfGH 13.12.2023, G212/2023). Der VwGH hob das Erkenntnis des BVwG trotz richtiger Beurteilung der Zuständigkeit der DSB aus formalen Gründen dennoch auf.

Der VwGH hat erwogen: Die Staatsanwälte sind gemäß Art 90a B-VG Organe der ordentlichen Gerichtsbarkeit aber keine Gerichte. Trotz der Regelungen des GOG und des StAG sind sie auch keine unabhängigen Justizbehörden. Vor dem Hintergrund des Erkenntnisses des VfGH bestehen gegen diese Zuständigkeit der DSB auch für den Bereich der Verarbeitung personenbezogener Daten durch Staatsanwaltschaften keine verfassungsrechtlichen Bedenken (mehr).

Der VwGH hat allerdings bereits wiederholt ausgesprochen, dass die DSB in einem amtswegigen Prüfverfahren keine Befugnis hat die allfällige Rechtswidrigkeit eines Datenverarbeitungsvorgangs festzustellen. Da das BVwG den Bescheid der DSB, mit welchem eine Rechtsverletzung festgestellt wurde, bestätigte, war das Erkenntnis des BVwG aufzuheben.

VwGH 14.12.2021, Ro 2021/04/0006

Der Nationalrat setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) aufzuklären (BVT-Untersuchungsausschuss). Als Auskunftsperson wurde ein verdeckter Ermittler einvernommen, der die Anonymisierung seiner Aussage beantragte. Dennoch wurde das Protokoll seiner Befragung unter Nennung seines Klarnamens veröffentlicht. Die von der Auskunftsperson erhobene Datenschutzbeschwerde wurde von der DSB wegen Unzuständigkeit zurückgewiesen. Der Bescheidbeschwerde der Auskunftsperson gab das BVwG Folge. Die DSB erhob Amtsrevision an den VwGH. Der VwGH fragte den EuGH, (i) ob im Hinblick auf den Gewaltenteilungsgrundsatz die parlamentarische Kontrolltätigkeit durch einen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt und (ii) bejahendenfalls, ob diese Kontrolltätigkeit vom Anwendungsbereich der DSGVO ausgenommen ist, wenn eine Behörde kontrolliert wird, die dem Schutz der nationalen Sicherheit dient. Weiters fragte der VwGH, (iii) ob sofern bloß eine nationale Datenschutzbehörde eingerichtet ist, deren Zuständigkeit sich unmittelbar aus Art 77 DSGVO ergibt. Nachdem der EuGH diese Fragen beantwortete (EuGH 16.01.2024, C-33/22, Österreichische Datenschutzbehörde; siehe näher unser Datenschutzrechts-Update vom 24.01.2024), wies der VwGH die Amtsrevision der DSB ab.

Der VwGH hat erwogen: Ausgehend vom Urteil des EuGH ist bei der Frage, ob die Verarbeitung personenbezogener Daten vom sachlichen Anwendungsbereich der DSGVO ausgenommen ist, ausschließlich auf die Natur der Tätigkeiten abzustellen. Daher ist nicht jede Tätigkeit eines vom Nationalrat eingesetzten Untersuchungsausschuss vom Anwendungsbereich des Unionsrechts ausgenommen.

Gegenstand des BVT-Untersuchungsausschusses ist die parlamentarische Kontrolle der Aufgabenerfüllung des BVT, aber nicht unmittelbar die Gewährleistung der nationalen Sicherheit. Auch hinsichtlich des Schutzes der nationalen Sicherheit ist die Tätigkeit des BVT-Untersuchungsausschusses vom Anwendungsbereich der DSGVO daher nicht ausgenommen.

Die DSB ist für die Kontrolle des BVT-Untersuchungsausschusses zuständig, weil sie die einzige dafür eingerichtete Aufsichtsbehörde ist. Dies stößt auf keine verfassungsgesetzlichen Bedenken, weil nach den Ausführungen des VfGH im Erkenntnis vom 13.12.2023, G212/2023, kein Umsetzungsspielraum ersichtlich ist, eine mit dem verfassungsgesetzlichen Gewaltentrennungsprinzip vereinbare, für die Überprüfung der Verarbeitung personenbezogener Daten durch das Parlament zuständige Aufsichtsbehörde nach Art 51 Abs 1 DSGVO einzurichten.

Anm: Der VwGH räumt verfassungsrechtliche Bedenken mit Verweis auf das bereits oben erwähnte Erkenntnis des VfGH aus. Darin ging es allerdings um Staatsanwaltschaften. Ob eine vergleichbare Lösung für die Legislative wie für die Judikative verfassungsgesetzlich tatsächlich unzulässig ist, erscheint fraglich.

Die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung kann als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung angesehen werden. Die Verarbeitung der Daten einer vom Interesse des Verantwortlichen nicht unmittelbar betroffenen Person ist von diesem Zweck jedoch nicht gedeckt. Aus der Unzulässigkeit der Zusendung elektronischer Post ohne Einwilligung kann kein Umkehrschluss gezogen werden, dass die Zusendung einer persönlich adressierten Werbung per Post ohne Einwilligung zulässig wäre (VwGH 01.02.2024, Ro 2021/04/0016).

Rechtsprechung des OGH

Beamte und Vertragsbedienstete der Abgabenbehörden dürfen, sofern dienstlich begründet, aus den finanzinternen Datenbanken Abgabeninformationssystem (AIS), FinanzOnline Verfahren (FON), Grunddatenverwaltung und Jahresveranlagung (JVP) personenbezogene Daten abfragen. Abfragen aufgrund von Bitten von Bekannten, Freunden und Verwandten gehören jedoch nicht zu den einem Beamten oder Vertragsbediensteten übertragen Aufgaben. Ersuchen aus dem Freundes-, Bekannten- und Verwandtenkreis sind wegen Befangenheit abzulehnen (OGH 15.02.2024, 8ObA72/23f).

Rechtsprechung der BFG

Der materielle Schwerpunkt der Tätigkeit als Mitglied und somit der Tätigkeitsmittelpunkt des Gemeinderats/des Stadtrats liegt nicht in einem im Wohnungsverband gelegenen Arbeitszimmer. Das Arbeitszimmer wird auch dann nicht zum Mittelpunkt der Tätigkeit, wenn darin vertrauliche Informationen aufbewahrt werden. Vertrauliche Daten sind zwar unter Beachtung des Datenschutzgesetzes sowie der Datenschutzgrundverordnung sicher zu verwahren, die erforderlichen Vorbereitungshandlungen und Ablagemöglichkeiten können den Mittelpunkt der Kerntätigkeit jedoch nicht ins Arbeitszimmer verlagern (BFG 04.03.2024, RV/7103422/2020).

Rechtsprechung der DSB

DSB 10.08.2023, 2023-0.058.359

Drei deutsche Gesellschaften im Lebensmittelsektor verarbeiteten und übermittelten Daten einer österreichischen Kommanditgesellschaft (KG) an ein drittes Unternehmen. Konkret ging es dabei um die Daten zu den – von der KG bei den deutschen Gesellschaften – bestellten Produkten, zu Mengen dieser bestellten Produkte, zur geschätzten Absatzmenge sowie des Betriebsorts der KG. Die von der KG erhobene Datenschutzbeschwerde wurde von der DSB zurückgewiesen.

Die DSB hat erwogen: Nach § 1 Abs 1 DSG sind auch die Daten juristischer Personen geschützt. Gem § 3 Abs 1 DSG sind die Bestimmungen des DSG jedoch nur auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Hinsichtlich einer Datenverarbeitung und -übermittlung durch GmbHs in Deutschland gelangen die §  1 Abs  1 DSG sowie § 24 Abs 1 DSG folglich nicht zur Anwendung. Das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art 77 Abs 1 DSGVO kommt nur natürlichen Personen zu. Eine KG kann sich auf diese Bestimmung nicht stützen. Der KG steht es offen, eine Beschwerde in Deutschland einzubringen.

Vorschau EuGH-Rechtsprechung

Am 03.2024 wird das Urteil des EuGH in der Rs C-61/22, Landeshauptstadt Wiesbaden, verkündet. Der EuGH wird über die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten entscheiden. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 13.03.2024

Rechtsprechung des EuGH

EuGH 07.03.2024, C‑604/22, IAB Europe

Bei Online-Werbeauktionen können Werbeunternehmen anonym Werbeplätze ersteigern und personalisierte Werbung basierend auf Nutzerprofilen anzeigen. IAB Europe, eine EU-Branchenorganisation, die Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt, entwickelte für ihre Mitglieder einen Regelungsrahmen, um sicherzustellen, dass diese Auktionen DSGVO-konform sind (das Transparency & Consent Framework; TCF). Dazu wurde eine Einwilligungsplattform (Consent Management Plattform; CMP) in ein Pop-up-Fenster integriert, um die Einwilligungspräferenzen des Websitebesuchers in einem Transparency and Consent String (TC-String) zu speichern, der aus einer Folge von Buchstaben und Zeichen besteht. Dieser Code wird an Broker übermittelt, damit diese wissen, worin die Nutzer eingewilligt haben. Das CMP speichert auch ein Cookie auf dem Gerät des Nutzers. Miteinander kombiniert können der TC‑String und das Cookie der IP‑Adresse dieses Nutzers zugeordnet werden. Das vorlegende Gericht fragte den EuGH, ob es sich bei einer solchen Zeichenfolge um personenbezogene Daten handelt und ob es sich bei einer Branchenorganisation wie IAB Europe um einen gemeinsam Verantwortlichen iSd Art 26 DSGVO handelt.

Der EuGH hat erwogen: Eine Zeichenfolge, die individuelle Einwilligungspräferenzen eines Websitebesuchers enthält, ist eine Information, die sich auf eine Person bezieht und somit eine Information "über" eine Person. Eine solche Zeichenfolge ist ein personenbezogenes Datum, wenn sie mit vertretbarem Aufwand mit einer Kennung wie einer IP-Adresse verknüpft werden kann und somit eine Identifizierung der Person möglich ist. Sofern die Mitglieder der Branchenorganisation verpflichtet sind, auf Anfrage Identifizierungsinformationen bereitzustellen, ist es unerheblich, dass die Branchenorganisation selbst keinen Zugriff auf die verarbeiteten Daten hat bzw den TC-String nicht direkt mit einer Kennung verknüpfen kann, weil die Branchenorganisation dennoch über die Mittel verfügt, die Person zu identifizieren.

Die Branchenorganisation ist als gemeinsamer Verantwortlicher zu qualifizieren, wenn sie gemeinsam mit seinen Mitgliedern die Zwecke (Förderung des Handels von Werbeflächen im Internet) und Mittel (Regelungsrahmen und technische Spezifikationen für die Verarbeitung des TC-Strings) festlegt. Dass die Branchenorganisation selbst keinen unmittelbaren Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern innerhalb des Regelungsrahmens verarbeitet werden, hindert nicht daran, sie als Verantwortliche einzustufen. Dies gilt aber nur für die Speicherung der Einwilligungspräferenzen, nicht jedoch für die Weiterverarbeitung durch Dritte aufgrund dieser Präferenzen. Erst wenn eine Branchenorganisation Einfluss auf die Festlegung der Zwecke und Mittel dieser Weiterverarbeitungen ausübt, kann sie für diese Verarbeitung als Verantwortliche angesehen werden.

Anm: Als Folge dieses Urteils dürfte das TCF voraussichtlich überarbeitet werden.

EuGH 05.03.2024, C-755/21P, Kočner/Europol

Während der Ermittlung wegen des Mordes an einem slowakischen Journalisten und dessen Verlobten sicherte Europol die Daten auf zwei Mobiltelefonen des mutmaßlichen Mordauftraggebers (Beschuldigter). Europol übermittelte ihren Bericht an die slowakischen Behörden und übergab der Behörde eine Festplatte mit verschlüsselten Daten, die Europol aus den besagten Mobiltelefonen extrahiert hatte. Dem Bericht zufolge war der Beschuldigte wegen des Verdachts eines Finanzdelikts seit 2018 inhaftiert und sein Name stand ua mit "Mafia-Listen" und den "Panama Papers" in Verbindung. Kurze Zeit später kam es in verschiedenen Presseartikeln zur Veröffentlichung der Transkriptionen intimer Gespräche zwischen dem Beschuldigten und dessen Freundin, die von den beiden Mobiltelefonen stammten. Der Beschuldigte klagte Europol vor dem EuG auf immateriellen Schadenersatz iHv EUR 100.000, weil (i) Europol seinen Namen in die "Mafia-Listen" aufgenommen habe und (ii) die Transkription des Gesprächs mit seiner Freundin an die Medien gelangt sei. Das EuG wies die Klage ab. Der EuGH gab dem dagegen erhobenen Rechtsmittel des Beschuldigten hinsichtlich der Weitergabe der Transkription des intimen Gesprächs an die Medien statt. Das Rechtsmittel betreffend die Mafia-Listen wies der EuGH zurück.

Der EuGH hat erwogen: Nach Art 50 Abs 1 der VO (EU) 2016/794 hat der durch eine rechtswidrige Datenverarbeitung Geschädigte das Recht, entweder von Europol oder vom Mitgliedstaat, in dem der Schadensfall eingetreten ist, Ersatz für einen immateriellen Schaden zu fordern. Der Wortlaut dieser Bestimmung ist hinsichtlich der Natur der Haftung nicht eindeutig. Aus ErwGr 57 der VO (EU) 2016/794 ist aber zu schließen, dass die Regelung eine gesamtschuldnerische Haftung für Europol und den Mitgliedstaat vorsieht. Zwar ist ein ErwGr nicht verbindlich und kann er nicht herangezogen werden, um von den Bestimmungen eines Rechtsaktes abzuweichen, es kommt ihm aber ein hoher Auslegungswert zu.

Die außervertragliche Haftung von Europol setzt die Rechtswidrigkeit ihres Verhaltens, das Eintreten eines tatsächlichen und sicheren Schadens sowie einen Kausalzusammenhang zwischen dem Verhalten und dem geltend gemachten Schaden voraus. Der Beschuldigte konnte keinen Beweis erbringen, dass die "Mafia-Listen" tatsächlich von Europol erstellt oder geführt wurden und weswegen er kein rechtswidriges Verhalten nachweise konnte. Daher war dieser Rechtsmittelgrund unzulässig.

Hinsichtlich der Weitergabe des intimen Gesprächs des Beschuldigten mit seiner Freundin trug Europol vor, dass die slowakische Behörde für das Weitergeben der Informationen an die Medien verantwortlich war und Europol nur dazu verpflichtet war, geeignete technische und organisatorische Maßnahmen zu ergreifen. Gerade um solchen Beweisschwierigkeiten Rechnung zu tragen, ist jedoch mit der gesamtschuldnerischen Haftung ein zweistufiger Haftungsmechanismus vorgesehen, der den Geschädigten von der Bürde befreit, die Identität der Stelle nachzuweisen, die den Schaden verursacht hat. Europol kann sich gegebenenfalls bei der slowakischen Behörde regressieren.

Die Weitergabe der Informationen über das intime Gespräch des Beschuldigten mit seiner Freundin an die Medien war rechtswidrig. Durch diese Datenweitergabe wurde der Beschuldigte in seinem Recht auf Achtung des Privat- und Familienlebens sowie seiner Kommunikation verletzt und wurde zudem in seiner Ehre und seinem Ansehen beeinträchtigt. Unter diesen Umständen ist der erlittene Schaden durch Zahlung einer nach billigem Ermessen auf EUR 2.000 festgesetzten Entschädigung angemessen auszugleichen.

Beachte: Der EuGH verlangt einen tatsächlichen und sicheren Schaden.

EuGH 07.03.2024, C‑740/22, Endemol Shine Finland

Ein Unternehmen begehrte bei einem nationalen Gericht mündliche Auskunft darüber, ob ein Teilnehmer an einem von ihm organisierten Wettbewerb strafrechtlich in Erscheinung getreten ist. Das vorlegende Gericht fragte den EuGH, ob die mündliche Übermittlung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten eine Verarbeitung iSd DSGVO ist und ob sie mit dem (finnischen) Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten im Einklang steht.

Der EuGH hat erwogen: Der Verarbeitungsbegriff der DSGVO ist weit auszulegen und umfasst auch die mündliche Übermittlung. Der sachliche Anwendungsbereich der DSGVO ist aber nur dann eröffnet, wenn die Daten, die Gegenstand der mündlichen Übermittlung sind, in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten stellt einen besonders schweren Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar. Diese Rechte gehen dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten vor.

Nationale Regelungen können (iSd Art 6 Abs 1 lit e DSGVO) eine Übermittlung rechtfertigen, wenn sie ein im öffentlichen Interesse liegendes Ziel verfolgen und geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsehen. Daten im Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person dürfen jedoch nicht jeder Person mitgeteilt werden, ohne dass diese ein besonderes Interesse an diesen Daten geltend macht. Für die Beurteilung der Rechtmäßigkeit und Verhältnismäßigkeit der Übermittlung ist es unerheblich, ob die Person, die die Auskunft begehrt, ein Unternehmen oder eine Privatperson ist oder ob die Daten schriftlich oder mündlich mitgeteilt werden.

Rechtsprechung des BVwG

BVwG 22.12.2023, W292 2247003-1

Ein Kreditwerber erhob Datenschutzbeschwerde bei der DSB gegen eine Kreditauskunftei, weil die Kreditauskunftei Daten über ein gegen ihn geführtes Schuldenregulierungsverfahren zu lange speicherte. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG gab der dagegen erhobenen Bescheidbeschwerde – gestützt auf das in der Zwischenzeit ergangene Urteil des EuGH vom 12.2023, C‑26/22 und C‑64/22, SCHUFA Holding – teilweise statt, wobei es einmal den Zeitraum prüfte, in dem die Daten über das Schuldenregulierungsverfahren noch öffentlich einsehbar waren, und einmal den Zeitraum, in dem sie das nicht mehr waren.

Das BVwG hat erwogen: Die Verarbeitung (bonitätsrelevanter) personenbezogener Daten durch Kreditauskunfteien kann in datenschutzrechtlicher Hinsicht ausschließlich auf Art 6 Abs 1 lit f DSGVO gestützt werden. Die Verarbeitung muss zur Wahrung der wirtschaftlichen Interessen am Gewerbebetrieb selbst bzw an der Einschätzung der Bonität von potenziellen Kreditnehmern unbedingt erforderlich sein und die Interessen des Kreditwerbers dürfen nicht überwiegen. Die Interessen des Kreditsektors an Informationen über eine Restschuldbefreiung können keine Verarbeitung von Daten durch Kreditauskunfteien nach der Frist der Speicherung im öffentlichen Insolvenzregister rechtfertigen, weil dadurch das mit der Löschung aus dem Insolvenzregister verfolgte Ziel, dem Kreditwerber zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, gefährdet würde.

Während der öffentlichen Verfügbarkeit der Daten im öffentlichen Insolvenzregister überwiegt das Interesse der Kreditauskunftei und der Kreditgeber, weil die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft bilden.

Anm: Das BVwG ist aufgrund des Urteils des EuGH in der Rs SCHUFA Holding von seiner bisherigen Rsp abgegangen.

BVwG 22.01.2024, W211 2262943-1

Die Abonnentin eines österreichischen Medienunternehmens registrierte sich mit ihrer E-Mail-Adresse, um deren digitale Zeitungsausgabe zu erhalten. Bei der Registrierung waren AGB und Datenschutzinformationen hinterlegt. Die Datenschutzinformationen enthielten einen Hinweis, dass die im Zuge des Registrierungsprozesses vom Kunden hinterlegten Daten zu Werbezwecken "bis auf Widerruf" verarbeitet werden. Für die Verwaltung der Kundendaten war das Medienunternehmen mit einem IT-Unternehmen gemeinsam verantwortlich. Dieses IT-Unternehmen sandte an alle bestehenden Kunden, die keinen Widerspruch gegen die Verarbeitung ihrer Daten für Werbezwecke eingelegt hatten, eine E-Mail mit dem Hinweis auf einen neuen digitalen Newsletter. Der wegen Verletzung auf das Recht auf Geheimhaltung von der Abonnentin eingebrachten Datenschutzbeschwerde gab die DSB statt. Das BVwG wies die Bescheidbeschwerde des IT-Unternehmens ab.

Das BVwG hat erwogen: Der Versand von Werbeemails wird in § 174 TKG geregelt, der Art 13 der e-Privacy-RL ins innerstaatliche Recht umsetzt. Gemäß Art 95 DSGVO gehen die Umsetzungsvorschriften zur e-Privacy-RL der DSGVO unter den hier vorliegenden Umständen vor. § 174 TKG regelt jedoch "nur" die Zulässigkeit der Übermittlung von Werbemails. Die Abonnentin hat hingegen eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG geltend gemacht. Darüber durfte die DSB absprechen.

Die an die Abonnentin versandte E-Mail war Direktwerbung, weil sie eine Produktinformation zum digitalen Newsletter enthielt. Daher hätte die Werbeemail nur unter den Voraussetzungen des § 174 TKG versandt werden dürfen. Eine wirksame Einwilligung iSd § 174 Abs 1 TKG lag nicht vor, denn die "Einwilligung" zur Verwendung der E-Mail-Adresse war an den Vertragsabschluss gekoppelt.

Die E-Mail-Adresse hätte allenfalls gemäß § 174 Abs 4 TKG auch ohne Einwilligung für Direktwerbung verwendet werden dürfen. Hierfür müssten vier Voraussetzungen kumulativ erfüllt sein, von welchen drei Voraussetzungen erfüllt waren. Allerdings hätte die Abonnentin bei der Erhebung der E-Mail-Adresse, dh im Registrierungsprozess, klar und deutlich informiert werden müssen, dass sie der Verwendung ihrer E-Mail-Adresse für Direktwerbung widersprechen kann. Dieser Voraussetzung wurde mit der Information, die Daten werden "bis auf Widerruf" verarbeitet, nicht Genüge getan. Es lag nämlich nicht auf der Hand, wie der "Widerruf" einzubringen ist.

BVwG vom 16.02.2024, W221 2268420-1

Eine Versicherungsnehmerin verursachte einen Parkschaden und beging daraufhin Fahrerflucht. Durch einen Zeugen konnte die Polizei das Kennzeichen der Versicherungsnehmerin erheben und es wurde ein Verwaltungsstrafverfahren wegen Fahrerflucht eingeleitet. Die durch den Verkehrsunfall Geschädigte brachte Klage gegen die Versicherungsnehmerin und ihre Kfz-Haftpflichtversicherung auf Ersatz des Schadens ein. Die dafür notwendigen Daten stammten aus dem Verkehrsunfallsbericht der Landespolizeidirektion. Im Zuge der Schadensbearbeitung leitete der Rechtsanwalt der Versicherungsnehmerin ein Verhandlungsprotokoll an die Kfz-Haftpflichtversicherung der Versicherungsnehmerin weiter. Anschließend kündigte die KFZ-Haftpflichtversicherung das Versicherungsverhältnis auf.

Die Versicherungsnehmerin beschwerte sich bei der DSB wegen der Verwendung ihrer Daten aus dem Verkehrsunfallsbericht durch die Geschädigte und der Verarbeitung des Verhandlungsprotokolls durch eine Versicherungsangestellte. Die DSB und das BVwG wiesen die Datenschutzbeschwerde und die anschließende Bescheidbeschwerde der Versicherungsnehmerin ab.

Das BVwG hat erwogen: Die Geschädigte verwendete die Daten der Versicherungsnehmerin, um eine zivilgerichtliche Klage gegen diese einzubringen. Diese Datenverarbeitung war auf das berechtigte Interesse nach Art 6 Abs 1 lit f DSGVO gestützt, daher ist eine Interessenabwägung durchzuführen. Dabei sind die vernünftigen Erwartungen der Versicherungsnehmerin zu berücksichtigen. Das Konzept der vernünftigen Erwartungen der betroffenen Person ist nicht empirisch, sondern normativ zu verstehen, ansonsten würde man unzulässigerweise vom Sein auf das Sollen schließen; es kommt daher darauf an, ob die betroffene Person die subjektive Erwartung hat, geschützt sein zu sollen, und, ob diese Erwartung objektiv legitim ist.

Das berechtigte Interesse ist weit zu verstehen und umfasst grundsätzlich jedes von der Rechtsordnung gebilligte Interesse. Nach Art 9 Abs 2 lit f DSGVO ist selbst die Verarbeitung sensibler Daten für die Geltendmachung von Rechtsansprüchen zulässig. Im Größenschluss folgt daraus, dass diese Interessen die Verarbeitung "normaler" Daten erst recht rechtfertigen können. Die Datenverarbeitung zur Klagsführung diente dem berechtigten Interesse der Durchsetzung eines Rechtsanspruches und ist zur Erreichung dieses Zwecks auch geeignet und erforderlich. Ein überwiegendes Geheimhaltungsinteresse der Versicherungsnehmerin stand dem nicht entgegen.

In der Datenschutzbeschwerde der Versicherungsnehmerin wurde eine Versicherungsangestellte als zweite Beschwerdegegnerin (Verantwortliche) bezeichnet. Der datenschutzrechtlich Verantwortliche ist eine Person oder Einrichtung, die dafür zu sorgen hat, dass die DSGVO eingehalten wird und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zu Verantwortlichen einer Datenverarbeitung werden Angestellte eines Unternehmens nur, wenn sie Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten. Die Versicherungsangestellte hat keine Daten für ihre eigenen Zwecke verarbeitet, weswegen die Versicherung für die Datenverarbeitung verantwortlich war. Wird die Beschwerdegegnerin eindeutig bezeichnet, ist eine Umdeutung der Beschwerdegegnerin von Amts wegen unzulässig.

BVwG 19.01.2024, W108 2268760-1

Eine Nachbarin erhob eine Datenschutzbeschwerde bei der DSB, in der sie vorbrachte, durch die von den Eigentümern des Nachbargrundstücks installierten Kameras in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Die Überwachungskameras waren auf die Zuwege zu ihrem Haus, den Durchgang zwischen den Häusern sowie auf den Garten und die Parkflächen gerichtet und beeinträchtigten die Nachbarin bei der Ausübung ihres Servitutsrechts (Geh–, Fahrt- und Parkrecht). Nachdem die DSB der Datenschutzbeschwerde stattgab, erhoben die Eigentümer des Nachbargrundstücks eine (erfolglose) Bescheidbeschwerde beim BVwG.

Der BVwG hat erwogen: Soweit die Eigentümer vorbringen, das Beschwerderecht der Nachbarin sei gemäß § 24 Abs 4 DSG erloschen, weil die Videokameras ab dem Jahr 2015 installiert und der Nachbarin auch bekannt waren, ist ihnen entgegenzuhalten, dass der Dauerzustand der Videoüberwachung nicht abgeschlossen war und sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist erst mit Beendigung des Dauerzustands zu laufen beginnen.

Zum Vorbringen der Eigentümer, dass die Videoüberwachung berechtigt sei, weil die Nachbarin ihr Grundstück über die Servitut hinaus beanspruche, ist festzuhalten, dass aus diesem Grund keine andauernde Überwachung gerechtfertigt war, zumal die Eigentümer selbst vorbringen, nur ein Foto an die Nachbarin übergeben zu haben, um sie aufzufordern, das Waschen ihres Autos auf dem Privatgrundstück der Eigentümer einzustellen.

Zum Schutz ihres Eigentums dürfen die Eigentümer die Videokameras nach Einschränkung deren Aufnahmebereichs weiterbetreiben.

Wird bei der Protokollierung der mündlichen Verkündung eines Erkenntnisses eine teilweise falsche Wortfolge in den Spruch aufgenommen, kann diese offenkundige Unrichtigkeit/Fehlbezeichnung von Amts wegen berichtigt werden. Der Berichtigungsbeschluss fällt in die Zuständigkeit des Einzelrichters (BVwG 26.02.2024, W137 2248575-1).

Einer Bescheidbeschwerde gegen einen Aussetzungsbescheid der DSB wird die Grundlage entzogen, wenn die DSB den angefochtenen Bescheid behebt und das Verfahren fortsetzt. Das Verfahren ist mit Beschluss einzustellen (BVwG 23.02.2024, W211 2261563-1).

Rechtsprechung der BDB

BDB 08.03.2024, 2023-0.024.209

Ein Polizist führte über Ersuchen eines Freundes eine Suchabfrage im Zentralen Melderegister (ZMR) durch und gab dem Freund das Ergebnis der Abfrage telefonisch weiter. Der Polizist wurde ua wegen dieses Verhaltens von der zuständigen Dienstbehörde bei der Bundesdisziplinarbehörde (BDB) angezeigt. Die BDB verurteilte den Polizisten, weil dieser seinem Freund und somit einem unbefugten Dritten die Adresse aus dem ZMR mitgeteilt hat und damit Informationen weitergab, die ihm ausschließlich aus seiner amtlichen Tätigkeit bekannt wurden und nur einem beschränkten Personenkreis zugänglich waren.

Die BDB hat erwogen: Die Verarbeitung personenbezogener Daten unterliegt im Hinblick auf die Dienstanweisung "Datensicherheitsvorschrift der LPD" dem Auftragsprinzip. Demnach sind Verarbeitungen lediglich zur gesetzlichen Aufgabenerfüllung und aufgrund eines Auftrags erlaubt. Durch die Datenverarbeitung verstieß der Polizist gegen diese Dienstanweisung, worüber er sich als langjähriger Mitarbeiter einer Polizeiinspektion auch im Klaren sein musste.

Vorschau EuGH-Rechtsprechung

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 06.03.2024

Rechtsprechung des VwGH

VwGH 01.02.2024, Ro 2020/04/0031

Über das Vermögen eines Kreditnehmers wurde ein Schuldenregulierungsverfahren eröffnet. Nach Erfüllung des Zahlungsplans durch den Kreditnehmer genehmigte das Insolvenzgericht die Löschung der entsprechenden Eintragungen aus der Insolvenzdatei. Daraufhin stellte der Kreditnehmer ein Löschungsersuchen an eine Kreditauskunftei, die die Löschung der Insolvenzdaten jedoch ablehnte.

Die DSB und das BVwG wiesen die Datenschutz- und Bescheidbeschwerden des Kreditnehmers ab. Das Erkenntnis des BVwG wurde vom VwGH unter Heranziehung eines zwischenzeitlich ergangenen Urteils des EuGH vom 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Restschuldbefreiung), aufgehoben.

Der VwGH hat erwogen: Die Verarbeitung personenbezogener Daten aus der Insolvenzdatei durch Kreditauskunfteien ist zur Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich rechtmäßig. Kreditauskunfteien und ihre Geschäftspartner haben ein berechtigtes Interesse an der Beurteilung von Kreditrisiken. Zudem besteht ein sozioökonomisches Interesse des Kreditsektors an der Verarbeitung von Bonitätsdaten und insbesondere von Insolvenzdaten.

Die Verarbeitung historischer Zahlungsinformationen stellt jedoch einen schweren Eingriff in die Grundrechte des Kreditnehmers dar. Je länger Insolvenzdaten durch die Kreditauskunftei gespeichert werden, desto größer sind die Folgen für den Kreditnehmer und desto höher sind die Anforderungen an die Speicherung dieser Informationen. Das Ziel des Zahlungsplans – die wirtschaftliche Gesundung des Kreditnehmers sicherzustellen – wäre gefährdet, wenn die Kreditauskunftei Daten über das Insolvenzverfahren des Kreditnehmers speichern und verwenden könnte, nachdem die Einsicht in die Insolvenzdatei nicht mehr möglich ist. Die berechtigten Interessen der Kreditauskunftei und ihrer Geschäftspartner über Informationen hinsichtlich des abgeschlossenen Insolvenzverfahrens zu verfügen, können die Verarbeitung der zuvor öffentlich einsehbaren personenbezogenen Daten nicht mehr rechtfertigen. Die Speicherung der aus der Insolvenzdatei gelöschten Daten wird nach der Rechtskraft des Beschlusses des Insolvenzgerichts rechtswidrig. Die Kreditauskunftei ist daher verpflichtet, die betreffenden Daten unverzüglich zu löschen.

Dieses Ergebnis steht im Einklang mit dem Erkenntnis des VwGH vom 09.05.2023, Ro 2020/04/0037, in dem, gestützt auf die EU-Kapitaladäquanzverordnung, eine Speicherdauer von zumindest fünf Jahren in Bezug auf die Speicherung von Zahlungserfahrungsdaten in der Bankenwarnliste grundsätzlich als rechtmäßig erachtet wurde. Denn die Bankenwarnliste ist eine von den Kreditauskunfteien gemeinsam betriebene Datenbank und die EU-Kapitaladäquanzverordnung gilt für Kreditinstitute, nicht aber für Kreditauskunfteien.

Rechtsprechung des OGH

Aus der Rechtsprechung des OGH (Strafrecht):

Die Bestimmungen der StPO zur Sicherstellung von Datenträgern aus Beweisgründen (§ 110 Abs 1 Z1 und Abs 4 sowie § 111 Abs 2 StPO) sind vom VfGH als verfassungswidrig aufgehoben worden. Die Aufhebung tritt jedoch erst mit 31.12.2024 in Kraft. Bis dahin sind diese Bestimmungen anzuwenden. Die Sicherstellung eines Mobiltelefons ist zulässig, wenn sie aus Beweisgründen erforderlich erscheint. Die Aufhebung der Sicherstellung ist nicht möglich, solange die Auswertung der Daten am Mobiltelefon (mangels Zugangsdaten) nicht möglich war. Die Überwachung von Nachrichten ist gegenüber der Sicherstellung des Mobiltelefons kein gelinderes Zwangsmittel (OGH 05.02.2024, 8Bs33/24z).

Rechtsprechung des BVwG

BVwG 29.01.2024, W605 2253671-1

Ein Viertel der Mitglieder des "ÖVP-Korruptions-Untersuchungsausschusses" ("U-Ausschuss") ersuchte die Wirtschafts- und Korruptionsstaatsanwaltschaft ("WKStA") um Auswertung eines Datenbestandes auf Korrespondenzen mit Bezug zu bestimmten Personen. Eine dieser Personen ("Auskunftsperson"), stellte an die DSB den Antrag, der WKStA die Auswertung und Übermittlung ihrer personenbezogenen Daten mit Mandatsbescheid zu untersagen, in eventu vorübergehend zu beschränken, bis beim U-Ausschuss ein wirksames Kontrollsystem zum Schutz personenbezogener Daten eingerichtet wird. Die DSB wies die Datenschutzbeschwerde ab. Die Auskunftsperson erhob Bescheidbeschwerde an das BVwG. Nachdem der U-Ausschuss beendet wurde, erklärte das BVwG die Bescheidbeschwerde für gegenstandslos und stellte das Verfahren ein.

Das BVwG hat erwogen: Zu den Prozessvoraussetzungen für das verwaltungsgerichtliche Verfahren zählt das Rechtsschutzinteresse. Dieses Interesse ist immer dann zu verneinen, wenn es für die Rechtsstellung des Rechtsmittelwerbers keinen Unterschied macht, ob die angefochtene Entscheidung aufrecht bleibt oder aufgehoben wird. Im Zeitpunkt der Erhebung der Bescheidbeschwerde war diese zwar zulässig, infolge der Beendigung des U-Ausschusses und folglich jedweder Aktenlieferung an diesen, ist aber das Rechtschutzinteresse der Auskunftsperson nachträglich weggefallen. Eine Übermittlung von personenbezogenen Daten an einen nicht mehr bestehenden U-Ausschuss kann unabhängig davon, ob eine solche während dessen Bestehens erfolgt ist oder nicht, nicht mehr untersagt werden. Mit einem Mandatsbescheid iSd § 22 Abs 4 DSG kann zwar die "Weiterführung" einer Datenverarbeitung untersagt werden, nicht aber eine allenfalls bereits erfolgte Datenverarbeitung für unzulässig erklärt werden.

BVwG 01.02.2024, W287 2242238-1

Ein Gemeindebewohner begehrte Auskunft gemäß Art 15 DSGVO bei seiner Heimatgemeinde. Die Gemeinde erteilte ihm eine Auskunft aus den Datenverarbeitungen "Kinderbetreuungsmanagement", "Lokales Melderegister" und "Lokales Melderegister – Wahladministration" samt dazugehörenden Metainformationen (ua Datenkategorien, Verarbeitungszwecke, Empfänger). Der Gemeindebewohner erachtete die Auskunft für unvollständig und erhielt weitere Ergänzungen der Auskunft, einschließlich einer Auflistung des behördlichen Schriftverkehrs, dessen Inhalt sich auf den Gemeindebewohner bezog (nicht aber über den Inhalt). Bezüglich seines Auskunftsersuchens zu Angelegenheiten des Bau- und Raumordnungsrechts wurde der Gemeindebewohner auf die Akteneinsicht gemäß § 17 AVG verwiesen.

Der wegen Verletzung im Recht auf Auskunft eingebrachten Datenschutzbeschwerde des Gemeindebewohners gab die DSB dahingehend teilweise statt, dass der Inhalt des behördlichen Schriftverkehrs, soweit es sich nicht um Schreiben des Gemeindebewohners handelte, zu beauskunften ist. Im Übrigen wurde die Datenschutzbeschwerde abgewiesen, weshalb der Gemeindebewohner Bescheidbeschwerde an das BVwG erhob. Vor dem BVwG war zu klären, ob dem Gemeindebewohner Auskunft über Daten in einem nur in Papierform aufbewahrten Bauakt zu erteilen ist und ob die Gemeinde weitere personenbezogene Daten des Gemeindebewohners verarbeitet. Das BVwG wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Die DSGVO gilt für die nichtautomatisierte Verarbeitung personenbezogener Daten nur dann, wenn Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach der DSGVO ist ein Dateisystem eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Der Ordnungsgrad in einem Dateisystems muss dabei so hoch sein, dass eine gezielte Suche nach personenbezogenen Daten möglich ist. Die Sortierung (bloß) nach Ordnungsnummern oder Zeit ist hierfür nicht ausreichend. Bei der Beurteilung, ob die DSGVO auf einen Papierakt anwendbar ist, kommt es auf das Kriterium der leichten Wiederauffindbarkeit an. Papierakten können damit zwar dem datenschutzrechtlichen Auskunftsrecht unterliegen, Akten von Behörden unterliegen jedoch keinem Auskunftsanspruch, auch wenn der entsprechende Text mit Hilfe automationsunterstützter Datenverarbeitung erstellt worden ist. Der Bauakt ist nur in physischen Ordnern abgelegt und eine gezielte Suche nach personenbezogenen Daten ist nicht möglich. Der für die Anwendung der DSGVO erforderliche Ordnungsgrad wird nicht erreicht. Über die Daten im Bauakt war von der Gemeinde daher keine Auskunft zu erteilen.

Soweit der Gemeindebewohner vermutet, die Gemeinde verarbeite weitere Daten über ihn, ist auf das Vorbringen der Gemeinde zu verweisen, dass sie keine weiteren personenbezogenen Daten des Gemeindebewohners verarbeite. Der Gemeindebewohner ist diesem Vorbringen nicht substantiiert entgegengetreten. Ein bloß allgemeines Vorbringen läuft idR auf einen unzulässigen Erkundungsbeweis hinaus. Da sich keine Anhaltspunkte für eine Unvollständigkeit der erteilten Auskunft ergaben, war die Bescheidbeschwerde abzuweisen.

Wird eine zulässige und begründete Säumnisbeschwerde an das BVwG erhoben, darf das BVwG aufgrund seiner sog "kondemnatorischen" Entscheidungsbefugnis die DSB zum Erlass eines Bescheides "verurteilen". Damit wird der DSB eine "dritte Chance" zur Bescheiderlassung eingeräumt (BVwG 13.02.2024, W256 2280818-1).

Im Einklang mit seiner nunmehr ständigen Rechtsprechung behob das BVwG einen Bescheid, mit dem die DSB ihr Verfahren bis zur Bestimmung der federführenden Aufsichtsbehörde aussetzte (BVwG 14.02.2024, W221 2280746-1).

Hat ein Bieter in einem Vergabeverfahren Bedenken hinsichtlich der Notwendigkeit der Vorlage einer Zertifizierung nach dem Qualitätsmanagementsystem gemäß ISO 9001 (oder einer gleichwertigen Zertifizierung) und einer Zertifizierung für Informationssicherheit, Cybersicherheit und Datenschutz gemäß ISO 27001 (oder einer gleichwertigen Zertifizierung), hat der Bieter ein Nachprüfungsverfahren betreffend die Ausschreibung zu beantragen. Sind die Ausschreibungsunterlagen bereits bestandsfest geworden, hat der Bieter ein entsprechendes Zertifikat nachzuweisen (BVwG 08.02.2024, W279 2278493-2).

Eine Bescheidbeschwerde, die nach Ablauf der vierwöchigen Frist zur Erhebung einer Bescheidbeschwerde eingebracht wird, ist zurückzuweisen (BVwG 01.02.2024, W287 2280832-1).

Rechtsprechung des BFG

Mit der Anschaffung eines Tablet-PCs, der über einen funktionierenden Akku verfügt, ist den Erfordernissen der Datensicherheit Genüge getan. Ein Stromgenerator (Notstromaggregat) ist für die Datensicherung nicht geeignet und wird als Werbungskosten für Arbeitsmittel im Homeoffice nicht anerkannt (BFG 05.02.02, RV/3100573/2022).

Rechtsprechung der DSB

DSB 26.06.2023, 2023-0.227.210

Gegen eine Rechtsanwältin sind mehrere Disziplinarverfahren eingeleitet worden und ihr wurde als einstweilige Maßnahme die Ausübung der Rechtsanwaltschaft vorläufig untersagt. Zu ihrer Vertretung bestellte die zuständige Rechtsanwaltskammer einen Kammerkommissär. Die Rechtsanwältin verweigerte die Zusammenarbeit mit dem Kammerkommissär, woraufhin dieser den elektronischen Rechtsverkehr (ERV) der Rechtsanwältin sperren und zu sich umleiten ließ sowie bei der Post einen Nachsendeauftrag stellte. Da der Kanzleisitz der Rechtsanwältin an ihrer Privatadresse war, wurde vom Nachsendeauftrag auch die private Post der Rechtsanwältin erfasst. Die Rechtsanwältin brachte für sich und eine Mandantin Datenschutzbeschwerde bei der DSB ein, weil ihre Korrespondenz per ERV und Post an den Kammerkommissär umgeleitet wurde. Die DSB wies die Datenschutzbeschwerde der Rechtsanwältin ab und jene der Mandantin zurück.

Die DSB hat erwogen: Ein Kammerkommissär ist zur Vertretung eines Rechtsanwalts zu bestellen, wenn dessen Berechtigung zur Ausübung der Rechtsanwaltschaft ruht. Den Kammerkommissär treffen Belehrungs- und Beratungspflichten gegenüber den Mandanten des zu vertretenden Rechtsanwalts. Die Rechtsanwältin verweigerte die Kooperation mit dem Kammerkommissär, wollte ihre Mandaten trotz vorläufiger Untersagung der Ausübung der Rechtsanwaltschaft weiterhin vertreten und übergab dem Kammerkommissär – entgegen ihrer gesetzlichen Verpflichtung – keine Akten. Die Umleitung der ERV-Zustellungen an den Kammerkommissär war rechtmäßig, weil dieser gesetzlich verpflichtet war, seiner Belehrungs- und Beratungspflicht gegenüber den Mandanten der Rechtsanwältin nachzukommen. Diese Pflicht konnte er mangels Kooperation der Rechtsanwältin anders nicht erfüllen.

Aus demselben Grund war auch der Nachsendeauftrag an die Post rechtmäßig. Die Rechtsanwältin behauptete zwar, dass der Kammerkommissär auch ihre privaten Briefe öffnete. Der Kammerkommissär ist dieser Behauptung jedoch substantiiert entgegengetreten. Ist eine Tatsache nicht feststellbar, ist vom Nichtvorliegen der Tatsache auszugehen. Der Nachweis für eine tatsächliche Öffnung der privaten Post wurde nicht erbracht.

Die Rechtsanwältin trat selbst im Verfahren vor der DSB als rechtsfreundliche Vertretung einer Mandantin auf. Da ihr die Ausübung der Rechtsanwaltschaft zu diesem Zeitpunkt untersagt war, durfte sie die Mandantin jedoch nicht vertreten, weshalb die Datenschutzbeschwerde der Mandantin zurückzuweisen war.

DSB 06.11.2023, 2023-0.722.005

Die Daten einer Staatsanwältin wurden trotz aufrechter Auskunftssperre aus dem Zentralen Melderegister (ZMR) von einer Meldebehörde an ein Detektivunternehmen weitergegeben. Die Staatsanwältin wurde von der Datenweitergabe nicht verständigt. Sie erfuhr durch ihre Mutter von der Datenweitergabe, weil diese Partei eines Verfahrens war, in dem das Detektivprotokoll mit den Meldedaten vorgelegt wurde. Die Meldebehörde gestand zu, dass die Daten der Staatsanwältin durch eine Mitarbeiterin der Meldebehörde – aufgrund einer Fehlinterpretation der Rechtslage – trotz der Auskunftssperre weitergegeben wurden. Die Mitarbeiterin habe sich für ihr Fehlverfahren entschuldigt. Die DSB gab der wegen Verletzung im Recht auf Geheimhaltung erhobenen Datenschutzbeschwerde der Staatsanwältin statt.

Die DSB hat erwogen: Zur Staatsanwältin bestand zum Zeitpunkt der Datenabfrage eine Auskunftssperre im ZMR. Besteht eine Auskunftssperre, dann hat die Auskunft der Meldebehörde grundsätzlich zu lauten, dass zur Meldepflichtigen keine Daten für eine Auskunft vorliegen. Liegen die Voraussetzungen vor, um trotz Auskunftssperre eine Auskunft über die Meldedaten der Meldepflichtigen zu erteilen, hat die Meldebehörde die Meldepflichtige vor Erteilung der Auskunft zu verständigen und hat ihr Gelegenheit zu einer Äußerung einzuräumen. Die Staatsanwältin wurde nicht verständigt und ihr wurde keine Gelegenheit zur Äußerung eingeräumt. Die Datenweitergabe erfolgte somit rechtswidrig.

Vorschau EuGH-Rechtsprechung

Am 03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten.

Rechtsvorschriften

Mit dem "Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert und ein Informationsfreiheitsgesetz erlassen wird", wird die verfassungsgesetzliche Amtsverschwiegenheit aufgehoben, eine verfassungsgesetzliche Informationsverpflichtung eingeführt und ein verfassungsgesetzlich gewährleistetes Recht (Grundrecht) auf Zugang zu Informationen geschaffen, das einfachgesetzlich durch das Informationsfreiheitsgesetz (IFG) ausgeführt wird. Das Gesetzespaket tritt im Wesentlichen – nach einer Legisvakanz – mit 01.09.2025 in Kraft (BGBl I 2024/5; ErlRV)

Mit dem "Bundesgesetz, mit dem das KommAustria-Gesetz und das Telekommunikationsgesetz 2021 geändert werden", ist eine Servicestelle für Künstliche Intelligenz bei der RTR-GmbH eingerichtet worden. Dieses Bundesgesetz trat rückwirkend mit 01.01.2024 in Kraft (BGBl I 2024/6; AB 2419). Anm: Die Europäische Kommission hat mit dem European AI Office ebenso eine Stelle für Informationen über künstliche Intelligenz eingerichtet.

Vorschau EuGH-Rechtsprechung

Am 22.02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten

Februar 2024

01.02. | 07.02. | 14.02. | 21.02. | 28.02.

Datenschutzmonitor 28.02.2024

Rechtsprechung des EGMR

EGMR 22.02.2024, 16974/14, Kaczmarek/Polen

Im Rahmen verdeckter Ermittlungen gegen einen ehemaligen polnischen Innenminister wurden auch die Telefongespräche seiner Ehefrau abgehört. Aufzeichnungen und Abschriften davon wurden der Staatsanwaltschaft übermittelt. Bei einer Pressekonferenz, die live im öffentlichen Fernsehen übertragen wurde, wurde ein Gespräch zwischen der Ehefrau und dem ehemaligen Obersten Polizeikommandant abgespielt, in dem die Hausnummer der Ehefrau enthüllt wurde. Dies wurde auf eine Bestimmung der polnischen Strafprozessordnung gestützt, die in Ausnahmefällen mit Genehmigung der Staatsanwaltschaft (die im konkreten Fall vorlag) die Einsichtnahme Dritter in die Ermittlungsakte erlaubte. Die Ehefrau beschwerte sich über die Veröffentlichung ihrer persönlichen Daten und die Aufbewahrung des Überwachungsmaterials beim EGMR. Der EGMR stellte eine Verletzung des Art 8 EMRK fest und sprach der Ehefrau eine Entschädigung iHv EUR 5.000 zu.

Der EGMR hat erwogen: Die Veröffentlichung der Aufzeichnung eines Telefongesprächs stellt einen Eingriff in das Recht auf Privatleben dar. Die Bestimmung der polnischen Strafprozessordnung sieht nicht explizit vor, dass Informationen oder Daten, die während der Untersuchung gesammelt wurden, auf einer Pressekonferenz veröffentlicht werden dürfen. Dies ist für Personen, die von den Ermittlungen selbst nicht betroffen sind, auch nicht vorhersehbar, weil das polnische Recht weder die Ausnahmefälle noch die Art und Weise der Gewährung der Akteneinsicht präzisiert. Aufzeichnungen über eine Person, die von den Ermittlungen selbst nicht betroffen war, deren Gespräche aber dennoch aufgezeichnet wurden, sind daher nicht vom nationalen Gesetz gedeckt, sodass eine Verletzung des Art 8 EMRK vorlag.

Die Speicherung von Informationen über das Privatleben einer Person durch eine Behörde gilt als Eingriff in das Recht auf Privatleben. Im Zusammenhang mit der Speicherung personenbezogener Daten sind klare und detaillierte Vorschriften über Mindestgarantien erforderlich, die ua Dauer der Speicherung, Verwendung, Zugang Dritter, Verfahren zur Wahrung der Integrität und Vertraulichkeit der Daten und Verfahren zu ihrer Vernichtung betreffen. Obwohl die Ehefrau selbst nicht das Ziel der Überwachung war, wurden Aufzeichnungen und Abschriften ihrer Telefongespräche angefertigt, sodass in ihr Recht auf Achtung des Privatlebens eingegriffen wurde. Mangels klar definierter rechtlicher Rahmenbedingungen und Verfahrensgarantien, die sich auf die Vernichtung der Aufzeichnungen beziehen, war dieser Eingriff unrechtmäßig. Die relevanten Rechtsvorschriften sahen keine ausreichenden Garantien zum Schutz von Personen vor, die nicht direkt von Sicherheitsmaßnahmen betroffen sind, deren Gespräche aber dennoch abgehört wurden.

Rechtsprechung des VwGH

VwGH 21.12.2023, Ro 2021/04/0010

Das Arbeitsmarktservice (AMS) bietet Dienstleistungen an, um Arbeitssuchende wieder in den Arbeitsmarkt einzugliedern. Die Vorgehensweise ist dabei in der "Bundesrichtlinie" des AMS "Kernprozess Arbeitskräfte unterstützen" festgelegt. Berater des AMS haben in Beratungsgesprächen mit Arbeitssuchenden ua deren Arbeitsmarktchancen zu erörtern. Zur Berechnung der Arbeitsmarktchancen wurde das automatisierte Arbeitsmarktchancen-Assistenzsystem (AMAS) entwickelt. Das AMAS teilt die Arbeitssuchenden anhand eines Algorithmus in drei (AMS-)Kundenkategorien hinsichtlich ihrer Arbeitsmarktchancen ein. Diese Einteilung soll als Grundlage der Beratungsstrategie dienen.

Die DSB leitete ein amtswegiges Prüfverfahren ein und untersagte dem AMS die Verwendung des AMAS. Das BVwG gab der Bescheidbeschwerde des AMS Folge. Über die Amtsrevision der DSB behob der VwGH das Erkenntnis des BVwG, weil dieses wegen sekundären Feststellungsmängeln mit Rechtswidrigkeit des Inhalts belastet war.

Der VwGH hat erwogen: Das AMAS dient der Beratung im Rahmen der Arbeitsvermittlung und der Erstellung des Betreuungsplans. Zur Erfüllung dieser Aufgaben ist das AMS in der Privatwirtschaftsverwaltung – dh weder hoheitlich noch schlicht hoheitlich – tätig. Aufgrund des funktionalen Behördenbegriffs des § 1 Abs 2 DSG ist der Maßstab des § 1 Abs 2 DSG, wonach staatliche Behörden, Daten nur auf Grundlage einer qualifizierten gesetzlichen Grundlage verarbeiten dürfen, nicht zu berücksichtigen.

Die für das AMAS erhobenen Daten dürfen gemäß Art 6 Abs 1 lit e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, sowie im Falle von sensiblen Daten aus Gründen eines erheblichen öffentlichen Interesses gemäß Art 9 Abs 2 lit g DSGVO verarbeitet werden. Die bestmögliche Integration Arbeitssuchender am Arbeitsmarkt ist ein erhebliches öffentliches Interesse.

Nach beiden genannten Bestimmungen darf eine Datenverarbeitung nur erfolgen, wenn sie eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats hat. Diese Rechtsgrundlage muss zwar eine besondere Qualität aufweisen und es dürfen darin auch spezifischere Regelungen enthalten sein, es ist aber kein spezifisches Gesetz für jede einzelne Verarbeitung erforderlich. Die die Verarbeitung rechtfertigende Rechtsgrundlage muss nicht jede darauf zu stützende Datenverarbeitung bezeichnen.

Die Bestimmung über die Verschwiegenheitspflicht der Organe in § 27 AMSG und die detaillierten Bestimmungen zur Offenlegung und Aufbewahrung der Daten in § 25 AMSG wahren in ausreichendem Maß die Grundrechte und Interessen der Arbeitssuchenden.

Profiling ist eine besondere Verarbeitungsform. Die Art 6 und 9 DSGVO stellen jedoch keine besonderen Anforderungen an die rechtfertigende Rechtsgrundlage für diese Verarbeitungsform. Die Besonderheit des Profiling wird in Art 22 DSGVO berücksichtigt.

Profiling ist laut dem Urteil des EuGH vom 07.12.23, C-634/21, SCHUFA Holding (Scoring), eine automatisierte Entscheidung, wenn das Ergebnis dieser automatisierten Verarbeitung für eine bestimmte – weitere – Entscheidung insofern maßgeblich ist, als das Handeln des Dritten vom betreffenden Profiling "maßgeblich geleitet" wird.

Demnach ist die Ermittlung eines Wahrscheinlichkeitswerts, wie der von der AMAS berechnete Wert, bereits eine automatisierte Entscheidung, sofern dieser Wahrscheinlichkeitswert maßgeblich die Zuordnung zu einer AMS-Kundengruppe bestimmt und so den Arbeitssuchenden gegenüber rechtliche Wirkung entfaltet oder sie auf ähnliche Weise erheblich beeinträchtigt. Auch wenn die Letztentscheidung bei einem Betreuer des AMS liegt, hindert dies nicht die Einordnung als automatisierte Entscheidung. Ist durch Handlungsanleitungen und Schulungen sichergestellt, dass die AMS-Berater das Ergebnis des Algorithmus nicht unhinterfragt übernehmen, kann dies zwar die Annahme rechtfertigen, die Einordnung erfolge nicht ausschließlich aufgrund des errechneten Wahrscheinlichkeitswerts. AMAS kann – als automatisierte Entscheidung – dennoch maßgeblich für die Einordnung in die Kundengruppe sein. Das BVwG traf jedoch insb keine Feststellungen zur Frage, welche anderen Parameter in welchen Ausmaß Berücksichtigung finden, daher kann die Frage nach der Maßgeblichkeit der automatisierten Verarbeitung nicht final beurteilt werden. Ebenso fehlen Feststellungen, um beurteilen zu können, ob eine hinreichend klare rechtliche Grundlage existiert, die iSd Öffnungsklausel gemäß Art 22 Abs 2 lit b DSGVO eine automatisierte Entscheidung durch das AMAS rechtfertigten könnte.

Anm: Ein sekundärer Feststellungsmangel liegt vor, wenn aufgrund einer (verfehlten) Rechtsansicht bestimmte Feststellungen fehlen, weil die Unterinstanzen sie nicht für erforderlich erachteten. Der VwGH ist keine Tatsacheninstanz, dh er ist auf die Tatsachenfeststellungen des BVwG angewiesen. Deshalb behebt der VwGH das Erkenntnis schon dann, wenn nach Vornahme entsprechender Feststellungen eine anders lautende rechtliche Beurteilung möglich ist. Das BVwG muss die fehlenden Feststellungen nachholen und seine neue Entscheidung an die Rechtsansicht des VwGH ausrichten.

Rechtsprechung des BVwG

Eine Vermieterin beauftragte ein Detektivunternehmen mit der Observierung ihres Mieters zur Dokumentation allfälliger Kündigungsgründe. Das Detektivunternehmen fertigte Fotos über den Mieter in dessen Wohnung sowie an dessen Arbeitsplatz an und übermittelte die Fotos der Vermieterin, die daraufhin eine Räumungsklage gegen den Mieter einbrachte. Der aufgrund dieser Datenverarbeitungen erhobenen Datenschutzbeschwerde des Mieters gab die DSB statt. Das BVwG wies die gegen den Bescheid der DSB erhobene Bescheidbeschwerde des Detektivunternehmens ab.

Das BVwG hat erwogen: Als Rechtfertigungsgrund kommt hier nur die Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO in Betracht. Daher ist eine Interessenabwägung durchzuführen. Die Aufnahmen zeigen den Mieter in seinem höchstpersönlichen Lebensbereich (in seiner Wohnung) sowie in einem anderen geschützten Bereich (an seinem Arbeitsplatz). Dem Geheimhaltungsinteresse des Mieters sind die Interessen des Detektivunternehmens an der Ausübung seines Gewerbes (geregelt in § 129 f GewO 1994) und das Interesse der Vermieterin an der vertragsgemäßen Nutzung ihrer Wohnung sowie an der Dokumentation potenzieller mietrechtlicher Kündigungsgründe gegenüberzustellen. Berufsdetektive dürfen gemäß § 129 Abs 1 Z 3 GewO 1994 für Zwecke eines gerichtlichen oder verwaltungsbehördlichen Verfahrens Beweismittel wie Fotoaufnahmen anfertigen. Die Aufnahmen am Arbeitsplatz des Mieters hatten jedoch keinen Bezug zu mietrechtlich relevanten Umständen.

Die Aufnahmen in der Wohnung standen im Zusammenhang mit der mietrechtlichen Angelegenheit. Privatwohnungen genießen jedoch einen speziellen Schutz, weil sie dem höchstpersönlichen Lebensbereich zuzuordnen sind. Obwohl Fotoaufnahmen im höchstpersönlichen Lebensbereich ohne Einwilligung nicht per se unzulässig sind, verstieß das Detektivunternehmen gegen den Grundsatz der Datenminimierung, weil die mögliche bestandswidrige Nutzung der Wohnung auch mit gelinderen Mitteln hätte nachgewiesen werden können.

Ein Hotelier beauftragte eine Web-Agentur mit der Erstellung des Internetauftritts seines Hotels. Er erhob Datenschutzbeschwerde bei der DSB, weil die Agentur personenbezogene Daten über den Hotelier sowie den Namen des Hotels auf einem FTP-Server gespeichert haben soll, der auch anderen Geschäftskunden zugänglich war. Die DSB wies die Datenschutzbeschwerde ab. Die dagegen gerichtete Bescheidbeschwerde des Hoteliers wurde vom BVwG ebenso abgewiesen.

Das BVwG hat erwogen: Auf dem FTP-Server waren nur technische Daten gespeichert, die für das Layout, die Schriftarten, das Aussehen und die Funktionalität der Website verarbeitet wurden. Der Name des Hoteliers als Teil des Firmennamens kam weder im Ordnernamen noch in einer Dateibezeichnung vor. Die auf dem Server gespeicherten Daten enthielten keine Identifikationsmerkmale. Ebensowenig handelte es sich um relevante sachliche Informationen über den Hotelier. Eine Schriftart, ein Programmiercode oder eine Vektorgraphik sind keine relevanten – und auch schützenswerten – Aussagen über eine Person. Über den Hotelier wurden keine personenbezogenen Daten verarbeitet.

Ein Patient begehrte von seinem Arzt im Jahr 2019 Auskunft gemäß Art 15 DSGVO sowie den Erhalt der Daten per Einschreiben aber auf einer beigelegten DVD, sohin in einem gängigen, maschinenlesbaren Format gemäß Art 20 DSGVO. Er erhielt die Auskunft per Einschreiben in Papierform und erhob Datenschutzbeschwerde wegen unvollständiger Auskunft, weil die Seiten der einzelnen Befunde nicht nummeriert waren und ein Fax von ihm an den Arzt aus dem Jahr 2009 nicht beigelegt worden war, sowie wegen Verletzung im Recht auf Datenübertragbarkeit. Die DSB wies die Datenschutzbeschwerde ab. Auch das BVwG wies die daraufhin erhobene Bescheidbeschwerde ab.

Das BVwG hat erwogen: Das Auskunftsrecht des Art 15 DSGVO bezieht sich auf aktuelle Datenverarbeitungen. Eine Unvollständigkeit der Auskunft lag nicht vor, weil der Arzt die Inhalte des Faxes in die Patientendokumentation aufgenommen und beauskunftet hat. Die Form der Übermittlung der Auskunft war nicht zu beanstanden, weil der Patient in seinem Begehren selbst die Übermittlung per Einschreiben verlangt hat. Es kann der DSGVO nicht entnommen werden, dass Daten für Betroffene derart aufbereitet werden müssen, dass sie leichter bearbeitet werden können. Ein Recht auf Erhalt von Daten in einem "strukturiert, gängigen und maschinenlesbaren" Format ist in Art 15 DSGVO nicht vorgesehen. Der Anspruch des Art 20 DSGVO bezieht sich nur auf Daten, die dem Verantwortlichen von Betroffenen aktiv und wissentlich bereitgestellt wurden. Abgeleitete oder aus Rückschlüssen erzeugte Daten, die also das Ergebnis einer Verarbeitung sind, gelten nicht als bereitgestellt. Das trifft auch auf Befunde zu. Das Recht auf Datenübertragbarkeit ist nicht dafür da, Betroffene zur Aneignung fremder Leistungen zu ermächtigen.

Ein Mieter ersuchte den Rechtsanwalt seiner ehemaligen Vermieterin um Auskunft über seine personenbezogenen Daten. Nach dem ihm die entsprechende Auskunft erteilt wurde, monierte der ehemalige Mieter, dass Kopien von Dokumenten, wie ein Grundbuchs- und ein Firmenbuchauszug sowie diverser Schriftverkehr fehlen würde. Die DSB und das BVwG teilten die Ansicht des Mieters – wie auch bereits die DSB im erstinstanzlichen Verfahren – nicht.

Das BVwG hat erwogen: Das "Recht auf Kopie" ist kein eigenständiges Recht. Die Herausgabe ganzer Dokumente ist nicht vorgesehen. Nur in Fällen, in denen der Kontext, in dem die Daten stehen für die Verständlichkeit der Auskunft von Bedeutung ist, kann die Übermittlung von Auszügen aus Dokumenten oder von ganzen Dokumenten erforderlich sein. Die erteilte Auskunft war für den Mieter auch ohne Dokumente verständlich.

Das Anwaltsgeheimnis steht dem Auskunftsrecht entgegen. Zwar darf sich der Rechtsanwalt nicht pauschal auf das Anwaltsgeheimnis berufen, die Korrespondenz mit der Mandantin ist aber durch das Anwaltsgeheimnis geschützt. Das Anwaltsgeheimnis und das Recht auf Auskunft sind im Rahmen einer Interessenabwägung gegeneinander abzuwägen. Ein Mandant, der sich an einen Rechtsanwalt wendet, muss darauf vertrauen können, dass er durch die Informationserteilung an den Rechtsanwalt keine Beweismittel gegen sich schafft. Der Rechtsanwalt durfte daher die Herausgabe der Korrespondenz verweigern, auch wenn diese personenbezogene Daten des Mieters enthielt.

Ein mehrstufiger Auskunftsprozess ist grundsätzlich zulässig. Darauf kann sich der Verantwortliche jedoch nicht berufen, wenn bereits mit dem ersten Auskunftsersuchen eine konkrete Information verlangt wird. Ein Recht auf Herausgabe ganzer Dokumente bzw Aktenkopien besteht grundsätzlich nicht. Das Recht auf Auskunft darf mit dem Recht auf Akteneinsicht nicht vermengt werden. Der Verantwortliche ist nicht verpflichtet, Betroffenen physische Datenträger zur Verfügung zu stellen bzw von diesen bereitgestellte Datenträger zu verwenden (BVwG 22.01.2024, W252 2247042-1).

Das Ausdrucken und Übergeben einer E-Mail an einen Sachbearbeiter innerhalb der Firmenstruktur ist zulässig (BVwG 18.01.2024, W137 2243176-1).

Ein zur Wiedereinsetzung in den vorigen Stand führendes Ereignis liegt nur dann vor, wenn das Hindernis für die Versäumung der Frist kausal war. Wartungsarbeiten an Servern, die in der Regel geplantermaßen stattfinden, begründen nach allgemeiner Lebenserfahrung keinen unabwendbaren oder unvorhersehbaren Umstand (BVwG 01.02.2024, W287 2280832-2).

Vorschau EuGH-Rechtsprechung

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 21.02.2024

Rechtsprechung des EGMR

Nummernunabhängige interpersonelle Kommunikationsdienste (zB Messenger-Dienste) sind in Russland in ein spezielles Register einzutragen. Dienste, die in dieses Register eingetragen sind, haben Metadaten über Internetkommunikationen für ein Jahr und Inhaltsdaten der Internetkommunikationen für sechs Monate aufzubewahren (= Vorratsdatenspeicherung). Auf Anfrage haben solche Dienste den Sicherheits- und Geheimdienstbehörden die gespeicherten Daten herauszugeben und, sofern die Daten verschlüsselt sind, auch die für die Entschlüsselung erforderlichen Daten mitzuliefern (= geheime Überwachung).

Telegram wurde 2017 in dieses Register eingetragen. Die Ende-zu-Ende Verschlüsselung war zwar nicht voreingestellt, konnte von den Nutzern aber ausgewählt werden. Der russische Geheimdienst (Federal Security Service; FSB) verlangte von Telegram die Herausgabe von mit sechs Telefonnummern verbundenen Daten sowie die zur Entschlüsselung der verschlüsselten Daten erforderlichen Informationen wegen Terrorismusverdachts und berief sich auf sechs Gerichtsurteile, die die Herausgabe dieser Daten angeordnet haben sollen. Telegram verweigerte die Herausgabe der für die Datenentschlüsselung erforderlichen Informationen, weil es unmöglich sei, dieser Anordnung Folge zu leisten, ohne eine Hintertür zu bauen, die den Verschlüsselungsmechanismus für alle Nutzer schwächt. Telegram wurde zu einer Strafe verurteilt und es wurde eine Sperranordnung an Telegram gerichtet. Dennoch blieb Telegram in Russland bis zum Urteil des EGMR verfügbar und funktionsfähig.

Die Offenlegungsanordnung des FSB wurde von 35 Telegramnutzern – darunter der spätere Beschwerdeführer vor dem EGMR – angefochten. Sie machten geltend, dass die geforderte Bereitstellung der Verschlüsselungsschlüssel (encryption keys) die Entschlüsselung der Kommunikation aller Nutzer ermöglichen würde und folglich auch ihr Recht auf Privatsphäre verletze. Die russischen Gerichte wiesen die Beschwerde als unzulässig zurück. Die dritte Kammer des EGMR stellte einstimmig eine Verletzung des Rechts auf Privatsphäre gemäß Art 8 EMRK fest.

Der EGMR hat erwogen: Der EGMR ist zuständig, weil sich der Sachverhalt vor dem 16.09.2022 ereignete, als Russland aufhörte, Vertragsstaat der EMRK zu sein.

Die bloße Vorratsdatenspeicherung stellt einen Eingriff in die Rechte nach Art 8 EMRK dar, unabhängig davon, ob die Behörden anschließend Zugriff auf die gespeicherten Daten erhalten. Die Speicherung ist, obgleich es von den privaten Diensteanbietern durchgeführt wird, gesetzlich vorgeschrieben und daher dem Staat zurechenbar. Ebenso ist die bloße Existenz eines Gesetzes, das die geheime Überwachung erlaubt, ein Eingriff in die Rechte gemäß Art 8 EMRK.

Die technischen Möglichkeiten wie auch die damit verbundenen Gefahren haben massiv zugenommen. Zu diesen Gefahren zählen ua der globale Terrorismus, Drogen- und Menschenhandel sowie die sexuelle Ausbeutung von Kindern. Verschlüsselung hilft jedoch Bürgern und Unternehmen, um sich gegen den Missbrauch von Informationstechnologien zur Wehr zu setzen. Um die Entschlüsselung der verschlüsselten Kommunikation zu ermöglichen, müsste die gesamte Verschlüsselungstechnologie von Telegram geschwächt werden. Der Einbau einer dafür erforderlichen Hintertür könnte auch von kriminellen Netzwerken ausgenutzt werden und könnte die Sicherheit aller Telegramnutzer ernsthaft gefährden.

Die russische Verpflichtung zur Vorratsdatenspeicherung umfasst ua die Speicherung der Stimm-, Text-, Bild-, Ton- und Videodaten. Der Eingriff ins Grundrecht ist damit äußerst weit und ernst. Die Diensteanbieter können auch verpflichtet werden, Equipment zu installieren, das den Behörden direkten Zugriff auf die gespeicherten Daten erlaubt. Der Datenzugriff bedarf zwar einer gerichtlichen Genehmigung, die Gerichtsentscheidung muss den Diensteanbietern jedoch nicht gezeigt werden und die entsprechenden Gerichtsentscheidungen wurden Telegram auch nicht gezeigt. Das Genehmigungsverfahren ist nicht geeignet, sicherzustellen, dass geheime Überwachungsmaßnahmen nur in Fällen angeordnet werden, in welchen dies in einer demokratischen Gesellschaft erforderlich ist. Die vorgesehenen Rechtsbehelfe sind nicht effektiv, weil die Betroffenen über die geheime Überwachung nicht informiert werden. Folglich liegt eine Verletzung des Art 8 EMRK vor.

Anm: Vorratsdatenspeicherung und Entschlüsselung sind auch innerhalb der EU ein Anliegen der Sicherheitsbehörden. Der EuGH hat die allgemeine Vorratsdatenspeicherung erstmals mit Urteil vom 08.04.2014, C‑293/12 und C‑594/12, Digital Rights Ireland Ltd, untersagt. Der VfGH lehnte mit Erkenntnis vom 11.12.2019 die Entschlüsselung verschlüsselter Kommunikationen ab (Stichwort: Bundestrojaner; VfSlG 20.356/2019).

Rechtsprechung des VwGH

Im Rahmen einer im Juli 2020 erhobenen Datenschutzbeschwerde behauptete ein Nachbar, in seinem Grundrecht auf Geheimhaltung verletzt worden zu sein, weil sein Grundstück vom Aufnahmebereich zweier Videokameras erfasst werde, die seine Nachbarin installiert hätte. Die Nachbarin bestritt die Möglichkeit einer unzulässigen Datenverarbeitung, weil es sich bei der einen Kamera um eine Attrappe handle und der Schwenkbereich der anderen Kamera nicht auch das Grundstück des Nachbars erfasse. Allein auf Basis von schriftlichen Stellungnahmen erließ die DSB einen die Datenschutzbeschwerde als unbegründet abweisenden Bescheid. Der dagegen erhobenen Bescheidbeschwerde gab das BVwG Folge, hob den Bescheid gemäß § 28 Abs 3 VwGVG auf und verwies die Angelegenheit zur Verfahrensergänzung und Erlassung eines neuen Bescheids an die DSB zurück. Die dagegen erhobene Amtsrevision der DSB wies der VwGH als unbegründet ab.

Der VwGH hat erwogen: In der Amtsrevision brachte die DSB vor, die AVG verpflichte sie zwar, zur Ermittlung der materiellen Wahrheit den vollen Beweis zu erbringen, Art 57 Abs 1 lit f DSGVO derogiere jedoch partiell den entsprechenden Bestimmungen des AVG, sodass für die Feststellung des maßgeblichen Sachverhalts nicht der "volle Beweis" gefordert werde, sondern die Beschwerdebehandlung – einzelfallbezogen – "in angemessenem Umfang" zu erfolgen habe. Entgegen der Ansicht der DSB besteht jedoch kein Anhaltspunkt für eine "partielle" Derogation der §§ 37 und 39 Abs 2 AVG.

Die DSB hat sich trotz einander widersprechender Behauptungen der Nachbarn zur Frage der Betriebsweise (Schwenkbarkeit) der Kameras bloß mit der Einholung schriftlicher Stellungnahmen begnügt und hat die Nachbarin, obwohl es geboten gewesen wäre, mündlich nicht einvernommen. Das BVwG ist daher vertretbar davon ausgegangen, dass die DSB ihrer Pflicht zur Bearbeitung der Datenschutzbeschwerde nicht mit aller gebotenen Sorgfalt nachgekommen ist.

Rechtsprechung des BVwG

Durch das ORF-Beitrags-Gesetz 2024 (OBG) ist kein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu erblicken. Die Verarbeitung bestimmter personenbezogener Daten zum Zwecke der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 OBG erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt (BVwG 01.10.2024, I406 2297556-1).
Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim Bundesverwaltungsgericht sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 30.09.2024, W258 2262547-1; W258 2262750-1 ua).
Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung zur Auslegung des Begriffs "exzessiv" iSd Art 57 Abs 4 DSGVO. Da diese Frage auch im vorliegenden Verfahren präjudiziell ist, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 09.2024, W274 2293407-1; 30.09.2024, W274 2290131-1).
Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Erstbescheides und damit (nachträglich) dessen Rechtswidrigkeit. Der Erstbescheid ist daher durch das BVwG (ersatzlos) aufzuheben. Bei dieser Art der Entscheidung handelt es sich um eine negative Sachentscheidung, womit auch das Beschwerdeverfahren erledigt wird. Eine darüberhinausgehende Einstellung des Beschwerdeverfahrens erübrigt sich daher (BVwG 30.09.2024, W211 2271492-1).

Rechtsprechung des BVwG

Ein Offizier des Bundesheeres geriet mit Vorgesetzten und Untergebenen aufgrund unterschiedlicher Vorstellungen der Dienstausübung und des Umgangstons des Offiziers wiederholt aneinander. Die Folge waren zahlreiche Disziplinarbeschwerden bei der Bundesdisziplinarbehörde, Strafanzeigen bei der Staatsanwaltschaft und Datenschutzbeschwerden bei der DSB. Der Offizier wurde mit Disziplinarerkenntnis der Bundesdisziplinarbehörde (BDB) ua wegen unberechtigten Datenzugriffen im Aktensystem des Bundesheeres für schuldig befunden. Das BVwG bestätigte das Disziplinarerkenntnis ua wegen unrechtmäßigen Zugriffen im elektronischen Akt des Bundes (ELAK).

Das BVwG hat erwogen: Die Datenschutzbestimmungen des § 1 Abs 1 DSG iVm Art 6 Abs 1 lit e DSGVO lassen Datenverarbeitungen zur Wahrnehmung konkreter Verwaltungsaufgaben nur zu, wenn sie erforderlich sind. Der Offizier verarbeitete unrechtmäßig personenbezogene Daten, indem er auf die Mehrdienstleistungsanordnung eines Hauptmanns ohne dienstliche Notwendigkeit zugegriffen hat und diese samt der darin enthaltenen personenbezogenen Daten, Name und Personalnummer, mit weiteren Bediensteten teilte. Weiters verarbeitete der Offizier unrechtmäßig die Daten eines Obersts, indem er auf dessen Belohnungsantrag zugegriffen hat.

Dagegen handelte der Offizier rechtmäßig, als er einem Vorgesetzten vorschriftswidriges Verhalten vorwarf, weil ihm dieser die Einsicht in seinen Personalakt verweigerte. Beim Verlangen um Einsicht in den eigenen Personalakt handelt es sich um ein Auskunftsersuchen über die eigenen Daten. Die Einsicht darf nicht deshalb verweigert werden, weil man befürchtet, der Offizier könnte erneut einen Fehler finden und diesen bei der DSB zur Anzeige bringen. Der Offizier durfte einem Vorgesetzten auch einen Verstoß gegen Datenschutzbestimmungen anlasten, weil dieser auf einem Selbstauskunftsbogen des Offiziers bei der Frage nach Vorstrafen zur Angabe des Offiziers ("Nein") händisch "bereits verjährt" vermerkt hatte, obwohl verjährte Vorstrafen für den Zweck des Auskunftsbogens außer Acht bleiben mussten und dies dem Vorgesetzten bekannt war. Ebenfalls rechtmäßig handelte der Offizier, als er hinsichtlich der Empfängernennung in Auskunftsschreiben eine andere Rechtsansicht vertrat als ein Vorgesetzter und deshalb in einem der zahlreichen Verfahren vorbrachte, dass er durch die unvollständige Empfängernennung vom Vorgesetzten in seinen Rechten verletzt worden war. Der EuGH stützte später die Rechtsansicht des Offiziers, dass Empfänger konkret benannt werden müssen, und darüber hinaus dient das Disziplinarrecht nicht dazu, unliebige Meinungsäußerungen zu untersagen, sofern diese im Rahmen der freien Meinungsäußerung vertretbar sind.

Allein die missbräuchliche Beschaffung von dem Datenschutz unterliegenden personenbezogenen Daten, ohne darüberhinausgehenden Vorsatz, ein konkretes Recht des Staates oder einer Person zu schädigen, reicht für die Verwirklichung des Tatbestands von § 302 Abs 1 StGB (Amtsmissbrauch) zwar nicht aus. Eine missbräuchliche Datenbeschaffung indiziert aber in der Regel den Vorsatz, das Geheimhaltungsinteresse der betroffenen Person zu verletzen.

Bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, wird das Verfahren über die Rechtsfrage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung, die im Spannungsverhältnis zu einem Geschäftsgeheimnis stehen, zu erteilen sind, ausgesetzt (BVwG 26.01.2024, W221 2253358-1).

Ist vom BVwG in einer erheblichen Anzahl von anhängigen oder in naher Zukunft zu erwartenden Verfahren eine Rechtsfrage zu lösen und ist gleichzeitig beim Verwaltungsgerichtshof eine Revision zur selben Rechtsfrage anhängig, kann das BVwG das Verfahren aussetzen (BVwG 29.01.2024, W101 2248576-1).

Bis zur Entscheidung des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde, wird das Verfahren über die Rechtsfrage, ob über 300 Datenschutzbeschwerden mit gleichbleibendem Kern iSd Art 57 Abs 4 DSGVO exzessiv sind, ausgesetzt (BVwG 22.01.2024, W252 2280887-1).

Bis zur Entscheidung des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde, wird das Verfahren über die Rechtsfrage, ob die Datenschutzbeschwerde des Beschwerdeführers wegen ihres wiederholenden und rechtsmissbräuchlichen Charakters iSd Art 57 Abs 4 DSGVO exzessiv ist, ausgesetzt (BVwG 22.01.2024, W252 2280766-1).

Die Datenschutzbeschwerde kann in jeder Lage des Verfahrens mit der Wirkung zurückgezogen werden, dass die DSB unzuständig und der erlassene Bescheid nachträglich rechtswidrig wird. In solchen Fällen hat das BVwG den Bescheid ersatzlos zu beheben (BVwG 16.01.2024, W292 2248304-1).

Rechtsprechung des BFG

Gemäß § 5 WiEReg haben Rechtsträger bestimmte personenbezogene Daten über ihre wirtschaftlichen Eigentümer an die Bundesanstalt Statistik Österreich als Auftragsverarbeiterin der Registerbehörde (Bundesminister für Finanzen) zu melden. Die Meldung der Daten hat im elektronischen Weg über das Unternehmerserviceportal zu erfolgen. Wird eine Meldung nicht erstattet, kann das Finanzamt Österreich deren Vornahme durch Verhängung einer Zwangsstrafe erzwingen, solange die zu erzwingende Handlung noch nicht vorgenommen wurde (BFG 24.01.2024, RV/2100418/2023).

Rechtsprechung der DSB

Ein Nutzer besuchte die US-Website einer in den USA niedergelassenen Websitebetreiberin. Im Zuge des Websitebesuchs willigte der Nutzer in die Verwendung von Cookies ein. Anschließend brachte der Nutzer Datenschutzbeschwerde bei der DSB ein, weil die von ihm erteilte Einwilligung ungültig gewesen sei und beantragte ua, der Websitebetreiberin die Löschung der über ihn erhobenen Cookie-Werte aufzutragen sowie das US-Websitebetreiberin zu verpflichten, allfällige Empfänger der Cookie-Werte über die Löschung iSd Art 19 DSGVO zu informieren. Die DSB gab der Datenschutzbeschwerde teilweise statt und trug der Websitebetreiberin ua auf:

Die Datenempfänger über die Löschung zu gemäß Art 19 DSGVO zu informieren.
Auf der ersten Ebene des Cookie-Banners neben der Schaltfläche für das Akzeptieren der Cookies eine gleichwertige Option für das Ablehnen der Cookies vorzusehen.
Einen ausdrücklichen Hinweis, wo das Recht auf Widerruf der Einwilligung ausgeübt werden kann, in den Cookie-Banner aufzunehmen.

Die DSB hat erwogen: Die US-Website ist zwar an kein europäisches Publikum gerichtet, sie verweist aber auf die Webshops anderer Unternehmen. Die britische Website bietet die Möglichkeit an, ein Printabonnement nach Österreich zu bestellen. Das bloße Zugänglichmachen der Website, einer E-Mail-Adresse oder von Kontaktdaten reichen jedoch nicht aus, um den räumlichen Anwendungsbereich der DSGVO zu eröffnen. Dennoch eröffnet ist der räumliche Anwendungsbereich der DSGVO deshalb, weil auf dem Endgerät des Nutzers Cookies ausgelesen wurden und durch Tracking auf Verhaltensprofilen basierte Personalisierungsfunktionen angeboten werden.

Die erhobenen Cookie-Werte sind personenbezogene Daten, weil die Cookies einzigartige, zufallsgenerierte Werte im Endgerät des Nutzers setzten und diese Werte an die Server der Cookie-Anbieter übermittelten.

Die eingeholte Einwilligung zum Setzen der Cookies war ungültig, weil es auf der ersten Ebene des Cookie-Banners keine Möglichkeit gab, die Einwilligung zu verweigern. Die Daten wurden daher unrechtmäßig verarbeitet und mussten von der Websitebetreiberin gelöscht werden. Dies hat sie auch getan, allerdings hätten gemäß Art 19 DSGVO auch die Empfänger der Informationen der Cookie-Werte über die erfolgte Löschung informiert werden müssen. Die US-Websitebetreiberin wendete zwar ein, dass dies mit einem unverhältnismäßigem Aufwand verbunden wäre, sie war für diese Behauptung jedoch beweispflichtig und hat keinen Nachweis erbracht.

Rechtsprechung der BDB

Eine Beamtin bewarb sich für eine Führungsfunktion. Aufgrund eines entsprechenden Erlasses (sog Logfileerlass) wurden im Rahmen des Bewerbungsprozesses ihre Datenbankzugriffe analysiert. Es stellte sich zunächst heraus, dass sie auf die Steuerdaten ihres Gatten und ihrer Arbeitszimmerkollegin mehrfach ohne dienstlichen Grund zugegriffen hat. Die Beamtin verteidigte sich damit, dass sie auf die entsprechenden Daten auch privat hätte zugreifen können, es aber praktischer und schneller gewesen sei, die Daten dienstlich abzufragen. Nach weiteren Untersuchungen stellte sich heraus, dass die Beamtin auch die Daten weiterer Personen, ua in Zusammenhang mit ihrer politischen Tätigkeit, ohne dienstlichen Grund und in vielen Fällen auch ohne Einverständnis der Betroffenen abgefragt hat. Die für die Beamtin zuständige Dienstbehörde erstattete Disziplinaranzeige an die Bundesdisziplinarbehörde (BDB) und auch Strafanzeige an die zuständige Staatsanwaltschaft (StA). Die Beamtin war geständig und es wurde über sie wegen Verletzung von Bestimmungen des Beamten-Dienstrechtsgesetzes (BDG), die solche Datenzugriffe untersagten, die Disziplinarstrafe der Geldbuße iHv EUR 2.800 verhängt. Die StA stellte das Verfahren diversionell ein.

Die BDB hat datenschutzrechtlich relevant erwogen: Die Beamtin stand zu den Personen, deren Daten sie abfragte, entweder in einem Angehörigenverhältnis oder es handelte sich um Bekannte, vorwiegend aus ihrem politischen Umfeld. Deshalb ist die Beamtin als befangenes Organ anzusehen und kann daher eine dienstliche Veranlassung zur Vornahme der dokumentierten Datenzugriffe nicht gegeben sein. Die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz (§ 1 DSG) zu durchbrechen, wird von einer Beamtin dann missbräuchlich in Anspruch genommen, wenn eine Ermittlung personenbezogener Daten ohne dienstliche Rechtfertigung erfolgt. Nach dem OGH führt der Befugnismissbrauch bei deliktspezifischem Schädigungsvorsatz zu einer strafrechtlichen Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch), ohne dass an sich ein tatsächlicher Schadenseintritt erforderlich wäre. In der Verletzung des Grundrechts auf Datenschutz nach § 1 DSG durch eine missbräuchliche Datenermittlung ist die konkrete Schädigung der Betroffenen zu erblicken. Der Beamtin war aufgrund der absolvierten internen Trainings und interner Weisungen die Rechtswidrigkeit ihres Verhaltens auch bekannt. Sie handelte zumindest mit bedingtem Vorsatz.

Vorschau EuGH-Rechtsprechung

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 14.02.2024

Rechtsprechung des VwGH

VwGH 14.12.2023, Ra 2023/13/0054

Die Erbin eines verstorbenen Erblassers richtete einen Auskunftsantrag nach § 4 Abs 4 KontRegG an den Bundesminister für Finanzen (BMF). Die Erbin stellte den Antrag, der BMF möge Auskunft darüber erteilen, welche den Erblasser betreffende Daten in das Kontenregister aufgenommen und welche Konten diesem konkret zugeordnet sind. Für den Fall der Nichterteilung der Auskunft ersuchte die Erbin – ua gestützt auf das AuskunftspflichtG – um Bescheiderlassung. Der BMF wies den Antrag der Erbin mit der Begründung ab, dass es sich bei den im Kontenregister erfassten Daten um personenbezogene Daten des Erblassers handelt. Mit dem Tod des Betroffenen erlösche das Recht auf Datenschutz; damit erlösche auch das Recht auf Auskunft. Gegen den Bescheid des BMF erhob die Erbin Bescheidbeschwerde an das BVwG, das die Bescheidbeschwerde gemäß § 6 AVG iVm § 17 VwGVG an das Bundesfinanzgericht (BFG) weiterleitete. Das BFG wies die Bescheidbeschwerde ab. Über die dagegen gerichtete Revision behob der VwGH das Erkenntnis des BFG wegen von Amts wegen aufzugreifender Rechtswidrigkeit infolge Unzuständigkeit.

Der VwGH hat erwogen: Die Bestimmung des § 4 Abs 4 KontRegG wurde aus Gründen des Datenschutzes in das KontRegG eingefügt. Daraus kann aber nicht abgeleitet werden, dass dieses Auskunftsrecht (nur) über ein auf das DSG oder die DSGVO gestützte Auskunftsersuchen durchgesetzt werden kann. Der BMF hat über die Nichterteilung der Auskunft mit Bescheid entschieden, es wäre unschlüssig, wenn der Auskunftsantrag auf Datenschutzrecht gestützt gewesen wäre, weil in diesem Fall vom BMF (lediglich) zu begründen gewesen wäre, warum die Auskunft nicht oder nicht vollständig erteilt wird. Das AuskunftspflichtG ist nicht anzuwenden, weil § 4 Abs 4 KontRegG eine besondere Auskunftspflicht vorsieht, es war aber – mangels anderer Regelung – bei sinngemäßer Anwendung des AuskunftspflichtG mit Bescheid abzusprechen.

Das BFG ist für Rechtssachen in Angelegenheiten der öffentlichen Abgaben oder des Finanzstrafrechts zuständig. Nach dem Gesetz besteht keine Verknüpfung zwischen einem Auskunftsantrag nach § 4 Abs 4 KontRegG und einer Abgabenangelegenheit. Das BFG war daher für die Entscheidung unzuständig.

Rechtsprechung des OGH

OGH 17.01.2024, 6Ob143/23g

Der Betroffene begehrte von der DSB gemäß Art 15 Abs 3 DSGVO eine Kopie von Protokollen von Gemeinde- und Stadtratssitzungen, die der DSB im Zuge eines amtswegigen Prüfverfahrens übermittelt worden waren und Ausführungen zur Person des Betroffenen und dessen Familie enthielten. Da die DSB das Begehren ablehnte, erhob der Betroffene Klage gegen die DSB vor einem Zivilgericht und beantragte die Herausgabe der Protokolle. Das Erstgericht erklärte den ordentlichen Rechtsweg auf Grundlage des Art 79 DSGVO für zulässig. Das Rekursgericht berichtigte die Parteienbezeichnung (auf "Republik Österreich [Bund]"), erklärte den ordentlichen Rechtsweg unter Abänderung des erstgerichtlichen Beschlusses für unzulässig, wies die Klage zurück, ließ aber den ordentlichen Revisionsrekurs zu. Der OGH erachtete den Revisionsrekurs für zulässig, aber nicht berechtigt.

Der OGH hat erwogen: Die Doppelgleisigkeit des Rechtsschutzes unter der DSGVO – dh der Rechtsschutz steht den Betroffenen im Verwaltungsrechtsweg und im Zivilrechtsweg offen – wird vom erkennenden Senat des OGH in ständiger Rechtsprechung für auf Gleichordnung beruhende bürgerlich-rechtliche Ansprüche zwischen Privaten bejaht. Die DSB agiert jedoch hoheitlich und der Rechtsschutz gegen Handlungen oder Unterlassungen der DSB hat der Gesetzgeber durch die Zuständigkeit des BVwG gewährt. Dies ist mit der Rechtsprechung des EuGH vereinbar, denn die Mitgliedstaaten sind frei beim Festlegen des Zusammenspiels der Rechtsbehelfe nach Art 77 bis Art 79 DSGVO. Das BVwG ist ein Gericht, das mit den richterlichen Garantien der Unabhängigkeit, Unabsetzbarkeit und Unversetzbarkeit ausgestattet ist. Den Anforderungen des EuGH an den Rechtsschutz ist damit entsprochen. Der ordentliche Rechtsweg ist gegen die DSB unzulässig.

OGH 17.01.2024, 6Ob38/23s

Ein Unternehmen nahm ein "internes Scoring" anhand der Bestelldaten vor, wenn ein Kunde im Fall von Online-Bestellungen eine "unsichere Zahlungsart", also einen Rechnungs- oder Ratenkauf, auswählte. Bei Neukunden erfolgte automatisch eine Anfrage bei einer externen Auskunftei. War der Kunde der Auskunftei unbekannt, wurde die unsichere Zahlungsart abgelehnt. War der Kunde der Auskunftei bekannt, gab es unterschiedliche Scoring-Bewertungen. Bei rot wurde die unsichere Zahlungsart automatisch abgelehnt, bei gelb prüfte ein Mitarbeiter des Unternehmens die Voraussetzungen für die Annahme der unsicheren Zahlungsart und bei grün wurde die Bestellung angenommen. Der Verein für Konsumenteninformation (VKI) begehrte das Verbot, "die Bonitätsprüfung anhand von Scoring vorzunehmen, ohne dem Verbraucher das Recht einzuräumen, seinen eigenen Standpunkt darzulegen und seine Einstufung anzufechten" und behauptete einen systematischen Verstoß des Unternehmens gegen Art 22 DSGVO bei der Vergabe von Teilzahlungskrediten an Verbraucher.

Der OGH hat erwogen: Ein Unterlassungsbegehren ist so zu konkretisieren, dass aufgrund des stattgebenden Urteils Exekution geführt werden kann. Dieser Anforderung genügte das Unterlassungsbegehren des VKI nicht, weil das darin gebrauchte Wort "Scoring" keine konkrete, im Fall der Klagestattgebung einer Exekution zugängliche Verhaltensweise beschrieb. Der VKI hätte die tatsächlichen Umstände zu konkretisieren gehabt, die der behaupteten automatisierten Entscheidung zu Grunde liegen. Das Unterlassungsbegehren war auch unschlüssig, weil es auf die bloße Vornahme der Bonitätsprüfung (Scoring) abstellte, während die Klageerzählung die Verweigerung bestimmter Zahlungsarten behandelte.

Bevor ein unbestimmtes oder unschlüssiges Begehren abgewiesen wird, ist vom Gericht dessen Verbesserung anzuregen, damit die Parteien von der Rechtsauffassung des Gerichts nicht überrascht werden. Dies gilt auch im Verfahren vor dem OGH. Daher ist die Rechtssache zur Vermeidung des Überraschungseffekts zur neuerlichen Entscheidung an das Erstgericht zurückzuverweisen.

Anm: Der OGH erklärt nicht, weshalb es überraschend ist, dass ein Klagebegehren bestimmt und schlüssig sein muss.

Rechtsprechung des BVwG

BVwG 04.01.2024, W298 2262840-1

Die Empfängerin einer Einladung zu einem COVID-19-Impftermin erhob Datenschutzbeschwerde an die DSB und machte eine Geheimhaltungsverletzung durch eine näher bezeichnete Stelle als Beschwerdegegnerin geltend. Die DSB holte in einem Parallelverfahren die Stellungnahme einer anderen (in der Datenschutzbeschwerde nicht bezeichneten) Stelle ein und führte das Verfahren gegen diese Stelle als Beschwerdegegnerin fort. Die DSB gab der Datenschutzbeschwerde statt und befand, dass die nunmehrige Beschwerdegegnerin unrechtmäßig auf die Daten der Empfängerin im zentralen Impfregister und im zentralen Patientenindex zugegriffen hat. Das BVwG behob den angefochtenen Bescheid ersatzlos.

Das BVwG hat erwogen: Die Feststellung der Rechtsverletzung einer Person, die in der Datenschutzbeschwerde nicht als Beschwerdegegnerin genannt wird, überschreitet die "Sache" des Verfahrens. Ist die in der Datenschutzbeschwerde benannte Beschwerdegegnerin für die Datenverarbeitung nicht verantwortlich und kann die verfehlte Bezeichnung der Beschwerdegegnerin im Wege einer vertretbaren Auslegung nicht bereinigt werden, ist die Datenschutzbeschwerde abzuweisen. Die Berichtigung der Beschwerdegegnerin kommt von Amts wegen nicht in Frage, weil der DSB im amtswegig eingeleiteten Verfahren keine Feststellungskompetenz zukommt.

Die DSB hat die "Sache" des Verfahrens überschritten, indem sie den Bescheid gegen eine Stelle erlassen hat, die in der Datenschutzbeschwerde nicht benannt war.

BVwG 06.12.2023, W221 2280884-1

Ein Vater machte für sich und seinen minderjährigen Sohn Betroffenenrechte geltend. Seit 2018 brachte der Vater in diesem Zusammenhang 313 Datenschutzbeschwerden ein. Die DSB stufte das Vorgehen des Vaters als exzessiv ein und lehnte die Behandlung der Datenschutzbeschwerde gemäß Art 57 Abs 4 DSGVO ab. Die Datenschutzbeschwerde für den minderjährigen Sohn wies die DSB zurück. Die vom Vater ergriffene Bescheidbeschwerde wurde vom BVwG hinsichtlich des minderjährigen Sohnes zurückgewiesen und betreffend den Vater ausgesetzt.

Das BVwG hat erwogen: Der VwGH fragte den EuGH mit Vorabentscheidungsersuchen vom 27.06.2023, Ra 2023/04/0002, wann eine Anfrage gemäß Art 57 Abs 4 DSGVO exzessiv ist. Die Vorlagefrage des VwGH ist beim EuGH noch anhängig. Verwaltungsverfahren, für die die zu entscheidende Vorlagefrage präjudiziell ist, sind gemäß § 38 AVG auszusetzen. Die vom VwGH zu Art 57 Abs 4 DSGVO gestellte Vorlagefrage ist präjudiziell, weil die DSB die Behandlung der Datenschutzbeschwerde wegen deren exzessiven Charakters ablehnte.

Hinsichtlich des minderjährigen Sohnes war der Vater nicht zur Vertretung legitimiert.

BVwG 11.01.2024, W258 2243523-1

Ein Immobilienentwickler erhob Daten über potenzielle Verkaufsinteressenten aus dem Grundbuch und schrieb Liegenschaftseigentümer an. Im Herbst 2019 schrieb der Immobilienentwickler die Eigentümerin einer Liegenschaft an, die den Immobilienentwickler daraufhin um Löschung ihrer Daten ersuchte. Der Immobilienmakler löschte die aus dem Grundbuch erhobenen Daten, bewahrte aber die Korrespondenz mit der Eigentümerin zur Verteidigung von Rechtsansprüchen auf. Im März 2023 führte der Immobilienentwickler erneut eine Grundbuchsabfrage durch und schrieb dieselbe Eigentümerin wieder an. Die Eigentümerin beschwerte sich bei der DSB, weil sie ihr Recht auf Geheimhaltung für verletzt erachtete. Die DSB gab der Datenschutzbeschwerde statt und ordnete die vollständige Löschung der personenbezogenen Daten der Eigentümerin an. Das BVwG gab der dagegen erhobenen Bescheidbeschwerde des Immobilienentwicklers statt.

Das BVwG hat erwogen: Der Immobilienentwickler löschte aufgrund des Löschungsersuchens die Stamm- und Liegenschaftsdaten der Eigentümerin und entsprach damit dem Löschungsersuchen von 2019. Die Verarbeitung der Korrespondenz betreffend das Löschungsersuchen war zur Verteidigung gegen Rechtsansprüchen und zur Dokumentation des Löschvorgangs erforderlich. Folglich steht der Eigentümerin hinsichtlich der Korrespondenz kein Recht auf Löschung zu. Die erneute Erfassung der Daten nach einer weiteren Grundbuchsabfrage ändert nichts daran, dass dem ursprünglichen Löschungsersuchen entsprochen wurde. Der Eigentümerin wäre es offen gestanden, die Unterlassung der Verarbeitung ihrer Daten zu verlangen.

Laut dem Vorbringen des Immobilienmaklers wird Löschungsersuchen (damals zwar noch nicht, aber nunmehr) entsprochen, indem nicht alle Daten gelöscht werden, sondern die Liegenschaftsadresse mit einem Sperrvermerk verarbeitet wird, um das mehrfache Anschreiben von Liegenschaftseigentümern zu verhindern. Das ist rechtmäßig.

Anm: Die vom BVwG für rechtmäßig befundene Löschung per Sperrvermerk ist für das Adressverlagswesen gemäß § 151 Abs 8 GewO gesetzlich angeordnet. Der Gesetzgeber verlangt dort aber, die Betroffenen zu informieren und ihnen die Möglichkeit einzuräumen, auf die physische Löschung ihrer Daten zu bestehen. Die Löschung per Sperrvermerk bedeutet, dass Personen, die für einen bestimmten Zweck (zB Werbung) der Verarbeitung ihrer Daten widersprechen, in eine Liste eingetragen werden. Mit dieser Sperrliste oder "schwarzen Liste" wird vor dem Versand von Werbematerial ein Abgleich durchgeführt.

Weist die DSB eine Datenschutzbeschwerde zurück, spricht das BVwG nur über die Rechtmäßigkeit der Zurückweisung ab. Die Zurückweisung ist nicht rechtmäßig, wenn der Zurückweisungsbescheid vor Ablauf der in einem Mangelbehebungsauftrag gesetzten Frist erlassen wird. Die DSB wird im fortzusetzenden Verfahren zu beachten haben, dass das Bundesamt für Fremdenwesen und Asyl (BFA), die für die Datenverarbeitung verantwortliche Stelle ist, ua weil das BFA die Daten der Asylwerberin ins Zentrale Fremdenregister eingetragen hat (BVwG 22.01.2024, W101 2277417-1).

Rechtsprechung des LVwG

Grundstücksadressen sind personenbezogene Daten, weil mit Einsicht in das Grundbuch, das ein öffentliches Register ist, auf die Eigentümer geschlossen werden kann. Das öffentliche Interesse an Umweltinformationen überwiegt das Geheimhaltungsinteresse des Liegenschaftseigentümers an der Geheimhaltung des Umstands, dass für seine Liegenschaft ein umweltrechtliches Verfahren wegen Baumentfernungen anhängig ist, weil diese Information im Regelfall keinen Rückschluss auf höchstpersönliche Lebensumstände zulässt (LVwG Wien 04.07.2023, VGW-101/060/1619/2023).

Rechtsprechung der DSB

DSB 26.04.2023, 2023-0.072.284

Ein spanisches Unternehmen sowie dessen Geschäftsführer erachteten sich in ihrem Geheimhaltungsrecht verletzt, weil ein Handelsunternehmen, bei dem das spanische Unternehmen zuvor einen Computer erworben hatte, in seiner internen Kundendatenbank die Information hinterlegte, dass von weiteren Geschäftsbeziehungen mit dem spanischen Unternehmen abgesehen wird. Der Eintrag enthielt eine (Kurz-)Bezeichnung, eine interne Nummer, die Adresse des Geschäftsführers sowie einen als "Sonderinformation" bezeichneten Text, wonach der Kunde (das spanische Unternehmen) am Telefon massiv stresst, mit Anwalt droht und keine Ausweiskopie zulässt. Die DSB wies die Datenschutzbeschwerde ab.

Die DSB hat erwogen: Das Handelsunternehmen verfügt über mehrere Niederlassungen in Österreich und die verfahrensgegenständliche Verarbeitung erfolgte im Rahmen der Tätigkeit von Niederlassungen in Österreich, die DSB ist daher örtlich zuständig. Das spanische Unternehmen ist zwar eine juristische Person, § 1 DSB schützt aber auch juristische Personen und dürfen diese Datenschutzbeschwerde bei der DSB einbringen. Die DSB ist daher auch sachlich zuständig.

Der Vermerk in der Kundendatenbank ist keine strafrechtliche Unterstellung und kann im Vermerk keine rechtswidrige Datenverarbeitung erblickt werden. Das Handelsunternehmen hat ein berechtigtes Interesse, in seiner internen Kundendatenbank zu vermerken, dass es mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen will.

Anm: Das BVwG hat in der Zwischenzeit (nach diesem Bescheid der DSB) die Aktivlegitimation juristischer Personen auf Beschwerde vor der DSB verneint (BVwG 19.09.2023, W298 2261568-1).

DSB 18.09.2023, 2023-0.336.563

Der Finder eines offenkundig vergessenen Pakets begab sich zu einer Polizeiinspektion, um eine Rechtsauskunft hinsichtlich des Finderlohns zu erhalten. Ihm wurde mitgeteilt, dass er sich mit dem Paket zum Fundamt begeben sollte und er wurde über die Konsequenzen der Nichtabgabe (Fundunterschlagung) belehrt. Der Finder verweigerte die Angabe seiner Identifikationsdaten. Da er jedoch amtsbekannt war, fuhr eine Polizeistreife zu seiner Wohnadresse und stellte das Paket sicher. Dem Finder wurde eine Ladung zur Vernehmung aufgrund des Verdachts der Fundunterschlagung zugestellt. Bei der Vernehmung wurde er unter Androhung von Zwangsgewalt erkennungsdienstlich behandelt (Fingerabdrücke, Maße und Fotos).

Der Finder erhob Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Geheimhaltung (wegen Erhebung seiner erkennungsdienstlichen Daten) und Verletzung im Recht auf Löschung (weil sein darauf gerichtetes Ersuchen abgelehnt wurde). Der Finder erhob auch Beschwerde beim LVwG OÖ, das die Löschung der Daten anordnete. Die DSB gab der Datenschutzbeschwerde hinsichtlich der Verletzung des Geheimhaltungsrechts statt.

Die DSB hat erwogen: Es ist das 3. Hauptstück des DSG anzuwenden, weil es sich um eine Datenverarbeitung durch einen Verantwortlichen des öffentlichen Bereichs zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten handelt. Nach § 38 DSG ist eine Datenverarbeitung ua dann zulässig, wenn sie gesetzlich vorgesehen und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist. Gemäß § 65 SPG sind Sicherheitsbehörden befugt, eine Person unter bestimmten Voraussetzungen erkennungsdienstlich zu behandeln. Der Finder war jedoch amtsbekannt, hat sich aus freien Stücken zur Polizeiinspektion begeben und konnte an seiner Adresse angetroffen werden. Die Voraussetzungen für die erkennungsdienstliche Behandlung lagen somit nicht vor.

Vorschau EuGH-Rechtsprechung

Am 02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, dessen unrechtmäßig verarbeitete Daten zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 07.02.2024

Rechtsprechung des EuGH

EuGH 30.01.2024, C-118/22, Direktor na Glavna direktsia „Natsionalna politsia“

In Bulgarien werden bestimmte Daten, einschließlich biometrischer und genetischer Daten, einer Person, die wegen einer vorsätzlichen Offizialstraftat verurteilt wurde, bis zu ihrem Tod in ein Polizeiregister eingetragen. Aufgrund einer falschen Zeugenaussage wurde eine Person strafgerichtlich verurteilt und ihre Daten wurden in diesem Polizeiregister gespeichert. Der Verurteilte wurde später rehabilitiert und seine Verurteilung ist aus dem bulgarischen Strafregister gelöscht worden. Der Verurteilte beantragte die Löschung seiner Daten auch aus dem Polizeiregister. Sein Löschungsantrag wurde jedoch abgelehnt, weil die Gründe für eine Löschung aus dem Polizeiregister im bulgarischen Gesetz abschließend geregelt waren und die Rehabilitation keiner dieser Gründe war.

Der EuGH hat entschieden: Die Datenverarbeitung in einem Polizeiregister fällt in den Anwendungsbereich der Datenschutzrichtlinie Polizei und Justiz (DSRL-PJ 2016/680), sofern die Daten nicht für den Schutz der nationalen Sicherheit verarbeitet werden. Genetische und biometrische Daten sind sensible Daten, deswegen wird ihnen ein erhöhter Schutz gewährt. Sie dürfen nur verarbeitet werden, wenn ihre Verarbeitung unbedingt erforderlich ist. Die Speicherung von Daten, einschließlich sensibler Daten, in einem Polizeiregister kann auch nach der Löschung der Verurteilung aus dem Strafregister und trotz Rehabilitation bis zum Tod der wegen einer vorsätzlichen Offizialstraftat verurteilen Person unbedingt erforderlich sein. Das unterschiedslose Speichern der Daten jeder wegen einer vorsätzlichen Offizialstraftat verurteilten Person bis zu ihrem Tod widerspricht jedoch dem Grundsatz der Datenminimierung, weil der Begriff "vorsätzliche Offizialstraftat" zu weit gefasst ist.

Die Erforderlichkeit der Datenaufbewahrung ist regelmäßig zu überprüfen und dem Verurteilten ist zu ermöglichen, die Löschung seiner Daten zu verlangen, wenn die Verarbeitung der Daten für die Zwecke, für die sie gespeichert wurden, nicht mehr erforderlich ist. Zur Wahrung der Verhältnismäßigkeit von Speicherfristen sind insb Art und Schwere der Straftat, der Kontext, in dem diese begangen wurde, der etwaige Zusammenhang mit laufenden Verfahren, sowie der Lebenswandel und das Profil des Verurteilten zu berücksichtigen.

Rechtsprechung des OGH

OGH 19.12.2023 5Ob34/23w

Eine Bankkundin schloss mit ihrer Bank einen Kredit ab und geriet mit der Rückzahlung des Kredits in Verzug. Die Bank leitete ein Schuldenregulierungsverfahren ein und es kam zu Eintragungen in die Kleinkreditevidenz und in die Warnliste der österreichischen Banken, die jeweils von der KSV 1870 geführt werden. Im Oktober 2018 wurde Restschuldbefreiung nach Erfüllung des Zahlungsplans erteilt.

Die im Löschkonzept der KSV 1870 vorgesehenen Löschfristen von sieben Jahren waren noch nicht abgelaufen. Dem Löschungsersuchen einer Bank hätte die KSV 1870 aber auch vor Ablauf der Löschfristen entsprochen. Aus diesem Grund begehrte die Bankkundin – gestützt auf nachvertragliche Sorgfaltspflichten – von ihrer Bank, die Löschung ihrer Daten aus der Kleinkreditevidenz und der Bankenwarnliste zu veranlassen. Das Erst- und Berufungsgericht wiesen das Klagebegehren der Bankkundin ab.

Der OGH hat entschieden: Die Bankenbranche hat ein berechtigtes Interesse, eine objektive, transparente und wahrheitsgemäße Auskunft über die Zahlungsfähigkeit und -schwierigkeit von Kreditnehmern zu erhalten. Das Interesse an Informationen zum früheren Zahlungsverhalten liegt in der besseren Einschätzung des Kreditrisikos und so in der besseren Vermeidung von Zahlungsverzögerungen und -ausfällen. Daten über historische Insolvenzen und Zahlungsausfälle sind wesentlich, um das Zahlungsverhalten eines (potenziellen) Kreditnehmers einzuschätzen. Diese Daten verlieren zwar an Aussagekraft je älter sie werden. Hinsichtlich des Alters der Forderung stellte das Berufungsgericht aber zu Recht auf den Zeitpunkt der Erfüllung des Zahlungsplans ab. Auch war nicht zu beanstanden, dass das Berufungsgericht dem beträchtlichen Ausmaß des Zahlungsausfalls eine maßgebliche Bedeutung beimaß.

Der Einwand der Klägerin, wonach sich ihre Einkommensverhältnisse verbessert haben, ändert nichts am Informationsinteresse der Banken. Zudem wird die Einkommenssituation/Bonität der Bankkundin von künftigen Gläubigern bei der Einschätzung des Kreditrisikos miteinbezogen werden.

Gegen die Offenlegungspflichten gemäß § 277 ff UGB (zB Offenlegung von Jahresabschluss und Lagebericht) bestehen auch unter Bedachtnahme auf das Grundrecht auf Datenschutz keine Bedenken (OGH 20.12.2023, 6Ob29/23t).

Rechtsprechung des BVwG

BVwG 14.12.2023, W287 2259251-1

Ein Inkassobüro meldete negative Zahlungserfahrungsdaten über einen Kreditnehmer bei einer Kreditauskunftei ein. Der Kreditnehmer erachtete sich in seinem Recht auf Löschung verletzt und beschwerte sich bei der DSB. Die DSB gab der Datenschutzbeschwerde statt, weil der Kreditnehmer nicht in geeignete Art und Weise vorab über die Speicherung der Zahlungserfahrungsdaten in der Bonitätsdatenbank informiert worden sei. Die Kreditauskunftei erhob (erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat entschieden: Der Kreditnehmer wurde über die Einmeldung seiner Daten in die Bonitätsdatenbank informiert. Die dem Kreditnehmer erteilten Informationen entsprachen zwar nicht den gesetzlichen Vorgaben, für den Kreditnehmer war aber klar zu erkennen, dass seine Zahlungserfahrungsdaten beim (weiteren) Ignorieren der Zahlungsaufforderung an eine Kreditauskunftei weitergegeben werden. Ferner führt die Verletzung der Informationspflicht nicht zwingend zur Rechtswidrigkeit der Verarbeitung, sonst müsste es aufgrund von Informationspflichtverletzungen auch bei verpflichtenden Datenverarbeitungen zur Löschung kommen.

Die Kreditauskunfteien haben zwar keine rechtliche Verpflichtung, jedoch ein von der Rechtsordnung gebilligtes berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO an der Verarbeitung. Die Tätigkeit der Kreditauskunfteien ist von der Rechtsordnung in § 152 GewO anerkannt. Der Zweck der Kreditauskunfteien liegt darin, den Kreditgebern aussagekräftige Informationen über das frühere Zahlungsverhalten der Kreditnehmer zur Verfügung zu stellen. Weder die DSGVO noch § 152 GewO enthalten konkrete Fristen zur zulässigen Speicherung von historischen Insolvenzverfahren und Zahlungsausfällen. Zur Beurteilung der zulässigen Speicherdauer kann jedoch die Kapitaladäquanzverordnung (VO 575/2013/EU) herangezogen werden. Zahlungserfahrungsdaten dürfen daher abhängig vom Einzelfall für mindestens fünf Jahre von Kreditauskunfteien aufbewahrt werden.

Ein Patient brachte Datenschutzbeschwerde gegen seinen ehemaligen Facharzt (für Sporttraumatologie und Unfallchirurgie) bei der DSB ein. Er erachtete sich in seinem Recht auf Geheimhaltung verletzt, weil seine medizinischen Unterlagen (Entlassungsbrief und OP-Bericht) vom Facharzt ohne seine Zustimmung erhoben wurden. Der Patient hatte zuvor eine Klage wegen fehlerhafter Behandlung gegen den Facharzt eingebracht. Die deshalb angeforderten medizinischen Unterlagen verwendete der Facharzt in dem Schadenersatzprozess als Beweismittel. Die DSB gab der Beschwerde statt, woraufhin der Facharzt (erfolglos) Bescheidbeschwerde beim BVwG einlegte.

Das BVwG hat entschieden: Die medizinischen Unterlagen enthielten Gesundheitsdaten gem Art 4 Z 15 DSGVO. Gesundheitsdaten sind sensible Daten gem Art 9 Abs 1 DSGVO, deren Verarbeitung grundsätzlich untersagt ist, es sei denn, es liegt eine der Ausnahmetatbestände iSd Art 9 Abs 2 DSGVO vor. Eine Einwilligung des Patienten wurde nicht eingeholt. Die Verarbeitung war auch für die Gesundheitsversorgung iSd Art 9 Abs 2 lit h DSGVO nicht erforderlich, weil der Facharzt zum Zeitpunkt der Datenanforderung nicht mehr als behandelnder Arzt anzusehen war. Die Verwendung der Daten war schließlich auch für das Gerichtsverfahren nicht erforderlich, denn der Facharzt verfügte zum selben Beweisthema bereits über andere gleichwertige Beweismittel. Weitere Ausnahmetatbestände kamen nicht in Frage, die Erhebung der medizinischen Unterlagen war sohin rechtswidrig.

BVwG 20.12.2023, W211 2261679-1

Eine Angestellte sprach ihre Kündigung gegenüber ihrem Dienstgeber, einem Transportunternehmen, aus. Drei Monate nach Beendigung des Dienstverhältnisses wurde die Dienstemailadresse der Angestellten deaktiviert und nach einem weiteren Monat gelöscht. Die (ehemalige) Angestellte brachte Datenschutzbeschwerde bei der DSB ein, weil das Transportunternehmen, in das auch für private Korrespondenzen verwendete E-Mail-Postfach nach Beendigung des Dienstverhältnisses Einsicht genommen habe. Weiters erachtete sie sich auch durch die Verarbeitung weiterer ihrer Daten im Recht auf Geheimhaltung verletzt und sie machte auch die Verletzung verschiedener Betroffenenrechte geltend (Rechte auf Information, Auskunft, Löschung, Datenübertragbarkeit).

Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob die ehemalige Angestellte – die nun im Konkurrenzunternehmen ihres Ehemanns beschäftigt war – (erfolglos) Bescheidbeschwerde beim BVwG.

Das BVwG hat entschieden: Das Transportunternehmen hatte ein berechtigtes Interesse, wichtige Kommunikation und Korrespondenz betreffend die Abwicklung von Kundenaufträgen nicht zu verpassen, nachdem eine langjährige Angestellte das Unternehmen verlassen hatte. Das entgegenstehende Geheimhaltungsinteresse der ehemaligen Angestellten überwog nicht. Dies hätte sich zwar im Laufe der Zeit geändert. Die E-Mail-Adresse wurde jedoch nach drei Monaten deaktiviert und nach vier Monaten gelöscht. Innerhalb dieser Zeitspanne durfte das Transportunternehmen die Dienstemailadresse für ihre betrieblichen Interessen verwenden. Vom Transportunternehmen konnte auch das Hinterlegen einer Auto-Reply-Nachricht nicht verlangt werden.

Die weiteren monierten Datenverarbeitungen waren für die Abwicklung des Dienstverhältnisses erforderlich. Dies ua deshalb, weil die Datenverarbeitung zur Vertragsabwicklung für die Vertragserfüllung iSd Art 6 Abs 1 lit b DSGVO erforderlich ist.

Hinsichtlich der geltend gemachten Betroffenenrechtsverletzungen war die Bescheidbeschwerde ebenso unbegründet.

Wird eine Videoaufnahme in einem zivilgerichtlichen Verfahren als Beweismittel vorgelegt, trägt die vorlegende Partei die Behauptungs- und Beweislast, zu welchem Sachverhalt die Videoaufnahme als Beweismittel dienen soll, ob sie für diesen Zweck geeignet ist und in welchem Zeitraum die Videoaufnahme stattgefunden hat (BVwG 08.01.2024, W221 2280453-1).

Der nicht obsorgeberechtigte Vater ist mangels Vertretungsbefugnis weder zum Erheben einer Datenschutzbeschwerde noch zum Erheben einer Bescheidbeschwerde für seinen minderjährigen Sohn legitimiert (BVwG 16.01.2024, W211 2280883-1).

Im Einklang mit seiner ständigen Rechtsprechung sprach das BVwG aus, dass die Zurückziehung der Datenschutzbeschwerde, während das Verfahren beim BVwG anhängig ist, zur (rückwirkenden) Unzuständigkeit der DSB führt. Dadurch wird der Bescheid der DSB (nachträglich) rechtswidrig und ist vom BVwG von Amts wegen zu beheben (BVwG 16.01.2024, W211 2280187-1).

Rechtsprechung des LVwG

Für Rechtsschutz betreffend Datenschutzverletzungen ist die Datenschutzbehörde zuständig (LVwG NÖ 01.12.2023, LVwG-M-55/001-2022).

Rechtsprechung der DSB

DSB 12.12.2023, 2023-0.603.142

Der Geschäftsführer eines Unternehmens schickte mehr als ein Monat nach einem Ransomware-Angriff eine Data Breach-Meldung gem Art 33 DSGVO an die DSB. Die – verspätet erstattete – Meldung enthielt zwar ungefähre Angaben über den Ransomware-Angriff und über die vom Unternehmen ergriffenen Maßnahmen. Aus Sicht der DSB war die Meldung aber zu allgemein gehalten. Die DSB leitete ein Sicherheitsverletzungs-Verfahren ein und fragte insb, ob die Betroffenen gem Art 34 DSGVO benachrichtigt wurden oder weshalb dies für nicht erforderlich befunden wurde. Anstatt die Fragen der DSB zu beantworten, teilte das Unternehmen mit, die Meldung nur abgegeben zu haben, um seine Versicherung zwecks Schadenserstattung zufrieden zu stellen.

Die DSB verhängte eine Geldbuße iHv EUR 5.900 – zuzüglich EUR 590 Verfahrenskostenbeitrag – gegen das Unternehmen wegen (i) fahrlässiger Verletzung der Meldepflicht gem Art 33 DSGVO sowie (ii) vorsätzlicher Verletzung der Mitwirkungspflicht nach Art 31 DSGVO. Zum Verschulden hielt die DSB fest, dass die Voraussetzungen des Verschuldens unionsautonom im Lichte der Rechtsprechung des EuGH auszulegen sind. Zur Strafzumessung brachte die DSB das Absorptionsprinzip des Art 83 Abs 3 DSGVO zur Anwendung und verhängte deshalb nur eine Geldbuße. Für die Strafzumessung schätzte die DSB den Jahresumsatz des Unternehmens anhand der Unternehmensgröße und wertete die Unbescholtenheit des Unternehmens strafmildernd.

Vorschau EuGH-Rechtsprechung

Am 02.2024 wird in der Rs C-446/21, Schrems, eine mündliche Verhandlung stattfinden. Der OGH fragte den EuGH nach dem Verhältnis der Erlaubnistatbestände "Einwilligung" und "Vertragserfüllung" sowie zur Auslegung diverser Bestimmungen (Art 5, 6 und 9) der DSGVO.

Am 03.2024 wird das Urteil in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, im Wesentlichen eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzmonitor 01.02.2024

Rechtsprechung des EuGH

EuGH 25.01.2024, C-687/21, MediaMarktSaturn

Bei der Warenausgabe eines großen Elektronikhändlers wurden Vertragsunterlagen und ein bestelltes Gerät versehentlich einem Dritten ausgehändigt. Der Irrtum wurde schnell behoben, ein Mitarbeiter des Elektronikhändlers erwirkte die Rückgabe des Geräts sowie der Unterlagen und händigte diese dem Kunden innerhalb von etwa einer halben Stunde aus. Dem Kunden wurde als Entschädigung die unentgeltliche Lieferung angeboten. Der Kunde hielt eine solche Entschädigung für unzureichend und verlangte Ersatz des immateriellen Schadens aufgrund des Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten.

Das vorlegende Gericht fragte zunächst den EuGH, ob die Schadenersatznorm in der DSGVO (Art 82 DSGVO) mangels Bestimmtheit über die anzuordnenden Rechtsfolgen beim Ersatz eines immateriellen Schadens unwirksam sei. Weiters stellte das Gericht diverse Fragen zum immateriellen Schadenersatzanspruch.

Der EuGH erklärte die erste Frage für unzulässig. Die Unzulässigkeit liegt darin begründet, dass nach der Verfahrensordnung des EuGH die Gründe zur Überprüfung der Gültigkeit einer Bestimmung des Unionsrechts darzulegen sind, anhand derer das vorlegende Gericht Zweifel über die Gültigkeit dieser Bestimmung hat. Das Vorabentscheidungsersuchen enthielt hierfür keine konkreten Anhaltspunkte.

Die kurzfristige Datenweitergabe an den Dritten wertete der EuGH als Datenschutzverletzung. Der EuGH meinte aber, dass eine stattgefundene Datenschutzverletzung für sich allein noch nicht bedeutet, dass unzureichende technische und organisatorische Maßnahmen ergriffen worden sind. Im Einklang mit seiner nunmehr ständigen Rechtsprechung führte der EuGH zu Art 82 DSGVO aus, dass (i) die Beweislast für den Eintritt eines immateriellen Schadens der Betroffene trägt, (ii) der Schadenersatzanspruch eine Ausgleichsfunktion und keine Straffunktion hat und (iii) es für die Bemessung der Schadenersatzhöhe nicht auf die Schwere des Verstoßes gegen die DSGVO ankommt.

Ein rein hypothetisches Risiko der missbräuchlichen Verwendung der Daten durch Dritte reicht jedoch nicht aus, um einen Schadenersatzanspruch nach Art 82 DSGVO zu begründen.

EuGH Schlussanträge 25.01.2024, C-757/22, Meta Platforms Ireland II

Eine deutsche Verbraucherschutzeinrichtung erhob Zivilklage wegen behaupteter Datenschutzverstöße im App-Center von Facebook. Nach Ansicht der Verbraucherschutzeinrichtung entsprachen die Informationen unter dem Button "Sofort spielen" nicht den Anforderungen gem Art 12 und 13 DSGVO.

Das vorlegende Gericht ersuchte den EuGH in derselben Sache bereits 2020 um Vorabentscheidung. Mit Urteil vom 28.04.2022, C-319/20, Meta Platforms Ireland, sprach der EuGH über den persönlichen und sachlichen Anwendungsbereich des Art 80 Abs 2 DSGVO ab und bejahte die Klagelegitimation der Verbraucherschutzeinrichtung.

Im nunmehrigen Vorabentscheidungsersuchen ist nur mehr zu klären, ob sich diese Klagelegitimation auch auf die Verletzung von Informationspflichten gemäß Art 12 und 13 DSGVO erstreckt. Dies deshalb, weil laut Art 80 Abs 2 DSGVO von einer Verbraucherschutzeinrichtung nur die Verletzung von Betroffenenrechten "infolge einer Verarbeitung" geltend gemacht werden darf.

Nach Ansicht des Generalanwaltes darf eine Verbraucherschutzeinrichtung die Verletzung der Informationspflichten gemäß Art 12 und 13 DSGVO geltend machen, wenn die Informationspflicht mit einer bestimmten Verarbeitung zusammenhängt. Dabei muss es sich aber um eine tatsächlich existierende Datenverarbeitung handeln, die nicht bloß rein hypothetischer Natur ist.

Rechtsprechung des VwGH

Die einzelfallbezogene Auslegung einer Parteienerklärung – in einer Datenschutzbeschwerde – ist nur dann revisibel, wenn die Auslegung der Parteienerklärung vom BVwG in einer die Rechtssicherheit beeinträchtigenden, unvertretbaren Weise vorgenommen wird (VwGH 11.12.2023, Ra 2021/04/0095).

Rechtsprechung des OGH

OGH 20.12.2023, 6Ob206/23x

Eine politische Partei fertigte im Zuge einer Gemeinderatssitzung Videoaufnahmen des Angestellten einer Gemeinde an. Die Partei veröffentlichte auf Facebook zwei Videos und hinterlegte jeweils ein Standbild, das den Angestellten der Gemeinde zeigt, als Hintergrund dieser veröffentlichten Beiträge. Der Angestellte musste sich mehrmals rechtfertigen, weil durch das Standbild der Eindruck entstand, er sei Mitglied der besagten Partei. Dadurch war der Angestellte "massiv genervt" und war deshalb auch im Krankenstand. Der Angestellte klagte die politische Partei auf Löschung sowie Unterlassung und begehrte zudem EUR 500 an Schadenersatz.

Die Unterinstanzen gaben der Klage statt. Der OGH wies darauf hin, dass die Beurteilung der Rechtmäßigkeit der Datenverarbeitung für "berechtigte Interessen" iSd Art 6 Abs 1 lit f DSGVO abgesehen von krassen Fehlbeurteilungen idR keine erhebliche Rechtsfrage und daher nicht revisibel ist. Die politische Partei habe nicht darlegen können, weshalb die Verwendung des Standbilds mit einer Abbildung des Angestellten erforderlich gewesen ist.

Der Einwand der politischen Partei ihre Facebook-Seite diene journalistischen Zwecken überzeugte den OGH nicht. Das Medienprivileg gemäß § 9 Abs 1 DSG wäre zwar (noch) anzuwenden gewesen: Obwohl § 9 Abs 1 DSG vom VfGH als verfassungswidrig aufgehoben wurde, tritt die Aufhebung erst mit Ablauf des 30.06.2024 in Kraft.

Trotz der gebotenen weiten Auslegung des Begriffs "zu journalistischen Zwecken" war im gegenständlichen Fall keine journalistische Zielsetzung erkennbar gewesen, weil eine über die bloße Information hinausgehende journalistische Bearbeitung nicht erfolgt ist.

Den Adäquanzzusammenhang legt der OGH weit aus: Ein Schaden ist schon dann adäquat herbeigeführt, wenn seine Ursache ihrer allgemeinen Natur nach für die Herbeiführung eines derartigen Erfolgs nicht als völlig ungeeignet erscheinen muss und keine ganz außergewöhnliche Verkettung von Umständen den Schadenseintritt bewirkt hat.

Laut OGH hatte der Angestellte, der aufgrund des Standbilds "massiv genervt" war und sich deshalb auch schon im Krankenstand befand, Anspruch auf immateriellen Schadenersatz iHv EUR 500.

Eine Einwilligungserklärung, die in AGB eingebunden ist, verstößt gegen das Koppelungsverbot, wenn keine besonderen Umstände für die Freiwilligkeit der Einwilligung sprechen. Die Einwilligungserklärung verstößt auch gegen das Transparenzgebot, wenn sie ohne besonderen Hinweis im Kontext mit anderen Inhalten angeführt wird (OGH 20.12.2023, 6Ob205/23z).

In einem nicht auf ein Urteil des EGMR gestützten Erneuerungsverfahren kann nur ein Verstoß gegen ein in der EMRK oder ihren Zusatzprotokollen normiertes Grundrecht geltend gemacht werden. Ein Verstoß gegen § 1 DSG kann nicht geltend gemacht werden. Das Verwerten privater Beweismittel in einem Ermittlungs- oder Hauptverfahren ist nicht nach den Maßstäben des Art 8 EMRK zu prüfen (OGH 11.01.2024, 12Os127/23b).

Rechtsprechung des BVwG

BVwG 04.01.2024, W298 2266986-1

Eine Justizwachebeamtin ist von einem Häftling verletzt worden und musste für 13 Tage in den Krankenstand. Die Republik Österreich schloss sich als Dienstgeberin der Justizwachebeamtin dem gegen den Häftling geführten Strafverfahren als Privatbeteiligte an. Der Republik sei ein Schaden entstanden, weil die Justizwachebeamtin einen (berechtigten) Entgeltfortzahlungsanspruch hatte. Für den Privatbeteiligtenanschluss mandatierte die Bundesministerin für Justiz (BMJ) die Finanzprokuratur mit der rechtsfreundlichen Vertretung der Republik. Zum Beweis des Schadens legte die Finanzprokuratur der Staatsanwaltschaft diverse ungeschwärzte Unterlagen der Justizwachebeamtin offen, die neben Gesundheitsdaten auch den Familienstand und Kontaktdaten der Justizwachebeamtin enthielten. Der Häftling erlangte im Zuge einer Akteneinsicht Kenntnis über diese Daten. Die Justizwachebeamtin befürchtete Racheaktionen und brachte eine Datenschutzbeschwerde bei der DSB ein.

Die DSB führte aus, dass ihre Befugnis zur Überprüfung von Beweismittelergebnissen durch das Übermaßverbot eingeschränkt sei und wies die Datenschutzbeschwerde daher ab.

Das BVwG entschied, dass kein Fall des Übermaßverbots vorlag, weil die Finanzprokuratur als Privatbeteiligtenvertreterin und somit wie ein Rechtsanwalt – und nicht wie eine Behörde – aufgetreten ist. Mit dem Übermaßverbot wird der Kompetenzabgrenzung zwischen Behörden Rechnung getragen. Die DSB soll in den Beurteilungsspielraum einer anderen für ein bestimmtes Verfahren zuständigen Behörde nicht übermäßig eingreifen. Da die Finanzprokuratur kein Verfahren führte, sondern als Rechtsanwalt der Republik auftrat, war das Übermaßverbot nicht zu beachten.

Laut dem BVwG durfte die Finanzprokuratur zur Geltendmachung von Rechtsansprüchen jene Daten, einschließlich Gesundheitsdaten, der Staatsanwaltschaft offenlegen, die grundsätzlich geeignet waren, das Vorliegen eines Schadens zu beweisen. Im Hinblick auf den Grundsatz der freien Beweiswürdigung könnte ein Gericht das Schwärzen einer Urkunde als Minderung von deren Beweiskraft werten, daher könne eine Partei oder deren Vertretung grundsätzlich nicht dazu verpflichtet werden, vorab Kürzungen vorzunehmen und dadurch ihre Erfolgsaussichten zu begrenzen. Die Offenlegung der Kontaktdaten und des Familienstands sei aber überschießend gewesen, weil diese Datenarten für den Anschluss als Privatbeteiligte im Strafverfahren nicht kausal waren. Die Justizwachebeamtin sei in ihrem Geheimhaltungsrecht in diesem Umfang verletzt worden.

Das BVwG ließ die Revision zu, weil es an Rechtsprechung des VwGH fehle, ob die (vollständige) Urkundenvorlage zum Beweis eines Schadens im Strafverfahren als Privatbeteiligter mit dem Datenschutzrecht vereinbar ist.

BVwG 21.12.2023, W108 2273414-1

Ein Niederösterreicher unterstützte einen Initiativantrag nach dem NÖ Stadtrechtsorganisationsgesetz (NÖ STROG). Mehr als ein Monat, nachdem der Initiativantrag in einer Gemeinderatssitzung behandelt wurde und kurz vor der NÖ Landtagswahl, erhielt der Niederösterreicher einen Brief des Bürgermeisters, der über das Ergebnis der Behandlung hinausgehend Informationen enthielt, die wie Werbung gewirkt hätten. Der Niederösterreicher erachtete sich wegen des Verwendens seiner Daten für den Briefversand in seinem Recht auf Geheimhaltung verletzt. Der Bürgermeister rechtfertigte den Briefversand mit § 8 Abs 4 NÖ STROG und der konkludenten Einwilligung des Niederösterreichers.

Das BVwG hielt fest, dass der Bürgermeister in seiner Funktion als staatliche Behörde iSd § 1 Abs 2 DSG handelte und daher Beschränkungen des Grundrechts auf Datenschutz nur aufgrund präziser gesetzlicher Grundlagen zulässig sind. Die Bestimmung des § 8 Abs 4 NÖ STROG erfüllt diese Voraussetzungen nicht, weil dort nur geregelt ist, dass der Zustellbevollmächtigte vom Ergebnis der Behandlung des Initiativantrags zu verständigen ist. Die Verständigung eines einfachen Unterstützers des Initiativantrags ist von dieser Bestimmung nicht gedeckt. Ebenso wenig konnte die Datenverarbeitung auf eine konkludente Einwilligung gestützt werden, weil weder Stillschweigen noch Untätigkeit eine Einwilligung darstellen. Zudem war die Datenverarbeitung nicht vorhersehbar. Durch die Verwendung der Daten zum Versand des Briefes wurde der Niederösterreicher sohin in seinem Recht auf Geheimhaltung verletzt.

Die DSB setzte ein Verfahren betreffend eine grenzüberschreitende Datenverarbeitung bis zur Festlegung und Entscheidung der federführenden Aufsichtsbehörde sowie bis zur allfälligen Entscheidung des EDSA aus. Dem Erkenntnis des VwGH vom 14.11.2023, Ro 2020/04/0009, folgend, behob das BVwG – widerwillig – den Aussetzungsbescheid der DSB. Der erkennende Senat des BVwG brachte aber unmissverständlich zum Ausdruck, dass er die Rechtsansicht des VwGH nicht teilt (BVwG 04.01.2024, W298 2278490-1).

Vorschau EuGH-Rechtsprechung

Am 01.2024 hat der EuGH in der Rs C-118/22, Direktor na Glavna direktsia "Natsionalna politsia" pri MVR, entschieden. Gegenstand des Verfahrens war die Auslegung der Datenschutzrichtlinie (EU) 2016/680 für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftraten. Wir werden über diese Entscheidung nächste Wochen berichten.

Jänner 2024

10.01. | 17.01. | 24.01.

Datenschutzmonitor 24.01.2024

Rechtsprechung des EuGH

EuGH 16.01.2024, C-33/22, Österreichische Datenschutzbehörde

Der VwGH fragte den EuGH, (i) ob in Hinblick auf den Gewaltenteilungsgrundsatz die parlamentarische Kontrolltätigkeit durch einen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt und (ii) bejahendenfalls, ob diese Kontrolltätigkeit vom Anwendungsbereich der DSGVO ausgenommen ist, wenn eine Behörde kontrolliert wird, die dem Schutz der nationalen Sicherheit dient. Weiters fragte der VwGH, (iii) ob sofern bloß eine nationale Datenschutzbehörde eingerichtet ist, deren Zuständigkeit sich unmittelbar aus Art 77 DSGVO ergibt.

Der EuGH erörterte, dass vom sachlichen Anwendungsbereich der DSGVO nach Art 2 Abs 2 lit a DSGVO nur Kategorien von Tätigkeiten und nicht Kategorien von Personen (privater oder öffentlich-rechtlicher Natur) ausgenommen sind. Die Tätigkeit eines Untersuchungsausschusses ist vom Anwendungsbereich der DSGVO auch dann nicht ausgenommen, wenn er unmittelbar und ausschließlich parlamentarisch tätig ist. Auch der Umstand, dass der Verantwortliche eine zum Schutz der nationalen Sicherheit eingerichtete Behörde ist, schließt nicht aus, dass auf durch diese Behörde durchgeführte Verarbeitungstätigkeiten die DSGVO anzuwenden ist. Die nationale Sicherheit kann jedoch Gesetzgebungsmaßnahmen iSd Art 23 DSGVO rechtfertigen, um Pflichten und Rechte der DSGVO zu beschränken.

Die letzte Frage des VwGH hatte den Hintergrund, dass aufgrund des verfassungsgesetzlich verankerten Prinzips der Gewaltentrennung die Kontrolle der Legislative durch die Exekutive (hier: die DSB) untersagt ist. Der EuGH stellte klar, dass, sofern – wie in Österreich – nur eine Datenschutzbehörde eingerichtet ist, die Befugnisse dieser Aufsichtsbehörde sich unmittelbar aus Art 77 und Art 55 DSGVO ergeben. Österreich ist ein Ermessenspielraum eingeräumt, so viele Datenschutz-Aufsichtsbehörden einzurichten, wie aufgrund seiner verfassungsmäßigen Struktur erforderlich sind.

Anm: Der Gesetzgeber ist aufgrund der "doppelten Bindung" sowohl an das Unionsrecht als auch an das Verfassungsrecht gebunden. Es müsste daher eine neue Datenschutzbehörde für die Kontrolle der parlamentarischen Tätigkeit eingerichtet werden. Solange dies nicht geschieht, ist aufgrund des Anwendungsvorrangs des Unionsrechts die DSB zuständig. Entsprechende Behördenzuständigkeiten gibt es bereits in der Gerichtsbarkeit (siehe unten: BVwG 20.11.2023, W108 2269168-1).

Rechtsprechung des BVwG

BVwG 13.12.2023, W292 2273362-1

Eine Hinterbliebene bestellte Schnittblumen bei einem Friedhofsgärtner. Nach der Bestellung wollte die Hinterbliebene aufgrund angeblich unfreundlicher Behandlung vom Vertrag zurücktreten. Der Friedhofsgärtner teilte ihr mit, dass es hinsichtlich Schnittblumen kein Rücktrittsrecht gibt. Daraufhin verfasste die Hinterbliebene eine negative Google-Rezension. In Beantwortung dieser Rezension hat der Friedhofsgärtner die Hinterbliebene mit Vor- und Nachnamen benannt.

Das BVwG erwog, dass die Veröffentlichung des Klarnamens der Hinterbliebenen weder auf den Erlaubniserstand "Vertragserfüllung" (Art 6 Abs 1 lit b DSGVO) noch auf den Erlaubnistatbestand "Wahrung berechtigter Interessen" (Art 6 Abs 1 lit f DSGVO) gestützt werden durfte. Der Friedhofsgärtner habe zwar ein berechtigtes Interesse an der Wahrung seiner geschäftlichen Reputation, die Offenlegung des Vor- und Nachnamens der Hinterbliebenen war jedoch nicht erforderlich. Zudem darf nach Ansicht des BVwG die Möglichkeit der anonymen Meinungsäußerung im Internet nicht unterbunden werden.

BVwG 18.12.2023, W292 2276989-1

Ein Justizwachebeamter legte den Strafvollzugsakt eines Häftlings gegenüber der Boulevardpresse eigenmächtig ohne Wissen des Leiters der Justizanstalt offen. Der Häftling brachte wegen Verletzung seines Rechts auf Geheimhaltung Datenschutzbeschwerde gegen die "Justizanstalt" ein, weil die Handlung des Justizwachebeamten der Justizanstalt zuzurechnen sei.

Das BVwG erachtete die Offenlegung des Strafvollzugsakts für rechtswidrig. Weiters hielt das BVwG fest, dass gem § 36 Abs 2 Z 7 lit a DSG iVm § 11 Abs 1 StVG der Anstaltsleiter, die für die Strafvollstreckung zuständige Behörde – der grundsätzlich die Rolle des Verantwortlichen zukommt – ist.

Der Justizwachebeamte handelte jedoch im Eigeninteresse und unter Verletzung des Amtsgeheimnisses. Deshalb war sein Verhalten dem Anstaltsleiter nicht zuzurechnen, sondern war der Justizwachebeamte selbst als Verantwortlicher zu qualifizieren.

BVwG 13.12.2023, W287 2256142-1 und W287 2256386-1

Ein Betroffener brachte Datenschutzbeschwerde bei der DSB gegen eine juristische Personen mit Sitz in Irland sowie in den USA ein. Nach Verstreichen der Entscheidungsfrist brachte der Betroffene Säumnisbeschwerde ein. Danach stellte die DSB ein Amtshilfeersuchen an die irische Aufsichtsbehörde, weil diese die federführende Aufsichtsbehörde sei (Art 61 DSGVO). Die irische Behörde fragte den Betroffenen, ob dieser mit ihrer Federführung einverstanden ist. Der Betroffene verneinte. Daraufhin setzte die DSB das Verfahren bis zur Feststellung der federführenden Aufsichtsbehörde mit Bescheid aus. Das Säumnisbeschwerdeverfahren stellte die DSB ein, weil die säumige Verfahrenshandlung nachgeholt worden sei. Der Betroffene brachte Bescheidbeschwerde beim BVwG ein.

Im Einklang mit seiner (nunmehr) ständigen Rechtsprechung behob das BVwG den Aussetzungsbescheid, weil in einem Verfahren zur Feststellung der federführenden Aufsichtsbehörde keine Vorfrage iSd § 38 AVG verbindlich beantwortet wird und es daher für die Aussetzung keine Rechtsgrundlage gab.

Die Rechtmäßigkeit der Einstellung des Säumnisbeschwerdeverfahrens wurde vom BVwG bestätigt. Denn solange der Aussetzungsbescheid dem Rechtsbestand angehörte, sei die Entscheidungspflicht weggefallen. Die dreimonatige Frist des § 16 VwGVG beginne nun aber neu zu laufen. Innerhalb dieser Frist habe die DSB zur verbindlichen Klärung des negativen Kompetenzkonflikts mit der irischen Aufsichtsbehörde zur Streitbeilegung den Europäischen Datenschutzausschuss (EDSA) zu befassen und eine allfällige Aussetzung des Verfahrens auf dieser Basis zu prüfen.

BVwG 20.12.2023, W108 2254815-1

Die Bewohner eines Grundstücks erhoben eine Datenschutzbeschwerde bei der DSB, in der sie behaupteten, dass ihr Recht auf Geheimhaltung durch unzulässige Bild- und Tonaufnahmen verletzt worden sei. Die Datenschutzbeschwerde richtete sich gegen eine Nachbarin, die angeblich eine Videokamera installiert hatte, die auf das gegenständliche Grundstück gerichtet war. Die Bewohner behaupteten, dass sie ohne ihr Einverständnis gefilmt wurden und dass die Kamera auf Bewegungen im Garten reagierte, indem sie Personen automatisch verfolgte und aufzeichnete. Die DSB wies die Datenschutzbeschwerde als unbegründet ab, weil das gegenständliche Grundstück vom Aufnahmebereich der Kamera nicht umfasst gewesen sei. Die Bewohner legten Bescheidbeschwerde beim BVwG ein.

Das BVwG hielt fest, dass die Bewohner substantiierte Behauptungen erstatteten, die eine mögliche Überwachung und Aufzeichnung ihres Grundstücks durch die Kamera der Nachbarin nahelegten. Das Ermittlungsverfahren der DSB sei unzureichend gewesen, weil wichtige Ermittlungsschritte, insb die förmliche Einvernahme der Parteien, unterblieben sind. Somit konnten wesentliche Tatsachen im Zusammenhang mit dem Betrieb der Kamera und der Speicherung von Bild- und Tondaten nicht geklärt werden. Das BVwG behob daher den angefochtenen Bescheid und verwies die Rechtssache zur neuerlichen Entscheidung an die DSB zurück.

In Einklang mit seiner ständigen Rechtsprechung, sprach das BVwG aus, dass eine Datenschutzbeschwerde, die nach Ablauf der subjektiven Präklusivfrist von einem Jahr eingebracht wird, wegen Präklusion zurückzuweisen ist (BVwG 15.12.2023, W108 2273800-1).

Die Verarbeitung personenbezogener Daten für eine Disziplinaranzeige gegen einen Richter des BVwG ist eine justizielle Tätigkeit, weil ein Disziplinarverfahren eine potenzielle Quelle mittelbaren Drucks für den Richter ist und weil das Disziplinarverfahren vor dem Bundesfinanzgericht als Disziplinargericht geführt wird. Über die Datenschutzbeschwerde entscheidet das BVwG in einem Senat aus drei Berufsrichtern (BVwG 20.11.2023, W108 2269168-1).

Die Information, dass ein Disziplinarverfahren gegen einen Bewerber auf Ernennung zum hauptberuflichen Mitglied der Bundesdisziplinarbehörde anhängig ist, darf an die Bundesdisziplinarbehörde weitergegeben werden (BVwG 20.12.2023, W108 2252906-1).

Rechtsprechung der LVwG

Das Anti-Gesichtsverhüllungsgesetz steht in keinem Widerspruch zum Datenschutzrecht. Dies auch dann nicht, wenn das Verhüllen des Gesichts die einzige Möglichkeit ist, einen videoüberwachten Bahnhof unerkannt zu durchqueren. Der Betroffene habe die Möglichkeit, die datenschutzrechtliche Zulässigkeit der Videoüberwachung an Bahnhöfen überprüfen zu lassen (LVwG NÖ 25.11.2023, LVwG-S-1718/001-2023).

Rechtsprechung der DSB

DSB 07.12.2023, 2023-0.637.760

Die DSB forderte ein Unternehmen in einem Individualbeschwerdeverfahren mehrmals zur Stellungnahme auf. Das Unternehmen reagierte nicht. Die DSB verhängte deshalb eine Geldbuße iHv EUR 10.000 – zuzüglich EUR 1.000 Verfahrenskostenbeitrag – gegen das Unternehmen wegen Verletzung der Mitwirkungspflicht nach Art 31 DSGVO.

Im Hinblick auf das Urteil des EuGH vom 05.12.2023, C-807/21, Deutsche Wohnen wurde im Spruch des Straferkenntnisses nur die juristische Person als Unternehmensträger aber keine natürliche Führungsperson des Unternehmens benannt. Zur Strafzumessung brachte die DSB das Absorptionsprinzip gem Art 83 Abs 3 DSGVO zur Anwendung. Strafmildernd wurde (i) die Unbescholtenheit, (ii) die Mitwirkung des Unternehmen zumindest im Verwaltungsstrafverfahren sowie (iii) das nachträgliche Ergreifen von Maßnahmen des Unternehmens gewertet.

DSB 07.12.2023, 2023-0.583.644

Zwei Arbeitnehmer eines Gastronomiebetriebes beschwerten sich über eine Videoüberwachung am Arbeitsplatz. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren ein und stellte fest, dass sich der Aufnahmebereich der Kameras auf den gesamten Küchen-, Lager-, Bar-, Eingangs- und Gästebereich der Betriebsstätte erstreckte. Die DSB verhängte eine Geldbuße iHv EUR 20.000 – zuzüglich EUR 2.000 Verfahrenskostenbeitrag – gegen den Gastronomiebetrieb, weil der Aufnahmebereich der Videoüberwachung ua Arbeitsplätze umfasste, die Aufzeichnung ständig – auch außerhalb der Betriebszeiten – durchgeführt wurde und die Aufzeichnungen für 14 Tage gespeichert wurden. Weiters habe das Unternehmen auch gegen seine Pflicht zur Führung eines Verarbeitungsverzeichnisses verstoßen. Eine natürliche Führungsperson wurde im Hinblick auf das Urteil des EuGH vom 05.12.2023, C-807/21, Deutsche Wohnen im Spruch des Straferkenntnisses nicht benannt.

Die DSB anerkannte zwar grundsätzlich ein berechtigtes Interesse an der Videoüberwachung zum Schutz des Eigentums sowie der Gesundheit und des Lebens der Mitarbeiter. Die Videoüberwachung müsse aber auf das absolut notwendige beschränkt werden. Der Aufnahmebereich außerhalb der Betriebszeit im Küchenbereich sowie die Speicherdauer von 14 Tagen seien nicht erforderlich gewesen. Videoaufzeichnungen dürften im Regelfall nur für 72 Stunden gespeichert werden. Für eine längere Aufbewahrung bedürfe es spezieller Gründe.

Zur subjektiven Tatseite hielt die DSB fest, dass dem Gastronomiebetrieb spätestens seit Abschluss des Individualbeschwerdeverfahrens hätte klar sein müssen, dass er gegen die DSGVO verstößt. Für die Strafzumessung wurde der Jahresumsatz des Gastronomiebetriebs von der DSB anhand der Unternehmensgröße nach den Leitlinien des EDSA für die Berechnung von Geldbußen iSd DSGVO geschätzt.

DSB 11.12.2023, 2023-0.789.858

Die Kundin einer Bank ersuchte die Bank um Auskunft gem Art 15 DSGVO. Der Datenschutzbeauftragte (DSBA) der Bank wertete das Begehren irrtümlich als Löschbegehren, löschte die personenbezogenen Daten der Kundin soweit möglich und bestätigte ihr die Löschung. Die Kundin beschwerte sich bei der DSB wegen Verletzung im Recht auf Auskunft. Die DSB verhängte eine Geldbuße iHv EUR 9.500 – zuzüglich EUR 950 Verfahrenskostenbeitrag – gegen die Bank, weil die Bank, statt Auskunft zu erteilen, die entsprechenden Daten der Kundin löschte. Eine natürliche Führungsperson wurde im Hinblick auf das Urteil des EuGH vom 05.12.2023, C-807/21, Deutsche Wohnen im Spruch des Straferkenntnisses nicht benannt.

Zum Vorliegen der subjektiven Tatseite hielt die DSB fest, dass der EuGH in der angeführten Rechtsprechung wenigstens fahrlässiges Verhalten vom Verantwortlichen voraussetze. Könne sich der Beschuldigte über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein, würde ihn ein Verschulden treffen. Die Kenntnis einer Führungsperson sei dafür nicht erforderlich. Dies sei, so die DSB, im gegenständlichen Fall erfüllt, weil das Verschulden der Bank anhand des Verhaltens des DSBA zu beurteilen ist und es keiner Zurechnung zu einer Führungsperson bedarf, weshalb auch die subjektive Tatseite vorliegt und eine Strafe zu verhängen war.

DSB 09.06.2022, 2021-0.643.804

In Folge eines Scheidungsverfahrens wurde eine Scheidungsfolgenvereinbarung, die uA die Aufteilung gemeinsamer Liegenschaften beinhaltete, vom zuständigen Grundbuchsgericht vollumfänglich in die Urkundensammlung aufgenommen. Aufgrund der damit einhergehenden Veröffentlichung darin enthaltener, das Grundbuch nicht betreffender Vereinbarungen über sonstige Vermögenswerte, erachtete sich die Exfrau im Recht auf Geheimhaltung verletzt.

Die DSB sprach aus, dass es sich bei der Führung eines öffentlichen Verzeichnisses durch das Grundbuchsgericht um keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO handelt und bejahte daher ihre Zuständigkeit. Zur Verletzung im Recht auf Geheimhaltung hielt die DSB fest, dass § 87 Abs 1 GBG eine bloß teilweise Aufnahme des Scheidungsvergleichs nicht vorsieht. Sie verweist dazu auf einen Beschluss des OGH (OGH 25.01.2016, 5Ob250/15y), in dem ausgesprochen wurde, dass eine Teilausfertigung nicht ausreicht. Da die Veröffentlichung der personenbezogenen Daten vom Gesetz gedeckt ist, wurde die Datenschutzbeschwerde abgewiesen.

Vorschau EuGH-Rechtsprechung

Am 01.2024 wird in der Rs C-687/21, MediaMarktSaturn, entschieden. Die Entscheidung wird verschiedene Fragen zum immateriellen Schadenersatz nach Art 82 DSGVO betreffen. Insb fragt das vorlegende Gericht, ob Art 82 DSGVO mangels Bestimmtheit unwirksam ist.

Anm: In dieser Rs wurden – soweit ersichtlich – keine Schlussanträge veröffentlicht. Angekündigt ist das Urteil.

Am 01.2024 werden die Schlussanträge des Generalanwalts in der Rs C-757/22, Meta Platforms Ireland veröffentlicht. Zu beantworten ist die Frage, ob die Verletzung von Informationspflichten iSd Art 12 und 13 DSGVO eine Rechtsverletzung "infolge einer Verarbeitung" ist und daher gem Art 80 Abs 2 DSGVO von einem Verbraucherschutzverband geltend gemacht werden kann.

Am 02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, Vente d'une base de données, veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Datenschutzmonitor 17.01.2024

Rechtsprechung des EGMR

EGMR 11.01.2024, 42541/18, Tena Arregui/Spanien

Ein Mitglied der spanischen Partei UPyD beschwerte sich beim EGMR über eine Verletzung seines Rechts auf Privatleben und Korrespondenz gemäß Art 8 EMRK. Die UPyD ließ die E-Mail-Korrespondenz eines anderen Parteimitglieds überwachen, weil er in Verdacht stand, mit einer anderen spanischen Partei Verhandlungen zu führen. Das überwachte E-Mail-Konto war ein Konto der UPyD. Bei der Überwachung abgefangen wurden jedoch E-Mails des Beschwerdeführers, die er von seiner privaten E-Mail-Adresse verschickte. Der – spätere – Beschwerdeführer vor dem EGMR brachte eine strafrechtliche Klage in Spanien ein, weil seine E-Mail-Korrespondenz überwacht wurde. Die spanischen Gerichte wiesen seine Klage ab.

Die fünfte Kammer des EGMR erklärte die Beschwerde für zulässig, entschied aber einstimmig, dass Art 8 EMRK nicht verletzt wurde. Der EGMR argumentierte, dass den Staat eine positive Verpflichtung zum Schutz des Rechts auf Privatleben und Korrespondenz trifft, Spanien gegen diese Verpflichtung jedoch nicht verstoßen habe.

Die internen organisatorischen Strukturen politischer Parteien sind von einem Beschäftigungsverhältnis zu unterscheiden. Die organisatorische Autonomie einer politischen Partei ist durch das Recht auf Versammlungs- und Vereinigungsfreiheit geschützt (Art 11 EMRK), das bedeutet aber nicht, dass eine politische Partei die Korrespondenz ihrer Mitglieder unbeschränkt überwachen darf. Im konkreten Fall war Zweck der Überwachung, Unregelmäßigkeiten innerhalb der politischen Partei aufzudecken. Die Überwachung war auf einer Suche nach bestimmten Begriffen beschränkt und die Regeln zur Verwendung des UPyD-E-Mail-Kontos besagten klar, dass die Mailbox überwacht werden kann und die Informationen nach Beendigung der Parteimitgliedschaft der UPyD zur Verfügung stehen werden. Weiters wies der EGMR darauf hin, dass Strafgerichte nur beurteilen dürfen, ob ein Straftatbestand erfüllt ist. Dem Beschwerdeführer sei der Zivilrechtsweg offen gestanden, er habe diesen aber nicht genutzt. Durch die Abweisung seiner strafrechtlichen Klage sei der Beschwerdeführer in seinem Recht auf Privatleben und Korrespondenz unter den vorgenannten Umständen nicht verletzt.

Anm: der EGMR grenzte diese Entscheidung von der Rs Bărbulescu/Rumenien ab, indem er zwischen der Mitgliedschaft in politischen Parteien und Beschäftigungsverhältnissen differenzierte. Dennoch enthält die Entscheidung für Arbeitgeber wertvolle Hinweise.

Rechtsprechung des EuGH

EuGH 11.01.2024, C-231/22, Belgischer Staat

Ein Notar erstellte einen Beschlussauszug, der personenbezogene Daten der Gesellschafter enthielt und hinterlegte diesen beim zuständigen Unternehmensgericht. Das Gericht übermittelte den Auszug an eine gesetzlich eingerichtete Stelle ohne eigene Rechtspersönlichkeit, die solche Notariatsbeschlüsse in einem Amtsblatt veröffentlichte. Die personenbezogene Passage wurde vom Notar irrtümlich in den Auszug aufgenommen. Nachdem sich der Irrtum herausstellte, wendete sich der Gesellschafter mit Unterstützung des Notars an die Stelle, die das Amtsblatt veröffentlichte und ersuchte um Löschung dieser Passage. Die zuständige Stelle entsprach dem Löschungsersuchen nicht, weil sie den Beschlussauszug nur unverändert übernahm und daher der Ansicht war, dass sie iSd Art 4 Z 7 DSGVO für die Datenverarbeitung nicht verantwortlich war.

Der EuGH erwog, dass die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht auch implizit erfolgen kann. Der Gesetzgeber habe die Datenverarbeitung durch das Amtsblatt implizit vorgegeben, daher sei das Amtsblatt die für die Datenverarbeitung verantwortliche Stelle. Die fehlende Rechtspersönlichkeit stehe der Verantwortlicheneigenschaft nicht entgegen, weil eine Behörde, Einrichtung oder Stelle iSd Art 4 Z 7 DSGVO nach nationalem Recht nicht zwangsläufig Rechtspersönlichkeit besitzt. Das Amtsblatt war auch alleine für die Einhaltung der in Art 5 Abs 1 DSGVO genannten Grundsätze verantwortlich, obwohl es erst am Ende einer Kette von Verarbeitungen, die Daten verarbeitete. Welche Pflichten bei einer gemeinsamen Verantwortung iSd Art 26 DSGVO welchen Verantwortlichen treffen, dürfe der nationale Gesetzgeber festlegen und die Pflicht zur Veröffentlichung des Beschlussauszugs wurde vom Gesetzgeber dem Amtsblatt auferlegt.

Rechtsprechung des VwGH

VwGH 27.11.2023, Ra 2023/04/0221, Ra 2023/04/0224, Ra 2023/04/0248

Eine nicht-binäre Person erachtete sich in ihrem Recht auf Berichtigung als verletzt, weil keine Änderung ihres Geschlechtseintrags von "männlich" auf "divers" erfolgte. Die DSB setzte mehrere diesbezügliche Verfahren bis zur Entscheidung des EuGH in der Rs C-247/23, Deldits, aus, weil es auch in dieser Rs vor dem EuGH, um die Berichtigung des Geschlechtseintrags einer nicht-binären Person gehe und die Antwort des EuGH daher eine Vorfrage iSd § 38 AVG sei. Das BVwG gab den gegen die Aussetzungsbescheide gerichteten Bescheidbeschwerden der nicht-binären Person statt, weil die Rs Deldits nicht einschlägig sei.

Die Amtsrevisionen der DSB wurden vom VwGH zurückgewiesen. Der VwGH erwog, dass es für die Aussetzung eines Verfahrens nach § 38 AVG genügt, wenn beim EuGH ein Verfahren zur Klärung der betreffenden Frage in einem gleich gelagerten Fall, zu einer bloß ähnlichen Rechtsfrage anhängig ist oder wenn von mehreren vorgelegten Fragen auch nur eine Frage präjudiziell ist. Ob eine zur Vorabentscheidung an den EuGH vorgelegte Frage der zu beurteilenden Rechtsfrage ähnlich ist, sei aber im Einzelfall zu beurteilen und sei daher nur dann revisibel, wenn die Beurteilung des Verwaltungsgerichts offenkundig unzutreffend ist. Die Beurteilung des BVwG war nicht offenkundig unzutreffend, weil für die "Ähnlichkeit" bzw "Präjudizialität" der Rechtsfrage es nicht ausreicht, dass es um dieselbe unionsrechtliche Vorschrift geht.

Aus der weiteren Rechtsprechung des VwGH:

Eine weitere Amtsrevision der DSB zur Frage, ob ein Verwaltungsverfahren während eines "Verfahrens zur Bestimmung der federführenden Aufsichtsbehörde innerhalb der EU" ausgesetzt werden darf, wurde vom VwGH zurückgewiesen, weil der VwGH in der Zwischenzeit (nach Einlangen der Amtsrevision) über dieselbe Rechtsfrage in einem anderen Verfahren bereits entschieden hat (VwGH 30.11.2023, Ro 2023/04/0043).

Anm: Entschieden wurde über diese Frage mit Erkenntnis des VwGH vom 14.11.2023, Ro 2020/04/0009.

Rechtsprechung des BVwG

BVwG 29.11.2023, W214 2276491-1

Ein Pflegeheimbewohner (vertreten durch seinen Erwachsenenvertreter) behauptete durch (i) eine Kandidatin für die niederösterreichische Landtagswahl und (ii) von deren Partei in seinem Recht auf Geheimhaltung verletzt worden zu sein, weil er nach Ummeldung seiner Adresse in ein Pflegeheim, Wahlwerbung erhielt, obwohl er keine Zustimmung zur Weitergabe seiner persönlichen Daten gegeben hatte. Er vermutete, dass seine Meldedaten unrechtmäßig erlangt und verarbeitet wurden.

Das BVwG hielt fest, dass nur die politische Partei, verantwortlich für die Datenverarbeitung war, obwohl das Wahlwerbeschreiben der Kandidatin zugutekam. Das Gericht betonte, dass die Datenverarbeitung durch die politische Partei speziell zur Beeinflussung der staatlichen Willensbildung im Zusammenhang mit der Landtagswahl in Niederösterreich erfolgte, was eine legitime Nutzung iSd § 1 Abs 2 des PartG darstellt. Gem § 5 Abs 2 WEviG und § 6 NÖ Landesbürgerevidenzgesetz sind politische Parteien berechtigt, Daten aus der Wählerevidenz zu erheben und zu verarbeiten, um Wähler über ihre politischen Ziele zu informieren und ihre Mitwirkung an der staatlichen Willensbildung zu fördern. Die Daten wurden zu keinen anderen als zu Wahlwerbezwecken verarbeitet.

BVwG 14.12.2023, W256 2232894-1

Eine Arbeitslose erachtete sich in ihrem Recht auf Geheimhaltung durch eine regionale Geschäftsstelle des AMS verletzt, weil diese ihre personenbezogenen Daten auch in solchen Zeiträumen verarbeitet habe, in denen kein aufrechtes Betreuungsverhältnis bestand. Obwohl die Arbeitslose die Regionalstelle als Beschwerdegegnerin bezeichnete, qualifizierte die DSB das AMS als Verantwortlichen und damit als Beschwerdegegner, weil nur dieses und nicht die Regionalstelle Rechtspersönlichkeit habe. Die Datenschutzbeschwerde wies die DSB ab, weil die Datenverarbeitung rechtmäßig erfolgt sei.

Das BVwG behob den Bescheid der DSB, weil sie gegen das AMS und nicht gegen die Regionalstelle gerichtet war. Begründend hielt das BVwG in seiner Entscheidung fest, dass Art 4 Z 7 DSGVO die Organisationseinheit "Behörde" ausdrücklich als eigenständigen Verantwortlichen definiert. Einer Behörde könne daher ebenso wie einer juristischen Person mit Rechtspersönlichkeit die Verantwortlicheneigenschaft zukommen. Die Regionalstelle war die verantwortliche Behörde, weil der Gesetzgeber ihr die Aufgabe zur Datenverarbeitung übertrug. Der Bescheid wurde nur im Hinblick auf die Verfahrensführung gegen das AMS behoben, weil ein Austausch des Verantwortlichen im verwaltungsgerichtlichen Verfahren unzulässig ist. In der Sache entschied das BVwG nicht.

Anm: Diese Entscheidung bedeutet, dass die DSB das Verfahren in der Sache gegen die Regionalstelle fortsetzen wird.

BVwG 29.11.2023, W214 2233132-1

Die DSB trug einem Adressverlag auf, einem Auskunftswerber die konkreten Empfänger seiner Daten zu beauskunften. Der Adressverlag argumentierte vor dem BVwG, dass er die Empfängerkategorien beauskunftet habe und dies dem Wortlaut des Art 15 Abs 1 lit c DSGVO, der von Empfängern oder Empfängerkategorien spreche, genüge. Das BVwG setzte das Verfahren bis zur Entscheidung des EuGH in der Rs 01.2023, C-154/21, Österreichische Post, aus. Der EuGH entschied, dass eine Auskunft über Empfängerkategorien nicht genügt, wenn eine Auskunft über konkrete Empfänger möglich ist.

Der Adressverlag hatte keine Dokumentation über konkrete Empfänger, deshalb war eine Auskunft über konkrete Empfänger nicht möglich. Das BVwG stellte dennoch eine Verletzung des Auskunftsrechts fest. Der Adressverlag hätte seine Datenverarbeitungen bereits ab Geltungsbeginn der DSGVO so organisieren müssen, dass die Betroffenenrechte gewährleistet werden können, auch wenn der EuGH die Rechtslage erst am 12.01.2023 klarstellte.

Aus der weiteren Rechtsprechung des BVwG:

Die Kontaktaufnahme zu einer Unternehmensgruppe mit rechtlichen Fragen ist keine Einwilligung zum Erhalt des Newsletters dieser Unternehmensgruppe. Ohne Einwilligung darf ein Newsletter nur versandt werden, wenn die in § 174 Abs 3 TKG 2021 genannten Voraussetzungen kumulativ zutreffen. Wurde bei der Datenerhebung über die Möglichkeit, den Newsletter abzulehnen, nicht informiert, ist die Datenverarbeitung rechtswidrig (BVwG 01.12.2023, W108 2265844-1).

Ein Mitteilungsschreiben, mit dem die DSB den Betroffenen im Rahmen eines Kohärenzverfahrens über einen Beschluss der zuständigen irischen Aufsichtsbehörde informiert, ist kein Bescheid. Die DSB und das BVwG sind auch nicht berufen, über die hoheitliche Tätigkeit der irischen Aufsichtsbehörde nachprüfend zu entscheiden (BVwG 18.12.2023, W292 2267784-1).

Rechtsprechung des BFG

Aus der Rechtsprechung des BFG

Einem volljährigen Antragsteller für die Gewährung einer erhöhten Familienbeihilfe dürfen bei der Akteneinsicht seine eigenen Daten aus Datenschutzgründen auch dann nicht vorenthalten werden, wenn der (ehemalige) Bezieher der Familienbeihilfe sein Vater war. Der Antragsteller hat ein subjektives Recht auf die Herausgabe seiner Krankheitsdaten (BFG 23.11.2023, RV/7102484/2019).

Rechtsprechung der DSB

DSB 21.11.2022, 2022-0.792.182

Der AMS sucht mit einem Algorithmus auf den Websites von Unternehmen nach offenen Stellenangeboten, um diese anschließend auf seiner Website zu veröffentlichen ("AMS Jobroboter"). Ein Arbeitgeber brachte Datenschutzbeschwerde bei der DSB ein, weil sein Stelleninserat auf diesem Weg vom AMS veröffentlicht wurde.

Die DSB bejahte, dass juristische Personen bei der DSB eine Verletzung des Rechts auf Geheimhaltung gemäß § 1 DSG geltend machen dürfen. Da die DSGVO nur auf die Verarbeitung personenbezogener Daten natürlicher Personen anzuwenden ist, sei aber die Ausnahme allgemein verfügbarer Daten zu beachten. Das Stelleninserat war im Internet allgemein verfügbar und durfte daher vom AMS Jobroboter verarbeitet werden. Die DSB wies auch darauf hin, dass es sich bei der Verwendung des Stelleninserats, um eine bloße Reproduktion handelte.

Weiters führte die DSB aus, dass das AMS als "Behörde" im funktionellen Sinn seinem gesetzlichen Auftrag entsprechend handelte und auch den Grundsatz der Datenminimierung gemäß Art 5 Abs 1 lit c DSGVO, einhielt, indem es nur rudimentäre Rahmeninformation mit einer direkten Verlinkung auf die Stellenausschreibung veröffentlichte.

Anm: das BVwG hat in der Zwischenzeit (nach diesem Bescheid der DSB) die Aktivlegitimation juristischer Personen auf Beschwerde vor der DSB verneint (BVwG 19.09.2023, W298 2261568-1).

Vorschau EuGH-Rechtsprechung

Der EuGH hat am 01.2024 in der Rs C-33/22, Österreichische Datenschutzbehörde, entschieden. Der VwGH fragte im Wesentlichen, ob die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt. Wir werden über die Entscheidung nächste Woche berichten.

Anm: In dieser Rs wurden – soweit ersichtlich – keine Schlussanträge veröffentlicht. Angekündigt ist das Urteil.

Am 01.2024 werden die Schlussanträge des Generalanwalts in der Rs C-757/22, Meta Platforms Ireland veröffentlicht. Zu beantworten ist die Frage, ob die Verletzung von Informationspflichten iSd Art 12 und 13 DSGVO eine Rechtsverletzung "infolge einer Verarbeitung" ist und daher gemäß Art 80 Abs 2 DSGVO von einem Verbraucherschutzverband geltend gemacht werden kann.

Datenschutzmonitor 10.01.2024

Rechtsprechung des BVwG

BVwG 15.11.2023, W292 2259252-1

Eine Websitebesucherin erhob eine Datenschutzbeschwerde bei der DSB. Beim Besuch der Website sollen ihre personenbezogenen Daten (insb Online-Kennungen und Informationen über betrachtete Produkte) entgegen den Vorgaben von Art 5 Abs 1 lit a und Art 6 Abs 1 DSGVO durch verschiedene Dienste (ua Criteo, Google Analytics und Google Ads) verarbeitet worden sein. Die DSB gab der Datenschutzbeschwerde teilweise statt.

Das BVwG gab der dagegen gerichteten Bescheidbeschwerde Folge. Das BVwG hielt fest, dass die von der DSB getroffenen Sachverhaltsfeststellungen nicht auf ausreichenden Beweisen beruhten. Die Entscheidung der DSB basierte hauptsächlich auf den Angaben der Websitebesucherin und Screenshots, deren Herkunft und Zeitpunkt nicht verifiziert werden konnten. Weiters hob das BVwG hervor, dass für technisch komplexe Sachverhalte, wie die Verarbeitung personenbezogener Daten durch Cookies auf Websites, objektive Beweise erforderlich sind.

BVwG 11.12.2023, W137 2276371-1

Ein Bankkunde wurde aufgrund unklarer Kontobewegungen von seiner Bank aufgefordert, Nachweise zur Herkunft seiner finanziellen Mittel zu erbringen. Die Rechtsgrundlage für diese Aufforderung benannte die Bank falsch. Der Bankkunde weigerte sich bzw erbrachte nur unzureichende Nachweise. Die Bank erstattete daher eine Geldwäscheverdachtsmeldung an die beim Bundeskriminalamt eingerichteten Geldwäschemeldestelle. Der Bankkunde behauptete in seiner Datenschutzbeschwerde an die DSB eine Verletzung im Recht auf Geheimhaltung und argumentierte, dass er Herkunftsnachweise seiner finanziellen Mittel erbracht hätte, wenn ihm die Bank zuvor die Rechtsgrundlage für diese Datenerhebung dargelegt hätte, zudem sei die Datenweitergabe an die Geldwäschemeldestelle unrechtmäßig erfolgt.

Die DSB wies die Datenschutzbeschwerde ab. Auch das BVwG folgte der Bescheidbeschwerde nicht. Das BVwG führte aus, dass die Bank Daten für Geldwäscheverdachtsmeldungen an die Geldwäschemeldestelle weiterleiten darf. Der Eingriff in das Grundrecht auf Datenschutz, welcher aus der Erhebung und Übermittlung der Daten bei einer Geldwäscheverdachtsmeldung entsteht, sei durch eine qualifizierte gesetzliche Grundlage, nämlich näher bezeichnete Bestimmungen des FM-GwG, iS Art 6 Abs 1 lit c DSGVO gerechtfertigt. Die versehentliche Nennung der falschen Rechtsgrundlage durch eine Mitarbeiterin der Bank sei irrelevant und ändere nichts an der Zulässigkeit der Geldwäscheverdachtsmeldung. Auch das Bankgeheimnis sei der Meldung nicht entgegengestanden, weil das Bankgeheimnis einer Geldwäscheverdachtsmeldung nicht entgegensteht.

BVwG 05.12.2023, W211 2260885-1

Ein WKÖ-Mitglied wurde vom Bundesministerium für Digitalisierung und Wirtschaftsstandort informiert, dass seine im Ergänzungsregister für sonstige Betroffene (ERsB) enthaltenen Daten von der "Wirtschaftskammer" stammten. Das WKÖ-Mitglied stellte Auskunftsersuchen an mehreren Wirtschaftskammern, darunter die WKÖ, sowie die Statistik Austria und brachte schließlich gegen die WKÖ eine Datenschutzbeschwerde bei der DSB ein, weil die WKÖ sein Auskunftsersuchen nicht vollständig beantwortet habe. Nachdem die DSB innerhalb der Entscheidungsfrist keine Entscheidung traf, erhob das WKÖ-Mitglied Säumnisbeschwerde an das BVwG. Das BVwG wies die Beschwerde ab.

Das BVwG hielt fest, dass die WKÖ im laufenden Verfahren, die erteilte Auskunft vervollständigt hat. Denn durch die erteilte Auskunft sei das WKÖ-Mitglied in die Lage versetzt worden, seine Rechte wahrzunehmen. Das BVwG "empfahl" aber der WKÖ ihre Auskünfte insbesondere bei standardisierten Datenübermittlungen so zu gestalten, dass nachvollziehbar informiert wird, wie das Vorgehen dazu ist und welche Datenverarbeitungsvorgänge von der WKÖ vorgenommen werden.

In Einklang mit seiner ständigen Rechtsprechung hielt das BVwG weiters fest, dass es kein Recht auf Feststellung einer vergangenen Verletzung im Recht auf Auskunft gibt.

BVwG 05.12.2023, W211 2261719-1

Ein Betroffener begehrte Auskunft von der ELGA Ombudsstelle wegen Abfragen eines e-Impfpasses. Der Betroffene brachte Datenschutzbeschwerde bei der DSB ein, weil seinem Auskunftsersuchen nicht vollständig entsprochen worden sei. Vor dem BVwG waren über Bescheidbeschwerde des Betroffenen die Fragen anhängig, ob eine vollständige Auskunft über den Verarbeitungszweck und die Speicherdauer erteilt wurde sowie ob eine Kopie iSd Art 15 Abs 3 DSGVO zu erteilen ist.

Das BVwG hielt fest, dass zur Erfüllung des Auskunftsrechts ua anzugeben ist, für welchen Zweck die fraglichen Daten verarbeitet werden, was die ELGA Ombudsstelle klar, deutlich und nachvollziehbar erfüllte, indem sie angab, dass Gesundheitsdaten auf Grundlage des öffentlichen Interesses zum Zweck der Patientensicherheit, der besseren Reaktionsmöglichkeit bei Ausbruch von Krankheiten sowie geringeren Aufwand für Ärzte und Patienten verarbeitet wurden. Hinsichtlich der Speicherdauer sei die Angabe, dass Gesundheitsdaten dezentral für 10 Jahre, e-Befunde für 10 Jahre und e-Medikation für 18 Monate gespeichert werden, ausreichend. Nicht vom Verfahrensgegenstand aufgrund behaupteter Verletzung des Auskunftsrechts umfasst sei die Frage, ob eine bestimmte Verarbeitung rechtmäßig erfolgte. Zum Recht auf Kopie verwies das BVwG auf rezente Rechtsprechung des VwGH, wonach die Ausfolgung einer Kopie von Auszügen aus Dokumenten oder Datenbanken nur dann erforderlich ist, wenn dies zur wirksamen Ausübung der Betroffenenrechte unerlässlich ist. Im vorliegenden Fall wäre nicht erkenntlich gewesen, weshalb dies der Fall sein sollte, überdies sei die Auskunft vollständig erteilt worden und war die Bescheidbeschwerde deshalb abzuweisen.

BVwG 06.12.2023, W221 2273829-1

Ein Insasse beschwerte sich bei der Volksanwaltschaft über Hautirritationen aufgrund von Verunreinigungen in den Duschräumen der Justizanstalt. Die Volksanwaltschaft richtete eine Anfrage an das Bundesministerium für Justiz, woraufhin die Anstaltsärztin vom Anstaltsleiter um eine allgemeinmedizinische Stellungnahme ersucht wurde. Der Insasse beschwerte sich bei der DSB über die Weitergabe seiner sensiblen Daten ohne seine Zustimmung durch die Anstaltsärztin. Die DSB wies die Beschwerde ab, weil die Ärztin nicht als Verantwortliche iSd Art 4 Z 7 DSGVO gelte. Das BVwG schloss sich der DSB an und hielt fest, dass datenschutzrechtlicher Verantwortlicher der Leiter der Justizanstalt ist, weil er für die Übermittlung personenbezogener Daten eines Insassen im Zusammenhang mit einer Anfragebeantwortung der Volksanwaltschaft zuständig ist. Das Handeln der Anstaltsärztin, die im Auftrag der Anstaltsleitung Stellungnahmen zu Anfragen der Volksanwaltschaft verfasst hat, ist dem Anstaltsleiter zuzuordnen.

BVwG 11.12.2023, W137 2259819-1

Ein Spieler forderte zivilrechtlich Spielverluste bei einem Online-Glücksspielunternehmen zurück. Um gegenüber einem weiteren Mitglied der Glücksspielunternehmensgruppe Spielverluste geltend zu machen, nahm er erneut an Onlineglücksspielen teil. Das Online-Glücksspielunternehmen informierte das Gruppenmitglied über die erfolgte Rückforderung und verhalf ihm dadurch zum Obsiegen im Zivilverfahren. Der Spieler erachtete die Datenweitergabe als rechtswidrig und forderte bei der österreichischen DSB die Feststellung diverser Rechtsverletzungen.

Da das Online-Glücksspielunternehmen in Malta ansässig ist, war die maltesische Aufsichtsbehörde federführend. In ihrem Beschlussentwurf hielt sie fest, dass die Datenübermittlung innerhalb derselben Unternehmensgruppe rechtmäßig war und stellte einen Verstoß gegen die Informationspflichten des Art 13 DSGVO fest. Die österreichische DSB wies die Beschwerde ab.

Nach dem BVwG überwog das berechtigte Interesse an der Verteidigung von Rechtsansprüchen gegen eine betrügerische Spielweise eines registrierten Kunden. Da der Informationsgehalt der Übermittlung ausschließlich darin bestand, dass der Spieler bereits Spielverluste gegen ein Mitglied der Unternehmensgruppe geltend gemacht hat, ging die Datenübermittlung nicht über den Zweck der Verteidigung von Rechtsansprüchen hinaus. Nicht jede negative Auswirkung führe zu einem Überwiegen der Geheimhaltungsinteressen des Betroffenen, dass der Spieler das Zivilverfahren verloren hat, stelle keine unverhältnismäßige Schädigung dar, sodass ein Überwiegen der Interessen des Spielers nicht gegeben ist. Auch hielt das BVwG fest, dass geringe Verletzungen der Informationspflichten nicht zwingend zu einer rechtswidrigen Datenverarbeitung führen. Die Beschwerde wurde daher abgewiesen.

BVwG 24.11.2023, W211 2261817-1

Der Empfänger einer Einladung zu einem COVID-19-Impftermin erhob Datenschutzbeschwerde an die DSB und machte eine Geheimhaltungsverletzung durch den Dachverband der Sozialversicherungsträger geltend. Die DSB wies die Datenschutzbeschwerde ab.

Aufgrund der Bescheidbeschwerde des Eingeladenen erwog das BVwG, dass der Impfstatus zwar ein Gesundheitsdatum iSd Art 9 DSGVO ist, der Dachverband der Sozialversicherungsträger aber über eine qualifizierte Rechtsgrundlage für die Datenverarbeitung verfügte. Der Impfdatenabgleich im zentralen Impfregister sowie die anschließende Ermittlung der Wohnadresse im zentralen Patientenindex gemäß § 750 ASVG iVm § 18 GTelG war daher rechtmäßig. Nach dem BVwG ist auch nicht von der Verfassungswidrigkeit des § 750 Abs 1a und Abs 2 ASVG auszugehen, weshalb kein entsprechender Antrag an den VfGH zu stellen war.

In Einklang mit seiner ständigen Rechtsprechung hielt das BVwG fest, dass von der DSB und vom BVwG nur darüber abgesprochen werden darf, was beantragt worden ist. Die DSB dürfe im Individualbeschwerdeverfahren keine Rechtsverletzung (konkret: Auskunftspflichtverletzung) überprüfen, deren Überprüfung nicht beantragt wurde (BVwG 14.12.2023, W256 2245701-1).

In einem Verfahren wegen Verletzung des Rechts auf Auskunft wurde die zunächst unvollständige Auskunft während des Verfahren vor dem BVwG ergänzt und damit vervollständigt. In Einklang mit seiner ständigen Rechtsprechung behob das BVwG sowohl die Feststellung der Rechtsverletzung als auch den korrespondierenden Leistungsauftrag der DSB, weil es kein Recht auf Feststellung einer vergangenen Verletzung im Recht auf Auskunft gibt (BVwG 11.12.2023, W137 2233746-1).

Verstöße gegen das Datenschutzrecht sind vor der DSB geltend zu machen. Der Dienstbehörde kommt keine Zuständigkeit zu (BVwG 12.12.2023, W122 2270105-1).

Vorschau EuGH-Rechtsprechung

Der EuGH wird am 01.2024 in der Rs C-231/22, Belgischer Staat entscheiden. Entschieden wird (i) über die datenschutzrechtliche Rolle des Amtsblatts eines Mitgliedstaats, das Urkunden und amtliche Dokumente in der Form veröffentlicht, in der sie ihm übermittelt werden sowie (ii) über die datenschutzrechtliche Rolle der übermittelnden Stellen.

Der EuGH wird am 01.2024 in der Rs C-33/22, Österreichische Datenschutzbehörde entscheiden. Entschieden wird im Wesentlichen über die Frage, ob die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt.

Anmeldung zum Datenschutzmonitor

Abonnieren Sie den Schönherr Datenschutzmonitor und bleiben Sie auf dem Laufenden - der Newsletter kommt wöchentlich in Ihr Email-Postfach!

provider	schoenherr
name	sch-ckmdl, sch-nwsltr
runtime	1 year

provider	Matomo
name	_pk_id,_pk_ses