Schönherr Datenschutzmonitor

Ein Betroffener erhob in weniger als zwei Jahren insgesamt 77 Datenschutzbeschwerden bei der DSB. Er machte in 46 Fällen das Recht auf Löschung und in 29 Fällen das Recht auf Auskunft geltend. Oftmals erhob der Betroffene seine Datenschutzbeschwerden wenige Tage nach Ablauf der "Ein-Monats-Frist", wenn er innerhalb eines Monats keine Antwort erhielt.

Die DSB lehnte die Behandlung einer auf das Recht auf Auskunft gerichteten Datenschutzbeschwerde des Betroffenen mit der Begründung ab, dass die 77 Datenschutzbeschwerden als exzessive Inanspruchnahme des Beschwerderechts nach Art 57 Abs 4 DSGVO anzusehen seien. Der Betroffene brachte Bescheidbeschwerde beim BVwG ein, dass den Ablehnungsbescheid der DSB als Zurückweisungsbescheid wertete und der Bescheidbeschwerde stattgab. Begründend führte das BVwG ua aus, dass "Exzessivität" iSd Art 57 Abs 4 DSGVO nur dann vorliege, wenn Datenschutzbeschwerden einen offensichtlich schikanösen bzw rechtsmissbräuchlichen Charakter haben. Weiters sei nach Art 57 Abs 4 DSGVO bei "exzessiven Anträgen" vorrangig eine angemessene Gebühr zu verlangen. Eine Ablehnung der Behandlung komme nur in Ausnahmefällen in Betracht.

Die DSB erhob Amtsrevision an den VwGH, der das Verfahren aussetzte und dem EuGH drei Fragen zu "exzessiven Anträgen" iSd Art 57 Abs 4 DSGVO vorlegte. Nachdem der EuGH diese Fragen mit Urteil vom 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Exzessive Anfragen), beantwortete, setzte der VwGH das Verfahren fort und behob das Erkenntnis des BVwG.

Der VwGH hat erwogen: Die DSB ist nur berechtigt, die Behandlung einer Datenschutzbeschwerde abzulehnen, wenn sie das Vorliegen einer Missbrauchsabsicht des Beschwerdeführers nachweist. Allein die Zahl der eingebrachten Datenschutzbeschwerden durch eine Person reicht nicht als Nachweis. Die Häufung von Datenschutzbeschwerden kann jedoch ein Indiz für die Missbrauchsabsicht sein.

Eine Missbrauchsabsicht ist dann anzunehmen, wenn die entscheidenden Gründe des Beschwerdeführers für die Einbringung einer Vielzahl von Datenschutzbeschwerden nicht in der Verfolgung der ihm aus der DSGVO zukommenden Rechte liegen und der Beschwerdeführer ohne diese sachfremden Gründe die Vielzahl an Datenschutzbeschwerden nicht erhoben hätte.

Ein Indiz dafür, dass der Beschwerdeführer nicht oder nicht entscheidend den Schutz der ihm aus der DSGVO zukommenden Rechte verfolgt, ist etwa, wenn der Beschwerdeführer zu den Verantwortlichen, gegen die sich seine Datenschutzbeschwerden richten, keinen Bezug hat und keine Anhaltspunkte für die Verarbeitung personenbezogener Daten des Beschwerdeführers durch die Verantwortlichen bestehen.

Veranlasst ein Beschwerdeführer nur deshalb eine Verarbeitung seiner personenbezogenen Daten durch einen Verantwortlichen, um anschließend die ihm aus der DSGVO zukommenden Rechte, wie etwa das Auskunftsrecht, gegenüber dem Verantwortlichen geltend machen zu können, und besteht nur deswegen eine Beziehung zwischen dem Beschwerdeführer und dem Verantwortlichen, ist in Bezug auf eine spätere Datenschutzbeschwerde ebenso Missbrauchsabsicht des Beschwerdeführers anzunehmen.

Die DSB hat die Wahl zwischen der Einhebung einer angemessenen Gebühr für die Bearbeitung einer exzessiven Datenschutzbeschwerde und der Weigerung, aufgrund einer solchen Datenschutzbeschwerde tätig zu werden. Sie hat jedoch unter Berücksichtigung aller relevanten Umstände auf die Eignung, Erforderlichkeit und Verhältnismäßigkeit beider Handlungsoptionen Bedacht zu nehmen.

Das Verfahren über Bescheidbeschwerden gegen Entscheidungen der nationalen Aufsichtsbehörden richtet sich nach dem jeweiligen mitgliedstaatlichen Verfahrensrecht.

Lehnt die DSB die Behandlung einer Datenschutzbeschwerde ab, trifft sie keine inhaltliche Entscheidung. Die "Sache" des Beschwerdeverfahrens vor dem BVwG ist daher – wie bei der Zurückweisung – nur die Frage der Rechtmäßigkeit der Ablehnung. Das BVwG hat jedoch den von der DSB herangezogenen Ablehnungsgrund umfassend und abschließend zu beurteilen und dafür den maßgeblichen Sachverhalt amtswegig selbst zu erheben. Anm: Dieses Erkenntnis des VwGH könnte große praktische Auswirkungen entfalten. Insb das Geschäftsmodell, Websites nur deshalb aufzurufen, um den Verantwortlichen anschließend abzumahnen, gegen ihn Datenschutzbeschwerde einzubringen oder ihn auf Unterlassung- und/oder auf Schadenersatz zu klagen, könnte unter Druck geraten.

Ob der Betroffene tatsächlich 77 Datenschutzbeschwerden eingebracht hat, ist unklar. Denn die DSB zählt die von ihr vergebenen Aktenzahlen und nicht die tatsächliche Anzahl der Datenschutzbeschwerden.

VwGH 29.01.2025, Ra 2022/04/0049

Rechtsmissbrauch, offenkundige Unbegründetheit, Berichtigung

Ein Betroffener brachte insg 29 Datenschutzbeschwerden bei der DSB ein, mit welchen er die Berichtigung iSd Art 16 DSGVO bzw die "Richtigstellung" eines Sachverständigengutachtens über seinen Gesundheitszustand verlangte. Die DSB lehnte die Behandlung der verfahrensgegenständlichen Datenschutzbeschwerden wegen "offenkundiger Unbegründetheit" und "Exzessivität" ab. Das BVwG behob den Ablehnungsbescheid der DSB, wogegen sich die (erfolgreiche) Amtsrevision der DSB richtete.

Der VwGH hat erwogen: Über die Weigerung der Behandlung einer Datenschutzbeschwerde hat die DSB in Bescheidform abzusprechen.

Das Vorliegen einer offenkundigen Unbegründetheit ist aus objektiver Sicht zu beurteilen. Eine Datenschutzbeschwerde ist dann offenkundig unbegründet, wenn sie ohne nähere Prüfung der Angriffs- oder Verteidigungsmittel als erfolglos erkannt werden kann. Eine offenkundige Unbegründetheit kann somit angenommen werden, wenn eine Datenschutzbeschwerde keinen Bezug zu datenschutzrechtlichen Fragestellungen aufweist. Das Berichtigungsrecht ist nur bei Tatsachenangaben anwendbar, nicht aber bei Werturteilen. Die auf Tatsachenangaben beruhenden Schlussfolgerungen eines Sachverständigen in einem Gutachten sind subjektiver Natur. Sie sind die Meinung eines Gutachters und sind dem Berichtigungsrecht nicht zugänglich. Die "Richtigstellung" einer gutachterlichen Meinung kann daher keinen Gegenstand einer auf Berichtigung gerichteten Datenschutzbeschwerde bilden. Einer solchen Datenschutzbeschwerde kommt ohne nähere Prüfung keine Erfolgschance zu, weshalb eine offenkundige Unbegründetheit vorliegen kann.

Die Behandlung einer Datenschutzbeschwerde darf nur dann als exzessiv abgelehnt werden, wenn eine nachgewiesene Missbrauchsabsicht vorliegt. Das Einbringen einer Datenschutzbeschwerde ist ua dann missbräuchlich, wenn (i) der Beschwerdeführer die Datenschutzbeschwerde zur Erzielung eines durch die datenschutzrechtlichen Bestimmungen nicht geschützten Zwecks erhebt (zB Publicity, Feindseligkeit, Sensationslust), (ii) der Beschwerdeführer sich der Unrichtigkeit seines Rechtsstandpunkts bewusst sein muss, etwa weil er dieselbe – oder ähnliche – Datenschutzbeschwerden bereits erfolglos erhoben hat, (iii) eine Person die Ressourcen der DSB in Anspruch nimmt, obwohl sich bereits aus dem Beschwerdevorbringen ergibt, dass mit der betreffenden Datenschutzbeschwerde offenkundig andere Ziele als die Durchsetzung des Datenschutzrechts verfolgt werden.

·     Die DSB ist nur berechtigt, die Behandlung einer Datenschutzbeschwerde als exzessiv abzulehnen, wenn sie das Vorliegen einer Missbrauchsabsicht des Beschwerdeführers nachweist. Eine Missbrauchsabsicht ist dann anzunehmen, wenn die entscheidenden Gründe des Beschwerdeführers für die Einbringung einer Vielzahl von Datenschutzbeschwerden nicht in der Verfolgung der ihm aus der DSGVO zukommenden Rechte liegen und der Beschwerdeführer ohne diese sachfremden Gründe die Vielzahl an Datenschutzbeschwerden nicht erhoben hätte. Das Einbringen einer Datenschutzbeschwerde ist ua dann missbräuchlich, wenn der Beschwerdeführer die Datenschutzbeschwerde zur Erzielung eines durch die datenschutzrechtlichen Bestimmungen nicht geschützten Zwecks erhebt (zB Publicity, Feindseligkeit, Sensationslust) (VwGH 29.01.2025, Ro 2023/04/0018; Ro 2022/04/0016; Ro 2022/04/0022; Ra 2020/04/0084).

·     Die Passversagung kann nicht auf § 22a Passgesetz gestützt werden, weil diese Bestimmung nur die Verarbeitung personenbezogener Daten anlässlich der Antragstellung und in lokalen Anwendungen regelt (VwGH 20.03.2025, Ro 2022/01/0010).

·     Beauftragt eine Betroffene einen Rechtsanwalt mit der Durchsetzung ihres Betroffenenrechts auf Auskunft, muss der Verantwortliche die Vollmacht und Identität der betroffenen Person prüfen. Weitere Informationen zur Bestätigung der Identität dürfen nur bei begründeten Zweifeln an der Identität verlangt werden. Eine Ausweiskopie ist ein geeigneter Identitätsnachweis. Für den Bevollmächtigungsvertrag gibt es keine besonderen Formvorschriften, auch Art 12 Abs 6 DSGVO enthält keine speziellen Form-erfordernisse. Wenn der Verantwortliche lediglich mitteilt, keine elektronischen Vollmachten zu akzeptieren, ohne Zweifel an der Echtheit der Unterschrift zu äußern, ist für den Betroffenen nicht ersichtlich, ob berechtigterweise weitere Nachweise zur Erfüllung des Auskunftsersuchens erforderlich sind. Da der Verantwortliche die allenfalls bestehenden Zweifel iSd Art 12 Abs 6 DSGO nicht einzelfallbezogen dargelegt hat, wurde die Klageerhebung durch den Verantwortlichen veranlasst. Die Bestimmung des § 45 ZPO findet keine Anwendung (OLG Linz 02.04.2025, 4R29/25z).

·     Aufgrund einer späteren Entscheidung des EuGH entsteht keine Berechtigung zur Wiederaufnahme von rechtskräftig abgeschlossenen Verfahren (BVwG 14.03.2025, W252 2259204-3).

·     Beim LVwG Steiermark war ein Verfahren anhängig, bei welchem der Bruder des Betroffenen einen Bescheid nach der Bundesabgabenordnung (BAO) bekämpfte. Nach einer erfolglosen Berufung an den Gemeinderat erhob der Bruder eine Bescheidbeschwerde an das LVwG Steiermark, wo eine öffentliche, mündliche Verhandlung durchgeführt wurde. Der Betroffene wurde zu dieser Verhandlung als Zeuge geladen. Weiters wurden in der mündlichen Verhandlung Beweismittel vorgelegt, die sich neben dem Bruder auch auf den Betroffenen bezogen. Diese Beweismittel wurden zuvor vom Rechtsanwalt des Bruders an das Gericht übermittelt. Der Betroffene brachte eine Datenschutzbeschwerde beim LVwG Steiermark ein und behauptete, durch die Offenlegung dieser Beweismittel in seinem Recht auf Datenschutz verletzt worden zu sein.

Das LVwG Steiermark hat erwogen: Gemäß Art 130 Abs 2a B-VG sind natürlichen Personen berechtigt, sich über die Handhabung der DSGVO durch die Verwaltungsgerichte zu beschweren. Das LVwG Steiermark ist gemäß Art 130 Abs 2a B-VG iVm § 29a Abs 3 StLVwGG für Beschwerden von Personen zuständig, die durch das LVwG Steiermark in Ausübung seiner gerichtlichen Zuständigkeiten in ihren Rechten gemäß der DSGVO verletzt zu sein behaupten.

Das LVwG Steiermark ist Verantwortlicher für die Verarbeitung von personenbezogenen Daten, unabhängig davon, ob es im Rahmen der justiziellen Tätigkeit oder der Justizverwaltung agiert. Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie auf einen Erlaubnistatbestand des Art 6 DSGVO gestützt werden kann. Gemäß Art 6 Abs 1 lit e DSGVO ist die Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Die Staatsfunktion Gerichtsbarkeit erfolgt in Ausübung öffentlicher Gewalt. Rechtsgrundlage für die Verarbeitung iSd Art 6 Abs 3 DSGVO durch das LVwG Steiermark ist Art 129 B-VG iVm § 1 StLVwGG sowie Art 130 B-VG. Die Verarbeitung der personenbezogenen Daten des Betroffenen erfolgte während einer öffentlichen mündlichen Verhandlung, die ein zentraler Pfeiler der Verwaltungsgerichtsbarkeit ist.

Die Entgegennahme und Würdigung von Beweismitteln ist eine zentrale und grundlegende Aufgabe eines Gerichts und steht in direktem Zusammenhang mit der Gerichtsbarkeit. Gemäß § 166 BAO ist im Abgabenverfahren alles als Beweismittel geeignet, was zur Feststellung des maßgebenden Sachverhalts geeignet und zweckdienlich ist.

Die Vorlage der Beweismittel erfolgte durch eine Partei des Verfahrens. Das LVwG muss vorgelegte Beweismittel, sofern sie nicht zurückgewiesen werden, zum Akt nehmen und in Folge würdigen, um den Sachverhalt festzustellen. Die Entgegennahme und Würdigung eines Beweismittels kann zwar eine Verarbeitung personenbezogener Daten sein, jedoch entspricht dies dem Zweck des Beweisverfahrens und ist dazu geeignet, festzustellen, ob das Beweismittel zur Klärung des Sachverhalts verwertbar sein kann.

Die Verarbeitung der personenbezogenen Daten des Betroffenen ohne dessen Einwilligung war erforderlich und verhältnismäßig. Die Verarbeitung ist somit vom Rechtmäßigkeitsgrund nach Art 6 Abs 1 lit e DSGVO gedeckt.

·     Gemäß § 2 Abs 1 der Intelligente Messgeräte-Einführungsverordnung (IME-VO) haben Netzbetreiber der E-Control die aktuellen Projektpläne über die Einführung von intelligenten Messgeräten sowie jeweils zum 31.03. eines Kalenderjahres einen Bericht insb über den Fortschritt der Installationen von intelligenten Messgeräten, zu den angefallenen Kosten, zu den bei der Installation gemachten Erfahrungen, zum Datenschutz, zur Verbrauchsentwicklung bei den Endverbrauchern und zur Netzsituation in einer von der E-Control vorzugebenden Form zu übermitteln. Der Bundesministerin für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie ist jederzeit Einsicht in die an die E-Control übermittelten Projektpläne zu gewähren und Auskunft über die Anzahl der bereits eingereichten Projektpläne zu erteilen (LVwG Kärnten 23.08.2022, KLVwG-1400/3/2022).

·     Eine Parkraumbewirtschaftungsgesellschaft verfügte über mehr als 350 Stell- und Garagenplätze in Europa, größtenteils in Wien. Diese Stellplätze wurden mit einer unbekannten Anzahl von Videokameras überwacht. Die Parkraumbewirtschaftungsgesellschaft verschickte Abmahnschreiben einschließlich Bildaufnahmen an KFZ-Halter, denen Besitzstörungen vorgeworfen wurden.

Bei der DSB sind eine Vielzahl von Datenschutzbeschwerden bzw Anzeigen eingelangt. Das Verhalten der Parkraumgesellschaft ist auch medial bekannt. Die DSB leitete daher Verfahren gegen die Parkraumbewirtschaftungsgesellschaft ein. Die Gesellschaft reagierte nicht. Selbst nach Einleitung mehrerer Verwaltungsstrafverfahren wegen Verletzung der Mitwirkungspflicht (Art 31 DSGVO), in welchen auch Geldbußen verhängt wurden, erfolgte keine Reaktion. Der einzelvertretungsbefugte Geschäftsführer erschien trotz ordentlicher Ladung zu keiner mündlichen Verhandlung. Das Recht auf Akteneinsicht wurde jedoch ausgeübt.

Die DSB untersagte der Parkraumbewirtschaftungsgesellschaft jegliche Datenverarbeitung durch Videokameras auf Park- und Stellflächen im gesamten Staatsgebiet der Republik Österreich und schloss die aufschiebende Wirkung einer allfälligen Bescheidbeschwerde aus.

Die DSB hat erwogen: Die nicht gehörige Mitwirkung einer Partei im Beweisverfahren unterliegt der freien Beweiswürdigung gemäß § 45 Abs 2 und § 46 AVG. Der Behörde steht es frei, aus der mangelnden Mitwirkung einer Partei im Ermittlungsverfahren eventuell auch für die Partei negative Schlüsse zu ziehen.

Die Liquidation der Parkraumbewirtschaftungsgesellschaft ändert nichts an der Identität der Gesellschaft oder an ihrer Rechtsfähigkeit, denn sie erlischt erst mit ihrer (Voll-)Beendigung, nicht schon mit dem Eintritt der Liquidation. Parteifähige Kapitalgesellschaften verlieren ihre Parteifähigkeit erst mit ihrer Vollbeendigung. Selbst wenn man dies in Abrede stellen würde, kommt es bei der Verarbeitung personenbezogener Daten nicht darauf an, ob Verantwortliche iSd Art 4 Z 7 DSGVO eine Rechtspersönlichkeit und eine eigene Rechtsfähigkeit haben oder nicht.

Die Parkraumbewirtschaftungsgesellschaft konnte – mangels Mitwirkung – trotz der Rechenschaftspflicht und der deshalb sie treffenden Beweislast gemäß Art 5 Abs 2 DSGVO nicht darlegen, dass die Datenverarbeitung rechtmäßig erfolgt ist. Aufgrund der fehlenden Mitwirkung und der Vielzahl der von der Vorgehensweise der Gesellschaft betroffenen Personen war ein sofortiges Verbot der Datenverarbeitung auszusprechen.

Der Ausschluss der aufschiebenden Wirkung war auszusprechen, weil ohne Ausschluss dieser Wirkung erhebliche Nachteile für das öffentliche Wohl bzw für Dritte eintreten könnten, die schwerer wiegen als mögliche Nachteile für die Parkraumbewirtschaftungsgesellschaft. Außerdem liegt Gefahr in Verzug vor, weil davon auszugehen ist, dass die Parkraumbewirtschaftungsgesellschaft weiterhin eine unrechtmäßige Videoüberwachung betreibt.

·     Ein Erwachsenenvertreter installierte in der Wohnung zum Schutz seines Pflegebefohlenen, der unter Angststörungen litt und zu Selbstgefährdung neigte, zwei Kameras. Diese erfassten das Pflegepersonal beim Betreten und Verlassen der Wohnung. Eine weitere Kamera installierte der Erwachsenenvertreter im Garten, wobei das Pflegepersonal vom Aufnahmebereich nicht erfasst wurde. Eine Einwilligung von Seiten des Pflegpersonals in die Videoaufzeichnung lag für keine Kamera vor. Eine der Pflegerinnen brachte eine auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den Erwachsenenvertreter bei der DSB ein.

Die DSB hat erwogen: Da der Aufnahmebereich jener Kamera, die im Garten des Pflegebefohlenen installiert wurde, so gewählt worden war, dass er das Pflegepersonal nicht erfasste, schied eine Verletzung im Recht auf Geheimhaltung a priori aus.

Die beiden im Wohnzimmer angebrachten Kameras sind anders zu beurteilen. Der mit der Installation der Videokameras intendierte Schutz des Pflegebefohlenen mag auf die Wahrnehmung eines berechtigten Interesses gestützt werden können. Die Videoüberwachung des Pflegebefohlenen entsprach jedoch nicht dem Grundsatz der Datenminimierung, weil sie auf Dauer angelegt war. Die Kameras filmten auch in jenen Zeiträumen, in denen das Pflegepersonal anwesend war.

Das ununterbrochene Überwachen der Wohnung war zur Zweckerreichung (dem Schutz des Pflegebefohlenen) nicht erforderlich, weil das Pflegepersonal vor Ort in der Lage war, auf etwaige Gesundheitsveränderungen des Pflegebefohlenen reagieren zu können. Die Videoüberwachung verletzte sohin die Pflegerin in ihrem Geheimhaltungsrecht. Die Aufnahmezeiten der installierten Kameras sind daher derart einzuschränken, dass sie während der Anwesenheit des Pflegedienstes außer Betrieb gesetzt sind.

·     Der europäische Datenschutzausschuss ("EDSA") hat einen Entwurf der Leitlinien zur Verarbeitung personenbezogener Daten durch Blockchain-Technologien zur öffentlichen Konsultation veröffentlicht. Bis 09.06.2025 können Kommentare, Anmerkungen und Vorschläge an den EDSA übermittelt werden.

Die vorgeschlagenen Leitlinien enthalten einen allgemeinen Rahmen für Fragen betreffend die Beachtung der DSGVO, wenn die Verarbeitung personenbezogener Daten ganz oder teilweise auf der sogenannten Blockchain-Technologie basiert. Der EDSA hält fest, dass manche grundlegende Merkmale von Blockchains nur schwer mit den Anforderungen der DSGVO in Einklang zu bringen sind, bemüht sich jedoch, geeignete Wege zur Einhaltung der Vorschriften vorzuschlagen. In einigen Fällen stellt er aber fest, dass der Einsatz dieser Technologie unter datenschutzrechtlichen Gesichtspunkten schlichtweg ausgeschlossen werden muss. Einige Elemente des Datenschutzes stehen der Blockchain-Technologie bereits konzeptionell konträr gegenüber. Das sind insb (i) der Grundsatz der Speicherbegrenzung und der Grundsatz der Datenminimierung, denn in einer Blockchain werden Daten sequenziell hinzugefügt und gespeicherte Daten können prinzipiell nicht mehr gelöscht werden, (ii) darauf basierend das Recht auf Löschung oder Berichtigung, (iii) die Zuordnung der Akteure, weil durch den dezentralisierten Ansatz bei der Blockchain die Identifizierung der datenschutzrechtlichen Rollenverteilungen wesentlich erschwert wird, und (iv) Fragen der internationalen Datenübermittlung.

Der EDSA empfiehlt eine Reihe von Maßnahmen, um dieses Spannungsverhältnis aufzulösen. Empfohlen wird zB die Prüfung der Erforderlichkeit, ob eine Blockchain wirklich zwingend eingesetzt werden muss. Beim Bejahen dieser Frage wird die Wahl eines möglichst datenschutzfreundlichen Modells empfohlen, das etwa (i) Lese- und Schreibrechte auf eine begrenzte Anzahl identifizierter Akteure beschränkt, (ii) die Verschlüsselung von Daten in der Blockchain vorsieht, (iii) die wirksame Ausübung der Betroffenenrechte sicherstellt und (iv) die Durchführung einer DSFA beinhaltet. Weiters empfiehlt der EDSA (v) die Schaffung eines robusten Governance-Systems, das klare technische, organisatorische und rechtliche Vorgaben macht, Verantwortliche und Auftragsverarbeiter klar benennt und Zugriffs-, Vorfalls- und Aktualisierungs-Überwachungen bietet.

·     Am 13.05.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-474/24, NADA, stattfinden. Gegenstand des Verfahrens ist die Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat. Anm: Die Rechtsfragen dieses Vorabentscheidungsverfahrens wurden im ersten Rechtsgang zurückgewiesen, weil die vorlegende (österreichische) Behörde kein "Gericht" iSd Art 267 AEUV war (EuGH 07.05.2024, C-115/22, NADA). Daraufhin hat das BVwG, nach hinzufügen einer weiteren Rechtsfrage, dieselben Rechtsfragen erneut vorgelegt. Über die Zurückweisung durch den EuGH haben wir im Schönherr Datenschutzmonitor vom 15.05.2024 berichtet. Über die erneute Vorlage durch das BVwG haben wir im Schönherr Datenschutzmonitor vom 17.07.2024 berichtet.

·     Am 14.05.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-199/24, Legal Newsdesk Sweden, stattfinden. Der EuGH wird sich mit dem Ausgleich zwischen den Grundrechten auf Datenschutz und Meinungsfreiheit auseinandersetzen.

·     Am 15.05.2025 werden die Schlussanträge in der Rs C-327/24, Lolach, veröffentlicht. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

·     Am 15.05.2025 wird vor dem EuG die mündliche Verhandlung in der Rs T-1078/23, Meta Platforms/Kommission, stattfinden. Gegenstand des Verfahrens ist, ob die von Meta angebotenen Plattformdienste "Facebook Messenger" und "Facebook Marketplace" gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dienen (Art 3 Abs 1 lit b Digital Markets Act [DMA]).

EGMR 08.04.2025, 22077/19, Green/UK

Datenoffenlegung, parlamentarische Immunität

·     In einem bereits abgeschlossenen Zivilverfahren wurden gegen einen bekannten Geschäftsmann schwerwiegende Vorwürfe erhoben (ua rassistische Beleidigungen, sexuelle Belästigung). Um die Veröffentlichung der Vorwürfe zu verhindern, wurden in den Prozessen Vertraulichkeitsvereinbarungen geschlossen, weil sich die Offenlegung aus den Verfahren negativ auf den Ruf des Geschäftsmannes auswirken könnte. Über die Vorfälle wollte eine Zeitung berichten, gegen die der Geschäftsmann gerichtlich vorging und eine einstweilige Verfügung zur Verhinderung der Veröffentlichung seines Namens erwirkte. Die Zeitung veröffentlichte anschließend einen Artikel, der zwar auf die Hintergründe und Vorwürfe einging, jedoch den Namen des Geschäftsmannes nicht veröffentlichte.

In einer parlamentarischen Debatte veröffentlichte ein Mitglied des House of Lords unter Bezugnahme auf den Artikel den Namen des Geschäftsmannes. Der Geschäftsmann reichte eine Beschwerde gegen das Vereinigte Königreich wegen der Veröffentlichung seiner Identität beim EGMR ein, insb auch deshalb, weil die Offenlegung seiner Daten Verschwiegenheitsbemühungen gegen die Zeitung zunichtemachte. Der Geschäftsmann sah in der Vorgehensweise sein Recht auf Achtung seines Privatlebens gemäß Art 8 EMRK und sein Recht auf ein faires Verfahren gemäß Art 6 EMRK verletzt. Darüber hinaus sah er sein Recht auf wirksame Beschwerde gemäß Art 13 EMRK verletzt, weil gegen den Abgeordneten rechtlich nicht vorgegangen werden kann. Der EGMR stellte keine Verletzung von Art 8 EMRK fest und wies die Beschwerde hinsichtlich Art 6 und Art 13 EMRK zurück.

Der EGMR hat erwogen: Die Offenlegung der Daten einer Person, gegen die schwerwiegende Vorwürfe erhoben werden, ist eine ernsthafte Beeinträchtigung des Rufs und kann zu einer Verletzung des Rechts auf Achtung des Privatlebens gemäß Art 8 EMRK führen.

Die parlamentarische Immunität und die Redefreiheit sind zentral für die Rolle des Parlaments. Grundsätzlich wiegen das Recht auf Privatsphäre und das Recht auf Freiheit der Meinungsäußerung gleich schwer, im parlamentarischen Kontext wiegt das Recht auf freie Meinungsäußerung jedoch schwerer. Mitglieder des Parlaments müssen in der Lage sein, zu sprechen und zu kritisieren, ohne Angst vor Strafe zu haben. Die parlamentarische Immunität schützt ua die freie Rede im Parlament und dient der Trennung der Legislative von der Judikative ("Gewaltenteilung"). Bei der Regulierung der Redefreiheit im parlamentarischen Kontext haben Mitgliedstaaten einen weiten Ermessensspielraum, wie und ob ex-ante und ex-post Kontrollen eingeführt werden. Die zusätzliche Einrichtung von Kontrollen, welche die Offenlegung von Informationen verhindern sollen, war nicht geboten.

Das Recht auf parlamentarische Immunität verstößt nicht gegen das Recht auf ein faires Verfahren. Ein Staat muss keine besonderen Maßnahmen zum Rechtsschutz implementieren, um die Offenlegung von Informationen zu verhindern. Dies auch dann nicht, wenn diese Informationen durch die einstweilige Verfügung eines Gerichts geschützt sind. Diese Einschränkung des gerichtlichen Rechtsschutzes ist verhältnismäßig, weil dadurch die Redefreiheit im Parlament und die Gewaltenteilung geschützt werden.

Eine eigene Beschwerdemöglichkeit bzw ein Rechtsbehelf ist gegen die Offenlegungen im Parlament nicht erforderlich.

·     Mit der VO (EU) 2017/1939 wurde die Europäische Staatsanwaltschaft errichtet ("EUStA"). Die Zuständigkeit zur Überprüfung der Handlungen der EUStA ist zwischen den nationalen Gerichten und den Unionsgerichten aufgeteilt. Die Zuständigkeit zur Überprüfung der Entscheidungen der EUStA, die die Rechte auf Datenschutz der Betroffenen berühren, fällt in die Zuständigkeit der Unionsgerichte (EuGH 08.04.2025, C-292/23, EUStA).

OLG Linz 09.01.2025, 6R171/24w

Auskunft, Prozessposition, Rechtsmissbrauch

·     Eine Spielerin war Kundin eines Online-Glücksspielunternehmens, welches über eine maltesische Glücksspiellizenz, nicht aber über eine Konzession nach dem österreichisches Glücksspielgesetz (GSpG) verfügt. Das Glücksspielunternehmen bietet ihre Website auf deutscher Sprache an und die Website ist in Österreich abrufbar. Die Spielerin stellte ein schriftliches Auskunftsersuchen an das Glücksspielunternehmen und verlangte eine Kopie ihrer Daten. Nachdem das Glücksspielunternehmen die Auskunft verweigerte, erhob die Spielerin eine Klage beim LG Steyr. Gegen das dem Klagebegehren stattgebende Urteil des Erstgerichts legte das Glücksspielunternehmen eine (erfolglose) Berufung beim OLG Linz ein. Das Glücksspielunternehmen argumentierte, das Auskunftsersuchen sei rechtsmissbräuchlich, weil die Spielerin damit bloß ein Beweismittel für einen Zivilprozess gegen das Unternehmen erlangen wolle.

Das OLG Linz hat erwogen: Das Recht auf Auskunft steht unter keinen Voraussetzungen und muss nicht mit einem Rechtsschutzinteresse begründet werden. Eine Auskunftspflicht besteht auch dann, wenn das Auskunftsersuchen keinem der in Erw-Gr 63 DSGVO genannte Zwecken (Überprüfung der Rechtmäßigkeit, Bewusstsein der Verarbeitung) dient. Die Auskunftserteilung kann nicht bloß deshalb abgelehnt werden, weil damit primär die Beweismittelbeschaffung beabsichtigt wird. Ein Auskunftsersuchen ist auch nicht offenkundig unbegründet oder rechtsmissbräuchlich, wenn damit datenschutzfremde Ziele verfolgt werden.

Rechtsmissbrauch liegt nur vor, wenn zwischen den verfolgten eigenen Interessen und den beeinträchtigten Interessen des anderen ein krasses Missverhältnis besteht. Die Geltendmachung von erlittenen Spielverlusten durch einen Kläger ist weder ein unlauteres Verhalten noch tritt das Auskunftsrecht hinter ein allenfalls berechtigtes Interesse des Beklagten. Es muss der Schädigungszweck bzw das unlautere Motiv der Rechtsausübung im Vordergrund stehen.

Die Geltendmachung von erlittenen Spielverlusten durch die Spielerin ist weder ein unlauteres Verhalten noch tritt das Auskunftsrecht hinter ein allenfalls berechtigtes Interesse des Glücksspielunternehmens. Auch lässt sich kein Schädigungszweck erkennen. Das Einklagen von einem allfälligen Saldo ist ein legitimes Interesse der Spielerin.

Ein berechtigtes Geheimhaltungsinteresse gemäß § 4 Abs 6 DSG iVm Art 15 Abs 4 DSGVO aufgrund der durch die Informationsherausgabe drohenden Schwächung ihrer Prozessposition (gemeint in einem zukünftigen Leistungsverfahren wegen Glücksspielverlusten) kommt dem Glücksspielunternehmen nicht zu. Denn die Spielerin ersucht nur um die Herausgabe von Daten aus gemeinsamen Geschäftsbeziehungen, sodass kein Geheimnis des Glücksspielunternehmens gegenüber der Klägerin besteht.

·     Mit der bloßen Berufung eines Rechtsanwalts auf die ihm erteilte Vollmacht gemäß § 8 Abs 1 RAO kann die Bevollmächtigung nur beim Einschreiten vor einer Behörde oder vor einem Gericht nachgewiesen werden. Stellt ein Dritter für einen Betroffenen ein Auskunftsersuchen an einen Verantwortlichen des privaten Bereichs, ist dem Auskunftsersuchen eine schriftliche Vollmacht beizulegen. Fehlt die Vollmacht, hat der Verantwortliche keine Grundlage, um von einer Bevollmächtigung auszugehen und darf die Auskunft verweigern. Bringt der Betroffene anschließend Klage ein und erteilt der Verantwortliche daraufhin die Auskunft, hat der Verantwortliche keinen Grund zur Klagsführung gegeben. Der Betroffene trägt – als Kläger – gemäß § 45 ZPO die Kosten des Verfahrens und hat dem Verantwortlichen Kostenersatz zu leisten (OLG Innsbruck 29.01.2024, 10R87/24f).

BVwG 27.02.2025, W258 2230578-1

Bürgerjournalismus, Medienfreiheit, Meinungsfreiheit

·     Im Jahr 2018 dokumentierte ein Tierschutzaktivist zwei Jagdveranstaltungen in der Steiermark mittels Foto- und Videoaufnahmen. Ziel war es, die Öffentlichkeit über Treibjagden iZm Tierschutz zu informieren. Der Aktivist veröffentlichte die Aufnahmen auf sozialen Medien und stellte sie großen Medienhäusern zur Verfügung. Dabei wurde auch ein Jäger aufgenommen, der als Obmann eines Jagdvereins in der Jägerschaft bekannt war. Eine ausdrückliche Information des Jägers über die Datenverarbeitung unterblieb. Der Jäger erhob daraufhin Datenschutzbeschwerde bei der DSB. Er sah seine Rechte auf Geheimhaltung, Information und Auskunft verletzt.

Die DSB wies die Datenschutzbeschwerde hinsichtlich der behaupteten Verletzung des Rechts auf Geheimhaltung und Information ab, gab jedoch dem Auskunftsersuchen statt. Sie stellte fest, dass sich der Tierschutzaktivist nicht auf das Medienprivileg des § 9 Abs 1 DSG aF berufen könne, seine Tätigkeit allerdings als "Bürgerjournalismus" zu qualifizieren sei. Bei einer Interessenabwägung des Grundrechts auf freie Meinungsäußerung des Tierschutzaktivisten und des Grundrechts auf Geheimhaltung des Jägers überwiege die Meinungsäußerungsfreiheit. Beide Verfahrensparteien erhoben eine Bescheidbeschwerde an das BVwG. Das BVwG gab der Bescheidbeschwerde des Jägers hinsichtlich des Rechts auf Information statt. Die Bescheidbeschwerde des Aktivisten wurde abgewiesen.

Das BVwG hat erwogen: Der österreichische Gesetzgeber hat die Öffnungsklausel des Art 85 DSGVO ursprünglich durch § 9 Abs 1 DSG idF BGBl I 2018/24 ("aF") umgesetzt. Der Tierschutzaktivist versuchte durch seine Handlungen einen Beitrag zur öffentlichen Debatte rund um die Jagd iZm Tierschutz zu leisten. Durch die Auswahl geeigneter Aufnahmen und ihrer textlichen Ergänzung ist ein Mindestmaß an journalistischer Bearbeitung gegeben.

Laut dem EuGH liegt eine journalistische Tätigkeit vor, wenn die Tätigkeit ua den Zweck hat, Informationen in der Öffentlichkeit zu verbreiten. Der Tierschutzaktivist war daher bei der Erstellung und Speicherung der Aufnahmen journalistisch tätig. Die Bestimmung des § 9 Abs 1 DSG aF war jedoch auf einen bestimmten Personenkreis beschränkt (zB Medieninhaber und Medienunternehmen), die den "Bürgerjournalismus" nicht umfasste.

Aufgrund der fehlenden Berücksichtigung des Bürgerjournalismus war die Umsetzung des Art 85 durch § 9 DSG aF unvollständig. Die unmittelbare Anwendung des Art 85 Abs 2 DSGVO scheidet jedoch aus, weil diese Bestimmung keine inhaltlichen Regelungen, sondern nur einen Auftrag an die Mitgliedstaaten enthält. Eine analoge Anwendung des § 9 DSG scheitert daran, dass keine planwidrige Lücke vorliegt. Der Tierschutzaktivist kann sich somit nicht auf das Medienprivileg des § 9 Abs 1 DSG aF berufen.

Der Aktivist darf sich hingegen auf die Meinungsäußerungsfreiheit nach Art 11 Abs 1 GRC berufen. Das Erfassen des Jägers erweist sich vor dem Hintergrund des Verarbeitungszwecks als unvermeidbar, wodurch der Grundsatz der Datenminimierung gewahrt bleibt (Art 5 Abs 1 lit c DSGVO). Auf den Aufnahmen und Videos ist der Jäger unkenntlich gemacht worden, weshalb mangels personenbezogener Daten eine Verletzung seines Rechts auf Geheimhaltung ausscheidet. Trotz nicht störungsfreien Verhaltens überwiegt das Interesse des Tierschutzaktivisten an der Dokumentation, weil die Berichterstattung für die Diskussion über Tierschutz relevant ist und der Eingriff nur in die Sozialsphäre des Jägers erfolgte.

Das Medienprivileg ist in der Zwischenzeit novelliert worden. Hinsichtlich des Medienprivilegs des § 9 Abs 1a S 5 DSG in der neuen Fassung darf der Verantwortliche ua Auskunft über personenbezogene Daten, die zu journalistischen Zwecken verarbeitet werden und noch nicht veröffentlicht wurden, verweigern. Der Tierschutzaktivist hat jedoch die von ihm erfassten Daten bereits teilweise auf seiner "Facebook Seite" veröffentlicht. Er hätte dem Jäger daher bestimmte Informationen zu erteilen gehabt.

 BVwG 21.02.2025, W211 2288083-1

Auskunft, konkrete Empfänger, zukünftige Empfänger, Erhebungspflicht

·     Ein Betroffener stellte im Jahr 2019 ein Auskunftsersuchen an ein Unternehmen, das über eine Online-Applikation Webdienste zur kostenpflichtigen Abfrage öffentlich zugänglicher Registerdaten betreibt. Das Unternehmen erteilte eine erste Auskunft. Der Betroffene erhob Datenschutzbeschwerde bei der DSB, weil die Auskunft seiner Ansicht nach unvollständig war. Die DSB setzte das Verfahren betreffend Art 15 Abs 1 lit c DSGVO aus, um eine Entscheidung des EuGH in der Rs C-154/21, Österreichische Post, abzuwarten. Nach dem Urteil des EuGH ergänzte das Unternehmen im Jahr 2023 die Auskunft über die konkreten Empfänger. Gleichzeitig teilte es mit, dass seit dem Jahr 2022 keine Protokolle über Zugriffe mehr vorhanden seien, weil diese bereits gelöscht wurden. Die DSB stellte das Verfahren in der Folge mit Zustimmung des Betroffenen formlos ein.

Im selben Jahr erhob der Betroffene eine weitere Datenschutzbeschwerde. Er brachte vor, das Unternehmen habe während des vorhergehenden Verfahrens Daten zu Empfängern aus dem Jahr 2022 gelöscht, um der Auskunftspflicht aus dem ursprünglichen Auskunftsersuchen von 2019 zu entgehen. Die DSB wies die Datenschutzbeschwerde ab. Sie stellte fest, dass die Auskunftspflicht nach Art 15 DSGVO nur Daten umfasst, die zum Zeitpunkt des Auskunftsersuchens tatsächlich verarbeitet wurden. Daraufhin erhob der Betroffene (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Durch ein Auskunftsersuchen wird eine inhaltliche Auskunftspflicht nur hinsichtlich solcher Daten ausgelöst, die vom Verantwortlichen aktuell verarbeitet werden. Löscht ein Verantwortlicher willkürlich die Daten nach Eingang eines Auskunftsersuchens vor dessen Erledigung, so handelt er rechtswidrig. Der Umfang der Auskunftserteilung wird daher durch den Zeitpunkt des Einlangens des Auskunftsersuchens bestimmt.

Nur konkrete Empfänger iSd Art 15 Abs 1 lit c DSGVO sind zu beauskunften, denen zum Zeitpunkt des Einlangens eines Auskunftsersuchens bereits personenbezogene Daten übermittelt wurden. Eine Auskunftspflicht besteht zudem gegenüber jenen Empfängern, an die eine solche Übermittlung in geplanter und vorhersehbarer Weise künftig erfolgt.

Die Rechte der Betroffenen auf Information und Auskunft nach der DSGVO beziehen sich auf einen Zeitpunkt, der um bis zu drei Monate – die maximale Frist zur Beantwortung eines Auskunftsersuchens – oder um die tatsächliche Bearbeitungsdauer in die Zukunft verschoben werden kann. Dies gilt jedoch nur für künftige Übermittlungen, die bereits laufend stattfinden, insofern Status quo sind, und deren Eintreten sicher ist.

Die Bestimmung des Art 15 Abs 1 lit c DSGVO verpflichtet nicht zur Auskunft über zukünftige Verarbeitungen, die während eines anhängigen Verfahrens zur Auskunftserteilung erfolgen. Es gibt auch keine nachträgliche Erhebungspflicht. Das Unternehmen hat vor dem Jahr 2022 keine Zuordnung von Empfängern gespeichert, weshalb eine derartige Auskunft für den zeitgegenständlichen Zeitraum gar nicht möglich war.

·     Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 28.01.2025, W254 2284412-1).

·     Am 08.04.2025 wurde die Verordnung des Bundesministers für Inneres über den elektronischen Rechtsverkehr im Bereich der Strafrechtspflege ("Elektronischer Rechtsverkehr im Bereich der Strafrechtspflege"), BGBl II 2025/63, kundgemacht. Die Verordnung enthält Regelungen zum elektronischen Rechtsverkehr mit Gerichten, Staatsanwaltschaften und Vollzugsbehörden.

·     Am 13.05.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-474/24, NADA, stattfinden. Gegenstand des Verfahrens ist die Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat. Anm: Die Rechtsfragen dieses Vorabentscheidungsverfahrens wurden im ersten Rechtsgang zurückgewiesen, weil die vorlegende (österreichische) Behörde kein "Gericht" iSd Art 267 AEUV war (EuGH 07.05.2024, C-115/22, NADA). Daraufhin hat das BVwG, nach Hhinzufügen einer weiteren Rechtsfrage, dieselben Rechtsfragen erneut vorgelegt. Über die Zurückweisung durch den EuGH haben wir im Schönherr Datenschutzmonitor vom 15.05.2024 berichtet. Über die erneute Vorlage durch das BVwG haben wir im Schönherr Datenschutzmonitor vom 17.07.2024 berichtet.

·     Am 14.05.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-199/24, Legal Newsdesk Sweden, stattfinden. Der EuGH wird sich mit dem Ausgleich zwischen den Grundrechten auf Datenschutz und Meinungsfreiheit auseinandersetzen.

·     Am 15.05.2025 werden die Schlussanträge in der Rs C-327/24, Lolach, veröffentlicht. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

·     Am 15.05.2025 wird vor dem EuG die mündliche Verhandlung in der Rs T-1078/23, Meta Platforms/Kommission, stattfinden. Gegenstand des Verfahrens ist, ob die von Meta angebotenen Plattformdienste "Facebook Messenger" und "Facebook Marketplace" gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dienen (Art 3 Abs 1 lit b Digital Markets Act [DMA]).

EGMR 03.04.2025, 57748/21, Kulák/Slovakia

Rechtsanwalt, Kanzleidurchsuchung, Auswertung eines Computers

·      Ein slowakischer Rechtsanwalt geriet im Rahmen einer Korruptionsermittlung ins Visier der slowakischen Strafverfolgungsbehörden. Der Staatsanwalt ordnete die Sicherung und Herausgabe von Computerdaten an. Die Durchsuchung erfolgte ohne schriftlichen Durchsuchungsbefehl unter Berufung auf eine Dringlichkeitssituation. Der beschlagnahmte Computer wurde vollständig gesichert und blieb fast fünfzehn Monate im Gewahrsam der Behörden. Dieser enthielt auch Mandantendaten, die nicht im Zusammenhang mit dem anhängigen Ermittlungsverfahren standen. Die Extraktion der Daten erfolgte durch einen gerichtlich bestellten Sachverständigen. Dieser ging jedoch bei der Analyse über die im Sicherstellungsbefehl festgelegten Suchbegriffe hinaus.

Der Rechtsanwalt erhob zunächst Beschwerde gegen die Durchsuchung und Sicherstellung. Der Staatsanwalt hielt das Vorgehen für rechtmäßig, weil der tatsächliche Kanzleistandort erst nach der Festnahme bekannt geworden sei und eine Vor-Ort-Sichtung der Daten technisch nicht möglich gewesen sei. In weiterer Folge wandte sich der Rechtsanwalt mit einer Verfassungsbeschwerde erfolglos an das slowakische Verfassungsgericht. Auch eine zweite Verfassungsbeschwerde wegen der Datenauswertung wurde abgewiesen. Der Rechtsanwalt rief daraufhin den EGMR (erfolgreich) an.

Der EGMR hat erwogen: Durchsuchungen und Beschlagnahmen in Rechtsanwaltskanzleien greifen in die durch Art 8 EMRK geschützten Rechte ein. Sie betreffen insbesondere den vertraulichen Austausch zwischen Rechtsanwalt und Mandant sowie das Anwaltsgeheimnis, das das Vertrauensverhältnis zwischen beiden schützt und eine ordnungsgemäße Rechtspflege gewährleistet. Deshalb bedürfen solche Maßnahmen besonderer verfahrensrechtlicher Sicherungen. Die Vertraulichkeit der anwaltlichen Kommunikation unterliegt unabhängig von ihrem Inhalt dem Schutz des Art 8 EMRK. Ein Verstoß gegen das Anwaltsgeheimnis kann nicht nur das individuelle Vertrauensverhältnis, sondern das gesamte Rechtssystem gefährden. Die Durchsuchungen von Kanzleien sind einer besonders strengen Kontrolle zu unterwerfen. Diese setzt die Anwesenheit und Mitwirkung einer unabhängigen, fachkundigen Person voraus.

Die Durchsuchung der Kanzlei des Rechtsanwalts samt der fast fünfzehnmonatigen Beschlagnahme seines Computers ist ein Eingriff in sein durch Art 8 EMRK geschütztes Recht. Die Dauer hatte spürbare negative Auswirkungen auf seine berufliche Tätigkeit.

Eine gerichtliche ex-post-Überprüfung der Rechtmäßigkeit der Durchsuchungen war nicht vorgesehen. Die Staatsanwaltschaft ist kein unabhängiges Gericht iSd Art 6 EMRK.

Ob nur verfahrensrelevante Daten am Computer eingesehen wurden, kann nicht festgestellt werden. Zudem fehlten nationale Regelungen, um vom Anwaltsgeheimnis betroffenes oder nicht verfahrensrelevantes Material zu schützen. Der Rechtsanwalt wurde sohin in seinen Rechten nach Art 8 EMRK verletzt.

EGMR 01.04.2025, 2799/16, Ships Waste Oil Collector B.V. and Others/the Netherlands

Telefonabhörung, Datenweitergabe, Beweismittel

·      Mehrere niederländische Unternehmen standen im Fokus strafrechtlicher Ermittlungen wegen Urkundenfälschung und illegaler Entsorgung von Abfall. Im Rahmen dieser strafrechtlichen Untersuchung wurden Telefonate von Mitarbeitern abgehört, die Hinweise auf Preisabsprachen beinhalteten. Diese Daten wurden an die niederländische Wettbewerbsbehörde weitergegeben, die diese nutzte, um gegen wettbewerbsrechtliche Verstöße vorzugehen und schließlich Geldbußen gegen mehrere Unternehmen verhängte. Die Unternehmen erachteten sich ua in ihrem Recht auf Achtung ihres Privatlebens gemäß Art 8 EMRK verletzt und wendeten sich an den EGMR. Der EGMR entschied, dass die Übermittlung und Verwendung abgehörter Daten bei der Verfolgung gerichtlicher Straftaten an eine andere Behörde nicht gegen Art 8 EMRK verstoßen.

Der EGMR hat erwogen: Die Übermittlung von abgehörten Daten an eine andere Behörde ist ein Eingriff in das Recht auf Achtung des Privatlebens und der Korrespondenz. Ein solcher Eingriff muss gesetzlich vorgesehen sein, einem legitimen Ziel dienen und in einer demokratischen Gesellschaft notwendig sein.

Maßgeblich für den Ermessensspielraum der Staaten bei einem Grundrechtseingriff nach Art 8 EMRK ist der Inhalt der betreffenden Daten, nicht die physische oder rechtliche Natur oder der Status der Beschwerdeführenden. Um Willkür und Missbrauch zu verhindern, gelten die Mindestgarantien nach Art 8 EMRK für natürliche und juristische Personen gleichermaßen.

Die Übermittlung der Daten stützte sich auf eine gesetzliche Grundlage im niederländischen Recht. Definiert wurden sowohl die übermittelbaren Daten (strafrechtliche Daten) als auch der zulässige Zweck (Durchsetzung von Rechtsvorschriften) sowie der Kreis potenzieller Empfänger. Die Umstände, unter denen die Übermittlung von rechtmäßig erlangtem Abhörmaterial an eine andere Strafverfolgungsbehörde genehmigt werden durfte, war sohin klar geregelt.

Das niederländische Recht verlangte von der Staatsanwaltschaft auch eine Prüfung der Erforderlichkeit und Verhältnismäßigkeit der Datenübermittlung. Die Datenübermittlungen dienten dem legitimen Ziel, das wirtschaftliche Wohl des Landes zu schützen und das Wettbewerbsrecht durchzusetzen. Die niederländischen Behörden haben die Interessen der Unternehmen mit dem öffentlichen Interesse abgewogen und haben ausreichende Gründe vorgebracht, um die Erforderlichkeit und Verhältnismäßigkeit der Datenübermittlung zum Zweck der Durchsetzung des Wettbewerbsrechts zu rechtfertigen.

Die betroffenen Unternehmen hatten auch die Möglichkeit, die Übermittlung der Daten vor Gericht anzufechten und eine wirksame gerichtliche Überprüfung zu erhalten. Eine Abhilfe in Form der Vernichtung übermittelter Daten oder einer finanziellen Entschädigung ist nicht zwingend erforderlich, um ein Rechtsmittel im Zusammenhang mit der Übermittlung von Abhördaten zu gewähren. Einschränkungen ihrer Nutzung, wie beispielsweise eine Erklärung der Unzulässigkeit als Beweismittel, können eine ausreichende Abhilfe darstellen. Zudem stand es den Unternehmen offen, die Übermittlungen in zivilrechtlichen Verfahren anzufechten.

EuGH 03.04.2025, C-710/23, Ministerstvo zdravotnictví

Vertreter juristischer Personen, personenbezogene Daten, Zugang zu amtlichen Dokumenten

·      Ein Auskunftswerber begehrte Auskunft über die Vertreter juristischer Personen, die Kaufverträge für COVID-19 Tests mit dem tschechischen Gesundheitsministerium unterzeichneten. Bei der erteilten Auskunft des Ministeriums wurden die personenbezogenen Daten dieser Personen, darunter Name, Kontaktdaten und Unterschrift sowie in einigen Fällen auch die Websites der juristischen Personen, geschwärzt. Gegen diese Vorgehensweise erhob der Auskunftswerber eine erfolgreiche Klage. Nach Ansicht des Gerichts hätte das Ministerium entsprechend der innerstaatlichen Rechtsprechung den Vertretern der juristischen Personen die Möglichkeit der Stellungnahme einzuräumen gehabt und es hätte zu prüfen gehabt, ob für die Offenlegung der personenbezogenen Daten eine Rechtsgrundlage nach Art 6 DSGVO vorliegt. Das angerufene Höchstgericht legte dem EuGH die Fragen vor, (i) ob die verfahrensgegenständlichen Daten iSd Art 4 Z 1 DSGVO personenbezogene Daten sind und (ii) ob innerstaatliche Rechtsprechung, die einen Verantwortlichen verpflichtet, Betroffene vor der Datenübermittlung der Daten zu unterrichten, mit dem Unionsrecht vereinbar ist.

Der EuGH hat erwogen: Der Begriff personenbezogener Daten ist weit auszulegen und erfasst alle Arten von Informationen objektiver und subjektiver Natur einer identifizierten oder identifizierbaren natürlichen Person. Daten natürlicher Personen, die juristische Personen vertreten, sind personenbezogene Daten. Der berufliche Kontext begründet keine Ausnahme. Auch der Begriff "Verarbeitung" iSd Art 4 Z 2 DSGVO ist weit zu verstehen. Die in der Definition enthaltene Aufzählung an Verarbeitungstätigkeiten ist nur beispielhaft. Die Übermittlung von personenbezogenen Daten eines Vertreters einer juristischen Person ist eine Verarbeitung.

Mitgliedstaaten können nach Art 6 Abs 2 DSGVO Bestimmungen erlassen, die spezifische Anforderungen für die Anwendung der Rechtfertigungsgründe nach Art 6 Abs 1 lit c und e DSGVO festlegen, um eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung von Daten zu gewährleisten. Als Rechtsgrundlage für die Verarbeitung gemäß Art 6 Abs 1 lit c DSGVO iVm Art 6 Abs 3 DSGVO kann auch innerstaatliche Rechtsprechung herangezogen werden. Diese Rechtsgrundlage muss ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. Solche Rechtsgrundlagen können auch spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO, darunter auch allgemeine Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung, enthalten.

Der Zugang der Öffentlichkeit zu amtlichen Dokumenten liegt im öffentlichen Interesse. Der Transparenzgrundsatz der Art 1, Art 10 EUV und Art 15 AEUV soll eine Beteiligung der Bürger am Entscheidungsprozess ermöglichen und Legitimität, Effizienz und Verantwortung der Verwaltung in einer Demokratie gewährleisten.

Nationale Rechtsprechung, die für den Zugang zu amtlichen Dokumenten eine Konsultation der von der Offenlegung betroffenen natürlichen Personen vorsieht, steht der DSGVO nicht entgegen. Die zusätzliche Verpflichtung darf eine Auskunft aber nicht verunmöglichen, einen unverhältnismäßigen Aufwand erfordern und nicht zu einer unverhältnismäßigen Einschränkung auf Zugang zu amtlichen Dokumenten führen. Eine auskunftspflichtige Behörde hat den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten in Einklang zu bringen. Eine Behörde darf sich nicht systematisch auf die praktische Unmöglichkeit einer Informationserteilung stützen, ohne in irgendeiner Weise zu versuchen, die Interessen der DSGVO und des Öffentlichkeitsrechts miteinander in Einklang zu bringen.

VfGH 25.02.2025, G20/2025

SKY ECC, § 134 Z 3 StPO, Legaldefinition

·      Ein mutmaßlicher Suchtgifthändler wurde in erster Instanz (nicht rechtskräftig) zu einer Freiheitsstrafe verurteilt. Diese Verurteilung basierte insbesondere auf ursprünglich verschlüsselten Chatverläufen des Anbieters "SKY ECC", die von französischen Behörden entschlüsselt und an österreichische Strafverfolgungsbehörden übermittelt wurden. Der OGH erklärte die Verwertung derartiger Chatverläufe für zulässig. Der mutmaßliche Suchtgifthändler wendete sich mit einem Parteiantrag an den VfGH und beantragte, der VfGH möge § 134 Z 3 StPO als verfassungswidrig aufheben. Er brachte im Wesentlichen vor, dass (i) die Auffassung des OGH den Vorgaben des VfGH im Erkenntnis VfSlg 20.356/2019 (Bundestrojaner) widerspricht, (ii) die Chatverläufe einem Beweismittelverbot unterliegen, und (iii) der OGH den § 134 Z 3 StPO verfassungswidrig auslegt. Der VfGH wies den Antrag zurück.

Der VfGH hat erwogen: Bei Gesetzesprüfungsverfahren ist der Anfechtungsumfang der Norm bei sonstiger Unzulässigkeit des Prüfungsantrags nicht zu eng zu wählen. Insbesondere darf der verbleibende Gesetzesteil nicht einen völlig veränderten Inhalt bekommen und es müssen auch die mit der aufzuhebenden Gesetzesstelle untrennbar zusammenhängenden Bestimmungen erfasst werden. Es sind also alle Normen anzufechten, die für die Beurteilung der allfälligen Verfassungswidrigkeit eine untrennbare Einheit bilden. Legaldefinitionen kommt keine eigenständige normative Bedeutung zu. Diese wird erst im Zusammenhang mit anderen Regelungen, die diesen Begriff verwenden, bewirkt. Die angefochtene Bestimmung ist eine Legaldefinition ohne eigenständige normative Wirkung (arg: Überschrift § 134 StPO "Definitionen"), legt also lediglich fest, was eine "Überwachung von Nachrichten" iSd Gesetzes ist. Da lediglich die Legaldefinition des § 134 Z 3 StPO isoliert angefochten wird, ist der Prüfungsumfang zu eng gewählt und der Antrag ist zurückzuweisen. Anm: Mit dem Fall "SKY ECC" haben wir uns im Schönherr Datenschutzmonitor bereits mehrfach beschäftigt.

·      Die Eintragung ins Gewerbeinformationssystem Austria ("GISA") ist schlicht-hoheitliches Handeln. Einzutragen sind ua die genaue Bezeichnung des Gewerbes, das Datum des Entstehens und der Beendigung der Gewerbeberechtigung, die Firma und die Firmenbuchnummer oder die ZVR-Zahl. Die Eintragung hat die zuständige Behörde vorzunehmen, das Verwaltungsgericht darf nur feststellen, dass die Eintragung vorzunehmen ist (VwGH 27.02.2025, Ra 2024/04/0305).

·      Die bloße Wiederholung der an die zweite Instanz erstatteten Ausführungen ist keine gesetzmäßige Ausführung eines Rechtsmittels an ein Höchstgericht. Die Entscheidung des OGH vom 28.06.2023, 9 ObA 51/22y, besagt nicht, dass Einsichtsrechte des Betriebsrats durch die DSGVO nicht beschnitten werden können (OGH 27.02.2025, 8ObA61/24i).

·      Hat der Verantwortliche Zweifel an der Identität eines Betroffenen iSd Art 15 DSGVO, kann er nach Art 12 Abs 6 DSGVO weitere Informationen zu dessen Identifizierung einfordern. Mit der bloßen Berufung eines Rechtsanwalts auf eine Vollmacht gemäß § 8 Abs 1 RAO kann die Bevollmächtigung nur beim Einschreiten vor einer Behörde oder vor einem Gericht nachgewiesen werden. Eine Vollmacht bedarf einer Unterschrift oder einer qualifizierten elektronischen Signatur iSd § 4 Abs 1 S 1 Signatur- und Vertrauensdienstegesetzes. Fehlt eine entsprechende Unterschrift, hat der Verantwortliche keinerlei Grundlage dafür, von einer Bevollmächtigung auszugehen und darf die Auskunft verweigern. Bringt der Betroffene anschließend Klage ein und erteilt der Verantwortliche daraufhin die Auskunft, hat der Verantwortliche keinen Grund zur Klagsführung gegeben. Der Betroffene trägt – als Kläger – gemäß § 45 ZPO die Kosten des Verfahrens und hat dem Verantwortlichen Kostenersatz zu erstatten (OLG Graz 17.01.2025, 5R205/24t).

BVwG 26.02.2025, W101 2284403-1

Videoüberwachung, Geldbuße, Strafzumessung

·      Die Betreiberin einer Kfz-Werkstatt installierte in einem Zeitraum von knapp zwei Jahren eine Videoüberwachungsanlage im Bereich der straßenseitigen Einfahrt, um ihr Eigentum sowie das Eigentum ihrer Kunden zu schützen. Der Aufnahmebereich der Anlage erfasste einen Teil des an die Werkstatt angrenzenden öffentlichen Gehsteigs sowie einen Teil der öffentlichen Gemeindestraße. Die Aufzeichnungen der Videoüberwachungsanlage wurden für einen Zeitraum von 24 Stunden gespeichert und in der Folge automatisch gelöscht. Die DSB stellte die Rechtswidrigkeit des Betriebs der Videoüberwachungsanlage sowie eine Verletzung der Informationspflichten fest und verhängte über die Werkstattbetreiberin eine Geldstrafe iHv EUR 3.190 zzgl EUR 319 als Beitrag zu den Kosten des Verwaltungsstrafverfahrens. Dagegen erhob die Werkstattbetreiberin Bescheidbeschwerde an das BVwG. Das BVwG gab der Bescheidbeschwerde dem Grunde nach keine Folge, setzte die Geldstrafe jedoch auf EUR 1.100 (zzgl EUR 110 Verfahrenskosten) herab.

Das BVwG hat erwogen: Die Werkstattbetreiberin hat zwar ein rechtfertigendes Interesse iSd Art 6 Abs 1 lit f DSGVO am Betrieb der Bildaufnahme vorgebracht (Schutz ihres Eigentums, Schutz des Eigentums ihrer Kunden, Ausforschung potenzieller Straftäter). Allerdings hat die Videokamera maßgebliche Bereiche des – vor der Werkstatt liegenden – öffentlichen Raums erfasst. Die diesen Bereich frequentierenden Passanten müssen vernünftigerweise nicht damit rechnen, im öffentlichen Raum gefilmt zu werden. Zur Zweckerfüllung war es nicht notwendig, (auch) diesen öffentlichen Raum zu überwachen, sodass den Grundsätzen der Datenminimierung nicht genüge getan wurde. Zudem hat die Werkstattbetreiberin die Videoüberwachungsanlage weder gekennzeichnet noch die betroffenen Personen in sonstiger Weise informiert.

Für die Strafzumessung ist jedoch zu berücksichtigten, dass die aufgenommenen Bilddaten automatisch nach 24 Stunden gelöscht wurden und es lediglich ein einziges Mal zu einer "Nachschau" des Bildmaterials – in Folge eines Parkschadens im Eingangsbereich der Werkstatt – kam. Ferner war die Werkstattbetreiberin unbescholten und sie hat nach Zustellung der Aufforderung zur Rechtfertigung die gegenständliche Verarbeitung unverzüglich eingestellt.

BVwG 03.02.2025, W292 2289286-1

Statistik Austria, Namensgleichheit, Register der statistischen Einheiten

·      Ein Landwirt führt einen landwirtschaftlichen Betrieb als Einzelunternehmer und wohnt mit seinem Vater an derselben Adresse. Beide tragen denselben Vor- und Nachnamen. Der Landwirt führt darüber hinaus die akademischen Titel "Dipl.-Ing." und "Dr.", sein Vater nicht. Im Rahmen einer agrarstatistischen Erhebung versendete die Bundesanstalt Statistik Österreich (Statistik Austria) ein behördliches Schreiben mit Zugangsdaten (Anmeldenamen, Passwort, Aktivierungscode sowie Betriebsnummer) zu einem elektronischen Fragebogen. Die Sendung war korrekt an den Landwirt adressiert, enthielt jedoch nicht dessen akademische Titel. Sie wurde ohne Zustellnachweis übermittelt und von dem namensgleichen Vater entgegengenommen. Daraufhin brachte der Landwirt eine Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Geheimhaltung ein.

Die DSB stellte einen Verstoß gegen den Grundsatz des Art 5 Abs 1 lit f DSGVO (Integrität und Vertraulichkeit) fest, weil bei der Verfügung der Zustellung die akademischen Titel des Empfängers nicht als zusätzliches Identifikationskriterium verwendet wurden. Dagegen erhob die Statistik Austria eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Statistik Austria ist gemäß § 22 Abs 1 Bundesstatistikgesetz 2000 eine Anstalt öffentlichen Rechts des Bundes. Sie ist als Verantwortliche des öffentlichen Bereichs und als staatliche Behörde iSd § 1 Abs 2 DSG zu qualifizieren. Gemäß § 4 Abs 1 Z 3 Bundesstatistikgesetz 2000 haben die Organe der Bundesstatistik die Statistiken zu erstellen und die statistischen Erhebungen durchzuführen, die durch eine Verordnung angeordnet sind. Gemäß § 5 Abs 1 Agrarstrukturstatistik-Verordnung 2023 hat die Statistik Austria für die Befragung einheitliche Erhebungsunterlagen (elektronischer Fragebogen samt Erläuterungen) zu erstellen und diese den Auskunftspflichtigen zur Verfügung zu stellen.

Die Zustellung hätte auch mit Angabe der akademischen Titel des Landwirts nicht verhindert werden können (§ 5 ZustG). Vielmehr wäre diese nur durch eine Eigenhandzustellung (§ 21 ZustG) auszuschließen gewesen.

Für die Rechte und Freiheiten des Landwirts war mit der Übersendung kein besonderes Risiko verbunden. Art 5 Abs 1 lit f DSGVO verlangt die Ergreifung von Maßnahmen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Die Statistik Austria hatte die Adressdaten zum Zweck der Zustellverfügung aus dem von ihr geführten Register der statistischen Einheiten gemäß § 25a Abs 1 Z 1 iVm § 25 Abs 1 Z 1 Bundesstatistikgesetz 2000 zu ermitteln, eine weitere Pflicht zur Abfrage öffentlicher Register bestand nicht.

Es gibt bundesweit kein öffentliches Register, aus welchem rechtssicher und aktuell hervorgeht, welche akademischen Titel von einer bestimmten Person geführt werden dürfen. Auch besteht keine gesetzliche Verpflichtung, akademische Titel in das geführte Register einzutragen. Zudem sind akademische Titel rechtlich kein Bestandteil eines Namens einer natürlichen Person. Ein Verstoß gegen Art 5 Abs 1 lit f DSGVO bzw Art 32 DSGVO liegt somit nicht vor.

·      Eine Verantwortliche darf zur Wahrung ihres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) drei Videokameras betreiben, wenn dies zur Verfolgung und Verteidigung von Rechtsansprüchen iZm Rechtsstreitigkeiten, die zwischen dem Betroffenen und der Verantwortlichen sowie deren Vermieter anhängig sind, erforderlich und verhältnismäßig ist (BVwG 11.03.2025, W292 2280453-2).

·      Bonitätsdaten (wie historische Zahlungsinformationen), die nicht aus dem Insolvenzregister stammen, sondern von einem Inkassounternehmen an eine Kreditauskunftei rechtmäßig offengelegt wurden, sind ein Jahr nach der nachweislich positiven Erledigung der Forderung zu löschen (BVwG 24.02.2025, W298 2296144-1).

·      Ist der Sachverhalt von der DSB nur im Hinblick darauf ermittelt worden, dass die Anzahl der bei der DSB eingebrachten Datenschutzbeschwerden ermittelt wurde, ist eine Ermittlung des Sachverhalts anhand der Datenschutzbeschwerde komplett unterblieben. Nach dem Urteil des EuGH vom 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), liegt der Tatbestand der Exzessivität nur vor, wenn eine Missbrauchsabsicht des Betroffenen nachgewiesen wird. Die Ermittlung der Anzahl der eingebrachten Datenschutzbeschwerden genügt nicht. Der Bescheid der DSB ist daher aufzuheben und die Angelegenheit ist zur Erlassung eines neuen Bescheides an die DSB zurückverwiesen (BVwG 24.02.2025, W298 2280884-1).

·      Die Auswertung eines sichergestellten Datenträgers, wie zB eines Mobiltelefons, ist eine eingriffsintensive und weitreichende Ermittlungsmaßnahme. Sämtliche auf einem Datenträger (lokal oder extern) gespeicherte Daten, einschließlich des Zugriffs auf externe Speichermedien (zB Netzwerksysteme oder Clouds), können ausgewertet werden. Die Strafverfolgungsorgane können dadurch (i) auf weit in der Vergangenheit liegende Daten des Betroffenen zugreifen, (ii) sie können umfassende Verhaltens- und Bewegungsprofile der Betroffenen erstellen, (iii) die eingesetzten Algorithmen oder Suchbegriffe können sich auf das Ergebnis der Auswertung auswirken, (iv) die vorhandenen Daten können mit anderen Daten der Strafverfolgungsorgane verknüpft werden und (v) bei einer etwaigen Veränderung von Daten kann nur nachvollzogen werden, dass eine Veränderung stattgefunden hat. Bereits der Versuch von Polizeibehörden, ein Mobiltelefon für Zwecke der strafrechtlichen Ermittlung auszuwerten, fällt in den Anwendungsbereich der EU-DatenschutzRL für Polizei und Justiz 2016/680 (DSRL-PJ). Liegt kein begründeter Eilfall vor, ist ohne vorangehende Kontrolle durch ein Gericht sohin die gesamte Sicherstellung des Mobiltelefons rechtswidrig (LVwG Tirol 26.03.2025, LVwG-2024/12/2583-3).

·      Am 31.03.2025 sind die (i) "Delegierte Verordnung (EU) 2025/300 der Kommission vom 10. Oktober 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für die zwischen zuständigen Behörden auszutauschenden Informationen", ABl L 2025/300; (ii) "Delegierte Verordnung (EU) 2025/305 der Kommission vom 31. Oktober 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der in einen Antrag auf Zulassung als Anbieter von Krypto-Dienstleistungen aufzunehmenden Angaben", ABl L 2025/305; (iii) "Delegierte Verordnung (EU) 2025/413 der Kommission vom 18. Dezember 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des genauen Inhalts der Informationen, die für die Beurteilung einer geplanten Übernahme einer qualifizierten Beteiligung an einem Emittenten eines vermögenswertereferenzierten Tokens erforderlich sind", ABl L 2025/413; (iv) "Delegierte Verordnung (EU) 2025/414 der Kommission vom 18. Dezember 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des genauen Inhalts der Informationen, die für die Beurteilung einer geplanten Übernahme einer qualifizierten Beteiligung an einem Anbieter von Kryptowerte-Dienstleistungen erforderlich sind", ABl L 2025/414; sowie die (v) "Durchführungsverordnung (EU) 2025/306 der Kommission vom 31. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Mustertexte und Verfahren für die in einen Antrag auf Zulassung als Anbieter von Krypto-Dienstleistungen aufzunehmenden Angaben", ABl L 2025/306; veröffentlicht worden. Die vier DelegiertenVOs ergänzen die KryptowerteVO VO (EU) 2023/1114 (MiCAR) durch technische Regulierungsstandards zur Übermittlung bestimmter Informationen. Die DurchführungsVO enthält Standardformulare, Mustertexte und Verfahren zur MiCAR.

·      Am 09.04.2025 findet eine mündliche Verhandlung in der Rs C-291/24, Steiermärkische Bank und Sparkasse, vor dem EuGH statt. Gegenstand des Verfahrens ist die verwaltungsstrafrechtliche Haftung nach dem FM-GwG. Anm: Die Rechtssache betrifft zwar das FM-GwG, ist für das Datenschutzrecht aber relevant, weil es um eine mit Art 83 DSGVO vergleichbare Haftungsregelung und um Verjährungsfristen im Anwendungsbereich des Unionsrechts geht.

EuGH Schlussanträge 27.03.2025, C-654/23, Inteligo Media

Direktwerbung, ePrivacyRL, personenbezogene Daten als Ware

Ein Online-Pressemedium bot seinen Nutzern eine begrenzte Anzahl kostenloser Artikel an. Um auf weitere Artikel zugreifen zu können, mussten die Nutzer ein kostenloses Benutzerkonto erstellen, ihre E-Mail-Adresse angeben und die Vertragsbedingungen für die Erbringung dieses "Premium-Dienstes" akzeptieren. Dieser kostenlose "Premium-Dienst" umfasste den Zugang zu zwei weiteren Artikeln pro Monat und einen täglichen E-Mail-Newsletter. Der Erhalt dieses Newsletters war standardmäßig aktiviert, konnte aber bei der Registrierung oder später abbestellt werden. Nutzer, die ein Benutzerkonto zu anderen Zwecken erstellt hatten, erhielten den Newsletter nicht. Gegen Zahlung einer Gebühr erhielten die Nutzer schließlich Zugang zu allen Artikeln und einen ausführlichen E-Mail-Newsletter.

Die zuständige Datenschutz-Aufsichtsbehörde verhängte eine Geldstrafe iHv ca EUR 9.000, weil das Online-Pressemedium den Newsletter ohne ausdrückliche Einwilligung der Nutzer verschickt habe. Das vorlegende Gericht stellte dem EuGH insbesondere Fragen zur Zulässigkeit von E-Mail-Newslettern nach Art 13 Abs 2 der Richtlinie 2002/58/EG (ePrivacyRL) und zur Anwendbarkeit der DSGVO.

Der Generalanwalt hat erwogen: Gemäß Art 13 Abs 1 ePrivacyRL ist Direktwerbung per Anruf, Fax oder elektronischer Post nur mit vorheriger Einwilligung zulässig. Eine Ausnahme besteht, wenn die Kontaktdaten iZm dem Verkauf eines Produkts oder einer Dienstleistung erlangt werden und zur Direktwerbung für ähnliche Produkte oder Dienstleistungen verwendet werden, sofern dem Nutzer eine Widerspruchsmöglichkeit eingeräumt wird.

Der Zweck des E-Mail-Newsletters bestand darin, Nutzer durch die Bereitstellung von Hyperlinks dazu zu verleiten, ihre monatlich kostenlosen Artikel schneller zu konsumieren und letztlich ein vollständiges kostenpflichtiges Abonnement zu erwerben. Der Newsletter verfolgte somit ein kommerzielles Ziel. Er richtete sich auch direkt und individuell an die Nutzer, indem er in deren E-Mail-Postfach erschien, sodass er als Direktwerbung anzusehen war.

Die Erlangung der E-Mail-Adressen ist "im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung" iSd Art 13 Abs 2 ePrivacyRL erfolgt. "Verkauf" umfasst die Zahlung eines Entgelts für eine Ware oder einen Dienst. Auch eine indirekte Vergütung, bei der die Kosten der Zurverfügungstellung eines solchen Dienstes in den Verkaufspreis für die Hauptleistung einbezogen werden, erfüllt diese Voraussetzung. Zudem werden personenbezogene Daten selbst als Ware behandelt. Für eine Datenerhebung "im Zusammenhang mit einem Verkauf" reicht es daher aus, dass der Nutzer seine persönlichen Daten gegen eine Ware oder Dienstleistung zur Verfügung stellt. Ein solcher Newsletter ist "Direktwerbung" für "ähnliche Produkte oder Dienstleistungen", sodass eine vorherige Einwilligung nicht erforderlich war.

Das Verhältnis zwischen der ePrivacyRL und der DSGVO wird durch den Grundsatz lex specialis derogat legi generali geregelt. Existiert eine spezifische Bestimmung in der ePrivacyRL, die dasselbe Ziel verfolgt wie die DSGVO, ist die Bestimmung der ePrivacyRL anzuwenden. Art 13 Abs 2 ePrivacyRL regelt die Voraussetzungen und Zwecke der Verarbeitung sowie die Rechte der Betroffenen abschließend und erlegt dem Verantwortlichen besondere Pflichten iSd Art 95 DSGVO auf. Insbesondere wird die Frage der Einwilligung abschließend behandelt. Die Rechtmäßigkeit der Verarbeitung kann daher aufgrund des Art 13 Abs 2 ePrivacyRL festgestellt werden. Ein Rückgriff auf die DSGVO ist weder möglich noch erforderlich. Anm: Folgt der EuGH den Schlussanträgen des Generalanwalts, könnte das in Österreich große praktische Relevanz haben. Denn die DSB erachtet sich nicht nur hinsichtlich der elektronischen Direktwerbung (insb. Newsletter), sondern auch beim Erheben von Cookies, das ebenso in der ePrivacyRL (und im TKG 2021) geregelt ist, für zuständig.

EuGH Schlussanträge 27.03.2025, C-97/23 P, WhatsApp Ireland/EDSA

WhatsApp, EDSA, Verbindlicher Beschluss, Rechtsschutzsystem der EU

Im Zuge der Anpassung ihrer Datenschutzrichtlinie an die DSGVO forderte WhatsApp seine Nutzer auf, den geänderten Bedingungen zuzustimmen oder die Nutzung einzustellen. Die irische Datenschutzbehörde ("DPC") begann aufgrund einiger Beschwerden eine Untersuchung über mögliche Verstöße gegen Transparenzpflichten iSd Art 12 bis 14 DSGVO. Angesichts der grenzüberschreitenden Verarbeitung leitete die DPC ein Kohärenzverfahren ein und übermittelte ihren Beschlussentwurf an die anderen betroffenen Aufsichtsbehörden. Einige davon erhoben Einsprüche, denen sich die DPC nicht anschloss.

Mit einem Verbindlichen Beschluss verpflichtete der Europäische Datenschutzausschuss ("EDSA") die DPC, ua "Lossy-Hash-Daten" (damit sind – soweit ersichtlich – in nummerische Codes umgewandelte Telefonnummern gemeint) als personenbezogene Daten zu qualifizieren und die vorgeschlagene Geldbuße zu erhöhen. Die irische Aufsichtsbehörde erließ daraufhin einen entsprechend angepassten endgültigen Beschluss. WhatsApp erhob gegen den Beschluss des EDSA Nichtigkeitsklage beim EuG. Das EuG erklärte die Klage für unzulässig und stellte fest, dass der streitige Beschluss keine "anfechtbare Handlung" iSd Art 263 Abs 1 AEUV war und dass WhatsApp von diesem Beschluss iSd Art 263 Abs 4 AEUV nicht "unmittelbar betroffen" war. Gegen diese Entscheidung richtet sich das Rechtsmittel von WhatsApp.

Der Generalanwalt hat erwogen: Die Veröffentlichung auf einer Website genügt dem Erfordernis der "Bekanntgabe" iSd Art 263 Abs 6 AEUV. WhatsApp hat den streitigen Beschluss innerhalb der mit der Veröffentlichung auf der Website des EDSA in Gang gesetzten Fristen angefochten. Somit ist es für die Zulässigkeit der Nichtigkeitsklage unerheblich, dass WhatsApp möglicherweise vor der vorgeschriebenen Veröffentlichung vom wesentlichen Inhalt dieses Beschlusses Kenntnis erlangt hat.

Es reicht für die Beantwortung der Frage, ob eine Klage zulässig ist, nicht aus, dass die fragliche Handlung verbindliche Rechtswirkungen gegenüber ihrem Adressaten oder gegenüber einer anderen Person erzeugt; vielmehr muss der EuGH auch prüfen, ob die fragliche Handlung die Rechtsstellung des Klägers beeinträchtigt (Art 263 Abs 4 AEUV).

Das EuG hat die Voraussetzungen des Art 263 Abs 1 AEUV fehlerhaft beurteilt. Es hat darauf fokussiert, dass der streitige Beschluss nicht der endgültige Beschluss im Rahmen des in der DSGVO vorgesehenen Kohärenzverfahrens ist. Jedoch hat es nicht geprüft, ob es sich bei diesem Beschluss um einen endgültigen oder abschließenden Beschluss des EDSA handelt, der für die DPC verbindliche Rechtswirkungen entfaltet.

Um die Frage der unmittelbaren Betroffenheit zu beurteilen, ist auf das Wesen der angefochtenen Handlung abzustellen. Insoweit genügt es, dass der Inhalt des streitigen Beschlusses, der die Rechtsstellung von WhatsApp beeinträchtigt, der DPC in den relevanten Punkten keinen Ermessensspielraum einräumte.

Nach der Logik des Rechtsschutzsystems der Union hätte die Nichtigkeitsklage nicht für unzulässig erklärt werden dürfen.

Das EuG hat sich um einen fairen Ausgleich zwischen der Veröffentlichung von Gerichtsentscheidungen und dem Recht auf Schutz personenbezogener Daten sowie des Geschäftsgeheimnisses unter den Umständen des jeweiligen Falles zu bemühen. Die Namen natürlicher Personen (hier: Trader, Angestellte und Sachverständige) wie auch die Namen der sie beschäftigenden Gesellschaften sind zu anonymisieren. Für eine vertrauliche Behandlung von über 13 Jahre alten relativen Daten oder Schätzdaten gibt es keinen Anlass (EuG 26.03.2025, T-441/21, UBS Group und UBS/Kommission).

Ob das Anbieten von Streamingdiensten, bei denen digitale Inhalte (zB Video- oder Audiodateien) über das Internet "live" oder "on demand" zur Verfügung gestellt werden, unter den Begriff der "digitalen Inhalte" oder "digitalen Dienstleistungen" iSd RL 2011/83/EU (VerbraucherrechteRL) fällt, kann nicht eindeutig abgegrenzt werden. Da Rechtsprechung des EuGH fehlt, die sich mit der Abgrenzung zwischen digitalen Inhalten und digitalen Dienstleistungen auseinandersetzt, wird das Verfahren mit Beschluss ausgesetzt und diese Frage wird dem EuGH zur Vorabentscheidung vorgelegt (OGH 19.03.2025, 9Ob48/24k).

Datenbetrug setzt voraus, dass der Täter zur Täuschung (iSd § 146 StGB) zur automationsunterstützten Datenverarbeitung aufbereitete (personenbezogene oder nicht personenbezogene) "falsche" oder "verfälschte" Daten oder Programme benützt. Die Angeklagte bestellte mit falschen Daten Waren bei Versandhändlern auf Rechnung. Dies genügt jedoch nicht, um zu beurteilen, ob die tatbestandsmäßige Täuschung erfolgt ist. Die Rechtssache ist im Umfang der Aufhebung an das Erstgericht zurückzuverweisen (OGH 25.02.2025, 11Os7/25a).

Der Kläger strebt im Wesentlichen die Unterlassung des Einbaus eines digitalen Strommessgeräts ("Smart-Meter") an. Das LG St. Pölten hat dem EuGH ua Fragen zur Datenverarbeitung in Stromnetzen und zur Vereinbarkeit des § 1 Abs 6 Intelligente Messgeräte-EinführungsV mit der DSGVO zur Vorabentscheidung vorgelegt. Der Beantwortung der Fragen des LG St. Pölten kommt teilweise auch für dieses Verfahren Bedeutung zu, weshalb dieses Verfahren bis zur Entscheidung des EuGH zu unterbrechen ist (OGH 18.02.2025, 6Ob218/24p).

Ein Verstoß gegen § 63 DSG (Datenverarbeitung in Gewinn- oder Schädigungsabsicht) ist ein Offizialdelikt. Ein Verstoß gegen § 111 StGB (üble Nachrede) ist ein Ermächtigungsdelikt. Nach § 196a Abs 1 StPO hat ein Beschuldigter bei Einstellung des Strafverfahrens Anspruch auf einen Pauschalersatz seiner Verteidigungskosten. Der Ersatzanspruch entfällt jedoch, wenn eine Verfolgungsermächtigung zurückgezogen wird. Die Staatsanwaltschaft stellte das Verfahren wegen § 63 DSG mangels Vorliegen der Tatbestandsvoraussetzungen und hinsichtlich übler Nachrede wegen fehlender Ermächtigung ein. Dennoch besteht Anspruch auf den Pauschalersatz, weil bereits ursprünglich keine Ermächtigung für die Verfolgung der üblen Nachrede vorlag und insofern die Ermächtigung nicht zurückgezogen wurde (OLG Wien 27.08.2024, 17Bs267/24z).

BVwG 18.02.2025, W129 2303356-1

Universität, Satzung, Videoaufzeichnungen

Der Rektor einer Universität erließ zwei Beschlüsse, um festzulegen, dass bei Departmentsitzungen Audioaufzeichnungen zu Protokollierungszwecken zulässig sind und die Aufnahmen nach Genehmigung des Protokolls "umgehend zu löschen" sind. Der Bundesminister für Bildung, Wissenschaft und Forschung ("Wissenschaftsminister") behob beide Beschlüsse mit einem Bescheid. Gegen diesen Bescheid erhob der Rektor der Universität eine erfolglose Bescheidbeschwerde.

Das BVwG hat erwogen: Gemäß Art 81c Abs 1 B-VG dürfen Universitäten "im Rahmen der Gesetze" autonom handeln und "Satzungen" erlassen. Diese sog Verordnungskompetenz der Universitäten unterliegt nur einer verdünnten Gesetzesbindung. Verordnungen der Universitätsorgane dürfen zwar nicht gegen bestehende Gesetze verstoßen, sie bedürfen aber keiner gesetzlichen Grundlage; das Gesetz ist für das Handeln der Universitätsorgane Schranke, aber nicht unabdingbare Grundlage.

Mangels Einhaltung der universitätsrechtlichen Erzeugungsvorschriften kam eine Qualifikation der verfahrensgegenständlichen Beschlüsse als Satzungsbestandteil (und damit als Verordnung) jedoch nicht in Betracht. Ebenso wenig handelte es sich bei den Beschlüssen um eine Geschäftsordnung des Rektorats, weil sich die entsprechenden universitätsrechtlichen Grundlagen in einer personellen Zuweisung von Aufgaben durch den Rektor erschöpfen. Daraus folgt, dass die beiden Beschlüsse keine geeignete Rechtsgrundlage hatten, weshalb sie in Widerspruch zu den Grundsätzen der DSGVO stehen. Die Aufhebung der beiden Beschlüsse durch den Wissenschaftsminister erfolgte somit zu Recht.

BVwG 14.02.2025, W211 2299661-1

Streitanhängigkeit, entschiedene Sache, Beschwerdeergänzung

Ein Betroffener brachte Datenschutzbeschwerde bei der DSB ein. Noch bevor ein Bescheid der DSB ergangen war, brachte der Betroffene einen neuen Schriftsatz ein, den er als "Beschwerde" betitelte aber mit den Worten einleitete "Ergänzend zu meiner Beschwerde". Die DSB deutete den Schriftsatz als "neue" Datenschutzbeschwerde und wies ihn wegen entschiedener Sache zurück. Der Betroffene erhob daher eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Ist eine Datenschutzbeschwerde durch die DSB zurückgewiesen worden, ist Sache des Beschwerdeverfahrens nur die Frage der Rechtmäßigkeit der Zurückweisung.

Die Zurückweisung wegen entschiedener Sache kommt nur in Frage, wenn die Angelegenheit durch einen rechtskräftigen Vorbescheid entschieden ist. Einen solchen Vorbescheid gab es nicht, weil die ursprüngliche Datenschutzbeschwerde bei der DSB noch anhängig war. Ungewiss war es auch, ob die DSB überhaupt ein Bescheid erlassen wird. Das Rechtsinstitut der Streitanhängigkeit iSd § 233 ZPO kennt das AVG nicht.

Jeder Schriftsatz bedarf einer Auslegung nach dessen objektiven Erklärungswert. Wenn ein Schriftsatz mit "Ergänzend zu meiner Beschwerde" eingeleitet wird, ist davon auszugehen, dass es sich bei diesem Schriftsatz um eine Beschwerdeergänzung und um keine neue Beschwerde handelt. Auch aus diesem Grund war von keiner entschiedenen Sache auszugehen.

BVwG 11.02.2025, W254 2295624-1

Auskunft, Empfänger, Zeitpunkt der Erteilung, Löschung, Widerspruch

Ein Wohnungseigentümer stellte Auskunftsersuchen an seine Hausverwaltung. In der ihm erteilten Auskunft wurden nur die Empfängerkategorien, nicht jedoch die konkreten Empfänger benannt, weshalb der Wohnungseigentümer sich bei der DSB beschwerte. Die Hausverwaltung erteilte eine ergänzende Auskunft und beauskunftete die konkreten Empfänger samt Übermittlungsgrund und Inhalt der übermittelten Daten. Die DSB stellte daher das Vorverfahren gemäß § 24 Abs 6 DSG ein.

Noch am selben Tag erhob der Wohnungseigentümer eine weitere Datenschutzbeschwerde, mit der er geltend machte, dass die Auskunft weiterhin unvollständig und unrichtig sei. Weiters machte er Verletzungen in seinen Rechten auf Löschung und Widerspruch geltend. Die DSB wies die Datenschutzbeschwerde in allen drei Punkten ab und stellte ua fest, dass Gegenstand der datenschutzrechtlichen Auskunft die zum Zeitpunkt des Einlangens des Auskunftsersuchens tatsächlich verarbeiteten Daten sind. Die vom Wohnungseigentümer erhobene Bescheidbeschwerde blieb erfolglos.

Das BVwG hat erwogen: Weder das DSG noch die DSGVO sehen in Bezug auf das Recht auf Auskunft die Feststellung vergangener Rechtsverletzungen vor, weshalb der Wohnungseigentümer durch die allenfalls verspätete Auskunftserteilung nicht in seinem Recht auf Auskunft verletzt ist.

Die Verarbeitung personenbezogener Daten ist ua dann rechtmäßig, wenn diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt (Art 6 Abs 1 lit c DSGVO). Gemäß § 24 Abs 5 WEG 2002 sind Beschlüsse der Eigentümergemeinschaft jedem Wohnungseigentümer sowohl durch Anschlag an einer deutlich sichtbaren Stelle des Hauses als auch durch Übersendung schriftlich zur Kenntnis zu bringen. Gemäß Abs 6 leg cit kann jeder Wohnungseigentümer innerhalb eines Monats ab Anschlag verlangen, dass die Rechtsunwirksamkeit des Beschlusses, zB wegen formeller Mängel, gerichtlich festgestellt wird. Der Wohnungseigentümer hat den verfahrensgegenständlichen Beschluss nicht angefochten. Daher ist dieser in Rechtskraft erwachsen.

Es ist dem Wohnungseigentümer verwehrt, über den Umweg des Datenschutzrechts eine Aufhebung dieses Beschlusses zu erwirken. Eine Datenschutzbeschwerde kann nicht dazu dienen, über die in die Zuständigkeit anderer Behörden bzw Gerichte fallenden Fragen zu entscheiden. Vor diesem Hintergrund besteht auch kein Recht des Wohnungseigentümers auf Widerspruch gemäß Art 21 DSGVO und Löschung gemäß Art 17 DSGVO.

Die Hausverwaltung ist verpflichtet, den Wohnungseigentümern gemäß § 34 WEG eine ordentliche und richtige Abrechnung zu legen. Auf Verlangen muss sie zudem jedem Wohnungseigentümer Auskunft über Namen und Zustellanschriften der übrigen Wohnungseigentümer erteilen, soweit dies zur Verständigung iZm der Ausübung von eigentümerbezogenen Rechten und Gestaltungsmöglichkeiten erforderlich ist. Hierfür ist die Verarbeitung von personenbezogenen Daten der einzelnen Wohnungseigentümer erforderlich. Ist die Datenverarbeitung für eine rechtliche Verpflichtung erforderlich, besteht kein Recht auf Widerspruch.

BVwG 17.02.2025, W274 2302842-1

Geheimhaltung, veröffentlichte Daten, Einwilligung

Ein Anrainer fühlte sich durch das in unmittelbarer Nähe liegende Nassholzlager gestört, weil es aufgrund mangelnder Wasserabflussrinnen zu enormen Mücken-, Gelsen und Insektenplagen kam. Vor diesem Hintergrund richtete er ein Auskunftsersuchen an die Bezirkshauptmannschaft ("BH"), um einvernehmlich rechtliche und organisatorische Möglichkeiten mit dem Betreiber des Holzlagers auszuloten und das Problem zu lösen. Die BH leitete die E-Mail des Anrainers inklusive seines Namens, Adresse, E-Mail-Adresse und Handynummer an den Betreiber weiter und forderte diesen zur Stellungnahme auf. Daraufhin erhob der Anrainer eine Datenschutzbeschwerde bei der DSB, weil er sich durch die Weitergabe seiner Daten an den Betreiber in seinem Recht auf Geheimhaltung verletzt erachtete. Die DSB stellte hinsichtlich der Weitergabe der E-Mail-Adresse und der Handynummer eine Verletzung seines Rechts auf Geheimhaltung fest. Dagegen erhob die BH eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Gemäß § 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Dass bestimmte personenbezogene Daten veröffentlicht sind, führt nicht zur Annahme, dass das Datenschutzregime dafür nicht gelte. Sofern zulässigerweise veröffentlichte Daten nicht bloß reproduziert werden, sondern ein neues Element mit diesen Daten verknüpft wird, handelt es sich bei dieser Verknüpfung um eine Verarbeitung gemäß Art 4 Z 2 DSGVO.

Nach dem objektiven Erklärungswert ist das hinzufügen des Namens, der Adresse, der E-Mail-Adresse und Handynummer durch den Anrainer jedoch so zu verstehen, dass die BH diese Daten für die vom Anrainer gewünschten Bemühungen einer raschen und einvernehmlichen Lösung des Problems gegenüber dem Betreiber nutzen durfte.

Eine Einwilligung iSd DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung. Aus Sicht der BH hat der Anrainer seine Kontaktdaten freiwillig preisgegeben, um sie zur Lösung des Problems einzusetzen. Es war kein Hinweis hinzugefügt, dass diese Daten durch die BH nur in eingeschränkter Weise verwendet werden durften. Da der Anrainer angab, zuvor bereits selbst an den Betreiber herangetreten zu sein, ist davon auszugehen, dass er im Rahmen dessen bereits seine E-Mail-Adresse oder Handynummer offengelegt hatte.

Daher ist anzunehmen, dass die personenbezogenen Daten aufgrund einer Einwilligung durch die BH verarbeitet wurden. Betroffene können nämlich auch wirksam eine Einwilligung zur Datenverarbeitung erteilen, ohne dass ihnen vorab nähere Informationen bereitgestellt werden. Die BH hat nicht auf öffentlich zugängliche Daten des Anrainers zugegriffen und diese verarbeitet, sondern jene Daten weitergeleitet, die ihr verfahrenseinleitend vom Anrainer übermittelt wurden. Zudem war die Handynummer des Anrainers durch Eingabe seines Vor- und Nachnamens in der Suchmaschine Google auffindbar und somit allgemein zugänglich. Dies steht der Feststellung einer Geheimhaltungspflichtverletzung gemäß § 1 DSG entgegen.

Eine Wildkamera kann, durch einen Bewegungsmelder ausgelöst, Aufnahmen machen und ist daher von anderen Formen der Videoüberwachung nicht zu unterscheiden. Durch die Wildkamera erfolgte eine grundsätzlich permanente Beweissicherung ua zwecks Gewinnung von Beweismitteln für ein zivilrechtliches Verfahren. Eine Erforderlichkeit der durchgeführten Datenverarbeitungen war jedoch nicht gegeben, weil ein gelinderes Mittel zur Verfügung stand, nämlich die anlassfallbezogene Aufnahme von Lichtbildern mittels Handykamera (BVwG 14.02.2025, W211 2288888-1).

In einem Zivilverfahren betreffend eine mögliche Einschränkung von Dienstbarkeiten sind Lichtbilder ein wesentlicher Bestandteil des zwingend zu erstattenden Vorbringens des Klägers. Die Erforderlichkeit der Datenverarbeitung in Verbindung mit den berechtigen Interessen der Geltendmachung und Verteidigung von Rechtsansprüchen ist aus einer ex ante-Sicht zu prüfen und ausreichend weit auszulegen. Die Verarbeitung eines Lichtbilds zu einem konkreten Anlassfall ist zur Geltendmachung oder Verteidigung von Rechtsansprüchen zulässig (BVwG 14.02.2025, W211 2288825-1).

Eine Abfrage von Fremddaten (Daten aus einem Fremdakt) im Polizeilichen Aktendokumentationssystem (PAD), die nicht im Rahmen der dienstlichen Aufgabenerfüllung erfolgt, ist verboten. Eine Beamtin hat sich der Ausübung des Amts zu enthalten und ihre Vertretung zu veranlassen, wenn ihre volle Unbefangenheit in Zweifel gezogen werden kann. Ein Disziplinarverstoß ist verwirklicht, wenn aus Freundschaft Fremddaten abgefragt werden (BVwG 14.02.2025, W208 2307243-1).

Allfällige datenschutzrechtliche Bedenken stehen der Vorschreibung des ORF-Beitrags nicht entgegen. Das BVwG ist zudem für datenschutzrechtliche Anbringen nur zuständig, wenn eine Bescheidbeschwerde sich gegen einen Bescheid der DSB richtet (BVwG 04.02.2025, G314 2296792-1; G314 2296798-1).

Datenschutzrechtliche Bestimmungen verfolgen nicht den Zweck, die Erhebung der Abgaben zu erschweren. Die Vorlage von für die Festsetzung der Abgabe erforderlichen Unterlagen kann daher aus datenschutzrechtlichen Gründen nicht verweigert werden (BFG 03.03.2025, RV/7102539/2021).

DSB 11.02.2025, 2024-0.195.679

Straßenfotografie, Kunstfreiheit, Fotos

Ein Straßenfotograf fertigte auf der Straße Fotos von Menschen – ua auch Kindern – an und veröffentlichte diese auf seiner Website. In einigen Fällen ließen die Bilder Rückschlüsse auf die Religionszugehörigkeit der abgebildeten Personen zu, und auf einem Foto war ein erheblicher Teil des Ausschnitts einer Betroffenen zu sehen. Die DSB wurde durch eine anonyme Anzeige darauf aufmerksam gemacht und leitete ein amtswegiges Prüfverfahren gemäß Art 58 Abs 1 lit b DSGVO ein.

Die DSB hat erwogen: Gemäß Art 8 GRC bzw § 1 DSG hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Gemäß Art 13 GRC bzw § 17a StGG sind Kunst und Forschung frei. Art 85 Abs 2 DSGVO legt fest, dass für die Verarbeitung zu wissenschaftlichen, künstlerischen oder literarischen Zwecken Abweichungen von bestimmten Kapiteln der DSGVO zulässig sind, um das Recht auf Schutz der personenbezogenen Daten mit der Meinungsäußerungsfreiheit in Einklang zu bringen.

Bei der Verarbeitung personenbezogener Daten nach § 9 Abs 2 DSG zu künstlerischen Zwecken finden die Grundsätze des Art 5 DSGVO uneingeschränkt Anwendung. Es bedarf einer Interessenabwägung im Einzelfall, um das Grundrecht auf Datenschutz mit dem Grundrecht auf Kunstfreiheit in Einklang zu bringen. Das Anfertigen und die Veröffentlichung der Fotos sind jeweils eine Verarbeitung iSd Art 4 Z 2 DSGVO. Der Straßenfotograf ist der Verantwortliche für die Webseite und die Bildverarbeitungen.

Da die Gesichter der betroffenen Personen auf den Fotos eindeutig ersichtlich und die betroffenen Personen damit identifizierbar sind, sind die fotografischen Abbildungen personenbezogene Daten. Das Recht am eigenen Bild ist eine besondere Erscheinungsform des allgemeinen Persönlichkeitsrechts. Bereits die Herstellung eines Bildnisses ohne Einwilligung des Abgebildeten kann einen unzulässigen Eingriff in dessen allgemeines Persönlichkeitsrecht darstellen. Minderjährige und Kinder sind als vulnerable Betroffene besonders schutzbedürftig. Auch Fotos, aus denen die Religionszugehörigkeit hervorgeht, auf welchen ein großer Teil des Ausschnitts zu sehen ist oder Betroffene beim Essen abbildet, unterliegen einer höheren Schutzwürdigkeit. Die Interessen der Betroffenen überwiegen in Summe den berechtigten Interessen auf Kunstfreiheit des Straßenfotografen. Die Einholung einer Einwilligung vor der Anfertigung des Bildes würde die Kunstform der Straßenfotografie zwar weitgehend verunmöglichen, jedoch wäre es dem Straßenfotografen zumutbar gewesen, zumindest im Nachhinein eine Einwilligung einzuholen. Daher ist dem Straßenfotograf aufzutragen, die genannten Fotos innerhalb einer Frist von zwei Wochen zu löschen.

Am 03.04.2025 wird das Urteil des EuGH in der Rs C-710/23, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), verkündet. Der EuGH wird die Frage beantworten, ob personenbezogene Daten einer natürlichen Person als Geschäftsführer auch dann als personenbezogene Daten gelten, wenn sie nur zum Nachweis verarbeitet werden, dass die natürliche Person für die juristische Person handlungsbefugt ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorausgegangen.

Am 09.04.2025 wird eine mündliche Verhandlung in der Rs C-291/24, Steiermärkische Bank und Sparkasse, vor dem EuGH stattfinden. Gegenstand des Verfahrens ist die verwaltungsstrafrechtliche Haftung nach dem FM-GwG. Anm: Die Rechtssache betrifft zwar das FM-GwG, ist für das Datenschutzrecht aber relevant, weil es um eine mit Art 83 DSGVO vergleichbare Haftungsregelung und um Verjährungsfristen im Anwendungsbereich des Unionsrechts geht.

EuGH Schlussanträge 20.03.2025, C-655/23, Quirin Privatbank

Unterlassungsanspruch, Wiederholungsgefahr, Schadenersatz

·     Ein Bewerber bewarb sich über Xing bei einer Bank. Eine Mitarbeiterin der Bank versendete im Rahmen dieses Bewerbungsprozesses eine Nachricht an eine dritte, nicht an diesem Bewerbungsprozess beteiligte Person. Diese leitete die Nachricht an den Bewerber weiter, der daraufhin die Unterlassung der unrechtmäßigen Datenverarbeitung und immateriellen Schadenersatz von der Bank forderte.

Der Generalanwalt hat erwogen: Ein Unterlassungsanspruch des Betroffenen bei unrechtmäßiger Verarbeitung seiner Daten lässt sich bei Wiederholungsgefahr aus Art 5 Abs 1 lit a und Art 6 Abs 1 iVm Art 79 Abs 1 DSGVO ableiten. Das Recht des Betroffenen auf Rechtmäßigkeit der Datenverarbeitung besteht, obwohl es in Kapitel III der DSGVO (Rechte der betroffenen Person) nicht ausdrücklich erwähnt ist, weil dieses Recht vorausgesetzt wird.

Das Recht, eine wiederholte unrechtmäßige Verarbeitung zu unterlassen, ist mit einem gerichtlichen Reaktionsmechanismus gekoppelt, auf den in Art 79 DSGVO Bezug genommen wird. Es spricht nichts dagegen, dass die Klage auch den Anspruch auf Verurteilung des Verantwortlichen zur Unterlassung einer wiederholten unrechtmäßigen Verarbeitung umfasst.

Art 17 und 18 DSGVO begründen kein eigenständiges Recht, vom Verantwortlichen die Unterlassung einer wiederholten rechtswidrigen Verarbeitung zu verlangen. Befolgt der Verantwortliche die Anweisung zur Löschung, stehen ihm die Daten nicht mehr zur Verfügung und er kann sie tatsächlich nicht mehr verarbeiten. Auch die Einschränkung der Verarbeitung bietet keinen ausreichenden Schutz, weil nur die Löschung vorübergehend ausgesetzt, nicht aber eine künftige unrechtmäßige Verarbeitung verhindert wird.

Es ist Sache der nationalen Rechtsordnung, unter Beachtung der Grundsätze der Äquivalenz und der Effektivität, die Voraussetzungen für die Erhebung einer gegen den für die Verarbeitung personenbezogener Daten Verantwortlichen gerichteten Unterlassungsklage zu regeln. Es spricht nichts dagegen, den Nachweis der Wiederholungsgefahr zu verlangen oder eine (widerlegbare) Vermutung einer solchen Gefahr, die sich aus einem bereits begangenen Verstoß ergibt, aufzustellen.

Durch eine Unterlassungsverfügung wird der immaterielle Schaden nicht ausgeglichen. Bei der Schadensbemessung kann ein Unterlassungsanspruch daher nicht anspruchsmindernd berücksichtigt werden.

VfGH 25.02.2025, G160/2024

NRWO, Wahlkarte, Identitätsdiebstahl, Identitätsprüfung

·     Eine Antragstellerin begehrte in Form eines Individualantrags beim VfGH die Aufhebung von Teilen des § 39 Abs 1 der Nationalrats-Wahlordnung ("NRWO") aufgrund von Verfassungswidrigkeit. Die angefochtene Bestimmung regelt die Ausstellung von Wahlkarten. Die Antragstellerin begründete ihre verfassungsrechtlichen Bedenken – kurz zusammengefasst – dahingehend, dass die angefochtene Bestimmung ihren Ausschluss von der Stimmabgabe bei der Nationalratswahl bewirkt habe, weil ein unbefugter Dritter "in ihrem Namen" eine Wahlkarte beantragt habe, die ihr nicht zugestellt wurde. § 39 Abs 1 NRWO könne einen solchen "Identitätsdiebstahl" nicht effektiv unterbinden, weil das darin geregelte Prozedere der Antragsbearbeitung von Wahlkarten niederschwellig und formlos konzipiert sei.

Der VfGH hat erwogen: Die von der Antragstellerin angefochtene Bestimmung regelt ausschließlich die Identitätsprüfung bei der Ausstellung der Wahlkarte. Die Zustellung der beantragten Wahlkarte ist hingegen in § 39 Abs 4 bis 8 NRWO geregelt. Erst aus § 70 Abs 1 und 2 NRWO ergibt sich schließlich, dass eine Person, für die eine Wahlkarte ausgestellt wurde, im Wahllokal die Wahlkarte vorzuweisen oder der Wahlbehörde zu übergeben hat, andernfalls diese Person zur Stimmabgabe nicht berechtigt ist. Das Aufhebungsbegehren umfasste allerdings ausschließlich § 39 Abs 1 NRWO, sodass der Antrag als zu eng gefasst vom VfGH zurückzuweisen war. Anm: Nach ständiger Rechtsprechung des VfGH hat der Antragsteller eines Individualantrags all jene Normen anzufechten, die für die Beurteilung einer allfälligen Verfassungswidrigkeit der Rechtslage eine untrennbare Einheit bilden. Der Anfechtungsumfang der in Prüfung gezogenen Norm darf bei sonstiger Unzulässigkeit des Prüfungsantrags nicht zu eng gewählt werden. Bei der Prüfung dieser Zulässigkeitsanforderungen legt der VfGH einen strengen Maßstab an.

·     Sind beim VfGH eine erhebliche Anzahl von Verfahren über Beschwerden iSd § 86a Abs 1 VfGG anhängig, in denen gleichartige Rechtsfragen zu lösen sind, oder besteht Grund zur Annahme, dass eine erhebliche Anzahl solcher Erkenntnisbeschwerden eingebracht werden wird, kann der VfGH ein Massenverfahren einleiten. Wirkung des Massenverfahrens ist, dass sämtliche Verfahren ausgesetzt werden, bis die Rechtsfrage vom VfGH in einem "Hauptverfahren" gelöst wird. Beim VfGH sind bereits 18 Erkenntnisbeschwerden eingelangt, die sich gegen die Verfassungsmäßigkeit der Rechtsvorschriften des ORF-Beitrags-Gesetzes 2024 richten und es ist mit einer erheblichen Anzahl weiterer solcher Erkenntnisbeschwerden zu rechnen. In den Erkenntnisbeschwerden wird ua ein Verstoß gegen das Grundrecht auf Datenschutz gemäß § 1 DSG geltend gemacht (VfGH 11.03.2025, E4624/2024).

·     Die DSGVO gibt zur Ausübung der Betroffenenrechte keine konkrete Form der Identifizierung vor. Ein elektronisches Auskunftsersuchen muss nicht zwingend mit einer qualifizierten elektronischen Signatur versehen sein. Nur wenn der Verantwortliche Zweifel hat, kann er nach Art 12 Abs 6 DSGVO weitere Informationen zur Identifizierung des Antragstellers einfordern (OLG Linz 13.03.2025, 6R29/25i).

BVwG 28.01.2025, W108 2274731-1

Gesichtserkennungsplattform, Verarbeitungsverbot, Abhilfemaßnahme, Antragsrecht

·     Ein Plattformbetreiber ohne Sitz in der EU betrieb eine Gesichtserkennungsplattform, deren Nutzer online gefundene Bilder mit Fotos von Personen abgleichen konnten. Nach einem Auskunftsersuchen erlangte ein Nutzer Kenntnis über die Verarbeitung seiner Bilder auf der Plattform. Er brachte eine Datenschutzbeschwerde bei der DSB gegen den Plattformbetreiber ein. Zusätzlich beantragte der Nutzer die Anordnung eines Verarbeitungsverbots seiner personenbezogenen Daten innerhalb der EU. Die DSB gab der Datenschutzbeschwerde statt und ordnete als Abhilfemaßnahme die Löschung der Daten des Betroffenen an. Der Antrag auf Verbot der Verarbeitung wurde zurückgewiesen. Gegen diese Zurückweisung erhob der Nutzer erfolgreich Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Hat die DSB eine Datenschutzbeschwerde zurückgewiesen, ist "Sache" des Beschwerdeverfahrens nur die Frage der Rechtmäßigkeit der Zurückweisung.

Einer betroffenen Person kommt nach der DSGVO kein subjektives Recht zu, die Verhängung eines generellen Verarbeitungsverbots zu beantragen. Die Behörde hat lediglich die Verpflichtung, in geeigneter Weise mit Abhilfemaßnahmen zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen.

Da kein subjektives Recht auf eine (bestimmte) Abhilfemaßnahme besteht, gibt es diesbezüglich auch kein Antragsrecht. Ein dennoch gestellter Antrag ist mangels Antragslegitimation zurückzuweisen.

Der von einer Partei unzulässig gestellte Antrag auf Verhängung einer bestimmten Maßnahme ist von der Behörde jedoch inhaltlich dahingehend zu prüfen, ob das Ergreifen einer in der DSGVO vorgesehenen Abhilfemaßnahme unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen. Die durchgeführte Prüfung des Antrags unterliegt anschließend der vollen inhaltlichen Überprüfung durch ein Gericht.

Die verabsäumte inhaltliche Prüfung und Ermessensausübung der DSB konnte vom BVwG weder saniert noch nachgeholt werden, weshalb der DSB die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufgetragen wird. Anm: Das Zusammenspiel zwischen innerstaatlichem Recht und Unionsrecht entfaltet seltsame Blüten. Denn nach innerstaatlichem Recht setzt eine Zurückweisung gerade keine inhaltliche Prüfung voraus. Ebenso überrascht, dass trotz fehlenden Antragsrechts ein Recht auf das Erheben eines Rechtsmittels besteht.

BVwG 20.02.2025, W287 2306632-1

Nichterteilung der Auskunft, unvollständige Auskunft, Säumnisbeschwerde

·     Ein Auskunftswerber richtete ein Auskunftsersuchen an einen Verantwortlichen. Dieser teilte ihm mit, dass seine Daten als Reaktion auf das Auskunftsersuchen irrtümlich gelöscht wurden. Eine Auskunft erteilte der Verantwortliche nicht. Der Auskunftswerber erhob Datenschutzbeschwerde. Der Verantwortliche erteilte daraufhin Auskunft über die (noch) verarbeiteten personenbezogenen Daten des Auskunftswerbers. Die DSB betrachtete die Datenschutzbeschwerde als erledigt, der Betroffene bestand jedoch weiterhin auf die Erteilung einer vollständigen bzw mangelfreien Auskunft. Der Betroffene erhob eine Säumnisbeschwerde an das BVwG.

Die DSB stellte das ursprüngliche Verfahren wegen Nichterteilung der Auskunft formlos ein und protokollierte die Säumnisbeschwerde als neue Datenschutzbeschwerde. Das BVwG wies die Säumnisbeschwerde ab.

Das BVwG hat erwogen: Gemäß § 13 Abs 8 AVG kann der verfahrenseinleitende Antrag (= Datenschutzbeschwerde) in jeder Lage des Verfahrens geändert werden, sofern die Sache ihrem Wesen nach nicht geändert und die sachliche und örtliche Zuständigkeit nicht berührt werden.

Da sich der Auskunftswerber im Laufe des Verfahrens nicht mehr wegen der Nichterteilung, sondern wegen der mangelhaften bzw unvollständigen Erteilung der Auskunft als beschwert erachtete, war nun auch eine inhaltliche Prüfung der Auskunft erforderlich. Deshalb war von der Zurückziehung der ursprünglichen Datenschutzbeschwerde bei gleichzeitiger Einbringung einer neuen Datenschutzbeschwerde auszugehen. Die Säumnisbeschwerde war zurückzuweisen, weil die Zulässigkeit einer Säumnisbeschwerde die Säumnis der DSB und somit die Verpflichtung, über den bei ihr eingebrachten Antrag mittels Bescheid zu entscheiden, voraussetzt (Entscheidungspflicht). Das Verfahren wegen der Nichterteilung der Auskunft war jedoch formlos einzustellen. Deshalb verletzte die DSB ihre Entscheidungspflicht nicht.

BVwG 05.02.2025, W298 2292389-1

Bundespräsident, Amtsverschwiegenheit, Datenschutz

·     Ein Nationalratsabgeordneter (Parteimitglied) stellte ein Auskunftsbegehren an das Bürgerservice der Präsidentschaftskanzlei (§§ 2 und 3 AuskunftspflichtG). Gegenstand des Begehrens war insbesondere die Frage, welche Kosten im Zusammenhang mit den Festspielbesuchen des Bundespräsidenten und seiner Begleitung angefallen waren. Das Parteimitglied erachtete die Beantwortung seiner Anfrage für unvollständig. Mit Bescheid ergänzte der Bundespräsident seine Antwort. Dennoch hielt das Parteimitglied die erteilte Auskunft für nicht gesetzeskonform. Der Bundespräsident hielt fest, dass soweit die Auskunftserteilung zu einem Sicherheitsrisiko für den Bundespräsidenten, seiner Gemahlin oder von Mitarbeitenden führen kann, die Informationsweitergabe zwingend zu unterbleiben hat. Das Parteimitglied sei überdies kein "public watchdog". Die vom Parteimitglied erhobene Bescheidbeschwerde an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Gemäß § 1 Abs 1 AuskunftspflichtG haben die Organe des Bundes "über Angelegenheiten ihres Wirkungsbereiches" Auskünfte zu erteilen. Der Begriff "Auskunft" umfasst die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens.

Aus Art 10 Abs 1 EMRK resultiert keine Verpflichtung des Staates, den Zugang zu Informationen zu gewährleisten oder selbst Informationen bereitzustellen. Unter bestimmten Voraussetzungen ist jedoch ein Recht auf Zugang zu Informationen gewährleistet. Dies ist der Fall, wenn ua der Zugang für die Ausübung der Meinungsäußerungsfreiheit maßgeblich ist. Zum Beispiel, wenn Grundrechtsträger in der Funktion als "public watchdog" im öffentlichen Interesse tätig werden.

Auskünfte sind grundsätzlich zu geben, soweit eine gesetzliche Verschwiegenheitspflicht dem nicht entgegensteht (§ 1 Abs 1 AuskunftspflichtG). Sie sind insoweit zu erteilen, als dadurch die Besorgung der übrigen Aufgaben eines Organes nicht wesentlich beeinträchtigt wird. Auskunft ist weiters dann nicht zu erteilen, wenn sie offenkundig mutwillig begehrt wird (§ 1 Abs 2 AuskunftspflichtG).

Zur Beurteilung, ob ein subjektiver Auskunftsanspruch gegenüber dem Rechtsträger besteht, ist der Zweck des Auskunftsersuchens relevant. Wenn das Parteimitglied sein Auskunftsersuchen mit seiner parlamentarischen Kontrollpflicht begründet, kann daraus kein weitergehendes Recht auf Zugang zu Informationen iSd AuskunftspflichtG abgeleitet werden. Selbst die Privilegierung als "public watchdog" würde keine Informationspflichten begründen, soweit Geheimhaltungspflichten entgegenstehen.

Die Verpflichtung zur Auskunftserteilung kann durch andere verfassungsrechtliche Vorschriften (insb Art 20 Abs 3 B-VG und § 1 DSG) und auf Grundlage der in Art 20 Abs 4 B-VG enthaltenen Ermächtigung auch durch einfachgesetzliche Regelungen (zB datenschutzrechtlichen Geheimhaltungspflichten) beschränkt sein. Betreffend die Amtsverschwiegenheit sind die Interessen der Gebietskörperschaft und der Parteien zu berücksichtigen.

Eine genaue Auflistung der für einzelne Personen angefallenen Reisekosten ist nicht notwendig. Für die begehrte Auskunft müssten Daten von Dritten erhoben, verarbeitet und übermittelt werden, ohne dass ein entsprechender Verarbeitungsgrund vorliegt. Auch wenn die Begleitpersonen in der Auflistung nicht namentlich genannt sind, könnten vereinzelt dennoch Rückschlüsse auf diese gezogen werden. Ebenso würde die genaue Auskunft über die Auswahl der Transportmittel Rückschlüsse auf personenbezogene Daten einzelner Mitarbeiter des Bundespräsidenten und seiner Ehegattin zulassen. Weiters könnte dies die Sicherheit des Bundespräsidenten gefährden. Dies gilt auch in Bezug auf die Unterbringungskosten.

BVwG 11.02.2025, W256 2247121-1

Bauverfahren, Interessenabwägung, Datenaustausch aufgrund von Rechtsansprüchen

·     Der Betroffene beauftragte eine Baufirma mit der Errichtung eines Doppelwohnhauses. Ein Nachbar des Betroffenen erhob wiederholt Einsprüche gegen dieses Vorhaben, was zu einem langwierigen Prozess führte. Gleichzeitig führte der Betroffene ein Verfahren wegen fehlerhafter Bauausführungen gegen die Baufirma. Im Zuge der Korrespondenzen bezüglich der Verfahren drohte die Baufirma dem Betroffenen an, den gesamten Mailverkehr und darin enthaltene Informationen zur Bauausführung an den Nachbarn weiterzugeben, falls der Betroffene die ausstehenden Zahlungen nicht leisten sollte.

Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB, welche diese abwies, weil die Datenübermittlung nicht festgestellt werden konnte. Der Betroffene richtete eine Bescheidbeschwerde an das BVwG und behauptete, dass der Nachbar E-Mails erhalten habe, die ausschließlich zwischen ihm und der Baufirma ausgetauscht wurden. Diese E-Mails enthielten Informationen, die der Nachbar in dem anhängigen Bewilligungsverfahren des Bauvorhabens verwendet hat.

Das BVwG hat entschieden: Gemäß § 1 Abs 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Eine Beschränkung des Grundrechts auf Datenschutz ist gemäß § 1 Abs 2 DSG zulässig, wenn die Datenverarbeitung rechtmäßig ist und in der gelindesten, zum Ziel führenden Art vorgenommen wird. Eine Konkretisierung der Anforderungen einer rechtmäßigen Datenverarbeitung sieht Art 6 DSGVO vor.

Gemäß Art 6 Abs 1 lit f und Art 9 Abs 2 lit f DSGVO ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen sind ein berechtigtes Interesse, das eine Verarbeitung von Daten legitimiert.

Zum Zeitpunkt der Datenübermittlung gab es einerseits zwischen dem Betroffenen und der Baufirma und andererseits zwischen dem Betroffenen und dem Nachbarn jeweils ein anhängiges Verfahren. Der Datenaustausch erfolgte im direkten Zusammenhang mit diesen beiden Rechtsstreitigkeiten zur Verteidigung und Geltendmachung von Rechtsansprüchen der Baufirma und des Nachbarn. Die Baufirma hat ein berechtigtes Interesse, sich gegen zivilgerichtliche Vorwürfe zu verteidigen und dazu Unterstützung bei Dritten einzuholen. Auch der Nachbar hat ein berechtigtes Interesse, Informationen über die Einhaltung von Bauvorschriften zu erhalten, um Rechtsansprüche im Bewilligungsverfahren geltend zu machen. Die Interessenabwägung iSd Art 6 Abs 1 lit f DSGVO führt sohin zum Ergebnis, dass die Interessen des Betroffenen an der Vertraulichkeit seiner Daten die berechtigten Interessen der Baufirma und des Nachbarn nicht überwiegen. Die Übermittlung der Daten an den Nachbarn war daher rechtmäßig.

·     Die Verarbeitung von Kontaktdaten potenzieller Arbeitnehmer zum Zweck der Anbahnung eines Dienstverhältnisses kann im Rahmen der Arbeitskräfteüberlassung ein berechtigtes Interesse im Sinne von Art 6 Abs 1 lit f DSGVO sein. Die Übermittlung von Werbung durch Telefonanruf bedarf jedoch ausnahmslos nach § 174 Abs 1 TKG 2021 einer vorherigen Einwilligung. Die Voraussetzungen für eine gültig abgegebene Einwilligung ergeben sich aus Art 7 DSGVO. Nach Abgabe einer Widerspruchserklärung iSd Art 21 DSGVO ist jegliche Verarbeitung personenbezogener Daten zum Zweck der Kontaktaufnahme mit dem Betroffenen, gleich ob auf elektronischem oder anderem Wege, gemäß Art 21 Abs 2 und 3 DSGVO unzulässig (BVwG 03.02.2025, W292 2285781-1).

·     Werden während des laufenden Verfahrens die verfahrensgegenständlichen Insolvenzdaten gelöscht, ist das Verfahren einzustellen. Ein subjektives Recht auf die rückwirkende Feststellung einer zwischenzeitlich vom Verantwortlichen beseitigten Verletzung im Recht auf Löschung gewährt weder das DSG noch die DSGVO. Wurde vor der DSB die Feststellung der Verletzung des Rechts auf Löschung begehrt, darf die DSB die Verletzung anderer Rechte nicht feststellen (BVwG 03.02.2025, W292 2285575-1).

·     Wird während des laufenden Verfahrens dem Berichtigungsersuchen durch Löschung des Eintrags "Teilweise Tilgung" in der Warnliste der Banken des "KSV 1870" entsprochen, ist das Verfahren einzustellen. Durch Wegfall des Rechtsschutzinteresses wird der Betroffene materiell klaglos gestellt (BVwG 26.02.2025, W101 2250871-1).

·     Der Betroffene hat mehrere Verfahren vor der DSB geführt, obwohl er über keine Vertretungsvollmacht für den Minderjährigen verfügte, für den er die Datenschutzbeschwerden eingebracht hat. Da der Betroffene weiterhin über keine Vertretungsbefugnis verfügt, war sein Wiederaufnahmeantrag zurückzuweisen (BVwG 19.02.2025, W137 2305838-1).

·     Verfügt ein Antragsteller über entsprechende Fähigkeiten im Verkehr mit Behörden und ist er in der Lage, seine Rechte selbst wahrzunehmen, ist in Verfahren vor den Verwaltungsgerichten (hier das BVwG) kein Verfahrenshelfer beizugeben. Bringt ein Betroffener eine Datenschutzbeschwerde und eine Säumnisbeschwerde ein, ist davon auszugehen, dass er in der Lage ist, seine Rechte selbst wahrzunehmen, sodass der Antrag auf Verfahrenshilfe abzuweisen ist. Denn anders als Zivilgerichte hat das BVwG die Beweise von Amts wegen zu erheben und den Gang des Verfahrens zu bestimmen (BVwG 11.02.2025, W256 2293315-2).

·     Spenden sind nur dann als Sonderausgaben zu berücksichtigen, wenn dem Spendenempfänger Vor- und Zuname und das Geburtsdatum des Leistenden bekannt gegeben werden und der Spendenempfänger der Abgabenbehörde das verschlüsselte bereichsspezifische Personenkennzeichen ("bPK") für Steuern und Abgaben des Leistenden und den Gesamtbetrag aller Spenden übermittelt. Datenschutzrechtliche Bedenken gegen diese Regelung bestehen nicht (BFG 19.02.2025, RV/5100235/2024).

·     Am 20.03.2025 wurde die "Durchführungsverordnung (EU) 2025/512 der Kommission vom 13. März 2025 über technische Modalitäten für die Entwicklung, Wartung und Nutzung elektronischer Systeme für den Austausch und die Speicherung von Informationen gemäß der Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates", ABl L 2025/512, kundgemacht. Mit dieser auf den EU-Zollkodex gestützten DurchführungsVO werden technische Modalitäten für nach den zollrechtlichen Vorschriften erforderlichen Austausch von Informationen in zentralen Systemen festgelegt. Ua soll auf Data Mining gesetzt werden. Unter Data Mining ist nach dieser DurchführungsVO die Analyse großer Datenmengen in digitaler Form durch Analysetechniken zur Generierung von Informationen, die Muster, Trends und Korrelationen umfassen, um Risiken zu mindern und eine fundierte Entscheidungsfindung auf der Grundlage menschlicher Eingriffe zu ermöglichen, zu verstehen. Anm: Die DurchführungsVO (EU) 2025/512 sieht somit den Einsatz künstlicher Intelligenz vor.

·     Am 27.03.2025 werden die Schlussanträge in der Rs C-97/23 P, WhatsApp Ireland/Comité européen de la protection des données, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Beschluss des Europäischen Datenschutzausschusses (EDSA) angefochten werden kann.

·     Am 27.03.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße. Anm: Die Schlussanträge in dieser Rechtssache waren bereits für den 27.02.2025 angekündigt.

·     Am 03.04.2025 wird das Urteil des EuGH in der Rs C-710/23, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), verkündet. Der EuGH wird die Frage beantworten, ob personenbezogene Daten einer natürlichen Person als Geschäftsführer auch dann als personenbezogene Daten gelten, wenn sie nur zum Nachweis verarbeitet werden, dass die natürliche Person für die juristische Person handlungsbefugt ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorausgegangen.

·     Am 09.04.2025 wird eine mündliche Verhandlung in der Rs C-291/24, Steiermärkische Bank und Sparkasse, vor dem EuGH stattfinden. Gegenstand des Verfahrens ist die verwaltungsstrafrechtliche Haftung nach dem FM-GwG. Anm: Die Rechtssache betrifft zwar das FM-GwG, ist für das Datenschutzrecht aber relevant, weil es um eine mit Art 83 DSGVO vergleichbare Haftungsregelung und um Verjährungsfristen im Anwendungsbereich des Unionsrechts geht.

EuGH 13.03.2025, C-247/23, Deldits

Berichtigung, öffentliches Register, Geschlechtseintrag, Transidentität, Nachweis

·     Ein iranischer Staatsangehöriger erhielt in Ungarn die Flüchtlingseigenschaft zuerkannt. In den ärztlichen Attesten, die er zur Stützung seines Antrags vorgelegt hatte, wurde bescheinigt, dass er als Frau geboren wurde, aber eine männliche Geschlechtsidentität hat. Dennoch wurde der Asylberechtigte im Flüchtlingsregister als Frau eingetragen. Im Jahr 2022 beantragte der Asylberechtigte bei der zuständigen Ausländerbehörde gemäß Art 16 DSGVO die Berichtigung seines Geschlechtseintrags sowie die Änderung seines Vornamens im Flüchtlingsregister. Die Behörde lehnte den Antrag ab, weil der Asylberechtigte keine geschlechtsangleichende Operation nachweisen konnte. Das vorlegende Gericht stellte dem EuGH mehrere Fragen iZm der Auslegung von Art 16 DSGVO, ua zur Notwendigkeit eines Nachweises für den Berichtigungsantrag und zur Anforderung einer geschlechtsangleichenden Operation.

Der EuGH hat erwogen: Gemäß Art 16 DSGVO hat der Betroffene das Recht, von dem Verantwortlichen unverzüglich die Berichtigung ihn betreffender unrichtiger personenbezogener Daten zu verlangen. Weiters ist auch der Grundsatz der Datenrichtigkeit (Art 5 Abs 1 lit d DSGVO) zu beachten, wonach die verarbeiteten Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Die Richtigkeit und Vollständigkeit personenbezogener Daten sind nach dem Zweck zu beurteilen, für den die Daten erhoben wurden.

Da Ungarn bereits im Asylverfahren anerkannt hatte, dass der Betroffene eine transgeschlechtliche Person ist, war die im Flüchtlingsregister enthaltene Angabe zur Geschlechtsidentität bereits zum Zeitpunkt ihrer Eintragung unrichtig. Ein Mitgliedstaat kann sich nicht auf spezifische, auf der Grundlage von Art 6 Abs 2 und 3 DSGVO erlassene nationale Bestimmungen berufen, um das Recht auf Berichtigung zu verweigern. Diese Bestimmungen dienen nur dazu, die Anwendung der Vorschriften der DSGVO genauer festzulegen, nicht aber dazu, von ihnen abzuweichen.

Ein Mitgliedstaat kann das Recht auf Berichtigung auch nicht mit der Begründung verweigern, dass es in seinem nationalen Recht kein Verfahren zur rechtlichen Anerkennung von Transidentität gibt. Somit ist eine nationale Regelung, die einer transgeschlechtlichen Person wegen fehlender Anerkennung ihrer Geschlechtsidentität den Zugang zu einem unionsrechtlich geschützten Anspruch verwehrt, mit dem Unionsrecht unvereinbar. Folglich ist Art 16 DSGVO dahingehend auszulegen, dass eine nationale Behörde, die ein öffentliches Register führt, personenbezogene Daten zur Geschlechtsidentität berichtigen muss.

Der Betroffene kann verpflichtet sein, Nachweise vorzulegen, die vernünftigerweise verlangt werden können, um die Unrichtigkeit der Daten festzustellen. Ein Mitgliedstaat darf das Recht auf Berichtigung jedoch nur unter Beachtung von Art 23 DSGVO beschränken.

Eine Verwaltungspraxis, wonach eine transgeschlechtliche Person ihr Recht auf Berichtigung der Geschlechtsidentität in einem öffentlichen Register nur ausüben kann, wenn sie eine geschlechtsangleichende Operation nachweist, ist mit Art 16 DSGVO unvereinbar. Darüber hinaus beeinträchtigt eine solche Verwaltungspraxis den Wesensgehalt der Grundrechte auf Unversehrtheit (Art 3 der EU-Grundrechtecharta; GRC) und auf Achtung des Privatlebens (Art 7 GRC). Nach der Rsp des EGMR darf die Anerkennung der Geschlechtsidentität einer transgeschlechtlichen Person nicht davon abhängig gemacht werden, dass sich diese Person entgegen ihrem Wunsch einer Operation unterzieht.

VwGH 10.12.2024, Ro 2021/04/0022

Suchmaschine, Unterlassungsanspruch Löschung, De-Indexierung, Informationsfreiheit

·     Ein ehemaliger österreichischer Dienstnehmer eines international führenden Investmentbanking- und Wertpapierhandelsunternehmens in London wurde beschuldigt, eine Frau vergewaltigt zu haben. Er wurde jedoch im Strafverfahren von allen Vorwürfen freigesprochen. Mehrere Medien im Vereinigten Königreich berichteten über den Vorwurf und das Strafverfahren unter Nennung seines vollen Namens. Die Berichte erschienen auch in der Ergebnisliste einer Suchmaschine, die von einer Suchmaschinenbetreiberin mit Sitz in den USA betrieben wird. Der Dienstnehmer erhob bei der DSB eine Datenschutzbeschwerde gegen diese Suchmaschinenbetreiberin und zwei ihrer Tochtergesellschaften wegen Verletzung seines Rechts auf Löschung gemäß Art 17 DSGVO und seines Rechts auf Geheimhaltung gemäß § 1 DSG. Er beantragte unter anderem die Entfernung der Suchergebnisse und die Unterlassung der neuerlichen Indexierung dieser und sinngleicher Inhalte. Nachdem die DSB die Datenschutzbeschwerde abwies, erhob der Dienstnehmer eine (erfolglose) Bescheidbeschwerde beim BVwG. Die gegen das Erkenntnis des BVwG gerichtete Revision des Dienstnehmers war teilweise erfolgreich.

Der VwGH hat erwogen: Das Recht auf Löschung umfasst das Recht auf dauerhafte Löschung, dh das Recht, dass die gelöschten bzw zu löschenden Daten, solange deren Verarbeitung eine Verletzung des Schutzes personenbezogener Daten darstellt, gelöscht bleiben.

Die bloße Löschung unrechtmäßig verarbeiteter Daten beseitigt die Rechtsverletzung nicht vollständig, wenn die Gefahr besteht, dass die Daten erneut vom Verantwortlichen unrechtmäßig verarbeitet werden. Einem Betroffenen steht daher bei Vorliegen von Wiederholungsgefahr neben dem Löschungsanspruch auch ein Unterlassungsanspruch zu. Da vom BVwG nicht klar festgestellt wurde, ob die URL trotz zwischenzeitiger Auslistung in Zukunft wieder online gestellt und in weiterer Folge die ausgelisteten Suchergebnisse wieder gelistet werden könnten, wurde das Unterlassungsbegehren aufgrund eines sekundären Feststellungmangels fälschlich abgewiesen.

Das Recht auf Vergessenwerden gemäß Art 17 Abs 3 lit a DSGVO kann eingeschränkt werden, wenn die neuerliche Indexierung bereits ausgelisteter Suchergebnisse unter anderem zur Ausübung des Rechts auf Informationsfreiheit iSd Art 11 GRC erforderlich ist. Es bedarf einer Abwägung zwischen den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten einerseits und dem Recht auf Informationsfreiheit andererseits unter Berücksichtigung der Umstände des Einzelfalls. Dabei sind einige wesentliche Kriterien wie etwa der Beitrag zu einer Debatte von allgemeinem Interesse und der Bekanntheitsgrad der Betroffenen zu beachten. Insbesondere dann, wenn die Betroffene im öffentlichen Leben eine Rolle spielt, muss sie ein höheres Maß an Toleranz aufbringen, weil sie in diesem Fall zwangsläufig und bewusst im Blick der Öffentlichkeit steht.

Im Rahmen der Interessenabwägung ist zu beachten, dass der Dienstnehmer von dem Vorwurf des sexuellen Missbrauchs rechtskräftig freigesprochen wurde und bereits erhebliche wirtschaftliche und soziale Nachteile nicht auszuschließen sind. Da der Dienstnehmer erst durch die Berichterstattung über das gegen ihn anhängige Strafverfahren einer breiten Öffentlichkeit bekannt wurde, ist seine berufliche und soziale Stellung im Rahmen der Interessenabwägung daher besonders zu berücksichtigen.

Die DSB hat bei Feststellung einer Verletzung des Schutzes personenbezogener Daten geeignete, erforderliche und verhältnismäßige Abhilfemaßnahmen zu ergreifen. Dazu werden in Art 58 Abs 2 DSGVO verschiedene Abhilfebefugnisse aufgezählt. Der Betroffenen steht jedoch kein subjektives Recht auf eine bestimmte Abhilfemaßnahme zu. Die DSB hat unter Berücksichtigung aller Umstände des Einzelfalls das geeignete Mittel zu wählen. Der Dienstnehmer hat neben dem Recht auf Löschung also kein Recht auf Ergreifen einer bestimmten Abhilfemaßnahme.

Während 18 der 24 URL von der Suchmaschinenbetreiberin gelöscht wurden, weigerte sich die Suchmaschinenbetreiberin, sechs weitere URL auszulisten. Diese wurden ohne Einschreiten der Suchmaschinenbetreiberin ausgelistet, weil die Quellseiten offline gegangen sind, weshalb diese URL jederzeit wieder indexiert werden könnten. Der Dienstnehmer kann daher trotz Löschung seiner unrechtmäßig verarbeiteten Daten weiterhin die Feststellung der Rechtsverletzung begehren, weil die bloße Löschung die Rechtsverletzung nicht vollständig beseitigt und Wiederholungsgefahr besteht

OGH 18.02.2025, 6Ob102/24d

Vorabentscheidungsersuchen, Verantwortliche, Datenherkunft, Schadenersatz, Amtshaftung

·     Ein Volksschulleiter ("Schulleiter") organisiert Fortbildungsprogramme für seine Lehrer, für die von der Pädagogischen Hochschule ua Prozessbegleiter zur Verfügung gestellt werden. In einem mündlichen Gespräch erkundigte sich der Schulleiter bei einem Lehrer über den von der Pädagogischen Hochschule vorgeschlagenen Prozessbegleiter. Daraufhin äußerte er seinen beruflichen E-Mail-Zugang Bedenken. Über das Gespräch wurde kein Aktenvermerk oder sonst ein Dokument angelegt. Der Prozessbegleiter erfuhr vom Inhalt der E-Mail und forderte den Schulleiter auf, ihm Auskunft zu erteilen und eine Kopie der verarbeiteten personenbezogenen Daten zu übersenden. Der Schulleiter teilte ihm mit, dass er nie dessen personenbezogene Daten besessen oder weitergegeben habe, er habe lediglich seine Bedenken zur Besetzung der Prozessbegleitung geäußert. Der Prozessbegleiter klagte auf Auskunftserteilung, Herausgabe einer Kopie der Daten und Zahlung von immateriellem Schadenersatz.

Der OGH beschloss das Verfahren auszusetzen und dem EuGH mehrere Fragen zur Vorabentscheidung vorzulegen, die (i) den Begriff des Verantwortlichen, (ii) das Auskunftsrecht zur Datenherkunft sowie (iii) den immateriellen Schadenersatz betreffen.

Der OGH hat erwogen: Eine juristische Person, Einrichtung, Behörde oder andere Stelle kann letztlich nur durch das Handeln der für sie tätigen natürlichen Personen agieren. Der Wortlaut von Art 4 Z 7 DSGVO lässt offen, ob eine natürliche Person, die nicht im eigenen Interesse, sondern im Interesse der Organisation handelt, als Verantwortlicher anzusehen ist, oder ob die Haftung als Verantwortlicher stets die Organisation trifft. Denkbar wäre auch eine Haftung der Organisation und der natürlichen Person nebeneinander.

Unklar ist, wie weit der Begriff des Art 15 Abs 1 lit g DSGVO "alle verfügbaren Informationen" reicht. Die in der E-Mail enthaltenen Daten könnten als vom Schulleiter stammend gelten oder auch meinungsbildende Parameter erfassen. Es ist daher die Reichweite der Einbeziehung von Umständen und Einflüssen auf die Meinungsbildung des Äußernden zu klären. Dabei ist auch die Frage zu lösen, ob bereits Vorgänge, die eine bloße "Vorstufe" für die spätere Datenverarbeitung bilden, unter die Transparenzpflicht fallen.

Mit der Auskunft über den mündlichen "Informanten" werden auch dessen Rechte und Freiheiten berührt. Fraglich ist, ob bei der Abwägung zwischen den Interessen des Informanten und des Betroffenen den Umständen des Gesprächs Bedeutung zukäme (zB Vertraulichkeit des Gesprächs, Autoritätsverhältnis zwischen den Gesprächspartnern). Das Ziel eines hohen Schutzniveaus für personenbezogene Daten könnte dafür sprechen, auch Informationsquellen einer rufschädigenden Aussage offenzulegen – unabhängig davon, ob diese Person wusste, dass ihre Äußerung verarbeitet wird.

Zu klären ist auch, ob ein Verstoß gegen die Auskunftspflicht nach Art 15 DSGVO allein einen Schadenersatzanspruch nach Art 82 DSGVO begründet. Dagegen spricht, dass die Auskunftspflicht nicht zwingend mit einer Datenverarbeitung verknüpft ist und auch Negativauskünfte umfasst. Eine verspätete oder widersprüchliche Auskunft könnte jedoch Zweifel an der Rechtmäßigkeit einer Datenverarbeitung hervorrufen. Aufgrund des Ziels eines hohen Schutzniveaus könnte eine verspätete, widersprüchliche oder nicht erteilte Auskunft selbst eine DSGVO-widrige Datenverarbeitung (anlässlich der Auskunftserteilung) darstellen.

Die direkte Inanspruchnahme des Schulleiters ist nach nationalem Recht ausgeschlossen. Der Geschädigte müsste Amtshaftungsansprüche bei den in § 1 AHG genannten Rechtsträgern geltend mache. Da Art 82 Abs 2 DSGVO die Haftung des Verantwortlichen vorsieht, stellt sich die Frage, ob die nationalen Bestimmungen des AHG insoweit wegen Unionsrechtswidrigkeit unangewendet bleiben müssen.

·     Der Kläger begehrte immateriellen Schadenersatz. Der OGH setzte das Verfahren bis zur Entscheidung des EuGH in mehreren Vorabentscheidungsverfahren aus. Der EuGH hat in diesen Vorabentscheidungsverfahren entschieden, daher war das Verfahren fortzusetzen. Der Kläger begehrte jedoch ua Schadenersatz wegen der unvollständigen Beantwortung seines Auskunftsersuchens. Die Frage, ob eine Verletzung des Rechts auf Auskunft einen Schadenersatz begründet, ist Gegenstand des parallel beim EuGH gerade neu eingeleiteten Vorabentscheidungsverfahrens zu 6 Ob 102/24d. Das Verfahren hat daher bis zur Entscheidung des EuGH in diesem neuen Vorabentscheidungsverfahren ausgesetzt zu bleiben (OGH 18.02.2025, 6Ob137/24a).

·     Die Höhe von bestimmten – Differenzgeschäften zu Grunde liegenden – Hebeln sind personenbezogene Daten. Dies auch dann, wenn die Hebel bei hunderten Kunden und tausenden Trades gleich hoch sein können. Daten, die für sich alleine keine "personenbezogenen" Daten sind, können zu personenbezogenen Daten werden, wenn sie sich in der Sphäre einer Person befinden, die bei vernünftiger Betrachtung über die Mittel verfügt, um sie einer bestimmten Person zuzuordnen (OLG Innsbruck 08.01.2025, 4R136/24t). Anm: Das OLG Innsbruck unterscheidet – leider in schon gewohnter Tradition der österreichischen Rechtsprechung – nicht zwischen der "Information über eine Person" und der "Identifizierbarkeit einer Person". Der Begriff des Personenbezugs wird – unnötig und zu Lasten der Verantwortlichen –nochmals erweitert. In der bisherigen Rechtsprechung hat die bloße Möglichkeit der Zuordnung für den Personenbezug nicht ausgereicht und wurde sogar ausdrücklich verneint.

·     Wurde eine Vollmachtsurkunde entgegen der Anmerkung "handschriftlich" elektronisch unterzeichnet und weicht diese Unterschrift maßgeblich von jener auf dem Ausweis des Klägers ab, sind Zweifel an der Vollmachterteilung iSd Art 12 Abs 6 DSGVO begründet. Durch Verweigerung der Auskunftserteilung wird daher keine Veranlassung zur Klagsführung gegeben, sodass die Kostenersatzpflicht nach § 45 ZPO greift. Erst gegenüber dem Gericht kann sich ein Rechtsanwalt gemäß § 8 RAO auf die ihm erteilte Vollmacht berufen. Anerkennt daraufhin der beklagte Verantwortliche den Auskunftsanspruch, hat der Kläger die Prozesskosten zu tragen (OLG Linz 05.03.2025, 2R32/25a).

·     Gegen Verletzungen des Datenschutzrechts besteht der Rechtsschutz bei der DSB und gegen Entscheidungen der DSB beim BVwG. Das LVwG NÖ ist unzuständig (LVwG NÖ 01.12.2023, LVwG-M-55/001/2022).

·     Am 14.03.2025 wurde die "Delegierte Verordnung (EU) 2025/416 der Kommission vom 29. November 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des Inhalts und des Formats von Auftragsbuchaufzeichnungen für Anbieter von Kryptowerte-Dienstleistungen, die eine Handelsplattform für Kryptowerte betreiben", ABl L 2025/416, kundgemacht. In dieser DelgiertenVO werden Regulierungsstandards festgelegt, die Anbieter von Kryptowerte-Dienstleistungen, die eine Handelsplattform für Kryptowerte betreiben, bei Auftragsbuchaufzeichnungen einzuhalten haben.

·     Am 14.03.2025 wurde die "Delegierte Verordnung (EU) 2025/417 der Kommission vom 28. November 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Präzisierung der Art der Darstellung von Daten zur Transparenz durch Anbieter von Kryptowerte-Dienstleistungen, die eine Handelsplattform für Kryptowerte betreiben", ABl L 2025/417, kundgemacht. In dieser DelgiertenVO werden für Anbieter von Kryptowerte-Dienstleistungen, die eine Handelsplattform für Kryptowerte betreiben, Transparenzvorschriften festlegt.

·     Am 13.03.2025 veröffentlichte die Europäische Kommission, die Entwürfe der "Commission Implementing Regulation on the technical description of the categories of important and critical products with digital elements pursuant to Regulation (EU) 2024/2847 of the European Parliament and of the Council" samt Anhängen zur Konsultation. Mit dieser DurchführungsVO bzw in ihren Anhängen werden die technischen Spezifikationen der in den Anhängen III und IV der Cyberresilienz-Verordnung aufgelisteten "Wichtigen Produkte mit Digitalen Elementen" und "Kritischen Produkte mit Digitalen Elementen" umschrieben. Rückmeldungen sind bis (einschließlich) 15.04.2025 möglich.

·     Am 20.03.2025 werden die Schlussanträge in der Rs C-655/23, Quirin Privatbank, veröffentlicht. Gegenstand des Verfahrens sind immaterieller Schadenersatz nach Art 82 DSGVO und Unterlassungsansprüche.

·     Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

·     Am 27.03.2025 werden die Schlussanträge in der Rs C-97/23 P, WhatsApp Ireland/Comité européen de la protection des données, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Beschluss des Europäischen Datenschutzausschusses (EDSA) angefochten werden kann.

·     Am 27.03.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße. Anm: Die Schlussanträge in dieser Rechtssache waren bereits für den 27.02.2025 angekündigt.

·     Am 09.04.2025 wird eine mündliche Verhandlung in der Rs C-291/24, Steiermärkische Bank und Sparkasse, vor dem EuGH stattfinden. Gegenstand des Verfahrens ist die verwaltungsstrafrechtliche Haftung nach dem FM-GwG. Anm: Die Rechtssache betrifft zwar das FM-GwG, ist für das Datenschutzrecht aber relevant, weil es um eine mit Art 83 DSGVO vergleichbare Haftungsregelung und um Verjährungsfristen im Anwendungsbereich des Unionsrechts geht.

OGH 29.01.2025, 12Os79/24w

Sicherstellung personenbezogener Daten, Einspruch nach § 106 StPO

·      Die Zentrale Staatsanwaltschaft zur Verfolgung von Wirtschaftsstrafsachen und Korruption (WKStA) führte ein Ermittlungsverfahren wegen verschiedener Straftaten gegen zwei Amtsträger. Die WKStA richtete eine Sicherstellungsanordnung an das Bundesamt für Korruptionsbekämpfung (BAK) und ordnete die Sicherstellung folgender Gegenstände an: Innerhalb eines näher umschriebenen Zeitraums die E-Mail-Postfächer, eOffice-Dokumente, sonstige Co-Working-Spaces sowie Laufwerke samt Backups und Sicherungskopien sämtlicher Mitarbeiter des Bundeskanzleramtes (BKA) in den Bereichen Öffentlichkeitsarbeit, Informationstätigkeit und Kabinett des Bundeskanzlers.

Die Republik Österreich, vertreten durch die Finanzprokuratur, erhob Einspruch gemäß § 106 Abs 1 StPO und beantragte die Aufhebung der Sicherheitsanordnung, ua weil eine Vielzahl privater und sensibler Daten betroffen wären. Das LG für Strafsachen Wien wies den Einspruch ab. Das OLG Wien gab der dagegen erhobenen Beschwerde zwar keine Folge, erklärte den Einspruch aber grundsätzlich für zulässig. Daraufhin erhob die Generalprokuratur eine (erfolglose) Nichtigkeitsbeschwerde zur Wahrung des Gesetzes an den OGH.

Der OGH hat erwogen: Der Begriff des "subjektiven Rechts" iSd hier relevanten § 106 Abs 1 Z 2 StPO stellt auf eine Kontrolle von Grundrechten und darauf ab, dass der Einspruchswerber sich selbst unmittelbar in einem subjektiven Recht verletzt erachtet.

Im Hoheitsvollzug sind staatliche Organe keine Grundrechtsträger, sondern allein grundrechtsverpflichtet. Der Bund kann aber nach Art 17 B-VG (Privatwirtschaftsverwaltung) Träger von Privatrechten sein, womit ihm auch als Rechtsunterworfenen die Ausübung von subjektiven Rechten zur Kontrolle von Grundrechten zustehen kann.

Die Vorinstanzen haben keine Aussage darüber getroffen, in Erfüllung welcher staatlicher Aufgabe das BKA oder der Bund den Gewahrsam an den von der Sicherstellungsanordnung umfassten Daten begründet haben. Die Generalprokuratur machte jedoch keine entsprechenden Feststellungs- oder Begründungsmängel geltend, daher ist kein Gesetzesverstoß bei der Annahme der Zulässigkeit des vorliegenden Einspruchs auszumachen.

·      Richtet ein Rechtsanwalt für seinen Mandanten ein Auskunftsersuchen an einen Verantwortlichen, reicht eine elektronisch signierte Vollmacht gemeinsam mit einer Kopie des Personalausweises des Mandaten als Identitätsnachweis aus. Für den Abschluss eines Bevollmächtigungsvertrags gelten keine besonderen Formvorschriften, sodass die Vorlage einer vom Mandanten handschriftlich mit Tinte unterfertigten Vollmacht nicht gefordert werden darf (OLG Graz 19.12.2024, 2R192/24h).

BVwG 05.02.2025, W291 2298821-1

Geldbuße, veröffentlichte Gesundheitsdaten, Rechtsanspruch, Weiterverarbeitung

·      Eine Patientin verfasste eine negative Rezension über einen Facharztbesuch auf Google, in der sie auch ihr Krankheitsbild offenlegte. In seiner Antwort veröffentlichte der Facharzt zusätzlich die Diagnose der Patientin ("Reizung eines Sehnenansatzes"). Die DSB sah darin einen Verstoß gegen Art 9 Abs 1 DSGVO sowie gegen die Grundsätze der Verarbeitung gemäß Art 5 Abs 1 lit a, b und c DSGVO. Sie verhängte eine Geldstrafe iHv EUR 4.000. Daraufhin erhob der Facharzt (eine der Höhe nach teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Information betreffend die medizinische Diagnose der Patientin ist ein Gesundheitsdatum iSd Art 4 Z 15 DSGVO.

Eine auf Google veröffentlichte Rezension erfüllt die geforderte Öffentlichkeit iSd Ausnahmetatbestands nach Art 9 Abs 2 lit e DSGVO. Der Schutz besonderer Kategorien personenbezogener Daten iSd Art 9 Abs 2 lit e DSGVO entfällt nur dann, wenn die Betroffene das sensible Datum (offensichtlich) selbst veröffentlicht hat. Der Ausnahmetatbestand iSd Art 9 Abs 2 lit f DSGVO setzt voraus, dass ein rechtlicher Konflikt bereits besteht. Dieser Ausnahmetatbestand greift somit nur, soweit sich die Datenverarbeitung auf von der Betroffenen veröffentlichte Daten bezieht. Der Facharzt ergänzte jedoch die von der Patientin selbst veröffentlichten Gesundheitsdaten um weitere Informationen (die Diagnose) und generierte dadurch einen informationellen Mehrwert.

Die Verarbeitung kann, solang die Möglichkeit einer abstrakten rechtlichen Auseinandersetzung bloß abstrakt besteht, auch nicht auf Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gestützt werden (Art 9 Abs 2 lit f DSGVO).

Da der Facharzt die Diagnose der Patientin im Rahmen seiner ärztlichen Tätigkeit erstellte und die Daten nur dafür erhoben wurden, verstieß er gegen den Grundsatz der Zweckbindung (Art 5 Abs 1 lit b DSGVO). Zudem lag keine konkrete, kohärente oder ausreichend enge Verbindung zwischen dem ursprünglichen Zweck der Datenerhebung und der Weiterverarbeitung der Daten vor. Weiters war es für die Patientin nicht vorhersehbar, dass der Facharzt Daten zu ihrer medizinischen Diagnose als Reaktion auf ihre Google-Rezension veröffentlichen wird. Darüber hinaus verstieß die Veröffentlichung gegen den Grundsatz der Datenminimierung nach Art 5 Abs 1 lit c DSGVO, weil es dem Facharzt möglich gewesen wäre, seine Sichtweise auch ohne die Preisgabe der Diagnose darzulegen.

Die Geldstrafe war dennoch auf EUR 3.000 herabzusetzen, weil gegen den Facharzt keine einschlägigen Vorstrafen vorlagen, der Facharzt seine Antwort gelöscht hatte und seine persönlichen Verhältnisse zu berücksichtigen waren.

BVwG 30.01.2025, W101 2248744-1

Berechtigtes Interesse, Identifizierbarkeit, Grundbuch

·      Eine Marktgemeinde und zwei Anrainer der Gemeinde führten aufgrund einer Meinungsverschiedenheit ein Zivilverfahren vor dem Bezirksgericht ("BG"), wobei einer der Anrainer auf einer mit dem Bürgermeister konkurrierenden Parteiliste stand. Die Marktgemeinde veröffentlichte in Folge ein Anwaltsschreiben und den Beschluss des BG auf ihrer Website unter der Rubrik "Amtstafel". Diese Dokumente enthielten die Namen, Geburtsdaten, Anschriften und Grundstücksnummern der Anrainer. Nachdem die Anrainer die Löschung ihrer Daten forderten, schwärzte die Marktgemeinde die Namen, Geburtsdaten und Anschriften, veröffentlichte die Dokumente jedoch weiterhin unter der Rubrik "Aktuelles" mit sichtbaren Grundstücksnummern. Da sich die Anrainer dadurch in ihrem Recht auf Geheimhaltung verletzt sahen, brachten sie eine Datenschutzbeschwerde bei der DSB ein, die eine Verletzung des Rechts auf Geheimhaltung durch die Marktgemeinde feststellte. Die Bescheidbeschwerde der Marktgemeinde an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Die Veröffentlichung bzw Offenlegung von Daten im Internet auf einer frei aufrufbaren Website ist eine Datenverarbeitung iSd Art 4 Z 2 DSGVO. Die Marktgemeinde ist Verantwortliche iSd Art 4 Z 7 DSGVO, weil sie über die Mittel und Zwecke der Verarbeitung entschieden hat.

Eine Verarbeitung personenbezogener Daten kann etwa zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten zulässig sein (Art 6 Abs 1 lit f DSGVO). Die Verarbeitung muss aber erforderlich sein und sich auf das absolut Notwendige beschränken.

Die Marktgemeinde verfolgte ein berechtigtes Interesse an der Information der Öffentlichkeit bzw der Gemeindebewohner über Ereignisse eines Verfahrens im Zusammenhang mit der Gemeinde. Die Marktgemeinde hätte ihr Ziel jedoch auch mit einer von vornherein vollständig geschwärzten Version der Dokumente erreichen können.

Auch die Veröffentlichung der Dokumente mit geschwärzten Namen, Geburtsdaten und Anschriften, aber sichtbaren Grundstücksnummern, verletzt das Recht auf Geheimhaltung der Anrainer. Denn eine Person ist identifizierbar, wenn die Information dieser Person zugeordnet werden kann, sobald sie mit weiteren Informationen verknüpft wird. Der Begriff "Informationen" ist weit zu verstehen. Auch sachliche Informationen, wie Vermögens- und Eigentumsverhältnisse werden davon umfasst. Eine Abfrage des Grundbuchs ist einfach und kostengünstig möglich, wodurch die Identifizierung der Anrainer durch die Grundstücksnummern erleichtert wird. Die Grundstücksnummern im Beschluss des BG wurden mit einem Schreiben einer Rechtsanwaltskanzlei kombiniert und waren personenbezogene Daten. Die Marktgemeinde hat zwar ein berechtigtes Interesse, jedoch war die ungeschwärzte Veröffentlichung nicht erforderlich.

BVwG 30.01.2025, W101 2248650-1

Berechtigtes Interesse, Erforderlichkeit

·      Ein Anrainer brachte eine Klage wegen einer Meinungsverschiedenheit gegen seine Marktgemeinde beim BG ein. Die Marktgemeinde veröffentlichte in Folge den Beschluss des BG samt Namen, Geburtsdatum und Anschrift des Anrainers auf ihrer Website jeweils unter der Rubrik "Aktuelles" und "Gemeindezeitung". Der Anrainer erhob daraufhin eine Datenschutzbeschwerde bei der DSB. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob die Marktgemeinde eine (teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Gegenstand eines Verwaltungsverfahrens wird inhaltlich grundsätzlich durch die Begründung des Antrags festgelegt, mit dem das Verwaltungsverfahren eingeleitet wird. Da der Sachverhalt hinsichtlich der Veröffentlichung unter der Rubrik "Aktuelles" bereits teilweise Gegenstand eines anderen bei der DSB anhängigen Verwaltungsverfahrens war (siehe oben: BVwG 30.01.2025, W101 2248744-1), hätte die DSB über diesen Sachverhalt nicht absprechen dürfen. Der Bescheid der DSB war daher in diesem Umfang aufzuheben.

Die Marktgemeinde verfolgte ein berechtigtes Interesse an der Information der Öffentlichkeit bzw der Gemeindebewohner über Ereignisse im Zusammenhang mit der Gemeinde. Die Kandidatur des Anrainers kann jedoch nicht bereits als Betreten der politischen Bühne gewertet werden. Es fehlt zudem am notwendigen Bekanntheitsgrad.

Vor diesem Hintergrund ergeben sich keine Gründe, welche die Anwendung eines veränderten Maßstabs an das Interesse des Anrainers betreffend die Geheimhaltung seiner personenbezogenen Daten rechtfertigen würde. Da die Marktgemeinde ihr Ziel auch ohne die namentliche Nennung des Anrainers hätte erreichen können, war die Veröffentlichung des Namens nicht erforderlich. Die Veröffentlichung des Namens, Geburtsdatums und der Adresse des Anrainers auf der Website der Marktgemeinde war daher rechtswidrig.

·      Die Mitglieder einer Wassergenossenschaft haben das Recht, die anderen Genossenschaftsmitglieder zu kennen. Die Herausgabe personenbezogener Daten eines Genossenschafters an einen anderen Genossenschafter ist vom Erlaubnistatbestand des Art 6 Abs 1 lit b DSGVO (Verpflichtung zur Vertragserfüllung) gedeckt. Daher hat eine Wassergenossenschaft ihren Mitgliedern Einsicht in das Mitgliederverzeichnis samt Adressen, einbezogener Liegenschaften und Stimmrechten zu gewähren (LVwG Tirol 20.02.2025, LVwG-2024/44/2718-6).

·      Am 05.03.2025 wurde die "VO (EU) 2025/327 des Europäischen Parlaments und des Rates vom 11. Februar 2025 über den europäischen Gesundheitsdatenraum sowie zur Änderung der Richtlinie 2011/24/EU und der Verordnung (EU) 2024/2847", ABl L 2025/327, kundgemacht. Diese VO präzisiert ua die in der DSGVO festgelegten Rechte natürlicher Personen bei der Primär- und Sekundärnutzung ihrer personenbezogenen elektronischen Gesundheitsdaten. Ziel der VO ist, den Zugang natürlicher Personen zu ihren personenbezogenen elektronischen Gesundheitsdaten zu verbessern.

·      Am 28.02.2025 wurde die "Änderung der Verordnung über den elektronischen Rechtsverkehr (ERV 2021)", BGBl II 2025/27, kundgemacht. Die Änderungen der ERV betreffen etwa Grundbuchsverfahren und die E-ID.

·      Am 03.03.2025 wurde "die Transparenzdatenbank-Abfrageverordnung 2025", BGBl II 2025/41, kundgemacht. Geregelt werden darin die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensible Daten") in der Transparenzdatenbank.

·      Am 13.03.2025 wird das Urteil des EuGH in der Rs C-247/23, Deldits, verkündet. Der EuGH wird darüber absprechen, ob ein nationales Register ggf den Geschlechtseintrag einer Person zu berichtigen hat. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 20.03.2025 werden die Schlussanträge in der Rs C-655/23, Quirin Privatbank, veröffentlicht. Gegenstand des Verfahrens sind immaterieller Schadenersatz nach Art 82 DSGVO und Unterlassungsansprüche.

·      Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

·      Am 27.03.2025 werden die Schlussanträge in der Rs C-97/23 P, WhatsApp Ireland/Comité européen de la protection des données, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Beschluss des Europäischen Datenschutzausschusses (EDSA) angefochten werden kann.

·      Am 27.03.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße. Anm: Die Schlussanträge in dieser Rechtssache waren bereits für den 27.02.2025 angekündigt.

·      Am 09.04.2025 wird eine mündliche Verhandlung in der Rs C-291/24, Steiermärkische Bank und Sparkasse, vor dem EuGH stattfinden. Gegenstand des Verfahrens ist die verwaltungsstrafrechtliche Haftung nach dem FM-GwG. Anm: Die Rechtssache betrifft zwar das FM-GwG, ist für das Datenschutzrecht aber relevant, weil es um eine mit Art 83 DSGVO vergleichbare Haftungsregelung und um Verjährungsfristen im Anwendungsbereich des Unionsrechts geht.

EuGH 25.02.2025, C-233/23, Alphabet

Missbrauch einer beherrschenden Stellung, Interoperabilität

·      Google, eine Tochtergesellschaft von Alphabet, entwickelte das Betriebssystem Android OS und die digitale Plattform Android Auto. Ein italienisches Unternehmen führte eine App ein, die verschiedene Funktionen für das Aufladen von Elektrofahrzeugen bietet und ersuchte Google, die Interoperabilität der App mit Android Auto zu gewährleisten. Google lehnte dies "aus Sicherheitsgründen" und der "Notwendigkeit einer rationalen Zuweisung von Ressourcen" ab. Der Anbieter der App wandte sich an die italienische Wettbewerbsbehörde AGCM, die feststellte, dass Google gegen Art 102 AEUV (missbräuchliche Ausnutzung einer beherrschenden Stellung auf dem Binnenmarkt) verstoßen hatte. Google legte gegen diese Entscheidung Rechtsmittel ein.

Das vorlegende Gericht fragte den EuGH, (i) ob ein Unternehmen verpflichtet ist, seine Erzeugnisse anzupassen oder neu zu entwickeln, um anderen Zugang zu gewähren, und (ii) ob es dabei die Marktanforderungen und Bedürfnisse des ersuchenden Unternehmens berücksichtigen muss, sowie ob (iii) der Zugang zu einem Erzeugnis für die Ausübung einer bestimmten Tätigkeit auf einem benachbarten Markt unerlässlich ist und (iv) ob missbräuchliches Verhalten angenommen werden kann, wenn das ersuchende Unternehmen und seine Wettbewerber trotz fehlenden Zugangs auf dem Markt tätig bleiben und wachsen.

Der EuGH hat erwogen: Art 102 AEUV verbietet die missbräuchliche Ausnutzung einer beherrschenden Stellung auf dem Binnenmarkt. Ein Missbrauch liegt vor, wenn ein Unternehmen in beherrschender Stellung den Zugang zu einer Infrastruktur verweigert, die für die Ausübung der Tätigkeit eines Wettbewerbers unerlässlich ist und keinen tatsächlichen oder potenziellen Ersatz hat. Google entwickelte Android Auto nicht ausschließlich für eigene Zwecke, sondern ermöglichte Drittunternehmen den Zugang. Daher ist die Voraussetzung der Unerlässlichkeit nicht anwendbar. Der Umstand, dass das Unternehmen und seine Wettbewerber auf dem Markt tätig blieben und ihre Stellung ausbauten, obwohl sie die Interoperabilität nicht nutzen konnten, bedeutet nicht, dass die Weigerung keine wettbewerbswidrigen Auswirkungen haben konnte. Es ist zu prüfen, ob das Verhalten von Google geeignet war, die Aufrechterhaltung oder Entwicklung des Wettbewerbs zu behindern. Google kann sich als objektive Rechtfertigung für die Weigerung darauf berufen, dass es zum Zeitpunkt des Ersuchens kein Template gab, das die Interoperabilität gewährleistete, wenn die Interoperabilität die Integrität oder Sicherheit der Plattform gefährden würde oder aus technischen Gründen unmöglich wäre. Ist dies nicht der Fall, ist Google verpflichtet, ein solches Template innerhalb eines angemessenen Zeitraums und gegebenenfalls gegen eine angemessene finanzielle Gegenleistung zu entwickeln. Eine genaue Definition des sachlich und räumlich relevanten Marktes ist nicht erforderlich.

EuGH 27.02.2025, C-203/22, Dun & Bradstreet

Automatisierte Entscheidungsfindung, Profiling, Auskunftsrecht, Geschäftsgeheimnis

·      Ein Mobilfunkanbieter verweigerte einer Betroffenen den Vertragsabschluss bzw -verlängerung, weil sie laut einem Bonitätsscore, den der Mobilfunkanbieter von Dun & Bradstreet (D&B) erhielt, nicht kreditwürdig gewesen sein soll. Die DSB trug D&B aufgrund der Datenschutzbeschwerde der Betroffenen auf, aussagekräftige Informationen über die "involvierte Logik" zu übermitteln. D&B beschwerte sich beim BVwG und berief sich ua auf das Vorliegen eines Geschäftsgeheimnisses. Das BVwG entschied, dass die von D&B erteilte Auskunft nicht ausreichte, um die Betroffene in die Lage zu versetzen, nachzuvollziehen, wie ihr Bonitätsscore prognostiziert wurde. Nachdem das Erkenntnis rechtskräftig und vollstreckbar wurde, beantragte die Betroffene beim Magistrat der Stadt Wien die Vollstreckung des Erkenntnisses, dh die Ergänzung der Auskunft. Obwohl D&B nach Erlass des Erkenntnisses keine weitere Auskunft erteilt hatte, wurde dieser Vollstreckungsantrag mit der Begründung abgewiesen, dass D&B ihrer Auskunftspflicht bereits ausreichend nachgekommen sei. Die Betroffene erhob Bescheidbeschwerde an das LVwG Wien, das den EuGH um Vorabentscheidung ersuchte.

Der EuGH hat erwogen: Aus Art 15 Abs 1 lit h DSGVO ergibt sich ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung. Die Wortfolge "aussagekräftige Informationen über die involvierte Logik" einer automatisierten Entscheidungsfindung umfasst alle maßgeblichen Informationen zum Verfahren und zu den Grundsätzen der automatisierten Verarbeitung zwecks Erreichen eines bestimmten Ergebnisses. Die zu erteilende Information soll der Betroffenen insbesondere ermöglichen, die ihr nach Art 22 Abs 3 DSGVO zustehenden Rechte auf Darlegung ihres eigenen Standpunkts und auf Anfechtung der Entscheidung auszuüben.

Um zu gewährleisten, dass die Betroffene in die Lage versetzt wird, die ihr vom Verantwortlichen übermittelten Informationen in vollem Umfang zu verstehen, sind sie in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Die DSGVO verlangt keine ausführliche Erläuterung der verwendeten Algorithmen oder die Offenlegung des gesamten Algorithmus. Die Übermittlung einer komplexen mathematischen Formel und die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung sind keine ausreichend präzisen und verständlichen Erläuterungen. Der Verantwortliche sollte einfache Möglichkeiten finden, die Betroffene über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw Kriterien zu informieren. Beim Profiling könnte es ausreichend transparent und nachvollziehbar sein, darzulegen, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.

Die gemäß Art 15 Abs 1 lit h DSGVO zu erteilenden Informationen können zu einer Beeinträchtigung der Rechte und Freiheiten anderer Personen führen, insbesondere, wenn sie durch die DSGVO geschützte personenbezogene Daten Dritter oder ein Geschäftsgeheimnis enthalten. Diesfalls sind diese Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des Auskunftsrechts zu ermitteln.

Die Anwendung einer nationalen Bestimmung wie § 4 Abs 6 DSG, die das Auskunftsrecht der betroffenen Person grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis gefährden würde, steht im Widerspruch zu Art 15 DSGVO. Die Abwägung der einander gegenüberstehenden Rechte und Interessen muss auf Einzelfallbasis erfolgen. Anm: Geradezu in einem Nebensatz erklärt der EuGH die Bestimmung des § 4 Abs 6 DSG für unionsrechtswidrig. Spannend an diesem Fall ist, dass er bereits die Vollstreckung eines Erkenntnisses des BVwG betrifft. Die erstinstanzliche Vollstreckungsbehörde verweigerte die Vollstreckung mit dem Einwand, dass der Spruch des Erkenntnisses viel zu unpräzise sei. Die zweite Instanz holte zunächst ein technisches Gutachten ein und stellte dann unzählige Fragen an den EuGH. Nach dem Urteil des EuGH bleibt weiterhin unklar, was tatsächlich zu beauskunften ist (zB: "Der Verantwortliche sollte einfache Möglichkeiten finden").

EuGH 27.02.2025, C-638/23, Amt der Tiroler Landesregierung

Rollenverteilung per Gesetz, öffentliche Stelle

·      Das Amt der Tiroler Landesregierung (Amt) versendete im Rahmen von Maßnahmen zur Bekämpfung der Covid-19-Pandemie Impferinnerungsschreiben an alle im Land Tirol wohnhaften volljährigen Personen, die noch nicht gegen das Virus geimpft waren. Zur Ermittlung der Adressaten beauftragte das Amt zwei private Unternehmen, die die Daten des zentralen Impfregisters mit jenen des Patientenindex abglichen. Einer der Adressaten reichte daraufhin eine Datenschutzbeschwerde bei der DSB ein, weil er die Verarbeitung seiner personenbezogenen Daten für unrechtmäßig hielt. Die DSB stellte fest, dass das Amt für das Impfregister und den Patientenindex nicht zugriffsberechtigt und die Verarbeitung daher rechtswidrig war. Das Amt erhob eine Bescheidbeschwerde an das BVwG, welche abgewiesen wurde. Daraufhin erhob das Amt Revision an den VwGH, der den EuGH fragte, ob das Amt durch die Bestimmung des § 2 Abs 1 lit a Tiroler Datenverarbeitungsgesetz ("TDVG") als "Verantwortlicher" iSd Art 4 Z 7 DSGVO gilt, obwohl es keine juristische Person ist und nur als Hilfsapparat des Landeshauptmanns an der Verarbeitung beteiligt war und keine Rechtspersönlichkeit und Rechtsfähigkeit hat.

Der EuGH hat erwogen: Der Begriff des Verantwortlichen iSd Art 4 Z 7 DSGVO umfasst natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Nationale Regelungen können Verantwortliche festlegen, wenn die Zwecke und Mittel der Verarbeitung durch das nationale Recht vorgegeben sind. Die weite Definition des Begriffs "Verantwortlicher" soll einen wirksamen und umfassenden Schutz der Betroffenen gewährleisten.

Die Feststellung, ob eine Person oder Einrichtung als Verantwortliche einzustufen ist, erfordert die Prüfung, ob diese allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet oder ob ihre Rolle als Verantwortliche durch das nationale Recht vorgegeben ist. Eine Stelle kann auch dann als Verantwortliche eingestuft werden, wenn sie keine Rechtspersönlichkeit besitzt, solange sie über eine gewisse Entscheidungs- und Handlungsfähigkeit bei der Verarbeitung personenbezogener Daten verfügt. Die Verantwortliche muss die rechtlichen Verpflichtungen erfüllen können, die die DSGVO auferlegt, unabhängig davon, ob die Stelle Rechtspersönlichkeit und eine eigene Rechtsfähigkeit hat. Die unmittelbare Benennung einer Stelle als Verantwortliche ist rechtswirksam, wenn die nationale Regelung den Umfang der Verarbeitung personenbezogener Daten vorgibt. Es ist jedoch nicht erforderlich, dass der Gesetzgeber alle Verarbeitungsvorgänge abschließend aufzählt. Eine nationale Regelung, die eine Stelle als Verantwortliche benennt, ist mit Art 4 Z 7 DSGVO vereinbar, wenn diese Regelung explizit oder implizit den Umfang der Verarbeitung personenbezogener Daten vorgibt.

Eine nach nationalem Recht als Verantwortliche benannte Stelle muss nicht selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, um als Verantwortliche Anfragen beantworten zu müssen, die Betroffenen aufgrund ihrer Rechte aus der DSGVO an sie richten. Die Rechtswirksamkeit einer unmittelbaren Benennung wird nicht dadurch berührt, dass die benannte Stelle keine Kontrolle über die personenbezogenen Daten ausübt, die sie zu verarbeiten hat. Daher steht Art 4 Z 7 DSGVO einer nationalen Regelung, in der als Verantwortliche ein Hilfsapparat der Verwaltung benannt ist, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, nicht entgegen, sofern diese Stelle die Pflichten eines Verantwortlichen erfüllen kann und die nationale Regelung den Umfang der Verarbeitung personenbezogener Daten vorgibt, für die diese Stelle verantwortlich ist.

EuGH Schlussanträge 27.02.2025, C-57/23, Policejní presidium

Biometrische und genetische Daten, DSRL-PJ, Recht der Mitgliedstaaten

·      In einem Ermittlungsverfahren wurden von einer Verdächtigen genetische Daten durch einen Mundhöhlenabstrich erhoben. Das geltende tschechische Recht erlaubte diese Maßnahme bei Personen, die einer Vorsatztat beschuldigt oder verdächtigt wurden, unabhängig von der Strafhöhe. Eine Höchstspeicherdauer der erhobenen Daten war nicht festgelegt. Das vorlegende Gericht fragte den EuGH, (i) ob die in der Richtlinie 2016/680 (DSRL-PJ) festgelegten Anforderungen eine undifferenzierte Erhebung biometrischer und genetischer Daten erlauben, (ii) ob für die Speicherung eine feste zeitliche Beschränkung vorgesehen sein muss und (iii) ob Rechtsprechung nationaler Verwaltungsgerichte als "Recht der Mitgliedstaaten" zu verstehen ist.

Der Generalanwalt hat erwogen: Die Kriterien für die Bewertung der Erforderlichkeit einer Datenverarbeitung nach Art 10 der DSRL-PJ sind die Art und Schwere der mutmaßlichen Straftat, die besonderen Umstände der Straftat, der Zusammenhang der Tat mit laufenden Verfahren sowie die Vorstrafen oder das individuelle Profil der Betroffenen. Eine Regelung, welche die Erhebung biometrischer und genetischer Daten aller Personen erlaubt, die beschuldigt oder verdächtigt werden, eine vorsätzliche Straftat begangen zu haben, ist unzulässig, wenn keine Einzelfallprüfung der unbedingten Erforderlichkeit der Datenverarbeitung vorgesehen ist.

Nach der DSRL-PJ sind keine fest definierten Löschfristen erforderlich, eine periodische Überprüfung der Notwendigkeit der Speicherung von Daten reicht aus. Zusätzlich zu der periodischen Überprüfung brauchen Betroffene das Recht, Auskunft über die Dauer, oder die Kriterien für die Festlegung der Dauer der Datenspeicherung zu erhalten, um ihre Betroffenenrechte ausüben zu können. Für die Speicherung biometrischer und genetischer Daten müssen Bestimmungen klare und deutliche Zwecke enthalten, um die Zweckerreichung und damit den Löschzeitpunkt ableiten zu können. Kriterien zur Beurteilung der Speicherdauer sind die Art und Schwere des Sachverhalts, die verstrichene Zeit, die verbleibende gesetzliche Aufbewahrungsfrist, die Höhe des Risikos weiterer Straftaten, der Kontext der Straftat, ein Zusammenhang mit anderen laufenden Verfahren oder die Vorgeschichte und das Profil der Betroffenen.

Rechtsprechung von Mitgliedstaaten ist, wenn sie zugänglich, vorhersehbar und konstant ist sowie hinreichende materielle Charakteristika aufweist, als "Recht der Mitgliedstaaten" iSd DSRL-PJ zu sehen. Dennoch reicht auch eine Rechtsprechung, die eine ständige Verwaltungspraxis bestätigt, nicht aus, um an die Stelle einer allgemein geltenden Vorschrift zu treten. Denn bei der Verarbeitung besonders sensibler Daten müssen hinreichend strenge Garantien in einem verbindlichen und in der Anwendung vorhersehbaren Rechtsakt, der im Bereich der Verarbeitung dieser Daten maßgebend ist, festgelegt sein. Anm: Der Generalanwalt spricht bei biometrischen und genetischen Daten von einer besonderen Sensibilität. Sollte der EuGH sich dieser Ansicht anschließen, entsteht eine Rangordnung zwischen den sensiblen Datenkategorien.

·      Der Tatverdacht zum Vorwurf des Überlassens von Suchtgift stützte sich nicht auf die Auswertung der SKY ECC-Chatprotokolle (Auswertung eines Mobiltelefons), sondern auf belastende Angaben der Suchtmittelabnehmer und die Sicherstellung von Suchtgift. Da somit bereits ein dringender Verdacht auf erheblichen Suchtgifthandel bestand, fehlte es der Grundrechtsbeschwerde an einer hinreichenden Begründung für einen Beweisverwertungsmangel und einer Verletzung des Grundrechts auf persönliche Freiheit lag nicht vor. Mit der Behauptung einer Verletzung der Grundrechte auf ein faires Verfahren gemäß Art 6 EMRK und auf Schutz der Privatsphäre gemäß Art 8 EMRK durch die Verwertung von SKY ECC-Chats wird keine Garantie des Grundrechts auf persönliche Freiheit gemäß Art 5 EMRK thematisiert und solcherart der Anfechtungsrahmen einer Grundrechtsbeschwerde verlassen (OGH 18.02.2025, 14Os11/25m).

BVwG 28.01.2025, W108 2286343-1

Identifikationsregister, e-Card, Auskunft, Verantwortliche

·      Einer Betroffenen wurde eine neue e-Card mit aufgebrachtem Lichtbild zugesandt. Die Polizei führte während eines Verwaltungsstrafverfahrens eine Abfrage des Lichtbilds des Reisepasses der Betroffen durch. Beide Abfragen erfolgten aus dem Identifikationsregister ("IDR"), das von den Passbehörden als Gemeinsam Verantwortliche betrieben wird. Die Betroffene stellte ein Auskunftsersuchen an die zuständige Passbehörde. In der erteilten Auskunft schienen weder der Hauptverband der Sozialversicherungsträger noch die Polizei als Empfänger auf.

Die Betroffene erachtete sich in ihrem Recht auf Auskunft verletzt und brachte gegen die zuständige Passbehörde eine Datenschutzbeschwerde bei der DSB ein. Diese gab der Datenschutzbeschwerde teilweise (aber aus anderen Gründen) statt und stellte ua fest, dass die Passbehörde nur unvollständige Auskunft über konkret verarbeitete (Stamm-)Daten erteilt hat. Im Übrigen wurde die Datenschutzbeschwerde abgewiesen. Dagegen erhob die Betroffene (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Passbehörden stellen nur die Infrastruktur zur Verfügung, um Abfragen aus dem IDR zu ermöglichen. Die Sicherheitsbehörden und der Dachverband der österreichischen Sozialversicherungsträger sind selbständige Verantwortliche. Sie haben eine automatische Zugriffsmöglichkeit auf Daten des IDR, die an keine Zustimmung und keinen Verarbeitungsvorgang innerhalb der Passbehörde geknüpft ist. Eine gemeinsame Verantwortlichkeit mit den Passbehörden besteht nicht. Vielmehr hatten Bedienstete der Sicherheitsbehörden bzw Mitarbeiter des Dachverbands der Sozialversicherungsträger für ihre jeweilige Behörde gewisse Abfragen aus dem IDR hinsichtlich des Lichtbilds der Betroffenen zu tätigen. Mangels Verantwortlicheneigenschaft der zuständigen Passbehörde war die erteilte Auskunft in dieser Hinsicht nicht mangelhaft.

·      Entspricht ein Verantwortlicher im Laufe des Verfahrens vor dem BVwG einem Löschungsersuchen, wird der Betroffene dadurch klaglos gestellt und ist das Verfahren einzustellen. Ein Recht auf Feststellung einer Rechtsverletzung in der Vergangenheit besteht nicht. Dem Betroffenen ist auch kein subjektives öffentliches Recht eingeräumt, ein allgemeines rechtliches Interesse durchzusetzen (BVwG 31.01.2025, W258 2247059-1).

·      Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 28.01.2025, W252 2271493-1; W252 2271450-1).

·      Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 29.01.2025, W171 2262672-1; W171 2262379-1).

·      Am 11.03.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-698/23 P, EDSB/Parlament und Rat, stattfinden. Der Europäische Datenschutzbeauftragte (EDSB) beantragte beim EuG, einzelne Bestimmungen der Europol-Verordnung für nichtig zu erklären. Das EuG wies die Klage zurück (EuG 6.09.2023, T-578/22). Gegen diesen Beschluss des EuG richtet sich das Rechtsmittel des EDSB.

·      Am 13.03.2025 wird das Urteil des EuGH in der Rs C-247/23, Deldits, verkündet. Der EuGH wird darüber absprechen, ob ein nationales Register ggf den Geschlechtseintrag einer Person zu berichtigen hat. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 20.03.2025 werden die Schlussanträge in der Rs C-655/23, Quirin Privatbank, veröffentlicht. Gegenstand des Verfahrens sind immaterieller Schadenersatz nach Art 82 DSGVO und Unterlassungsansprüche.

·      Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

·      Am 27.03.2025 werden die Schlussanträge in der Rs C-97/23 P, WhatsApp Ireland/Comité européen de la protection des données, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Beschluss des Europäischen Datenschutzausschusses (EDSA) angefochten werden kann.

EGMR 18.02.2025, 33067/22, Kharazishvili/Georgien

Anwaltsgeheimnis, Telefonüberwachung

·      Das georgische Finanzministerium leitete eine strafrechtliche Untersuchung wegen des Verdachts des illegalen Verkaufs von Zigarettenpackungen ein. Ein iransicher Staatsbürger soll dazu ein Unternehmen in Georgien gegründet haben, das von einer Anwältin vertreten wurde. Neben der Anwältin wurden ihr Ehemann und sechs weitere Personen des unrechtmäßigen Verkaufs großer Mengen verbrauchssteuerpflichtiger Waren ohne Verbrauchssteuerbanderolen verdächtigt. Auf Antrag der Generalstaatsanwaltschaft genehmigte das zuständige Stadtgericht das Abhören und Aufzeichnen ihrer Telefongespräche für 30 Tage. Dieser Beschluss wurde von der Anwältin und ihrem Ehemann ua deshalb angefochten, weil das Abhören aufgrund des Anwaltsgeheimnisses rechtswidrig sei. Das Berufungsgericht wies die Rechtsmittel ab. Der EGMR stellte eine Verletzung des Art 8 EMRK fest und sprach der Anwältin und ihrem Ehemann Schadenersatz zu.

Der EGMR hat erwogen: Telefonüberwachung fällt unter den Schutz von "Privatleben" und "Korrespondenz" nach Art 8 EMRK. Sie ist nur zulässig, wenn sie gesetzlich vorgesehen ist, ein legitimes Ziel verfolgt und in einer demokratischen Gesellschaft notwendig ist, um ein solches Ziel zu erreichen. Die gesetzliche Grundlage muss zugänglich und vorhersehbar sein. Besonders bei geheimen Überwachungsmaßnahmen sind klare, detaillierte Regeln erforderlich, um Willkür zu vermeiden.

Die Telefonüberwachung hatte ihre gesetzliche Grundlage in der georgischen Strafprozessordnung, die den Antragstellern auch zugänglich war. Diese regelte ua die Grundsätze, Voraussetzungen und Dauer der Datenverarbeitung und gab der Anwältin und ihrem Ehemann somit eine angemessene Vorstellung von den Umständen der verdeckten Ermittlungsmaßnahme.

Die georgische Strafprozessordnung verpflichtete Richter dazu, die Notwendigkeit und Verhältnismäßigkeit der verdeckten Ermittlungsmaßnahme zu prüfen. Der Gerichtsbeschluss enthielt allerdings weder konkrete Fakten, mit denen der Verdacht einer Straftat begründet wurde noch eine Bewertung der Notwendigkeit oder Verhältnismäßigkeit der verdeckten Ermittlungsmaßnahme.

Zudem versäumte das Berufungsgericht, das Anwaltsgeheimnis gegen die Erfordernisse der strafrechtlichen Untersuchung abzuwägen.

·      Eine in vertretbarer Weise vorgenommene fallbezogene Auslegung eines Auskunftsersuchens durch das BVwG ist nicht revisibel, weil ihr über den Einzelfall hinaus keine Bedeutung zukommt (VwGH 16.01.2025, Ra 2024/04/0438).

OGH 22.01.2025, 9ObA79/24v

Sensible Daten, Dritte

·      Eine ehemalige diplomierte Gesundheits- und Krankenpflegerin (Krankenpflegerin) eines öffentlichen Bezirkskrankenhauses, das durch den Gemeindeverband betrieben wird, klagte Schadenersatz vom Betreiber ein. Sie behauptete, durch "Bossing-Handlungen" des Verwaltungsdirektors des Krankenhauses Gesundheitsbeeinträchtigungen erlitten zu haben. Der Verwaltungsdirektor berief deshalb eine Sonderkollegialführungssitzung ein, die die Entlassung der Krankenpflegerin beschloss, was durch den Gemeindeverbandsausschuss bestätigt wurde. Die Krankenpflegerin begehrte in der nunmehrigen Klage, es zu unterlassen, ihre Gesundheitsdaten und Verfahrensakten an Nichtorgane des Betreibers weiterzugeben. Hilfsweise verlangte sie, dass ihre Patientendaten datenschutzkonform geschützt werden. Das Erstgericht wies die Klage ab, was das Berufungsgericht bestätigte, aber dem Eventualbegehren teilweise stattgab. Der OGH wies die außerordentliche Revision der Krankenpflegerin zurück.

Der OGH hat erwogen: Entscheidungswesentlich war, ob der Betreiber berechtigt war, Inhalte aus dem Schadenersatzverfahren den im Hauptbegehren genannten Personen zur Kenntnis zu bringen. Der Gemeindeverbandsausschuss besteht aus landesgesetzlich bestimmten Mitgliedern. Der ärztliche Leiter, der Verwaltungsleiter und der Leiter des Pflegedienstes der Krankenanstalt sowie ein vom Betriebsrat entsandten Vertreter gehören dem Gemeindeverbandsausschuss mit beratender Stimme an und sind keine "unbefugten Dritten".

Nur Personen, die ein Organ des Betreibers bilden, erlangten Kenntnis vom Inhalt des Schriftsatzes und den darin enthaltenen sensiblen Daten der Klägerin. Die Verarbeitung personenbezogener Daten war zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich (Art 9 Abs 2 lit f DSGVO). "Erforderlich" bedeutet, dass ohne die Daten die Geltendmachung des Anspruchs bzw eine Verteidigung dagegen nicht möglich oder wesentlich erschwert wäre. Die Kenntnis der Angehörigen des Gemeindeverbandsausschusses war von der erforderlichen Rechtsverteidigung iSd Art 9 Abs 2 lit f DSGVO gedeckt. Das Interesse des Betreibers an der Rechtsverteidigung überwog das Geheimhaltungsinteresse der Krankenpflegerin.

OLG Graz 30.12.2024, 10Bs118/24i

Sicherstellung, Mobiltelefon, Verhältnismäßigkeit

·      Die Staatsanwaltschaft (StA) ermittelte gegen einen Jugendlichen, der Aufnahmen einer Minderjährigen beim Oralverkehr angefertigt und verbreitet haben soll. In diesem Zusammenhang ordnete die StA die Sicherstellung seines Mobiltelefons an. Der Jugendliche sah sich durch eine unzureichende Begründung der Sicherstellung in seinen Rechten verletzt. Das LG Graz gab dem Einspruch der Rechtsverletzung nicht Folge. Dagegen richtet sich die Beschwerde des Jugendlichen, der das OLG Graz teilweise Folge gab.

Das OLG Graz hat erwogen: Die Sicherstellung eines Mobiltelefons aus Beweisgründen iSd § 110 Abs 1 Z 1 StPO a.F. ist nur zulässig, wenn der Verdacht einer strafbaren Handlung besteht. In der schriftlichen Begründung der Sicherstellung müssen für alle konkreten Tatbestandselemente der vermuteten Straftat bestimmte, sinnlich wahrnehmbare Anhaltspunkte bezeichnet werden. Die Anordnung der StA war wegen Begründungsmängeln unzulässig.

Das Gericht kann eine Zwangsmaßnahme allerdings aufgrund eigener Erwägungen im Ergebnis als rechtsfehlerfrei beurteilen und den Einspruch verwerfen. Die Begründung der StA beinhaltete zwar keine ausreichenden Anhaltspunkte für den von ihr angeführten Verdacht der fortdauernden Belästigung im Wege einer Telekommunikation oder eines Computersystems nach § 107c StGB, aber sehr wohl für das Vergehen der pornographischen Darstellung Minderjähriger nach § 207a StGB. Die Sicherstellung war in diesem Zusammenhang aus Beweisgründen erforderlich. In Hinblick auf das Gewicht der (Sexual-)Straftaten zum Nachteil einer Minderjährigen, den Grad des Verdachts und des zu erwartenden Beitrags zur Sachverhaltsaufklärung war sie auch verhältnismäßig. Die Verhältnismäßigkeit ergibt sich zudem aus der ausdrücklichen Beschränkung der Auswertung auf das in Rede stehende Video und auf Nachrichtenverläufe während eines konkreten Zeitraums.

BVwG 19.12.2024, W287 2297969-1

Bundespräsident, Journalist, Postenbesetzung

·      Ein Journalist brachte ein Auskunftsbegehren nach § 2 AuskunftspflichtG bei der Präsidentschaftskanzlei ein. Insbesondere verlangte er die Übermittlung eines Gutachtens und eines Aktenvermerks zu einer Postenbesetzung. In Beantwortung des Begehrens übermittelte die Präsidentschaftskanzlei den Antrag auf Ernennung und eine Resolution zur Bestellung. Da Bewerberdaten im Gutachten enthalten waren und der Aktenvermerk ein nicht zu beauskunftendes Werturteil enthielt, lehnte der Bundespräsident die Übermittlung dieser Unterlagen mit Bescheid ab. Gegen den Bescheid erhob der Journalist erfolglose Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Bei der Einschränkung der Auskunftsbeantwortung hat die Behörde den (i) Zweck und das Ziel des Informationsansuchens, (ii) die tatsächliche Notwendigkeit des Informationsbegehrens für die Ausübung der Meinungsfreiheit, (iii) den Charakter der begehrten Informationen, (iv) die Rolle des Zugangswerbers und (v) die Existenz von bereits verfügbaren Informationen zu prüfen.

Die Verweigerungsgründe für Auskünfte sind eng auszulegen. Insbesondere wenn Journalisten als public watchdog die Auskunft begehren. Die Herausgabe des Gutachtens aus dem Bewerbungsprozess ist von der Auskunft nach dem AuskunftspflichtG jedoch ausgenommen. Die Bewerber mussten nicht damit rechnen, dass ihre Identität sowie die Einschätzungen und Wertungen der Kommission im Gutachten öffentlich gemacht werden. Bewerber, die aus der Richterschaft kommen, genießen dabei kein geringeres Geheimhaltungsinteresse.

Beim gegenständlichen Aktenvermerk handelt es sich um interne Abwägungs- und Willensbildungsprozesse, die bereits von der Akteneinsicht ausgenommen sind und auch nach dem AuskunftspflichtG nicht zu beauskunften sind.

BVwG 17.01.2025, W298 2293073-1

Strafverfolgung, öffentliches Interesse, zwangsweise Unterbringung

·      Ein aufgebrachter Bürger verursachte einen Polizeieinsatz. Bei der zwangsweisen Unterbringung, unter Anwendung von Körperkraft in eine psychiatrische Anstalt, wurde der Bürger verletzt. Zur Dokumentation des Einschreitens erstellten die Beamten ein Anhalteprotokoll, welches an verschiedene Stellen weitergeleitet wurde. Der aufgebrachte Bürger erhob Datenschutzbeschwerde wegen der Verletzung seines Rechts auf Geheimhaltung, Löschung, Berichtigung und der Weitergabe seiner Daten. Nachdem die DSB in ihrer Reaktion säumig war, erhob er Säumnisbeschwerde. Das BVwG entschied in der Sache selbst und wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Eine Verarbeitung nach Art 6 Abs 1 lit e DSGVO ist rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Die Öffnungsklausel des Art 9 Abs 2 lit g DSGVO verlangt für die Zulässigkeit der Datenverarbeitung eine gesetzliche Grundlage im nationalen Recht oder im Unionsrecht. Diese muss in einem angemessenen Verhältnis zum verfolgten Ziel stehen, den Wesensgehalt des Datenschutzrechts wahren und Maßnahmen zur Interessenwahrung der Betroffenen vorsehen. Ergänzend muss ein erhebliches öffentliches Interesse an der Verarbeitung bestehen. Bei Erfüllung dieser Erfordernisse ist die Verarbeitung dann auch nach Art 6 Abs 1 lit e DSGVO rechtmäßig.

An Maßnahmen zur Strafverfolgung besteht ein öffentliches Interesse. Sicherheitsbehörden dürfen Gesundheitsdaten ua an den örtlichen Rettungsdienst und andere in § 39b UbG genannte Stellen weiterleiten. Das Weiterleiten von Daten zum Ausspruch eines Waffenverbots war nach § 39a UbG und das Weiterleiten der Daten an die StA nach § 100 StPO gerechtfertigt.

Da die Daten des Bürgers rechtmäßig verarbeitet wurden und mit § 10 Abs 3 der Richtlinien-Verordnung eine Aufbewahrungspflicht für Sicherheitsbehörden normiert war, waren diese nicht zu löschen.

BVwG 09.12.2024, W292 2285487-1

Unerbetene Nachricht, Selbstbelastungsverbot, Kosten des Beschwerdeverfahrens

·      Ein Arbeitsuchender veröffentlichte seine Kontaktdaten im eJob-Room des AMS, um eine Stelle zu finden. Ein Personalüberlassungsunternehmen übernahm diese Daten und speicherte sie für die Arbeitsvermittlung. Der Arbeitsuchende verlangte die Löschung seiner Daten, weil er kein Interesse mehr an Jobangeboten hatte. Dennoch speicherte das Unternehmen die Daten weiter und nutzte sie, um ihm weitere Jobangebote zuzusenden.

Der Arbeitsuchende brachte Datenschutzbeschwerde bei der DSB ein. Nachdem das Personalüberlassungsunternehmen auf mehrere Aufforderungen der DSB zur Stellungnahme nicht reagierte, leitete diese ein Verwaltungsstrafverfahren ein und verhängte eine Geldstrafe (zzgl Verfahrenskosten). Die Bescheidbeschwerde an das BVwG blieb erfolglos und das BVwG verpflichtete das Personalüberlassungsunternehmen zur Zahlung der Kosten des Beschwerdeverfahrens iHv 20% der verhängten Strafe.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten bei der Ausübung des Gewerbes der Überlassung von Arbeitskräften (§ 135 GewO) kann zum Zweck der Anbahnung neuer Dienstverhältnisse ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Es kommt dabei nicht darauf an, ob das Unternehmen die Kontaktdaten des Arbeitsuchenden im Rahmen der Arbeitskräfteüberlassung oder der Arbeitsvermittlung verwendete bzw ob es im relevanten Tatzeitraum zur Arbeitsvermittlung berechtigt war (§ 4 Abs 1 Z 4 AMFG).

Das Personalüberlassungsunternehmen hat jedoch dem Arbeitsuchenden via SMS Arbeitsangebote übermittelt, um eine Vertragsbeziehung anzubahnen (Direktwerbung). Das Versenden elektronischer Werbenachrichten an den Arbeitssuchenden verstieß gegen § 174 Abs 3 TKG 2021, weil dieser dem Unternehmen gegenüber zu keinem Zeitpunkt eine Einwilligung erteilt hatte und zwischen den Parteien auch keine Kundenbeziehung bestand.

Der Arbeitsuchende teilte dem Unternehmen via E-Mail unmissverständlich mit, dass er keine elektronischen Nachrichten mit Arbeitsangeboten erhalten möchte. Bei dieser Erklärung handelte es sich neben einem Löschersuchen gemäß Art 17 DSGVO auch um einen Widerspruch nach Art 21 DSGVO. Ab diesem Zeitpunkt war auch jegliche Verarbeitung seiner Kontaktdaten unzulässig.

Das Personalüberlassungsunternehmen verstieß zudem gegen seine Mitwirkungspflicht gemäß Art 31 DSGVO. Die Pflicht nach Art 31 DSGVO ist grundrechtskonform auszulegen und findet ihre Grenze im Selbstbelastungsverbot. Die Mitwirkungspflicht eines Verantwortlichen folgt jedoch bereits aus der Rechenschaftspflicht des Art 5 Abs 2 DSGVO und kann nicht von Vornherein als grundrechtswidrig angesehen werden.

BVwG 23.01.2025, W605 2284399-1

Mitwirkung, Geldbuße, Kosten des Beschwerdeverfahrens

·      Die DSB forderte eine GmbH wiederholt zu Stellungnahmen in gegen sie anhängigen Datenschutzbeschwerdeverfahren auf und wies dabei jedes Mal auf die Mitwirkungspflicht gemäß Art 31 DSGVO sowie auf ein drohendes Verwaltungsstrafverfahren hin. Die GmbH reagierte auf keine dieser Aufforderungen und die Verfahren wurden ohne ihre Mitwirkung abgeschlossen. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren gegen die GmbH ein, und verurteilte sie wegen Verletzung der Mitwirkungspflicht zu einer Geldstrafe. Die dagegen eingebrachte Bescheidbeschwerde wies das BVwG ab und es verpflichtete die GmbH zur Zahlung der Kosten des Beschwerdeverfahrens iHv 20% der verhängten Strafe.

Das BVwG hat erwogen: Den Verantwortlichen trifft gemäß Art 31 DSGVO eine Mitwirkungspflicht. Bei fehlender Kooperation ist eine Geldbuße zu verhängen. Die Pflicht zur Zusammenarbeit erfordert keinen Erfolgseintritt, sondern die rechtzeitige und fristgerechte Beantwortung der Anfragen der Aufsichtsbehörde.

Die GmbH wurde als Verantwortliche aufgrund von gegen sie erhobenen Datenschutzbeschwerden zur Stellungnahme und Mitwirkung aufgefordert. Die Mitarbeiterin, die die Schreiben abgelegt haben soll, war zur Empfangnahme der Schreiben befugt. Die mittels RSb erfolgte Zustellung der Schreiben war daher unzweifelhaft rechtswirksam.

BVwG 07.01.2025, W108 2288748-1

Auskunft, Empfänger, Speicherfrist, Beweisverfahren

·      Ein Kunde stellte ein Auskunftsersuchen an ein Energieversorgungsunternehmen. Er forderte Auskunft über die Empfänger seiner personenbezogenen Daten und die Löschung seiner E-Mail-Adresse. Da das Energieversorgungsunternehmen in seinem Antwortschreiben nur allgemeine Informationen bekanntgab und die Löschung der E-Mail-Adresse bestätigte, sah sich der Kunde in seinem Recht auf Auskunft sowie dem Recht auf Löschung verletzt und brachte eine Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte fest, dass das Energieversorgungsunternehmen den Kunden in seinem Recht auf Auskunft verletzt hat. Daraufhin richteten sowohl der Kunde als auch das Energieversorgungsunternehmen (teilweise erfolgreiche) Bescheidbeschwerden an das BVwG.

Das BVwG hat erwogen: Gemäß Art 15 Abs 1 lit c DSGVO haben Betroffene das Recht auf Information über die Empfänger oder Kategorien von Empfängern, gegenüber denen ihre personenbezogenen Daten offengelegt wurden oder noch offengelegt werden. Der Kunde hat in seinem Schreiben ausdrücklich Auskunft über die Empfänger seiner personenbezogenen Daten begehrt. Das Energieversorgungsunternehmen hatte kein Wahlrecht, ob es konkrete Empfänger oder Kategorien von Empfängern bekanntgibt, sondern musste die Empfänger benennen, soweit es diese kannte. Auch Auftragsverarbeiter gelten als Empfänger, nicht aber Beschäftigte oder sonstige Stellen, die dem Verantwortlichen unmittelbar unterworfen sind.

Gemäß Art 15 Abs 1 lit d DSGVO hat die betroffene Person das Recht auf Information über die geplante Dauer der Aufbewahrung der personenbezogenen Daten oder die Kriterien für die Festlegung dieser Dauer. Ein genereller Verweis auf gesetzliche Aufbewahrungspflichten oder die Geltendmachung/Abwehr von rechtlichen Ansprüchen ohne konkrete Rechtsgrundlage ist nicht ausreichend. Das Energieversorgungsunternehmen hat jedoch in seiner Bescheidbeschwerde konkrete Rechtsgrundlagen (§ 132 BAO und § 1468 ABGB) angeführt, aus denen sich die Dauer der Speicherung ergibt. Diese Auskunft ist ausreichend.

Hinsichtlich des Rechts auf Löschung gemäß Art 17 DSGVO hat die DSB festgestellt, dass das Energieversorgungsunternehmen die E-Mail-Adresse des Kunden gelöscht hat. Der Kunde wurde jedoch nach behaupteter Löschung erneut über diese Adresse kontaktiert und hielt dies auch in seiner Bescheidbeschwerde fest. Die DSB hat sich diesbezüglich nur auf schriftliche Stellungnahmen der beiden Parteien beschränkt und somit keine ausreichenden Ermittlungen durchgeführt. Die DSB hätte ein Beweisverfahren durchzuführen gehabt, um den vollständigen, rechtlich relevanten und wahren Sachverhalt festzustellen. Der Kunde und das Energieversorgungsunternehmen hätten förmlich einvernommen werden müssen. Die Sache wird daher bezüglich der Frage, ob eine Verletzung des Rechts auf Löschung vorliegt, zur neuerlichen Entscheidung an die DSB zurückverwiesen.

·      Das Recht auf eine Kopie der personenbezogenen Daten bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller ihrer Daten ausgefolgt wird. Ein zusätzliches Recht auf Kopien von Auszügen aus Dokumenten, ganze Dokumente oder Auszüge aus Datenbanken räumt Art 15 Abs 3 Satz 1 DSGVO nicht ein (BVwG 09.09.2024, W176 2283061-1).

·      Das Wegerecht ist eine Felddienstbarkeit. Besteht auf einer Zufahrtsstraße eine Servitut, darf sich der Servitutsberechtigte gegen die Behinderung der Ausübung des absoluten Rechts – hier des Wegerechts – durch gerechtfertigte Selbsthilfe zur Wehr setzen. Wird die Nutzung der Dienstbarkeit durch eine Hecke beeinträchtigt, darf der Servitutsberechtigte die Hecke zurückstutzen. Der Grundstückseigentümer ist nicht berechtigt, den Zufahrtsweg deshalb mit einer Wildkamera zu überwachen (BVwG 13.01.2025, W137 2302430-1).

·      Prozessvoraussetzung für die Führung von Verfahren vor Verwaltungsgerichten ist ua das Bestehen eines Rechtsschutzinteresses. Wurde der Datenschutzbeschwerde von der DSB vollinhaltlich stattgegeben, steht der Bescheidbeschwerde der Mangel der formellen Beschwer und somit des Rechtsschutzbedürfnisses entgegen (BVwG 22.01.2024, W108 2288584-1).

·      Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 28.01.2025, W252 2271964-1; W252 2271980-1).

·      Das Grundrecht auf Datenschutz ist im Verfahren über die Festsetzung des ORF-Beitrags nicht präjudiziell, weshalb allfällige datenschutzrechtliche Bedenken der Festsetzung des ORF-Beitrags nicht entgegenstehen. Die in § 13 ORF-Beitrags-Gesetz 2024 vorgesehenen Datenübermittlungen werden für einen exakt definierten Zweck durchgeführt. Eine (unzulässige) Vorratsdatenspeicherung im Sinn einer Ermittlung von Daten zur Nutzung für einen späteren, zum Zeitpunkt der Ermittlung der Daten noch ungewissen Zweck, liegt nicht vor. Zudem ist die Zuständigkeit des BVwG im Kontext datenschutzrechtlicher Anbringen auf die Entscheidung über Datenschutzbeschwerden gegen Bescheide der DSB beschränkt (BVwG 11.12.2024, W603 2304073-1; 04.02.2025, L521 2306525-1; L521 2306682-1).

LVwG Wien 13.01.2025, VGW-101/042/17553/2024

Grundbuch, Abbruchbewilligung, Auskunft

·      Ein Abgeordneter des Wiener Gemeinderats begehrte beim Magistrat der Stadt Wien (MA 37, Baupolizei) Auskunft darüber, für welche Bauwerke im Jahr 2023 Ansuchen auf Abbruch wegen wirtschaftlicher Abbruchreife eingebracht und für welche dieser Bauwerke der Abbruch bewilligt respektive nicht bewilligt wurde. Dabei berief er sich auf das Wiener Auskunftspflichtgesetz (Wr. AuskunftspflichtG). Die MA 37 verweigerte die Auskunft der Liegenschaftsadressen, weil die Eigentümer der Gebäude über das öffentliche Grundbuch ausfindig gemacht werden könnten und die Adressen somit personenbezogene Daten seien. Dagegen richtete sich die (erfolgreiche) Bescheidbeschwerde des Abgeordneten.

Das LVwG Wien hat erwogen: Eine Liegenschaftsadresse ist ein personenbezogenes Datum. Das Wr. AuskunftspflichtG ist gesetzliche Grundlage der Auskunftsbefugnis der MA 37 iSd § 1 DSG. Ein Grund zur Verweigerung der Auskunft sind gesetzliche Verschwiegenheitspflichten, deren Vorliegen allerdings eng auszulegen ist.

Gemäß § 1 Wr. AuskunftspflichtG iVm § 1 Abs 2 DSG ist die Auskunft nur bei überwiegendem Interesse des Auskunftswerbers zulässig. Der Abgeordnete beantragte die Auskunft nicht aus rein privater Neugier, sondern zur Wahrnehmung seiner Funktion als public watchdog. Zudem kommen ihm als Gemeinderats- und Landtagsabgeordneter aus der Bundesverfassung umfassende Kontrollpflichten zu, die nur auf Grundlage der beantragten Informationen ausgeübt werden können. Das Geheimhaltungsinteresse der Eigentümer ist hingegen vergleichsweise gering, weil Eigentümer einer Liegenschaft ohnehin durch Einsicht in das öffentliche Grundbuch ermittelt werden können. Die Auskunft liegt somit im überwiegenden Interesse des Abgeordneten.

Die Möglichkeit, dass Unbefugte mit Kenntnis von der Abbruchreife das Gebäude betreten und bewohnen könnten, rechtfertigt nicht die Verweigerung der Auskunft. Im Vergleich zu unbewohnten Gebäuden ist die Gefahr eines Einbruchsdiebstahls bei bewohnten Gebäuden eindeutig höher.

·      Die Betreiberin des hochrangigen Straßennetzes in Österreich ist gemäß § 16a Abs 1 BStMG berechtigt, die zur Mauteinhebung, zur Mautaufsicht und zur Verfolgung von Mautprellerei erforderlichen personenbezogenen Daten (zB Kfz-Kennzeichen) automationsunterstützt zu verarbeiten und für ein Jahr ab der Mautstellen-Durchfahrt zu speichern. Die Verarbeitung erfolgt iSd Datenminimierungsgrundsatzes, ist dem gesetzlichen Zweck angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt. Die Speicherung der Passage-Daten für ein Jahr ab der Mautstellen-Durchfahrt ist für die Zwecke der Betrugsbekämpfung und Reklamation angemessen (DSB 26.09.2024, 2024-0.112.476).

·      Am 20.02.2025 wurde die "Delegierte Verordnung (EU) 2025/301 der Kommission vom 23. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des Inhalts und der Fristen für die Erstmeldung, die Zwischenmeldung und die Abschlussmeldung schwerwiegender IKT-bezogener Vorfälle sowie des Inhalts der freiwilligen Meldung erheblicher Cyberbedrohungen", ABl L 2025/301, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …" (kurz: DORA) und legt fest, welche Informationen mit Meldungen von IKT-Vorfällen zu übermitteln sind.

·      Am 20.02.2025 wurde die "Durchführungsverordnung (EU) 2025/302 der Kommission vom 23. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung", ABl L 2025/302, kundgemacht. Auch diese DurchführungsVO wurde auf Grundlage der DORA erlassen und enthält Vorschriften zur Meldung von IKT-Vorfällen.

·      Am 20.02.2025 wurde die "Delegierte Verordnung (EU) 2025/303 der Kommission vom 31. Oktober 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der von bestimmten Finanzunternehmen in die Mitteilung zur Bekundung ihrer Absicht zur Erbringung von Krypto-Dienstleistungen aufzunehmenden Angaben", ABl L 2025/303, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte […]" (kurz: MiCAR) und legt technische Regulierungsstandards fest.

·      Am 20.02.2025 wurde die "Durchführungsverordnung (EU) 2025/304 der Kommission vom 31. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Mustertexte und Verfahren für die Mitteilung von bestimmten Finanzunternehmen zur Bekundung ihrer Absicht zur Erbringung von Krypto-Dienstleistungen", ABl L 2025/304, kundgemacht. Auch diese DurchführungsVO wurde auf Grundlage der MiCAR erlassen und enthält Vorschriften zu Regulierungsstandards.

·      Am 18.02.2025 wurde die Kundmachung des Landeshauptmanns von Tirol betreffend die Vereinbarung gemäß Art 15a B-VG über die Organisation und Finanzierung des Gesundheitswesens, LGBl 2025/9, kundgemacht. Die Vereinbarung behandelt ua ELGA, eHealth und die eIDAS-konforme Ausgestaltung des e-card-Systems.

·      Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

·      Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

·      Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

·      Am 13.03.2025 wird das Urteil des EuGH in der Rs C-247/23, Deldits, verkündet. Der EuGH wird darüber absprechen, ob ein nationales Register ggf den Geschlechtseintrag einer Person zu berichtigen hat. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 20.03.2025 werden die Schlussanträge in der Rs C-655/23, Quirin Privatbank, veröffentlicht. Gegenstand des Verfahrens sind immaterieller Schadenersatz nach Art 82 DSGVO und Unterlassungsansprüche.

·      Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

EGMR 13.02.2025, 51409/19, Macharik/Tschechien

Schutz der Kommunikation, faires Verfahren

·      Mit richterlichem Beschluss kam es zu einer Offenlegung von Kommunikationsdaten aus der Mailbox eines Unternehmens. Dadurch konnten die E-Mail-Kommunikation und deren Inhalte einer mit dem Unternehmen in Kontakt stehenden Beschuldigten erlangt werden. Die E-Mail-Kommunikation diente als Hauptbeweismittel im gegen die Beschuldigte eingeleiteten Verfahren, in dem sie verurteilt wurde. Im Verfahren beantragte sie erfolglos die Entfernung der E-Mail-Kommunikation aus den Verfahrensakten, weil diese Nachrichten keine Kommunikationsdaten iSd im Beschluss angeführten Gesetzes seien. Die angerufenen innerstaatlichen Gerichte erachteten die Verwertung der E-Mail-Kommunikation als Beweismittel unter Heranziehung unterschiedlicher Gesetzesbestimmungen für rechtmäßig. Die Beschuldigte wendete sich an den EGMR und monierte eine Verletzung ihres Rechts auf Achtung des Privat- und Familienlebens gemäß Art 8 EMRK sowie des Rechts auf ein faires Verfahren gemäß Art 6 EMRK. Darüber hinaus machte sie Schaden- und Aufwandersatz geltend. Der EGMR bestätigte die Verletzung von Art 8 EMRK, lehnte aber das Begehren auf Schadenersatz ab und sprach einen Teil des Aufwandersatzes iHv EUR 2.500 zu.

Der EGMR hat erwogen: Die Vertraulichkeit jeglicher privaten und beruflichen Korrespondenz wird von Art 8 EMRK umfasst. Ein Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Das Gesetz und etwaige Ermessensspielräume müssen hinreichend klar und nachvollziehbar formuliert sein. Die Sichtung von beruflichen E-Mails ist ein geringerer Eingriff in Art 8 EMRK als die Einsichtnahme in eine private Mailbox.

Die innerstaatlichen Gerichte zogen drei Normen als potenzielle Rechtfertigung für den Eingriff in das Grundrecht heran, wobei die von den letztinstanzlichen Gerichten herangezogene Norm zum Zeitpunkt des Eingriffs in dieser Form noch nicht in Kraft war. Die Speicherung und Herausgabe der Kommunikation war nach den genannten innerstaatlichen Bestimmungen nicht erlaubt. Die Anwendung der Bestimmungen erfolgte durch die Gerichte in einer nicht nachvollziehbaren Weise. Der Eingriff in das Grundrecht war daher weder vorhersehbar noch gesetzlich vorgesehen.

Die Verwendung von unzulässig erhobenen Beweisen ist keine Verletzung des Rechts auf ein faires Verfahren, wenn der Eingriff nur geringfügig ist und Verteidigungsrechte sonst beachtet werden.

Den geltend gemachten Schadenersatz für die im Strafverfahren auferlegte Geldstrafe lehnte der EGMR mangels Kausalität zwischen der festgestellten Verletzung und dem geltend gemachten Schaden ab. Immateriellen Schadenersatz lehnte der EGMR ab, weil die Feststellung einer Grundrechtsverletzung eine ausreichende Entschädigung sei.

EuGH 13.02.2025, C-383/23, ILVA

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

·      Das dänische Tochterunternehmen eines Konzerns speicherte zwischen Mai 2018 und Januar 2019 unrechtmäßig personenbezogene Daten von mindestens 350.000 ehemaligen Kunden. In Dänemark werden Geldbußen nicht von der Datenschutz-Aufsichtsbehörde verhängt, sondern auf Empfehlung der Aufsichtsbehörde von der Staatsanwaltschaft beim zuständigen Gericht beantragt. Die dänische Staatsanwaltschaft beantragte bemessen am Konzernumsatz eine Geldbuße iHv rund EUR 201.000. Das Erstgericht verhängte jedoch eine am Umsatz des Tochterunternehmens bemessene Geldbuße iHv rund EUR 13.400. Die Staatsanwaltschaft legte Berufung ein, weshalb das vorlegende Gericht den EuGH zur Auslegung des Begriffs "Unternehmen" in Art 83 Abs 4 bis 6 DSGVO befragte.

Der EuGH hat erwogen: ErwGr 150 DSGVO verweist iZm der Berechnung von Geldbußen nach Art 83 Abs 4 bis 6 DSGVO auf den Begriff "Unternehmen" iSd Art 101 und 102 AEUV. Dieser Unternehmensbegriff umfasst jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und Finanzierungsart.

Nach Art 83 Abs 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass Geldbußen nach Abs 4 bis 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Art 83 Abs 2 DSGVO verlangt zudem, dass die zuständige Aufsichtsbehörde bei der Entscheidung über das Verhängen einer Geldbuße eine Reihe von Kriterien (ua Art, die Schwere und die Dauer des Verstoßes) berücksichtigt.

Diese Kriterien verweisen zwar nicht auf den Unternehmensbegriff iSd Art 101 und 102 AEUV, doch eine Geldbuße ist nur dann wirksam, verhältnismäßig und abschreckend, wenn sie nicht nur diese Kriterien, sondern auch die materielle Leistungsfähigkeit des Adressaten berücksichtigt. Daher ist zu prüfen, ob der Adressat einem Unternehmen iSd Art 101 und 102 AEUV angehört.

In bestimmten nationalen Rechtsordnungen, etwa der Dänemarks, sind keine Geldbußen vorgesehen. Gemäß Art 83 Abs 9 DSGVO kann in diesen Fällen die zuständige Aufsichtsbehörde die Geldbuße in die Wege leiten, während die nationalen Gerichte sie verhängen.

Gemäß Art 83 DSGVO müssen die zuständigen Aufsichtsbehörden sicherstellen, dass bei der Berechnung der tatsächlichen Höhe der verhängten Geldbuße der Grundsatz der Verhältnismäßigkeit beachtet wird. Dies geschieht durch einen angemessenen Ausgleich zwischen dem allgemeinen Interesse am Schutz personenbezogener Daten und den Rechten des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, dem diese angehören.

Auch wenn Verstöße gegen die DSGVO nicht mit administrativen, sondern mit von Strafgerichten verhängten Geldbußen geahndet werden, steht einer Anwendung des Begriffs "Unternehmen" iSd Art 101 und 102 AEUV im Rahmen von Art 83 Abs 4 bis 6 DSGVO nichts entgegen.

Der Höchstbetrag einer Geldbuße gegen einen Verantwortlichen, der ein Unternehmen ist oder einem Unternehmen angehört, wird auf Basis eines Prozentsatzes des weltweiten Konzernumsatzes berechnet. Der Konzernumsatz ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen. Dadurch wird überprüft, ob die Geldbuße wirksam, verhältnismäßig und abschreckend ist.

EuGH 13.02.2025, C-612/23, Verbraucherzentrale Berlin

Telekommunikation, Mindestvertragslaufzeit

·      Eine Verbraucherzentrale erhob eine Unterlassungsklage gegen einen Telekomanbieter wegen deren Geschäftspraxis, die es Bestandskunden ermöglichte, vor Ablauf ihrer Erstverträge neue Folgeverträge mit einer Mindestlaufzeit von 24 Monaten abzuschließen. Die verbleibende Vertragslaufzeit der Erstverträge wurde dem neuen Vertrag hinzugerechnet. Nach Ansicht der Verbraucherzentrale verstieß dies gegen Art 30 der UniversaldienstRL, nach der keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten vereinbart werden darf. Das vorlegende Gericht fragte den EuGH, ob der Begriff "anfängliche Mindestvertragslaufzeit" auch auf Verlängerungsverträge anzuwenden sei, was der EuGH bejahte.

Der EuGH hat erwogen: Die UniversaldienstRL ist in der Zwischenzeit durch den europäischen Kodex für die elektronische Kommunikation (EKEK; Richtlinie [EU] 2018/1972) aufgehoben worden. Auf den Ausgangssachverhalt ist aber noch die UniversaldienstRL anzuwenden.

Art 30 Abs 5 UniversaldienstRL bestimmte, dass Verträge zwischen Verbrauchern und Unternehmen, die elektronische Kommunikationsdienste erbringen, keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten beinhalten dürfen. Der Begriff "anfängliche Mindestvertragslaufzeit" bezieht sich sowohl auf die Laufzeit des Erstvertrags als auch auf die Laufzeit eines Folgevertrags zwischen denselben Parteien. Ein Folgevertrag darf keine Mindestvertragslaufzeit von mehr als 24 Monaten haben, auch wenn er vor Ablauf des Erstvertrags unterzeichnet und in Vollzug gesetzt wurde.

Die Festlegung zumutbarer Mindestlaufzeiten in Verbraucherverträgen ist nicht ausgeschlossen, darf aber nicht mehr als 24 Monate betragen. Der Unionsgesetzgeber wollte keine Unterscheidung zwischen Erst- und Folgeverträgen treffen. Ein Vergleich der Sprachfassungen der UniversaldienstRL bestätigt diese Auslegung. Der Schutz der Verbraucher war zentrales Ziel dieser RL und dieser darf nicht geringer sein, wenn ein Verbraucher Änderungen eines Vertrags mit einem Anbieter zustimmt, als wenn er erstmals eine Bindung mit einem neuen Anbieter eingeht. Dies gilt insbesondere, wenn der Folgevertrag wesentliche Änderungen gegenüber dem Erstvertrag enthält, wie etwa Preisgestaltung oder Leistungsinhalt.

·      Die Anordnung des Art 7 Abs 3 DSGVO, dass der Widerruf so einfach sein müsse, wie die Erteilung der Einwilligung zur Verarbeitung personenbezogener Daten, ist nicht weiter auslegungsbedürftig. Die Frage, wie ein Cookie-Banner zu gestalten ist, ist jeweils anhand der für den Einzelfall maßgeblichen Umstände zu prüfen, weshalb diese Frage nicht revisibel ist (VwGH 16.01.2025, Ra 2024/04/0424).

·      Gegenstand des Auskunftsverfahrens ist die Verletzung der Auskunftspflicht aufgrund eines bestimmten Auskunftsersuchens. Die Rechtswirksamkeit des Auskunftsersuchens ist somit Voraussetzung für eine Verletzung der Auskunftspflicht. Eine Nachholung des den Beschwerdegegenstand bildenden Auskunftsersuchens erst im datenschutzrechtlichen Verfahren ist nicht möglich, weil es sich bei der Stellung eines rechtswirksamen Auskunftsersuchens um die tatbestandsmäßige Voraussetzung dafür handelt, dass die (potenziell) Betroffene überhaupt in ihrem Recht verletzt werden konnte. Durch diese Sichtweise entsteht kein Rechtsschutznachteil, weil jede (potenziell) Betroffene grundsätzlich jederzeit ein neues Auskunftsersuchen an den Verantwortlichen richten kann (VwGH 10.12.2024, Ra 2022/04/0107).

·      Die Behandlung von Erneuerungsanträgen in Strafverfahren ist auf die Prüfung der Verletzung eines Rechts nach der EMRK oder ihrer Zusatzprotokolle beschränkt. Die Bestimmungen des § 110 Abs 1 Z 1 und Abs 2 StPO sowie des § 111 Abs 2 StPO zur Mobiltelefonauswertung wurden mit Erkenntnis des VfGH als verfassungswidrig wegen Verstoßes gegen § 1 Abs 2 DSG iVm Art 8 Abs 2 EMRK aufgehoben. Wie der VfGH ausgesprochen hat, blieben diese aufgehobenen Bestimmungen jedoch aufgrund der gemäß Art 140 Abs 5 B-VG gesetzten Frist bis zum Ablauf des 31.12.2024 in Kraft. Sie waren daher zum Zeitpunkt der Entscheidung durch das Berufungsgericht anzuwenden (OGH 22.01.2025, 13Os105/24a).

·      Die DSGVO gibt keine bestimmte Form für den Identitätsnachweis im Rahmen eines Auskunftsersuchens vor. Auch eine in diesem Zusammenhang erteilte Vollmacht muss daher nicht handschriftlich iSd § 886 ABGB sein. Bestehen begründete Zweifel an der Identität oder Vollmacht, muss der Verantwortliche dem Betroffenen seine konkreten Bedenken mitteilen. Die pauschale Ablehnung der Auskunft ist unzulässig (OLG Linz 06.02.2025, 6R10/25w).

BVwG 13.01.2025, W137 2304495-1

Video, Servitut, Datenminimierung

·      Zwei Grundstückseigentümer installierten eine Videokamera am Hauseingang, die auch einen Teil des von den Servitutsberechtigten genutzten Geh- und Fahrtwegbereich erfasste. Die Servitutsberechtigten erachteten sich in ihrem Recht auf Geheimhaltung verletzt und erhoben Datenschutzbeschwerde bei der DSB. Diese gab der Datenschutzbeschwerde statt und trug den Grundstückseigentümern auf, den Aufnahmebereich so einzuschränken, dass der Geh- und Fahrtwegbereich nicht mehr zu sehen ist. Gegen diesen Bescheid erhoben die Grundstückseigentümer (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Zweck der Videoüberwachung besteht grundsätzlich darin, das Grundstück der Grundstückseigentümer zu überwachen und ist als solcher berechtigt. Zwar besteht für die Grundstückseigentümer ein berechtigtes Interesse am Schutz ihres Eigentums iSd Art 6 Abs 1 lit f DSGVO, allerdings überwiegt das Interesse der Servitutsberechtigten am Schutz ihres Privat- und Familienlebens bei der zweckmäßigen Nutzung ihrer Servitut.

Zudem haben die Grundstückseigentümer gegen den Grundsatz der Datenminimierung iSd Art 5 Abs 1 lit c DSGVO verstoßen, weil der Schutz ihres Eigentums auch dann erreicht werden könnte, wenn die Videokamera so positioniert wäre, dass diese nur den Eingangsbereich ihres Hauses überwacht.

·      Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 10.01.2025, W252 2271738-1).

·      Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 10.01.2025, W291 2261757-1; 22.01.2025, W108 2288262-1).

·      Am 13.02.2025 wurde die "Delegierte Verordnung (EU) 2025/295 der Kommission vom 24. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Harmonisierung der Bedingungen für die Durchführung von Überwachungstätigkeiten", ABl L 2025/295, 1, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …" (kurz: DORA) und legt fest, welche Informationen sog IKT-Drittdienstleister zur Verfügung zu stellen haben.

·      Zur Ergänzung der "VO (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte…" (kurz: MiCAR) erließ die Kommission fünf Delegierte Verordnungen. Am 13.02.2025 wurden die DelegierteVO (EU) 2025/292, ABl L 2025/292, 1; DelegierteVO (EU) 2025/296, ABl L 2025/296, 1; DelegierteVO (EU) 2025/297, ABl L 2025/297, 1; DelegierteVO (EU) 2025/298; ABl L 2025/298, 1; DelegierteVO (EU) 2025/299, ABl L 2025/299, 1, kundgemacht. Ergänzt wird die MiCAR durch mehrere technische Regulierungsstandards.

·      Am 10.02.2025 wurde das FATF-Prüfungsanpassungsgesetz 2024, BGBl I 2025/5, kundgemacht. Mit dem FATF-Prüfungsanpassungsgesetz wurde das Sanktionengesetz 2024 erlassen sowie ua das BWG, das FMABG und das KontRegG novelliert. Geregelt wird ua die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zur Umsetzung von Sanktionsmaßnahmen.

·      Am 14.02.2024 wurde die "Verordnung des Bundesministers für Kunst, Kultur, öffentlichen Dienst und Sport, mit der die BMKÖS-Datenaufbewahrungsverordnung geändert wird", BGBl II 2025/18, kundgemacht. Mit dieser V werden bestimmte Aufbewahrungspflichten bei der Verarbeitung der Daten von Beamten im Vergleich zu den Regelungen des § 280a BDG herab- oder heraufgesetzt.

·      Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

·      Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

·      Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

·      Am 13.03.2025 wird das Urteil des EuGH in der Rs C-247/23, Deldits, verkündet. Der EuGH wird darüber absprechen, ob ein nationales Register ggf den Geschlechtseintrag einer Person zu berichtigen hat. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 20.03.2025 werden die Schlussanträge in der Rs C-655/23, Quirin Privatbank, veröffentlicht. Gegenstand des Verfahrens sind immaterieller Schadenersatz nach Art 82 DSGVO und Unterlassungsansprüche.

·      Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.

EGMR 04.02.2025, 33421/16 au, Klimova ua/Russland

Vorratsdatenspeicherung, Aktivistin, Meinungsfreiheit

·     Kommunikationsdienste haben in Russland Metadaten über Internetkommunikationen für ein Jahr und Inhaltsdaten der Internetkommunikationen für sechs Monate aufzubewahren (= Vorratsdatenspeicherung). Diese Daten sind auf Anfrage von Polizei oder Sicherheitsdiensten vom Kommunikationsdienstleister herauszugeben. Eine gerichtliche Genehmigung ist dafür nicht zwingend erforderlich.

Eine Aktivistin administrierte eine öffentliche Community auf dem russischen sozialen Netzwerk VKontakte (VK), die sich für die Rechte von LGBTQI+ Personen einsetzte. Der russische Geheimdienst (Federal Security Service; FSB) erwirkte die Herausgabe von Nutzerdaten der Administratorin einschließlich weitreichender Informationen über den Inhalt und weiterer Teilnehmer der Community. Über die durch diese Herausgabe persönlich identifizierte Aktivistin wurden in der Folge wegen Förderung von Homosexualität bei Minderjährigen zwei Verwaltungsstrafen verhängt. Diese Strafen wurden im Rechtsmittelverfahren aufrechterhalten.

Der EGMR stellte einstimmig eine Verletzung der durch Art 8 (Recht auf Achtung des Privat- und Familienlebens) und Art 10 EMRK (Freiheit der Meinungsäußerung) gewährleisteten Rechte fest und sprach der Aktivistin EUR 9.800 immateriellen Schadenersatz zu.

Der EGMR hat erwogen: Der EGMR ist zuständig, weil sich der Sachverhalt vor dem Austritt Russlands aus der EMRK mit 16.09.2022 ereignete.

Die vom FSB gesammelten Daten (Benutzerdaten, Informationen über die von der Aktivistin errichteten und moderierten Gruppen und deren Inhalt) fallen in den Bereich des durch Art 8 EMRK geschützten Privatlebens.

Eingriffe in das geschützte Privatleben müssen auf gesetzlichen Bestimmungen basieren, ein legitimes Ziel verfolgen und in einer demokratischen Gesellschaft notwendig sein. Das innerstaatliche Recht muss einen geeigneten Schutz dieser Daten vorsehen, vor allem, wenn Daten für polizeiliche Zwecke verwendet werden.

Das russische Informationsgesetz sieht zwar eine gesetzliche Grundlage zur Erhebung von Daten vor, enthält jedoch keine geeigneten Schutzgarantien. Der Schutz vor Missbrauch ist bei Plattformen sozialer Netzwerke besonders gering, weil Behörden keine gerichtliche Genehmigung für den Zugriff auf personenbezogene Daten benötigen. Der Aktivistin stand zudem kein wirksamer Rechtsbehelf zur Verfügung, um die Übermittlung personenbezogener Daten an die FSB anzufechten. Denn im Rahmen des möglichen gerichtlichen Überprüfungsverfahrens sind Gerichte nicht verpflichtet, die Notwendigkeit und Angemessenheit des Zugriffs auf personenbezogene Daten im erforderlichen Ausmaß zu überprüfen. Die Erhebung der Nutzerdaten beruhte somit auf gesetzlichen Bestimmungen, die keine ausreichenden Garantien gegen Missbrauch boten.

Das Verbot der Förderung von Homosexualität dient darüber hinaus nicht dem legitimen Ziel des Schutzes der Sittlichkeit und Gesundheit. Bei der Prüfung, ob der Eingriff in das Recht auf Achtung der Privatsphäre "in einer demokratischen Gesellschaft notwendig war", ist die Art und Schwere der Straftat zu berücksichtigen. Der Straftatbestand der Förderung der Homosexualität ist nach dem innerstaatlichen Recht eine Verwaltungsübertretung, die auch keinen tatsächlichen (in ihrem Sinn) nachteiligen Erfolg verlangt. Die Erhebung großer Mengen personenbezogener Daten kann außerdem eine abschreckende Wirkung im Hinblick auf das Recht auf freie Meinungsäußerung haben. Unter diesen Umständen erscheint die Erhebung ua sensibler Daten zur Identifizierung der Aktivistin in einer demokratischen Gesellschaft nicht notwendig.

EGMR 04.02.2025, 8825/22 ua, Bazhenov ua/Russland

Positive Pflicht, sexuelle Orientierung, soziales Netzwerk

·     Die personenbezogenen Daten, darunter die sexuelle Orientierung, von zwei Geschäftsleuten und einem Rechtsanwalt, die jeweils in gleichgeschlechtlichen Ehen in Europa bzw in den USA lebten, wurden 2020 auf dem russischen sozialen Netzwerk VKontakte (VK) mit klar homophober Intention in homophoben Gruppen und auf privaten Kanälen veröffentlicht. Die Geschäftsleute und der Rechtsanwalt riefen die jeweils zuständigen Staatsanwaltschaften an. In Russland waren zwar entsprechende strafgesetzliche Bestimmungen vorhanden, die Staatsanwaltschaften blieben jedoch zunächst untätig. Mit reichlicher Verspätung forderte die Staatsanwaltschaft VK auf, die Identitätsdaten des Nutzers herauszugeben, der sich hinter dem verdächtigen Profil verbarg. Anschließend wurde das Verfahren jedoch ohne Rückmeldung von VK geschlossen. Die Geschäftsleute und der Rechtsanwalt riefen den EGMR an, der einen Verstoß gegen Art 14 EMRK (Verbot der Benachteiligung) iVm Art 8 EMRK (Recht auf Achtung des Privat- und Familienlebens) feststellte.

Der EGMR hat erwogen: Die vorgeworfene Tat ereignete sich vor dem 16.09.2022, als Russland aus der EMRK austrat. Der EGMR ist daher zuständig.

Das Offenlegen personenbezogener Daten auf homophoben öffentlichen und individuellen Kanälen hat die Geschäftsleute und den Rechtsanwalt einem erhöhten Risiko von Belästigung ausgesetzt und sie hatten Angst um ihr Leben. Das einwilligungslose Veröffentlichen der personenbezogenen Daten, einschließlich der sexuellen Orientierung, der Information über die gleichgeschlechtliche Ehe sowie von Fotos der Betroffenen, greift in deren Recht auf Privat- und Familienleben ein.

Der Staat hat eine positive Pflicht, das Recht auf Achtung des Privat- und Familienlebens ohne Diskriminierung zu schützen. Sexuelle Minderheiten sind besonders schutzbedürftig. Das innerstaatliche Recht enthielt zwar einen strafgerichtlichen Rechtsbehelf gegen das rechtswidrige Verbreiten von Informationen über das Privatleben einer Person, der Staat ist seiner positiven Pflicht jedoch nicht nachgekommen, weil er untätig blieb, bis die Verjährungsfristen abliefen.

Zwar stellte der Ermittler, bevor er das Verfahren betreffend die Geschäftsleute endgültig einstellte, eine Anfrage an VK, doch stellte er das Verfahren ein, ohne eine Antwort von VK erhalten zu haben. Anm: Aus diesem Urteil kann geschlossen werden, dass es nach Ansicht des EGMR Sicherheitsbehörden geboten ist, zur Aufklärung von (bestimmten) Straftaten bei sozialen Netzwerken die Identitätsdaten der Nutzer dieser Netzwerke anzufragen. Allerdings gilt dies jedenfalls nicht, wie im zuvor besprochenen Fall Klimova/Russland gezeigt, wenn dies in einer demokratischen Gesellschaft nicht gerechtfertigt ist.

EuGH Schlussanträge 06.02.2025, C-413/23 P, EDPS/SRB (EN)

Personenbezug, Pseudonymisierung, Informationspflicht

·     Im Rahmen des Abwicklungsverfahrens einer Bank veröffentlichte der Einheitliche Abwicklungsausschuss (SRB) – die für die Abwicklung insolvenzbedrohter Finanzinstitute zuständige Behörde der Europäischen Bankenunion – eine vorläufige Entscheidung über die Gewährung einer Entschädigung für betroffene Aktionäre oder Gläubiger. Er leitete ein Anhörungsverfahren ein, bei dem Betroffene eine Stellungnahme zur vorläufigen Entscheidung einreichen konnten. Die Stellungnahmen wurden vom SRB aggregiert, gefiltert und kategorisiert und dann an Deloitte zur Auswertung übermittelt. Die Inhalte der Stellungnahmen waren von den Identifikationsdaten der Betroffenen getrennt und mit einem alphanumerischen Code gekennzeichnet, sodass nur der SRB die Daten verknüpfen konnte.

Fünf Bankkunden brachten Beschwerden beim EDSB ein, weil der SRB nicht darüber informiert hatte, dass ihre Daten an Deloitte weitergegeben werden. Der EDSB beschloss, dass die an Deloitte übermittelten Daten pseudonymisierte Daten waren und stellte einen Verstoß gegen die Informationspflicht fest.

Der SRB erhob Klage an das EuG. Dieses hob den Beschluss des EDSB auf, weil dieser Inhalt, Zweck oder Auswirkungen der an Deloitte übermittelten Informationen nicht geprüft habe. Mangels einer solchen Prüfung dürfe der EDSB nicht davon ausgehen, dass sich die an Deloitte übermittelten Informationen auf eine natürliche Person beziehen. Gegen diese Entscheidung richtet sich das Rechtsmittel des EDSB.

Der Generalanwalt hat erwogen: Eine Information bezieht sich auf eine bestimmte oder bestimmbare Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit dieser verknüpft ist. Bei Stellungnahmen ist zu unterscheiden, ob sie sich auf die bewertete Person beziehen, auf die im Text Bezug genommen wird, oder auf den Verfasser. Im zweiten Fall könnte man vermuten, dass sich eine Stellungnahme zwangsläufig auf ihren Verfasser bezieht. Auch mangels einer solchen Vermutung beziehen sich die Stellungnahmen aufgrund ihres Inhalts, Zwecks und ihrer Wirkung auf die Bankkunden, weil sie ihre Logik und Argumentation zeigten und somit ihre subjektive Meinung widerspiegelten. Die Stellungnahmen waren auch geeignet, sich auf die Interessen der Betroffenen in Bezug auf die finanzielle Entschädigung auszuwirken.

Die Aggregation der Stellungnahmen ändert nichts daran, dass es sich um personenbezogene Daten handelt, weil es andernfalls ausreichen würde, mehrere Standpunkte zusammenzufassen, um das Erfordernis zu umgehen, dass es sich um eine Information "über eine natürliche Person" zu handeln hat. Die fehlende Unterscheidbarkeit der Einzelmeinungen betrifft die Frage der Identifizierbarkeit, nicht jedoch die Verknüpfung mit einer natürlichen Person.

Pseudonymisierung ist eine Verarbeitung personenbezogener Daten, die die Möglichkeit offenlässt, dass Betroffene nicht identifizierbar sind. Während anonymisierte Daten nicht unter die DSGVO fallen, sind pseudonymisierte Daten nur insoweit ausgeschlossen, als Betroffene nicht identifiziert werden können. Daten können nur dann nicht als personenbezogene Daten eingestuft werden, wenn die Gefahr einer Identifizierung ausgeschlossen oder unbedeutend ist. Es war daher zu prüfen, ob die Pseudonymisierung der Daten so robust war, dass die Bankkunden vernünftigerweise nicht identifizierbar waren. Falls Deloitte in der Lage gewesen wäre, die Bankkunden zu identifizieren, hätte es sich um personenbezogene Daten gehandelt.

Die Informationspflicht ist Teil des Rechtsverhältnisses zwischen den Betroffenen und dem Verantwortlichen. Sie entsteht zu dem Zeitpunkt, zu dem die Daten vom SRB erhoben werden und in Bezug auf die Informationen über den Empfänger spätestens dann, wenn dieser bekannt ist. Die Daten bleiben personenbezogen, unabhängig davon, ob sie gegenüber dem Empfänger pseudonymisiert wurden. Die Frage, ob die Pseudonymisierung ausreichend war, ist für die Informationspflicht nicht relevant, sodass Deloitte als Empfänger zu beauskunften gewesen wäre.

EuGH Schlussanträge 06.02.2025, C-492/23, Russmedia Digital

Online-Marktplatz, Hosting, Rollenverteilung

·     Auf dem Online-Marktplatz ("Publi24.ro"), die von der Gesellschaft Russmedia betrieben wird, wurde eine Annonce veröffentlicht, aus der hervorging, dass eine Person sexuelle Dienstleistungen anbiete. Diese Annonce enthielt Fotos und eine Telefonnummer, die aus den sozialen Netzwerken der Person stammten und ohne ihre Zustimmung verarbeitet wurden. Russmedia entfernte die Anzeige, doch wurde sie auf andere Websites kopiert. Die Person erhob Klage gegen Russmedia, woraufhin der EuGH angerufen wurde, um die Haftung des Betreibers eines Online-Marktplatzes zu klären.

Der Generalanwalt hat erwogen: Der Betreiber eines Online-Marktplatzes kann in den Genuss einer Haftungsbefreiung für den Inhalt der auf seinem Marktplatz veröffentlichten Anzeigen kommen, sofern seine Rolle neutral und rein technisch bleibt und er bei Kenntnis eines rechtswidrigen Inhalts diesen unverzüglich entfernt. Das gilt nicht, wenn aktiv in die Verwaltung der Inhalte, deren Änderung oder die Werbung für die Inhalte eingegriffen wird. Die Haftungsbefreiung ist auf Russmedia anwendbar, solange sie ihre Eigenschaft als neutraler Hosting-Provider nicht verliert, auch wenn in den allgemeinen Nutzungsbedingungen angeführt ist, sich das Recht vorzubehalten, die bereitgestellten Inhalte selbst zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln etc.

Betreffend die datenschutzrechtliche Rollenverteilung ist anzunehmen, dass der Betreiber als Auftragsverarbeiter für den Inserierenden agiert. Er ist somit nicht verpflichtet, den Inhalt der veröffentlichten Anzeigen zu überprüfen oder Sicherheitsmaßnahmen zu ergreifen, die geeignet sind, das Kopieren oder die Weiterverbreitung des Inhalts von Anzeigen zu verhindern. Er muss aber geeignete organisatorische und technische Maßnahmen treffen, um die Sicherheit der Verarbeitung gegenüber Dritten zu gewährleisten.

Hinsichtlich der personenbezogenen Daten der inserierenden Nutzer handelt der Betreiber als Verantwortlicher. In diesem Rahmen ist er verpflichtet, die Identität dieser inserierenden Nutzer zu überprüfen.

·     Die Befugnisse des Betriebsrats bleiben durch das Datenschutzrecht unberührt. Das ArbVG wurde als "spezifischere" Vorschrift iSd Öffnungsklausel des Art 88 Abs 3 DSGVO bei der Europäischen Kommission notifiziert. Zwischen dem Betriebsverfassungs- und dem Datenschutzrecht besteht eine "Sphärenharmonie". Im Bereich der Pflichtkompetenzen des Betriebsrats ist keine datenschutzrechtliche Interessenabwägung erforderlich, weil die Datenverarbeitung auf die Erfüllung rechtlicher Verpflichtungen gemäß Art 6 Abs 1 lit c und Art 9 Abs 2 lit b DSGVO gestützt werden kann. Außerhalb der Pflichtbefugnisse des Betriebsrats gelangen die Art 6 Abs 1 lit f und Art 9 Abs 2 lit b DSGVO als Erlaubnistatbestände zur Anwendung. Benötigt der Betriebsrat zur Kontaktaufnahme die E-Mail-Adressen der Arbeitnehmer, hat der Betriebsinhaber diese herauszugeben. Die proaktive Kontaktaufnahme gehört zwar nicht zu den Pflichtbefugnissen des Betriebsrats. Die Herausgabe kann aber auf das berechtigte Interesse des Betriebsrats gestützt werden, als Belegschaftsvertretung mit den Arbeitnehmern zu kommunizieren. Ein Recht des Betriebsrats auf Bekanntgabe privater Telefonnummern der Arbeitnehmer besteht hingegen nicht (OGH 17.01.2025, 6ObA2/23x).

·     Ein elektronisches Auskunftsersuchen muss nicht zwingend mit einer qualifizierten elektronischen Signatur versehen sein. Die DSGVO gibt keine konkrete Form des Identitätsnachweises vor. Ergibt sich hinsichtlich des Identitätsnachweises bereits ein hoher Grad an Verlässlichkeit, ist die Anforderung zusätzlicher Informationen unzulässig (OLG Linz 27.01.2025, 11R1/25h).

BVwG 27.11.2024, W252 2280461-1

Anwendungsbereich, StVO, Verwaltungsstrafverfahren, Straftat

·     Mitarbeiter der Autobahnpolizeiinspektion fertigten auf einer Autobahn mit ihrer mobilen Dienstkamera ein Lichtbild eines Fahrzeugs an, weil dessen Halter gegen das Rechtsfahrgebot verstieß. Die Mitarbeiter brachten die straßenverkehrsrechtliche Verwaltungsübertretung bei der zuständigen Bezirkshauptmannschaft ("BH") zur Anzeige. Der Fahrzeughalter erachtete sich in seinem Geheimhaltungsrecht verletzt und erhob eine auch gegen die örtlich zuständige Landesregierung gerichtete Datenschutzbeschwerde an die DSB, welche diese abwies. Der Fahrzeughalter erhob (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO findet ua keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten. Ausnahmen vom Anwendungsbereich der DSGVO sind eng auszulegen. Der VwGH hat mit Beschluss vom 03.03.2022, Ra 2020/02/0241, Art 6 Abs 1 lit e iVm Abs 3 DSGVO in einem Verwaltungsstrafverfahren angewendet. Somit fallen nicht jegliche Verwaltungsstrafen unter den unionsrechtlichen Begriff der Straftat. Die DSGVO ist anzuwenden.

Die Landesregierung ist für die Handhabung der Verkehrspolizei auf Autobahnen zuständig. Sie kann hierfür Organe, die der Landespolizeidirektion angehören oder dieser zugeteilt sind und in Angelegenheiten des Straßenverkehrs besonders geschult sind, zur Handhabung der Verkehrspolizei ua auf Autobahnen einsetzen. Organe der Straßenaufsicht haben die Verkehrspolizei zu handhaben und bei der Vollziehung dieses Bundesgesetzes durch Maßnahmen, die für die Einleitung von Verwaltungsstrafverfahren erforderlich sind, mitzuwirken. Eine derartige Maßnahme, an der die Organe der Bundespolizei (hier jene der Autobahnpolizeiinspektion) mitzuwirken haben, kann ua die Anfertigung von Beweismaterial in Form von Lichtbildern sein. Dabei begründet die Straßenverkehrssicherheit eine Aufgabe im öffentlichen Interesse. Die Verarbeitung der vorliegenden Daten war für die Wahrnehmung der sich aus den Erfordernissen der StVO sowie aus dem Verwaltungsstrafverfahren ergebenden Aufgabe, die im öffentlichen Interesse liegt, erforderlich und daher rechtmäßig.

Auf den von der DSB angenommenen Erlaubnistatbestand des § 98e Abs 1 StVO konnte die Datenverarbeitung jedoch nicht gestützt werden. Wie sich aus den Gesetzesmaterialien ergibt, hatte der Gesetzgeber bei der Schaffung des § 98e StVO "die Überwachung aus Fahrzeugen (zB Zivilstreifen)" vor Augen. Mangels planwidriger Rechtslücke war der von der DSB angestellte "teleologische Größenschluss" unzulässig.

BVwG 10.01.2025, W108 2290157-1

WEG, mündliche Mitteilung, gesetzliche Pflicht

·     Ein Wohnungseigentümer richtete mehrere E-Mails an seine Hausverwaltung, in denen er ua eine grobe Misswirtschaft und eine unzulässige Begünstigung eines Miteigentümers iZm mit einem geplanten Bauprojekt durch die Verwalterin kritisierte. Die Verwalterin verlas in einer Eigentümerversammlung in Abwesenheit des Wohnungseigentümers Auszüge dieser E-Mails und nahm deren Inhalt in das Sitzungsprotokoll auf. Dieses wurde anschließend an alle Wohnungseigentümer übermittelt. Der Wohnungseigentümer erachtete sich dadurch in seinem Recht auf Geheimhaltung verletzt.

Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Offenlegung der E-Mails durch überwiegende berechtigte Interessen der Hausverwaltung und der Wohnungseigentümer gerechtfertigt war. Daraufhin erhob der Wohnungseigentümer (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Im Hinblick auf eine Verletzung des Rechts auf Geheimhaltung spielt es keine Rolle, auf welche Weise Daten verarbeitet werden. Auch eine mündliche Mitteilung kann eine Verletzung dieser Bestimmung bewirken.

Die Vorwürfe iZm den Pflichtverletzungen der Verwalterin betrafen die gesamte Eigentümergemeinschaft. Daher bestand jedenfalls ein erhebliches Interesse der Hausverwaltung iSd § 1 Abs 2 DSG, die vom Wohnungseigentümer übermittelten Informationen bzw erhobenen Vorwürfe den übrigen Miteigentümern zur Kenntnis zu bringen. Falls zutreffend, hätten sie zur Kündigung des Verwaltervertrags führen können bzw müssen und einen erheblichen finanziellen Schaden für die Eigentümergemeinschaft bedeutet.

Das Verschweigen der erhobenen Vorwürfe hätte jedenfalls einen Verstoß gegen gesetzliche Pflichten gemäß § 20 Abs 1 WEG sowie gegen vertragliche Pflichten der Hausverwaltung bedeutet.

Weiters war auch die Bekanntgabe des Namens des Wohnungseigentümers gerechtfertigt. Die übrigen Miteigentümer hatten ein Interesse, die Vorwürfe zu überprüfen, was nur mit Bekanntgabe des Urhebers möglich war. Nur so konnte eine Rücksprache oder ein Austausch über Beweismittel erfolgen.

Daher war die Datenverarbeitung jedenfalls auch für den geschilderten Zweck erheblich und notwendig, zumal lediglich der Name des Wohnungseigentümers offengelegt und seine Schreiben auch nur auszugsweise verlesen bzw deren Inhalt paraphrasierend wiedergegeben wurde. Damit ging auch ein informationeller Mehrwert einher.

BVwG 09.01.2015, W256 2244544-1

Auskunftsrecht, Dokumentenkopie, Antragsinhalt

·     Ein Landwirt stellte ein Auskunftsersuchen an die Landwirtschaftskammer. Er forderte darin Auskunft über die zu seiner Person verarbeiteten Daten, die Zwecke der Verarbeitung und deren Empfänger. Zudem verlangte er die Übermittlung aller ihn betreffenden Unterlagen sowie allgemeine Unterlagen zum Bau einer Gasleitung und zur Angelegenheit Fischteiche. Die Landwirtschaftskammer beantwortete das Auskunftsersuchen und übermittelte dem Landwirt 280 Seiten an Ausdrucken und Fotokopien, einschließlich allgemeiner Unterlagen.

Der Landwirt erachtete die Auskunft für unvollständig und brachte bei der DSB eine Datenschutzbeschwerde ein. Die DSB wies die Datenschutzbeschwerde ab, weil die Landwirtschaftskammer eine vollständige Auskunft erteilt habe. Daraufhin erhob der Landwirt eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Art 15 Abs 1 DSGVO räumt Betroffenen das Recht auf Auskunft darüber ein, ob sie betreffende personenbezogene Daten verarbeitet werden und bejahendenfalls, um welche Daten es sich dabei konkret handelt. Die Mitteilung nach Art 15 Abs 1 DSGVO hat in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen. Das Auskunftsrecht beschränkt sich auf personenbezogene Daten iSd Art 4 Abs 1 DSGVO. Im Einzelfall kann es erforderlich oder zweckmäßig sein, dass auch einzelne Textpassagen oder Dokumente zur Verfügung gestellt werden. Ein generelles Recht auf Erhalt von Dokumenten kann aus Art 15 DSGVO jedoch nicht abgeleitet werden. Dieses Recht besteht nur, wenn die Zurverfügungstellung unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen.

Die DSB und das BVwG können nur darüber absprechen, was überhaupt beantragt wurde, dh sie sind an den Inhalt des Antrags des jeweiligen Antragstellers gebunden. Das BVwG darf nicht jegliche möglichen Rechtsverletzungen prüfen. Die Landwirtschaftskammer hat dem Beschwerdeführer eine umfassende Auskunft erteilt. Sie hat ihm die zu seiner Person verarbeiteten Daten, deren Herkunft und Empfänger mitgeteilt. Zudem hat sie ihm auch die ihn betreffenden Unterlagen zur Verfügung gestellt, weshalb keine Mangelhaftigkeit der Auskunft erkennbar ist. Der Landwirt hat keinen Anspruch auf allgemeine Unterlagen, die nicht seine Person betreffen.

BVwG 09.01.2025, W211 2283857-1

Video, Servitut, Ausdehnung der Datenschutzbeschwerde

·     Ein Ehemann installierte im Eingangsbereich seines Hauses eine Videokamera, die auch einen Teil eines über das Grundstück führenden Weges erfasste. An diesem Weg besteht eine Servitut zugunsten eines Servitutsberechtigten. Der Servitutsberechtigte brachte eine Datenschutzbeschwerde gegen die Ehefrau als Grundeigentümerin ein, die er im weiteren Verfahren auch gegen deren Ehemann ausdehnte. Die DSB bestätigte die Verletzung im Recht auf Geheimhaltung und forderte den Ehemann auf, den Aufnahmebereich der Kamera einzuschränken. Das BVwG gab der Bescheidbeschwerde des Ehemanns statt und änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird.

Das BVwG hat erwogen: Die Ausdehnung der Datenschutzbeschwerde auf den Ehemann war zulässig. Sie änderte nicht das Wesen der Sache dieser Datenschutzbeschwerde, weil sie weder deren Rechtsqualität noch die anzuwendenden Materiengesetze oder die Behördenzuständigkeit veränderte.

Da die pflegebedürftige Grundeigentümerin und ihr ebenfalls betagter Ehemann alleine und abgeschieden am Dorfrand lebten, besteht an der Nutzung der Videokamera ein objektiv nachvollziehbares Interesse und somit ein Rechtfertigungsgrund iSd Art 6 Abs 1 lit f DSGVO. Die Videokamera war parallel zum Weg ausgerichtet und ihr Erfassungsbereich auf das eigene Grundstück beschränkt. Sie sollte also nicht in erster Linie der Überwachung des Servitutsberechtigten oder unbeteiligter Dritter dienen, sondern dem eigenen, berechtigten Bedürfnis nach effektivem Schutz der Gesundheit und des Eigentums. Dieses rechtfertigt auch eine allfällige Dokumentation von Geschehnissen über den eigentlichen, engen Eingangsbereich des Hauses hinaus. Das Interesse an der Datenverarbeitung überwiegt somit das Geheimhaltungsinteresse des Servitutsberechtigten.

·     Die "Sache" des bekämpften Bescheids bildet den äußersten Rahmen für die Prüfbefugnis des BVwG. Hat die DSB jegliche Ermittlungstätigkeit zu wesentlichen Sachverhaltselementen unterlassen, ist die Angelegenheit jedoch zum Erlassen eines erneuten Bescheids an die DSB zurückzuverweisen (BVwG 07.01.2025, W108 2286042-1).

·     Die Bestimmung des Art 29 DSGVO richtet sich an Auftragsverarbeiter und an jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person. Bringt eine Person eine Beschwerde ein, muss sie damit rechnen, dass die gesamte Beschwerde – und nicht nur eine sinngemäße Inhaltswiedergabe – den anderen Verfahrensparteien zum Parteiengehör zugestellt wird. Dies ergibt sich aus dem Grundsatz des fairen Verfahrens. Eine Datenverarbeitung kann gleichzeitig die Erlaubnistatbestände des Art 6 Abs 1 lit c und des Art 6 Abs 1 lit e DSGVO erfüllen (BVwG 07.01.2025, W108 2284293-1).

·     Der EuGH hat mit Urteil vom 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), über die Frage entschieden, wann eine Datenschutzbeschwerde von der Aufsichtsbehörde als exzessiv abgelehnt werden darf. Die DSB hat die Behandlung der Datenschutzbeschwerde als exzessiv abgelehnt, ohne sich mit dessen Inhalt auseinanderzusetzen. Nach dem EuGH hätte die DSB eine Missbrauchsabsicht des Beschwerdeführers nachzuweisen gehabt. Da dahingehend keine Ermittlungen vorgenommen wurden, wird der Bescheid der DSB behoben und die Angelegenheit zum Erlassen eines neuen Bescheids an die DSB zurückverwiesen (BVwG 14.01.2025, W298 2263736-1).

·     Besteht ein Betroffener trotz von der DSB eingeräumten Verbesserungsmöglichkeit auf die Fortsetzung des Verfahrens gegen einen Beschwerdegegner, der für die Verarbeitung nicht verantwortlich ist, ist die Datenschutzbeschwerde mangels Passivlegitimation des Beschwerdegegners abzuweisen (BVwG 14.01.2025, W298 2300879-1).

·     Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 14.01.2025, W298 2262670-1; 13.01.2025, W108 2285445-1).

·     Am 04.02.2025 veröffentlichte die EU-Kommission den Entwurf der Leitlinie zu verbotenen KI-Nutzungen, in der die in Art 5 KI-VO beschriebenen verbotenen KI-Systeme genauer definiert werden. In der Leitlinie wird versucht, anhand von Beispielen die Grenze zwischen verbotenen und noch erlaubten KI-Praktiken zu ziehen. Nach Art 5 KI-VO sind KI-Praktiken im Bereich (i) der schädlichen Manipulation und Täuschung, (ii) der schädlichen Ausnutzung von Schwachstellen, (iii) der Sozialbewertung, (iv) der Risikobewertung und Vorhersage von Straftaten, (v) des ungezielten automatischen Extrahierens (Scraping) von Gesichtsbildern zur Erweiterung von Datenbanken zur Gesichtserkennung, (vi) der Emotionserkennung, (vii) der biometrischen Kategorisierung und (viii) der Echtzeit-Fernbiometrischen Identifizierung für Strafverfolgungszwecke unter gewissen Umständen verboten. In den Beispielen der Kommission wird ua auf die Zulässigkeit von KI-Praktiken wie Social Scoring und biometrischer Echtzeitidentifizierung eingegangen. Die Leitlinie nimmt dabei auch Bezug auf die SCHUFA Entscheidung des EuGH, wonach es sich bei dem im Sachverhalt durchgeführten Profiling um eine Unterart des Bewertens iSd Art 5 Abs 1 lit c KI-VO handelt und diese Praktik unter gewissen Umständen auch in den Anwendungsbereich der KI-VO fällt und verboten sein kann. Ebenfalls geht die Leitlinie auf die Abgrenzung zu anderen Rechtsakten der EU, wie die DSGVO, den DSA etc ein und wie diese Bestimmungen im Zusammenspiel mit der KI-VO anzuwenden sind. Derzeit ist der Entwurf der Leitlinie nur auf Englisch verfügbar. Erst wenn alle Sprachfassungen verfügbar werden, wird die Leitlinie anwendbar.

·     Am 06.02.2025 wurde der Entwurf der Leitlinien zur Definition von KI-Systemen veröffentlicht. Die Leitlinien verfolgen das Ziel, die sehr umfassende Definition des Begriffs KI-Systeme, welcher in Art 3 Z 1 KI-VO geregelt ist, konkreter zu definieren. In den Leitlinien werden aus der Definition sieben Prüfelemente abgeleitet. Der Begriff maschinengestützt umfasst Hardware und Software. Damit ist eine Vielzahl an Computersystemen gemeint, wie Quantencomputing und auch biologische oder organische Systeme, falls sie Rechenkapazität bieten. Die Leitlinie enthält darüber hinaus Ausnahmefälle, für die die KI-VO nicht anwendbar ist. Darunter fallen Systeme zur Verbesserung mathematischer Optimierung, einfache Datenverarbeitung, Systeme, die auf klassischer Heuristik basieren (eine Methode, bei der aus begrenztem Wissen und Zeit dennoch eine wahrscheinliche Lösung gefunden wird, bspw durch Zufallsstichproben oder "trial and error") und einfache Vorhersagesysteme. Als konkrete Beispiele für die Ausnahmen werden physikbasierte Systeme – zB zur Wettervorhersage, Satellitentelekommunikationssysteme zur Optimierung der Bandbreitenzuweisung, Datenbankverwaltungssysteme, die Daten nach spezifischen Kriterien sortieren oder filtern (zB finde alle Kunden, die mit "K" anfangen), und Systeme, die Aktienkurse vorhersagen – genannt. Als Beispiel für die Anwendbarkeit der KI-VO werden KI-Systeme in selbstfahrenden Autos erwähnt, die Echtzeitvorhersagen in komplexen und dynamischen Umgebungen treffen.

·      Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von Telekommunikationsverträgen absprechen.

·      Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

·      Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

·      Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

EuG 29.01.2025, T-70/23 ua, DPC/EDSA

DPC, EDSA, Kohärenzverfahren, verbindlicher Beschluss

·      Die Data Protection Commission ("DPC") erhob Klage gegen den Europäischen Datenschutzausschuss ("EDSA"). Die Klage richtete sich gegen verbindliche Beschlüsse des EDSA (3/2022, 4/2022 und 5/2022), mit welchen die DPC verpflichtet wurde, neue Untersuchungen zu Datenverarbeitungstätigkeiten der Meta-Dienste Facebook, Instagram und WhatsApp durchzuführen und ergänzende Beschlussentwürfe zu erstellen. Die DPC beantragte, diese verbindlichen Beschlüsse teilweise für nichtig zu erklären. Das EuG wies die Klagen ab und bestätigte die Kompetenz des EDSA, entsprechende Beschlüsse zu erlassen.

Das EuG hat erwogen: Nach ständiger Rechtsprechung sind bei der Auslegung einer Unionsrechtsvorschrift nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und ihre Ziele zu berücksichtigen. Der EDSA kann gemäß Art 65 Abs 1 lit a DSGVO verbindliche Beschlüsse erlassen, wenn eine andere Aufsichtsbehörde einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde einlegt. Dies schließt auch die Anweisung ein, eine fehlende Analyse nachzuholen und die Untersuchung zu vertiefen oder auszuweiten, wenn dies erforderlich ist.

Der Wortlaut des Art 65 Abs 1 lit a DSGVO unterstützt diese Auslegung. Die Zusammenarbeit zwischen den betroffenen Aufsichtsbehörden und die Kohärenzkontrolle durch den EDSA wird nicht beeinträchtigt, wenn der EDSA Weisungen zur Ausweitung der Untersuchung erteilt. Der Unionsgesetzgeber hat entschieden, dass anhaltende Meinungsverschiedenheiten zwischen den betroffenen Aufsichtsbehörden im Rahmen des Kohärenzverfahrens innerhalb des EDSA geschlichtet werden sollen. Eine nationale gerichtliche Kontrolle ist nicht geeigneter, um Einwände im Zusammenhang mit der Untersuchung zu prüfen.

VwGH 19.12.2024, Ro 2022/15/0018

Steuern, Spende, erhebliches öffentliches Interesse

·      Ein Arbeitnehmer machte in seiner Arbeitnehmerveranlagung eine Spende an einen gemeinnützigen Verein als Sonderausgaben geltend. Das Finanzamt berücksichtigte diese Sonderausgaben nicht, weil der Arbeitnehmer dem Zuwendungsempfänger seinen Namen und sein Geburtsdatum nicht bekannt gab. Gegen den ablehnenden Bescheid des Finanzamts erhob der Arbeitnehmer Bescheidbeschwerde an das BFG. Die Bestimmung des § 18 Abs 8 Z 1 EStG 1988 sei aufgrund des Vorranges der DSGVO nicht anwendbar und verfassungswidrig. Seine Geldspende sei als Sonderausgabe zu berücksichtigen.

Das BFG wies die Bescheidbeschwerde ab, weil der Datenaustausch mit einem verschlüsselten bereichsspezifischen Personenkennzeichen für Steuern und Abgaben ("vbPK SA") erfolge und zulässig sei. Die Behandlung der Erkenntnisbeschwerde des Arbeitnehmers lehnte der VfGH ab. Der VwGH wies die Revision ab.

Der VwGH hat erwogen: Durch Art 9 Abs 2 lit g DSGVO kann eine Datenverarbeitung gerechtfertigt sein, wenn sie aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Im Unterschied zu Art 6 Abs 1 lit e DSGVO, welcher nur ein öffentliches Interesse voraussetzt, braucht es bei der Rechtfertigung einer Datenverarbeitung nach Art 9 Abs 2 lit g DSGVO ein erhebliches öffentliches Interesse. Dieses setzt eine spezifische Abwägung und eine besondere Legitimation für die Verwendung solcher Daten voraus. Nicht nur die Erhebung von Steuern und Abgaben, sondern auch die Ermittlung der korrekten Steuerbemessungsgrundlagen ist ein erhebliches öffentliches Interesse.

Durch einen Datenaustausch mit Hilfe des "vbPK SA" ist für das Finanzamt eine Zuordnung zu einer Person ohne Verknüpfung mit anderen Daten möglich. Der Zweck des § 18 Abs 8 EStG 1988 ist dem Finanzamt die Erfüllung seiner gesetzlichen Aufgabe zu ermöglichen, die ua darin besteht, in Massenverfahren Manipulationsmöglichkeiten zu verhindern und eine Gleichmäßigkeit der Besteuerung sicherzustellen.

Das "vbPK SA" ist für die Zuordnung und Ermittlung der als Sonderausgaben zu berücksichtigenden Zuwendungen zu einem bestimmten Steuerpflichtigen erforderlich.

Verarbeitet werden nur jene Zuwendungen, die ein Steuerpflichtiger als Sonderausgaben in Abzug bringen will. Auch vor Einführung des § 18 Abs 8 EStG 1988 mussten Steuerpflichtige alle Zuwendungen lückenlos nachweisen. Die Erhebung erfolgt im konkreten Anlass und nicht auf "Vorrat".

·      Die vollständige und richtige Eintragung von Personenstandsdaten in das Zentrale Personenstandsregister ("ZPR") ist von erheblichem öffentlichen Interesse. Gemäß § 2 Abs 1 iVm Abs 2 gehört das Geschlecht einer Person zu den allgemeinen Personenstandsdaten, die gemäß § 11 Abs 1 PStG verpflichtend von der Personenstandsbehörde einzutragen sind. Eine ersatzlose Streichung des Eintrags des Geschlechts aus dem ZPR ist unzulässig. § 41 Abs 1 PStG ermöglicht nur die Änderung des Geschlechtseintrags, nicht dessen Streichung. Der VfGH hat in seiner Entscheidung vom 15.06.2018, G 77/2018, festgestellt, dass das Geschlecht ein maßgebliches Personenstandsdatum ist. Der VfGH hat jedoch zwischen Intersexualität und Transidentität unterschieden, wobei lediglich für intersexuelle Personen alternative Einträge wie "divers", "inter" oder "offen" möglich sind. Diese Regelung gilt nicht für transsexuelle Personen (VwGH 05.12.2024, Ro 2023/01/0008).

·      Wird durch die Verknüpfung personenbezogener Daten (Name und Adresse) mit einer veröffentlichten Stellungnahme die Urheberschaft der Stellungnahme offengelegt, entsteht in datenschutzrechtlicher Hinsicht ein informationeller Mehrwert (VwGH 20.12.2024, Ra 2024/04/0425).

·      Gegen ein Erkenntnis des BVwG, mit dem ein Säumnisbeschwerdeverfahren eingestellt wurde, ist eine Revision, die Vorbringen nur zur Hauptsache enthält, unzulässig (VwGH 20.12.2024, Ra 2024/04/0427).

·      Einer Revision gegen ein Erkenntnis des BVwG, mit dem eine Verletzung im Recht auf Geheimhaltung festgestellt wurde, kommt keine aufschiebende Wirkung zu (VwGH 11.12.2024, Ra 2024/04/0423). Mit Beschluss vom 04.03.2024, Ra 2024/04/0010, erkannte der VwGH die aufschiebende Wirkung der Revision in einem Geheimhaltungsverfahren noch zu. Von dieser Rechtsprechung ist der VwGH nun wieder abgegangen. Begründend führt der VwGH aus, dass es darauf ankäme, ob die DSB der Zuerkennung entgegenstehende zwingende öffentliche Interessen einwendet. Allerdings hat die DSB keine solchen Interessen eingewendet.

·      Mit § 55d Abs 7 EU-JZG wird Art 31 der RL 2014/41/EU über die Europäische Ermittlungsanordnung in Strafsachen umgesetzt. Die Staatsanwaltschaft wird verpflichtet, bei Unterrichtung durch ausländische Behörden über eine Telekommunikationsüberwachung in Österreich das Vorliegen von Vollstreckungshindernissen nach § 55a Abs 1 EU-JZG zu prüfen. Bei deren Vorliegen hat die Staatsanwaltschaft der ausländischen Strafverfolgungsbehörde mitzuteilen, dass die Überwachung nicht durchgeführt werden kann und bereits gesammelte Ergebnisse nicht verwendet werden dürfen. § 55a Abs 1 Z 13 EU-JZG normiert ein Vollstreckungshindernis, wenn die Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Wurden die Daten durch die Sicherstellung eines ausländischen (französischen) Servers und nicht durch eine Telekommunikationsüberwachung gewonnen, liegt kein Vollstreckungshindernis vor (OLG Linz 10.01.2025, 8Bs249/24k).

·      Wurde eine Vollmachtsurkunde entgegen der Anmerkung "handschriftlich" elektronisch unterzeichnet und weicht diese Unterschrift maßgeblich von jener auf dem Ausweis des Klägers ab, sind Zweifel an der Vollmachterteilung iSd Art 12 Abs 6 DSGVO begründet. Durch Verweigerung der Auskunftserteilung wird daher keine Veranlassung zur Klagsführung gegeben, sodass die Kostenersatzpflicht nach § 45 ZPO greift. Erst gegenüber dem Gericht kann sich ein Rechtsanwalt gemäß § 8 RAO auf die ihm erteilte Vollmacht berufen. Anerkennt daraufhin der beklagte Verantwortliche den Auskunftsanspruch, hat der klagende Betroffene die Prozesskosten zu tragen (OLG Linz 15.01.2025, 2R174/24g; 15.01.2025, 2R172/24p).

·      Gibt es keinen Grund, an der Vollmachtserteilung zu zweifeln, darf die Auskunft nicht verweigert werden. Verlangt der Verantwortliche dennoch einen speziellen Nachweis der Vollmacht, veranlasst er damit die Klagsführung und hat die Kosten zu tragen (OLG Linz 23.01.2025, 1R4/25a).

BVwG 02.09.2024, W256 2251016-1

Auskunft, Datenübertragung, neuer Verantwortlicher

·      Ein Kunde begehrte Auskunft und Datenübertragung bei einem Finanzdienstleistungsunternehmen. Dieses stellte ihm seine personenbezogenen Daten sowie Informationen über abgeschlossene Verträge und Anträge in Form eines Excel-Dokuments bereit. Zudem standen ihm diese Daten im Kundenpostfach zur Verfügung. Der Kunde erhob Datenschutzbeschwerde bei der DSB, weil die Auskunft unvollständig und verspätet erteilt worden sei, die Datenübertragung verweigert worden sei und die Übertragung sensibler Kundendaten unverschlüsselt erfolgt sei. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Kunde Bescheidbeschwerde an das BVwG, das diese wegen der behaupteten Verletzung im Recht auf Auskunft abwies. Hinsichtlich des Rechts auf Datenübertragbarkeit gab das BVwG der Bescheidbeschwerde statt.

Das BVwG hat erwogen: Das Finanzdienstleistungsunternehmen hat dem Kunden sämtliche verarbeiteten Unterlagen übermittelt bzw standen diese dem Kunden im Postfach zur Verfügung. Eine Verletzung des Rechts auf Auskunft ist gemäß § 24 Abs 6 DSG sanierbar, der DSB kann daher nicht entgegengetreten werden, wenn sie eine (ursprüngliche) Unvollständigkeit der Auskunft in dem vom Kunden aufgezeigten Umfang nicht angenommen hat.

Das Recht auf Datenübertragbarkeit setzt voraus, dass (i) die begehrten Daten vom Betroffenen bereitgestellt sein müssen, (ii) die Verarbeitung auf einer Einwilligung oder einem Vertrag beruhen muss und (iii) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Der Zweck des Rechts auf Datenübertragung besteht nicht in der Information des Betroffenen über die Datenverarbeitung, sondern in der Ermöglichung bzw Erleichterung des Anbieterwechsels. Da der Kunde eine Datenübertragung nicht an seine Person, sondern direkt an den neuen Verantwortlichen beantragt hat und ihm eine solche Form der Datenübertragung nach Art 20 Abs 2 DSGVO auch ausdrücklich zusteht, hätte das Finanzdienstleistungsunternehmen darauf zu reagieren gehabt.

BVwG 18.12.2024, W252 2294338-1

Rollenverteilung, Anwendungsbereich, Videoüberwachung

·      Eine Stadt betrieb eine Videoüberwachungskamera im Stadtgebiet und fasste konkrete Pläne für die Installation weiterer Kameras zur Stärkung des subjektiven Sicherheitsgefühls, des Schutzes von Eigentum und der Dokumentation straf- oder zivilrechtlich relevanter Delikte. Die Aufnahmen der bereits installierten Kamera konnten nur von der Stadtpolizei eingesehen werden. Die DSB leitete ein amtswegiges Prüfverfahren ein und untersagte die Datenverarbeitung der installierten Überwachungskamera. Daneben sprach sie eine Warnung aus, dass die geplante Installation weiterer Kameras voraussichtlich gegen die DSGVO verstoßen werde. Dagegen richtete sich die (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Stadt ist Verantwortliche, weil ihre Organe Zweck und Mittel der Videoüberwachung bestimmt haben. Da die Stadtpolizei keine tragende Rolle bei der Festlegung von Zweck und Mittel spielte, hatte deren Erwähnung in der Datenschutz-Folgenabschätzung keinen Einfluss auf die Qualifikation der Stadt als Verantwortliche.

Die DSGVO findet gemäß Art 2 Abs 2 lit d DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Da die Stadtpolizei der Bezirkshauptmannschaft (BH) nur unterstellt ist, ist diese selbst keine Sicherheitsbehörde. Deren Eigenschaft als Gemeindewachkörper ändert daran nichts. Die DSGVO ist daher anwendbar.

Hinsichtlich der Stärkung des subjektiven Sicherheitsgefühls, der Dokumentation von straf- oder zivilrechtlich relevanten Delikten und eines allgemeinen vorbeugenden Schutzes von Personen oder Sachen ist die Stadt als Behörde zu qualifizieren, sodass sich diese nicht auf die Wahrung berechtigter Interessen berufen kann. Denkbar wäre ein rein auf den Schutz des Eigentums der Stadt beschränktes Handeln im Rahmen der Privatwirtschaftsverwaltung. Der Schutz des Eigentums ist grundsätzlich ein berechtigtes Interesse. Allerdings stehen hinsichtlich der Beschädigung öffentlicher Sitzgelegenheiten oder Straßenbeleuchtungen gelindere Alternativen zur Verfügung (zB Anti-Graffiti-Beschichtungen, häufigere Kontrollen durch die Stadtpolizei, Einfriedungen, etc).

Die DSB hat die Aufgabe, die Anwendung der DSGVO zu überwachen und durchzusetzen. Ein Verbot der Videoüberwachung ist für das Erreichen dieser Ziele geeignet, erforderlich und verhältnismäßig. Auch die Warnung wegen der geplanten Kameras ist gerechtfertigt, weil bei deren Inbetriebnahme ein Verstoß gegen die DSGVO zu erwarten ist.

BVwG 18.12.2024, W256 2285492-1

Videoüberwachung, Arbeitsplatz, Anweisung, Geldbuße

·      Die DSB führte aufgrund einer anonymen Eingabe ein amtswegiges Prüfverfahren gegen einen Arbeitgeber wegen des Verdachts auf unrechtmäßige Datenverarbeitung durch eine Videoüberwachungsanlage. Ua wurden Arbeitsgroßraum, Küche, Besprechungszimmer und Flur, inkl den Eingängen zu den Toiletten, überwacht. Der Arbeitgeber rechtfertigte die Datenverarbeitung ua mit dem Schutz vor Diebstahl, Einbruch, körperlicher und emotionaler Gewalt und Vandalismus. Die Kameras seien auch freiliegend, sichtbar und per Klebeschild bei der Eingangstüre, welches ein Piktogramm und die Herstellerbezeichnung zeigte, gekennzeichnet. Die Kameras seien auf Wunsch der Mitarbeiter installiert worden, die über die Überwachung informiert wurden.

Daraufhin leitete die DSB ein Verwaltungsstrafverfahren ein und verhängte eine Geldstrafe iHv EUR 59.400 (zzgl EUR 5.940 an Verfahrenskosten) wegen der fehlenden Rechtsgrundlage gemäß Art 6 Abs 1 DSGVO (Spruchpunkt I), dem Nichterfüllen der Informationspflichten gemäß Art 13 DSGVO (Spruchpunkt II) und dem Nichtbefolgen einer Anweisung der Behörde (Spruchpunkt III). Der Arbeitgeber bekämpfte das Straferkenntnis beim BVwG und brachte zusammengefasst vor, man habe stets kooperiert und den abschließenden Bescheid der DSB aus dem Prüfverfahren nicht bekämpft. Das BVwG gab der Bescheidbeschwerde hinsichtlich Spruchpunkt III statt und setzte die Geldstrafe auf EUR 11.000 (zzgl EUR 1.100 Verwaltungskosten) herab.

Das BVwG hat erwogen: Eine Verarbeitung gemäß Art 6 Abs 1 lit f DSGVO kann gerechtfertigt sein, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen. Die Erforderlichkeit ist dabei eng mit dem Grundsatz der Datenminimierung verbunden. Die Videoüberwachung des Arbeitsgroßraums, der Küche, der Besprechungszimmer und des Flurs war für den Zweck des Eigentumsschutzes nicht erforderlich. Im Straferkenntnis muss die DSB die Zahl der konkret Betroffenen einer Datenverarbeitung nicht beziffern, es genügt die unrechtmäßige Datenverarbeitung an sich.

Klebeschilder, die lediglich eine bildliche Darstellung und die Herstellerbezeichnung von Kameras zeigen und keine weiteren Informationen zur Datenverarbeitung enthalten, entsprechen nicht den zu erteilenden Informationen gemäß Art 13 Abs 1 und 2 DSGVO. Allein aus der Tatsache, dass Kameras in einem Gebäude installiert sind, in dem ein Verantwortlicher seine Geschäftstätigkeit ausübt, kann ohne zusätzliche Informationen nicht auf die datenschutzrechtliche Verantwortlichkeit des Verantwortlichen geschlossen werden.

Der Auftrag in einem Bescheid, binnen zwei Wochen Nachweise über die Änderung einer Datenverarbeitung zu übermitteln, ist keine Anweisung nach Art 58 Abs 2 DSGVO und kein Begehren auf Zugang zu Information nach Art 58 Abs 1 lit e DSGVO und berechtigt beim Nichterfüllen nicht zum Verhängen einer Geldbuße

Bilddaten, die ausschließlich zum Eigentumsschutz angefertigt werden, sind nicht ohne weiteres sensible Daten nach Art 9 DSGVO. Wenn durch Kameras auch regelmäßig Mitarbeiter gefilmt werden, rechtfertigt dies noch nicht die Annahme einer Mitarbeiterüberwachung, wenn dies nicht Zweck der Überwachung ist. Geldbußen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Aufgrund der mittleren Schwere des Verstoßes kommt eine bloße Abmahnung ohne Ausspruch einer Strafe nicht in Betracht.

DSB 12.12.2024, 2024-0.796.258

Aktfotos, Geldbuße

·      Ein Kameramann fertigte Aktfotos von einer Frau mit ihrer Einwilligung und ihrem eigenen Mobiltelefon an. In Folge leitete er die Aktfotos ohne ihre Zustimmung über einen Internetdienst von ihrem Mobiltelefon auf sein eigenes Mobiltelefon weiter. Die Frau forderte den Kameramann auf, die Fotos zu löschen, was dieser auch tat. Die Frau zeigte den Kameramann dennoch an und die DSB leitete ein Verwaltungsstrafverfahren ein. Der Kameramann äußerte sich trotz Aufforderung der DSB nicht zur Sache. Die DSB verhängte eine Geldstrafe iHv EUR 2.000.

Die DSB hat erwogen: Die erfassten Bilddaten sind personenbezogene Daten. Die Lichtbilder spiegeln intime Aufnahmen wider und erfassen Daten zum Sexualleben der Frau iSd Art 9 Abs 1 DSGVO.

Nach Art 9 Abs 1 DSGVO besteht grundsätzlich ein Verarbeitungsverbot für besondere Kategorien personenbezogener Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist erlaubt, wenn die Betroffene ausdrücklich einwilligt. Die Frau hat der Anfertigung der Lichtbilder zugestimmt, weshalb diese Verarbeitung zulässig war. Für die Übermittlung und Speicherung der Lichtbilder lag hingegen keine ausdrückliche Einwilligung vor. Die Übermittlung erfolgte ohne Wissen der Frau. Diese Datenverarbeitung war somit rechtswidrig.

·      Am 28.01.2025 wurde die "Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der die Gesundheitstelematikverordnung 2013 und die ELGA-Verordnung 2015 geändert und die ELGA-und eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen wird (Gesundheitstelematik-Anpassungsverordnung 2025)", BGBl II 2025/11, kundgemacht. Mit dieser Verordnung wird neben der Gesundheitstelematikverordnung 2013 auch die ELGA-Verordnung 2015 novelliert und werden die eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen. Die Verordnungen enthalten neue Regelungen zur Verarbeitung von Gesundheitsdaten und genetischen Daten durch Gesundheitsdiensteanbieter.

·      Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

·      Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.

·      Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von Telekommunikationsverträgen absprechen.

·      Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·      Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

·      Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

·      Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

EGMR 23.01.2025, 31175/14, Reznik/Ukraine

Durchsuchung, Beschlagnahme, Anwaltsgeheimnis, wirksames Rechtsmittel

·     Ein Anwalt schloss einen Vertrag über Rechtsdienstleistungen mit dem ukrainischen Informationszentrum ab, in dem die Übermittlung von Dokumenten zur Untersuchung und Analyse vereinbart wurde. Nach Beginn strafrechtlicher Ermittlungen gegen die Leitung des Informationszentrums forderte dieses den Rechtsanwalt zur Rückgabe der übergebenen Dokumente auf. Dieser Aufforderung kam der Anwalt nach. Dennoch wurde ein Durchsuchungsbeschluss für die Wohnung des Anwalts genehmigt. Der stellvertretende Generalstaatsanwalt wurde ermächtigt, Dokumente über die finanzielle und kommerzielle Tätigkeit des Informationszentrums und anderer konkret benannten Unternehmen und Einzelpersonen, die mit dem Informationszentrum in Verbindung standen, sowie IT-Geräte, mobile Kommunikationsgeräte und Datenspeicher sicherzustellen. Der Beschluss wurde für unanfechtbar erklärt. Während der Durchsuchung, bei der ua auch Vertreter der Anwaltskammer anwesend waren, wurden ua ein Computer und ein USB-Stick beschlagnahmt und zur forensischen Untersuchung weitergeleitet. Die Einwände und Beschwerden der Vertreter der Anwaltskammer und des Anwalts blieben zunächst erfolglos. Schlussendlich wurden dem Anwalt die beschlagnahmten Datenspeicher zurückgegeben.

Der EGMR stellte fest, dass eine Verletzung von Art 8 und Art 13 EMRK vorliegt und sprach dem Anwalt EUR 6.000 immateriellen Schadenersatz und EUR 3.450 Kostenersatz zu.

Der EGMR hat erwogen: Die Durchsuchung der Wohnung und die Beschlagnahme von Dokumenten und Geräten greifen in die Rechte des Anwalts auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs ein. Ein solcher Eingriff muss gesetzlich vorgesehen sein, einem legitimen Ziel dienen und in einer demokratischen Gesellschaft notwendig sein.

Der Durchsuchungsbeschluss basierte auf der ukrainischen Strafprozessordnung und dem Anwaltsgesetz, die spezifische Verfahrensgarantien zum Schutz des Anwaltsgeheimnisses vorsahen. Die Gesetze verlangten, dass Durchsuchungen von Anwaltspraxen nur mit richterlicher Genehmigung und unter Anwesenheit eines Vertreters der Anwaltskammer durchgeführt werden. Der Vertreter der Anwaltskammer hatte das Recht, Fragen zu stellen und Einwände zu erheben, die im Durchsuchungsprotokoll festzuhalten waren.

Die Einwände des Vertreters hatten jedoch keine praktische Wirkung, und sie konnten die Beschlagnahme der Gegenstände nicht verhindern. Die Durchsuchung und die Beschlagnahme wurden daher ohne ausreichende verfahrensrechtliche Schutzmaßnahmen durchgeführt, was zu einem unverhältnismäßigen Eingriff führte. Außerdem waren die Durchsuchung und Beschlagnahme in einer demokratischen Gesellschaft nicht notwendig, weil die richterliche Anordnung zu weit gefasst war und keine ausreichenden Gründe für die Annahme enthielt, dass relevante Beweismittel bei dem Anwalt gefunden würden.

Es muss ein wirksames Rechtsmittel zur Verfügung stehen, um die Rechtmäßigkeit der Durchsuchung und Beschlagnahme anzufechten. Das ukrainische Recht bietet keine Möglichkeit, eine Durchsuchungsanordnung anzufechten, sodass die verfügbaren Rechtsmittel unzureichend sind. Die Möglichkeit, beschlagnahmte Gegenstände zurückzufordern, reicht nicht aus, um die Beschwerden über die Rechtmäßigkeit der Durchsuchung zu behandeln.

BVwG 04.12.2024, W176 2295345-1

Trafik, Video, Piktogramm, Geldstrafe

·     Ein Trafikant brachte an der Außenmauer seiner Trafik zwei Videokameras an, um sich vor Überfällen zu schützen. Die Kameras erfassten Teile des öffentlichen Gehsteigs, den angrenzenden Fahrradweg und einen Abschnitt der Straßenbahngleise. Durch die Überwachung konnte der Trafikant ein Foto einer Passantin anfertigen, welches sie dabei zeigte, wie diese von Ihrem Hund hinterlassenen Exkremente nicht wegräumte. Um auf das seines Erachtens unrechtmäßige Verhalten der Passantin aufmerksam zu machen, brachte der Trafikant das aufgenommene Foto vor seiner Trafik an. Durch einen leicht entfernbaren Sticker über das Gesicht der Passantin anonymisierte er das Foto. Der Sticker löste sich jedoch. Ein Bürger erhob gegen dieses Vorgehen Datenschutzbeschwerde bei der DSB. Die DSB verhängte wegen der unrechtmäßigen Datenverarbeitung und der nicht erteilten Information zu der Datenverarbeitung eine Geldstrafe iHv EUR 1.500 (zzgl Verfahrenskostenbeitrag von EUR 150). Gegen das Straferkenntnis erhob der Trafikant (hinsichtlich der Strafhöhe erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Mangels Öffnungsklausel in der DSGVO kommen die §§ 12 und 13 DSG bei der Prüfung der Zulässigkeit einer Videoüberwachung nicht zur Anwendung. Nach der DSGVO dürfen personenbezogene Daten nur auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Das Interesse am Schutz des Vermögens vor Angriffen in Form von Sachbeschädigungen, Raubfällen, etc überwiegt die Interessen Betroffener in einem kleinen Bereich vor der Trafik. Auch bei einer unbedingt erforderlich erscheinenden Videoüberwachung müssen jedoch Maßnahmen zur Einschränkung des Erfassungsbereichs getroffen werden. Videoüberwachungsanlagen dürfen den angrenzenden öffentlichen Raum geringfügig erfassen, sofern dies erforderlich ist, um eine sinnvolle Videoüberwachung zu ermöglichen. Eine Überwachung des gesamten öffentlichen Gehsteigs inkl weiter Teile des angrenzenden öffentlichen Raums ist nicht vom berechtigten Interesse gedeckt.

Am Aufzeigen des Fehlverhaltens einer Passantin besteht kein berechtigtes Interesse. Ein Überkleben mit einem leicht entfernbaren Sticker ist kein geeignetes Mittel zur Anonymisierung.

Die Erfüllung der Informationspflicht durch Kennzeichnung einer Videokamera durch Piktogramme kann zulässig sein, wenn es sich um die erste "Schicht" der Informationserteilung handelt und weitere Informationen zur Datenverarbeitung aufliegen.

Die Geldstrafe ist wegen des Hinzutretens eines Milderungsgrundes und der Verschlechterung der Vermögensverhältnisse des Trafikanten auf EUR 750 (zzgl EUR 75 Verfahrenskostenbeitrag) zu reduzieren.

BVwG 16.12.2024, W137 2292450-1

Rechtsanwalt, Anwaltsgeheimnis, Beschwerdegegner

·     Ein Fitnesscentermitglied führte gegen die Betreiberin des Fitnesscenters wegen der unberechtigten Erhöhung von Mitgliedsbeiträgen ein zivilgerichtliches Verfahren. Im Verfahren vor dem Landesgericht ("LG") wurde vom Rechtsanwalt der Betreiberin des Fitnesscenters eine Mailkorrespondenz mit einer Zeugin als Beweis für das Zustandekommen von Mitgliederverträgen vorgelegt. Die Korrespondenz enthielt den Namen, die Mailadresse und die Information über das Vertragsverhältnis der Zeugin. Die Zeugin fühlte sich durch die Vorgehensweise in ihrem Recht auf Geheimhaltung verletzt und brachte explizit Datenschutzbeschwerde gegen die Betreiberin des Fitnesscenters bezüglich der Vorlage der E-Mails beim LG ein.

Die Betreiberin stütze die Rechtmäßigkeit der Verarbeitung der Daten auf die Erfüllung eines Vertrags und auf ihr berechtigtes Interesse. Die DSB gab der Datenschutzbeschwerde statt. Dagegen erhob die Betreiberin des Fitnesscenters Bescheidbeschwerde an das BVwG, das den Bescheid der DSB ersatzlos behob.

Das BVwG hat erwogen: Rechtsanwälte handeln, wenn sie Daten für den Zweck der Vertretung ihrer Mandanten verarbeiten, regelmäßig als für die Verarbeitung Verantwortliche im Sinne der DSGVO. Die Entscheidung, welche Daten für die Erfüllung des Mandats zu verarbeiten sind, wird, vorbehaltlich eines Beweises für das Gegenteil, vom Rechtsanwalt ohne Weisung des Mandanten getroffen.

Die Rechte der Betroffenen kommen nur in dem Umfang zur Anwendung, als dem nicht das Recht des Rechtsanwalts auf Verschwiegenheit zum Schutz der Partei oder der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche entgegensteht, sonst bestünde die Gefahr, dass der (Prozess-)Gegner einer zivilrechtlichen Streitigkeit im Weg des Auskunftsrechts nach der DSGVO Auskünfte aus den Akten des gegnerischen Rechtsanwalts erhalten könnte.

Ausschließlicher Gegenstand des Verfahrens war die Übermittlung der E-Mailkorrespondenz als Beweismittel im Gerichtsprozess durch den eigenständig agierenden Rechtsanwalt. Das Verfahren hätte aber gegen den Rechtsanwalt der Betreiberin des Fitnesscenters und nicht gegen diese selbst geführt werden müssen.

Die nicht rechtskundige Zeugin hat in der Datenschutzbeschwerde den falschen Beschwerdegegner bezeichnet. Die richtige Einordnung des Rechtsanwalts als Verantwortlichen für die Datenverarbeitung kann aber von ihr nicht verlangt werden.

Da das BVwG das Beschwerdeverfahren nicht gegen den Rechtsanwalt anstelle der Betreiberin des Fitnesscenters führen darf, ist der Bescheid der DSB ersatzlos zu beheben. Das Verfahren ist damit erneut zur inhaltlichen Entscheidung bei der DSB anhängig.

BVwG 16.12.2024, W137 2288040-1

Rollenverteilung, Identitätsdokumentenregister

·     Anlässlich einer Lärmerregung und Störung der öffentlichen Ordnung forderten Polizeibeamte eine Passantin zur Identitätsfeststellung in Form einer Ausweisleistung auf. Da sich die Passantin weigerte, ihren Ausweis vorzuzeigen, wurde sie schließlich von den Polizeibeamten festgenommen und zur nächstgelegenen Polizeiinspektion verbracht, wo eine Abfrage ihres Lichtbildes im Identitätsdokumentenregister ("IDR") erfolgte. Die Passantin brachte eine auf das Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den Magistrat der Stadt Wien als Passbehörde ("MA 62") ein. Die DSB wies die Datenschutzbeschwerde ab. Die hiergegen erhobene Bescheidbeschwerde wies das BVwG ab.

Das BVwG hat erwogen: Die Stellung als datenschutzrechtlicher Verantwortlicher hat diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ergibt sich die Stellung als Verantwortlicher nicht aufgrund gesetzlicher Bestimmungen, muss die Qualifikation einer Partei als Verantwortlicher auf der Grundlage einer Bewertung der tatsächlichen Umstände der Verarbeitung festgestellt werden.

Die Bestimmung des § 52 SPG ermächtigt die Sicherheitsbehörden, personenbezogene Daten von Personen zu verarbeiten, soweit dies zur Erfüllung der ihnen übertragenen Aufgaben erforderlich ist. Das SPG regelt jedoch nicht, wem die datenschutzrechtliche Verantwortlichkeit für eine Abfrage aus dem IDR im Zuge einer Identitätsfeststellung zukommt. Die Mittel- und Zweckentscheidung war daher aufgrund der tatsächlichen Umstände zu beurteilen. Die Polizeibeamten als Bedienstete der Landespolizeidirektion ("LPD") haben selbst und allein für die LPD bestimmt, dass sie nach einer erfolgten Festnahme der Beschwerdeführerin eine Abfrage aus dem IDR im Zuge der Identitätsfeststellung tätigen. Sie haben damit den Zweck der Datenverarbeitung – in concreto die Feststellung der Identität der Passantin – allein bestimmt. Damit ist die LPD, der das Handeln der Polizeibeamten zuzurechnen ist, als alleinige Verantwortliche anzusehen. Mangels Rechtswidrigkeit des angefochtenen Bescheids war die Bescheidbeschwerde vom BVwG als unbegründet abzuweisen.

·     Die Besetzung des Präsidiums des BVwG ist eine Angelegenheit des Interesses der Allgemeinheit. Dem um die Auskunft ersuchenden Journalisten kommt als "social watchdog" eine wichtige Rolle für die Garantie der Meinungsäußerungs- und Informationsfreiheit zu. Die Namen jener Bewerber, die von der eingesetzten Kommission nicht vorgeschlagen wurden, sind jedoch schützenswerte personenbezogene Daten. Diese Bewerber mussten nicht damit rechnen, dass ihre Identität und die Einschätzungen und Wertungen der Kommission veröffentlicht werden. Die Herausgabe des ungeschwärzten Gutachtens der Kommission sowie des ungeschwärzten Minderheitsvotums wird daher verweigert (BVwG 25.10.2024, W211 2295570-1).

·     Gibt die DSB einer Datenschutzbeschwerde statt, ist der Betroffene in keinem subjektiven Recht verletzt. Die Bescheidbeschwerde ist mangels formeller Beschwer unzulässig. Voraussetzung für eine Untersagung der Verarbeitung iSd § 22 Abs 4 DSG ist, dass die Datenverarbeitung noch nicht abgeschlossen ist. Zudem gibt es keinen subjektiven Rechtsanspruch auf eine solche Untersagung. Im Administrativverfahren kann keine Geldbuße gegen einen Verantwortlichen verhängt werden. Auf das Verhängen einer Geldbuße besteht auch kein subjektiver Rechtsanspruch. Weiters kann gegen Körperschaften des öffentlichen Rechts gemäß § 30 Abs 5 DSG keine Geldbuße verhängt werden (BVwG 27.11.2024, W252 2299666-1).

·     Der EuGH hat mit Urteil vom 22.11.2022, C-37/20 und C-601/20, Luxembourg Business Registers, entschieden, dass die Bestimmung des Art 30 Abs 5 der 5. Geldwäscherichtlinie, die den öffentlichen Zugang zu Informationen über wirtschaftliche Eigentümer vorsieht, ungültig ist. Der EuGH begründete dies mit einem schwerwiegenden Eingriff in das Recht auf Achtung des Privat- und Familienlebens sowie das Recht auf Schutz personenbezogener Daten. Diese Entscheidung betrifft jedoch nur die öffentliche Einsicht in das Register der wirtschaftlichen Eigentümer gemäß § 10 WiEReG und nicht die Meldepflicht selbst. Die Verpflichtung zur Meldung und deren Erzwingung verletzen keine Grundrechte (BFG 19.12.2024, RV/7102904/2021).

DSB 16.10.2024, 2024-0.641.771

Geldstrafe, handelsrechtlicher Geschäftsführer, Datenschutzbeauftragter

·     Die DSB verhängte eine Geldstrafe von EUR 5.500 gegen ein Unternehmen, weil dieses ihren handelsrechtlichen Geschäftsführer ("Gf") als Datenschutzbeauftragten ("DSBA") benannte, ohne sicherzustellen, dass diese Doppelrolle nicht zu einem Interessenkonflikt führt. Das Unternehmen hat dadurch eine ungeeignete Person als Datenschutzbeauftragten benannt. Der Verstoß erstreckte sich über den Zeitraum von etwa drei Jahren.

Die DSB hat erwogen: Das Unternehmen verstieß gegen ihre Pflicht gemäß Art 38 Abs 6 DSGVO, indem sie ihren Gf zum DSBA benannte, obwohl dieser aufgrund seiner gleichzeitigen Tätigkeit als Gf und DSBA einem Interessenkonflikt unterlag, weshalb im Ergebnis eine ungeeignete Person als DSBA benannt wurde. Ein Interessenkonflikt liegt vor, wenn der DSBA zugleich Aufgaben oder Pflichten wahrnimmt, die die Ausübung seiner Stellung beeinträchtigen könnten. Dies ist insbesondere bei leitenden Managementpositionen wie der Geschäftsführung der Fall. Dem DSBA dürfen keine Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen, weil deren Überwachung unabhängig durchgeführt werden muss.

Bei der Strafzumessung ist insb der Umsatz (Geschäftsjahr 2023: EUR 4 Millionen), die Schwere der Zuwiderhandlung (niedrig; "low level of seriousness"), die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Fahrlässigkeit, weil sich das Unternehmen nicht mit seinen Verpflichtungen auseinandergesetzt hat, obwohl dies zumutbar und möglich gewesen wäre), die bisherigen Verstöße (keine) und die Mitwirkung im Ermittlungsverfahren als Bemessungsgrundlage heranzuziehen. Eine Geldstrafe von EUR 5.000 (zzgl EUR 500 Verfahrenskostenbeitrag) ist angemessen.

DSB 21.09.2022, 2022-0.672.331

Videoüberwachung, Mitwirkungspflicht, freie Beweiswürdigung

·     Die Nachbarin der Betroffenen betrieb eine Kamera mit Video- und Tonüberwachung an ihrer Wohnungstüre, welche auch die Wohnungstüre der Betroffenen sowie den Stiegen- und Liftbereich umfasste. Nachdem die Nachbarin trotz Aufforderung, die Überwachung zu unterlassen, nicht reagierte, brachte die Betroffene bei der DSB eine Datenschutzbeschwerde wegen Verletzung ihres Rechts auf Geheimhaltung ein.

Die DSB forderte die Nachbarin mehrmals zur Stellungnahme auf, jedoch ohne Erfolg. Daraufhin leitete die DSB amtswegig ein Verwaltungsstrafverfahren wegen Verletzung der Mitwirkungspflicht iSd Art 31 DSGVO ein und verhängte eine Geldbuße.

Anschließend setzte die DSB das Administrativverfahren fort, stellte eine Verletzung des Rechts auf Geheimhaltung fest und trug der Nachbarin auf, den Bild- und Tonaufnahmebereich der von ihr betriebenen Kamera einzuschränken.

Die DSB hat erwogen: Dort, wo der Behörde die Ermittlung von Tatsachen ohne Mitwirkung der Partei nicht möglich ist, liegt es an der Partei, ihr Wissen einzubringen. Die nicht gehörige Mitwirkungspflicht im Beweisverfahren unterliegt der freien Beweiswürdigung, in dessen Rahmen die Behörde auch negative Schlüsse ziehen kann.

Die Kamera der Nachbarin erfasste den Wohnungseingangsbereich der Betroffenen und weitere genutzte Flächen in Bild und Ton, wodurch personenbezogene Daten verarbeitet wurden. Die Nachbarin hat keine Einwilligung der Betroffenen eingeholt. Die Verarbeitung kann auf Art 6 Abs 1 lit f DSGVO gestützt werden, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Der Schutz des Eigentums oder der Gesundheit kann ein berechtigtes Interesse sein. Die Erforderlichkeit der Datenverarbeitung muss sich aber auf das für die Zwecke der Verarbeitung absolut notwendige Maß beschränken.

Die Erfassung des Wohnungseingangsbereichs der Betroffenen sowie des gesamten Stiegen- und Liftbereichs war nicht erforderlich, um die allenfalls verfolgten Zwecke der Nachbarin zu erreichen. Die Kamera könnte so eingestellt werden, dass nur der unmittelbare Wohnungseingangsbereich der Nachbarin erfasst wird. Die von der Nachbarin angebrachte Kamera zeichnete nicht nur zeitlich beschränkte Momente auf, sondern filmte bereits vor Betätigen der Türklingel. Die Möglichkeit zur ortsungebundenen Betrachtung der Kameraübertragung und die Tonaufnahme stellen einen intensiveren Eingriff in die Rechte der Betroffenen dar. Die Verarbeitung war daher unverhältnismäßig und rechtswidrig.

·     Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.

·     Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

·     Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

·     Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.

·     Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·     Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von Telekommunikationsverträgen absprechen.

·     Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·     Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

·     Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

·     Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

VfGH 02.12.2024, E1380/2024; 02.12.2024, E1379/2024

Nationalrat, Auskunftsrecht

·     Ein Abgeordneter zum Nationalrat stellte zur Vorbereitung seiner parlamentarischen Tätigkeit Auskunftsersuchen zu Korruptionsvorwürfen an den Bundesminister für Bildung, Wissenschaft und Forschung (E1379/2024) und an den Bundesminister für Finanzen (E1380/2024), die er auf das AuskunftspflichtG stützte. Nachdem ihm die Auskünfte verweigert wurden, erhob er Bescheidbeschwerden an das BVwG, das diese abwies. Begründet wurde dies damit, dass der Abgeordnete das Auskunftsbegehren als Abgeordneter zum Nationalrat gestellt habe. In dieser Funktion komme ihm gemäß Art 52 B-VG (Interpellationsrecht) ein besonderes Auskunftsrecht zu. Aufgrund dieses spezielleren Auskunftsrechts sei eine Auskunft gemäß § 6 AuskunftspflichtG ausgeschlossen. Dagegen erhob er Erkenntnisbeschwerden gemäß Art 144 B-VG wegen Verletzung in verfassungsgesetzlich gewährleisteten Rechten an den VfGH, der diesen stattgab und feststellte, dass der Abgeordnete im Recht auf Gleichheit aller Staatsbürger vor dem Gesetz gemäß Art 2 StGG und Art 7
B-VG verletzt wurde.

Der VfGH hat erwogen: Das BVwG begründet seine Entscheidung ausschließlich damit, dass das Auskunftsbegehren in der Funktion eines Abgeordneten zum Nationalrat und damit als Organ der Gesetzgebung gestellt wurde. Das Interpellationsrecht ist in Art 52 B-VG sowie den §§ 90 ff GOG-NR geregelt und unterliegt strengen Formalvoraussetzungen.

Anfragen von Abgeordneten sind nur dann eine der Gesetzgebung zuzuzählende Tätigkeit eines gesetzgebenden Organs, wenn sie in der vorgesehenen Weise gestellt wurden. Das Verhalten eines Abgeordneten ist nicht schlechthin immer schon dann der Gesetzgebung zuzuzählen, wenn der Abgeordnete als solcher auftritt. Auch ein Verweis auf die Vorbereitung der parlamentarischen Tätigkeit in den Auskunftsersuchen ändert daran nichts. Auch ein Abgeordneter muss wie jedermann das Recht haben, ein Auskunftsbegehren nach dem AuskunftspflichtG zu stellen.

Aus der Rechtsprechung des OGH:

Zentrales Testamentsregister, Erbe, Notar

·     Der quotenmäßige Erbe eines Verstorbenen hat kein Recht auf Einsicht in das von der Österreichischen Notariatskammer geführte Österreichische Zentrale Testamentsregister ("ÖZTR"). Auf die Datenverarbeitungen zur Führung des ÖZTR sowie die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sind die Notariatsordnung ("NO") und die nach § 140a Abs 2 Z 8 NO erlassenen Richtlinien ("RL") anzuwenden. § 140c Abs 3 NO sieht eine Übermittlung der registrierten Daten (nur) an die (i) Verlassenschaftsgerichte und (ii) öffentlichen Notare als Gerichtskommissäre in Verlassenschaftssachen sowie (iii) zu Kontrollzwecken an die Gerichte, Notare und Rechtsanwälte vor. Hingegen ist ein Erbe weder in der NO noch in den RL genannt (OGH 11.12.2024, 6Ob147/24x).

BVwG 06.11.2024, L532 2300411-1

Gesetzesprüfungsantrag, Handyauswertung

·     Im Verfahren vor dem Bundesamt für Fremdenwesen und Asyl zielen die §§ 35a, 39, 39a BFA-VG darauf ab, die Reiseroute und Identität eines Asylwerbers zu ermitteln. Dazu erlauben sie die Sicherstellung und – aufgrund behördlicher Anordnung – die Auswertung von Datenträgern. Die Auswertung eines Datenträgers setzt lediglich voraus, dass ein Antrag auf internationalen Schutz gestellt wurde, eine Feststellung der Identität nicht möglich ist und eine Auswertung nicht bereits durch die Erstaufnahmestelle erfolgt ist.

In einem Maßnahmenbeschwerdeverfahren wurde die Verfassungskonformität dieser Bestimmungen in Frage gestellt, weil sie weitreichende Eingriffsbefugnisse ohne angemessenen Rechtsschutz und Garantien für die Betroffenen vorsehen würden. Erst kürzlich habe der VfGH entschieden, dass die Abnahme und Sicherstellung von Mobiltelefonen im strafrechtlichen Ermittlungsverfahren ohne richterliche Bewilligung gegen das Grundrecht auf Datenschutz und das Recht auf Privatleben verstoße und daher verfassungswidrig sei.

Die Maßnahmen im BFA-VG böten bei gleicher Eingriffsintensität schwächere Garantien zum Schutz der Geheimhaltungsinteressen der Betroffenen als die für verfassungswidrig erklärten Regelungen der StPO. Der Grundrechtseingriff könne im Rahmen einer Maßnahmenbeschwerde nicht vollständig angefochten werden, sodass der gesetzlich vorgesehene Rechtsschutz gegen die Sicherstellung und Auswertung eines Datenträgers unzureichend sei.

Das BVwG teilt diese Bedenken, setzte das Maßnahmenbeschwerdeverfahren aus und stellte einen Gesetzesprüfungsantrag an den VfGH auf Aufhebung einzelner Bestimmungen des BFA-VG.

Das BVwG hat erwogen: Es bestehen erhebliche Bedenken an der Verfassungskonformität der §§ 35a, 39, 39a BFA-VG und des § 38 Abs 2 BFA-VG. Zwar wurde die Verfassungsmäßigkeit von § 38 Abs 2 BFA-VG nicht in Zweifel gezogen, doch darf diese Bestimmung bei einer Aufhebung der übrigen Bestimmungen nicht bestehen bleiben.

Dem Gesetzgeber steht es frei, für verschiedene Regelungsregime wie Strafprozessrecht und fremdenrechtliches Verfahrensrecht unterschiedliche Anordnungen zu treffen. Es ist jedoch nicht nachvollziehbar, warum gravierende unterschiedliche Anforderungen gelten sollten, die zu unsachlichen Schlechterstellungen führen.

Ein gangbarer gesetzgeberischer Weg wäre, die Anordnungsbefugnis zur Datenträgersicherstellung unverändert im Rechtsbestand zu belassen, die Anordnung zur Datenträgerauswertung jedoch von einer bekämpfbaren Entscheidung des BVwG abhängig zu machen, sodass die Rechtsschutzmöglichkeiten von betroffenen Fremden bei gleichzeitiger Sicherstellung effektiver verwaltungsbehördlicher Verfahrensführung gewahrt blieben.

BVwG 18.10.2024, W256 2248161-1

Verarbeitung, Informationspflicht, Ausnahme

·     Ein Wahlberechtigter abonnierte über die Website einer politischen Partei deren Newsletter unter Angabe seiner E-Mail-Adresse. Diese enthielten Informationen über politische Themen und Aktivitäten in Form von Texten, die von Regierungsmitgliedern verfasst und unterzeichnet wurden. Der Versand erfolgte über das technische Netzwerk der Partei und in deren eigener Verantwortung.

Der Wahlberechtigte stellte ein Auskunftsersuchen nach Art 15 DSGVO. Die darauf erteilte Auskunft hielt er für unzureichend. Zudem vertrat er die Ansicht, dass eine Offenlegung seiner personenbezogenen Daten an Dritte erfolgt sei. Weiters monierte er eine Verletzung der Informationspflicht gemäß Art 14 DSGVO wegen der Verarbeitung seiner Daten aus der Wählerevidenz. Die DSB stellte zwar fest, dass die Partei sein Recht auf Auskunft verletzt hatte, jedoch sei keine Offenlegung an Dritte erfolgt. Weiters wurde die Datenschutzbeschwerde hinsichtlich der Verletzung der Informationspflicht abgewiesen. Daraufhin erhob der Wahlberechtigte (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Spruch enthält keine explizite Abweisung in Bezug auf die vom Wahlberechtigten aufgezeigte Unvollständigkeit der Auskunft. Fehlt es dem Spruch an der gebotenen Deutlichkeit, so ist die Bescheidbegründung zu seiner Auslegung heranzuziehen. Unter Berücksichtigung der Bescheidbegründung kann kein Zweifel daran bestehen, dass die Datenschutzbeschwerde in dieser Hinsicht abgewiesen wurde.

Nach Art 4 Z 2 DSGVO fällt nicht nur die Offenlegung durch Übermittlung, sondern bereits jede "andere Form der Bereitstellung" unter den Begriff einer Verarbeitung. Damit wird der Charakter der Offenlegung als "Zugänglichmachen" verdeutlicht. Jedoch räumte man den jeweiligen Regierungsmitgliedern in keiner Weise eine Einblicksmöglichkeit in die Daten des Wahlberechtigten ein. Es wurden lediglich von diesen bereitgestellte Texte in die Newsletter kopiert und in weiterer Folge unter Verwendung der Daten des Wahlberechtigten an diesen versendet.

Gemäß Art 14 DSGVO hat der Verantwortliche der Betroffenen bestimmte Informationen zur Verfügung zu stellen. Nach Art 14 Abs 5 lit c DSGVO entfallen die Informationspflichten, wenn und soweit eine Rechtsvorschrift die Erhebung oder (zweckändernde) Offenlegung bestimmter Daten ausdrücklich regelt.

Die Daten des Wahlberechtigten wurden aufgrund der Bestimmung des § 4 Abs 2 Wählerevidenzgesetz aus der Wählerevidenz der Gemeinde erhoben. Die Ausnahmereglung des Art 14 Abs 5 lit c DSGVO greift hier zwar nicht, weil die Partei nicht verpflichtet war, die Daten zu erheben, sondern die Erhebung freiwillig erfolgte. Die Partei hatte aber bereits im Zeitpunkt der Datenerhebung in ihrer Datenschutzerklärung auf der Website und in den Aussendungen über die Datenverarbeitung informiert. Die zusätzliche Nennung der bereits im Gesetz ausreichend klar und präzise geregelten Informationen gemäß Art 14 DSGVO ist in einem solchen Fall nicht erforderlich. Schon allein der Hinweis auf die tatsächliche Datenverarbeitung versetzt die betroffene Person in die Lage, sich anhand der Rechtsvorschrift einen hinreichenden Überblick über die konkrete Datenverwendung zu verschaffen.

Da die gegenständliche Datenerhebung zum Zweck der Kommunikation erfolgt ist, bestehen im Hinblick auf die Ausnahmeregelung des Art 14 Abs 3 lit b DSGVO auch keine Bedenken daran, dass die Informationserteilung der Partei rechtzeitig erfolgt ist.

BVwG 30.10.2024, W256 2247276-1

Präklusion

·     In einem Rechtsstreit vor Gericht übermittelte die beklagte Klinik Gesundheitsdaten auf deren Ansuchen an die dem Rechtsstreit beigetretene Nebenintervenientin. Von der Datenübermittlung erfuhr der klagende Patient von der Klinik im Mai 2019 aufgrund eines Auskunftsersuchens. Der Patient fühlte sich durch diese Vorgehensweise in seinem Recht auf Geheimhaltung verletzt, weil die Übermittlung der Gesundheitsdaten zur Verteidigung von Rechtsansprüchen nicht notwendig gewesen sei und brachte im Juni 2020 Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde ab. Dagegen erhob der Patient Bescheidbeschwerde an das BVwG. Das BVwG wies die Bescheidbeschwerde wegen bereits eingetretener Präklusion gemäß § 24 Abs 4 DSG zurück.

Das BVwG hat erwogen: Die Verjährungsregelung des § 24 Abs 4 DSG ist eine Präklusivfrist, die von Amts wegen wahrzunehmen ist und die Lebensdauer eines Rechts nicht verlängerbar begrenzt. Da die DSGVO keine Vorschriften oder Fristen für die Rechtsverfolgung enthält, ist es Sache jedes einzelnen Mitgliedstaats, das Verfahren für die Rechtsverfolgung und auch die Präklusion von Rechten in seiner innerstaatlichen Rechtsordnung unter Wahrung der Grundsätze der Äquivalenz und Effektivität auszugestalten.

Das Grundrecht auf Datenschutz darf nur unter Einhaltung strenger Bedingungen eingeschränkt werden. Zulässige Einschränkungen müssen dabei gesetzlich vorgesehen sein, den Wesensgehalt des betreffenden Rechts beachten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sein und dem von der EU anerkannten Gemeinwohl entsprechen. Die Präklusion und somit die Einschränkung des Grundrechts auf Datenschutz ist in § 24 Abs 4 DSG gesetzlich vorgesehen.

Die einjährige Präklusivfrist des § 24 Abs 4 DSG beginnt mit Kenntnis der Betroffenen vom "beschwerenden Ereignis" zu laufen. Der Patient war nach der Beantwortung des Auskunftsersuchens im Mai 2019 in der Lage, das zur Begründung seines Anspruchs erforderliche Sachvorbringen in Form einer Datenschutzbeschwerde konkret zu erstatten. Die einjährige subjektive Frist des § 24 Abs 4 DSG begann daher ab diesem Zeitpunkt zu laufen und war bei Beschwerdeerhebung schon verstrichen.

·     Die Behörden und Gerichte dürfen nur darüber absprechen, was beantragt wurde. Sie sind an den Inhalt der Datenschutzbeschwerde gebunden. Gegenstand des Verfahrens ist daher ausschließlich die zugrundeliegende Datenschutzbeschwerde und die darin konkret geltend gemachte Rechtsverletzung. Weder die DSB noch das BVwG haben im Falle einer behaupteten Verletzung im Recht auf Auskunft jegliche Rechtsverletzung zu überprüfen. Ein subjektives Recht auf Einleitung eines Strafverfahrens besteht nicht. Darüber hinaus gilt nach § 25 Abs 1 VStG das Prinzip der Amtswegigkeit. Die Behörde hat sowohl bei der Einleitung als auch bei der Durchführung des Verwaltungsstrafverfahrens von Amts wegen vorzugehen. Der Betroffene hat keinen Anspruch auf Einleitung eines Verwaltungsstrafverfahrens (BVwG 27.11.2024, W256 2246546-1).

·     Stirbt der Betroffene, hat das BVwG den angefochtenen Bescheid ersatzlos aufzuheben. Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod des Betroffenen untergeht und nicht auf einen etwaigen Rechtsnachfolger übergehen kann. Mit dem Verlust der Parteistellung fällt die Berechtigung weg, eine Datenschutzbeschwerde zu erheben. Damit einhergehend fällt die Berechtigung der DSB weg, über die Datenschutzbeschwerde zu entscheiden (BVwG 10.12.2024, W211 2272735-1).

EDSA Leitlinien 01/2025 über Pseudonymisierung (2025)

Pseudonymisierung, Personenbezug, Weiterverarbeitung

·     Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Pseudonymisierung angenommen, in welchen der EDSA insb die Definition und Anwendbarkeit der Pseudonymisierung und deren Vorteile erläutert. Klargestellt wird, dass pseudonymisierte Daten, die einer Person (vom Verantwortlichen oder einer anderen Person) durch zusätzliche Informationen zugeordnet werden könnten, immer noch personenbezogene Daten sind. Die Pseudonymisierung kann Risiken reduzieren und die Nutzung berechtigter Interessen als Erlaubnistatbestand erleichtern, sofern alle anderen Anforderungen der DSGVO erfüllt sind. Die Pseudonymisierung kann dazu beitragen, iSd Art 6 Abs 4 DSGVO die Vereinbarkeit der Weiterverarbeitung mit dem ursprünglichen Zweck zu gewährleisten. Die Pseudonymisierung kann Organisationen auch helfen, ihren Verpflichtungen gemäß Art 5, 25 und 32 DSGVO nachzukommen. Bestimmte technische Maßnahmen und Garantien bei der Verwendung von Pseudonymisierung können zudem die Vertraulichkeit gewährleisten und eine unbefugte Identifizierung von Personen verhindern. Anm: Die Leitlinien werden bis zum 28.02.2025 einer öffentlichen Konsultation unterzogen, um Interessenträgern Gelegenheit zur Stellungnahme zu geben.

Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht

Markt- und Wettbewerbsfaktoren, Datenschutzpraktiken, Regulierungsbehörden

·     Der EDSA hat eine Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht angenommen, in der Konstellationen erörtert werden, in denen sich diese Rechtsgebiete überschneiden können. Obwohl es separate Rechtsgebiete mit unterschiedlichen Zielen in unterschiedlichen Rahmen sind, können sie in bestimmten Fällen für dieselben Einrichtungen gelten. Unter bestimmten Voraussetzungen sollen Schritte zur Einbeziehung von Markt- und Wettbewerbsfaktoren in die Datenschutzpraktiken und zur Berücksichtigung von Datenschutzvorschriften bei Wettbewerbsbewertungen gemacht werden.

Die Zusammenarbeit zwischen den Regulierungsbehörden soll verbessert werden, ua indem eine zentrale Anlaufstelle eingerichtet wird, um die Koordinierung zwischen Regulierungsbehörden zu fördern.

·     Am 15.01.2025 ist die "VO (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste", ABl L 2025/37, 1, kundgemacht worden. Mit dieser VO werden europäische Schemata für die Cybersicherheitszertifizierung eingeführt. Zudem wird ua ein europäischer Zertifizierungsrahmen für die Cybersicherheit geschaffen.

·     Am 15.01.2025 ist die "VO (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694 (Cybersolidaritätsverordnung)", ABl L 2025/38, 1, kundgemacht worden. Mit dieser VO werden Maßnahmen zur Stärkung der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen festgelegt.

·     Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.

·     Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

·     Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

·     Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.

·     Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

·     Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von Telekommunikationsverträgen absprechen.

EuGH 09.01.2025, C-394/23, Mousse

Anrede, Vertragserfüllung, berechtigtes Interesse

·      Ein Transportunternehmen verlangte bei der Online-Buchung von Fahrscheinen die Angabe der Anrede "Herr" oder "Frau". Der Verband "Mousse" erhob Klage, weil diese Datenverarbeitung weder auf einer Rechtsgrundlage gemäß Art 6 Abs 1 DSVGO beruhe noch dem Grundsatz der Datenminimierung entspreche. Zudem seien Transparenz- und Informationspflichten gemäß Art 13 DSGVO verletzt. Die Vorlagefrage des vorlegenden Gerichts betraf die in Art 6 Abs 1 lit b (Vertragserfüllung) und lit f (berechtigte Interessen) DSGVO genannten Rechtfertigungsgründe.

Der EuGH hat erwogen: Eine geschlechtsspezifische Personalisierung der geschäftlichen Kommunikation ist weder objektiv unerlässlich noch wesentlich, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Die Datenverarbeitung kann daher nicht auf Art 6 Abs 1 lit b DSGVO gestützt werden. Weniger einschneidend wären allgemeine und inklusive Höflichkeitsformen, die von der Geschlechtsidentität unabhängig sind.

Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn (i) ein berechtigtes Interesse des Verantwortlichen oder eines Dritten wahrgenommen wird; (ii) die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich ist und (iii) die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Kommerzielle Direktwerbung und deren Personalisierung können ein berechtigtes Interesse sein. Gemäß Art 13 Abs 1 DSGVO ist den Betroffenen zum Zeitpunkt der Datenerhebung das verfolgte berechtigte Interesse aber mitzuteilen. Andernfalls kann die Erhebung nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden.

Die Abfrage einer Anrede und/oder Geschlechtsidentität erscheint im Licht des Grundsatzes der Datenminimierung nicht erforderlich. Für die Personalisierung reichen Name und Vorname der Kunden aus. Art 6 Abs 1 lit f DSGVO sieht bei der Beurteilung der Erforderlichkeit einer Datenverarbeitung keine Berücksichtigung der Gepflogenheiten und gesellschaftlichen Konventionen vor.

Im Fall der Gefahr einer Beeinträchtigung der Grundrechte und Grundfreiheiten der Betroffenen kann das berechtigte Interesse an kommerzieller Direktwerbung nicht überwiegen. Das vorlegende Gericht hat insbesondere zu prüfen, ob die Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität besteht. Dies vor allem im Licht der RL (EU) 2004/113, mit der der Grundsatz der Gleichbehandlung von Männern und Frauen beim Zugang zu und bei der Versorgung mit Gütern und Dienstleistungen verwirklicht wird. Diese Richtlinie gilt auch für Diskriminierungen, die ihre Ursache in der Änderung der Geschlechtsidentität einer Person haben.

EuGH 09.01.2025, C-416/23, Österreichische Datenschutzbehörde

Exzess, Wahlrecht der Aufsichtsbehörde

·      Innerhalb von etwa 20 Monaten brachte eine Betroffene 77 ähnliche Datenschutzbeschwerden bei der DSB ein. Die DSB lehnte die Behandlung einer der Datenschutzbeschwerden ab, weil sie exzessiv sei. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH ersuchte den EuGH um Vorabentscheidung, ob (i) der Begriff der "Anfrage" iSd Art 57 Abs 4 DSGVO auch Beschwerden nach Art 77 Abs 1 DSGVO erfasse, (ii) ob ein Exzess allein an der Anzahl von Beschwerden, die eine Person an eine Aufsichtsbehörde stellt, festzumachen sei, und (iii) ob eine Aufsichtsbehörde frei wählen könne, eine angemessene Gebühr zu verlangen oder die Behandlung der Beschwerde zu verweigern.

Der EuGH hat erwogen: Für die Verfolgung des Ziels, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union sicherzustellen, ist das ordnungsgemäße Funktionieren der Aufsichtsbehörden unentbehrlich. Art 57 Abs 4 DSGVO soll der Verfolgung dieses Ziels dienen, indem verhindert wird, dass Aufsichtsbehörden durch offenkundig unbegründete oder exzessive Beschwerden behindert werden.

Eine Auslegung dahingehend, dass der Begriff "Anfrage" nur Anfragen nach Art 57 Abs 1 lit e DSGVO und nicht auch Beschwerden nach Art 77 Abs 1 DSGVO umfasse, würde Art 57 Abs 4 DSGVO eines großen Teils seiner praktischen Wirksamkeit berauben und – im Ergebnis – den wirksamen Schutz der durch diese Verordnung garantierten Rechte untergraben. Der in Art 57 Abs 4 DSGVO enthaltene Begriff der "Anfrage" umfasst daher auch Beschwerden an Aufsichtsbehörden.

Die – alleinige – Häufung von Beschwerden von einer Person kann ein Indiz für exzessive Anfragen sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann etwa dann der Fall sein, wenn eine Person eine große Zahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat und diese übermäßige Inanspruchnahme des Beschwerderechts in Verbindung mit anderen Gesichtspunkten, wie dem Inhalt der Beschwerden, die Absicht der Person erkennen lässt, die Behörde lahmzulegen, indem sie sie mit Anfragen überflutet. Eine isolierte Betrachtung der Zahl der Beschwerden könnte zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen. Die Feststellung, dass exzessive Anfragen iSd Art 57 Abs 4 DSGVO vorliegen, setzt aus diesen Überlegungen den Nachweis einer Missbrauchsabsicht der Person voraus, die solche Beschwerden einreicht.

Die beiden in Art 57 Abs 4 DSGVO für den Fall exzessiver Anfragen vorgesehenen Optionen, nämlich (i) eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, oder (ii) sich zu weigern, aufgrund solcher Anfragen tätig zu werden, sind nebeneinander aufgeführt und durch die nebenordnende Konjunktion "oder" getrennt. Dieser Wortinterpretation Rechnung tragend darf die Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung darüber wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Die Aufsichtsbehörde hat dabei jedoch alle relevanten Umstände zu berücksichtigen und muss sich vergewissern, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.

EuG 08.01.2025, T-354/22, Bindl/Kommission

IP-Adresse, Datentransfer, Schadenersatz

·      Ein Bürger besuchte eine Website der EU, für die die Europäische Kommission ("Kommission") datenschutzrechtliche Verantwortliche war. Er meldete sich für eine Veranstaltung über "EU Login" mittels "Sign in with Facebook" an. Der Bürger ersuchte die Kommission nach der Anmeldung zwei Mal um Datenauskunft bzgl der dadurch verarbeiteten Daten. Ihm wurde auf seine erste Anfrage mitgeteilt, dass seine Daten nicht an Drittländer übermittelt und nur innerhalb Europas gespeichert und verarbeitet werden. Auf seine (präzisierte) zweite Anfrage, die konkrete Fragen zur Datenübermittlung an Meta in den USA aufgrund der Anmeldung enthielt, reagierte die Kommission nicht innerhalb der vorgesehenen Frist, weshalb der Bürger eine Klage an das EuG erhob. Das EuG gab der Klage teilweise statt und sprach dem Bürger auch Schadenersatz zu.

Das EuG hat erwogen: Die beantragte Nichtigerklärung der Übermittlungen der personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau ist abzuweisen, weil sich ein solcher Antrag nur auf Rechtsakte beziehen kann. Die Datenübermittlung ist dagegen ein Realakt, der einer Nichtigerklärung nicht zugänglich ist.

Die Datenübermittlung an die USA bei der Anmeldung für die Veranstaltung ist der Kommission zuzurechnen. Diese hat als Verantwortliche der Website mit dem Hyperlink "Sign in with Facebook" die Voraussetzungen für die Übermittlung der IP-Adresse des Bürgers an Facebook (= Meta) geschaffen. Da – zum Zeitpunkt der Datenübermittlung – kein Angemessenheitsbeschluss vorlag und die Kommission auch keine geeigneten Garantien (Standarddatenschutz- oder Vertragsklauseln) nachweisen konnte, galten nur die Nutzungsbedingungen von Facebook. Die Kommission hat somit gegen die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ der Union verstoßen.

Durch die Datenübermittlung wurde der Bürger in eine Lage gebracht, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Daher hat er einen immateriellen Schaden erlitten. Für die unrechtmäßige Datenübermittlung ist eine Entschädigung iHv EUR 400 angemessen. Anm: Gegen diese Entscheidung könnte ein Rechtsmittel an den EuGH erhoben werden.

·      Das BVwG hat mit Erkenntnis vom 27.06.2024, W176 2248629-1, ausgesprochen, dass die Übermittlung eines MRT-Befundes zur Behandlung im Gesundheitsbereich auf der Grundlage des MTD-Gesetzes zulässig ist. Die gegen dieses Erkenntnis gerichtete außerordentliche Revision wurde vom VwGH aus formalen Gründen zurückgewiesen. Ein Revisionswerber, der eine Abweichung des angefochtenen Erkenntnisses von der Rechtsprechung des Verwaltungsgerichtshofs behauptet, hat konkret darzulegen, dass der der gegenständlich angefochtenen Entscheidung zugrundeliegende Sachverhalt einer der von ihm ins Treffen geführten Entscheidung gleicht, das Verwaltungsgericht im revisionsgegenständlichen Fall jedoch anders entschieden hat und es damit von der ständigen Rechtsprechung des Verwaltungsgerichtshofs abgewichen ist. Eine bloße Wiedergabe von Rechtssätzen, die bloße Zitierung aus Literaturfundstellen oder Geschäftszahlen ohne Eingehen auf die behaupteten inhaltlichen Abweichungen reicht zur Darlegung des Abweichens von der Rechtsprechung des Verwaltungsgerichtshofs nicht aus (VwGH 26.11.2024, Ra 2024/04/0408). Anm: Die Zusammenfassung des Erkenntnisses des BVwG vom 27.06.2024, W176 2248629-1, können Sie im Schönherr Datenschutzmonitor vom 28.08.2024 nachlesen.

BVwG 25.11.2024, W252 2282050-1

Dark Patterns, Cookie-Banner, Widerruf

·      Ein Websitenutzer brachte wegen behaupteter Mangelhaftigkeit eines Cookie-Banners einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Im Cookie-Banner war die Option zur Einwilligung farblich kontrastreich und groß gestaltet, die Möglichkeit zur Ablehnung war mit geringerem Kontrast und kleinerer Schrift gestaltet. Durch die Gestaltung wurde der Websitenutzer zu einer Einwilligung und damit zu einer Handlung gegen sein Interesse verleitet (Dark Patterns). In der Datenschutzbeschwerde machte der Websitenutzer die Verletzung in den Rechten auf Geheimhaltung und Löschung seiner Daten geltend. Die DSB wies die Datenschutzbeschwerde hinsichtlich des Rechts auf Geheimhaltung ab, gab ihr betreffend die Verletzung im Recht auf Löschung aber statt und trug dem Websitebetreiber eine Änderung des Cookie-Banners auf. Die Websitebetreiberin erhob Bescheidbeschwerde an das BVwG, insbesondere weil die DSGVO keine Gleichwertigkeit von Einwilligungs- und Ablehnungsoptionen vorschreibe. Das BVwG wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Durch die Verknüpfung von Zeichenfolgen mit zusätzlichen Daten, zB der IP‑Adresse oder einer anderen Kennung, kann die Identifizierung eines Websitenutzers ermöglicht werden. Es handelt sich dann um ein personenbezogenes Datum im Sinne von Art 4 Z 1 DSGVO. Eine Unique-ID ist auch dann ein personenbezogenes Datum, wenn der Websitebetreiber nicht selbst die Möglichkeit hat, diese mit einer gespeicherten oder unmittelbar von Dritten erhaltenen IP-Adresse zu kombinieren. Die Weiterverarbeitung von in Cookies gespeicherten oder weitergegebenen Daten fällt in den Anwendungsbereich der DSGVO.

Ein Verantwortlicher hat personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich gemäß Art 17 Abs 1 lit d DSGVO zu löschen. Dies trifft auch dann zu, wenn eine Einwilligung widerrufen wurde und eine andere Rechtsgrundlage für die Verarbeitung fehlt.

Eine Einwilligung muss in informierter Weise, unmissverständlich und eindeutig abgegeben werden. Eine versehentliche Einwilligung durch Betroffene soll durch die Bedingungen für die Einwilligung in Art 7 Abs 2 DSGVO und auch dem Transparenzgrundsatz in Art 5 Abs 1 lit a DSGVO verhindert werden.

Ist ein Einwilligungsbutton durch Größe, Kontrast und Platzierung auffällig gestaltet, die Widerspruchsmöglichkeit aber im Vergleich dazu unauffälliger, kann mangels Transparenz nicht von einer eindeutigen Einwilligung ausgegangen werden.

Ein Anspruch auf Ausgestaltung der Widerrufsmöglichkeit in Form eines "schwebenden" Symbols besteht jedoch nicht.

BVwG 18.11.2024, W274 2284469-1

Entschiedene Sache, Exekutionsverfahren

·      Der Betroffene stellte ein Auskunftsersuchen an einen gerichtlich bestellten Gutachter, der im Rahmen eines Verfahrens vor dem Zivilgericht ein Gutachten mit Bezug zum Betroffenen erstellte. Dabei verlangte er ausdrücklich auch Auskunft über die Herkunft der Daten gemäß Art 15 Abs 1 lit g DSGVO. Der Betroffene behauptete, der Gutachter habe eine falsche Diagnose gestellt, ohne seine Krankengeschichte zu kennen. Nachdem der Gutachter dem Auskunftsersuchen nicht nachkam, brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Auskunft ein. Der Gutachter kam dem Ersuchen trotz zweimaligem Hinweis durch die DSB nicht nach, woraufhin die DSB eine Verletzung des Rechts auf Auskunft feststellte und dem Gutachter auftrug, innerhalb von vier Wochen dem Antrag des Betroffenen zu entsprechen. Der Gutachter übermittelte nach ergangenem Bescheid eine Auskunft zur Diagnose des Betroffenen und verwies auf eine frühere Diagnose eines anderen Arztes. Der Betroffene hielt die Diagnose für falsch und verlangte deren Korrektur. Nachdem der Gutachter an seiner Diagnose festhielt, forderte der Betroffene detailliertere Auskunft über die Herkunft der Daten. Der Gutachter verwies hierzu auf den Gerichtsakt. Der Betroffene erachtete diese Auskunft als unzureichend und reichte erneut eine Datenschutzbeschwerde bei der DSB ein, welche die DSB abwies, weil der Gutachter dem Betroffenen bereits Auskunft erteilt habe. Daraufhin erhob der Betroffene eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die materielle Rechtskraft eines Bescheids steht einer weiteren Entscheidung in derselben Rechtssache entgegen. Eine Änderung entscheidungsrelevanter Fakten führt dazu, dass die Sache ihre ursprüngliche Identität verliert, womit eine andere Sache vorliegt, über die bescheidmäßig abgesprochen werden kann oder muss. Bei der Beurteilung der Identität der Sache ist festzustellen, ob an den entscheidungsrelevanten Fakten eine wesentliche Änderung eingetreten ist.

Die Behörde hat die Identität der Sache im Vergleich mit dem im Vorbescheid angenommenen Sachverhalt zu beurteilen und zu prüfen, ob sich an diesem Sachverhalt oder an seiner rechtlichen Beurteilung eine wesentliche Änderung ergeben hat. Dem Vorbescheid lag eine Datenschutzbeschwerde zugrunde, der einen Antrag auf Feststellung der Rechtsverletzung durch den Gutachter sowie einen Leistungsauftrag zur Entsprechung des Auskunftsersuchens umfasste. Die zweite Datenschutzbeschwerde des Betroffenen bezog sich erneut auf die Herkunft der Daten. Die beantragte Auskunft über die Herkunft der Daten war bereits Gegenstand des Leistungsauftrags des ersten Bescheids. Die zweite Datenschutzbeschwerde war daher wegen entschiedener Sache zurückzuweisen.

Sollte der Betroffene mit den bisherigen Auskünften nicht zufrieden sein, ist er auf ein allfälliges Exekutionsverfahren zu verweisen. Zudem ist darauf hinzuweisen, dass die Fragen des Betroffenen typischerweise bei der Erörterung von Gutachten im Zivilverfahren zu klären sind.

BVwG 18.11.2024, W137 2297057-1

Auskunftsrecht, Rechte von Dritten, Öffnungsklausel

·      Ein Mann war über acht Jahre mit der Pflege und Erziehung eines minderjährigen Kindes betraut. Nach einem behördlich eingeleiteten Überprüfungsverfahren wurde das Kind aufgrund von Bedenken hinsichtlich des Kindeswohls anderweitig untergebracht. Die Obsorge ging auf den Kinder- und Jugendhilfeträger über. Dieser verarbeitete personenbezogene Daten des ehemaligen Pflegevaters in mehreren elektronischen Akten. Neben dessen Papierakt lag ein weiterer Akt über das Kind vor, der auch personenbezogene Daten des ehemaligen Pflegevaters enthielt. Dieser stellte ein Auskunftsersuchen gemäß Art 15 DSGVO, um Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten. Weiters beantragte der ehemalige Pflegevater die Herausgabe seiner Daten in Papierform und forderte eine ungekürzte Übermittlung der beantragten Informationen samt Unterlagen. Die anschließend erteilte Auskunft hielt er für unvollständig. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Mann (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Eine Betroffene soll durch die Auskunft in die Lage versetzt werden, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Art 15 DSGVO gewährt jedoch nur das Recht, die eigenen Daten zu erhalten. Dementsprechend kann sich der ehemalige Pflegevater in Bezug auf die Daten des Kindes nicht auf Art 15 DSGVO stützen.

Weiters könnte er das Kind im Verfahren nur dann vertreten, wenn dies dessen Interesse im Rahmen des Kindeswohls entspräche. Da die Kinder- und Jugendhilfe ein höchst sensibler Bereich ist, können einzelne Informationen gemäß § 12 Abs 4 Wiener Kinder- und Jugendhilfegesetz (WKJHG) unter Berücksichtigung des Kindeswohls unter Umständen nicht erteilt oder Kopien nur eingeschränkt übermittelt werden.

Darüber hinaus darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Weiters enthalten die nach der Öffnungsklausel des Art 23 DSGVO zulässigen Bestimmungen, ua im WKJHG, Beschränkungen des Auskunftsrechts aufgrund von Kindeswohlerwägungen. Diese ähneln den Regelungen des § 4 Abs 6 DSG, die sich auf Geschäfts- und Betriebsgeheimnisse beziehen.

Da dem ehemaligen Pflegevater die Obsorge entzogen wurde, ist nicht anzunehmen, dass die Einsicht in den Papierakt seines ehemaligen Pflegekindes dem Kindeswohl dient. Dementsprechend ist die Zurverfügungstellung des noch nicht beauskunfteten Papierakts bzw der Aktenteile vor dem Hintergrund des Kindeswohls bzw der sonstigen Einschränkungen des Auskunftsrechts nach dem WKJHG nicht geboten.

Das Auskunftsrecht nach der DSGVO unterscheidet sich von den Rechten einer Verfahrenspartei im Rahmen eines Rechtsstreits. Es ist aber nicht dazu gedacht, allfällige Ausnahmen von einer Akteneinsicht auszuhebeln.

·      Der Bürgermeister einer Stadt ist eine staatliche Behörde iSd § 1 Abs 2 DSG. Denn der Begriff "Behörde" ist im funktionellen Sinn zu verstehen, davon sind auch Selbstverwaltungskörper und alle Stellen der Hoheitsverwaltung erfasst. Eingriffe staatlicher Behörden sind nur aufgrund von Gesetzen zulässig, die ausreichend präzise, also für jedermann vorhersehbar, regeln, unter welchen Voraussetzungen die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist (BVwG 25.11.2024, W214 2273462-1).

·      Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 04.12.2024, W603 2303734-1; 03.12.2024, I406 2300562-1).

DSB 27.06.2024, 2024-0.028.256

Anzeige, Akteneinsicht, Interessenabwägung

·      Der Betroffene machte eine Eingabe bei der Bauabteilung eines Gemeindeamts, in welcher er darauf hinwies, dass die Brandschutzsicherungsmaßnahmen sowie der Schallschutz eines Wohnbaus eines Grundstückseigentümers nicht in Ordnung seien und überprüft werden müssten. Dabei sei ihm nicht klar gewesen, dass es sich bei seiner Eingabe um eine Anzeige handle. Nachdem der Grundstückseigentümer Kenntnis von der Anzeige erlangte, nahm er Akteneinsicht und kontaktierte den Betroffenen telefonisch, wobei auch Beschimpfungen und Drohungen gefallen sein sollen. Das Gemeindeamt legte dem Grundstückseigentümer den Vor- und Nachnamen des Betroffenen offen, nicht aber dessen Telefonnummer. Daraufhin brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde gegen das Gemeindeamt bei der DSB ein, weil er sich durch die Weitergabe seiner Daten an den Grundstückseigentümer in seinem Grundrecht auf Geheimhaltung verletzt sah.

Die DSB hat erwogen: Gemäß § 1 Abs 1 DSG hat Jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Es spielt keine Rolle, auf welche Weise Daten verarbeitet werden, auch eine mündliche Mitteilung kann eine Verletzung sein. Der offengelegte Vor- und Nachname des Betroffenen fällt in den sachlichen Schutzbereich des § 1 DSG.

Die Offenlegung durch das Gemeindeamt erfolgte zwar auf Basis einer qualifizierten rechtlichen Grundlage, weil der Grundstückseigentümer sein Recht auf Akteneinsicht nach § 17 AVG wahrnahm. Grundsätzlich erstreckt sich die Akteneinsicht auf alle Unterlagen, die sich auf die Sache beziehen. § 17 Abs 3 AVG nimmt jedoch Aktenbestandteile davon aus, wenn der Einsichtnahme legitime Interessen entgegenstehen. Das Gemeindeamt hätte eine Interessenabwägung zwischen dem Recht auf Akteneinsicht des Grundstückseigentümers und dem Grundrecht auf Geheimhaltung des Betroffenen vornehmen müssen. Das Interesse des Grundstückseigentümers an vollständiger Information wäre dabei geringer zu gewichten als das Interesse an Geheimhaltung seitens des Betroffenen. Die Offenlegung der Identität des Betroffenen war zur Gewährleistung des Rechts auf Akteneinsicht nicht notwendig, weshalb eine Verletzung des Grundsatzes der Datenminimierung verwirklicht wurde.

·      Am 08.01.2025 ist die "VO (EU) 2025/12 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verbesserung und Erleichterung der Kontrollen an den Außengrenzen, zur Änderung der Verordnungen (EU) 2018/1726 und (EU) 2019/817 sowie zur Aufhebung der Richtlinie 2004/82/EG des Rates", ABl L 2025/12, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, bei Flügen in die Union sogenannte API-Daten (vorab übermittelte Fluggastdaten) zu erheben und diese verschlüsselt an die zuständigen Grenzbehörden zu übermitteln. Die API-Daten umfassen Identifizierungs-, Flugzeug- und Gepäckdaten.

·      Am 08.01.2025 ist die "VO (EU) 2025/13 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818", ABl L 2025/13, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, zur Bekämpfung der länderübergreifenden schweren und organisierten Kriminalität sowie des Terrorismus an die sogenannten PNR-Zentralstellen verschlüsselte API-Daten und sonstige PNR-Daten (sonstige Fluggastdatensatzdaten) zu übermitteln.

·      Am 10.01.2025 ist die "RL (EU) 2025/25 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinien 2009/102/EG und (EU) 2017/1132 zur Ausweitung und Optimierung des Einsatzes digitaler Werkzeuge und Verfahren im Gesellschaftsrecht", ABl L 2025/25, 1, kundgemacht worden. Ziel dieser RL ist es, durch die Vernetzung von Unternehmensregistern und die Schaffung von digitalen Werkzeugen, die grenzüberschreitende Gründung von Kapitalgesellschaften, Eintragung von Zweigniederlassungen und Einreichung von Dokumenten und Informationen bei den Unternehmensregistern zu erleichtern.

·      Am 10.01.2025 ist eine Berichtigung der "VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte; DMA)", ABl L 2025/90024, 1, kundgemacht worden. Berichtigt wird ein redaktionelles Versehen und die Berichtigung betrifft nur einen Verweis auf die Befugnisse der Europäischen Kommission.

·      Am 10.01.2025 ist die "UN-Regelung Nr. 155 — Einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems" im Amtsblatt der EU, ABL L 2025/5, 1, kundgemacht worden. Verbindlich ist jedoch die von der UN verabschiedete Originalfassung.

·      Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.

·      Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

·      Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

·      Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.

VfGH 09.03.2023, E2097/2021

Finanzdatenaustausch, Besteuerung, GMSG

·      Ein Österreicher mit einem deutschen Bankkonto erachtete sich in seinem Grundrecht auf Datenschutz verletzt, weil der Bundesminister für Finanzen (BMF) personenbezogene Daten vom deutschen Bundeszentralamt für Steuern erhielt, verarbeitete und an die zuständige Abgabenbehörde weiterleitete. Die Datenverarbeitung beruhte auf § 113 Gemeinsamer Meldestandard-Gesetz (GMSG) und der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG wies die Bescheidbeschwerde ab. Der VfGH wies die Erkenntnisbeschwerde ab und trat sie an den VwGH zur Entscheidung darüber ab, ob der Österreicher durch das angefochtene Erkenntnis in einem sonstigen Recht verletzt wurde.

Der VfGH hat erwogen: §§ 112 und 113 GMSG setzen den automatischen Austausch von Finanzdaten gemäß Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung deckungsgleich um. Der VfGH kann die Verfassungsmäßigkeit der §§ 112 und 113 GMSG daher nur dann prüfen, wenn der EuGH zuvor Art 8 Abs 3a der Richtlinie für ungültig erklärt. Der VfGH hat jedoch auch keine Bedenken ob der Vereinbarkeit des Art 8 Abs 3a der Richtlinie mit Art 7 und 8 GRC.

Einschränkungen der Rechte auf Achtung des Privat- und Familienlebens, der Wohnung sowie Kommunikation und des Rechts auf Schutz personenbezogener Daten sind gemäß Art 52 GRC zulässig, wenn sie gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte wahren. Die Einschränkungen müssen verhältnismäßig und notwendig sein und im Einklang mit dem Gemeinwohl dienenden Zielsetzungen oder dem Schutz der Rechte und Freiheiten Dritter stehen.

Bei Eingriffen in das Datenschutzrecht muss das öffentliche Interesse an der Datenerhebung gegen den Schutz des Privatlebens abgewogen werden. Besonders schützenswert sind Daten, die für die spätere automatische Datenverarbeitung gesammelt werden. Es ist sicherzustellen, dass nur relevante Daten erhoben werden und diese nicht länger aufbewahrt werden, als dies für die Erreichung der Ziele erforderlich ist. Auch Schutzmaßnahmen gegen Datenmissbrauch sind zu treffen. Der BMF und alle am Informationsaustausch beteiligten Behörden sind an die Vorgaben der DSGVO gebunden, um den erforderlichen Sicherheitsanforderungen für die Verarbeitung zu entsprechen.

Die Weitergabe von Finanzdaten gemäß der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und somit gemäß §§ 112 f GMSG soll Steuerbetrug und -hinterziehung verhindern, die Wirksamkeit und Effizienz der Steuererhebung fördern und aggressive Steuerplanung eindämmen. Diese Ziele liegen alle im öffentlichen Interesse. Der automatische Informationsaustausch geht nicht über das Maß hinaus, das notwendig und erforderlich ist, um diese Ziele zu erreichen.

Die Rechtsprechung des EuGH zur Verhältnismäßigkeit der Vorratsdatenspeicherung sind auf die Regelungen der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung nicht übertragbar, weil sich die Regelungen in ihren Zielsetzungen unterscheiden und die verarbeiteten Finanzdaten nicht den Kernbereich des Privatlebens betreffen. Auch anderen EuGH-Urteilen kann nicht entnommen werden, dass Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung gegen Art 8 GRC verstoßen würde.

·      Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen. Es besteht eine erhöhte Mitwirkungspflicht, wenn es um Umstände geht, die in der persönlichen Sphäre der Parteien liegen (BVwG 22.11.2024, W211 2272744-1; 18.11.2024, W137 2272120-1).

·      Am 30.12.2024 ist die "VO (EU) 2024/3228 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Aufhebung der Verordnung (EU) Nr. 524/2013 und zur Änderung der Verordnungen (EU) 2017/2394 und (EU) 2018/1724 im Hinblick auf die Einstellung der Europäischen Plattform für Online-Streitbeilegung", ABl L 2024/3228, 1, kundgemacht worden. Mit dieser Verordnung wird die Europäische Plattform für Online-Streitbeilegung eingestellt.

·      Am 30.12.2024 ist die "RL (EU) 2024/3237 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinie (EU) 2015/413 zur Erleichterung des grenzüberschreitenden Austauschs von Informationen über die Straßenverkehrssicherheit gefährdende Verkehrsdelikte", ABl L 2024/3237, 1, kundgemacht worden. Geregelt werden ua der Austausch von Fahrzeugzulassungsdaten und die Amts- und Rechtshilfe betreffend Verkehrsdelikte.

·      Am 08.01.2025 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, verkündet. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.

·      Am 09.01.2025 wird das Urteil des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.

·      Am 09.01.2025 wird das Urteil des EuGH in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.

·      Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.

·      Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

·      Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

·      Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.