·     Datenschutzrechtliche Grundsätze müssen bei Untersuchungen durch Disziplinarbehörden gegen Beamte von EU-Organen eingehalten werden. Verwaltungsuntersuchungen haben auf einer rechtmäßigen Grundlage zu erfolgen, einem eindeutigen und rechtmäßigen Zweck zu dienen und die Beamten müssen über das Verfahren informiert werden. Der Grundsatz der Datenverarbeitung nach Treu und Glauben verhindert jedoch nicht die Nutzung von Informationen, die in einem Untersuchungsverfahren von dritter Stelle übermittelt werden, auch wenn diese Informationen zu anderen Zwecken erhoben wurden (EuGH 12.12.2024, C-587/21P, DD/FRA; 12.12.2024, C-130/22P, DD/FRA; 12.12.2024, C-680/22P, DD/FRA).

·     Das gegen eine Beschwerdevorentscheidung vorgesehene Rechtsmittel ist der Antrag, dass die Bescheidbeschwerde gegen den Ausgangsbescheid dem Verwaltungsgericht zur Entscheidung vorgelegt wird (Vorlageantrag). Die DSB fasste die Beschwerdevorentscheidung in Form eines Aussetzungsbescheides. Das BVwG entschied dennoch in der Sache. Auch wenn mit der Beschwerdevorentscheidung das Verfahren ausgesetzt wurde, steht dieser Aussetzungsbescheid/"Beschwerdevorentscheidung" nach Wegfall des Aussetzungsgrundes der Entscheidung des Verwaltungsgerichts in der Sache nicht entgegen (VwGH 15.11.2024, Ro 2022/04/0028). Anm: Mit der Beschwerdevorentscheidung wird dem Ausgangsbescheid derogiert, sodass der Ausgangsbescheid vor dem Verwaltungsgericht nicht mehr dem Rechtsbestand angehört.

Energieunternehmen, intelligente Stromzähler, EEffG

·     Der Bewohner einer Wohnung erhob Datenschutzbeschwerde, weil ihn das Energieunternehmen, das ihn mit Fernwärme belieferte, durch den Betrieb eines bei ihm eingebauten intelligenten Kleinwärmezählers in seinem Grundrecht auf Geheimhaltung verletzt habe. Die DSB wies die Datenschutzbeschwerde ab, woraufhin der Bewohner Bescheidbeschwerde an das BVwG erhob, die ebenfalls abgewiesen wurde.

Das BVwG hat erwogen: Das Energieunternehmen hat mit dem Bewohner einen privatrechtlichen Vertrag abgeschlossen. Somit ist das Energieunternehmen nicht als "staatliche Behörde" iSd § 1 Abs 2 DSG bzw "Behörde" iSd ErwGr 47 DSGVO zu qualifizieren.

Die anwendbare Rechtsgrundlage iSd Art 6 Abs 1 lit c DSGVO für die Installation und den Betrieb des intelligenten Wärmezählers ist § 55 EEffG, der den Zweck der Verarbeitung (Verrechnung, Kundeninformation, Energieeffizienz und Aufrechterhaltung eines sicheren Betriebes von der für die Abrechnung durchführenden Stelle, Aufrechterhaltung der Betriebsfunktion) festlegt. Aus dieser Bestimmung ergeben sich auch die Arten der Daten, die gespeichert werden dürfen, die Dauer der Aufbewahrungspflicht (zur Erfüllung des Zwecks, maximal sieben Jahre) sowie die zu ergreifenden Datensicherheitsmaßnahmen (ua Absicherung der Kommunikation der Geräte, Schutz vor unberechtigtem Zugriff).

Die Speicherung bestimmter Daten in LOG-Files ist aufgrund berechtigter Interessen des Energieunternehmens an der Aufrechterhaltung der Betriebsfunktion und dem ordnungsgemäßen Betrieb des Geräts rechtmäßig, weil ohne diese Aufzeichnung etwaige Fehler nicht erkannt und behoben werden könnten, wodurch der ordnungsgemäße Betrieb gefährdet wäre.

E-Scooter, Geheimhaltung

·     Ein Passant beschwerte sich über das Abstellen von E-Scootern am Straßenrand bei der Stadt Wien mittels E-Mail, die auch ein Foto der Örtlichkeit der abgestellten Scooter enthielt. Die Stadt Wien leitete die E-Mail – ohne Angabe von Name/E-Mailadresse des Passanten – an die Betreiberfirma des E-Scooters weiter, um deren Wegschaffung zu veranlassen. Der Passant erachtete sich durch die Weiterleitung der E-Mail in seinem Recht auf Geheimhaltung verletzt und begründete dies damit, dass aus der Örtlichkeit der E-Scooter auf seinen Wohnort geschlossen werden könne. Die auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Dagegen erhob der Passant erfolglos Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Ein Personenbezug liegt vor, wenn Daten einer Person so zugeordnet sind, dass die Identität der Person für den jeweiligen Verwender direkt ersichtlich oder mit Hilfe von – vernünftigerweise zur Verfügung stehenden – Zusatzinformationen herstellbar ist. Die – auf keine solche Zusatzinformationen gestützte – bloße Vermutung, dass Daten einer bestimmten Person zugeordnet werden könnten, kann demnach keine Identifizierbarkeit und damit keinen Personenbezug begründen. Aus der bloßen Örtlichkeit der E-Scooter kann nicht auf den Wohnort des Passanten geschlossen werden, was schon aus der Tatsache folgt, dass dem Betreiberunternehmen eben keine Daten wie etwa Name/E-Mailadresse des Passanten übermittelt wurden.

Informationspflicht, Mitteilungspflicht

·     Ein Inkassobüro und ein Rechtsanwalt machten gegenüber einem Betroffenen unberechtigte Forderungen geltend. Ursächlich dafür war eine unzutreffende "Identifizierung" aufgrund einer fälschlicherweise dem Betroffenen zugeordneten Adresse, die bei einer Identitäts- und Bonitätsdatenbank ("Kreditauskunftei") hinterlegt gewesen war. Der Betroffene begehrte die Löschung der "falschen" Adresse bei der Kreditauskunftei. Diese kam dem Löschungsersuchen erst nach, nachdem sie diese "falsche" Adresse der Berechnung eines Bonitätscores über den Betroffenen zugrunde gelegt hatte. Die Kreditauskunftei unterrichtete die jeweiligen Empfänger der – aufgrund der "falschen" Adresse zu gering bewerteten – Bonitätscores nicht über die nachträgliche Löschung der Adresse. Die DSB wies die vom Betroffenen erhobene Datenschutzbeschwerde wegen einer Verletzung des Rechts auf Information, auf Löschung sowie auf Mitteilung ab. Dagegen erhob der Betroffene (teilweise erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die von der Kreditauskunftei erfassten und verarbeiteten Daten sind personenbezogene Daten des Betroffenen, weil diese mit seinem Namen und Geburtsdatum verknüpft sind. Der Betroffene hat erst aufgrund mehrerer gestellter Auskunftsersuchen von den Datenverarbeitungen der Kreditauskunftei erfahren. Anders als bei den Rechten auf Auskunft, Berichtigung oder Löschung besteht beim Recht auf Information keine Möglichkeit seitens des Verantwortlichen, eine bereits erfolgte Verletzung durch einen actus contrarius (hier: Löschung der betreffenden Daten) rückwirkend zu beseitigen. Die nachträgliche Auskunftserteilung änderte nichts an der – in der Unterlassung der Erteilung einer entsprechenden Information begründeten – Informationspflichtverletzung.

Anders war die vom Betroffenen monierte Verletzung des Rechts auf Löschung zu beurteilen. Die Kreditauskunftei löschte die vom Betroffenen als unrichtig monierte Adresse noch vor dem Entscheidungszeitpunkt der DSB, sodass eine allfällige Beschwer des Betroffenen – im Nachhinein – weggefallen ist.

Die Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO ist antragslos wahrzunehmen. Die Rechtsverletzung besteht in der Unterlassung der entsprechenden Mitteilung. Die Unterlassung der Mitteilungspflicht kann ebensowenig wie die Verletzung der Informationspflicht saniert werden. Daher war (auch) die Verletzung der Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO festzustellen.

Geldbuße, Videoüberwachung, Verfahrenskosten

·     Die Polizei entdeckte im April 2021 bei einer COVID-19-Kontrolle in einem Lokal den Betrieb einer Videoüberwachungsanlage. Die Kamera zeichnete nicht nur den Innenbereich, sondern auch die Zufahrt und einen Teil der gegenüberliegenden Liegenschaft auf. Zudem fehlte eine Kennzeichnung der Anlage. Die Beamten wiesen den Filialleiter auf die gesetzlichen Vorschriften hin. Bei einer Nachkontrolle im Oktober 2021 war die Situation dennoch unverändert. Daraufhin brachte die Polizei eine Anzeige bei der DSB ein, die ein Verwaltungsstrafverfahren gegen die Betreiberin des Lokals einleitete.

Die DSB stellte fest, dass die Betreiberin von April 2021 bis März 2022 personenbezogene Daten unrechtmäßig verarbeitet und gegen ihre Informationspflichten gemäß Art 12 und 13 DSGVO verstoßen hatte. Daher verhängte sie eine Geldstrafe iHv EUR 4.100. Dagegen erhob die Betreiberin Bescheidbeschwerde an das BVwG, das den Tatzeitraum einschränkte, im Übrigen die Bescheidbeschwerde aber abwies.

Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem datenschutzrechtlichen Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer konkreten natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist.

Die Betreiberin war Verantwortliche der Bildverarbeitung iSd Art 4 Z 7 DSGVO, weil sie deren Zweck und Mittel kontrollierte. Ihr ist der in ihrem Unternehmen angestellte Filialleiter als "unterstellte Person" zuzurechnen.

Bei der automatisierten Verarbeitung durch ein kamerabasiertes Videoüberwachungssystem ist bereits die "Fähigkeit", personenbezogene Daten zu erfassen, ausreichend, um von einer Verarbeitung zu sprechen. Entsprechend erfolgte durch den Betrieb der Videoüberwachungsanlage eine Verarbeitung gemäß Art 4 Z 2 DSGVO.

Es ist kein berechtigtes Interesse der Betreiberin erkennbar, weshalb über den Innenbereich ihres Lokals hinaus auch deren Außenbereich vom Aufnahmebereich der Kameras erfasst sein musste. Die Betreiberin verstieß somit gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Weiters folgte sie auch nicht dem Grundsatz der Datenminimierung.

Die Betreiberin hatte bis Ende Dezember 2021 überhaupt keine Kennzeichnung der Kamera vorgenommen. Auch das nachträglich angebrachte Hinweisschild enthielt nicht die in der Leitlinie des Europäischen Datenschutzausschusses 3/2019 angeführten Mindestinformationen. Über diese Kennzeichnung hinaus erhielten die Betroffenen im relevanten Zeitraum bis März 2022 keine weiteren Informationen in Bezug auf den Betrieb der Videoüberwachungsanlage.

Die DSB hat den Tatzeitraum unzulässigerweise bis März 2022 ausgedehnt. Der Tatzeitraum ist von April 2021 bis Dezember 2021 zu reduzieren, weil die Aufforderung zur Rechtfertigung nur diesen Zeitraum umfasste.

Ein Verantwortlicher kann für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. Die Betreiberin traf eine Erkundigungspflicht hinsichtlich der einschlägigen Bestimmungen der DSGVO vor der Verwendung einer Videoüberwachungsanlage. Nach dem eindeutigen Hinweis der Polizei konnte sie über die Rechtswidrigkeit der Datenverarbeitung jedenfalls nicht mehr im Unklaren sein.

Die Betreiberin hat personenbezogene Daten unrechtmäßig und schuldhaft über einen Zeitraum von knapp neun Monaten verarbeitet. Weiters verstieß sie mehr als elf Monate lang gegen ihre Informationspflichten. Die Verstöße wurden zwar fahrlässig begangen, sind jedoch nicht geringfügig, sondern weisen vielmehr bei Beurteilung nach Art 83 Abs 2 lit a DSGVO einen mittleren bis hohen Schweregrad auf. Auch bei der Verkürzung des Tatzeitraums von elfeinhalb auf neun Monate besteht kein Raum für eine Herabsetzung der Strafhöhe.

Da der Bescheidbeschwerde hinsichtlich des Tatzeitraums teilweise stattgegeben wurde, hat die Betreiberin die Kosten des verwaltungsgerichtlichen Verfahrens jedoch nicht zu tragen.

Stammzahlenregisterbehörde, ERsB, Informationspflicht

·     Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB, weil er sich in seinem Recht auf Geheimhaltung verletzt sah. Er behauptete, dass die Stammzahlenregisterbehörde (SRB) seine Daten im Ergänzungsregister für sonstige Betroffene (ERsB) verarbeitet habe, obwohl er zu keinem Zeitpunkt einen Antrag auf Eintragung in das ERsB gestellt habe und immer im Zentralen Melderegister (ZMR) gemeldet gewesen sei. Darüber hinaus sei er zu keinem Zeitpunkt über die Eintragung gemäß Art 14 DSGVO informiert worden, weshalb er auch in seinem Recht auf Information verletzt worden sei. Die DSB wies die Datenschutzbeschwerde ab, weil die Eintragung erforderlich sei, um in einem elektronischen Verfahren unterscheiden zu können, ob eine natürliche Person in Privatangelegenheiten agiere oder unternehmerisch tätig sei. Der Betroffene richtete daraufhin eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die SRB war Verantwortliche, weil sie gemäß § 7 Abs 1 E-GovG iVm § 1 ERegV das Ergänzungsregister zu führen hatte.

Nach § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) waren Betroffene, die weder im Melderegister eingetragen waren noch im Firmenbuch oder im Vereinsregister eingetragen sein mussten, auf ihren Antrag im ERsB einzutragen. Der Betroffene war zum Zeitpunkt der Eintragung ins ERsB jedoch im ZMR eingetragen. Die Verarbeitung seiner personenbezogenen Daten im ERsB war daher unrechtmäßig.

Die Informationspflicht nach Art 14 DSGVO besteht unabhängig von einem vorherigen Antrag der betroffenen Person, sie erfordert vielmehr ein aktives Handeln des Verantwortlichen. Die SRB hat durch die Unterlassung der ihr zukommenden Informationspflicht nach Art 14 DSGVO den Betroffenen in seinen Rechten verletzt. Die Informationen hätten spätestens zum Zeitpunkt des Inkrafttretens der DSGVO erteilt werden müssen. Eine nachträgliche Sanierung der Verletzung ist nicht möglich.

·     Der Zweck des Ergänzungsregisters für sonstige Betroffene (ERsB) war gemäß § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) die eindeutige digitale Identifikation von Betroffenen, die weder im Zentralen Melderegister (ZMR) noch im Firmenbuch (FB) oder im Vereinsregister eingetragen waren, durch ihre Stammzahlen. Die Eintragung der personenbezogenen Daten verstieß gegen das Zweckbindungsprinzip des Art 5 Abs 1 lit b DSGVO, wenn der Betroffene bereits im ZMR, FB oder Vereinsregister eingetragen war (BVwG 19.11.2024, W287 2248018-1).

·     Die Information, dass sich eine Person in einem Therapiezentrum aufhält, das sich auf die Behandlung psychischer und psychiatrischer Erkrankungen spezialisiert, ist ein Gesundheitsdatum. Eine den Verfahrensgesetzen entsprechende Verwendung von (sensiblen) Daten ist aus datenschutzrechtlicher Sicht zulässig. Zusätzlich sind die sich aus den Bestimmungen des Art 5 Abs 1 und Art 6 Abs 1 DSGVO ergebenden Anforderungen einzuhalten und es muss eine der in Art 6 Abs 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt sein. Die strittige Datenverarbeitung muss in der Rechtsgrundlage allerdings nicht bezeichnet werden (BVwG 07.10.2024, W108 2277566-1).

·     Eine Verletzung im Recht auf Geheimhaltung knüpft an der Verarbeitung personenbezogener Daten an. Durch einen Scheinwerfer ist die Verarbeitung personenbezogener Daten schon begrifflich ausgeschlossen. Ein Schlüsseltresor dient der Aufbewahrung von Schlüsseln. Die Datenerhebung des Außentemperatursensors einer Wetterstation beschränkt sich auf die Außentemperatur. Eine Einparkhilfe bemisst den Abstand zu einem zufahrenden Auto. Durch diese Objekte besteht keine Gefahr der Datenverarbeitung und erfolgt daher auch keine Verletzung des Rechts auf Geheimhaltung. Bleibt ein Antrag in der Datenschutzbeschwerde durch die DSB unerledigt, ist die dadurch begründete Rechtswidrigkeit nicht durch die Bescheidbeschwerde, sondern durch die Säumnisbeschwerde aufzugreifen (BVwG 29.10.2024, W274 2299991-1).

·     Das datenschutzrechtliche Auskunftsrecht ist ein höchstpersönliches Recht. In höchstpersönliche Rechte eines Verstorbenen findet keine Rechtsnachfolge statt, weshalb auch die Fortsetzung des Verfahrens über solche Rechte durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Das in § 4 Abs 4 KontRegG normierte Auskunftsrecht ist eine Erweiterung des nach der DSGVO zustehenden Auskunftsrechts, weil auch über etwaige indirekte personenbezogene Daten Auskunft zu erteilen ist und über die Verweigerung dieses Auskunftsrechts mit Bescheid abzusprechen ist. Eine Rechtsnachfolge findet jedoch auch in das Auskunftsrecht nach § 4 Abs 4 KontRegG nicht statt (BVwG 10.10.2024, W177 2257566-2).

·     Nach Ansicht des BVwG könnte die Rechtsprechung des EuGH zur DSGVO in der Rs C-807/21, Deutsche Wohnen, wonach die Strafbarkeit einer juristischen Person "keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt", auf die Geldwäsche-Richtlinie übertragbar sein. Aus diesem Grund hat das BVwG beschlossen, dem EuGH entsprechende Fragen zum FM-GwG vorzulegen (BVwG 30.10.2024, W172 2296169-1). Anm: Dieses Vorabentscheidungsersuchen ist insofern überraschend, weil ein anderer Senat des BVwG dieselben Fragen dem EuGH bereits vorgelegt hat. Wir haben darüber am 08.05.2024 in der 18. Ausgabe des Schönherr Datenschutzmonitors berichtet. Die damals vorgelegten Fragen sind beim EuGH unter der Zahl C-291/24, Steiermärkische Bank und Sparkasse, weiterhin anhängig. In solchen Fällen kann das spätere Verfahren ausgesetzt werden, eine erneute Vorlage an den EuGH ist nicht erforderlich.

·     Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen. In einer erheblichen Anzahl von Verfahren ist ua die Frage anhängig, ob ein Verstoß des Auftragsverarbeiters gegen Art 32 DSGVO dem Verantwortlichen zugerechnet werden kann (BVwG 21.11.2024, W101 2284188-1).

·     Die Speicherung von DNA-Daten ist ein Eingriff ins Grundrecht auf Datenschutz. Die §§ 65 und 67 SPG regeln die (materiellen) Voraussetzungen für eine entsprechende erkennungsdienstliche Behandlung der Tatverdächtigen. Ist das einzige Verdachtsmaterial, welches den Verdächtigen belastet, das Video über den Eingangsbereich einer observierten Adresse, ist dieses Video auch dann zu sichten, wenn auf dem Observierungsvideo ca 100 verdächtige Personen zu erkennen sind. Da das Observationsvideo nicht gesichtet wurde, ist die Verwechslung des Verdächtigen dem eingeschrittenen Organ vorwerfbar und die Durchführung der erkennungsdienstlichen Behandlung (Ermittlung und Speicherung der DNA) war rechtswidrig. Die rechtswidrig erlangten DNA-Daten mögen zwar von Amts wegen zu löschen sein. Für den Antrag auf Löschung ist jedoch die DSB zuständig, sodass der Löschungsantrag vom LVwG Tirol wegen Unzuständigkeit zurückzuweisen war (LVwG Tirol 03.12.2024, LVwG-2024/12/2131-5).

·     Der Europäische Datenschutzausschuss (EDSA) hat am 03.12.2024 Leitlinien zu Art 48 DSGVO veröffentlicht. Gemäß Art 48 DSGVO dürfen Urteile oder Entscheidungen von Gerichten oder Behörden in Drittländern, die einem Verantwortlichen oder Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten auftragen, nur dann anerkannt oder vollstreckt werden, wenn sie auf ein internationales Abkommen gestützt sind. Die Leitlinien konzentrieren sich auf Anfragen, die auf eine direkte Zusammenarbeit zwischen einer Drittlandsbehörde und einer privaten Einrichtung in der Union abzielen und enthalten Empfehlungen, wie mit solchen Anfragen umzugehen ist.

Die Offenlegung oder Übermittlung von in der EU verarbeiteten Daten auf Anfrage einer Drittlandsbehörde muss den Grundsätzen des Art 5 DSGVO entsprechen und auf einer Rechtsgrundlage nach Art 6 DSGVO beruhen. Zudem muss eine Übermittlungsgrundlage nach Kapitel V vorliegen ("Zweistufentest"). Die Anfrage einer ausländischen Behörde allein ist weder eine Rechtsgrundlage noch ein Übermittlungsgrund.

Besteht eine rechtliche Verpflichtung aus einem internationalen Abkommen, auf dem die Anfrage beruht, kommt Art 6 Abs 1 lit c DSGVO als Rechtsgrundlage in Betracht. Andernfalls können andere Rechtsgrundlagen gemäß Art 6 Abs 1 DSGVO genutzt werden. Einzig Art 6 Abs 1 lit b DSGVO kann von einer privaten Stelle in der EU nicht als Rechtsgrundlage für die Beantwortung einer Anfrage herangezogen werden. Ein Verantwortlicher kann sich auch nicht auf Art 6 Abs 1 lit f DSGVO stützen, um personenbezogene Daten präventiv zu erheben und zu speichern, wenn dies nicht mit den tatsächlichen (wirtschaftlichen und kommerziellen) Aktivitäten des Unternehmens zusammenhängt.

Art 48 DSGVO ist keine Übermittlungsgrundlage. Bevor auf eine Anfrage einer Drittlandsbehörde reagiert wird, muss daher eine Übermittlungsgrundlage des Kapitel V identifiziert werden. Regelt ein internationales Abkommen die Zusammenarbeit zwischen dem Verantwortlichen oder Auftragsverarbeiter in der EU/EEA und der anfragenden Drittlandsbehörde, kann dieses Abkommen als Übermittlungsgrundlage dienen, wenn es die entsprechenden Schutzmaßnahmen gemäß Art 46 Abs 2 lit a DSGVO vorsieht. Andernfalls ist ein anderer Übermittlungsgrund des Kapitels V der DSGVO zu wählen. Anm: Zu diesen Leitlinien wurde eine öffentliche Konsultation eingeleitet. Stellungnahmen können bis zum 27.01.2025 abgegeben werden.

·     Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

·     Am 09.01.2024 wird das Urteil in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.

·     Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.

EGMR 03.12.2024, 28935/21, MSD/Rumänien

Online-Gewalt, Schadenersatz

• Der Ex-Partner einer Frau erstellte auf Facebook gefälschte Profile, um von der Frau intime Fotos zu verbreiten und sendete die Fotos auch an ihre Familie und Freunde. Weiters veröffentlichte er die Fotos der Frau mit ihrem Namen und ihrer Telefonnummer auf Websites für Escort-Services. Die Frau wurde von zahlreichen Personen wegen sexuellen Dienstleistungen kontaktiert. Als sie ihren Ex-Partner konfrontierte, wurde sie von diesem physisch und verbal aggressiv attackiert. Sie erhob Strafanzeige gegen den Ex-Partner. Die Ermittlungen zogen sich aber jahrelang hin, die Behörden handelten nur zögerlich und stellten das Verfahren schließlich ein.
  
  Der EGMR hat erwogen: Art 8 EMRK schützt das Recht auf Achtung des Privatlebens, einschließlich der körperlichen und psychischen Integrität einer Person. Der Staat hat positive Verpflichtungen, Maßnahmen zu ergreifen, um dieses Recht auch in den Beziehungen zwischen Privatpersonen zu schützen. Dies umfasst die Verpflichtung, ein wirksames rechtliches System zu schaffen und anzuwenden, das Schutz vor Gewalt bietet, einschließlich Schutz vor Online-Gewalt und Belästigung. Die Veröffentlichung intimer Fotos und die Verbreitung dieser Fotos stellten eine Form der Online-Belästigung dar, die die psychische Integrität der Frau erheblich beeinträchtigt haben. Diese Handlungen erforderten eine strafrechtliche Reaktion der nationalen Behörden. Ein zivilrechtlicher Rechtsbehelf allein ist in solchen Fällen nicht ausreichend. Das (nationale) Strafgesetzbuch in seiner damaligen Fassung bot keinen wirksamen Schutz, weil unklar war, ob die Verbreitung von Bildern, die rechtmäßig erlangt wurden, strafbar war. Die Ermittlungen der nationalen Behörden waren nicht effektiv, weil sie die Ermittlungen erst mehr als sechs Monate nach der Strafanzeige eröffneten und den Ex-Partner erst nach über einem Jahr befragten. Sie unternahmen keine ausreichenden Maßnahmen, um Beweise zu sichern oder die Frau vor weiteren Übergriffen zu schützen. Die nationalen Behörden haben ihre positiven Verpflichtungen aus Art 8 EMRK nicht erfüllt.
  
  Die Feststellung des Verstoßes gegen Art 8 EMRK genügt für den Ausgleich des erlittenen immateriellen Schadens nicht, weshalb der Frau ein Schadenersatz iHv EUR 7.500 zuzusprechen ist.

• Durch das Wr AuskunftspflichtG wird ein "Recht auf Information" gesetzlich eingeräumt. Mit der Pflicht der Behörde korrespondiert ein subjektiv öffentliches Recht des Auskunftswerbers. Dem Wr AuskunftspflichtG liegt ein Regel-Ausnahme-Prinzip zu Grunde, wonach grundsätzlich eine Auskunft zu erteilen ist. Eine Ausnahme ist zB, wenn der Auskunftserteilung gesetzliche Verschwiegenheitspflichten Eine pauschale Verweigerung der Auskunft über eine Mehrzahl von Verwaltungsvorgängen kann mit Verschwiegenheitspflichten hinsichtlich einzelner dieser Vorgänge nicht begründet werden. Vergaberechtliche Vertraulichkeitspflichten derogieren nationalen Rechtsvorschriften betreffend den Zugang zu Informationen nicht. An der Offenlegung der Information, mit wem die Stadt Wien städtebauliche Verträge schließt, besteht ein hohes öffentliches Interesse, um im Sinne eines "social watchdog" allfällige wirtschaftliche bzw politische Verflechtungen einer öffentlichen Debatte zuführen zu können. Der Datenschutz steht der Offenlegung dieser Information daher nicht entgegen (VwGH 24.10.2024, Ra 2023/05/0006).

OGH 13.11.2024, 15Os51/24z

Persönlichkeitsrecht, Identifizierbarkeit

• Ein Medienunternehmen berichtete mehrfach über den Einsturz einer Brücke auf den Philippinen, bei dem eine schwangere Frau auf ihrer Hochzeitsreise ihren Ehemann verlor. Aufgrund zahlreicher berichteter Details war die Frau identifizierbar. Die Frau klagte auf Entschädigung nach § 7 Abs 1 MedienG, weil die Berichte ihre Privatsphäre verletzt hätten. Das LG Graz gab der Klage statt, das OLG Graz bestätigte das Urteil. Daraufhin beantragte das Medienunternehmen beim OGH die Erneuerung des Verfahrens mit Verweis auf die Meinungsfreiheit gemäß Art 10 Abs 1 EMRK. Der OGH wies den Antrag zurück.
  
  Der OGH hat erwogen: Der Erneuerungsantrag zeigt keine Begründungsmängel oder erhebliche Zweifel an der Identifizierbarkeit der Frau auf. Die Schwangerschaft, die einen die Gesundheitssphäre betreffenden Umstand darstellt, gehört zum höchstpersönlichen Lebensbereich iSd § 7 Abs 1 MedienG der Frau, weil die Hochzeit innerhalb eines begrenzten Personenkreises, daher nicht in einer medialen oder sonst vergleichbar großen Öffentlichkeit stattfand. Die Frau hat ihre Schwangerschaft und sonstige Umstände des Unfalls und ihres Privat- und Familienlebens auch nicht auf andere Weise selbst in die mediale oder sonst große Öffentlichkeit getragen.
  
  Berichterstattungen über für eine begrenzte Öffentlichkeit sichtbare oder bekannte Umstände können bloßstellend sein, wenn sie den Betroffenen gegenüber einer grenzenlosen Öffentlichkeit als außergewöhnlich bedauernswert hinstellen, emotionsgeladen und unerwünschtes Mitleid heischend gestaltet sind.

• Die Weigerung eines Hauseigentümers, unter anderem aus datenschutzrechtlichen Gründen, seinen analogen Stromzähler auf einen Smartmeter umzustellen, berechtigt einen Netzbetreiber nicht, mittels Androhung der Stromabschaltung den Stromzählertausch zu erzwingen. Gegen die Androhung der Stromabschaltung steht einem Hauseigentümer eine einstweilige Verfügung gegen den Netzbetreiber zu. Dem Netzbetreiber steht es aber offen, selbst gerichtliche Hilfe bei der Durchsetzung seines Interesses auf Tausch des Stromzählers in Anspruch zu nehmen (OGH 28.10.2024, 3Ob191/24w).
  
  
• Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 06.11.2024, 6Ob195/24f).

BVwG 11.11.2024, W298 2295931-1

Säumnis, Kohärenzverfahren

• Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Geheimhaltung. Die DSB setzte das Verfahren bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde aus. Der Betroffene erhob eine Bescheidbeschwerde gegen diesen Aussetzungsbescheid, weil er die Zuständigkeit der DSB annahm. Das BVwG hob den Aussetzungsbescheid auf, weil keine zu lösende Vorfrage vorlag, die ein Aussetzen des Verfahrens rechtfertigen würde. Der Betroffene erhob in Folge eine (erfolglose) Säumnisbeschwerde, weil die DSB nicht innerhalb der sechsmonatigen Entscheidungsfrist über seine Datenschutzbeschwerde entschieden habe. Die DSB wendete ein, dass die Entscheidungsfrist aufgrund des weiterhin laufenden Verfahrens gemäß Art 56 DSGVO gehemmt sei.
  
  Das BVwG hat erwogen: Gemäß § 8 Abs 1 VwGVG beginnt die Entscheidungsfrist der Behörde von sechs Monaten in dem Zeitpunkt zu laufen, in dem der Antrag auf Sachentscheidung bei der zuständigen Stelle eingelangt ist. Das Verfahren über eine Datenschutzbeschwerde im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung besteht aus drei Phasen. In einem ersten Schritt werden die beteiligten Aufsichtsbehörden und ihre jeweilige Rolle als federführende oder betroffene Aufsichtsbehörde bestimmt, wobei sie der allgemeinen Kooperationspflicht gemäß Art 51 Abs 2 S 2 DSGVO unterliegen. In einem zweiten Schritt führt die federführende Aufsichtsbehörde das Kohärenzverfahren nach Art 60 DSGVO durch und fasst über die Beschwerde einen verbindlichen Beschluss. Im letzten Schritt wird gemäß Art 60 Abs 8 DSGVO dieser Beschluss von der Aufsichtsbehörde, bei der die Beschwerde eingebracht worden ist, erlassen.
  
  Nach § 73 AVG ist über einen Antrag, hier die Datenschutzbeschwerde, ohne unnötigen Aufschub, spätestens aber sechs Monate nach Einlangen dieses Antrags zu entscheiden. Nicht in diese Entscheidungsfrist eingerechnet werden Zeiten während des Verfahrens zur Feststellung der federführenden Aufsichtsbehörde sowie eines Kohärenzverfahrens. Die Entscheidungsfrist wird gehemmt. Die sechsmonatige Entscheidungsfrist kann daher noch nicht abgelaufen sein.

• Gemäß § 8 Abs 1 VwGVG kann eine Säumnisbeschwerde erst erhoben werden, wenn die Behörde die Sache nicht innerhalb von sechs Monaten entschieden hat. Der Säumnisbeschwerde ist stattzugeben, wenn die Verzögerung auf ein überwiegendes Verschulden der Behörde zurückzuführen ist. Ein überwiegendes Verschulden der Behörde liegt dann vor, wenn diese die für eine zügige Verfahrensführung notwendigen Schritte unterlässt oder mit diesen grundlos zuwartet. Das BVwG kann sich jedoch gemäß § 28 Abs 7 VwGVG in seinem Erkenntnis auf die Entscheidung einzelner maßgeblicher Rechtsfragen beschränken und der Behörde auftragen, den versäumten Bescheid unter Zugrundelegung der festgelegten Rechtsanschauung des BVwG binnen acht Wochen zu erlassen (kondemnatorische Entscheidung; BVwG 18.11.2024, W137 2297602-1).
  
  
• Eine Bescheidbeschwerde gegen ein Straferkenntnis der DSB hat gewisse Punkte aufzuweisen, ua die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt (§ 9 Abs 1 VwGVG). Mängel im schriftlichen Anbringen berechtigten jedoch nicht zur Zurückweisung, sondern es ist ein Mangelbehebungsauftrag zu erteilen. Wird dem Mangelbehebungsauftrag nicht entsprochen, ist die Bescheidbeschwerde zurückzuweisen. Für das Verfahren vor dem BVwG sind im Fall der Zurückweisung der Bescheidbeschwerde keine Verfahrenskosten zu entrichten (BVwG 11.11.2024, W298 2296786-1).
  
  
• Beschränkt sich die DSB trotz strittig gebliebener Tatsachenbehauptungen auf den Austausch wechselseitiger Stellungnahmen, ist das einem Unterlassen jeglicher erforderlichen Ermittlungstätigkeit Die von der DSB durchgängig geübte Praxis, die Ermittlungen trotz strittiger Tatsachenbehauptungen auf das Austauschen von schriftlichen Stellungnahmen zu beschränken, ist ein "nach-oben-Delegieren" der Ermittlungen an das BVwG. Der Bescheid ist daher zu beheben und an die DSB zur neuerlichen Entscheidung zurückzuverweisen (BVwG 18.11.2024, W274 2291293-1).
  
  
• Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 10.2024, I406 2299747-1; 07.11.2024, I411 2300073-1).
  
  
• Das Grundrecht auf Datenschutz ist im Verfahren über die Festsetzung des ORF-Beitrags nicht präjudiziell, weshalb allfällige datenschutzrechtliche Bedenken der Festsetzung des ORF-Beitrags nicht entgegenstehen (BVwG 02.12.2024, L521 2298795-1).

• Zur Erleichterung der grenzüberschreitenden elektronischen Identifizierung erließ die Europäische Kommission fünf Durchführungsverordnungen betreffend die "europäische Brieftasche" gemäß Art 5a der eIDAS-VO. Am 12.2024 wurden die DurchführungsVO 2024/2977, ABl L 2024/2977, 1; die DurchführungsVO 2024/2979, ABl L 2024/2979, 1; die DurchführungsVO 2024/2980, ABl L 2024/2980, 1; die DurchführungsVO 2024/2981, ABl L 2024/2981, 1; die DurchführungsVO 2024/2982, ABl L 2024/2982, 1, kundgemacht. Diese fünf DurchführungsVO enthalten Vorschriften hinsichtlich der europäischen Brieftasche: Personenidentifizierungsdaten und elektronische Attributsbescheinigungen (DurchführungsVO 2024/2977); Integrität und Kernfunktionen (DurchführungsVO 2024/2979); Notifizierungen an die Kommission (DurchführungsVO 2024/2980); Zertifizierung der EU-Brieftasche (DurchführungsVO 2024/2981) sowie Protokolle und Schnittstellen (DurchführungsVO 2024/2982).
  
  
• Am 02.12.2024 wurde die "Durchführungsverordnung (EU) 2024/2956 der Kommission vom 29. November 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister", ABl L 2024/2956, 1, kundgemacht. Finanzunternehmen haben im Rahmen des IKT-Risikomanagements ein Informationsregister über die Nutzung von IKT-Drittdienstleister zu führen. Die DurchführungsVO 2024/2956 legt Standards für die Führung dieses Informationsregisters fest.
  
  
• Am 03.12.2024 wurde die "Durchführungsverordnung (EU) 2024/2984 der Kommission vom 29. November 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Formulare, Formate und Mustertexte für die Kryptowerte-Whitepaper", ABl L 2024/2984, 1, kundgemacht. Personen, die Kryptowerte-Whitepaper erstellen, haben die in dieser DurchführungsVO vorgeschriebenen Informationen bereitzustellen.

• Am 05.12.2024 wurde die Telekommunikationsgebührenverordnung 2025 (TKGV 2025), BGBl II 2024/356, kundgemacht. In der TKGV 2025 werden Gebühren im Bereich der Telekommunikation, insb für die Nutzung von Funkfrequenzen, festgelegt.

• Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
  
  
• Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

EGMR 28.11.2024, 31091/16, Csikos/Ungarn

Telefonüberwachung, Journalismus

• Im Zuge verdeckter Ermittlungen gegen einen Polizeibeamten sollen Telefongespräche zwischen ihm und einer Journalistin abgehört worden sein. Die Abhörmaßnahmen wurden auf eine Bestimmung des ungarischen Polizeigesetzes gestützt, die in dringenden Ausnahmefällen eine Überwachungsmaßnahme ohne vorherige Genehmigung eines Richters erlaubte. Die Überwachungsmaßnahme sei jedoch nicht, wie gesetzlich vorgesehen, nachträglich von einem Richter genehmigt worden, die Daten der Journalistin seien nicht gelöscht worden und sie sei auch nicht benachrichtigt worden. Nachdem sich die Journalistin, die eine Offenlegung ihrer journalistischen Quellen befürchtete, erfolglos an mehrere Behörden wandte, beschwerte sie sich schließlich beim EGMR über das Abhören ihrer Telefongespräche. Der EGMR stellte eine Verletzung des Art 8 und 10 EMRK fest und sprach der Journalistin eine Entschädigung iHv EUR 6.500 zu.
  
  Der EGMR hat erwogen: Das Abhören von Telefongesprächen ist ein Eingriff in das Recht auf Achtung des Privat- und Familienlebens. Ein solcher Eingriff ist nur dann zulässig, wenn er gesetzmäßig ist, eines oder mehrere der in Art 8 Abs 2 EMRK genannten Ziele verfolgt und in einer demokratischen Gesellschaft erforderlich ist.
  
  Das Kriterium der Erforderlichkeit setzt angemessene und wirksame Schutzmaßnahmen gegen Missbrauch voraus. Der Schutz journalistischer Quellen zählt zu den tragenden Säulen der Pressefreiheit und ist ein hohes Gut in einer Demokratie. Die involvierten Behörden befassten sich mit der Beschwerde der Journalistin nur peripher. Auf die Frage, ob das Abhören der Telefongespräche stattfand und wenn ja, ob dieses im Hinblick auf die journalistische Tätigkeit rechtmäßig erfolgte, gingen die Behörden nicht ein.
  
  Die einschlägige Bestimmung im ungarischen Polizeigesetz differenzierte nicht danach, ob eine Überwachung vertrauliche journalistische Quellen betrifft oder nicht. Auch verlangte die Bestimmung keine Abwägung der mit der Anwendung geheimer Überwachungsmaßnahmen verfolgten Ziele gegen die Folgen des Abhörens des Telefons eines Journalisten. Im Ergebnis waren keine ausreichenden Verfahrensgarantien vorhanden, damit die Journalistin den angeblichen Einsatz geheimer Überwachung zur Ermittlung ihrer journalistischen Quellen wirksam anfechten hätte können.

EuGH 28.11.2024, C-169/23, Masdi

Informationspflicht, Ausnahme, Datenquelle, Datengenerierung

• Eine Betroffene erhielt von einer ungarischen Behörde ein Covid-19-Immunitätszertifikat, ohne über die Datenverarbeitung informiert zu werden. Die Behörde berief sich auf die Ausnahme von der Informationspflicht nach Art 14 Abs 5 lit c DSGVO, weil sie die Daten, basierend auf einer ungarischen Verordnung, von einer anderen Stelle erhalten habe. Das vorlegende Gericht stellte dem EuGH mehrere Fragen zu dieser Ausnahme von der Informationspflicht.
  
  Der EuGH hat erwogen: Art 14 DSGVO bestimmt, welche Informationen der Verantwortliche der Betroffenen zur Verfügung stellen muss, wenn die personenbezogenen Daten nicht bei dieser erhoben wurden. Art 14 Abs 5 lit c DSGVO sieht eine Ausnahme von der Informationspflicht vor, sofern die Erlangung oder Offenlegung von Informationen durch Rechtsvorschriften der Union oder der Mitgliedstaaten, die geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsehen, ausdrücklich geregelt sind.
  
  Die Ausnahmeregelung des Art 14 Abs 5 lit c DSGVO betrifft unterschiedslos alle personenbezogenen Daten, die der Verantwortliche nicht unmittelbar bei der Betroffenen erhoben hat. Dies gilt unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der Betroffenen erlangt hat oder er die Daten selbst im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.
  
  Eine Beschwerde nach Art 77 Abs 1 DSGVO kann auf eine Verletzung der Informationspflicht durch den Verantwortlichen gestützt werden, die sich aus der Nichtbeachtung der Voraussetzungen für die Anwendung der in Art 14 Abs 5 lit c DSGVO vorgesehenen Ausnahme ergibt. Die Aufsichtsbehörde muss prüfen, ob nationales Recht oder Unionsrecht die Datenverarbeitung erlaubt und ein gleichwertiges Schutzniveau wie Art 14 Abs 1 bis 4 DSGVO gewährleistet. Die Regelungen müssen klar sein und den Betroffenen ermöglichen, ihre Rechte wahrzunehmen. Insb müssen diese Vorschriften die Quelle angeben, aus der die Betroffenen Informationen über die Datenverarbeitung erhalten.
  
  Im Rahmen eines Beschwerdeverfahrens darf die Aufsichtsbehörde daher prüfen, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art 32 DSGVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.

EuGH 28.11.2024, C-80/23, Ministerstvo

DSRL-PJ 2016/680, biometrische und genetische Daten

• Zur Beantwortung eines Vorabentscheidungsersuchens entschied der EuGH, dass die Erhebung von biometrischen und/oder genetischen Daten von Beschuldigten im Rahmen eines Strafverfahrens auch zwangsweise zulässig ist, sofern das nationale Recht nachgelagert eine wirksame gerichtliche Kontrolle der Bewilligung zur Erhebung dieser Daten gewährleistet. Das nationale Gericht hat insb zu prüfen, ob die Beurteilung der "unbedingten Erforderlichkeit" der Erhebung sowohl biometrischer als auch genetischer Daten der Betroffenen durch die zuständige Behörde sichergestellt ist (EuGH 26.01.2023, C‑205/21, Ministerstvo na vatreshnite).
  
  Im Rahmen des nationalen Verfahrens, auf dem dieses Urteil beruhte, legte das zuständige bulgarische Gericht weitere Fragen zur Vorabentscheidung vor.
  
  Der EuGH hat erwogen: Die zuständige Behörde muss die unbedingte Erforderlichkeit der Erhebung der biometrischen und genetischer Daten überprüfen und nachweisen. Das nationale Gericht kann die Einhaltung dieser Verpflichtung nicht sicherstellen, weil es Sache der zuständigen Behörde ist, die nach Art 10 Richtlinie 2016/680 (DSRL-PJ) erforderliche Beurteilung vorzunehmen. Nationale Rechtsvorschriften, die keine Verpflichtung der zuständigen Behörde vorsehen, die unbedingte Erforderlichkeit der Erhebung biometrischer und genetischer Daten zu überprüfen und nachzuweisen, verstoßen gegen Art 10 der DSRL-PJ. Anm: Die Zusammenfassung der Schlussanträge kann in der 24. Ausgabe des Schönherr Datenschutzmonitors vom 19.06.2024 nachgelesen werden.

Aus der Rechtsprechung des VwGH:

• Bei Gefahr in Verzug darf die DSB eine Datenverarbeitung mit Mandatsbescheid untersagen (§ 22 Abs 4 DSG iVm § 57 Abs 1 AVG). Gegen den Mandatsbescheid kann Vorstellung bei der DSB erhoben werden. Prozessgegenstand des Vorstellungsverfahrens ist der Mandatsbescheid, der durch den Vorstellungsbescheid ersetzt wird. Die Formulierung "wie noch im Detail ausgeführt wird" in der Amtsrevision der DSB genügt dem Erfordernis nicht, die Zulässigkeitsbegründung der Revision gesondert auszuführen (VwGH 31.10.2024, Ra 2022/04/0145).

BVwG 13.09.2024, W298 2274626-1

reCAPTCHA, Cookies, berechtigtes Interesse

• Auf einer Parteiwebsite verwendeten zwei Websitebetreiber den Google-Dienst reCAPTCHA. Verwendet wurde eine "unsichtbare" Version von reCAPTCHA, die auf einer Website nicht gleich erkannt werden kann. Das Cookie blieb für die Unterseiten der Website aktiv, auch wenn es beim Öffnen der Website deaktivierte wurde. Über die weitere Verwendung des Cookies wurde auf der Website nicht informiert und auch keine Einwilligung eingeholt. Ein Websitebesucher fühlte sich durch diese Websiteeinstellungen in seinem Recht auf Geheimhaltung verletzt und brachte eine erfolgreiche Datenschutzbeschwerde bei der DSB ein. Dagegen erhoben die Websitebetreiber Bescheidbeschwerde an das BVwG, welches diese abwies.
  
  Das BVwG hat erwogen: Der Betrieb einer Website ist ein Dienst der Informationsgesellschaft gemäß § 3 Z 1 ECG und Art 4 Z 25 DSGVO. IP-Adressen sind unabhängig davon, ob sie dynamisch oder statisch sind, personenbezogene Daten. Sobald mit zusätzlichen Daten die Identifizierung eines Nutzers ermöglicht wird, liegt ein Personenbezug gemäß Art 4 Z 1 DSGVO vor. Das von reCAPTCHA gesetzte Cookie ermöglicht die Identifizierbarkeit eines Nutzers und ermöglicht es, Besucher einer Website zu unterscheiden. Durch die übermittelten Informationen kann von Nutzern ein "digitaler Fingerabdruck" generiert werden.
  
  Der Begriff "Verantwortlicher" in Art 4 Z 7 DSGVO ist weit definiert und erfasst jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Mehrere Akteure können auch gemeinsam für eine Datenverarbeitung verantwortlich sein. Eine Person, die aus Eigeninteresse auf die Zwecke und Mittel der Verarbeitung Einfluss nimmt, kann Verantwortliche sein.
  
  Die Websitebetreiber betreiben die Website zum Zweck, andere Menschen über die Partei zu informieren und um weitere Parteimitglieder zu rekrutieren. Sie nehmen dabei aus Eigeninteresse auf die Verarbeitungen personenbezogener Daten Einfluss und legen die Mittel der Verarbeitung fest. Zusätzlich sind beide Websitebetreiber im Impressum als Medieninhaber nach § 25 MedienG genannt.
  
  Eine Einwilligung ist jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Die Einwilligung für die Speicherung von Cookies muss mit einem aktiven Verhalten erfolgen und darf nicht vermutet werden. Wenn eine echte Wahlfreiheit fehlt, ist die Einwilligung nicht freiwillig. Wenn Websitebesucher nicht über die Verwendung von reCAPTCHA informiert werden, können sie in die Datenverarbeitung nicht wirksam einwilligen.
  
  Die Verarbeitung personenbezogener Daten gemäß Art 6 Abs 1 lit f DSGVO ist zulässig, sofern sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen, nicht überwiegen.
  
  Ein berechtigtes Interesse kann nur dann vorliegen, wenn der Verantwortliche den Betroffenen über das verfolgte Interesse informiert hat. Da dies nicht erfolgte, war die Datenverarbeitung rechtswidrig.
  
  Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, sind für den Betrieb einer Website technisch nicht erforderlich, weshalb kein berechtigtes Interesse zur Nutzung besteht und eine ausdrückliche Einwilligung des Websitebesuchers einzuholen gewesen wäre.

BVwG 05.09.2024, W211 2291307-1

Smart Meter, Vertragserfüllung, Koppelungsverbot, Transparenz

• Ein Hausbewohner fühlte sich durch den Einbau eines digitalen Stromzählers (Smart Meter) in seinem Recht auf Geheimhaltung verletzt. Dagegen brachte er Datenschutzbeschwerde bei der DSB ein. Der Hausbewohner brachte vor, der Smart Meter verarbeite permanent bei systemerhaltenden oder systemüberwachenden Tätigkeiten Daten. Dies sei vom – vor längerer Zeit abgeschlossenen – Nutzungsvertrag nicht gedeckt. Der Vertragszweck könne auch durch einen analogen Stromzähler erreicht werden. Der Netzbetreiber stützte sich auf die Vertragserfüllung und konfigurierte den Smart Meter entsprechend dem Wunsch des Hausbewohners in der "Opt-Out"-Konfiguration, bei der nur einmal im Jahr der Stromverbrauch abgelesen wird.
  
  Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass es sich bei Einbau und Inbetriebnahme eines Smart Meters mit "Opt-Out"-Konfiguration um keine Datenverarbeitung handelt. Dagegen erhob der Hausbewohner (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Entsprechend dem Netznutzungsvertrag, der als Grundlage für die Verarbeitung der Daten dient, kann der Netzbetreiber selbst entscheiden, welche Art von Stromzähler er einsetzt. Der Stromverbrauch wird sowohl bei einem Smart Meter in der "Opt-Out"-Konfiguration als auch bei einem analogen Stromzähler einmal im Jahr ausgelesen. Das Auslesen des Verbrauchs erfolgt beim Smart Meter extern und bei einem analogen Gerät vor Ort. Die jährliche Übermittlung des Zählerstands dient zur Erfüllung des Netznutzungsvertrags gemäß Art 6 Abs 1 lit b DSGVO und ist dadurch gerechtfertigt. Der Einbau und auch die Inbetriebnahme eines Smart Meters sind keine Datenverarbeitungen. Eine Verletzung des Koppelungsverbots kann mangels einer eingeholten Einwilligung nicht vorliegen.
  
  Informationen zu den einzelnen Funktionen des Routers oder zu gesundheitlichen Gefahren durch den Smart Meter sind keine zu erteilenden Informationen nach Art 13 DSGVO. Die Nichtaushändigung der Bedienungsanleitung eines Smart Meters kann nicht nach der DSGVO gerügt werden und ist keine Verletzung des Transparenzgebots.

BVwG 17.09.2024, W298 2295130-1

Geldbuße, Mitwirkung, Selbstbezichtigung

• Die DSB forderte eine im Bereich der Personalservice tätige Gesellschaft in einem Verwaltungsverfahren zur Mitwirkung Die Gesellschaft beantwortete die behördliche Aufforderung trotz nachweislicher Zustellung nicht. Weiters wirkte sie auch im anschließenden Verwaltungsstrafverfahren an der Aufklärung des Tathergangs nicht mit. Darüber hinaus machte sie keine Angaben zu ihren Einkommens- und Vermögensverhältnissen.
  
  Die DSB verhängte wegen Verletzung der Mitwirkungspflicht gemäß Art 31 DSGVO eine Geldstrafe iHv EUR 1.500. Aufgrund der Bescheidbeschwerde der Gesellschaft setzte das BVwG diese Geldstrafe auf EUR 500 herab.
  
  Das BVwG hat erwogen: Eine Verletzung der Mitwirkungspflicht liegt vor, wenn die Aufforderung zur Stellungnahme der DSB nicht rechtzeitig, fristgerecht oder innerhalb einer angemessenen Frist beantwortet wird, ohne dass ein bestimmter Erfolg erforderlich ist. Die Bestimmung des Art 31 DSGVO legt dem Verantwortlichen verwaltungsverfahrensrechtliche Kooperationslasten auf. Die Vorschrift drängt den Amtsermittlungsgrundsatz ein Stück weit zurück. Neben der Pflicht zur Kooperation verlangt sie dem Adressaten ein aktives Tun ab.
  
  Der Grundsatz der Selbstbelastungsfreiheit ist nicht verletzt, solange mit einer Information kein unmittelbares Schuldeingeständnis verbunden ist. Die Mitwirkungspflicht begründet keinen Verstoß gegen Art 6 EMRK (nemo tenetur Prinzip), weil die initiale Ermittlung des Sachverhalts in einem vorgelagerten datenschutzrechtlichen Verfahren erfolgt. Weiters liegt ein Verstoß gegen Art 6 EMRK nur dann vor, wenn eine Selbstauskunft die Gefahr einer (verwaltungs-)strafrechtlichen Verfolgung birgt und einer Selbstbezichtigung gleichkommt. Das Verweigern jeglicher Kommunikation mit der DSB ist damit vor allem iZm dem Verhältnismäßigkeitsgrundsatz des Art 52 Abs 1 S 2 GRC und der Eignung, Erforderlichkeit und Angemessenheit der konkreten Frage nicht umfasst.
  
  Gemäß Art 58 Abs 2 lit i DSGVO sind Aufsichtsbehörden befugt, eine Geldbuße gemäß Art 83 DSGVO "zusätzlich zu oder anstelle von" anderen in Art 58 Abs 2 DSGVO genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Darüber hinaus ist es Aufsichtsbehörden gestattet, im Fall eines geringfügigeren Verstoßes, oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen. Jedoch kann das gänzliche Unterlassen jeglicher Mitwirkung an der Aufklärung eines Sachverhalts nicht als geringfügiger Verstoß angesehen werden.
  
  Die Strafe scheint in Anbetracht dessen, dass die Schuld als gering anzusehen ist und die Gesellschaft den Aufforderungen der Behörde schließlich doch, wenn auch erheblich verspätet, nachgekommen ist, in der vorgesehenen Höhe nicht zweckmäßig. Es handelte sich auch um den ersten einschlägigen Verstoß der Gesellschaft.

BVwG 30.09.2024, W108 2285483-1

Geldbuße, Videoüberwachung, Kennzeichnung

• Die DSB erhielt eine anonyme Anzeige, dass ein Restaurantbetreiber an der straßenseitigen Fassade Kameras installiert habe, welche den öffentlichen Straßenraum filmten. Die DSB leitete daraufhin ein amtswegiges Prüfverfahren gegen den Restaurantbetreiber ein. Der Restaurantbetreiber gab an, die Kameras wegen wiederholter Fensterschäden angebracht zu haben, und legte Unterlagen iZm Einbrüchen und Sachschäden vor. Die DSB stellte einen Verstoß gegen die DSGVO fest und leitete ein Verwaltungsstrafverfahren ein. Die DSB stellte mit Straferkenntnis fest, dass die Kameras öffentliche Straßen erfassten und damit unrechtmäßig personenbezogene Daten verarbeitet wurden. Weiters stellte die DSB einen Verstoß gegen die Informationspflichten gemäß Art 13 DSGVO fest, weil die Kameras nicht gekennzeichnet waren. Aufgrund dieser Verstöße wurde eine Geldstrafe iHv EUR 4.125 verhängt. Über Bescheidbeschwerde des Restaurantbetreibers setzte das BVwG die Geldstrafe auf EUR 1.000 herab.
  
  Das BVwG hat erwogen: Der Restaurantbetreiber brachte ein rechtfertigendes Interesse iSd Art 6 Abs 1 lit f DSGVO vor, weil die Überwachung dem Schutz des Eigentums dienen sollte. Allerdings war der Aufnahmebereich der Kameras überschießend groß gewählt, weil der Kamerawinkel so hätte eingestellt werden können, dass ein kleinerer Bereich des öffentlichen Raums erfasst wird. Da die Geheimhaltungsinteressen der Betroffenen – der zufällig am Restaurant vorbeikommenden Verkehrsteilnehmer – überwiegen, kann sich der Restaurantbetreiber nicht auf Art 6 Abs 1 lit f DSGVO stützen. Der Restaurantbetreiber hat, entgegen seiner Annahme, durch die Videoüberwachung personenbezogene Daten erhoben. Ein an der Glastür des Restaurants angebrachter Hinweisaufkleber über die Videoüberwachung ändert nichts an der Unzulässigkeit der Datenverarbeitung und entspricht zudem nicht den Informationspflichten gemäß Art 12 und 13 DSGVO.
  
  Die Strafbemessung ist eine Einzelfallentscheidung, bei der die Bewertungskriterien des Art 83 Abs 2 DSGVO zu berücksichtigen sind. Da die Videoüberwachung einen erheblichen Teil des öffentlichen Grunds umfasste, handelt es sich jedenfalls um eine erhebliche Anzahl der von der Verarbeitung Betroffenen. Allerdings erstreckte sich der Zeitraum der Überwachung auf weniger als einen Monat und den Betroffenen entstand kein konkreter Schaden. Weiters ist zu berücksichtigen, dass ein (wenn auch unzureichender) Hinweis über die Videoüberwachung vorhanden war. Da der Restaurantbetreiber bisher unbescholten war und Einsicht zeigte, sich nicht ganz rechtskonform verhalten zu haben, ist eine Geldstrafe iHv EUR 1.000 schuld- und tatangemessen.

BVwG 17.10.2024, W274 2291368-1

Datenschutzbehörde, AuskunftspflichtG, amtswegige Verfahren

• Eine Lehrerin stellte fest, dass ihre personenbezogenen Daten in einer von der Verantwortlichen angebotenen App verarbeitet wurden. Daraufhin erhob die Lehrerin eine Datenschutzbeschwerde bei der DSB und machte eine Verletzung der Informationspflichten gemäß Art 14 DSGVO geltend. Die Verantwortliche berief sich auf den Ausnahmetatbestand des Art 14 Abs 5 lit b DSGVO, weil die unmittelbare Kontaktaufnahme mit sämtlichen Lehrern einen unverhältnismäßigen Aufwand erfordern würde. Zudem habe sie die Datenschutzerklärung in der App und auf ihrer Website öffentlich zugänglich gemacht.
  
  Die DSB wies die Datenschutzbeschwerde ab, weil alle festgestellten Mängel im Verlauf des Verfahrens behoben worden seien. Der objektive Verstoß gegen Art 14 DSGVO sei in einem amtswegigen Prüfverfahren gemäß Art 58 Abs 1 lit b DSGVO aufzugreifen. Nachdem das BVwG die von der Lehrerin eingebrachte Bescheidbeschwerde abwies, erhob die Lehrerin gegen das Erkenntnis des BVwG eine ordentliche Revision. Nach einer Revisionsbeantwortung der DSB, in welcher erneut auf die amtswegige Prüfung gemäß Art 58 Abs 1 lit b DSGVO hingewiesen wurde, stellte die Lehrerin eine Anfrage an die DSB. Sie wollte wissen, ob wegen des Verstoßes gegen Art 14 DSGVO ein amtswegiges Prüfverfahren oder ein Verwaltungsstrafverfahren eingeleitet wurde und welche Ergebnisse bislang vorlagen.
  
  Die DSB verweigerte die Auskunft mit der Begründung, dass der Verfasser einer Meldung oder eine dritte Person keine Parteistellung in einem amtswegigen Prüf- oder Verwaltungsstrafverfahren habe und daher nicht über den Ausgang solcher Verfahren unterrichtet werde. Nachdem die Lehrerin die Erlassung eines Bescheids gemäß § 4 Auskunftspflichtgesetz (AuskunftspflichtG) beantragte, entschied die DSB in ihrem Bescheid, dass kein berechtigtes Interesse der Lehrerin an der begehrten Auskunft vorliege und das Geheimhaltungsinteresse der Verantwortlichen überwiege. Daher wurde die Auskunft verweigert. Gegen diesen Bescheid erhob die Lehrerin eine (teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Behörden des Bundes sind gemäß § 1 AuskunftspflichtG verpflichtet, über Angelegenheiten ihres Wirkungsbereichs Auskunft zu erteilen, sofern dem keine gesetzliche Verschwiegenheitspflicht entgegensteht. Bei Auskunftsersuchen von Personen, die nicht Partei eines Verfahrens sind, ist eine Interessenabwägung mit dem Recht auf Geheimhaltung gemäß § 1 DSG vorzunehmen. Dabei muss das Interesse des Auskunftswerbers an der Auskunftserteilung das Interesse des im Verfahren Beschuldigten an der Geheimhaltung überwiegen. Dem Interesse der Lehrerin, nähere Auskunft über amtswegige Prüf- und/oder Verwaltungsstrafverfahren zu erhalten, steht das Geheimhaltungsinteresse der Verantwortlichen gegenüber.
  
  Für die Lehrerin sind diese Auskünfte auch im Hinblick auf mögliche weitergehende Ansprüche, wie Unterlassungs- oder Schadenersatzansprüche, relevant. Berücksichtigt man den Umstand, dass die DSB der Lehrerin selbst Hinweise auf mögliche Umstände lieferte, die für die Einleitung eines amtswegigen Prüfverfahrens und eines Verwaltungsstrafverfahrens sprechen könnten, überwiegt das Interesse der Lehrerin an der Beantwortung der Fragen, ob derartige Verfahren eingeleitet wurden, gegenüber dem Interesse der Verantwortlichen. Die Bekanntgabe, ob ein Verfahren eingeleitet wurde, ist keine wesentliche Gefahr für eine öffentliche Diskreditierung.
  
  Über Ergebnisse der Verfahren dürfen hingegen keine Informationen offengelegt werden, wenn die jeweiligen Verfahren noch nicht abgeschlossen sind. Zudem kämen Informationen über Ergebnisse der Verfahren einer Akteneinsicht gleich, die ausschließlich Verfahrensparteien vorbehalten ist.

• Solange Werbemittel in noch unbefüllte, unetikettierte Kartons oder Kuverts zB auf einer Packstraße eines Versandhändlers beigelegt werden, findet keine Datenverarbeitung statt ("Beipackwerbung"). Dasselbe gilt auch für das Beilegen von Werbemitteln nach dem Befüllen mit der zu versendenden Ware, sofern das Werbemittel allen und nicht nur einer vorselektierten Auswahl von Adressaten beigelegt wird. Eine Datenverarbeitung findet jedoch statt, wenn die Empfänger des beizulegenden Werbematerials aufgrund einer bestimmten Information über diese Empfänger ausgewählt werden (BVwG 16.10.2024, W287 2258171-1).
  
  
• Die Daten des Begünstigten eines Sanierungsverfahrens dürfen von einer Kreditauskunftei so lange aufbewahrt werden, bis sie in der Insolvenzdatei gemäß § 256 IO öffentlich publiziert sind. Danach sind solche Daten des Begünstigten von der Kreditauskunftei zu löschen, weil die weitere Verarbeitung dieser Daten die Verwirklichung des Ziels, dem Begünstigten zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, gefährden würde (BVwG 05.11.2024, W292 2247063-1).
  
  
• Die Voraussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem Grundsatz der "Datenminimierung" zu prüfen, der verlangt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind (BVwG 13.09.2024, W298 2277035-1).
  
  
• Das Recht auf Geheimhaltung iSd § 1 Abs 1 DSG kann auch im Zuge einer nichtautomatisierten Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen (dh außerhalb des Anwendungsbereich der DSGVO), verletzt werden. Die Entgegennahme eines Einschreibens durch einen Auftragsverarbeiter, mit dem eine Vereinbarung zur Auftragsverarbeitung geschlossen wurde, ist jedoch rechtmäßig (BVwG 23.09.2024, W274 2286029-1).
  
  
• Der Datenschutz für bereits veröffentlichte Daten unterscheidet sich grundsätzlich nicht vom Schutzumfang von sonstigen personenbezogenen Daten. Die Veröffentlichung einer Stellungnahme im Rahmen eines örtlichen Raumordnungsprogramms ist nicht zu beanstanden. Unzulässig ist jedoch die Veröffentlichung der Stellungnahme gemeinsam mit dem Namen des Einschreiters, auch wenn der Name des Einschreiters öffentlich verfügbar ist (BVwG 23.09.2024, W274 2265096-1).
  
  
• Anrufe zu Werbezwecken sind ohne vorherige Einwilligung des Nutzers gemäß § 174 Abs 1 TKG 2021 unzulässig (Cold Calling). Eine Ausnahme von der Anwendbarkeit des § 174 Abs 1 TKG 2021 besteht nicht. Bereits der erstmalige Kontakt in Form der telefonischen Einholung der Einwilligung zu einem späteren Werbetelefonat ist als Anruf zu Werbezwecken zu qualifizieren und ist somit unzulässig (BVwG 07.10.2024, W271 2294874-1).
  
  
• Die Prüfung der Frage, ob es bei der Führung eines datenschutzrechtlichen Beschwerdeverfahrens zu einer Datenschutzverletzung gekommen ist, ist keine Tätigkeit, die der Wahrung der nationalen Sicherheit Eine Datenverarbeitung, die der datenschutzrechtlichen Kontrolle einer disziplinarrechtlichen Kontrolle (allenfalls) militärischen Handelns dient, fällt daher nicht in den Bereich der militärischen Landesverteidigung bzw der nationalen Sicherheit. Die DSGVO ist anzuwenden. Die verantwortliche Stelle nach dem Heeresdisziplinargesetz ist die Disziplinarbehörde (BVwG 31.10.2024, W258 2253618-1).
  
  
• Die Regelungen des 13 ORF Beitrags Gesetzes 2024 erscheinen dem BVwG sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt, weshalb auch die diesbezüglich gerügte Verfassungswidrigkeit nicht naheliegt. Zudem ist zum entsprechenden Beschwerdevorbringen darauf hinzuweisen, dass sich die Zuständigkeit des BVwG im Kontext datenschutzrechtlicher Anbringen gemäß § 27 Abs 1 DSG auf die Entscheidung über Bescheidbeschwerden gegen Bescheide der DSB beschränkt (BVwG 24.10.2024, W603 2301338-1).
  
  
• Die Zuständigkeit des BVwG im Kontext mit datenschutzrechtlichen Anbringen beschränkt sich gemäß 27 Abs 1 DSG auf die Entscheidung über Bescheidbeschwerden gegen Bescheide der DSB. Aus diesem Grund ist in einem Verfahren gegen einen Bescheid der ORF-Beitrags Service GmbH über datenschutzrechtliche Bedenken nicht abzusprechen (BVwG 03.10.2024, I415 2296585-1).
  
  
• Findet eine Verhandlung in Anwesenheit von Parteien statt, ist das Erkenntnis idR mündlich zu verkünden. Wird von den Parteien auf Rechtsmittel verzichtet, kann das Erkenntnis in gekürzter Form ausgefertigt werden (BVwG 06.11.2024, W292 2284079-1).
  
  
• Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim BVwG sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 06.11.2024, W214 2261322-1).
  
  
• Wird die Bescheidbeschwerde wegen exzessiver Ausübung des Rechts iSd Art 57 Abs 4 DSGVO abgelehnt, hat der Wiederaufnahmewerber darzutun, dass die Entscheidung des BVwG hinsichtlich dieser Ablehnung der inhaltlichen Behandlung seiner Datenschutzbeschwerde anders gelautet hätte. Kommt dem Wiederaufnahmewerber mangels Obsorge keine Vertretungsbefugnis hinsichtlich seines minderjährigen Sohnes zu, fehlt ihm die Legitimation zum Erheben des Wiederaufnahmeantrags im Namen seines Sohnes (BVwG 06.11.2024, W252 2259204-2).
  
  
• Die Bescheidbeschwerde kann in jeder Lage des Verfahrens vor dem BVwG zurückgezogen werden. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 10.2024, W108 2281992-1; 11.11.2024, W101 2281202-1).

• Am 26.11.2024 ist die "Durchführungsverordnung (EU) 2024/2916 der Kommission vom 25. November 2024 zur Festlegung eines Standardformulars für die Daten, die in dem Bericht über die Verarbeitung personenbezogener Daten enthalten sind, der von Dienstleistern gemäß der Verordnung (EU) 2021/1232 des Europäischen Parlaments und des Rates veröffentlicht und der zuständigen Aufsichtsbehörde und der Kommission vorgelegt wird", ABl L 2024/2916, 1, kundgemacht worden. Für die Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste (NIICS) besteht eine vorübergehende Ausnahme von bestimmten Datenverarbeitungsverboten der ePrivacy RL 2002/58 zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet (VO 2021/1232). Die NIICS – darunter versteht man zB Anbieter von Internet-Sprachtelefonie, Messaging-Diensten und webgestützten E-Mail-Diensten – trifft eine Jahresberichtspflicht über ihre Datenverarbeitungstätigkeit zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet. Mit der DurchführungsVO 2024/2916 hat die Kommission ein Standardformular zum Erstellen dieses Jahresberichts festgelegt.
  
  
• Am 26.11.2024 ist die "Durchführungsverordnung (EU) 2024/2545 der Kommission vom 24. September 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Muster und Verfahren für die Zusammenarbeit und den Informationsaustausch zwischen zuständigen Behörden", ABl L 2024/2545, 1, kundgemacht worden. Festgelegt werden technische Durchführungsstandards für die Behördenkooperation hinsichtlich der Regulierung der Märkte für Kryptowerte.

• Am 27.11.2024 ist die "Verordnung des Bundesministers für Finanzen zur vierzehnten Änderung der FinanzOnline-Verordnung 2006", BGBl II 2024/325, kundgemacht worden. Neu geregelt wird ua die Teilnahme an FinanzOnline.

• Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
  
  
• Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

EuGH 21.11.2024, C-336/23, Hrvatska pošta

PSI 2-RL, Dokumentenzugang

• Die kroatische Post (HP), ein zu 100% von der Republik Kroatien gehaltenes Unternehmen, das den Universalpostdienst in Kroatien anbietet und auch kommerzielle Tätigkeiten ausübt, lehnte einen Antrag auf Bereitstellung von Bauverträgen, vorläufigen Abrechnungen und Protokollen über die Übergabe einer Immobilie ab, der auf der RL 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (PSI 2-RL) und dem kroatischen Gesetz über das Recht auf Zugang zu Informationen beruhte.
  
  Dagegen wurde Beschwerde beim Informationsbeauftragten eingelegt, der HP anwies, dem Antrag stattzugeben. HP erhob Klage beim "Hohen Verwaltungsgericht", das die Sache zur erneuten Prüfung an den Informationsbeauftragten zurückverwies. Der Informationsbeauftragte bestätigte seine Anweisung, woraufhin HP erneut beim Hohen Verwaltungsgericht klagte, das den EuGH um Vorabentscheidung ersuchte. Die Vorlagefragen befassten sich insb damit, (i) ob unter "Weiterverwendung von Informationen" iSd PSI 2-RL der Zugang zu allen Informationen eines öffentlichen Unternehmens gemeint ist und ob diese bereitzustellen sind, (ii) auf welche Informationen im Besitz eines öffentlichen Unternehmens die Bereitstellungspflicht anwendbar ist, sowie (iii) unter welchen Voraussetzungen und unter welchen Einschränkungen Informationen offenzulegen sind.
  
  Der EuGH hat erwogen: "Weiterverwendung" bedeutet die Nutzung von Dokumenten für kommerzielle oder nicht kommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags oder dem Zweck der Erbringung von Dienstleistungen von allgemeinem Interesse unterscheiden, für den die Dokumente erstellt wurden. "Weiterverwendung" setzt zwar einen Zugang zu den betreffenden Dokumenten voraus, gleichwohl handelt es sich um zwei offensichtlich unterschiedliche Vorgänge. Die PSI 2-RL regelt die Weiterverwendung vorhandener Dokumente, die im Besitz öffentlicher Stellen und öffentlicher Unternehmen der Mitgliedstaaten sind, ohne jedoch eine Pflicht in Bezug auf den Zugang zu Dokumenten vorzusehen. Die PSI 2-RL gilt nicht für Dokumente, für die nach den Zugangsregelungen der Mitgliedstaaten der Zugang ausgeschlossen oder eingeschränkt ist. Die PSI 2-RL gewährt kein Recht auf Zugang zu Dokumenten des öffentlichen Sektors, sondern setzt ein solches Recht im Recht der Mitgliedstaaten oder im Unionsrecht voraus. Die Voraussetzungen für den Zugang zu diesen Dokumenten fallen nicht in ihren Anwendungsbereich.

EuGH 21.11.2024, C-336/23, Hrvatska pošta

PSI 2-RL, Dokumentenzugang

• Die kroatische Post (HP), ein zu 100% von der Republik Kroatien gehaltenes Unternehmen, das den Universalpostdienst in Kroatien anbietet und auch kommerzielle Tätigkeiten ausübt, lehnte einen Antrag auf Bereitstellung von Bauverträgen, vorläufigen Abrechnungen und Protokollen über die Übergabe einer Immobilie ab, der auf der RL 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (PSI 2-RL) und dem kroatischen Gesetz über das Recht auf Zugang zu Informationen beruhte.
  
  Dagegen wurde Beschwerde beim Informationsbeauftragten eingelegt, der HP anwies, dem Antrag stattzugeben. HP erhob Klage beim "Hohen Verwaltungsgericht", das die Sache zur erneuten Prüfung an den Informationsbeauftragten zurückverwies. Der Informationsbeauftragte bestätigte seine Anweisung, woraufhin HP erneut beim Hohen Verwaltungsgericht klagte, das den EuGH um Vorabentscheidung ersuchte. Die Vorlagefragen befassten sich insb damit, (i) ob unter "Weiterverwendung von Informationen" iSd PSI 2-RL der Zugang zu allen Informationen eines öffentlichen Unternehmens gemeint ist und ob diese bereitzustellen sind, (ii) auf welche Informationen im Besitz eines öffentlichen Unternehmens die Bereitstellungspflicht anwendbar ist, sowie (iii) unter welchen Voraussetzungen und unter welchen Einschränkungen Informationen offenzulegen sind.
  
  Der EuGH hat erwogen: "Weiterverwendung" bedeutet die Nutzung von Dokumenten für kommerzielle oder nicht kommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags oder dem Zweck der Erbringung von Dienstleistungen von allgemeinem Interesse unterscheiden, für den die Dokumente erstellt wurden. "Weiterverwendung" setzt zwar einen Zugang zu den betreffenden Dokumenten voraus, gleichwohl handelt es sich um zwei offensichtlich unterschiedliche Vorgänge. Die PSI 2-RL regelt die Weiterverwendung vorhandener Dokumente, die im Besitz öffentlicher Stellen und öffentlicher Unternehmen der Mitgliedstaaten sind, ohne jedoch eine Pflicht in Bezug auf den Zugang zu Dokumenten vorzusehen. Die PSI 2-RL gilt nicht für Dokumente, für die nach den Zugangsregelungen der Mitgliedstaaten der Zugang ausgeschlossen oder eingeschränkt ist. Die PSI 2-RL gewährt kein Recht auf Zugang zu Dokumenten des öffentlichen Sektors, sondern setzt ein solches Recht im Recht der Mitgliedstaaten oder im Unionsrecht voraus. Die Voraussetzungen für den Zugang zu diesen Dokumenten fallen nicht in ihren Anwendungsbereich.

OGH 05.11.2024, 14Os14/24a

ANOM, SKY ECC, Verwertungsverbot

• Der Verurteilte eines Strafverfahrens wurde wegen mehrerer Verbrechen des Suchtgifthandels und seiner Mitgliedschaft in einer kriminellen Vereinigung für schuldig erkannt. Die kriminelle Vereinigung nutzte verschlüsselte Kommunikationsdienste wie ANOM und SKY ECC, um ihre Aktivitäten zu koordinieren. Der Verurteilte brachte gegen das ihn ergehende Urteil eine (erfolglose) Nichtigkeitsbeschwerde an den OGH ein und behauptete darin, dass die Verwendung des digitalen Datenmaterials betreffend die Krypto-Messenger-Dienste gegen einfach- und verfassungsgesetzliche Vorschriften, den Grundsatz der Verhältnismäßigkeit sowie gegen primäres und sekundäres Unionsrecht verstoßen würde. Die Überwachung verschlüsselter Kommunikationen sei in Österreich gesetzlich nicht vorgesehen.
  
  Der OGH hat erwogen: Auf die Tätigkeit ausländischer Behörden beziehen sich die inländischen Verfahrensgesetze nicht. Die StPO kennt keine generellen Verwendungsbeschränkungen für Beweismittel, die durch ausländische Behörden erlangt wurden. Sofern in der Beweisverwendung nicht selbst eine Grundrechtsverletzung liegt, ist die Vorlage von Beweisen, die ohne gesetzliche Regelung gewonnen wurden, nicht zwingend unzulässig. Ein Beweisverwendungsverbot besteht, wenn bei der Beweiserhebung ein fundamentaler Verfahrensgrundsatz verletzt wurde, etwa durch eine gravierende Menschenrechtsverletzung. Ein Beweisverwendungsverbot für durch ausländische Behörden erlangte Beweismittel besteht, wenn gegen rechtsstaatliche Mindeststandards oder völkerrechtliche Garantien verstoßen wurde.
  
  Die Staatsanwaltschaft wertete Daten aus, die sie zuvor vom Federal Bureau of Investigation (FBI) erhielt, und stellte fest, dass der Verurteilte ANOM-Mobiltelefone nutzte, welche in mutmaßliche kriminelle Organisationen eingeschleust wurden und nach Angaben des FBI von 100% der Nutzer für kriminelle Zwecke genutzt wurden. Die Daten mit der Information, dass der Verurteilte SKY ECC-Mobiltelefone verwendete, wurden dem österreichischen Bundeskriminalamt – durch Europol koordiniert – von ausländischen Behörden aufgrund einer Europäischen Ermittlungsanordnung (EEA) übermittelt. Die Sicherstellung und Entschlüsselung dieser Daten erfolgte weder durch noch unter Beteiligung österreichischer Strafverfolgungsorgane. Diesen wurden lediglich die Ergebnisse der Überwachung übermittelt.
  
  Ein Beweisverwertungsverbot ergibt sich nicht allein daraus, dass die Überwachung verschlüsselter Nachrichten in der österreichischen Rechtsordnung nicht vorgesehen ist. Zudem wurden die ANOM-Telefone gezielt an mutmaßliche Mitglieder von kriminellen Vereinigungen ausgegeben, wobei der Verwendungszweck nicht die Erlangung von Daten aus dem persönlichen Lebensbereich jener Personen war. Der Eingriff in das Recht auf Privatleben tritt sohin hinter das öffentliche Interesse an der Aufklärung derartiger Formen von Schwerkriminalität zurück.
  
  Die Annahme, dass von ausländischen Behörden gewonnene Beweisergebnisse jedenfalls nicht in inländischen Strafverfahren verwendet werden dürfen, ist nicht zutreffend. Eine Verletzung der Verständigungspflicht nach Art 31 Abs 1 RL-EEA durch die ausländischen Behörden nimmt den österreichischen Behörden zwar die Möglichkeit, Überwachungsmaßnahmen auf österreichischem Hoheitsgebiet zu unterbinden (vgl § 55d Abs 7 EU-JZG). Daraus lässt sich aber nicht unmittelbar ein Verbot der Verwendung dadurch erlangter Beweismittel ableiten.

• Eine Europäische Ermittlungsanordnung zur Überwachung verschlüsselter Nachrichten darf von österreichischen Behörden nach 55a Abs 1 Z 13 EU-JZG nicht vollstreckt werden, wenn sie in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Die österreichische Staatsanwaltschaft muss die ausstellende Behörde informieren, dass die Überwachung nicht durchgeführt werden kann oder zu beenden ist und die Ergebnisse nicht verwendet werden dürfen. Der EuGH hat entschieden, dass die Überwachung verschlüsselter Kommunikation vom Begriff "Überwachung des Telekommunikationsverkehrs" erfasst ist und das Schutzniveau des Mitgliedstaats nicht unterlaufen werden darf. Es ist jedoch Sache des nationalen Gesetzgebers, die Zulässigkeit der Verwendung unionsrechtswidrig erlangter Beweise unter Beachtung grundrechtlicher Anforderungen an die Fairness des Verfahrens zu regeln. Im fortgesetzten Verfahren wird zu klären sein, ob ausländische Strafverfolgungsbehörden die von ihnen zur Verfügung gestellten Kommunikationsdaten auf eine Weise erlangten, die ein Vollstreckungshindernis nach § 55a Abs 1 Z 1 bis 5, 8 oder (insbesondere) 13 EU-JZG begründen würde (OGH 13.11.2024, 11Os129/24s).
  
  
• Ermittlungsmaßnahmen von ausländischen Behörden ohne Veranlassung inländischer Strafverfolgungsbehörden sind keine Ergebnisse einer nach dem fünften Abschnitt des achten Hauptstücks der StPO durchgeführten Ermittlungsmaßnahme. Vor diesem Hintergrund findet das in § 140 Abs 1 StPO normierte Verwertungsverbot keine Anwendung auf die Ergebnisse (OGH 05.11.2024, 14Os100/24y).

BVwG 25.10.2024, W108 2285546-1

Geldbuße, sensible Daten, Verschulden, Strafzumessung

• Die Sekretärin der Bundesorganisation einer politischen Partei versendete eine E-Mail für eine politische Kampagne. Den E-Mail-Verteiler mit ca 400 E-Mail-Adressen, davon zumindest 100 personalisierte E-Mail-Adressen, fügte sie versehentlich statt ins "An-Feld" ins "bcc-Feld" ein. Die E-Mail-Adressen stammten aus öffentlich zugänglichen Quellen.
  
  Die DSB verhängte eine Geldbuße iHv EUR 50.700 gegen die politische Partei, weil durch den Versand der E-Mail politische Meinungen und weltanschauliche Überzeugungen offengelegt worden seien. Aufgrund der Bescheidbeschwerde der politischen Partei setzte das BVwG die Geldbuße auf EUR 28.000 herab.
  
  Das BVwG hat erwogen: Sensible Daten können aus einer Information auch mittelbar hervorgehen. Der Inhalt der E-Mail erweckte den Eindruck, dass die E-Mail-Empfänger sich der politischen Partei angeschlossen haben. Dadurch wurde ihnen eine (vermeintliche) politische Überzeugung zugeschrieben. Für die zumindest 100 Personen deren E-Mail-Adressen personalisiert waren, liegt aufgrund der Offenlegung der E-Mail-Adressen das Gefahrenpotenzial der Benachteiligung oder Verfolgung vor.
  
  Nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft begangen hat, können zur Verhängung einer Geldbuße führen. Verschulden liegt aber bereits dann vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt. Die politische Partei konnte sich über die Rechtswidrigkeit der Offenlegung von E-Mail-Adressen nicht im Unklaren sein.
  
  Im Gegensatz zur Bestimmung der Bußgeldobergrenze ist für die Strafzumessung nicht der Umsatz im letzten abgeschlossenen Geschäftsjahr vor Erlass des Straferkenntnisses, sondern die im Entscheidungszeitpunkt des BVwG aktuelle Einkommens- und Vermögenslage der politischen Partei zu berücksichtigen. Nur so kann die Verhältnismäßigkeit der Geldbuße und die wirtschaftliche Überlebensfähigkeit gewährleistet werden. Anm: Entgegen der klaren Rechtsprechung des EuGH hat das BVwG das Schuldprinzip teilweise abgeschafft. Der Rechtsstaat gerät zunehmend unter die Datenschutzräder.

BVwG 13.09.2024, W252 2277317-1

Tonbandaufnahme, Scheidung, berechtigtes Interesse

• Im Zuge von ehelichen Auseinandersetzungen fertigte ein Ehemann über einen Zeitraum von neun Monaten punktuell heimlich Tonbandaufnahmen von mit seiner Ehefrau geführten Streitgesprächen an, um diese ggf in einem streitigen Scheidungsverfahren vorlegen zu können (was schließlich auch – zumindest teilweise – geschah). Die Ehefrau erachtete sich in ihrem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB ein, welche von dieser als unbegründet abgewiesen wurde. Hiergegen erhob die Ehefrau erfolgreiche Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Die DSGVO findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ("Haushaltsausnahme"). Entscheidend ist, dass der Datenumgang im ausschließlich privaten Aktionskreis stattfindet. Die Aufnahmen – obwohl in einem familiären Umfeld wurzelnd – waren mit dem Zweck angefertigt worden, diese ggf in einem streitigen Scheidungsverfahren als Beweismittel vorzulegen. Insofern fiel diese Datenverarbeitung nicht unter die Haushaltsausnahme.
  
  Die Verarbeitung personenbezogener Daten ist gemäß § 6 Abs 1 lit f DSGVO unter drei kumulativen Voraussetzungen rechtmäßig. Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Die Durchsetzung von Rechtsansprüchen – wie hier im Rahmen einer Scheidung – kommt jedenfalls als berechtigtes Interesse in Frage. Es war dem Ehemann auch nicht möglich, in zumutbarer Weise seine Scheidungsklage ebenso wirksam mit anderen Mitteln – zB einem "Streittagebuch" – zu untermauern. Dies auch deswegen, weil die Scheidungsklage gerade mit den "provokanten Äußerungen, gehässigen Wortmeldungen und Beschimpfungen" der Ehefrau begründet wurde, welche ohne Tonaufnahmen kaum belegbar gewesen wären.
  
  Das Verhalten der Ehefrau war dem Begriff "Psychoterror" jedoch (noch) nicht zuzuordnen. Das Interesse der Ehefrau, dass ihre gesprochenen Worte in den eigenen vier Wänden nicht aufgenommen werden, ist sehr hoch. Die Anfertigung der Tonbandaufnahmen war datenschutzrechtlich unzulässig, weil das Geheimhaltungsinteresse der Ehefrau überwog.

Rechtsanwalt, Rechtsdurchsetzung, berechtigtes Interesse

BVwG 30.09.2024, W256 2248861-1

• Ein Ehemann fertigte mit einer im Garten des Hauses seiner Ehefrau montierten Kamera Fotos an, die sie bei intimen Handlungen mit einem anderen Mann zeigten. Im Rahmen der Korrespondenz zur Vorbereitung auf die Scheidung vermutete die Ehefrau, ihr Mann hätte noch Zugriff auf die Kamera und verlangte über ihren Rechtsvertreter die Herausgabe von angefertigten Fotos. Die Fotos wurden vom Rechtsvertreter des Ehemanns in einer ZIP-Datei per Mail an den Rechtsvertreter der Ehefrau übermittelt. Nach Ansicht der Ehefrau erfolgte die Verarbeitung der Fotos ohne ihre Einwilligung und die Übermittlung durch den Rechtsvertreter ohne geeignete Schutzmaßnahmen. Wegen der Verletzung ihres Rechts auf Geheimhaltung brachte sie Datenschutzbeschwerde bei der DSB ein. Gegen den abweisenden Bescheid brachte sie Bescheidbeschwerde beim BVwG ein, welches diese abwies.
  
  Das BVwG hat erwogen: Rechtsanwälte sind nach § 9 Abs 1 RAO in der Ausübung ihres Mandats unabhängig und entscheiden über Zwecke und Mittel der diesbezüglichen Datenverarbeitung selbst. Sie sind eigenständige Verantwortliche iSd Art 4 Z 7 DSGVO.
  
  Der Anspruch auf Geheimhaltung gemäß § 1 Abs 1 DSG kann gemäß § 1 Abs 2 DSG nur durch eine Datenverarbeitung eingeschränkt werden, die rechtmäßig ist und in der gelindesten zum Ziel führenden Art vorgenommen wird. Die in der DSGVO verankerten Grundsätze sind bei der Auslegung des Rechts auf Geheimhaltung zu berücksichtigen. Das Prinzip der Datenminimierung in Art 5 Abs 1 lit c DSGVO sieht eine Beschränkung der Datenverarbeitung auf das notwendige Maß vor. Eine Datenverarbeitung ist dann nicht notwendig, wenn die Verarbeitung der Daten weggedacht, die Zweckerreichung dabei aber nicht erschwert wird.
  
  Eine Verarbeitung nach Art 6 Abs 1 lit f DSGVO ist zulässig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen des Betroffenen nicht überwiegen. Die Interessen des Betroffenen überwiegen insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen der Betroffene nicht mit einer Verarbeitung rechnen muss.
  
  Die Verfolgung, Durchsetzung und Verteidigung von Rechtsansprüchen gemäß Art 9 Abs 2 lit f DSGVO ist ein von der DSGVO anerkanntes, berechtigtes Interesse. Darunter fallen auch Datenverarbeitungen zur außergerichtlichen Geltendmachung von Ansprüchen. Der Erlaubnistatbestand ist ein Sonderfall des berechtigten Interesses und erlaubt auch die Verarbeitung sensibler Daten. Die effektive Rechtsdurchsetzung des Einzelnen hat Vorrang vor den Interessen betroffener Personen am Schutz ihrer Daten.
  
  Die Datenverarbeitung erfolgte im Zuge außergerichtlicher Scheidungsverhandlungen über Begehren der Ehefrau. Der Rechtsanwalt des Ehemanns handelte bei der Übermittlung sämtlicher Fotos im Sinne seines Mandanten zum Zweck der Rechtsverteidigung. Durch das Anfordern des gesamten Bildmaterials war es erforderlich alle Daten zu übermitteln. Da von einer Bildverarbeitung im Aufforderungsschreiben ausgegangen wurde, konnte die Datenverarbeitung auch nicht überraschend sein. Die vorzunehmende Interessenabwägung geht daher zu Gunsten des Rechtsanwaltes aus.

Aus der Rechtsprechung des BFG:

• Eine den Verfahrensgesetzen entsprechende Verwendung personenbezogener Daten, auch wenn es sich um Gesundheitsdaten handelt, ist grundsätzlich auch aus datenschutzrechtlicher Sicht zulässig (BFG 26.09.2024, RV/5101151/2020).

Aus der Rechtsprechung der BDB:

• Die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz (§ 1 DSG) zu durchbrechen, wird von einem Beamten dann missbräuchlich in Anspruch genommen, wenn eine Datenbankabfrage ohne dienstliche Rechtfertigung erfolgt. Nach der Rechtsprechung des OGH führt der Befugnismissbrauch bei deliktspezifischem Schädigungsvorsatz zu einer strafrechtlichen Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch), ohne dass an sich ein tatsächlicher Schadenseintritt erforderlich wäre. Durch den OGH wird bereits in der Verletzung des Grundrechts auf Datenschutz durch eine missbräuchliche Datenermittlung die konkrete Schädigung des Betroffenen/der Betroffenen erblickt (BDB 09.2024, 2024-0.266.730; 17.10.2024, 2023-0.246.270; 21.10.2024, 2022-0.607.066).

• Am 18.11.2024 ist "Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über die Haftung für fehlerhafte Produkte und zur Aufhebung der Richtlinie 85/374/EWG des Rates", ABl L 2024/2853, 1, kundgemacht worden. Die Richtlinie legt Vorschriften über die Haftung von Wirtschaftsakteuren für Schäden, die natürlichen Personen durch fehlerhafte Produkte entstanden sind, fest. Unter "Produkte" sind auch "digitale Konstruktionsunterlagen" und in Produkte integrierte digitale Dienste zu verstehen.
  
  
• Am 20.11.2024 ist die "Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung)", ABl L 2024/2847, 1, kundgemacht worden. Die Verordnung beinhaltet Vorschriften zur Gewährleistung der Cybersicherheit von Produkten mit digitalen Elementen.

• Am 21.11.2024 hat das Bundesland Niederösterreich, LGBl 2024/65, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

• Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
  
  
• Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
  
  
• Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
  
  
• Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

• Eine auf Überwachung verschlüsselter Nachrichten nach vorheriger Installation eines (Entschlüsselungs-)Programms auf den Mobiltelefonen der Nutzer ohne deren Kenntnis gerichtete Europäische Ermittlungsanordnung eines anderen Mitgliedstaats dürfte von österreichischen Behörden nach § 55a Abs 1 Z 13 EU-JZG nicht vollstreckt Wird eine österreichische Staatsanwaltschaft über eine solche Ermittlungsmaßnahme unterrichtet, hat sie der ausstellenden Behörde mitzuteilen, dass die Überwachung nicht durchgeführt werden kann oder zu beenden ist und bereits gesammelte Ergebnisse der Überwachung von Nachrichten nicht verwendet werden dürfen. Mit dieser Regelung hat der Gesetzgeber ein unbedingtes Beweisverwertungsverbot geschaffen (OGH 05.11.2024, 14Os107/24b).
• Eine Rechtsanwaltsgesellschaft klagte eine Rechtsanwalts OG und ihre persönlich haftenden Gesellschafter wegen eines Verstoßes gegen § 1 und 2 UWG auf Unterlassung, weil die Rechtsanwalts OG unrichtig behauptet habe, keine Cookies auf ihrer Website zu verwenden und durch diese Nichteinhaltung der DSGVO sich gegenüber der klagenden Rechtsanwaltsgesellschaft einen Wettbewerbsvorteil verschafft habe. Im Beschluss des OLG Wien geht es nur um den Kostenrekurs der Rechtsanwaltsgesellschaft. Aus dem Beschluss geht jedoch klar hervor, dass die Unterlassungsklage der Rechtsanwaltsgesellschaft keinen Erfolgt hatte (OLG Wien 07.11.2024, 33R132/24k).

BVwG 22.10.2024, W252 2286224-1

Eltern-App, Haushaltsausnahme, Familienleben

• Eine Mutter installierte eine Handy-App auf dem Handy ihrer Tochter, welche die Ortung des Geräts und die Aufnahme von Umgebungsgeräuschen ermöglichte. Durch die App fühlte sich ihr Ex-Mann (Kindsvater) in seinem Recht auf Geheimhaltung verletzt, weil die App auch seine Standortdaten und Daten aus seinem beruflichen Umfeld erfasse. Dagegen brachte er Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde sowohl hinsichtlich der Standortdaten als auch der Umgebungsgeräusche ab, ua weil die Aufnahmefunktion der App betreffend Umgebungsgeräusche nicht genutzt wurde. Der Ex-Mann erhob eine (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Die DSGVO ist gemäß Art 2 Abs 2 lit c DSGVO ("Haushaltsausnahme") auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten nicht anwendbar. Erfasst von der Ausnahme sind Tätigkeiten, die zum Privat- oder Familienleben von Privatpersonen zählen.
  
  Ein Zugänglichmachen von Daten einer unbegrenzten Zahl von Personen oder Verarbeitungen, die sich teilweise auf den öffentlichen Raum erstrecken, fallen nicht unter diese Ausnahme. Die Verarbeitung muss im privaten Aktionskreis stattfinden. Der Verantwortliche und die betroffene Person müssen aber nicht im selben Haushalt zusammenleben.
  
  Entscheidend ist der rein private Zweck der Verarbeitungstätigkeit. Die Kriterien "persönlich" und "familiär" beziehen sich auf die Tätigkeiten der Person, die personenbezogene Daten verarbeitet, nicht aber auf die Person, deren Daten verarbeitet werden.
  
  Die Auslegung der Kriterien "persönlich" und "familiär" erfolgt nach der Verkehrsanschauung. Darunter fallen unter anderem die Freizeitgestaltung, Hobbies und die Anfertigung von Urlaubsaufnahmen zu rein privaten Unterhaltungszwecken. Der Begriff "Familie" ist unabhängig von der strengen familienrechtlichen Definition im Einzelfall zu beurteilen. Daher können auch andere von Ehe und Kindschaft abweichende Beziehungen umfasst sein.
  
  Die Unterstützung des eigenen Kindes bei der Orientierung in einer neuen Stadt oder die Erhöhung der Sicherheit, aber auch die Erhöhung des Sicherheitsgefühls der Eltern kann unter den Begriff persönliche und familiäre Tätigkeit fallen. Von der Ausnahme sind auch Datenverarbeitungen erfasst, die nebenbei das Privatleben anderer Personen betreffen oder betreffen können. Die durch eine Ortung erlangte Information, wonach sich das Kind in Sicherheit beim Kindesvater befindet, fällt ebenfalls unter die Ausnahme.
  
  Die Haushaltsausnahme dient der Erleichterung der Ausübung des Grundrechts auf Familienleben gemäß Art 8 EMRK und ist auf das DSG anzuwenden.
  
  Die Verarbeitung der Standortdaten fiel in die Haushaltsausnahme, weshalb die DSGVO und das DSG nicht anzuwenden waren. Die Bescheidbeschwerde war daher abzuweisen, aber mit der Maßgabe, dass die DSB die Datenschutzbeschwerde hinsichtlich der Standortdaten wegen Unzuständigkeit zurückzuweisen gehabt hätte.
  
  Hinsichtlich der Umgebungsgeräusche war die Bescheidbeschwerde abzuweisen, weil diese Funktion der App nicht genutzt wurde und somit die Datenverarbeitung nicht stattgefunden hat.

• Die Auskunftspflichtigen iSd Bundesstatistikgesetzes sind verpflichtet, vollständig, rechtzeitig und nach bestem Wissen Auskunft über jene Daten, die Erhebungsmerkmal der angeordneten statistischen Erhebung sind, zu erteilen. Die Verletzung der Mitwirkungspflicht an der Mikrozensuserhebung ist strafbewehrt (LVwG Tirol 27.09.2024, LVwG-2024/27/1740-4).

BDB 29.05.2024, 2023-0.604.684

Dienstpflichtverletzung durch Datenabfrage, AIS

• Eine beim Finanzamt tätige Beamtin bewarb sich bei einem internen Besetzungsverfahren für eine Führungsfunktion, woraufhin eine notwendige systematische Analyse hinsichtlich dienstlich unbegründeter Datenbankzugriffe durchgeführt wurde. Dabei konnten 120 Zugriffe auf ihre eigenen Steuerdaten festgestellt werden. Daraufhin wurden weitere Ermittlungen vorgenommen, um mögliche dienstlich unbegründete Datenbankzugriffe zu analysieren. Hierbei stellte sich heraus, dass die Beamtin ohne dienstliche Veranlassung auf zahlreiche Steuerdatensätze im Abgabeninformationssystem der Finanzverwaltung (AIS) ihrer Familienmitglieder und Nachbarn aus ihrer Heimatgemeinde zugegriffen hat. Bei einer Befragung bestätigte die Beamtin ihre Zugriffe und dass keine dienstliche Veranlassung für diese Zugriffe vorlag. Sie führte aus, dass sie die Abfragen auf Verlangen der jeweiligen Personen durchgeführt habe. Während die Beamtin ihrer schriftlichen Stellungnahme unterzeichnete Erklärungen von neun abgefragten Personen beilegte, in denen sie angaben, die Abfragen selbst veranlasst zu haben, fehlte die Einverständniserklärung zweier Nachbarn. Diese teilten mit, dass sie die Beamtin um keine Auskunft gebeten haben und mit der Abfrage nicht einverstanden waren, weshalb sie sich in ihrem Recht auf Datenschutz verletzt fühlten. Das bei der Staatsanwaltschaft anhängige Verfahren wurde mit einer Diversion beendet.
  
  Die BDB hat erwogen: Die Beamtin hat die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz gemäß § 1 DSG zu durchbrechen, missbräuchlich in Anspruch genommen, weil keine dienstliche Rechtfertigung vorlag. Dadurch hat sie die Personen, die mit der Abfrage nicht einverstanden waren, in ihrem Recht auf Datenschutz verletzt. Die Datenzugriffe durch die Beamtin sind Weisungsverstöße gemäß § 44 BDG 1979. Abfragen im AIS dürfen nämlich lediglich im Zuge eines Amtsgeschäfts, also bei einer dienstlichen Veranlassung, erfolgen. Zudem ist die Beamtin durch ihr Naheverhältnis zu den Familienangehörigen und Nachbarn befangen iSd § 47 BDG, weshalb die Vornahme eines Amtsgeschäfts in Bezug auf diese Daten von vornherein untersagt war.
  
  Im Hinblick auf die Datenabfrage ihrer eigenen Steuerdaten liegt ein Verstoß gegen § 47 BDG iVm § 76 BAO und § 7 AVG vor. Die Beamtin hat schuldhaft und zumindest mit bedingtem Vorsatz gehandelt, weil aufgrund ihres Verwandtschaftsverhältnisses bzw durch das bestehende Naheverhältnis zu ihren Nachbarn keine dienstliche Notwendigkeit für die Abfragetätigkeit vorlag. Die Beamtin hat die Dienstanweisungen nicht eingehalten und die gesetzlich normierte Bestimmung der Befangenheit missachtet. Vor diesem Hintergrund war gegen die Beamtin wegen Dienstpflichtverletzung eine Disziplinarstrafe zu verhängen.

• Fragt eine Teamleiterin der Finanzverwaltung ihre eigenen Steuerdaten ab, begeht sie eine Dienstpflichtverletzung. Das ist ihr auch vorwerfbar, denn eine Teamleiterin hat über die Sensibilität und Problematik des Datenschutzes bestens informiert zu sein (BDB 23.04.2024, 2024-0.002.580).

• Am 11.11.2024 ist die "Richtlinie (EU) 2024/2831 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit", ABl L 2024/2831, 1, kundgemacht worden (Plattformarbeit-RL). Ziel der Plattformarbeit-RL ist neben den Arbeitsbedingungen auch den Schutz personenbezogener Daten in der Plattformarbeit (Arbeit, die über eine digitale Arbeitsplattform organisiert ist) zu verbessern.
• Am 11.11.2024 wurde ein Erlass der Bundesministerin für Justiz "zur Gewährleistung einer verfassungs- und unionsrechtskonforme Rechtsanwendung bei der Sicherstellung und Auswertung von Datenträgen im Hinblick auf das VfGH-Erkenntnis G 352/2021-46 und das EuGH-Urteil C-548/21" (Handyauswertung) veröffentlicht.

• Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
• Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
• Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
• Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
• Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
• Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
• Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

• Ist einem Löschungsersuchen durch Löschung der Bewerbungsdaten bereits entsprochen worden, ist eine auf Löschung dieser Daten gerichtete Revision an den VwGH unzulässig (VwGH 16.10.2024, Ra 2022/04/0151).
• Die Veröffentlichung einer Stellungnahme samt Name und Wohnanschrift durch eine Behörde im Internet kann nicht auf die Wahrnehmung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden (VwGH 16.10.2024, Ra 2022/04/0140).
• In Verwaltungsstrafverfahren ist – trotz des Offizialprinzips – dort, wo es der Behörde nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, von einer Mitwirkungspflicht der Partei auszugehen. In solchen Fällen hat die Partei betriebsbezogene oder personenbezogene Umstände mitzuteilen (VwGH 09.10.2024, Ra 2024/06/0161).

BVwG 30.09.2024, W603 2297646-1

• Eine GmbH führte Telefonate durch, um Kunden zu akquirieren und Termine für einen Vertreterbesuch zum Verkauf von Sicherheitstechniken zu vereinbaren. Einer der Angerufenen zeigte kein Interesse, erteilte keine Einwilligung zu diesem Anruf und zeigte die GmbH beim Fernmeldebüro an. Das Fernmeldebüro verhängte eine Geldstrafe gegen den alleinvertretungsbefugten Geschäftsführer der GmbH, weil dieser gegen das Verbot des Cold Calling verstoßen hat (§ 174 Abs 1 iVm § 188 Abs 6 Z 9 TKG 2021) und sprach die Solidarhaftung des Unternehmens aus. Der Geschäftsführer brachte dagegen eine Bescheidbeschwerde beim BVwG ein und beantragte die Aufhebung des Straferkenntnisses bzw die Herabsetzung der verhängten Strafe. Der Geschäftsführer bestritt, dass es sich um einen Werbeanruf handelte, weil der Angerufene seine Telefonnummer bei der Herold Business Data GmbH hinterlegt habe, was eine konkludente Einwilligung darstelle. Zudem habe der Anruf nur dazu gedient, die Einwilligung zur Werbung zu erlangen.
  
  Das BVwG hat erwogen: Anrufe zu Werbezwecken ohne vorherige Einwilligung des Nutzers sind gemäß § 174 Abs 1 TKG 2021 unzulässig (Cold Calling). Den Ausführungen des Geschäftsführers, es habe sich um keinen Werbeanruf gehandelt, kann nicht gefolgt werden. Der Begriff der Werbung ist weit auszulegen und bereits der erstmalige Kontakt in Form der telefonischen Einholung der Einwilligung zu einem späteren Werbetelefonat ist als Anruf zu Werbezwecken zu qualifizieren und somit unzulässig. Bei dem Anruf durch die GmbH handelt es sich somit um einen Werbeanruf, welcher für seine Zulässigkeit der vorherigen Einwilligung gemäß § 174 Abs 1 TKG 2021 bedurft hätte.
  
  Mangels fehlender Definition des Einwilligungsbegriffs im TKG 2021 ist auf Art 4 Z 11 DSGVO zurückzugreifen. Da eine Eintragung von Kontaktinformationen in Telefonbüchern keine konkludente Einwilligung zum Empfang von Werbung ist und der Angerufene auch durch keine ausdrückliche Willenserklärung eine Einwilligung erteilte, ist der GmbH keine Einwilligung iSd § 174 Abs 1 TKG 2021 erteilt worden.
  
  Zudem wird in den AGB der Herold Business Data GmbH darauf hingewiesen, dass die Bereitstellung der Rufnummern im Teilnehmerverzeichnis nicht auf die Zustimmung zum Erhalt von Werbeanrufen schließen lässt.
  
  Cold Calling ist ein Ungehorsamsdelikt, sodass bereits fahrlässiges Verhalten für die Strafbarkeit ausreicht. Der Geschäftsführer hat kein wirksames Kontrollsystem eingerichtet und hat Übertretungen des § 174 Abs 1 TKG 2021 im Unternehmen gefördert. Der Geschäftsführer hat sich nicht über die Rechtslage erkundigt, was ebenfalls als Verschulden zuzurechnen ist. Bei der Bemessung der Strafe ist § 19 VStG heranzuziehen, weshalb das geschützte Rechtsgut – hier die Privatsphäre von natürlichen Personen, der Schutz vor Belästigungen und unerbetenen Nachrichten – und die Intensität seiner Beeinträchtigung zu beachten sind. Zudem sind Erschwerungs- und Milderungsgründe sowie die Einkommens- und Vermögensverhältnisse zu berücksichtigen. Die verhängte Geldstrafe ist somit tat- und schuldangemessen.

• Die Bescheidbeschwerde kann in jeder Lage des Verfahrens vor dem BVwG zurückgezogen werden. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 09.10.2024, W274 2284620-1).

EDPB Report on the first review of the European Commission Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework (2024)

• Der Europäische Datenschutzausschuss (EDSA) hat einen Bericht über die erste Überprüfung des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) veröffentlicht. Bewertet wurden insbesondere die kommerziellen Aspekte des DPF und der Zugang der US-Behörden zu personenbezogenen Daten, die an DPF-zertifizierte Organisationen übermittelt werden.
  
  Der EDSA stellte fest, dass das US-Handelsministerium den Zertifizierungsprozess für US-Unternehmen umgesetzt hat. Das implementierte mehrstufige Beschwerdesystem bietet EU-Bürgern leicht zugängliche Beschwerdemöglichkeiten. Aufgrund der wenigen Beschwerden empfiehlt der EDSA jedoch, dass das Handelsministerium und die Federal Trade Commission (FTC) die Einhaltung der DPF-Grundsätze bei zertifizierten Organisationen verstärkt von Amts wegen überwachen. Außerdem soll das Handelsministerium Leitlinien für DPF-zertifizierte Unternehmen zur Datenübermittlung an Drittländer erstellen und den in der EU und den USA unterschiedlich ausgelegten Begriff "Personaldaten" ("HR Data") klären.
  
  Der EDSA anerkennt die Aktualisierung der Richtlinien und Verfahren der US-Geheimdienste zur Umsetzung der Prinzipien der Notwendigkeit und Verhältnismäßigkeit, fordert die Europäische Kommission aber auf, die Umsetzung dieser Prinzipien weiterhin zu überwachen. Insbesondere begrüßt der EDSA legislative Änderungen, die den Datenschutz verbessern. Allerdings wurden im US Foreign Intelligence Surveillance Act (FISA) bestimmte Empfehlungen nicht kodifiziert und somit keine zusätzlichen Schutzmaßnahmen eingeführt, wie es der EDSA empfohlen hatte. Auch die im FISA enthaltene erweiterte Definition von "elektronischen Kommunikationsdienstanbietern" schafft nach Ansicht des EDSA Unsicherheit über den tatsächlichen Umfang der Überwachung. Die Europäische Kommission soll daher Entwicklungen im Zusammenhang mit dem FISA verfolgen.
  
  Die nächste Überprüfung des DPF soll in weniger als vier Jahren stattfinden, damit die Europäische Kommission und der EDSA früher als gesetzlich vorgesehen auf Informationen zur praktischen Anwendung des DPF reagieren können.

• Am 11.2024 ist die Zugriffsberechtigungsverordnung (ZugriffsV), BGBl II 2024/300, kundgemacht worden. Geregelt werden darin Zugriffsberechtigungen auf die eHealth-Anwendung Elektronischer Impfpass (eImpfpass).

• Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
  
  
• Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
  
  
• Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
  
  
• Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
  
  
• Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
  
  
• Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
  
  
• Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.

Aus der Rechtsprechung des VwGH:

• Ein Betroffener wird klaglos gestellt, wenn seinem Löschungsersuchen entsprochen wird. Eine auf Löschung gerichtete Revision ist daher auch dann wegen nachträglichen Wegfalls des rechtlichen Interesses als gegenstandslos geworden zu erklären, wenn die Löschung erst nach Entscheidung durch das BVwG erfolgt. Ohne einen unverhältnismäßigen Prüfungsaufwand kann in solchen Fällen nicht beurteilt werden, welchen Ausgang das Verwaltungsverfahren ohne die Gegenstandsloserklärung genommen hätte. Daher findet kein Kostenzuspruch statt (VwGH 30.09.2024, Ro 2022/04/0033).

OGH 08.10.2024, 14Os26/24s

Amtsgeheimnis, Amtsmissbrauch, Strafverfolgung

• Ein Polizeibeamter wurde mutmaßlich bestochen, polizeiinterne Informationen preiszugeben und Daten aus der zentralen Datenanwendung des Bundesministers für Inneres (BMI) abzurufen. Er wurde (nicht rechtskräftig) schuldig gesprochen, mehrfach seine Amtsgewalt missbraucht und das Amtsgeheimnis verletzt zu haben, indem er ohne dienstliche Notwendigkeit personenbezogene Daten abrief und weitergab. Da der Polizeibeamte seine Bestecher auch über geplante Polizeikontrollen informiert und ihnen Fotos von Kollegen gezeigt haben soll, damit sie Kontrollen entgehen können, wurde er auch (nicht rechtskräftig) schuldig gesprochen, den Staat Österreich in seinem Recht auf Strafverfolgung geschädigt zu haben. Aufgrund von Rechtsfehlern hob der OGH den Schuldspruch gegen alle Beteiligten teilweise auf und verwies die Sache im Übrigen zur neuerlichen Entscheidung und Verhandlung an das Erstgericht zurück.
  
  Der OGH hat erwogen: Es ist zwischen der missbräuchlichen Abfrage von Datenbanken und der Weitergabe der daraus gewonnenen Informationen zu unterscheiden. Das Ermitteln der Daten erfüllt den Tatbestand des Missbrauchs der Amtsgewalt, wenn der Beamte ohne dienstliche Rechtfertigung handelt und dadurch seine Befugnis missbraucht. Bei der Weitergabe amtsgeheimer Informationen kommt Missbrauch der Amtsgewalt durch Geheimnisverrat nur dann in Betracht, wenn der Beamte dies aufgrund einer ihn konkret treffenden Pflicht zu unterlassen hat. Ansonsten ist die Strafbarkeit einer Informationsweitergabe primär nach § 310 StGB (Verletzung des Amtsgeheimnisses) zu prüfen.
  
  Aus den getroffenen Feststellungen ergibt sich, dass die vom Polizeibeamten vorgenommenen Abfragen in den Datenbanken einen Befugnisfehlgebrauch darstellen. Es wurde jedoch nicht festgestellt, dass er durch die Weitergabe der Informationen eine konkrete tatbildliche Befugnis iSd § 302 StGB (Amtsmissbrauch) wahrgenommen oder eine ihn konkret treffende Pflicht verletzt hat.
  
  Im weiteren Verfahren wird zu beachten sein, dass das staatliche Recht auf Strafverfolgung auf Basis der bisherigen Aktenlage als Bezugspunkt des von § 302 StGB verlangten Schädigungsvorsatzes nicht in Betracht kommt. Eine durch die Datenabfrage bewirkte Schädigung der Betroffenen an deren Recht auf Datenschutz ist zwar denkbar, allerdings würde eine allfällige, den konkret erfolgten Eingriff umfassende, vorab erfolgte Einwilligung einen Rechtfertigungsgrund darstellen. Für die Weitergabe der durch die Datenabfrage gewonnenen Informationen wäre jedoch die Verletzung des Amtsgeheimnisses gemäß § 310 StGB zu prüfen.

Aus der weiteren Rechtsprechung des OGH:

• Anders als die Produkthaftungs-RL 85/374/EWG ordnet Art 82 DSGVO ausdrücklich auch den Ersatz immaterieller Schäden Der Eintritt eines durch den Verstoß entstandenen Schadens ist jedoch auch dafür erforderlich (OGH 22.10.2024, 4Ob109/24v). Anm: Aus den Überlegungen des OGH könnte zumindest implizit abgeleitet werden, dass bloße Angst- und Unlustgefühle kein entstandener Schaden sind.

BVwG 19.09.2024, W287 2248365-1

AuskunftspflichtG, Meinungsäußerungsfreiheit

• Im Zuge einer Demonstration sollen Mitglieder einer politischen Gruppierung den am Karl-Lueger-Denkmal angebrachten Betonschriftzug entfernt haben. Der Journalist einer Tageszeitung kommunizierte im Rahmen seiner Recherche über den Vorfall mit der Pressestelle einer Landespolizeidirektion ("LPD") und ersuchte um Auskunft, ob Ermittlungen gegen jene Polizeibeamten stattfinden würden, die nicht eingeschritten seien, als der Betonschriftzug gewaltsam entfernt wurde. Die Landespolizeidirektion teilte mit, dass eine interne Überprüfung der Vorgänge stattgefunden habe. Eine Auskunft über den Ausgang dieser internen Überprüfung lehnte die LPD mit der Begründung des Datenschutzes der involvierten Polizeibeamten ab. Gegen den hierüber von der LPD ausgestellten Bescheid erhob der Journalist (erfolgreich) Bescheidbeschwerde beim BVwG.
  
  Das BVwG hat erwogen: Grundsätzlich haben Organe des Bundes über Angelegenheiten ihres Wirkungsbereichs Auskünfte zu erteilen, soweit eine gesetzliche Verschwiegenheitspflicht dem nicht entgegensteht. Als solche gesetzliche Verschwiegenheitspflicht kommt auch das Recht auf Geheimhaltung personenbezogener Daten in Betracht, welches jedoch nicht uneingeschränkt gilt. Bei einer Auskunft über den Ausgang einer internen Überprüfung des Verhaltens zweier Polizeibeamter handelt es sich um personenbezogene Daten, weil die betroffenen Beamten zumindest für einen gewissen Personenkreis identifizierbar sind. Die Reichweite der das Auskunftsrecht gegebenenfalls einschränkenden Bestimmungen über die zulässige Verweigerung der Auskunft aus Gründen der Verschwiegenheit ist aufgrund der im Verfassungsrang stehenden Bestimmung des Art 10 EMRK (Recht auf freie Meinungsäußerung) verfassungskonform auszulegen. Nach der Rechtsprechung des EGMR ist das Recht auf freie Meinungsäußerung dahingehend auszulegen, dass dieses – unter bestimmten Voraussetzungen – ein Recht auf Zugang zu Informationen miteinschließt. Bei der Ermittlung der Reichweite dieses Rechts auf Informationszugang kommt es nach der Rechtsprechung des EGMR darauf an, dass (i) ein Journalist als public watchdog (ii) das Informationsersuchen als Vorbereitungsschritt für journalistische Aktivitäten zur Schaffung eines Forums einer notwendigen und bedeutenden öffentlichen Debatte stellt und (iii) die Offenlegung der begehrten Information im großen öffentlichen Interesse liegt.
  
  Der Journalist war im Nachrichtenbereich tätig und erfüllte daher die Rolle eines "social watchdogs". Das Karl-Lueger-Denkmal ist ein polarisierendes und wiederholt in den Medien kontrovers diskutiertes Denkmal, sodass ein grundsätzliches Interesse der Allgemeinheit an der rechtlichen Einordnung des dienstlichen Verhaltens von Exekutivbeamten im Rahmen eines Einsatzes besteht. In diesem Licht ist die begehrte Auskunft jedenfalls geeignet, zur Transparenz über die Art und Weise der Führung von Amtsgeschäften beizutragen. Die vom Journalisten begehrte Information ist auch notwendig, um eine Beurteilung des Einsatzes vornehmen und eine Debatte eröffnen zu können.
  
  Das öffentliche Interesse überwiegt das Interesse der involvierten Polizeibeamten an der Geheimhaltung ihrer personenbezogenen Daten, ua deshalb, weil Journalisten im Umgang mit personenbezogenen Daten an die datenschutzrechtlichen Bestimmungen gebunden sind.

BVwG 25.09.2024, W108 2287986-1

Präklusion, Haushaltsausnahme, Forderungsbetreibung

• Zwischen einem Ehemann und seiner damaligen Ehefrau war ein Scheidungsverfahren anhängig. Im Zuge dessen gab die Ehefrau Konto- und Bankdaten an eine dritte Person weiter. Diese verarbeitete die Daten in einer Excel-Tabelle und übermittele sie wieder an die Ehefrau zurück. Inhalt der Excel-Tabelle war eine Übersicht über die Ausgaben bzw Einnahmen der letzten Jahre auf dem gemeinsamen Konto des Ehepaars. Die Ehefrau nutzte die erstellte Excel-Tabelle, um die Einkommensverhältnisse des Ehemanns im Scheidungsverfahren darzulegen. In dieser "Datenmanipulation" sah der Ehemann einen Versuch, überhöhte Ansprüche geltend zu machen, und fühlte sich dadurch in seinem Recht auf Geheimhaltung verletzt. Infolgedessen erhob er Datenschutzbeschwerde an die DSB.
  
  Die DSB wies die Datenschutzbeschwerde zur behaupteten Weitergabe der Konto- und Bankdaten wegen Präklusion zurück. Die Tatsache, dass die Ehefrau seine Konto- und Bankdaten weitergegeben hatte, war dem Ehemann bereits im Jahr 2021 bekannt. Er hat damals eine Datenschutzbeschwerde gegen die dritte Person eingebracht. Hinsichtlich der Datenmanipulation wies die DSB die Datenschutzbeschwerde ab, weil der Ehemann keinen ausreichenden Beweis für eine Manipulation erbrachte und das berechtigte Interesse der Ehefrau zur Nutzung der Daten im Scheidungsverfahren überwog. Daraufhin erhob der Ehemann (erfolglos) Bescheidbeschwerde beim BVwG.
  
  Das BVwG hat erwogen: Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn sie nicht innerhalb eines Jahres ab Kenntnis des beschwerenden Ereignisses, jedoch spätestens innerhalb von drei Jahren ab dem Ereignis, eingebracht wird. Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen, auf die von Amts wegen, also bei feststehendem Sachverhalt ohne Einwendung, Bedacht genommen werden muss. Es ist nicht ersichtlich, dass die Fristen des § 24 DSG das Beschwerderecht nach der DSGVO unverhältnismäßig einschränken. Die Verjährung wird auch nicht durch ein allfällig noch anhängiges Strafverfahren hinausgeschoben. Die Weitergabe der Konto- und Bankdaten fand im Jahr 2020 statt und war dem Ehemann bereits seit 2021 bekannt.
  
  Gemäß Art 2 Abs 2 lit c DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Nach der Rsp des OGH ist entscheidend für diese Haushaltsausnahme, dass der Datenumgang im privaten Aktionskreis stattfindet. Der persönlich-familiäre Bereich wurde durch die Vorlage der Daten im Scheidungsverfahren vor dem Bezirksgericht jedenfalls überschritten, weshalb die Haushaltsausnahme nicht zur Anwendung kommt.
  
  Nach der Judikatur des VfGH hat ein Ehegatte im Scheidungsprozess kein Recht auf Geheimhaltung seiner Einkommensdaten gegenüber dem anspruchstellenden Ehepartner, zumal nach der Judikatur des OGH ein Anspruch auf Auskunft und Rechnungslegung besteht und daher eine Verletzung des (Noch-)Ehemannes in seinem Recht auf Geheimhaltung von vornherein nicht in Betracht kommt.
  
  Selbst wenn man jedoch von einem Recht auf Geheimhaltung der Einkommensdaten des Ehemanns ausgeht, überwiegt das berechtigte Interesse der Ehefrau an deren Verarbeitung. Der EuGH hat bereits erkannt, dass die ordnungsgemäße Forderungsbetreibung ein berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) sein kann.
  
  Weiters sind gemäß § 76 Abs 1 ZPO in jedem Schriftsatz die tatsächlichen Verhältnisse, durch welche die gestellten Anträge begründet werden, darzustellen. Wenn es eines Beweises oder einer Glaubhaftmachung dieser Anführungen bedarf, sind auch die Beweismittel im Einzelnen zu bezeichnen. Die Vorlage der Excel-Tabelle war im Scheidungsverfahren jedenfalls als Beweismittel geeignet, zumal die Ermittlung der nötigen Beweismittel und deren Anbieten grundsätzlich den Verfahrensparteien obliegt. Folglich ist es jedenfalls auch zulässig, etwa die Informationen aus Kontoauszügen in einer Tabelle zusammenzufassen.
  
  Es kommt auch nicht darauf an, ob sich ex post herausstellt, dass die Datenverarbeitung im Prozess nicht zum Erfolg gereicht hat, sondern lediglich darauf, ob die vorgelegten Unterlagen ex ante denkmöglich als Beweismittel geeignet waren. Die Excel-Tabelle wurde von der erkennenden Richterin zum Verfahrensakt genommen, was die grundsätzliche Geeignetheit als Beweismittel bestätigt.

BVwG 25.09.2024, W108 2284790-1

Materielle Wahrheit, Zurückverweisung

• Der Nachbar eines Cafés erhob Datenschutzbeschwerde bei der DSB und brachte dabei vor, dass ein Gast des Cafés ihn widerrechtlich gefilmt und fotografiert. Er legte auch eine Filmaufnahme vor, die dies beweisen sollte, weil der Gast darauf selbst zugibt, ihn minutenlang gefilmt zu haben. Auch ist zu sehen und zu hören, wie der Gast laufend seine Handy-Aufzeichnung kommentiert. Der Gast brachte vor, dass er das Handy in der Zwischenzeit gewechselt hat und keine Bilder oder Videos des Nachbarn mehr gespeichert hat. Das BVwG gab der Bescheidbeschwerde des Nachbarn statt, hob den Bescheid auf und verwies die Sache zur neuerlichen Entscheidung an die DSB zurück.
  
  Das BVwG hat erwogen: Ob eine Videoaufnahme/Bildaufnahme angefertigt wurde, ist grundsätzlich strittig. Dennoch hat die DSB zu dieser zentralen Tatfrage ihr Ermittlungsverfahren auf die Einholung von schriftlichen Stellungnahmen beschränkt. Die DSB unterließ es, auf die vom Nachbarn vorgelegten Beweismittel einzugehen und somit die Durchführung der erforderlichen Ermittlungen, ob eine Aufnahme stattgefunden hat.
  
  Im Interesse der Erforschung der materiellen Wahrheit wäre es zumindest erforderlich gewesen, die Parteien förmlich niederschriftlich einzuvernehmen. Es handelt sich dabei auch um einen rechtserheblichen Verfahrensmangel, weil nicht auszuschließen ist, dass die DSB bei dessen Vermeidung zu einem anderen Bescheid hätte kommen können. Der für eine Entscheidung in der Sache erforderliche Sachverhalt steht daher nicht fest. Eine Zurückverweisung der Sache zur Durchführung notwendiger Ermittlungen gemäß § 28 Abs 3 zweiter Satz VwGVG kommt bei gravierenden Ermittlungslücken in Betracht, insbesondere dann, wenn die DSB jegliche erforderliche Ermittlungstätigkeit unterlassen hat, wenn sie zur Ermittlung des maßgebenden Sachverhalts lediglich völlig ungeeignete Ermittlungsschritte gesetzt oder bloß ansatzweise ermittelt hat.

BVwG 25.09.2024, W108 2274176-1

Materielle Wahrheit, Zurückverweisung

• Eine Arbeitsinspektorin führte eine unangemeldete Besichtigung in der Praxis eines Arztes durch. Da der Arzt nicht an einem direkten Gespräch interessiert war, gab die Ordinationsassistentin der Arbeitsinspektorin die notwendigen Auskünfte und legte die erforderlichen Unterlagen vor. Im Zuge der Besichtigung stellte die Arbeitsinspektorin fest, dass Vorschriften zum Arbeitsschutz nicht eingehalten wurden. Auf Nachfrage gab die Ordinationsassistentin eine E-Mail-Adresse als Kontaktadresse für die Ordination bekannt, an welche in Folge das Besichtigungsergebnis übermittelt wurde.
  
  Daraufhin erhob der Arzt eine Datenschutzbeschwerde, weil er sich in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt sah. Die E-Mail-Adresse sei nicht die offizielle Kontaktadresse der Praxis und es sei ausgeschlossen, dass seine Ordinationsassistentin diese angegeben habe. Das Arbeitsinspektorat führte aus, dass es vom Arzt bereits zuvor im Rahmen einer Meldung gemäß § 3 Mutterschutzgesetz für die Praxis des Arztes eine E-Mail von eben dieser Adresse erhalten hatte, weshalb davon ausgegangen werden konnte, dass die von der Ordinationsassistentin bekanntgegebene E-Mail-Adresse die offizielle Kontaktadresse der Praxis sei. Die DSB hat der Datenschutzbeschwerde teilweise stattgegeben und festgestellt, dass das Arbeitsinspektorat durch die Übermittlung des Besichtigungsergebnisses an diese E-Mail-Adresse die Daten des Arztes unrechtmäßig an einen Dritten offengelegt und ihn damit in seinem Recht auf Geheimhaltung verletzt hat. Das Arbeitsinspektorat erhob eine (erfolgreiche) Bescheidbeschwerde aufgrund eines sekundären Feststellungmangels beim BVwG und erreichte die Aufhebung des Bescheides und die Zurückverweisung an die DSB.
  
  Das BVwG hat erwogen: Die Entscheidung der DSB, dass eine Verletzung des § 1 DSG objektiv zu beurteilen ist und das Vorliegen eines individuellen Verschuldens irrelevant ist, ist grundsätzlich richtig. Jedoch ist die Frage, wie die Arbeitsinspektorin zur E-Mail-Adresse gekommen ist und diese verwendet hat, für die Beurteilung des Vorliegens einer Verletzung des § 1 DSG maßgebend. Bei Vorliegen einer Zustimmung in die Verarbeitung personenbezogener Daten ist eine Beschränkung des Anspruchs auf Geheimhaltung zulässig. Daher ist auf Tatsachenebene zu klären, ob der Arzt bzw seine Mitarbeiterin der Arbeitsinspektorin die E-Mail-Adresse zwecks Übermittlung des Besichtigungsergebnisses bekanntgegeben hat und – bejahendenfalls –, ob dadurch eine Zustimmung iSd § 1 Abs 2 DSG vorliegt.
  
  Die DSB hat die Rechtslage verkannt und es unterlassen, Feststellungen dazu zu treffen, wie das Arbeitsinspektorat an die E-Mail-Adresse gekommen ist. Zudem hat die DSB im Ermittlungsverfahren bloß schriftliche Stellungnahmen der Parteien eingeholt, obwohl diese widersprechende Behauptungen aufgestellt hatten. Die DSB ist als Behörde verpflichtet, von Amts wegen die materielle Wahrheit zu erforschen.

BVwG 16.09.2024, W137 2293092-1

Sozialversicherung, AMS, rechtliche Verpflichtung

• Ein Sozialversicherungsträger wurde aufgefordert, dem AMS bekannt zu geben, wann der Versicherte die Voraussetzungen für eine frühestmögliche Alterspension sowie Korridorpension erfüllt. Der Sozialversicherungsträger kontaktierte daraufhin mehrmals den Versicherten, um die bestehenden Lücken im Versicherungsverlauf zu klären. Es erging auch ein Schreiben, in welchem der Versicherte über die Einleitung eines Feststellungsverfahrens und die Konsequenzen bei mangelnder Mitwirkung informiert wurde. Nachdem der Versicherte auf keines dieser Schreiben reagierte, teilte der Sozialversicherungsträger dem AMS den frühestmöglichen Pensionsstichtag mit und informierte darüber, dass der Versicherte am Verfahren nicht mitgewirkt hat.
  
  Der Versicherte erhob daraufhin eine Datenschutzbeschwerde bei der DSB und behauptete eine Verletzung in seinem Recht auf Geheimhaltung. Nachdem die DSB die Datenschutzbeschwerde abwies, brachte der Versicherte eine (erfolglose) Bescheidbeschwerde an das BVwG ein.
  
  Das BVwG hat erwogen: Jede Verarbeitung personenbezogener Daten muss den Grundsätzen des Art 5 DSGVO entsprechen und rechtmäßig iSd Art 6 DSGVO erfolgen. Eine Verarbeitung ist dann rechtmäßig, wenn neben den in Art 5 DSGVO geregelten Grundsätzen mindestens einer der in Art 6 Abs 1 DSGVO festgelegten Rechtsgründe vorliegt. Eine Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit c DSGVO rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. § 69 Abs 1 Arbeitslosenversicherungsgesetz (AlVG) verpflichtet die Sozialversicherungsträger dazu, die regionalen Geschäftsstellen des AMS bei der Erfüllung ihrer Aufgaben zu unterstützen. Diese Pflicht umfasst unter anderem die Übermittlung von Daten über Versicherungszeiten der Arbeitnehmer. Der Sozialversicherungsträger hat den Versicherten mehrfach kontaktiert, um Lücken im Versicherungslauf zu klären, woran der Versicherte jedoch nicht mitgewirkt hat. Der Sozialversicherungsträger musste gemäß § 69 Abs 1 AlVG in Erfüllung einer gesetzlichen Auskunftspflicht iSd Art 6 Abs 1 lit c DSGVO die Informationen an das AMS übermitteln. Die Mitteilung über die mangelnde Mitwirkung durch den Versicherten war daher durch § 69 Abs 1 AlVG gedeckt und verstößt nicht gegen den Grundsatz der Datenminimierung iSd Art 5 Abs 1 lit c DSGVO. Die Verarbeitung der personenbezogenen Daten des Versicherten erfolgte daher gemäß Art 6 Abs 1 lit c DSGVO rechtmäßig.

• Eine Warnung gemäß Art 58 Abs 1 lit a DSGVO kann nur ausgesprochen werden, solange die Verarbeitung lediglich geplant ist (beabsichtigte Datenverarbeitung). Eine Warnung kann nicht mehr ausgesprochen werden, wenn die Verarbeitung bereits durchgeführt wird (BVwG 15.10.2024, W254 2291347-1).

• Verfolgt der Beschwerdeführer offenbar ein Anliegen allgemein rechtspolitischer Art, dann ist die Datenschutzbeschwerde unzulässig. Beim Auslegen der Willenserklärung eines berufsmäßigen Parteienvertreters (hier ein Wirtschaftsprüfer und Steuerberater) ist ein strengerer Maßstab anzulegen als für unvertretene Beschwerdeführer (BVwG 23.09.2024, W274 2266396-1).

• Richtet sich eine Säumnisbeschwerde zwar formal auch gegen den Bescheid über die Einstellung des Säumnisbeschwerdeverfahrens, enthält sie jedoch keine Begründung, weshalb der Bescheid im Ausgangsverfahren die Verwaltungssache nicht zur Gänze erledigt haben soll, ist die Säumnisbeschwerde abzuweisen (BVwG 04.10.2024, W274 2291590-1).

• Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen (BVwG 02.10.2024, W287 2273330-1).

• Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Betroffene sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, einbringt. Nach Ablauf dieser einjährigen subjektiven Präklusivfrist ist das Erheben einer Datenschutzbeschwerde nicht mehr zulässig, sofern keine "fortgesetzte Schädigung" gegeben ist (BVwG 20.09.2024, W214 2291552-1).

• Das Recht auf Auskunft steht unter keinen Voraussetzungen. Es muss insb nicht mit einem Rechtsschutzinteresse begründet werden. Verarbeitet der Verantwortliche keine Daten des Betroffenen (mehr), hat er innerhalb eines Monats eine Negativauskunft zu erteilen. Eine Negativauskunft setzt jedoch voraus, dass der Verantwortliche tatsächlich keine Daten des Betroffenen (mehr) verarbeitet (BVwG 20.09.2024, W214 2291834-1).

• Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens Der VwGH ersuchte den EuGH um Vorabentscheidung zur Auslegung des Begriffs "exzessiv" iSd Art 57 Abs 4 DSGVO. Da diese Frage auch im vorliegenden Verfahren präjudiziell ist, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 23.09.2024, W274 2294608-1).

• Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 03.10.2024, W258 2262116-1).

• Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Erstbescheids und damit dessen Rechtswidrigkeit. Der Erstbescheid ist daher durch das BVwG (ersatzlos) aufzuheben. Bei dieser Art der Entscheidung handelt es sich um eine negative Sachentscheidung, womit auch das Beschwerdeverfahren erledigt wird. Eine darüber hinausgehende Einstellung des Beschwerdeverfahrens erübrigt sich daher (BVwG 04.10.2024, W211 2272474-1).

• Das BVwG kann jederzeit von Amts wegen Schreib- und Rechenfehler oder diesen gleichzuhaltende Unrichtigkeiten in seinen Entscheidungen berichtigen. Einem Berichtigungsbeschluss kommt nur feststellende, nicht jedoch rechtsgestaltende Wirkung (BVwG 15.10.2024, W176 2234682-1).

• Eine Ausschreibung ist aufgrund datenschutzrechtlicher Bedenken hinsichtlich der Datenerhebung nicht rechtswidrig, wenn rechtmäßige Mittel zur Verfügung stehen, um die für die Auftragserfüllung erforderlichen Daten zu erlangen (LVwG Wien 18.10.2024, VGW-123/095/6508/2024).

BDB 04.03.2024, 2022-0.711.297

Amtsmissbrauch, Befangenheit

• Eine Finanzbeamtin griff ohne dienstliche Notwendigkeit wiederholt auf Steuerdaten von sich selbst, ihren Familienmitgliedern und Bekannten zu. Die Zugriffe kamen im Rahmen einer Überprüfung von Logfiles der Datenbankzugriffe hervor. Die Beamtin rechtfertigte die Zugriffe auf die Daten mit der Zustimmung der betroffenen Personen. Die BDB verhängte aufgrund der Dienstpflichtverletzung gemäß § 44 iVm 47 BDG eine Geldbuße in der Höhe von EUR 800 gegen die Beamtin.
  
  Die BDB hat erwogen: Ein Beamter darf nur aus dienstlicher Veranlassung Daten verarbeiten. Wenn personenbezogene Daten ohne dienstliche Rechtfertigung ermittelt werden, liegen eine missbräuchliche Datenverarbeitung und ein Verstoß gegen § 1 DSG vor. Der damit verwirklichte Befugnismissbrauch löst auch ohne tatsächlichen Schadenseintritt bei Schädigungsvorsatz strafrechtliche Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch) aus.
  
  Eine dienstliche Veranlassung eines Datenzugriffes kann bei Vorliegen von Verwandtschaft oder Bekanntschaft aufgrund der Befangenheit des Organs nicht gegeben sein. Eine Einwilligung kann bei Befangenheit auch den Zugriff auf die Daten nicht rechtfertigen.
  
  Zugriffe eines Beamten auf die eigenen Steuerdaten im System sind unrechtmäßig, weil damit die Akteneinsicht im Abgabenverfahren umgangen wird und auch auf Aktenteile Einsicht genommen werden kann, die sonst von der Einsicht ausgenommen sind.
  
  Durch eine abgelegte Fachprüfung wird die Kenntnis der anwendbaren Gesetze und Erlässe vorausgesetzt und von vorsätzlichem Verhalten ausgegangen.
  
  Bei der Schuldbemessung wirken das reumütige Geständnis und die bisherige disziplinarrechtliche Unbescholtenheit mildernd. Als erschwerend wird die Fortsetzung der strafbaren Handlungen über einen mehrjährigen Zeitraum gewertet.

• Am 05.11.2024 wurde die "Durchführungsverordnung (EU) 2024/2835 der Kommission vom 4. November 2024 zur Festlegung von Vorlagen für die Transparenzberichtspflichten der Anbieter von Vermittlungsdiensten und der Anbieter von Online-Plattformen gemäß der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates", ABl L 2024/2835, 1, kundgemacht. Mit dieser DurchführungsVO werden Transparenzberichtspflichten des Digital Service Act konkretisiert.

• Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
  
  
• Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
  
  
• Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
  
  
• Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
  
  
• Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
  
  
• Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.

OGH 20.09.2024, 6Ob221/23b

Google-Bewertungen, Zuständigkeit, Herkunftslandprinzip, Rollenverteilung, Datentransfer in die USA

• Über den Dienst "Google My Business" werden öffentlich zugängliche Informationen und Nutzerbewertungen über lokale Unternehmen veröffentlicht. Solche Profile können von Unternehmen selbst erstellt oder automatisch auf Grundlage öffentlich verfügbarer Daten generiert werden.
  
  Eine Fachärztin erhob Klage gegen eine nach irischem Recht gegründete Gesellschaft (Google Ireland), die Google-Dienste in Europa anbietet und in Österreich die Domain www.google.at betreibt. Das Profil der Fachärztin auf "Google My Business" enthielt ihre Kontaktdaten, Öffnungszeiten, Lichtbilder der Ordination sowie Sternebewertungen und Rezensionen. In mehreren 1-Stern-Bewertungen wurden insb die langen Wartezeiten kritisiert. Die auf Google veröffentlichten Daten der Fachärztin (abseits der Bewertungen und Rezensionen) wurden von ihr selbst auf ihrer Homepage veröffentlicht und waren auch über eine Seite der zuständigen Landes-Ärztekammer abrufbar.
  
  Die Fachärztin forderte die Löschung der Rezensionen und Bewertungen und eine Unterlassung zukünftiger Rezensionen ohne ihre Zustimmung (Art 17 DSGVO). Zudem verlangte sie Schadenersatz iHv 5.000 EUR.
  
  Nach Ansicht der Fachärztin enthielten einige Rezensionen grob kreditschädigende und unrichtige Aussagen, was ihr allgemeines Persönlichkeitsrecht gemäß § 16 iVm § 1330 ABGB beeinträchtigte. Die Fachärztin sah auch das Schutzniveau ihrer Daten als gefährdet, weil ihre Daten konzernintern an die Muttergesellschaft in den USA übermittelt wurden. Nach ihrer Ansicht boten die eingesetzten Standardvertragsklauseln keinen gleichwertigen Schutz, weil diese als privatrechtliche Verträge die US-Behörden nicht binden konnten und somit ein DSGVO-konformer Schutz nicht gewährleistet war.
  
  Das Erst- und das Berufungsgericht wiesen die Klage ab. Der OGH gab der Revision der Fachärztin Folge, behob die Entscheidungen der Vorinstanzen und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück.
  
  Der OGH hat erwogen: Gemäß § 48 IPRG ist österreichisches Recht anzuwenden, weil sich die Wirkung der Verbreitung der Äußerungen vornehmlich im Inland entfaltet, in dem auch das Zentrum der sozialen Interaktion der Fachärztin liegt. Da Google Ireland ihren Sitz jedoch in einem anderen EWR-Mitgliedstaat hat und im koordinierten Bereich gemäß § 3 Z 8 ECG tätig ist, ist das Herkunftslandprinzip nach § 20 ECG relevant. Die rechtlichen Anforderungen für Diensteanbieter, die in einem Mitgliedstaat niedergelassen sind, sind nach dem Recht des Niederlassungsstaats zu beurteilen. Eine Ausnahme vom Herkunftslandprinzip nach den §§ 21 f ECG ist nicht ersichtlich, zumal die Rezensionen und Bewertungen, deren Unterlassung und Löschung die Fachärztin begehrt, nicht als die Würde eines einzelnen Menschen antastend zu qualifizieren sind. § 20 Abs 1 ECG enthält für Eingriffe in das (allgemeine) Persönlichkeitsrecht eine Sachnormverweisung auf die materiellen Rechtsvorschriften des Niederlassungsstaats. Demnach ist das Recht des Staats maßgeblich, in dem der Dienstleister iSd ECG seinen Sitz hat (daher irisches Sachrecht).
  
  Auf eine fehlende Zustimmung der Fachärztin, sich bewerten zu lassen, kommt es nicht an, weil sich Google Ireland zu Recht auf Art 6 Abs 1 lit f DSGVO stützt. Anlässlich der Verarbeitung wird ein berechtigtes Interesse wahrgenommen. Dieses Interesse besteht in der Information der Öffentlichkeit über ärztliche Leistungen sowie in einem Einblick in persönliche Erfahrungen und subjektive Einschätzungen, die der jeweilige Nutzer bei seiner eigenen Arztwahl berücksichtigen kann.
  
  Google Ireland ist als Verantwortliche iSd Art 4 Z 7 DSGVO zu qualifizieren. Durch ihren Dienst "Google My Business" erstellt und verwaltet sie Unternehmensprofile. Sie beeinflusst so den Zweck und die Mittel der Verarbeitung, weil sie die Kategorien der Informationen und die Verknüpfung der Rezensionen und Bewertungen mit Unternehmensprofilen vorgibt.
  
  Die zentrale datenschutzrechtliche Problematik liegt in der Frage, was unter "Übermittlung an ein Drittland" zu verstehen ist. Um den durch die DSGVO innerhalb der EU gewährten Schutz des Einzelnen nicht zu untergraben, sind Übermittlungen personenbezogener Daten "an ein Drittland" nur unter bestimmten Voraussetzungen zulässig (Art 44 DSGVO). Dabei geht es im Wesentlichen um die Einhaltung eines angemessenen Schutzniveaus, welches Erfordernis sich nach der Rechtsprechung des EuGH direkt aus der EU-Grundrechte-Charta ergibt. Solange ein mit einem Drittland (hier den USA) geschlossenes Abkommen bestand oder besteht, zu dem ein (aufrechter) Angemessenheitsbeschluss iSd Art 45 Abs 1 DSGVO vorliegt, bedarf es für die Übermittlung keiner besonderen Genehmigung. Ohne einen solchen Angemessenheitsbeschluss (Art 45 Abs 3 DSGVO) dürfen nach Art 46 Abs 1 DSGVO personenbezogene Daten an ein Drittland nur übermittelt werden, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
  
  Kernargument der Revision für die Unzulässigkeit der Übermittlung der Daten in die USA als Drittland ist die Aufhebung des Angemessenheitsbeschlusses zum Privacy Shield-Abkommen durch den EuGH. Nachdem der US-Präsident den "Executive Order on Enhancing Safeguards for United States Signals Intelligence Activites" erlassen hat, wurde jedoch mit dem "EU-U.S. Data Privacy Framework" ein neuer Angemessenheitsbeschluss gefasst. Seither ist der Datentransfer (hinsichtlich der zertifizierten Empfänger) wieder "ohne besondere Genehmigung" zulässig.
  
  Nicht zweifelsfrei geklärt ist aber, welche Vorgänge unter "Übermittlung" iSd Art 44 ff DSGVO überhaupt zu verstehen sind.
  
  Auch nicht eindeutig geklärt ist, ob die Aufhebung des Angemessenheitsbeschlusses auf bereits zuvor erfolgte Datenübermittlungen zurückwirkt und somit das (Weiter-)Anzeigen (oder die Speicherung) von Bewertungen, die bereits zuvor "übermittelt" wurden, als unzulässige Übermittlungen nach Art 44 DSGVO anzusehen sind. Ist eine Rückwirkung nicht völlig auszuschließen, scheint auch die Frage einer etwaigen Sanierung durch einen nachfolgenden Angemessenheitsbeschluss offen.
  
  Letztlich kann auch die Kategorie der übermittelten Daten in Betracht zu ziehen sein. Bei den Profildaten handelt es sich um allgemein verfügbare personenbezogene Daten der Fachärztin. Werden die Profildaten nicht bloß reproduziert, sondern mit einem neuen Element verknüpft (der Bewertung), werden damit "neue" personenbezogene Daten (unter Einschluss der Profildaten) erzeugt. Allerdings könnte das Verlangen der Löschung der gesamten Daten als "überschießend" angesehen werden.
  
  Nicht zuletzt ist auch zu hinterfragen, ob – soweit von einer unzulässigen Übermittlung in ein Drittland nach Art 44 DSGVO auszugehen sein sollte – aus einem solchen Verstoß das Recht des Betroffenen auf Löschung seiner Daten nach Art 17 DSGVO resultiert, zumal es einer Verletzung eines dem Betroffenen eingeräumten subjektiven, individuellen Rechts bedarf. Es erscheint fraglich, ob die Fachärztin den Anspruch auf Löschung aller Bewertungen (bzw überhaupt all ihrer Daten) als verhältnismäßige Konsequenz auf Art 17 Abs 1 lit d DSGVO stützen kann.

• Durch das ORF-Beitrags-Gesetz 2024 (OBG) ist kein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu erblicken. Die Verarbeitung bestimmter personenbezogener Daten zum Zwecke der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 OBG erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt (BVwG 01.10.2024, I406 2297556-1).
  
  
• Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim Bundesverwaltungsgericht sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 30.09.2024, W258 2262547-1; W258 2262750-1 ua).
  
  
• Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung zur Auslegung des Begriffs "exzessiv" iSd Art 57 Abs 4 DSGVO. Da diese Frage auch im vorliegenden Verfahren präjudiziell ist, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 09.2024, W274 2293407-1; 30.09.2024, W274 2290131-1).
  
  
• Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Erstbescheides und damit (nachträglich) dessen Rechtswidrigkeit. Der Erstbescheid ist daher durch das BVwG (ersatzlos) aufzuheben. Bei dieser Art der Entscheidung handelt es sich um eine negative Sachentscheidung, womit auch das Beschwerdeverfahren erledigt wird. Eine darüberhinausgehende Einstellung des Beschwerdeverfahrens erübrigt sich daher (BVwG 30.09.2024, W211 2271492-1).

• Am 23.10.2024 ist die 3. Novelle zur AutomatFahrV, BGBl II 2024/287, kundgemacht worden. Die Verordnung enthält Regelungen zum automatisierten Fahrzeug zur Personenbeförderung sowie zum automatisierten Absicherungsfahrzeug.

• Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
  
  
• Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
  
  
• Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
  
  
• Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
  
  
• Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
  
  
• Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahren sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.

EuGH 17.10.2024, C-302/23, Jarocki

eIDAS-Verordnung

• Ein Gläubiger beantragte bei einem polnischen Gericht die Erteilung einer Vollstreckungsklausel, um die Zwangsvollstreckung in eine Immobilie betreiben zu können. Er reichte seinen Antrag per E-Mail mit einer vertrauenswürdigen, aber nicht qualifizierten elektronischen Signatur über die elektronische Plattform des Gerichts ein. Die meisten polnischen Gerichte verfügen über kein Informations- und Kommunikationssystem, das die elektronische Einreichung von Schriftsätzen ermöglicht und nehmen daher keine elektronisch signierten Schriftstücke an. Der Rechtspfleger wies den Antrag zurück, weil er nicht handschriftlich unterzeichnet war. Der Gläubiger machte geltend, dass dies gegen das Unionsrecht verstoße.
  
  Der EuGH hat erwogen: Die Verordnung (EU) 910/2024 (eIDAS-VO) gilt sowohl für sämtliche in der EU niedergelassene Vertrauensdiensteanbieter als auch für von einem Mitgliedstaat notifizierte elektronische Identifizierungssysteme. Selbst wenn ein Mitgliedstaat kein solches System notifiziert hat, bleiben die Bestimmungen über elektronische Signaturen anwendbar.
  
  Die eIDAS-VO erlaubt es den nationalen Gerichten, elektronische Signaturen für ungültig zu erklären. Elektronischen Signaturen dürfen Rechtswirkung und Beweiskraft aber nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegen oder weil sie die Anforderungen an eine qualifizierte elektronische Signatur nicht erfüllen. Die eIDAS-VO hindert Mitgliedstaaten nicht daran, Vorgaben hinsichtlich der Form zu machen. Die eIDAS-VO wirkt sich daher nicht auf Verfahrensfragen aus, die im nationalen Recht die Modalitäten für die Einreichung von Schriftsätzen bei den Gerichten festlegen.
  
  Die polnische Regelung untersagt die elektronische Einreichung eines elektronisch signierten Schriftstücks bei einem Gericht nicht deshalb, weil allein eine handschriftliche Unterzeichnung als Signatur angesehen wird, sondern verlangt, dass die elektronische Einreichung von Schriftsätzen über ein geeignetes Informations- und Kommunikationssystem, über das dieses Gericht verfügen muss, erfolgt. Wenn ein Gericht über kein solches Informations- und Kommunikationssystem verfügt, wird der Schriftsatz nicht "allein deshalb" abgelehnt, weil dieser elektronisch signiert wurde oder nicht den Anforderungen der qualifizierten elektronischen Signatur genügt, sondern weil er nicht über ein geeignetes Informations- und Kommunikationssystem eingereicht wurde, wie es das nationale Recht vorsieht. Dies ist keine Verletzung der eIDAS-VO.
  
  Die eIDAS-VO steht daher einer nationalen Vorschrift, nach der ein Schriftsatz nur dann in elektronsicher Form und mit elektronischer Signatur bei einem Gericht eingereicht werden darf, wenn dieses über ein geeignetes Informations- und Kommunikationssystem verfügt und die Einreichung über dieses System erfolgt, nicht entgegen.

• Bei einer ergänzenden Beweisanforderung zur Vorlage eines Steuerakts durch ein Viertel der Mitglieder des Untersuchungsausschusses gemäß § 25 Abs 2 VO-UA kommt von vornherein keine Verletzung von Persönlichkeitsrechten in Betracht. Die Entscheidung, ob Akten und Unterlagen dem Untersuchungsausschuss vorzulegen sind, obliegt dem informationspflichtigen Organ. Dieses hat auch zu entscheiden, ob die vorzulegenden Akten und Unterlagen nach dem Informationsordnungsgesetz zu klassifizieren sind. Der Eingriff in Persönlichkeitsrechte entsteht daher erst, wenn das vorlagepflichtige Organ dem Untersuchungssauschuss tatsächlich Akten oder Unterlagen vorlegt (VfGH 24.09.2024, UA17/2024).

• Wenn der Entscheidungsgegenstand nicht ausschließlich in einem Geldbetrag besteht, hat das Berufungsgericht (OLG) gemäß § 500 Abs 2 ZPO den Wert des Entscheidungsgegenstandes auszusprechen (Bewertungsausspruch). Die Zulässigkeit der Revision an den OGH hängt ua vom Wert des Entscheidungsgegenstandes ab. Ansprüche, die auf eine Verletzung des Datenschutzrechts gestützt werden, sind nicht zu bewerten.
• Soweit für eine Person eine Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit besteht, dürfen personenbezogene Daten und andere Umstände, die Rückschlüsse auf die Identität oder die höchstpersönlichen Lebensumstände der gefährdeten Person zulassen, von der Akteneinsicht ausgenommen werden (51 Abs 1 iVm § 162 StPO). Eine darüber hinausgehende Beschränkung des Rechts auf Akteneinsicht des Beschuldigten ist unzulässig (OGH 24.09.2024, 11Os76/24x).
• Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 20.09.2024, 6Ob219/23h).

BVwG 11.09.2024, W256 2290824-1

Kohärenzverfahren, Säumnisbeschwerde

• Der Nutzer einer Social-Media-Plattform brachte im Zusammenhang mit der Einschränkung der ihm zur Verfügung stehenden Funktionen eine Datenschutzbeschwerde bei der DSB gegen den Betreiber der Plattform im Unionsraum ein. Nachdem mehr als sechs Monate verstrichen waren, wandte sich der Nutzer mittels Säumnisbeschwerde (erfolglos) an das BVwG.
  
  Das BVwG hat erwogen: Grundsätzlich steht jedem Betroffenen nach Art 78 Abs 2 DSGVO die Möglichkeit einer Untätigkeitsklage frei, wenn sich die zuständige Aufsichtsbehörde nicht mit einer Datenschutzbeschwerde befasst (hat). Die Zulässigkeit einer Säumnisbeschwerde setzt die Säumnis der vor dem Verwaltungsgericht belangten Behörde voraus. Da es sich beim Betreiber der Plattform um ein in Irland hauptansässiges Unternehmen handelt, liegt eine grenzüberschreitende Verarbeitung vor.
  
  Für grenzüberschreitende Verarbeitungen sieht Art 56 Abs 1 DSGVO ein Verfahren der Zusammenarbeit und Kohärenz vor, das auf einer Aufteilung der Zuständigkeiten zwischen einer "federführenden Aufsichtsbehörde" und den anderen betroffenen Aufsichtsbehörden beruht. Grundsätzlich fällt die Führung eines solchen – vom Sachentscheidungsverfahren zu unterscheidenden – Vorverfahrens in die Zuständigkeit der "federführenden Aufsichtsbehörde". Da somit bei grenzüberschreitenden Datenverarbeitungen die Zuständigkeit zur Entscheidung vom Ausgang des Verfahrens der Zusammenarbeit und Kohärenz abhängt und diese somit bis dahin nicht geklärt ist, kann eine Verletzung der Entscheidungspflicht durch eine Aufsichtsbehörde bis zum Abschluss eines solchen Verfahrens nicht rechtswirksam geltend gemacht werden. Korrespondierend ordnet § 24 Abs 10 Z 2 DSG an, dass in die Entscheidungsfrist die Zeit während eines solchen Verfahrens nicht eingerechnet wird.
  
  Hieran ändert auch nichts, dass die DSB die vom Nutzer bei ihr eingebrachte Datenschutzbeschwerde an die zur Durchführung des Kohärenzverfahrens zuständige "federführende Aufsichtsbehörde" nicht weitergeleitet hat, weil die Frist zur Entscheidung bereits mit Einbringen der Datenschutzbeschwerde gehemmt wurde. Betreffend die hier allein geltend gemachte Entscheidungsfrist war die DSB nicht säumig.

BVwG 16.09.2024, W137 2288585-1

Wildkamera, zeitlicher Anwendungsbereich, DSG 2000 Verhältnismäßigkeit, gelindeste Mittel

• Im Februar 2018 installierte ein Grundstücksbewohner, der ein Wohnrecht, aber kein Eigentum (mehr) an der Liegenschaft hatte, mehrere Kameras, darunter eine Wildkamera, auf seinem Anwesen. Der Zweck der Wildkamera bestand darin, die Hühner in seinem Garten vor einem Marder zu schützen. Der erfasste Bereich erstreckte sich auf den Eingang des Nachbarhauses und den Streifen zwischen den beiden Häusern. Dadurch erachtete sich der Nachbar in seinem Recht auf Geheimhaltung verletzt.
  
  Die DSB gab der Datenschutzbeschwerde des Nachbarn statt. Gegen diesen Bescheid erhob der Grundstücksbewohner Bescheidbeschwerde an das BVwG und führte ua an, dass kein ordnungsgemäßes Ermittlungsverfahren stattgefunden hatte. Das BVwG hob den Bescheid der DSB auf und verwies die Angelegenheit an die DSB zurück. Es bemängelte, dass die DSB die Sachverhaltsfeststellungen ohne ordnungsgemäßes Ermittlungsverfahren getroffen hatte. Infolgedessen setzte die DSB das Verfahren fort und forderte vom Grundstücksbewohner weitere Beweismittel an. Letztendlich stellte die DSB fest, dass der Grundstücksbewohner seinen Nachbarn im Recht auf Geheimhaltung verletzt hatte, indem er den Eingangsbereich des Nachbarhauses mit der Wildkamera aufnahm. Daraufhin erhob der Grundstücksbewohner (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Das BVwG hat seine Entscheidung an der zum Zeitpunkt der Entscheidung maßgeblichen Sach- und Rechtslage auszurichten. Eine frühere Rechtslage ist anzuwenden, wenn der Anspruch nach den zu seiner Entstehungszeit geltenden materiell-rechtlichen Bestimmungen zu beurteilen ist. Die Kameraaufzeichnungen ereigneten sich vor Inkrafttreten der DSGVO (25.05.2018). Daher ist materiell-rechtlich die Rechtslage des DSG 2000 heranzuziehen.
  
  Die Definition der Videoüberwachung knüpfte an die Feststellung von Geschehnissen an, die ein bestimmtes Objekt oder eine bestimmte Person "betreffen". Es wurde nicht darauf abgestellt, was von den Bilddaten erfasst wurde, sondern dass ein bestimmtes Objekt oder eine bestimmte Person von der Überwachung betroffen war.
  
  Auch gezieltes Fotografieren kann eine Videoüberwachung sein, wenn es intentional auf die Überwachung einer Person oder eines Objekts gerichtet ist. Die regelmäßige Auslösung durch jedes Kommen und Gehen des Nachbarn verwirklichte den Überwachungsgedanken. Folglich lag eine Videoüberwachung iSd § 50a DSG 2000 vor.
  
  Nach § 50a Abs 2 DSG 2000 galten die Grundsätze der §§ 6 und 7 DSG 2000, insbesondere der Verhältnismäßigkeitsgrundsatz (§ 7 Abs 3 DSG 2000). Die Videoüberwachung war weder gemeldet noch genehmigt. Somit war bereits die Aufnahme der Datenverarbeitung rechtswidrig (§ 17ff DSG 2000).
  
  Der Grundstücksbewohner hatte gemäß § 7 Abs 1 DSG 2000 die rechtliche Befugnis zum Installieren der Wildkamera. Die Wildkamera war innen montiert und erfasste teilweise sein eigenes Grundstück. Die Verhältnismäßigkeit gemäß § 1 Abs 1 letzter Satz DSG erfordert jedoch, dass weniger eingriffsintensive Mittel vorzuziehen sind. Da bereits eine bessere Sicherung des Hühnerstalls ausreichend gewesen wäre, handelte es sich zweifelsfrei nicht um das gelindeste Mittel iSd § 7 Abs 3 DSG 2000.

• Laut Art 56 Abs 1 VO (EU) 2022/2065 (Digital-Services-Act; DSA) verfügt der Mitgliedstaat, in dem sich die Hauptniederlassung des Anbieters von Vermittlungsdiensten befindet, über ausschließliche Befugnisse, den DSA zu überwachen und durchzusetzen. Das Kommunikationsplattformen-Gesetz (KoPl-G) ist gemäß § 10 Abs 1 Koordinator-für-digitale-Dienste-Gesetz (KDD-G) mit 17.02.2024 außer Kraft getreten. Verfahren, die nach dem KoPl-G gegen den Anbieter einer Kommunikationsplattform geführt wurden, der nach Art 56 DSA nunmehr in die Zuständigkeit eines anderen Mitgliedstaats oder der Europäischen Kommission fällt, sind einzustellen (BVwG 02.09.2024, W290 2242336-1). Anm: Hintergrund des Verfahrens ist, dass der österreichische Gesetzgeber die Anbieter von Kommunikationsplattformen dem
  KoPl-G unterwarf. Google, Meta und TikTok beantragten daraufhin die Feststellung, dass sie dem KoPl-G nicht unterliegen, ua mit dem Argument, dass das KoplG mit dem Unionsrecht unvereinbar sei. Die zuständige Kommunikationsbehörde (KommAustria) stellte in allen drei Verfahren – wie auch in einem späteren Verfahren gegen Twitter – fest, dass diese Anbieter in den Anwendungsbereich des KoPl-G fallen. Die Bescheidbeschwerden dieser drei Anbieter wurden vom BVwG abgewiesen. Ihre Revisionen verband der VwGH zu einem Verfahren und der VwGH ersuchte den EuGH um Vorabentscheidung zur Vereinbarkeit des KoPl-G mit der eCommerce-Richtlinie. Der EuGH entschied, dass das KoPl-G mit dem Herkunftslandprinzip der eCommerceRL unvereinbar war. Daraufhin behob der VwGH die drei Erkenntnisse des BVwG und der Gesetzgeber hob das KoPl-G auf. Das BVwG hat nunmehr im zweiten Verfahrensgang den Bescheid der KommAustria gegen TikTok ersatzlos behoben und das Verfahren eingestellt.
• Voraussetzung für die Geltendmachung des Beschwerderechts ist, dass die beschwerdeführende Person selbst durch die Datenverarbeitung betroffen Dort, wo es der DSB nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, ist von einer Mitwirkungspflicht der Partei auszugehen. Die beschwerdeführende Partei ist verpflichtet, in ihrer Sphäre liegende Unterlagen vorzulegen, um den Beweis zu erbringen, dass ihre personenbezogenen Daten tatsächlich verarbeitet wurden. Werden entsprechende Unterlagen nicht vorgelegt, kann keine Datenschutzverletzung festgestellt werden und ist die Datenschutzbeschwerde abzuweisen (BVwG 12.09.2024, W252 2271471-1).
• Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 20.09.2024, W214 2262861-1).

LVwG Wien 29.02.2024, VGW-001/049/14641/2023

Handelsstatistik, UID-Nummer, Art 6 Abs 1 lit e DSGVO

• Ein Unternehmen erhielt mehrere Strafverfügungen und Straferkenntnisse von der Bezirkshauptmannschaft (BH), weil es trotz Aufforderung unterließ, die nach dem Handelsstatistischen Gesetz (HStG) erforderlichen Daten der Statistik Austria zu übermitteln. Das Unternehmen sei am EU-Warenverkehr beteiligt und sei daher ua zur Bekanntgabe der UID-Nummern ihrer Handelspartner verpflichtet. Der Geschäftsführer des Unternehmens erhob Einspruch und Bescheidbeschwerde beim zuständigen LVwG, welches die anhängigen Straferkenntnisse mangels örtlicher Zuständigkeit der BH behob. Daraufhin wurde die Sache dem Magistrat der Stadt Wien abgetreten und es ergingen erneut Straferkenntnisse, gegen die der Geschäftsführer Bescheidbeschwerde an das LVwG Wien erhob.
  
  Das LVwG hat erwogen: Die örtliche Zuständigkeit des Magistrats der Stadt Wien ergibt sich aus dem Sitz der Statistik Austria als auskunftbegehrende Stelle nach dem HStG. Gemäß § 1 Abs 1 HStG müssen Waren, die innerhalb der EU verbracht werden, und Waren, die über die Zollgrenze der EU ein- und ausgeführt werden, für die Zwecke der amtlichen Handelsstatistik angemeldet werden. Unter die bekanntzugebenden Daten fällt gemäß § 4 HStG und Art 13 der VO 2019/2152 auch die UID-Nummer des Handelspartners. Das Vorbringen, dass die Bekanntgabe der UID-Nummern mit einem unverhältnismäßigen administrativen Aufwand verbunden sei, ist nicht glaubhaft, weil das Unternehmen nicht von unwesentlicher Größe ist und auch international in Drittstaaten tätig ist. Ein Unternehmen dieser Größe wird zwangsläufig über einen entsprechenden Verwaltungsapparat verfügen, dem dieser Aufwand zumutbar ist. Das Argument des Datenschutzes greift nicht, weil es sich bei den UID-Nummern zwar um personenbezogene Daten handelt, jedoch im HStG und in der VO 2019/2152 mehrere Rechtsgrundlagen iSd Art 6 Abs 1 lit e DSGVO vorliegen. Auch kann das Unternehmen in keinem subjektiven Recht verletzt sein, weil es sich bei den UID-Nummern um die Daten seiner Handelspartner handelt. Das Vorbringen, die UID-Nummern aus Sorge vor einem etwaigen Data Breach bei der Statistik Austria oder der Eurostat nicht weitergeleitet zu haben, reicht nicht aus. Ein Data Breach kann nie zu 100% ausgeschlossen werden und die Statistik Austria unterliegt im Rahmen ihrer Tätigkeit dem Statistikgeheimnis nach § 17 Bundesstatistikgesetz und somit strengen Zweckbindungen bei der Verarbeitung personenbezogener Daten. Das Unternehmen hat somit durch Unterlassung der Bekanntgabe der erforderlichen Daten eine Verwaltungsübertretung begangen und es war eine Geldstrafe zu verhängen.

• Der EDSA veröffentlichte Leitlinien, um den technischen Anwendungsbereich der Art 5 Abs 3 ePrivacy-Richtlinie (ePrivacyRL) durch Aufzählung von Beispielen näher zu bestimmen. Die Leitlinien sind eine Ergänzung zur Stellungnahme 9/2014 der Art 29 Datenschutzgruppe (WP 224), in der die Anwendbarkeit von Art 5 Abs 3 ePrivacyRL auf den virtuellen Fingerabdruck erörtert wurde (device fingerprinting).
  
  Ziel der ePrivacyRL ist es, die Privatsphäre der Nutzer zu schützen. Art 5 Abs 3 ePrivacyRL ist anwendbar, wenn (i) Informationen (diese müssen keinen Personenbezug aufweisen) (ii) auf einem Endgerät eines Nutzers oder Teilnehmers (iii) gespeichert oder von diesem abgerufen werden.
  
  Ein Gerät wird als Endgerät definiert, wenn es direkt oder indirekt mit der Schnittstelle eines öffentlichen Telekommunikationsnetzes verbunden ist, um Informationen zu senden, zu verarbeiten oder zu empfangen. Bei der Speicherung und dem Abrufen handelt es sich um getrennte Vorgänge, diese müssen nicht in derselben Kommunikation stattfinden. Gespeicherte Informationen sind Informationen, die schon am Endgerät vorhanden sind. Dabei kommt es auf die Art und die Quelle der Information nicht an.
  
  Anwendungsfälle von Art 5 Abs 3 ePrivacyRL sind etwa URL- und Pixel-Tracking, weil dafür Informationen vom Endgerät abgerufen werden. Auch fallen lokal auf dem Endgerät verarbeitete und generierte Daten in den Anwendungsbereich der ePrivacyRL, wenn durch eine installierte API (Programmierschnittstelle) bereits gespeicherte Informationen einem Dritten zugesandt werden.
  
  Tracking durch IP-Adressen, die an Provider gesendet werden, fallen in den Anwendungsbereich der ePrivacyRL, wenn die IP-Adresse von einem Endgerät stammt. Kann der Empfänger nachweisen, dass es sich bei den Daten um keine Endnutzerdaten handelt, ist die Datenübermittlung vom Anwendungsbereich der ePrivacyRL jedoch ausgenommen.
  
  Datenverbindungen von IoT-Geräten (Internet of Things; zB Smartwatches, intelligente Türschlösser, virtuelle Assistenten) fallen in den Anwendungsbereich der ePrivacyRL, wenn diese Geräte direkt oder indirekt Zugang zu einem öffentlichen Kommunikationsnetzwerk haben und Informationen senden.
  
  Unique Identifier (UID/eindeutige Identifizierungsnummer) fallen in den Anwendungsbereich der ePrivacyRL, wenn über einen Browser die Aufforderung an das Endgerät gesendet wird, die UID zu übermitteln.

• Am 18.10.2024 wurde die Durchführungsverordnung (EU) 2024/2690 zur Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) veröffentlicht. Mit dieser DurchführungsVO werden technische und methodische Anforderungen für Risikomanagementmaßnahmen im Bereich der Cybersicherheit für folgende Anbieter/Betreiber und Dienstleister festgelegt: DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter.

• Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.

VfGH 03.10.2024, E4003/2023

Videoüberwachung, Verschleierungsverbot

• Ein Mann trug eine Burka, um nicht von einer öffentlichen Videoüberwachungskamera erfasst zu werden. Aufgrund des Verstoßes gegen § 2 Abs 1 Anti-Gesichtsverhüllungsgesetz (AGesVG) wurde ihm mit Bescheid eine Geldstrafe auferlegt. Der Mann erhob Bescheidbeschwerde beim LVwG Niederösterreich und behauptete, das AGesVG sei verfassungswidrig, weil es gegen das verfassungsgesetzlich gewährleistete Recht auf Datenschutz verstoße. Da das LVwG die Bescheidbeschwerde abwies, erhob der Mann Erkenntnisbeschwerde an den VfGH.
  
  Der VfGH hat erwogen: Gemäß Art 8 Abs 1 EMRK hat jedermann Anspruch auf Achtung seines Privatlebens. Ein Eingriff in dieses Grundrecht ist nur statthaft, wenn dieser gesetzlich vorgesehen ist und dem materiellen Gesetzesvorbehalt des Art 8 Abs 2 EMRK entspricht. Zudem muss der Eingriff geeignet und erforderlich sein, um ein legitimes Ziel zu erreichen und er muss verhältnismäßig sein.
  
  Das AGesVG zielt auf die Förderung von Integration durch die Stärkung der Teilhabe an der Gesellschaft und die Sicherung des friedlichen Zusammenlebens von Menschen unterschiedlicher Herkunft und Religion in einer pluralistischen Gesellschaft ab. Dies dient der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit. Zur Umsetzung dieses Ziels hat der Gesetzgeber den Verbotstatbestand des § 2 Abs 1 AGesVG normiert, der neutral formuliert ist und sämtliche Gesichtsverhüllungen in der Öffentlichkeit erfasst. Der EGMR erkennt dem Staat einen weiten Ermessensspielraum bei der Frage zu, ob es erlaubt sein soll, seine Gesichtszüge in der Öffentlichkeit zu verhüllen. Diesen rechtspolitischen Gestaltungsspielraum hat der österreichische Gesetzgeber nicht überschritten, sodass keine Verletzung im Recht auf Achtung des Privatlebens vorliegt.
  
  Da auch keine Verletzung in anderen verfassungsgesetzlich gewährleisteten Rechten oder in einem sonstigen Recht zu erkennen ist, ist der Beschwerdeführer wegen Anwendung des § 2 Abs 1 AGesVG nicht in seinen Rechten verletzt worden.

• Soweit für eine Person eine Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit besteht, dürfen personenbezogene Daten und andere Umstände, die Rückschlüsse auf die Identität oder die höchstpersönlichen Lebensumstände der gefährdeten Person zulassen, von der Akteneinsicht ausgenommen werden (51 Abs 1 iVm § 162 StPO). Eine darüber hinausgehende Beschränkung des Rechts auf Akteneinsicht des Beschuldigten ist unzulässig (OGH 24.09.2024, 11Os75/24z; 24.09.2024, 11Os74/24b).
• Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 20.09.2024, 6Ob112/24z).

BVwG 28.08.2024, W221 2279014-1

Tesla, Dash-Cam, Beweislast

• Tesla-Fahrzeuge sind mit mehreren Dash-Cams ausgestattet, die das Umfeld überwachen. Der "Sentry Mode" speichert Aufnahmen bei Bedrohungen. Der "Alert Mode" wird bei Erschütterungen oder ähnlichen Ereignissen aktiviert. Für die Speicherung der Videos auf einem USB-Laufwerk muss dieses korrekt formatiert und angeschlossen sein.
  
  Ein Passant fühlte sich durch die vermeintliche Videoaufzeichnung eines Teslas in seinem Recht auf Geheimhaltung verletzt. Das Fahrzeug parkte in einer Fußgängerzone, als der Passant vorbeiging. Seiner Ansicht nach filmte das Fahrzeug ihn im "Sentry Mode" und "Alert Mode", speicherte die Aufnahmen und übertrug diese in die USA. Weiters erachtete er sich in seinen Rechten auf Auskunft, Berichtigung und Löschung verletzt. Die Fahrzeughalterin verstieße gegen Art 6 DSGVO, weil es weder eine gesetzliche Grundlage noch eine Einwilligung für die Verarbeitung gebe. Zudem verletze sie mangels Kennzeichnung die Informationspflicht nach Art 13 DSGVO.
  
  Die DSB wies die Datenschutzbeschwerde des Passanten wegen Verletzung in den Rechten auf Auskunft, Berichtigung und Löschung in einem Teilbescheid ab, weil der Passant kein entsprechendes Ersuchen an die Fahrzeughalterin richtete. In einem zweiten Teilbescheid wies die DSB auch die Datenschutzbeschwerde wegen behaupteter Verletzung der Rechte auf Information und Geheimhaltung ab, weil zum entscheidungsrelevanten Zeitpunkt der "Sentry Mode" zwar aktiv gewesen sei, die Kameras jedoch nicht eingeschaltet waren. Es habe somit keine Datenverarbeitung stattgefunden. Daraufhin erhob der Passant (erfolglose) Bescheidbeschwerde gegen den zweiten Teilbescheid an das BVwG.
  
  Das BVwG hat erwogen: Die Aktivierung des "Sentry Mode" (auch wenn er nicht in den "Alert Mode" wechselt) ist eine Datenverarbeitung, die eine Informationspflicht des datenschutzrechtlich Verantwortlichen auslösen kann. Entscheidend ist daher, ob der "Sentry Mode" zum entscheidungsrelevanten Zeitpunkt tatsächlich aktiviert war.
  
  Der Verantwortliche iSd Art 4 Z 7 DSGVO trägt die Beweislast für die Rechtmäßigkeit der Datenverarbeitung iSd Art 5 DSGVO. Darüber hinaus finden sich in der einschlägigen Judikatur und in den anzuwendenden Normen jedoch keine Hinweise auf eine entsprechende Beweislastumkehr in Bezug auf das Vorliegen einer Datenverarbeitung.
  
  Weiters ist in diesem Zusammenhang auf den Amtswegigkeitsgrundsatz zu verweisen. Dieser verpflichtet die Behörde, den Sachverhalt vollständig von Amts wegen zu ermitteln, ohne in tatsächlicher Hinsicht an das Parteienvorbringen gebunden zu sein (§ 39 Abs 2 iVm § 37 AVG). Wenn es nicht gelingt, die anspruchsbegründenden Tatsachen festzustellen, geht dies zulasten des Betroffenen.
  
  Der "Sentry Mode" war zum entscheidungsrelevanten Zeitpunkt nicht aktiviert. Folglich fanden auch keine Videoaufnahmen über Passanten statt. Da keine personenbezogenen Daten verarbeitet wurden, ist das Geheimhaltungsrecht des Passanten nicht verletzt worden. Weiters gelangt Art 13 DSGVO mangels Erhebung personenbezogener Daten nicht zur Anwendung. Anm: Nach der ständigen Rechtsprechung der DSB können die Rechte auf Auskunft, Berichtigung und Löschung in einer Datenschutzbeschwerde erst geltend gemacht werden, nachdem ein Auskunfts-, Berichtigungs- oder Löschungsersuchen an den Verantwortlichen gestellt worden ist. Deshalb ist die Datenschutzbeschwerde hinsichtlich dieser Rechte mit dem ersten (unbekämpften) Teilbescheid der DSB zurückgewiesen worden (vgl auch unten BVwG 12.09.2024, W287 2296629-1).

BVwG 22.08.2024, W256 2246158-1

SPG, Identitätsdokumentenregister, AuvBZ, Unzuständigkeit

• Anlässlich einer Lärmerregung im öffentlichen Raum forderten Polizeibeamte eine Passantin zur Identitätsfeststellung in Form einer Ausweisleistung auf. Da sich die Passantin weigerte, ihren Ausweis vorzuzeigen, wurde sie schließlich von den Polizeibeamten festgenommen und zur nächstgelegenen Polizeiinspektion verbracht, wo eine Abfrage ihres Lichtbildes im Identitätsdokumentenregister ("IDR") Die von der Passantin auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Die hiergegen erhobene Bescheidbeschwerde wies das BVwG mit der Maßgabe ab, dass die ursprüngliche Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird.
  
  Das BVwG hat erwogen: Die Organe des öffentlichen Sicherheitsdienstes sind gemäß § 35 Abs 2 und 3 SPG zur Feststellung der Identität einer tatverdächtigen Person ermächtigt. Dabei reicht die Skala der für die Feststellung der Identität einsetzbaren Maßnahmen vom Befragen des Betroffenen bis zur Einsichtnahme in einen amtlichen Lichtbildausweis.
  
  Über Beschwerden wegen Verletzung von Rechten durch Verarbeiten personenbezogener Daten in Angelegenheiten der Sicherheitsverwaltung entscheidet grundsätzlich die DSB. Davon ausgenommen ist jedoch die Beurteilung der Rechtmäßigkeit der Ermittlung von personenbezogenen Daten infolge der Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt ("AuvBZ").
  
  Eine AuvBZ liegt vor, wenn physischer Zwang ausgeübt wird oder die unmittelbare Ausübung physischen Zwangs bei Nichtbefolgung eines Befehls droht. Die Passantin wurde Zwecks Feststellung ihrer Identität festgenommen, worin die Ausübung physischen Zwangs zu sehen ist. Daraus ergibt sich, dass in die personenbezogenen Daten der Passantin infolge einer AuvBZ eingesehen wurde, deren Beurteilung gemäß § 88 Abs 1 SPG in die Zuständigkeit der Landesverwaltungsgerichte fällt. Demzufolge hätte die DSB die Datenschutzbeschwerde der Passantin als unzulässig zurückzuweisen gehabt.

BVwG 05.09.2024, W176 2273820-1

Rechtsanwaltskammer, AuskunftspflichtG

• Ein Rechtsanwalt verlangte Auskunft gemäß 1 AuskunftspflichtG bei der für ihn zuständigen Rechtsanwaltskammer ("RAK") über die Zusammensetzung, das Abstimmungsverhalten der Mitwirkenden sowie über internen Abläufe und Entscheidungen der Kammer in den ihn betreffenden Ausschüssen. Die RAK lehnte das Auskunftsersuchen pauschal ohne vertiefende Begründung ab, weil die Fragen das interne Beratungs- und Willensbildungsverhalten der RAK sowie die detaillierten Abstimmungsergebnisse dem Amtsgeheimnis unterliegen würden. Der Rechtsanwalt erhob daraufhin Bescheidbeschwerde an ein LVwG, das die Bescheidbeschwerde zuständigkeitshalber an das BVwG weiterleitete. Das BVwG wies die Bescheidbeschwerde hinsichtlich des Abstimmungsverhaltens ab. Im Übrigen behob das BVwG den Bescheid und verwies die Angelegenheit zur Erlassung eines neuen Bescheids an die RAK zurück.
  
  Das BVwG hat erwogen: Auskünfte über den Beratungs- und Willensbildungsprozess von Mitgliedern eines Kollegialorgans gefährden dessen Unabhängigkeit und unterliegen dem Beratungsgeheimnis. Wenn Mitglieder von Kollegialorganen die Offenlegung ihres Abstimmungsverhaltens befürchten müssen, kann dies das Stimmverhalten und die Unabhängigkeit gefährden. Der Begriff "Auskunft" umfasst nur die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens gegenüber dem Anfragenden.
  
  Das Abstimmungsverhalten von Mitgliedern des Ausschusses der RAK sind interne Beratungs- und Willensbildungsprozesse, die dem für die Unabhängigkeit des Kollegialorgans wesentlichen Beratungsgeheimnis unterliegen, sodass die betreffenden Aktenteile von der Akteneinsicht auszunehmen sind.
  
  Im Verfahren des Ausschusses der RAK ist das AVG anzuwenden. Gemäß § 18 Abs 4 AVG hat jede schriftliche Ausfertigung die Bezeichnung der Behörde, das Datum der Genehmigung und den Namen des Genehmigenden zu enthalten. Einzelne Mitglieder einer Kollegialbehörde müssen namentlich zwar nicht genannt werden. Die Bekanntgabe der Mitglieder der über eine Sache entscheidenden Behörde kann jedoch für die Überprüfung der richtigen Zusammensetzung und der Unbefangenheit erforderlich sein. Bei Auskünften nach dem AuskunftspflichtG hat eine Interessenabwägung zwischen der Amtsverschwiegenheit und dem Interesse des Auskunftswerbers an der Information zu erfolgen.
  
  Angelegenheiten, in denen jemand Parteistellung hat, stehen einer Auskunftserteilung nach dem AuskunftspflichtG entgegen, weil die Möglichkeit zur Akteneinsicht besteht. In Angelegenheiten, in denen der Rechtsanwalt keine Parteistellung hatte, könnte sein Interesse an der Erlangung der Informationen über die Zusammensetzung der entscheidenden Behörde überwiegen. Da die RAK hierzu keine Feststellungen traf, war der Bescheid zu beheben und die Angelegenheit an die RAK zurückzuverweisen.

BVwG 02.09.2024, W292 2292958-1

BVwG, Verfristung

• Ein Betroffener behauptete, durch das BVwG in seinem Grundrecht auf Datenschutz und Geheimhaltung sensibler personenbezogener Daten verletzt worden zu sein.
  
  Der Betroffene wies sich bei einer öffentlichen mündlichen Verhandlung beim BVwG mit seinem Behindertenpass aus. Da im Verhandlungsprotokoll der mündlichen Verhandlung die Information über seinen Behindertenpass aufschien, erhob der Betroffene eine Beschwerde gemäß Art 130 Abs 2a
  
  B-VG. Er führte aus, dass er nicht darüber informiert wurde, dass seine Daten an Dritte weitergegeben werden würden. Mit diesem Wissen hätte er sich mit dem Reisepass ausgewiesen. Dem Betroffenen wurde jedoch bereits nach der Verhandlung ein Kurzprotokoll vorgelegt, auf dem vermerkt wurde, dass er sich mit einem Behindertenpass ausgewiesen hat, wogegen er am Ende der Verhandlung keine Einwände erhob. Auch nach Zustellung einer Vollschrift des Verhandlungsprotokolls, in welchem die Information über den Behindertenpass übernommen wurde, erhob der Betroffene Einwendungen nur gegen das Verhandlungsprotokoll, jedoch nicht gegen die Protokollierung des Behindertenpasses selbst.
  
  Das BVwG entschied in einem aus drei Berufsrichtern gebildeten Senat und wies die Beschwerde als verspätet zurück.
  
  Das BVwG hat erwogen: Wer durch ein Organ in Ausübung seiner justiziellen Tätigkeit im Grundrecht auf Datenschutz verletzt wurde, kann gemäß § 85 Abs 8 GOG dem Bund gegenüber die Feststellung dieser Verletzung begehren. Gemäß § 24a BVwGG gelten die §§ 84 und 85 GOG sinngemäß für Organe des BVwG mit der Maßgabe, dass über behauptete Datenschutzverletzungen ein Senat des BVwG entscheidet. Der behaupteten Verletzung liegt das Handeln eines Organs des BVwG in Ausübung seiner justiziellen Tätigkeit iSd Art 55 Abs 3 DSGVO und den §§ 84 und 85 GO – nämlich die Aufnahme einer Information zum Ausweisdokument in eine Verhandlungsschrift – zugrunde.
  
  Die Beschwerde ist innerhalb eines Jahres ab dem Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, beim BVwG einzubringen. Nach Ablauf von drei Jahren nach der Entscheidung oder dem Vorgang kann die Feststellung nicht mehr begehrt werden. Der Betroffene musste die behauptete Datenschutzverletzung bereits im Rahmen der Unterzeichnung des Kurzprotokolls am 21.04.2021 kennen. Er erhob die Beschwerde jedoch erst am 01.06.2024. Zudem hat der Betroffene fünf Tage nach Zustellung der Vollschrift des Verhandlungsprotokolls Einwendungen erhoben, welche sich damals nicht auf die Protokollierung des Behindertenausweises bezogen. Vor diesem Hintergrund war die Beschwerde als verfristet zurückzuweisen.

BVwG 12.09.2024, W252 2272069-1

Impferinnerungsschreiben, Mitwirkungspflicht

• Der Empfänger eines COVID-19-Impferinnerungsschreibens behauptete, dass der (vermeintlich) absendende Verantwortliche sein Grundrecht auf Geheimhaltung verletzt habe. Der (vermeintliche) Verantwortliche soll rechtswidrig auf seine im Impfregister hinterlegten Daten zugegriffen haben. Das Impferinnerungsschreiben legte der Empfänger der Datenschutzbeschwerde nicht bei. Die DSB legte einen anderen Verantwortlichen als Beschwerdegegner fest und gab der Datenschutzbeschwerde statt. Daraufhin erhob der Beschwerdegegner eine (erfolgreiche) Bescheidbeschwerde.
  
  Das BVwG hat erwogen: Gemäß Art 77 DSGVO kommt jeder Person das Recht zu, Beschwerde bei einer Aufsichtsbehörde zu erheben, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Art 77 DSGVO macht keine inhaltlichen Vorgaben, verlangt jedoch ausreichende Angaben, damit die DSB die Art und Weise der Verarbeitung sowie den Verstoß gegen die DSGVO nachvollziehen kann.
  
  Wenn es der DSB nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, besteht eine Mitwirkungspflicht der Partei. Dies vor allem dann, wenn die DSB sich die Kenntnis von ausschließlich in der Sphäre der Partei liegenden Umständen nicht von Amts wegen beschaffen kann. Der Empfänger machte eine Verletzung seines Rechts auf Geheimhaltung geltend, legte auf Nachfrage des BVwG jedoch kein Impferinnerungsschreiben vor. Aufgrund der Mitwirkungspflicht wäre der Empfänger dazu verpflichtet gewesen, den Beweis zu erbringen, dass seine personenbezogenen Daten tatsächlich verarbeitet wurden. Da der Empfänger mittlerweile verstorben ist, kann er dieser Mitwirkungspflicht nicht mehr nachkommen. Die Verletzung des Rechts auf Geheimhaltung konnte somit nicht festgestellt werden. Vor diesem Hintergrund war der Bescheidbeschwerde stattzugeben und die ursprüngliche Datenschutzbeschwerde abzuweisen. Anm: Dem BVwG ist zwar beizupflichten, dass der Empfänger des Impferinnerungsschreibens seine Betroffenheit durch Vorlage des Impferinnerungsschreibens nachzuweisen gehabt hätte. Da der Empfänger während des laufenden Verfahrens verstorben ist, wäre der Bescheid jedoch ersatzlos zu beheben und das Verfahren einzustellen gewesen (vgl zB BVwG 07.06.2023, W214 2263568-1).

• Das Recht auf eine Kopie der personenbezogenen Daten gemäß Art 15 Abs 3 DSGVO ist eine Regelung für die Form der Unterrichtung des Betroffenen. Art 15 Abs 3 Satz 1 DSGVO räumt dem Betroffenen neben dem Recht auf Auskunft gemäß Art 15 Abs 1 DSGVO kein zusätzliches – eigenständiges – Recht auf Kopien von Auszügen aus Dokumenten, von ganzen Dokumenten oder Auszügen aus Datenbanken, die personenbezogene Daten enthalten, ein (BVwG 09.09.2024, W176 2283061-1).
• In der Systematik des Art 12 Abs 3 und 4 DSGVO kommt zum Ausdruck, dass das in Art 15 DSGVO normierte Betroffenenrecht auf Auskunft jedenfalls (zunächst) im Wege eines Antrags an den Verantwortlichen durchzusetzen ist. Ist an den Verantwortlichen kein Auskunftsersuchen gestellt worden, ist die Datenschutzbeschwerde von der DSB abzuweisen. Die Auslegung einer Erklärung ist am Empfängerhorizont zu messen. Ist für den objektiven Erklärungsempfänger kein Auskunftsersuchen ersichtlich, ist von keinem Auskunftsersuchen auszugehen (BVwG 12.09.2024, W287 2296629-1).
• Wird eine Datenschutzbeschwerde während des laufenden Verfahrens vor dem BVwG zurückgezogen, entfällt die Zuständigkeit der DSB rückwirkend, sodass der Bescheid der DSB ersatzlos zu beheben und das Verfahren einzustellen ist (BVwG 16.09.2024, W137 2262841-1; W137 2263387-1; W137 2257622-1).
• Wird eine Bescheidbeschwerde während des laufenden Verfahrens vor dem BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 10.09.2024, W292 2285395-1).

• Bescheidbeschwerden gegen Bescheide der DSB unterliegen einer Pauschalgebühr, die zum Zeitpunkt des Einbringens der Bescheidbeschwerde bei der DSB zu entrichten ist. Die Gebührenschuld entsteht bereits beim Einbringen der Bescheidbeschwerde (BFG 27.09.2024, RV/5100356/2024).

• Am 17.10.2024 wird das Urteil des EuGH in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
• Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.

EuGH 04.10.2024, C-446/21, Schrems III

Personalisierte Online-Werbung, Datenminimierung, sensible Daten

• Meta Platforms Ireland ("Meta") betreibt die Plattform Facebook innerhalb der EU. Ein Facebook-Nutzer klagte Meta, weil seine Daten für personalisierte Werbung ohne rechtsgültige Einwilligung verwendet worden seien. Das Geschäftsmodell von Meta ist es, Einnahmen durch zielgerichtete Werbung und kommerzielle Inhalte zu generieren. Die Werbung wird durch Erstellung detaillierter Profile der Nutzer personalisiert. Dafür werden Daten innerhalb und außerhalb des sozialen Netzwerks erfasst und verarbeitet. Laut Vorlageentscheidung hat der Nutzer Meta nicht erlaubt, seine außerhalb von Facebook erlangten Daten für personalisierte Werbung zu nutzen. Außerdem es hat der Nutzer nicht gestattet, bestimmte Profilinformationen (zB Beziehungsstatus, Arbeitgeber, Beruf, Ausbildung) für personalisierte Werbung zu verwenden. Meta habe jedoch Daten von Webseiten Dritter für die Erstellung von zielgerichteter Werbung verwendet, unter anderem auch Daten zur sexuellen Orientierung des Nutzers. Zwar habe der Nutzer seine sexuelle Orientierung öffentlich gemacht, aber nicht auf seinem Facebook-Profil.
  
  Nachdem die Klage in den unteren Instanzen abgewiesen wurde, wandte sich der Nutzer mit seiner Revision an den OGH. Der OGH fragte den EuGH, ob personenbezogene Daten uneingeschränkt für personalisierte Werbung genutzt werden dürfen und ob die öffentliche Bekanntmachung sensibler Daten durch den Betroffenen die Verwendung dieser Daten für personalisierte Werbung erlaubt.
  
  Der EuGH hat erwogen: Ziel der DSGVO ist, ein hohes Schutzniveau der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Jede Verarbeitung personenbezogener Daten muss im Einklang mit den in Art 5 DSGVO genannten Verarbeitungsgrundsätzen stehen, die in Art 6 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen und die Betroffenenrechte in Art 12-22 DSGVO beachten.
  
  Dem Grundsatz der Datenminimierung entspricht eine Datenverarbeitung, wenn sie auf den notwendigen Zeitraum beschränkt ist. Auswirkungen für die Betroffenen sind umso schwerer, je länger Daten gespeichert werden. Umso höher sind auch die Anforderungen an die Rechtmäßigkeit der Datenspeicherung. Nach Erreichung des Verarbeitungszwecks müssen die Daten gelöscht werden. Eine ursprünglich zulässige Datenverarbeitung kann mit der Zeit gegen die DSGVO verstoßen, wenn die Daten nicht mehr für die Zweckerreichung, erforderlich sind. Eine unbegrenzte Speicherung der Nutzerdaten eines sozialen Netzwerks zu Zwecken der zielgerichteten Werbung ist ein unverhältnismäßiger Eingriff in die Rechte der Betroffenen.
  
  Daten dürfen nicht unterschiedslos erhoben und gespeichert werden. Nicht erforderliche Daten sind nicht zu erheben. Dabei hat der Verantwortliche gemäß Art 25 Abs 2 DSGVO Maßnahmen zu treffen, die sicherstellen, dass nur die für die Zweckerreichung notwendigen Daten verarbeitet werden. Datenverarbeitungen sind besonders umfassend, wenn sie potenziell unbegrenzte Daten betreffen und die Onlineaktivitäten zum großen Teil erfassen. Bei Betroffenen kann dies das Gefühl der dauernden Überwachung auslösen.
  
  Der Grundsatz der Datenminimierung steht einer Verarbeitung sämtlicher personenbezogener Daten entgegen, die ein Betreiber einer Onlineplattform von der betroffenen Person oder von Dritter Seite erhält, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet.
  
  Mit der Verarbeitung von besonderen Kategorien personenbezogener Daten (zB politische Meinung, sexuelle Orientierung) ist ein erhebliches Risiko für die Grundfreiheiten und Grundrechte der Betroffenen verbunden. Die Bestimmung des Art 9 Abs 1 DSGVO verbietet grundsätzlich solche Datenverarbeitungen. Ausnahmen sieht Art 9 Abs 2 DSGVO für die Rechtfertigung von der Verarbeitung besonderer Kategorien personenbezogener Daten vor.
  
  Eine Verarbeitung kann nach Art 9 Abs 2 lit e DSGVO gerechtfertigt sein, wenn Daten durch den Betroffenen durch eine eindeutige bestätigende Handlung einer breiten Öffentlichkeit zugänglich gemacht wurden. Eine Veröffentlichung im Rahmen einer Podiumsdiskussion mit Livestream ist so eine Handlung. Die Veröffentlichung von Daten bedeutet jedoch für den Betreiber einer Onlineplattform keine Zustimmung iSd Art 9 Abs 2 lit a DSGVO, die von dritten Partnern erhaltenen Daten für die Erstellung von personalisierter Werbung zu verwenden.

EuGH 04.10.2024, C-507/23, Patērētāju tiesību aizsardzības centrs

Immaterieller Schaden, Entschuldigung

• Ein Journalist mit Fachkenntnissen im Automobilbereich wurde ohne sein Einverständnis in einer Videosequenz der Kampagne einer Verbraucherschutzbehörde von einer anderen Person imitiert. Der Journalist verlangte die Beendigung der Verbreitung und Schadenersatz wegen Rufschädigung.
  
  Das Erstgericht sprach dem Journalisten einen Schadenersatz in Form einer (i) Entschuldigung und (ii) Entschädigung iHv EUR 2.000 zu. Das Berufungsgericht bestätigte den Schadenersatz in Form der Entschuldigung, verwarf jedoch die finanzielle Entschädigung. Das vorlegende Höchstgericht stellte dem EuGH mehrere Fragen zum immateriellen Schadenersatz, ua wollte das Höchstgericht wissen, ob ein immaterieller Schaden iSd Art 82 Abs 1 DSGVO durch eine Entschuldigung ausgeglichen werden kann.
  
  Der EuGH hat erwogen: Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Eintritt eines Schadens ist nur eine potenzielle und keine automatische Folge einer rechtswidrigen Verarbeitung. Ein Verstoß gegen die DSGVO führt nicht zwangsläufig zu einem Schaden.
  
  Die Voraussetzungen für einen immateriellen Schadenersatzanspruch sind (i) das Vorliegen eines immateriellen "Schadens", (ii) das Vorliegen eines Verstoßes gegen die DSGVO und (iii) ein Kausalzusammenhang zwischen Schaden und Verstoß.
  
  Da Art 82 DSGVO keine Regeln für die Bemessung des Schadenersatzes festlegt, sind nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden. Der Schadenersatzanspruch nach Art 82 DSGVO hat ausschließlich eine Ausgleichsfunktion.
  
  Bei fehlender Schwere des entstandenen Schadens kann ein geringfügiger Schadenersatz ausreichen. Auch eine Entschuldigung kann ein angemessener Ersatz für einen immateriellen Schaden sein, sofern diese Form des Schadenersatzes geeignet ist, den dem Betroffenen entstandenen Schaden in vollem Umfang auszugleichen.
  
  Die Schwere eines Verstoßes gegen die DSGVO sowie die Haltung und die Beweggründe des Verantwortlichen sind beim Festlegen der Höhe der finanziellen Entschädigung – anders als bei der Strafbemessung nach Art 83 DSGVO – nicht zu berücksichtigen. Anm: Der EuGH leitete seine Rechtsprechungslinie zum immateriellen Schadenersatz iSd Art 82 DSGVO mit Urteil vom 04.05.2023, C-300/21, Österreichische Post, ein und sprach dort von einer "finanziellen Entschädigung" zum Ausgleich des erlittenen Schadens. Der EuGH wiederholte seine Wortwahl seitdem in mehreren Urteilen (EuGH 21.12.2023, C-667/21, Krankenversicherung Nordrhein; 25.01.2024, C-687/21, MediaMarktSaturn; 11.04.2024, C-741/21, juris; 20.06.2024, C-182/22 und C-189/22, Scalable Capital; 20.06.2024, C-590/22, PS [Fehlerhafte Anschrift]). Diese Wortwahl legte nahe, dass sofern ein Schaden festgestellt wird, eine finanzielle Entschädigung zuzusprechen ist. Aus der nunmehrigen Entscheidung folgt jedoch, dass der eingetretene Schaden nicht zwingend durch eine finanzielle Entschädigung auszugleichen ist, sondern etwa auch eine Entschuldigung ausreichen kann.

EuGH 04.10.2024, C-21/23, Lindenapotheke

Apotheke, Mitbewerber, Unterlassungsklage, Gesundheitsdaten

• Der Betreiber der Lindenapotheke vertrieb apothekenpflichtige Arzneimittel über Amazon-Marketplace (Amazon), wofür Kunden Angaben wie Namen, Lieferadresse und Informationen zur Individualisierung der Arzneimittel eingeben mussten. Ein anderer Apotheker (= Mitbewerber) erhob Unterlassungsklage, weil der Vertrieb wegen des Verstoßes gegen Datenschutzvorschriften unlauter sei und beantragte, der Lindenapotheke den Vertrieb über Amazon zu verbieten, solange die Kunden nicht vorab in die Verarbeitung von Gesundheitsdaten einwilligen. Das vorlegende Gericht fragte, ob Mitbewerber bei Datenschutzverstößen zivilrechtlich gegen den Verletzer vorgehen können und ob die Daten tatsächlich als Gesundheitsdaten einzustufen sind.
  
  Der EuGH hat erwogen: Die Bestimmungen des Kapitels VIII der DSGVO stehen einer nationalen Regelung nicht entgegen, die Mitbewerbern erlaubt, bei DSGVO-Verstößen unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken zu klagen. Die DSGVO schließt Klagen von Mitbewerbern nicht ausdrücklich aus. Das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bestehen vielmehr unbeschadet jeglicher anderer verwaltungsrechtlicher, gerichtlicher oder außergerichtlicher Rechtsbehelfe.
  
  Aus dem Wortlaut und dem Kontext der Bestimmungen des Kapitels VIII ergibt sich, dass der Unionsgesetzgeber keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem DSGVO-Verstoß zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Unterlassungsklage erheben können. Diese Möglichkeit stärkt sogar die praktische Wirksamkeit der DSGVO und verbessert damit das Schutzniveau der Betroffenen. Es ist aber Sache des nationalen Gerichts, zu prüfen, ob der mutmaßliche Verstoß gegen die DSGVO auch ein Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken gemäß den einschlägigen nationalen Regelungen ist.
  
  Daten zum Erwerb von Arzneimitteln sind Gesundheitsdaten iSd Art 5 Z 1 DSGVO, wenn daraus Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Es genügt, wenn aus den eingegebenen Daten mittels gedanklicher Kombination oder Ableitung Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können, indem eine Verbindung zwischen dem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und der natürlichen Person hergestellt wird.
  
  Dies gilt auch, wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für den Kunden bestimmt sind. Werden die Arzneimittel für andere Personen bestellt, kann nicht ausgeschlossen werden, dass auch diese Personen identifiziert und Rückschlüsse auf ihren Gesundheitszustand gezogen werden können.

EuGH 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond

Interessenabwägung, wirtschaftliche Interessen

• Der Tennisbond ist ein Sportverband, der in Form eines Vereins gegründet ist. Die Mitglieder dieses Sportverbands sind die ihm angeschlossenen Tennisvereine sowie deren Mitglieder, die durch Beitritt zum Tennisverein automatisch auch Mitglied des Tennisbonds werden. Der Tennisbond hat personenbezogene Daten seiner Mitglieder an zwei seiner Sponsoren gegen Entgelt offengelegt. Diese Daten umfassten Namen, Anschriften, Wohnorte, Geburtsdaten, Festnetz- und Mobiltelefonnummern, E-Mail-Adressen und die Namen der Tennisclubs, denen die Mitglieder angehörten. Die Sponsoren nutzten die Daten, um Werbebriefe an die Mitglieder zu versenden und Werbeanrufe durchzuführen. Die niederländische Aufsichtsbehörde verhängte eine Geldbuße von EUR 525.000 gegen Tennisbond, wogegen Tennisbond Rechtsmittel erhob. Das vorlegende Gericht fragte den EuGH ua, ob eine Datenverarbeitung, die im reinen wirtschaftlichen Interesse des Verantwortlichen liegt, auf die Wahrung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.
  
  Der EuGH hat erwogen: Ziel der DSGVO ist es, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten. Um diesem Ziel gerecht zu werden, muss jede Verarbeitung personenbezogener Daten im Einklang mit den Art 5 und 6 DSGVO stehen. Art 6 Abs 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Art 6 Abs 1 lit b bis f DSGVO sind eng auszulegen, weil in diesen Fällen die Verarbeitung ohne Einwilligung der Betroffenen erfolgt.
  
  Nach Art 6 Abs 1 lit f DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz dieser personenbezogenen Daten erfordern, überwiegen. Ein breites Spektrum von Interessen kann als berechtigt gelten. Der Begriff "berechtigtes Interesse" verlangt nicht, dass das Interesse gesetzlich geregelt sein muss. Ein wirtschaftliches Interesse des Verantwortlichen kann ein berechtigtes Interesse sein, sofern es nicht gesetzwidrig ist.
  
  Die Verarbeitung personenbezogener Daten muss zur Verwirklichung des berechtigten Interesses erforderlich sein. Das berechtigte Interesse darf nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden können, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen. Dem Tennisbond wäre es möglich gewesen, seine Mitglieder im Voraus zu informieren und nachzufragen, ob sie einer Weitergabe ihrer Daten für Werbe- oder Marketingzwecke möchten.
  
  Zu beachten ist insbesondere, dass es sich bei einem der Sponsoren um einen Glücksspielanbieter handelt und die Mitglieder daher der Gefahr der Entwicklung einer Spielsucht ausgesetzt werden könnten.

EuGH 04.10.2024, C-200/23, Agentsia po vpisvaniyata

Handelsregister, Rollenverteilung, immaterieller Schaden

• Eine staatliche Agentur veröffentlichte das Gründungsdokument einer Gesellschaft mit beschränkter Haftung, aus dem Vor- und Zuname eines Gesellschafters, seine ID-Nummer samt Ausstellungsort und -datum, seine Adresse sowie seine Unterschrift für die Öffentlichkeit einsehbar waren. Der Gesellschafter wandte sich gegen die Agentur und zog vor Gericht. Das vorlegende Gericht stellte ua Fragen an den EuGH zur Verarbeitung personenbezogener Daten in einem Handelsregister.
  
  Der EuGH hat erwogen: Die mit der Führung des Handelsregisters betraute Behörde eines Mitgliedsstaates, welche die in diesem Register enthaltenen personenbezogenen Daten veröffentlicht, ist sowohl als Empfängerin dieser Daten als auch als datenschutzrechtliche Verantwortliche anzusehen.
  
  Die handschriftliche Unterschrift einer natürlichen Person ist ein personenbezogenes Datum.
  
  Auch eine bloß temporäre Veröffentlichung personenbezogener Daten im Handelsregister eines Mitgliedstaats kann einen immateriellen Schaden auf Seiten der betroffenen Person auslösen, ohne dass der Begriff des "immateriellen Schadens" den Nachweis zusätzlicher konkreter negativer Folgen erfordert.
  
  Eine auf Art 58 Abs 3 lit b DSGVO gestützte Stellungnahme einer Aufsichtsbehörde eines Mitgliedstaats reicht nicht aus, um die für die Führung des Handelsregisters – und als datenschutzrechtliche Verantwortliche zu qualifizierende – zuständige Behörde von einer allfälligen Haftung nach Art 82 DSGVO zu befreien.

EuGH 04.10.2024, C-548/21, Bezirkshauptmannschaft Landeck

StPO, Mobiltelefon, Auswertung

• Zollbeamte beschlagnahmten im Rahmen einer Suchtmittelkontrolle ein Paket, in dem sich 85 g Cannabiskraut befanden. Die Kriminalpolizei nahm Ermittlungen gegen einen Tatverdächtigen auf. Die Polizeibeamten stellten das Mobiltelefon des Tatverdächtigen sicher und versuchten, es zu entsperren, um dessen Inhalte und Daten auszulesen. Einer Genehmigung der Staatsanwaltschaft oder eines Gerichts bedurfte es nach der StPO hierfür nicht. Über die versuchte Auswertung der Telefondaten wurde der Tatverdächtige erst in Kenntnis gesetzt, nachdem er Beschwerde gegen die Sicherstellung seines Mobiltelefons erhob.
  
  Das LVwG Tirol fragte den EuGH zum einen, ob (i) der Zugriff öffentlicher Stellen auf sämtliche Daten eines Mobiltelefons einen so schweren Eingriff in das Grundrecht auf Datenschutz bewirke, dass dieser bloß bei der Bekämpfung schwerer Kriminalität erfolgen darf, (ii) ein solcher Zugriff auch ohne vorherige Genehmigung durch ein Gericht oder durch eine unabhängige Verwaltungsstelle erfolgen darf und (iii) die Datenauswertung durchgeführt werden darf, ohne dass der Betroffene hierüber in Kenntnis gesetzt wird.
  
  Der EuGH hat erwogen: Die Grundrechte auf Schutz personenbezogener Daten und auf Achtung des Privat- und Familienlebens gelten grundsätzlich nicht uneingeschränkt, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden. Jegliche Einschränkung ihrer Ausübung muss gemäß Art 52 Abs 1 GRC gesetzlich vorgesehen sein, ihren Wesensgehalt achten sowie den Grundsatz der Verhältnismäßigkeit wahren. Dabei bedarf die Prüfung der Verhältnismäßigkeit eines Grundrechtseingriffs einer Gewichtung aller relevanten Gesichtspunkte des Einzelfalls. Zu diesen Gesichtspunkten zählen ua (i) die Schwere des Grundrechtseingriffs, die von der Natur und der Sensibilität der Daten abhängt, auf die von den zuständigen Sicherheitsbehörden zugegriffen werden kann, (ii) die Bedeutung des damit verfolgten, dem Gemeinwohl dienenden Ziels und (iii) die Verbindung zwischen dem Eigentümer des Mobiltelefons und der in Rede stehenden Straftat.
  
  Die Gewichtung all dieser Gesichtspunkte hat eine unabhängige Stelle vorzunehmen, die über alle Befugnisse verfügt und alle Garantien bietet, die erforderlich sind, um einen gerechten Ausgleich zwischen den berechtigten Interessen zur Kriminalitätsbekämpfung (des Staates) einerseits und der Achtung des Privatlebens und des Datenschutzes (von potenziell Tatverdächtigen) andererseits herzustellen. Diese unabhängige Kontrolle muss – außer in hinreichend begründeten Einzelfällen – grundsätzlich im Vorfeld jedes Versuchs von staatlicher Seite, Zugang zu Daten auf einem Mobiltelefon zu erlangen, erfolgen.
  
  Den behördlichen Zugang zu Daten auf einem Mobiltelefon bloß im Rahmen der Bekämpfung schwerer Kriminalität zuzulassen, könnte die Gefahr der Straflosigkeit von Straftaten bewirken und wäre dem der DSGVO immanenten Ziel der Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts in der Union abträglich.
  
  Bei der Verhältnismäßigkeitsprüfung ist zu beachten, dass jede Einschränkung der Ausübung eines Grundrechts gesetzlich vorgesehen sein muss. Dabei hat die Rechtsgrundlage die Tragweite des Grundrechtseingriffs hinreichend klar und präzise zu definieren. Um diesem Erfordernis zu genügen, muss der nationale Gesetzgeber die zu berücksichtigenden Gesichtspunkte, insb die Art oder die Kategorie der betreffenden Straftaten, konkretisieren.
  
  Daraus folgt, dass eine nationale Regelung, die Behörden den Zugriff zu sämtlichen auf einem Mobiltelefon gespeicherten Daten ermöglicht, dann unionrechtskonform ist, wenn diese Regelung die Art oder die Kategorie der betreffenden Straftaten hinreichend präzise definiert, die Wahrung des Grundsatzes der Verhältnismäßigkeit gewährleistet und der behördliche Zugriff – außer in hinreichend begründeten Einzelfällen – an eine vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle geknüpft ist.
  
  Ein Betroffener ist über den Datenzugriff zu informieren, sobald die Übermittlung dieser Information die Aufklärung einer Straftat nicht (mehr) beeinträchtigen kann.

VwGH 03.09.2024, Ro 2022/04/0031

Schule, Art 6 Abs 1 lit e DSGVO, Interessenabwägung

• Ein Lehrer einer Berufsschule fühlte sich durch die Veröffentlichung seiner personenbezogenen Daten auf der Schulwebsite in seinem Recht auf Geheimhaltung verletzt. Auf der Website sind der Vor- und Nachname, der akademische Grad und die dienstliche E-Mail-Adresse des Lehrers angegeben, um den Kontakt zwischen Lehrpersonal, Schülern und Erziehungsberechtigten zu erleichtern. Der Lehrer sah darin einen Verstoß gegen Art 5 und Art 6 DSGVO.
  
  Die DSB wies die Datenschutzbeschwerde des Lehrers ab, weil die Veröffentlichung der personenbezogenen Daten des Lehrers auf Art 6 Abs 1 lit e DSGVO gestützt werden konnte. Die Bescheidbeschwerde des Lehrers an das BVwG und seine anschließende Revision an den VwGH wurden jeweils abgewiesen.
  
  Der VwGH hat erwogen: Nach Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Der Zweck der Verarbeitung muss dabei nicht ausdrücklich in einer Rechtsgrundlage festgelegt sein. Daher ist es unerheblich, dass § 56 SchUG keine konkrete Datenverarbeitung normiert. Entscheidend ist, ob die in § 56 SchUG beschriebenen Aufgaben im öffentlichen Interesse liegen und ob die gegenständliche Datenverarbeitung einer dieser Aufgaben dient.
  
  Gemäß § 56 Abs 2 SchUG obliegt dem Schulleiter die Leitung der Schule sowie die Pflege der Verbindung zwischen Schule, Schülern und ihren Erziehungsberechtigten. Diese Aufgaben zielen auf die schulische Qualitätsentwicklung ab und verfolgen letztlich das Ziel, den größtmöglichen Kompetenzerwerb der Schüler zu fördern. Folglich liegen diese Aufgaben im öffentlichen Interesse.
  
  Weiters ermöglichen alternative Kommunikationswege, etwa über das Schulsekretariat oder geschützte Bereiche auf Online-Plattformen, nicht den gleichen Grad an direkter und rascher Kommunikation, wie die Veröffentlichung der E-Mail-Adressen. Darüber hinaus kann bei der Beurteilung der Rechtmäßigkeit der Datenverarbeitung darauf Bedacht genommen werden, dass die dienstliche E-Mail-Adresse nicht den Kernbereich der geschützten Privatsphäre, sondern die Sozialsphäre betrifft, die sich etwa durch die Interaktion mit Außenstehenden auszeichnet. Des Weiteren ist auch die Sensibilität der Daten und die Schwere des Eingriffs zu berücksichtigen.

VwGH 03.09.2024, Ra 2023/04/0042

AMS, Speicherbegrenzung, Rechtsansprüche

• Ein Kunde des Arbeitsmarktservice (AMS) erhob bei der DSB eine Datenschutzbeschwerde, weil beim Erstellen eines eAMS-Kontos im Jahr 2019 seine Daten aus einem Geschäftsfall von 1992-1994 vorausgefüllt gewesen seien. Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Verarbeitung der Daten des Kunden zur Erfüllung der Aufgaben des AMS erforderlich war. Das BVwG gab der daraufhin vom Kunden erhobenen Bescheidbeschwerde teilweise statt. Es stellte fest, dass das AMS den Mitbeteiligten in seinem Recht auf Geheimhaltung verletzt habe, indem es die Daten von 1992-1994 ohne Rechtsgrundlage weiterverarbeitet habe. § 25 Abs 9 Arbeitsmarktservicegesetz (AMSG) sehe nämlich eine eindeutige Frist von sieben Jahren für die Aufbewahrung der in § 25 Abs 1 AMSG genannten Daten vor. Das AMS erhob daraufhin eine (erfolglose) Revision an den VwGH und brachte vor, § 25 Abs 9 AMSG würde Art 6 DSGVO einschränken, weil eine zeitliche Beschränkung vorgesehen wird, welche die DSGVO nicht kenne. Außerdem würde die Bestimmung die Ansprüche der Arbeitssuchenden beeinträchtigen, weil sich Ansprüche nicht bloß auf die letzten sieben Jahre beziehen würden.
  
  Der VwGH hat erwogen: Gemäß Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Die Regelung des § 25 AMSG verfolgt das im öffentlichen Interesse liegende Ziel, dem AMS zur Erfüllung seiner gesetzlichen Aufgaben die Aufbewahrung der Daten zu ermöglichen. Die DSGVO erlaubt den Mitgliedstaaten, spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften zu erlassen. Die DSGVO geht somit davon aus, dass Zweckbegrenzungen oder Speicherfristen durch nationale Bestimmungen vorgesehen werden dürfen. § 25 Abs 9 AMSG legt eine Frist von sieben Jahren für die Aufbewahrung der Daten fest. Diese Frist steht im Einklang mit den Bestimmungen der DSGVO. Zudem normiert der Grundsatz der Speicherbegrenzung gemäß Art 5 Abs 1 lit e DSGVO eine zeitliche Begrenzung für die Verarbeitung personenbezogener Daten.
  
  In § 25 Abs 9 zweiter Satz AMSG ist ein Ausnahmetatbestand von der siebenjährigen Frist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vorgesehen. Das BVwG geht davon aus, dass das AMS keine ihm zukommenden Rechtsansprüche aufgezeigt habe. Das AMS bringt vor, dadurch wären die Ansprüche der Arbeitssuchenden gefährdet. Unter dem Begriff "Verteidigung von Rechtsansprüchen" sind auch Fälle zu subsumieren, in denen der Verantwortliche Rechtsansprüche eines Dritten abwehrt oder bestreitet. Jedoch handelt es sich bei § 25 Abs 9 zweiter Satz um eine Ausnahme von der im ersten Satz AMSG vorgesehenen Aufbewahrungsfrist. Das AMS wird somit nicht ermächtigt, die Daten generell länger als sieben Jahre aufzubewahren. Das Vorbringen des AMS, dass die jährlichen Zahlen an Fällen zeigen, dass die Ansprüche der Arbeitssuchenden auf Leistungen nicht auf sieben Jahre befristet wären, ist nicht ausreichend. Das AMS hat keine konkrete Erforderlichkeit der längeren Speicherung der Daten des spezifischen Kunden aufgezeigt.

• Die ungenaue oder unrichtige Bezeichnung des Verantwortlichen ist der Unzumutbarkeit seiner Namhaftmachung gleichzuhalten. Ein Mängelbehebungsauftrag ist dem Beschwerdeführer nicht aufzutragen, weil das die Zumutbarkeit der Benennung des Beschwerdegegners voraussetzen würde. Die DSB darf in solchen Fällen den Beschwerdegegner selbst ermitteln und gegen ihn das Verfahren führen. Daraus ergibt sich aber nicht, dass der ermittelte Beschwerdegegner tatsächlich der Verantwortliche ist (VwGH 03.09.2024, Ra 2023/04/0092; Ra 2023/04/0107 ua).
• Ein Aussetzungsbescheid der DSB, mit dem das Verfahren "bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses" ausgesetzt wird, ist mangels einfachgesetzlicher Rechtsgrundlage rechtswidrig (VwGH 06.09.2024, Ro 2023/04/0006).

• Einer Bank kann keine Sorgfaltswidrigkeit zur Last gelegt werden, wenn trotz erfolgter starker Kundenauthentifizierung und erstmaliger Blockierung einer verdächtigen Überweisung durch das Transaktionsüberwachungssystem der Bank, der Kunde aufgrund falscher Vorstellungen die Überweisung dennoch (gestückelt in kleinere Beträge) freigibt (OGH 28.08.2024, 7Ob95/24g).

• Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das BVwG hat in einem solchen Fall den erstinstanzlichen Bescheid ersatzlos zu beheben (BVwG 09.2024, W292 2247490-1; 16.09.2024, W287 2248646-1).
• Wird eine Bescheidbeschwerde vor Entscheidung des BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 26.07.2024, W256 2247956-1; W256 2249414-1).

• Eine Behörde darf durch den behördlich zugelassenen Zustelldienst "Bundesrechenzentrum GmbH" ("MeinPostkorb") eine Strafverfügung zustellen. Entscheidet sich die Behörde jedoch für eine Zustellung ohne Zustellnachweis durch ein Zustellsystem gemäß § 36 ZustG und wird ein Zustellmangel behauptet, liegt es an der Behörde, einer solchen Behauptung entgegenzutreten. Gelingt der Behörde der Nachweis über den Zustellzeitpunkt nicht, ist von einem Zustellmangel auszugehen, der gemäß § 7 ZustG geheilt werden kann (LVwG Steiermark 12.04.2024, 30.5-736/2024).

• Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

EuGH 26.09.2024, C-768/21, Land Hessen

Aufsichtsbehörde, Aufsichtsbefugnisse, Ermessen, subjektives Recht, Geldbuße

• Eine Bankmitarbeiterin griff mehrmals unbefugt auf die Daten eines ihrer Kunden zu. Die Bank meldete die Datenschutzverletzung gemäß Art 33 DSGVO der zuständigen Aufsichtsbehörde. Den Bankkunden verständigte die Bank nicht. Nachdem der Bankkunde beiläufig erfuhr, dass die Bankmitarbeiterin mehrfach unrechtmäßig auf seine Daten zugegriffen hatte, beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt.
  
  Die Bankmitarbeiterin gab die Daten des Bankkunden an keinen Dritten weiter und verwendete die Daten nicht zum Nachteil des Bankkunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Bankmitarbeiterin. Die Aufsichtsbehörde verneinte daher eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Den Bescheid der Aufsichtsbehörde bekämpfte der Bankkunde vor dem zuständigen Verwaltungsgericht. Das Gericht fragte den EuGH, ob die Aufsichtsbehörde, wenn sie eine Verletzung von Betroffenenrechten feststellt, stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.
  
  Der EuGH hat erwogen: Jede Aufsichtsbehörde ist verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden in aller gebotenen Sorgfalt zu befassen. Zur Bearbeitung von Beschwerden verfügen Aufsichtsbehörden gemäß Art 58 Abs 1 DSGVO über weitreichende Untersuchungsbefugnisse. Bei der Feststellung eines Verstoßes gegen die DSGVO ist eine Aufsichtsbehörde verpflichtet, in geeigneter Weise zu reagieren, um die festgestellte Unzulänglichkeit zu beheben. Die gesetzten Maßnahmen sollen dabei geeignet, erforderlich, verhältnismäßig und den Umständen des Einzelfalls angemessen sein.
  
  Aufsichtsbehörden haben bei der Wahl der Abhilfemaßnahmen ein Ermessen. Dieses Ermessen ist durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Geldbußen können nach Art 58 Abs 2 lit i DSGVO zusätzlich oder anstelle von Maßnahmen verhängt werden, wobei Art, Schwere und Dauer des Verstoßes gebührend zu berücksichtigen sind.
  
  Die Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn das Einschreiten unter Berücksichtigung des konkreten Falls geeignet, erforderlich und verhältnismäßig ist, um einer festgestellten Unzulänglichkeit abzuhelfen.
  
  Weder nach Art 58 Abs 2 DSGVO noch nach Art 83 DSGVO ist eine Aufsichtsbehörde jedoch verpflichtet, im Fall einer festgestellten Verletzung des Schutzes personenbezogener Daten stets eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Die Aufsichtsbehörde hat nur die Verpflichtung, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Der Betroffene hat kein subjektives Recht, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.
  
  Dauert eine Datenschutzverletzung nicht mehr an und wurden schon geeignete technische und organisatorische Maßnahmen getroffen, um diese abzustellen, kann ausnahmsweise vom Ergreifen von Abhilfemaßnahmen, insbesondere von der Verhängung einer Geldbuße, abgesehen werden.
  
  Das Ergreifen einer Abhilfemaßnahme kann ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles nicht geboten sein, wenn (i) der Situation, die einen Verstoß gegen die DSGVO begründete, bereits abgeholfen wurde, (ii) die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO durch den hierfür Verantwortlichen gewährleistet ist und (iii) das Nichteinschreiten der Aufsichtsbehörde nicht geeignet ist, das Erfordernis eines klar durchsetzbaren Rechtsrahmens zum Schutz personenbezogener Daten zu beeinträchtigen.

OGH 27.08.2024, 6Ob233/23t

Erstkopie, Krankengeschichte, Beschränkung von Betroffenenrechten, Verhältnismäßigkeit

• Ein Patient wurde infolge eines Arbeitsunfalls in ein Spital der Stadt Wien eingeliefert. Nach Empfang seines Patientenbriefs ersuchte der Anwalt des Patienten beim Spital, gestützt auf die DSGVO, um eine kostenlose Übermittlung einer Kopie der gesamten Krankengeschichte. Nachdem das Spital dem Ersuchen nicht nachkam, erhob der Patient Klage gegen die Stadt Wien und forderte die Herausgabe einer kostenlosen Kopie seines Patientenakts. Die Stadt Wien wendete ein, dass der Patient gemäß § 17 Abs 4 und § 17a Abs 2 lit g Wiener Krankenanstaltengesetz (WrKAG) nur das Recht auf Einsicht, nicht aber auf die kostenlose Herstellung einer Kopie hätte. Dies diene vor allem dazu, unnötige Anfragen zu verhindern und somit die Verwaltungskosten niedrig zu halten. Nachdem das Erstgericht der Klage stattgab, änderte das Berufungsgericht das Urteil im klagsabweisenden Sinn ab. Der OGH gab der Revision des Klägers Folge, hob die Urteile der Vorinstanzen auf und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück. Es müsse beurteilt werden, ob Art 15 Abs 3 DSGVO durch § 17 Abs 2 lit g WrKAG zulässiger Weise eingeschränkt wird oder als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben hat. Zudem sei eine Interessenabwägung durchzuführen.
  
  Nach erneuter Verhandlung gab das Erstgericht der Klage des Patienten statt. Die Berufung durch die Stadt Wien führte erneut zur Klageabweisung durch das Berufungsgericht. Der Patient wandte sich mit einer durch das Berufungsgericht zugelassenen (erfolgreichen) Revision abermals an den OGH.
  
  Der OGH hat erwogen: Der EuGH hat bereits in seinem Urteil vom 26.10.2023, C-307/22, FT, ausgesprochen, dass Art 15 Abs 3 iVm Art 12 Abs 5 DSGVO das Recht auf eine kostenlose Erstkopie der Krankengeschichte gewährt. Dieses Recht gilt unabhängig vom Zweck des Auskunftsersuchens, auch wenn es zur Geltendmachung von Schadenersatzansprüchen dient. Dieses Recht kann in Fällen des Rechtsmissbrauchs, in denen die Anträge offenkundig unbegründet oder exzessiv sind, eingeschränkt werden. Nach Art 15 Abs 3 DSGVO kann der Verantwortliche ein angemessenes Entgelt verlangen, wenn bereits eine kostenlose Kopie erstellt wurde. Der Patient hat jedoch weder rechtsmissbräuchlich gehandelt noch hat er zuvor eine kostenlose Kopie seiner Krankengeschichte erhalten.
  
  Art 23 Abs 1 DSGVO erlaubt Beschränkungen der Betroffenenrechte gemäß Art 12 und 15 DSGVO zum Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses, worunter auch der Schutz wichtiger wirtschaftlicher und finanzieller Interessen im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit fällt. § 17a Abs 2 lit g WrKAG zielt darauf ab, die wirtschaftliche Belastung von Krankenanstalten zu verringern und liegt im wirtschaftlichen Interesse der öffentlichen Krankenanstalten. Diese Regelung normiert eine Beschränkung des Rechts auf eine kostenlose Erstkopie. Diese Beschränkung muss jedoch verhältnismäßig sein und es muss eine Interessenabwägung vorgenommen werden.
  
  Die Leitlinien der EDSA besagen, dass die Kosten der Auskunftserteilung und die finanzielle Belastung öffentlicher Haushalte kein ausreichendes öffentliches Interesse an der Einschränkung der Betroffenenrechte sind. Die Kosten für die Erstellung und Ausfolgung von Kopien der Krankengeschichten sind im Verhältnis zu den gesamten Verwaltungskosten gering. Das Interesse des Patienten, eine kostenlose Erstkopie seiner Krankengeschichte zu erhalten, überwiegt das finanzielle Interesse der Stadt Wien. Patienten haben ein anerkanntes Recht, ihre Behandlungsunterlagen selbst zu besitzen, um beispielsweise weitere fachliche Meinungen einzuholen oder Ansprüche gegen Dritte prüfen zu können. Dem Argument der Stadt Wien, wonach der Kostenbeitrag einer Steigerung der Anfragen und damit einer Erhöhung des Aufwands entgegenwirken soll, kommt kein Wert zu.
  
  Die Kostenersatzpflicht nach § 17a Abs 2 lit g WrKAG ist somit unverhältnismäßig und unzulässig und hat als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben. Der Patient hat ein Recht auf eine kostenlose Erstkopie der Krankengeschichte. Das klagestattgebende Urteil des Erstgerichts wird wiederhergestellt.

• Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob37/24w).

• Wird von einem Verantwortlichen das Datum "Geschlecht" in seinen IT-Systemen nicht (mehr) verarbeitet, ist es dem Verantwortlichen faktisch unmöglich, das Geschlecht des Antragstellers auf "divers" zu berichtigen. Ist die Verarbeitung des Datums "Geschlecht" auch nicht vorgesehen, ist auch von keinen unvollständigen personenbezogenen Daten iSd Art 16 letzter Satz DSGVO auszugehen. Die Feststellung einer allfälligen vergangenen Rechtsverletzung gemäß Art 16 DSGVO kommt nicht in Betracht, weil weder das DSG noch die DSGVO in Bezug auf das Recht auf Berichtigung die Feststellung vergangener Rechtsverletzungen vorsehen (BVwG 21.08.2024, W108 2283759-1).

• Das Recht auf Berichtigung einer Eintragung im Zentralen Personenstandsregister (ZPR) ist ein höchstpersönliches Recht des Betroffenen. Nach dem Tod des Berechtigten findet keine Rechtsnachfolge statt, weshalb die Fortsetzung des Verfahrens über dieses Recht durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Parteistellung kommt bei der Aufnahme von Daten ins ZPR nur der Person zu, deren Personenstandsfall im ZPR verdatet (sic) wird. Eine Tochter hat keinen Rechtsanspruch auf die Eintragung und daher auch nicht auf die Berichtigung eines fehlerhaft eingetragenen akademischen Grads ihres Vaters bei der Verdatung (sic) ihres Personenstandsfalls "Geburt". Der Tochter kommt aber ein Recht zu, eine zu Unrecht erfolgte Eintragung eines akademischen Grades eines Elternteils beseitigen zu lassen. Da der akademische Grad des Vaters ohne Rechtsgrundlage und daher zu Unrecht in den Personenstandsfall "Geburt" der Tochter eingetragen wurde, war die Eintragung zu entfernen (LVwG Wien 06.08.2024, VGW-101/042/2543/2024).

DSB 28.03.2024, 2024-0.215.259

Zuständigkeit, Mandatsbescheid, Untersuchungsausschuss, COFAG

• Abgeordnete des Nationalrats verlangten vom Bundesminister für Finanzen ("Finanzminister") die Vorlage des Steueraktes und von der Bundesministerin für Justiz ("Justizministerin") die Vorlage des WKStA-Ermittlungsaktes eines Beschuldigten an den COFAG-Untersuchungsausschuss. Der Beschuldigte brachte eine Datenschutzbeschwerde bei der DSB ein und beantragte die Erlassung eines Mandatsbescheids. Konkret begehrte er die Untersagung jeder weiteren Übermittlung bzw Verarbeitung der Daten in seinem Steuer- und Ermittlungsakt durch den Finanzminister, die Justizministerin und den COFAG-Untersuchungssauschuss.
  
  Der Beschuldigte brachte ua vor, es sei gängige Praxis, dass sämtliche Unterlagen und Daten, die Untersuchungsausschüssen übermittelt werden, veröffentlicht würden, oft durch "Leaks" an Medien. Aufgrund der aktuellen Wahlkämpfe sei damit zu rechnen, dass seine personenbezogenen Daten einer breiten Öffentlichkeit zugänglich gemacht würden.
  
  Die DSB hat erwogen: Die DSB ist zur Kontrolle parlamentarischer Untersuchungsausschüsse berufen, weshalb der Antrag auf Erlassung eines Mandatsbescheids in Bezug auf den COFAG-Untersuchungsausschuss zulässig ist.
  
  Die Erlassung eines Mandatsbescheids erfordert eine materielle Rechtswidrigkeit der Datenverarbeitung. Ein begründeter Verdacht reicht aus, wenn tatsächliche Anhaltspunkte vorliegen, dass eine Datenschutzverletzung vorliegt und dies nachvollziehbar dargelegt wird. Zudem ist erforderlich, dass aufgrund dieser Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen besteht.
  
  Auch wenn personenbezogene Daten des Beschuldigten an Medien übermittelt und offengelegt würden, ist nicht erkennbar, wie diese Gefahrensituation unmittelbar aufgrund der Datenverarbeitung durch den Finanzminister oder die Justizministerin gegeben wäre. Die vermeintliche Gefährdung von Interessen des Beschuldigten wird in der Tätigkeit von Mitgliedern des Untersuchungsausschusses gesehen und nicht in der Datenverarbeitung durch den Finanzminister oder die Justizministerin und liegt daher außerhalb deren Sphären.
  
  Die Weitergabe von Akten an Medien oder Dritte durch Mitglieder des Untersuchungsausschusses ist gesetzlich nicht vorgesehen. Die datenschutzrechtliche Verantwortlichkeit solcher Handlungen trifft somit nicht den COFAG-Untersuchungsausschuss, sondern vielmehr das einzelne Mitglied des Untersuchungsausschusses. Derartige Datenverarbeitungen fallen daher auch nicht in die Sphäre des COFAG-Untersuchungsausschusses. Anm: Ab dem 01.01.2025 übergeht die Kompetenz zur Überprüfung der Datenverarbeitungstätigkeiten parlamentarischer Untersuchungsausschüsse des Bundes auf das neu eingerichtete Parlamentarische Datenschutzkomitee (vgl §§ 35a ff DSG). Die fünf künftigen Mitglieder des Parlamentarischen Datenschutzkomitees wurden am 18.09.2024 benannt und vom Nationalrat gewählt (Hauptausschussbericht 2712 BlgNR 27. GP).

• Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
  
  
• Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

OGH 26.08.2024, 502Präs26/24d

Amtshaftung, feste Geschäftsverteilung, negativer Kompetenzkonflikt

• Der Leiter einer Volksschule reichte im Rahmen der gesetzlich vorgesehenen Fortbildungsverpflichtung einen Antrag auf Zulassung eines Fortbildungsprogramms bei einer pädagogischen Hochschule ein. Der Antrag wurde bewilligt und der Volksschulleiter wurde als "Prozessbegleiter" für das Programm zugeteilt. Ein Lehrer ersuchte um Zuteilung eines anderen "Prozessbegleiters" und verlangte Auskunft über die vom Volksschulleiter über ihn verarbeiteten Daten. Insb wollte der Lehrer erfahren, von wem der Volksschulleiter die Auskunft erhielt, dass der Lehrer "im Bildungsbereich kein unbeschriebenes Blatt" sei und "das öffentliche Bildungswesen infrage" stelle. Die Vorinstanzen wiesen die Klage des Lehrers auf Auskunft und Schadenersatz
  
  Beim OGH wurde das Verfahren dem 6. Senat als für die Fachsache "Datenschutz" zuständigem Senat zugewiesen. Der Vorsitzende des 6. Senats bot das Verfahren dem 1. Senat zur Übernahme an, weil das Verfahren die Frage der Amtshaftung betreffe. Der Vorsitzende des 1. Senats lehnte die Übernahme des Verfahrens ab und regte wegen eines negativen Kompetenzkonflikts die Vorlage des Akts an den Personalsenat an. Der Vorsitzende des 6. Senats beantragte, dass der Personalsenat die Zuständigkeit des 1. Senats ausspreche. Der Personalsenat beschloss jedoch, dass das Verfahren in die Zuständigkeit des 6. Senats fällt.
  
  Der Personalsenat des OGH hat erwogen: Die Vorinstanzen haben ein auf das Datenschutzrecht gestütztes Klagebegehren abgewiesen, sodass nach der Geschäftsverteilung Fachzuständigkeit des 6. Senats besteht. Die Zulässigkeit des Rechtswegs ist eine Prozessvoraussetzung, die beim OGH von dem in der Hauptsache zuständigen Senat zu prüfen ist. Die Geschäftsverteilung weist dem 1. Senat Fragen der Amtshaftung zu, jedoch nicht schlechthin Klagen gegen Rechtsträger im Zusammenhang mit Aufgaben der Hoheitsverwaltung. Zudem war nicht über allgemeine Fragen des Amtshaftungsrechts, sondern darüber zu entscheiden, ob das Amtshaftungsrecht vom europäischen Datenschutzrecht überlagert wird. Darüber sollte der für das Datenschutzrecht als speziellere Materie zuständige Senat entscheiden, dies umso mehr, wenn der Schadenersatzanspruch mit einem datenschutzrechtlichen Auskunftsanspruch verbunden ist. Anm: Gemäß § 4 Bildungsdokumentationsgesetz 2020 sind Schulleiter datenschutzrechtliche Verantwortliche. Weshalb einem Schulleiter als "Prozessbegleiter" eines Fortbildungsprogramms, das an einer pädagogischen Hochschule durchgeführt wird, die Verantwortlichenrolle zukommt, geht aus dem im Urteil knapp dargestellten Sachverhalt jedoch nicht hervor.

• Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das gegenständliche Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob217/23i und 6Ob159/23k).

BVwG 21.08.2024, W258 2246325-1

Anwendungsbereich, Unzuständigkeit, Schule, COVID

• Während der COVID-19-Pandemie hatten zwei Schülerinnen an zwei verschiedenen Schulen im Klassenverband unter der Kontrolle ihrer jeweiligen Lehrer Selbsttests durchzuführen, um am Präsenzunterricht teilnehmen zu dürfen. Die Testmaterialien wurden unmittelbar nach der Durchführung entsorgt. Negative und nicht eindeutige Ergebnisse wurden nicht erfasst. Die rechtliche Grundlage der Tests war eine Verordnung des zuständigen Bundesministers, die auf die Verordnungsermächtigung des § 44 Schulunterrichtsgesetz (SchUG) gestützt war.
  
  Die Schülerinnen führten die Tests in der vorgesehenen Form durch und erzielten dabei keine positiven Ergebnisse. Dennoch erachteten sie sich in ihrem Recht auf Geheimhaltung ua deshalb verletzt, weil § 44 SchUG keine taugliche Gesetzesgrundlage für die herangezogene Verordnung sei. Die DSB wies die Datenschutzbeschwerde der Schülerinnen ab. Die dagegen erhobene Bescheidbeschwerde der Schülerinnen wurde vom BVwG ebenso abgewiesen. Das BVwG änderte den Spruch des angefochtenen Bescheids zudem dahingehend ab, dass die Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird.
  
  Das BVwG hat erwogen: Gemäß Art 2 Abs 1 DSGVO ist die DSGVO nur auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie auf die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, anwendbar. Die Testergebnisse wurden nicht auf Papier oder elektronisch festgehalten, es erfolgte keine automatisierte Verarbeitung oder Speicherung in einem Dateisystem. Der sachliche Anwendungsbereich der DSGVO war daher nicht eröffnet.
  
  Das Grundrecht auf Datenschutz iSd § 1 Abs 1 DSG ist von den technisch-organisatorischen Bedingungen der Verarbeitung unabhängig und ist damit anwendbar. Ein eigenständiges Beschwerderecht besteht jedoch nicht, weil § 4 Abs 1 DSG den Anwendungsbereich der einfachgesetzlichen Bestimmungen des DSG (einschließlich des Beschwerderechts) – wie in der DSGVO – beschränkt. Somit besteht ein materiellrechtlicher Anspruch, der aber mangels eigenständigem Beschwerderecht vor der DSB nicht durchgesetzt werden kann.
  
  Eine Rechtsschutzlücke entsteht hierdurch nicht. Die behauptete Verletzung des § 1 DSG hätte durch Einbringen eines Feststellungsantrags bei der datenverarbeitenden Behörde geltend gemacht werden können. Die behauptete Gesetzeswidrigkeit der Verordnung hätte durch Individualantrag gemäß Art 139 Abs 1 B-VG (Verordnungsprüfungskompetenz des VfGH) an den VfGH aufgegriffen werden können. Die Bedenken der DSB, wonach – sofern man die Zuständigkeit der DSB verneine – die mündliche Offenlegung personenbezogener Daten nicht mehr geschützt wäre, treffen somit nicht zu.

BVwG 27.08.2024, W298 2291640-1

Medien, Amtsverschwiegenheit

• Ein Journalist begehrte vom Bundesminister für europäische und internationale Angelegenheiten ("Außenminister") nach dem Auskunftspflichtgesetz die Beantwortung mehrerer Fragen zur Beglaubigung der eidesstattlichen Erklärungen zweier Zeugen, die in einem Strafprozess vorgelegt wurden. Ua aufgrund datenschutzrechtlicher Bedenken verweigerte der Außenminister die Auskunft mit einem Auskunftsverweigerungsbescheid. Dagegen erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Die im Auskunftspflichtgesetz geregelte Auskunftspflicht von Bundesorganen umfasst die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens. Das Auskunftspflichtgesetz soll der Partei nur Informationen über bereits vorhandenes Wissen der Behörde, nicht aber eine vorzunehmende Bewertung zugänglich machen. Die Auskunftspflicht beinhaltet auch nicht die Verpflichtung, Akteneinsicht zu gewähren, sondern Informationen über einen Akteninhalt oder ein Wissen der Behörde zu geben. Diese müssen nicht die Detailliertheit aufweisen, die bei Akteneinsicht zu gewähren wäre.
  
  Gegenstand der Anfrage bilden personenbezogene Daten. Die entsprechenden Informationen sind beim Außenminister vorhanden. Durch das Entsprechen des Auskunftsbegehrens wäre jedoch eine unrechtmäßige Beeinträchtigung der Rechte Dritter zu befürchten.
  
  Zur Beurteilung der Frage, ob ein subjektiver Auskunftsanspruch gegenüber dem Rechtsträger besteht, ist der Zweck des Auskunftsersuchens relevant. Dem Journalisten kommt als public watchdog eine besondere Verantwortung zu. Sein journalistisches Interesse besteht gerade darin, zu erfahren, wie die Zeugen ihre Erklärungen abgegeben haben bzw wie sie sich bei der Behörde, dh dem Außenminister, verhalten haben und wie die Amtshandlung zustande gekommen ist. Die eidesstattlichen Erklärungen dienen auch als zitierfähige Quelle für die journalistische Arbeit und haben daher einen Mehrwert gegenüber einer öffentlich verfügbaren Quelle.
  
  Allerdings betreffen die Fragen des Journalisten zweifelsfrei Informationen über die Zeugen. Da dem Journalisten die Identität der Zeugen bekannt ist, kommt keine anonymisierte Auskunft in Frage. Die Beantwortung der Fragen des Journalisten würde sohin eine unrechtmäßige Beeinträchtigung der Rechte Dritter ergeben, weil die den Gegenstand der Anfrage bildenden Daten schutzwürdige personenbezogene Daten von Zeugen sind. Der Umstand, dass die Daten teilweise von einem anderen datenschutzrechtlichen Verantwortlichen zwischenzeitlich auf eine Weise verwendet wurden, die den Inhalt einer breiten Öffentlichkeit zugänglich gemacht hat, bedeutet nicht, dass der Außenminister von den ihn verpflichtenden Geheimhaltungspflichten entbunden ist.

BVwG 21.08.2024, W214 2254151-1

Heizkostenabrechnung, Zuständigkeit

• Die Eigentümer einer Wohnung ("Wohnungseigentümer") verwehrten der mit der jährlichen Ablesung von Verbrauchserfassungsgeräten beauftragten Liegenschaftsverwalterin den Zutritt zu ihrer Wohnung, sodass eine Erfassung (Ablesung) der Heiz-, Warmwasser- und Kaltwasserwerte unmöglich war. Daher erfolgte die Einzelabrechnung für diese Wohnung – teilweise – mittels Hochrechnung der Verbrauchswerte, welche die Liegenschaftsverwaltung an die Wohnungseigentümer übermittelte. Die Wohnungseigentümer waren der Ansicht, dass die Verbrauchswerte unrichtig hochgerechnet wurden. Die auf eine Verletzung im Recht auf Berichtigung gestützte Datenschutzbeschwerde wies die DSB ab. Hiergegen erhoben die Wohnungseigentümer (vergeblich) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Über Anträge zur Überprüfung der inhaltlichen Richtigkeit einer (Jahres-)Abrechnung entscheidet nach § 25 Abs 1 Z 2 HeizKG das für Zivilrechtssachen örtlich zuständige Bezirksgericht. Das HeizKG enthält sohin abschließende Bestimmungen zu einem eigenen Verfahren zur Richtigstellung der ermittelten Verbrauchsanteile, die der DSGVO als lex specialis derogieren. Die Wohnungseigentümer hätten die behauptete Unrichtigkeit der Einzelabrechnung vor dem zuständigen Bezirksgericht (bzw der vorgeschalteten Schlichtungsstelle) geltend zu machen gehabt.
  
  Abseits dessen war eine Schlichtungsstelle für wohnrechtliche Angelegenheiten mit der monierten Einzelabrechnung befasst und wies die Anträge der Wohnungseigentümer auf Richtigstellung der ermittelten Verbrauchsanteile ab.

• Wird einem Betroffenen, nachdem sich dieser über die Nichterteilung einer Auskunft iSd Art 15 DSGVO bei der DSB beschwerte, die begehrte Auskunft erteilt, wird die "Sache" des Verfahrens in ihrem Wesen geändert, wenn sich der Betroffene nicht mehr wegen der Nichterteilung, sondern wegen der mangelhaften Erteilung der Auskunft als beschwert erachtet. Die DSB darf daher von der Zurückziehung der ursprünglichen Datenschutzbeschwerde und der gleichzeitigen Einbringung einer neuen Datenschutzbeschwerde ausgehen (BVwG 21.08.2024, W214 2280448-1).
• Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung, (i) ob eine Datenschutzbeschwerde als "Anfrage" iSd Art 57 Abs 4 DSGVO zu qualifizieren ist, (ii) welche Voraussetzungen für die Beurteilung der "Exzessivität" von Anfragen gelten und (iii) wie die DSB mit derartigen Anfragen umzugehen hat. Da diese Fragen auch im vorliegenden Verfahren präjudiziell sind, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 28.08.2024, W287 2297420-1).
  
  
• Wird die Bescheidbeschwerde gegen ein Straferkenntnis ausdrücklich zurückgezogen, ist das Verfahren mit Beschluss als gegenstandslos einzustellen. Dies bewirkt, dass das angefochtene Straferkenntnis in Rechtskraft erwächst (BVwG 29.08.2024, W101 2276072-1).

BFG 06.09.2024, AO/5100023/2024

Mutwillensstrafe, Akteinsicht

• Bei der Prüfung mehrerer Einkommenssteuerbescheide eines Steuerzahlers holte das BFG zur Prüfung dessen Gesundheitszustands gemäß § 158 BAO ein Sachverständigengutachten vom Sozialministeriumsservice Der Steuerzahler erachtete die Datenerhebung für unzulässig, weil sich § 158 BAO nur auf Abgabenbehörden beziehe. Der Steuerzahler stellte ein Auskunftsbegehren an den Präsidenten des BFG. Das BFG teilte dem Steuerzahler mit, dass seine Bescheidbeschwerde abgewiesen wurde und er die Rechtmäßigkeit einzelner Verfahrensschritte durch das Einbringen eines entsprechenden Rechtsmittels hätte überprüfen lassen können, worüber er auch belehrt wurde. Weiters wies das BFG darauf hin, dass für personenbezogene Daten, die in einem Akt enthalten sind, das datenschutzrechtliche Auskunftsrecht gemäß § 48f BAO ausgeschlossen ist, der Steuerzahler könne jedoch Akteneinsicht nehmen. Den Antrag auf Akteneinsicht könne der Steuerzahler bei der Außenstelle Linz des BFG einbringen. Der Steuerzahler richtete ein beinahe wortidentes Schreiben – wie zuvor an den Präsidenten des BFG – an den Leiter der Außenstelle Linz des BFG. Das BFG verhängte daraufhin eine Mutwillensstrafe über den Steuerzahler.
  
  Das BFG hat erwogen: Der Antragsteller erhielt bereits vom Präsidenten des BFG eine fundierte Antwort auf seine Anfrage. Nunmehr richtet der Steuerzahler ein nahezu wortidentes Anbringen an den Leiter der Außenstelle Linz des BFG.
  
  Das BFG kann eine Mutwillensstrafe gegen eine Person verhängen, die offenbar mutwillig die Tätigkeit des BFG in Anspruch nimmt. Nachdem eine nahezu wortidente Eingabe des Steuerzahlers durch das Präsidialbüro des BFG beantwortet wurde, wendet sich der Steuerzahler mit dem gleichen Anliegen an den Leiter der Außenstelle Linz des BFG. Ein solches Vorgehen ist eine bewusste nutzlose Behelligung gerichtlicher Organe, weil mit mehrfachen, nahezu wortidenten Anbringen kein sinnvolles und hinsichtlich des gegenständlichen Auskunftsbegehrens zweckmäßiges Verfahrensergebnis erreicht werden kann. Anm: Da der Präsident des BFG den Steuerzahler ausdrücklich an die Außenstelle Linz des BFG zur Akteneinsicht verwies, ist der Vorwurf der Mutwilligkeit nicht ganz nachvollziehbar, auch wenn der Steuerzahler sein Schreiben zweifellos hätte anpassen können.

DSB 05.09.2024, 2023-0.793.494

Grundbuch, Rollenverteilung, Gemeinsam Verantwortliche, justizielle Tätigkeit

• Der Betroffene brachte eine Datenschutzbeschwerde gegen (i) ein Medienhaus, (ii) die Bundesministerin für Justiz ("Justizministerin") und (iii) ein Bezirksgericht ein. Er fühlte sich in seinem Recht auf Geheimhaltung verletzt, weil das Medienhaus auf seiner Website im Namen der Justizministerin das Grundbuch veröffentlicht und neben dem Grundbuchsauszug auch persönliche Daten und Urkunden gegen Entgelt an beliebige Personen im Internet verkauft. Das Medienhaus wendete ein, von der Republik Österreich, vertreten durch die Justizministerin, zur Veröffentlichung beauftragt worden zu sein und lehnte die Löschung ab, weil es bloß als Auftragsverarbeiter tätig werde.
  
  Die Justizministerin bestritt ebenfalls ihre Verantwortlicheneigenschaft, weil sie bloß die technischen Ressourcen zur Verfügung stelle und ihr keine Entscheidungsbefugnis zukäme. Zudem sei die Datenverarbeitung im Grundbuch eine justizielle Tätigkeit, weshalb die DSB nicht zuständig sei.
  
  Auch das Bezirksgericht hielt in seiner Stellungnahme fest, dass die Bereitstellung von Urkunden in einer Urkundensammlung im Rahmen der justiziellen Tätigkeit nach Art 55 Abs 3 DSGVO erfolge und der DSB daher keine Überprüfungskompetenz zukomme.
  
  Die DSB hat erwogen: Verantwortlicher iSd Art 4 Z 7 DSGVO ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wesentliches Kriterium ist hierbei die Entscheidungsbefugnis. Auftragsverarbeiter iSd Art 4 Z 8 DSGVO hingegen ist jene Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei weisungsgebunden ist.
  
  Das Medienhaus gewährleistet nur den Zugang zur Grundstücksdatenbank über IT-Anwendungen aufgrund einer Vereinbarung mit der Republik Österreich. Es hat keine Entscheidungsgewalt über die Daten/Dokumente in der Grundstücksdatenbank und leitet die Inhalte unverändert weiter. Aufgrund der Weisungsgebundenheit und der mangelnden Entscheidungsgewalt ist es ein Auftragsverarbeiter. Die Datenschutzbeschwerde gegen das Medienhaus ist daher abzuweisen.
  
  Die Justizministerin ist gemäß § 1 Abs 1 Grundbuchsumstellungsgesetz (GUG) für die Umstellung des Grundbuchs auf automationsunterstützte Datenverarbeitung verantwortlich. Sie betreibt die Grundstücksdatenbank als Gemeinsam Verantwortliche. Sie hat jedoch keine Entscheidungsgewalt über die Aufnahme der Daten/Dokumente in die Grundstücks- bzw Urkundendatenbank. Diese Entscheidung trifft ausschließlich das örtlich zuständige Grundbuchsgericht. Die Justizministerin ist für diese Verarbeitungstätigkeiten keine Verantwortliche gemäß Art 4 Z 7 DSGVO. Die Datenschutzbeschwerde ist daher auch gegen die Justizministerin abzuweisen.
  
  Gemäß Art 55 Abs 3 DSGVO sind Aufsichtsbehörden nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig. Die Grundbuchsnovelle 2024, mit der das GUG novelliert wurde, sieht vor, dass das Grundbuchsgericht über Anträge auf Beschränkung der Einsicht in Urkunden der Urkundensammlung entscheidet. Da es sich hierbei um eine justizielle Tätigkeit handelt, ist die DSB zur Behandlung der Datenschutzbeschwerde gegen das Bezirksgericht unzuständig, weshalb die Datenschutzbeschwerde gegen das Bezirksgericht zurückzuweisen ist. Anm: Mit der am 01.09.2024 in Kraft getretenen Grundbuchsnovelle 2024, BGBl I 2024/91, reagierte der Gesetzgeber auf das Urteil des EGMR vom 06.04.2021, 5434/17, Liebscher/Österreich, in dem Österreich vom EGMR wegen einer ohne Interessenabwägung erfolgten Veröffentlichung eines Scheidungsvergleichs in der Urkundensammlung des Grundbuchs verurteilt wurde (ErläutRV BlgNR27. GP 1; Fucik, Keine Grundbuchseinsicht in sensible Daten, ÖJZ 2024/109).

• Am 19.09.2024 hat Oberösterreich, LGBl 2024/77, die Genehmigung der Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart

• Am 26.09.2024 wurde das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH sprach über die Ausübung von Aufsichtsbefugnissen durch die Aufsichtsbehörden ab. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors vom 17.04.2024 nachgelesen werden. Über das Urteil informieren wir Sie nächste Woche.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
  
  
• Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

EuGH 12.09.2024, C-17/22 ua, HTB Neunte Immobilien 

Gesellschaftsrecht, Rechtsgrundlagen, vertragliche Verpflichtung, berechtigte Interessen

• Mehre an einem als Publikumspersonengesellschaft organisierten Investmentfonds beteiligte Investmentgesellschaften verlangten von zwei treuhänderischen Beteiligungsgesellschaften Auskunft über Namen und Adressen aller ihrer mittelbar beteiligten Mitgesellschafter. Die Investmentgesellschaften verlangten diese Auskunft, um mit den anderen Gesellschaftern Kontakt aufnehmen und über den Abkauf ihrer Gesellschaftsanteile in Verhandlungen treten zu können. Die Beteiligungsgesellschaften lehnten die Auskunft ab, weil im Beteiligungsvertrag die Auskunftserteilung ausgeschlossen wurde. Das vorlegende Gericht fragte den EuGH, ob die Auskunft auf die Erfüllung einer vertraglichen Verpflichtung iSd Art 6 Abs 1 lit b DSGVO oder auf das berechtigte Interesse iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.
  

  Der EuGH hat erwogen: Eine Datenverarbeitung ist für die Erfüllung eines Vertrags dann erforderlich, wenn der Verantwortliche nachweisen kann, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden kann. Die Daten müssen zur ordnungsgemäßen Erfüllung des Vertrags wesentlich sein. Für die Verarbeitung der Daten darf keine praktikable und weniger einschneidende Alternative bestehen. Wenn in Beteiligungs- und Treuhandverträgen die Weitergabe von Daten anderer Gesellschafter ausdrücklich ausgeschlossen ist, ist eine Weitergabe der Daten für die Erfüllung des Vertrags nicht erforderlich. Die Datenübermittlung kann daher nicht auf die Vertragserfüllung gestützt werden.

  Bei der im Einzelfall durchzuführenden Interessenabwägung nach Art 6 Abs 1 lit f DSGVO ist das Interesse eines an dem Investmentfonds beteiligten Gesellschafters am Erhalt der Daten den Interessen anderer Gesellschafter an der Geheimhaltung ihrer Daten gegenüberzustellen. Ein Interesse der an einem Investmentfonds beteiligten Gesellschafter an einer Kontaktaufnahme wegen des Erwerbs ihrer Anteile kann nicht ausgeschlossen werden. Eine Verarbeitung der Daten im berechtigten Interesse muss jedoch zum Zeitpunkt der Erhebung der Daten erwartbar sein und darf für den Betroffenen nicht überraschend erfolgen. Ist die Weitergabe von Daten an andere Gesellschafter in einem Vertrag ausdrücklich ausgeschlossen, können die Gesellschafter nicht damit rechnen, von anderen Gesellschaftern kontaktiert zu werden.

  Eine Datenverarbeitung gestützt auf Art 6 Abs 1 lit c DSGVO ist dann gerechtfertigt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt. Das Recht des Mitgliedstaats kann dabei auch die nationale Rechtsprechung umfassen. Die Rechtsprechung muss aber klar, präzise formuliert und für die Rechtsunterworfenen vorhersehbar sein und ein im öffentlichen Interesse liegendes Ziel verfolgen, zu dem sie in einem angemessenen Verhältnis steht.

EuGH Schlussanträge 12.09.2024, C‑203/22, Dun & Bradstreet

Automatisierte Entscheidung, Bonität, Auskunft

• Einer Betroffenen wurde von einem Mobilfunkanbieter wegen mangelnder Bonität der Abschluss bzw die Verlängerung eines Mobilfunkvertrags verweigert. Die Bonitätsdaten wurden dem Mobilfunkanbieter von einer Bonitätsauskunftei zur Verfügung gestellt, die die Bonitätsbeurteilung automatisiert durchgeführt hat. Die DSB gab dem Antrag der Betroffenen auf Erteilung relevanter Informationen über die der automatisierten Entscheidungsfindung zugrunde liegende Logik statt. Das BVwG bestätigte teilweise die Entscheidung der DSB und stellte fest, dass das Auskunftsrecht der Betroffenen gemäß Art 15 Abs 1 lit h DSGVO verletzt wurde, weil ihr keine aussagekräftigen Informationen über die bei der automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten involvierte Logik zur Verfügung gestellt wurde. Die Betroffene beantragte beim Magistrat der Stadt Wien die Zwangsvollstreckung dieser Entscheidung, die abgelehnt wurde. Nach Einlegen eines Rechtsbehelfs beim LVwG Wien ersuchte dieses den EuGH um Vorabentscheidung.
  
  Der Generalanwalt hat erwogen: Das Auskunftsrecht des Art 15 Abs 1 lit h DSGVO muss es der Betroffenen ermöglichen, ihre Rechte aus Art 22 DSGVO wahrzunehmen, die sich speziell auf eine Situation beziehen, in welcher die Betroffene einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird. Die Aussagekraft von Informationen setzt voraus, dass diese Informationen präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind. Zudem müssen sie hinreichend vollständig und kontextbezogen sein, um es der Betroffenen zu ermöglichen, ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen.
  
  Grundsätzlich muss der – naturgemäß technische – Prozess, der zu dieser Entscheidung geführt hat, verständlich gemacht werden. Der Verantwortliche ist aber nicht verpflichtet, Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen ohne besondere technische Fachkenntnisse nicht nachvollzogen werden können. Dies gilt etwa für Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung eingesetzt werden. Der betroffenen Person sind Informationen über den Entscheidungsprozess, über die Gründe für das Ergebnis dieser Entscheidung und damit über die verwendete Methode und die berücksichtigten Kriterien sowie deren Gewichtung bereitzustellen, nicht aber die verwendeten Algorithmen ausführlich zu erläutern oder der gesamte Algorithmus offenzulegen.

EuGH Schlussanträge, C-383/23 12.09.2024, ILVA (Amende pour violation du RGPD)

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

• Über die dänische Möbelhauskette ILVA, ein Tochterunternehmen der übergeordneten Lars Larsen Group, verhängte das Bezirksgericht Aarhus infolge einer Verletzung der DSGVO eine Geldbuße. Gegen diese Entscheidung legte die Staatsanwaltschaft Berufung an das vorlegende Gericht ein und vertrat die Ansicht, dass für die Berechnung der Geldbuße nicht nur der Umsatz des Tochterunternehmens ILVA, sondern der Gesamtumsatz der Lars Larsen Unternehmensgruppe zu berücksichtigen sei. Das vorlegende Gericht fragte nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.
  
  Der Generalanwalt hat erwogen: Bei der Verhängung von Geldbußen nach der DSGVO sind die wesentlichen Garantien eines Strafverfahrens einzuhalten. Aus der Rechtsprechung des EuGH lässt sich ableiten, dass der Grundsatz der Verhältnismäßigkeit einer der fundamentalen Grundsätze des Unionsrechts ist und bei dessen Anwendung vor nationalen Gerichten und Behörden beachtet werden muss. Der Grundsatz der Verhältnismäßigkeit verpflichtet die Mitgliedstaaten, Maßnahmen zu ergreifen, die zur Erreichung der verfolgten Ziele geeignet sind und nicht über das hinausgehen, was für die Zielerreichung erforderlich ist.
  
  Aus der Rechtsprechung des Gerichtshofs geht klar hervor, dass der Grundsatz der Verhältnismäßigkeit erstens erfordert, dass die verhängte Strafe der Schwere der Straftat entspricht, und zweitens, dass bei der Festsetzung der Strafe und der Höhe der Geldbuße die individuellen Umstände des konkreten Falls berücksichtigt werden. Nach der Rechtsprechung des EGMR haben die Mitgliedsstaaten die Pflicht, sicherzustellen, dass die verhängte Strafe nicht überschießend – und somit unverhältnismäßig – ist.
  
  Bei der Festsetzung des Höchstbetrags einer Geldbuße soll der Begriff "Unternehmen" den Art 101 und 102 AEUV entsprechen. Daher wird der weltweite Gesamtjahresumsatz des Unternehmens berücksichtigt, zu dem der Verantwortliche oder der Auftragsverarbeiter gehört.
  
  Bei der Bestimmung der tatsächlich zu verhängenden Geldbuße muss das nationale Gericht jedoch die speziellen Umstände zur Entscheidungsfindung berücksichtigen und sicherstellen, dass der Grundsatz der Verhältnismäßigkeit beachtet wird, wobei ein angemessener Ausgleich zwischen den Erfordernissen des allgemeinen Interesses der Gemeinschaft am Schutz personenbezogener Daten und den Erfordernissen des Schutzes der Grundrechte des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, zu dem dieser gehört, hergestellt wird.

EuGH Schlussanträge 12.09.2024, C-247/23, Deldits

Transgender, Berichtigung, Register

• Ein Transgender-Mann mit iranischer Staatsangehörigkeit, der als "Frau" geboren wurde, erhielt in Ungarn die Flüchtlingseigenschaft. Die Fremdenpolizei nahm personenbezogene Daten, einschließlich des Geschlechts (weiblich), in das Flüchtlingsregister auf. Der Transgender-Mann beantragte unter Vorlage von Bescheinigungen von Psychiatern und Gynäkologen die Berichtigung des Registers gemäß Art 16 DSGVO, was abgelehnt wurde, weil keine geschlechtsangleichende Operation nachgewiesen wurde. Über die daraufhin erhobene Klage des Transgender-Mannes, fragte das vorlegende Gericht den EuGH, ob die Stelle, die ein nationales Register führt, die Daten einer Betroffenen zu berichtigten hat, wenn sich deren Daten, seit deren Eintragung ins Register geändert haben und bejahendenfalls, welche Nachweise die Betroffene zu erbringen hat.
  
  Der Generalanwalt hat erwogen: Art 5 Abs 1 lit d DSGVO verlangt, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Art 16 DSGVO gibt der betroffenen Person das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Die Eintragung des Geschlechts als "weiblich" ist unrichtig, weil sich die Person als Transgender-Mann identifiziert und entsprechende Nachweise vorgelegt hat. Art 8 Abs 2 der EU-Grundrechtecharta garantiert das Recht auf Berichtigung der Daten, Art 16 DSGVO spiegelt dieses Recht wider und trägt zur Einhaltung des Grundsatzes der Richtigkeit bei. Die Richtigkeit der Daten hängt vom Kontext und dem Zweck der Datenerhebung ab.
  
  Das Flüchtlingsregister dient der Identifizierung, und das Geschlecht gehört zu den Identifikationsdaten natürlicher Personen. Art 16 DSGVO verlangt nicht, dass eine Person eine geschlechtsangleichende Operation nachweist, um die Berichtigung ihrer Daten zu beantragen. Der EGMR verurteilt die Auferlegung eines solchen Erfordernisses, weil es die vollständige Ausübung des Rechts auf Achtung des Privatlebens von der Aufgabe des Rechts auf körperliche Unversehrtheit abhängig macht. Eine Betroffene, die die Berichtigung von Daten beantragt, muss zwar Nachweise vorlegen, um die Unrichtigkeit einer fehlerhaften Eintragung nachzuweisen, aber sie muss nicht nachweisen, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat.

BVwG 21.08.2024, W176 2281424-1

Exekution, justizielle Tätigkeit, Zustellung

• Der Schuldner eines Exekutionsverfahrens beantragte beim Bezirksgericht die Aufschiebung der Exekution und eine Zustellung in kroatischer Sprache. Zudem gab er dem Gericht bekannt, einen sechswöchigen Rehabilitationsaufenthalt anzutreten und beantragte, dass in diesem Zeitraum keine Zustellungen verfügt werden mögen. Das Bezirksgericht lehnte den Aufschiebungsantrag mit Beschluss ab und trug dem Schuldner auf, für die Dauer seines Rehabilitationsaufenthalts eine zustellfähige Adresse bekanntzugeben, widrigenfalls eine Hinterlegung ohne vorhergehenden Zustellversuch erfolgen werde.
  
  Dieser Aufforderung des Gerichts kam der Schuldner nicht nach. Daher stellte die zuständige Richterin des Exekutionsverfahrens ein Ersuchen an den zuständigen Rechtsträger um Bekanntgabe, in welcher Einrichtung sich der Schuldner befinde. Nachdem der Rechtsträger dem Ersuchen nachkam, wurden die Unterlagen des Exekutionsverfahrens dem Schuldner zugestellt. Dieser sah sich dadurch in seinem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB gegen das Bezirksgericht ein.
  
  Das Bezirksgericht brachte in seiner Stellungnahme vor, im Rahmen seiner justiziellen Tätigkeit agiert zu haben, weshalb die DSB gemäß Art 55 Abs 3 DSGVO unzuständig sei. Die DSB führte in ihrem Bescheid aus, grundsätzlich für die Datenschutzbeschwerde zuständig zu sein. Es handle sich nämlich um keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO, sondern lediglich um die Vollstreckung des Exekutionstitels durch Zwangsmittel. Die Datenschutzbeschwerde sei jedoch abzuweisen, weil das Bezirksgericht gemäß § 8 Abs 2 ZustG berechtigt war, den Aufenthaltsort des Schuldners zu ermitteln. Die Bescheidbeschwerde des Schuldners wurde vom BVwG abgewiesen und das BVwG änderte den Spruch des Bescheids dahingehend ab, dass die Datenschutzbeschwerde zurückgewiesen wird.
  
  Das BVwG hat erwogen: Der Vollzug der Exekution ist eine justizielle Tätigkeit, weil dabei weiterhin die richterliche Unabhängigkeit zu wahren ist. Zudem wird der Vollzug der Exekution nach den Bestimmungen der Exekutionsordnung im Auftrag und unter der Leitung des Gerichts durchgeführt. Die Zustellung von Schriftstücken in einem Exekutionsverfahren ist ebenso eine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO.
  
  Die DSB war sohin zur Prüfung der Verletzung im Recht auf Geheimhaltung durch das Bezirksgericht unzuständig. Die Unzuständigkeit der DSB ist gemäß § 27 VwGVG vom BVwG von Amts wegen aufzugreifen, unabhängig davon, ob dies in der Bescheidbeschwerde eingewendet wird oder nicht. Bei einer Unzuständigkeit der Behörde haben die Verwaltungsgerichte den Bescheid grundsätzlich ersatzlos zu beheben. Infolge des ersatzlosen Behebens darf die Behörde über den gleichen Gegenstand nicht erneut entscheiden. Da dem Bescheid der DSB jedoch ein Parteiantrag zugrunde liegt, ist eine kassatorische Entscheidung nicht zulässig. Daher war die Datenschutzbeschwerde des Schuldners durch das BVwG zurückzuweisen.

BVwG 19.08.2024, W108 2286821-1

Altstoffsammelzentrum, Interessenabwägung

• Ein Abfallbesitzer fuhr in ein Altstoffsammelzentrum (ASZ), um dort einen Sack mit künstlichen Mineralfasern und Verpackungsmaterial zu entsorgen. Ein Mitarbeiter des ASZ machte den Abfallbesitzer darauf aufmerksam, dass – mit Ausnahme von Verpackungsmaterial – nur die Bewohner einer bestimmten Stadt ihren Müll in diesem ASZ entsorgen dürfen. Nachdem der Abfallbesitzer dies ignorierte und den Sack mit künstlichen Mineralfasern im ASZ liegen ließ, erhielt er per Post eine Rechnung für seine Abfallentsorgung, die seiner Meinung nach zu hoch war.
  
  Der Abfallbesitzer brachte Datenschutzbeschwerde ein, weil das ASZ seines Erachtens die Zulassungsdaten des von ihm gelenkten Pkw für die Zusendung der Rechnung nicht hätte erheben dürfen. Das ASZ führte in seiner Stellungnahme aus, es sei bereits in der Einfahrt klar erkennbar gewesen, dass der Abfallbesitzer keine Berechtigung zur Müllentsorgung in dem ASZ hatte. Die Kosten seien angemessen, weil die Entsorgung gefährlicher Abfälle erhebliche Kosten verursacht. Gegen den abweisenden Bescheid der DSB brachte der Abfallbesitzer eine (erfolglose) Bescheidbeschwerde ein.
  
  Das BVwG hat erwogen: Die Erhebung der Zulassungsdaten des vom Abfallbesitzer gelenkten Fahrzeugs ist eine Verarbeitung personenbezogener Daten. Das ASZ ist als Verantwortlicher iSd Art 4 Z 7 DSGVO zu qualifizieren. Das Grundrecht auf Datenschutz umfasst auch den Schutz vor der Ermittlung und Weitergabe personenbezogener Daten. Die Ausforschung des Zulassungsbesitzers durch ein Ersuchen an die Bezirkshauptmannschaft berührt daher jedenfalls das Recht auf Geheimhaltung gemäß § 1 DSG.
  
  Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen. Das ASZ hat ein berechtigtes Interesse an der Erhebung der Daten, um die entstandenen Kosten für die unrechtmäßige Abfallentsorgung weiterverrechnen zu können. Der Abfallbesitzer hat den Sack Mineralwolle trotz Hinweis des Mitarbeiters, dass dies nur für Bürger der Stadt erlaubt sei, im ASZ zurückgelassen. Dadurch sind ein erheblicher Aufwand und Kosten für die ordnungsgemäße Entsorgung entstanden, zumal es sich um Abfall einer gefährlichen Art handelte. Die Verarbeitung der personenbezogenen Daten des Abfallbesitzers war erforderlich, um die Forderung gegen ihn zu betreiben. Es gab keine alternativen Mittel zur Ermittlung der benötigten Daten.
  
  Die erhobenen Daten waren weder sensible noch strafrechtlich relevante Daten. Der Abfallbesitzer musste mit einer Verarbeitung seiner Daten rechnen, weil er den Abfall unerlaubterweise zurückgelassen hat. Die berechtigten Interessen des ASZ überwogen daher die Interessen des Abfallbesitzers an der Geheimhaltung seiner personenbezogenen Daten. Die Verarbeitung war auch verhältnismäßig und auf das notwendige Maß beschränkt.
  
  Überdies kann sich das ASZ auf Art 6 Abs 1 lit e DSGVO stützen, weil es gemäß § 8 der Abfallordnung der Stadt, die aufgrund des § 6 Oö Abfallwirtschaftsgesetzes 2009 erlassen wurde, im öffentlichen Interesse handelt und eine gesetzliche Aufgabe erfüllt. Im Zusammenhang mit dieser Aufgabe ist das ASZ jedenfalls berechtigt, personenbezogene Daten zu erheben und zu verarbeiten, wenn etwa unzulässigerweise gefährlicher Abfall hinterlassen wird.

• Beim Versand einer unerbetenen Werbeemail kommt keine Ermahnung in Betracht, denn die Bedeutung des strafrechtlich geschützten Rechtsguts ist in Ansehung des Strafrahmens iHv bis zu EUR 50.000 nicht als gering zu betrachten. Wurde aufgrund der Werbeemail eine Anzeige erstattet, kann auch von keiner völlig unerheblichen Störung ausgegangen werden, weil der Empfänger beim Ausbleiben der Störung keine Anzeige erstattet hätte (BVwG 08.08.2024, W282 2289350-1).
  
  
• Setzt ein Arbeitsloser keine Bemühungen zum Erlangen einer ihm zugewiesenen konkreten Arbeitsstelle, sind datenschutzrechtliche Einwände nicht geeignet, um das Unterlassen der Bewerbung zu rechtfertigen (BVwG 17.05.2024, G305 2282006-1).

• Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors vom 17.04.2024 nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

• Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde

• Ein Betroffener erachtete sich in seinem Auskunftsrecht verletzt, weil der Verantwortliche nicht innerhalb eines Monats auf sein Auskunftsersuchen geantwortet hat und erhob Datenschutzbeschwerde gemäß Art 77 Abs 1 DSGVO bei der DSB. Da er innerhalb von 20 Monaten bereits 77 ähnliche Datenschutzbeschwerden gegen verschiedene Verantwortliche eingereicht hat, die ebenfalls nicht fristgerecht auf seine Auskunfts- oder Löschersuchen reagiert haben sollen, stufte die DSB seine Datenschutzbeschwerde als exzessiv ein und verweigerte deren Bearbeitung. Das BVwG behob den Bescheid der DSB, die daraufhin Revision beim VwGH einlegte. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Anfrage iSd Art 57 Abs 4 DSGVO als exzessiv gilt.
  
  Der Generalanwalt hat erwogen: Die Begriffe "Anfrage" bzw "Anfragen" iSd Art 57 Abs 4 DSGVO erfassen auch Beschwerden an die Datenschutz-Aufsichtsbehörden.
  
  Um ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, ist ein ordnungsgemäßes Funktionieren der Aufsichtsbehörden sicherzustellen, indem verhindert wird, dass diese durch das Einreichen offenkundig unbegründeter oder exzessiver Beschwerden behindert werden. Die Bestimmung des Art 57 Abs 4 DSGVO ermöglicht den Aufsichtsbehörden, mit solchen Beschwerden speziell umzugehen und dadurch die Belastung zu verringern, die solche Beschwerden auslösen können.
  
  Ein Schwellenwert, ab dem Beschwerden allein aufgrund ihrer Anzahl als exzessiv eingestuft werden könnten, würde die Betroffenenrechte beeinträchtigen. Da Art 57 Abs 4 DSGVO eng auszulegen ist, reicht die bloße Berücksichtigung der Anzahl der Beschwerden, so groß sie auch sein mag, als Rechtfertigung für die Anwendung dieser Bestimmung durch eine Aufsichtsbehörde nicht aus. Für die Feststellung, dass eine exzessive Anfrage vorliegt, ist eine missbräuchliche Absicht der Person, die die Beschwerden einreicht, nachzuweisen. Die Aufsichtsbehörde hat nachzuweisen, dass die Beschwerden nicht dem Schutz der Rechte aus der DSGVO dienen, sondern einem anderen Zweck, etwa dem Versuch, die Behörde zu überlasten.
  
  Bei exzessiven Anfragen kann die Aufsichtsbehörde wählen, ob sie eine angemessene Gebühr verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Diese Wahl darf die Aufsichtsbehörde jedoch nicht nach freiem Ermessen und ohne Begründung treffen. In Hinblick auf den Verhältnismäßigkeitsgrundsatz, auf das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten und auf die Verpflichtung der Behörden, sich mit aller gebotenen Sorgfalt mit Beschwerden zu befassen, sollte vorranging eine angemessene Gebühr in Betracht gezogen werden, weil dadurch die Rechte der Betroffenen in geringerem Maße beeinträchtigt werden.

BVwG 31.07.2024, W108 2280724-1

• Ein Nutzer brachte wegen behaupteter Mangelhaftigkeit des Cookie-Banners auf einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Der Nutzer monierte ua, dass auf der ersten Ebene des Cookie-Banners keine "Ablehnen"-Schaltfläche vorhanden war und die Einwilligung nicht ebenso einfach widerrufen wie erteilt werden konnte. Die DSB wies die Datenschutzbeschwerde teilweise ab und teilweise zurück. Gleichzeitig erteilte die DSB dem Websitebetreiber von Amts wegen die Aufträge, seinen Cookie-Banner und die damit verbundenen Datenverarbeitungen auf näher umschriebene Weise anzupassen. Der Websitebetreiber erhob Bescheidbeschwerde an das BVwG, entsprach jedoch während des laufenden Verfahrens vor dem BVwG den Leistungsaufträgen der DSB. Das BVwG gab der Bescheidbeschwerde daher statt und hob den angefochtenen Bescheid ersatzlos auf.
  
  Das BVwG hat erwogen: Gemäß Art 7 Abs 3 DSGVO hat der Widerruf der Einwilligung genau so einfach zu sein, wie das Erteilen der Einwilligung. Der Websitebetreiber hat die Website in der Zwischenzeit angepasst. Im Cookie-Banner wird darauf hingewiesen, dass am Seitenende ein Link "Cookie Einstellungen und Widerruf" zu finden ist, über den die Einwilligung widerrufen werden kann. Diese Anpassung entspricht den gesetzlichen und behördlichen Vorgaben, auch wenn auf einen Link geklickt werden muss und der Nutzer erst auf einer "zweiten Ebene" die Einstellungen und den Widerruf findet. Einem durchschnittlich informierten Verbraucher ist das zumutbar.
  
  Der Websitebetreiber hat auch die Datenverarbeitung angepasst und setzt beim Aufruf der Website, bevor eine Einwilligung abgegeben wurde, nur mehr technisch notwendige Cookies. Diese Cookies sind für die Diensterbringung unbedingt erforderlich und können demgemäß ohne Einwilligung gesetzt werden. Da technisch nicht notwendige Cookies erst nach Erteilen der Einwilligung gesetzt werden, hat der Websitebetreiber auch diesem Leistungsauftrag der DSB entsprochen.
  
  Anm: Leistungsaufträgen der DSB im laufenden Verfahren vor dem BVwG zu entsprechen, kann eine gute Strategie sein. Denn die Leistungsaufträge der DSB sind Anweisungen iSd Art 83 Abs 6 DSGVO. Wird ein Leistungsauftrag rechtskräftig und ist der Betroffene der Ansicht, dass dem Auftrag nicht (vollständig) entsprochen wurde, kann er Exekution führen oder bei der DSB die Einleitung eines Verwaltungsstrafverfahrens anregen.

BVwG 10.07.2024, W298 2261830-1

• Während der Corona-Pandemie sind die Mitarbeiter einer Behörde per E-Mail instruiert worden, ihren Arbeitsplatz ohne FFP2-Maske nur mit einem negativen Antigen-Test zu betreten. Die Testergebnisse konnten die Mitarbeiter in einer Datenbank einsehen, in der sie sich zuvor unter Angabe persönlicher Daten, wie etwa Vor- und Nachname, Sozialversicherungsnummer und Geburtsdatum, vorregistrieren mussten. In die Testergebnisse konnte (auch) die Behördenleitung sowie gelegentlich die Belegschaft einsehen. Die DSB gab der auf eine Verletzung des Geheimhaltungsrechts gestützten Datenschutzbeschwerde eines Mitarbeiters statt. Die dagegen erhobene Bescheidbeschwerde der Behörde wies das BVwG ab.
  
  Das BVwG hat erwogen: Bei Covid-19-Testergebnissen handelt es sich um Gesundheitsdaten. Deren Verarbeitung ist – unter anderem – dann zulässig, wenn die betroffene Person in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich und freiwillig eingewilligt hat. Zwar wurde eine Einwilligung des Mitarbeiters mit dessen Unterschrift zur Verarbeitung der Gesundheitsdaten eingeholt. Das Kriterium der Freiwilligkeit war jedoch nicht erfüllt, weil der Mitarbeiter keine echte Wahl hatte. Ohne der "freiwilligen" Teilnahme am Testprogramm hätte der Mitarbeiter während der Dienstzeiten verpflichtend durchgängig eine FFP2-Atemschutzmaske zu tragen gehabt. Davon abgesehen bedingt das einem Dienstverhältnis regelmäßig innewohnende Abhängigkeitsverhältnis des Mitarbeiters von seinem Dienstgeber, dass die Einwilligung nicht freiwillig erteilt wurde.
  
  Ebenso wenig erteilte der Mitarbeiter seine ausdrückliche Einwilligung dazu, dass nicht nur er, sondern auch Dritte (hier: die Behördenleitung) in seine Testergebnisse einsehen konnten. Die Behördenleitung konnte sich auch auf keine gesetzliche Grundlage iSd Art 9 Abs 2 lit b DSGVO stützen. Denn die 3. COVID-19-NotMV betraf die Bereithaltung von Informationen zum Beweis der Einhaltung von Präventionsmaßnahmen gegen die Verbreitung des Covid-19-Virus. Daraus ergab sich jedoch keine Datenverarbeitungsgrundlage, auf deren Basis die Behördenleitung in die Testergebnisse ihrer Mitarbeiter hätte einsehen dürfen.

BVwG 19.08.2023, W214 2242818-1

• Der Miteigentümer einer Liegenschaft schrieb E-Mails an die Hausverwaltung, in denen er Beschwerden über verschiedene Missstände äußerte. Diese E-Mails, einschließlich der E-Mail-Adresse des Miteigentümers, leitete die Hausverwaltung ohne die Zustimmung des Miteigentümers an drei andere Miteigentümer der Liegenschaft, die laut Hausverwaltung als "Vertrauensleute" bestellt waren, weiter. Die darüber erhobene Datenschutzbeschwerde des Miteigentümers wies die DSB ab. Gegen diesen Bescheid der DSB erhob der Miteigentümer (erfolgreiche) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Der Inhalt der E-Mails sowie die E-Mail-Adresse des Miteigentümers sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Das Datenschutzrecht gilt auch für die teilweise öffentlich zugänglichen Daten des Miteigentümers. Der Eigentümer hat in die Weiterleitung seiner E-Mail-Adresse nicht eingewilligt.
  
  Die Hausverwaltung war auch vertraglich iSd Art 6 Abs 1 lit b DSGVO zur Weiterleitung der Nachrichten an die "Vertrauensleute" nicht verpflichtet. Zwar übte der Miteigentümer in seinen Nachrichten massive Kritik an der Hausverwaltung, dennoch war die Weitergabe seiner personenbezogenen Daten an die "Vertrauensleute" kein geeignetes Mittel, um die Aufgabe der Hausverwaltung zu erfüllen.
  
  Die drei "Vertrauensleute" wurden nicht als Eigentümervertreter iSv § 22 WEG bestellt. Gemäß § 26 Abs 1 WEG könnten alle Wohnungseigentümer eine Vereinbarung über bestimmte Funktionen treffen. Es existiert jedoch keine entsprechende Vereinbarung, und die ehrenamtliche Tätigkeit der "Vertrauensleute" reicht nicht aus.
  
  Zwar hatte die Hausverwaltung ein berechtigtes Interesse, die übrigen Eigentümer über den Konflikt zu informieren, jedoch wäre dies auch ohne Weiterleitung der E-Mails durch alternative Methoden möglich gewesen. Folglich überwog das Recht des Miteigentümers auf Geheimhaltung seiner Daten.

BVwG 19.08.2024, W214 2248588-1

• Der Pächter einer Parzelle eines Siedlervereins brachte mehrere Überwachungskameras am Parkplatz und an den Straßen am Areal des Siedlervereins an. Einer seiner Nachbarn, welcher ebenfalls eine Parzelle gepachtet hat, brachte daraufhin wegen behaupteter Verletzung im Geheimhaltungsrecht eine Datenschutzbeschwerde bei der DSB ein. Der Pächter gab an, dass das Anbringen der Kameras durch den Vorstand des Siedlervereins genehmigt wurde und sein Nachbar Mitglied des Vorstands sei. Die Kameras sollten zur Überwachung des Fahrzeugs des Pächters und zur Feststellung von unberechtigt parkenden Fahrzeugen dienen, weil es sich um einen Privatgrund handle. Die Kameras zeichneten kontinuierlich auf und speicherten die Aufnahmen für 72 Stunden. Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte eine Verletzung in seinem Recht auf Geheimhaltung fest, weil die Parkplätze und Zufahrtsstraßen von allen Pächtern des Areals genutzt werden konnten und es sich somit um allgemein nutzbare Flächen handelte. Der Pächter erhob eine (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Der Pächter ist Verantwortlicher der Bildverarbeitung iSd Art 4 Z 7 DSGVO. Er hat die Installation der Kameras beauftragt und wurde auf den Hinweisschildern als Verantwortlicher angegeben. Die Videoüberwachung ist eine Verarbeitung personenbezogener Daten iSd Art 4 Z 2 DSGVO, weil die Kameras in der Lage sind, personenbezogene Daten zu erfassen und zu speichern.
  
  Entgegen den Behauptungen des Pächters hat der Vorstand dem Anbringen der Kameras nicht zugestimmt. Dem Protokoll der Jahreshauptversammlung des Vorstands konnte nur entnommen werden, dass über die Anbringung einer Kamera-Attrappe abgestimmt wurde. Der Pächter hat nicht hinreichend über die Details informiert.
  
  Der Pächter hat zwar ein berechtigtes Interesse an der Überwachung seines Eigentums zum Schutz vor Diebstahl und Beschädigungen sowie zur Hintanhaltung der Ablagerung von Müll. Demgegenüber steht jedoch das berechtigte Interesse des Nachbarn, nicht überwacht zu werden. Die Videoüberwachung des gesamten Parkplatzes durch vier Kameras und die Speicherung der Aufnahmen für 72 Stunden über einen Zeitraum von mehreren Jahren war unverhältnismäßig, zumal dem Pächter kein fixer Parkplatz zugewiesen war, sondern alle Parkplätze von allen Pächtern genutzt werden durften. Die Interessen des Nachbarn überwogen die berechtigten Interessen des Pächters.
  
  Auch die Überwachung der Zufahrtsstraße durch die Kameras war unverhältnismäßig, weil es allgemein zugängliche Bereiche waren und den Nachbarn nicht zuzumuten ist, bei jeder Benutzung dieser Straße von der Videoüberwachung erfasst zu werden. Der Eingriff ins Recht auf Geheimhaltung war somit unverhältnis- und unrechtmäßig.

• Eine auf § 13 Abs 3 AVG gestützte Zurückweisung kommt nur bei solchen Datenschutzbeschwerden in Frage, die mit Mängeln behaftet sind. Fehlen (i) die Bezeichnung des als verletzt erachteten Rechts, (ii) das Begehren, die behauptete Rechtsverletzung festzustellen, sowie (iii) die Angaben, die zur Beurteilung der Rechtzeitigkeit der Datenschutzbeschwerde erforderlich sind, ist das Erteilen eines Mängelbehebungsauftrags erforderlich. Kommt der Beschwerdeführer dem Mängelbehebungsauftrag nicht nach, ist die DSB berechtigt, die Datenschutzbeschwerde zurückzuweisen (BVwG 26.07.2024, W292 2265092-1).
  
  
• Wird gegen einen Zurückweisungsbescheid eine Bescheidbeschwerde erhoben, darf das BVwG nur über die Rechtmäßigkeit der Zurückweisung absprechen. Da die Zurückweisung rechtswidrig war, ist der angefochtene Bescheid aufzuheben und der DSB die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufzutragen (BVwG 18.06.2024, W214 2222613-2).
  
  
• Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 21.08.2024, W214 2262974-1).
  
  
• Wird eine Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 31.07.2024, W292 2250709-1).

• Das Rahmenübereinkommen des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit, SEV 225, ist am 05.09.2024 zur Zeichnung aufgelegt worden. Am 04.09.2024 ist der "Beschluss (EU) 2024/2218 des Rates vom 28. August 2024 über die Unterzeichnung — im Namen der Europäischen Union — des Rahmenübereinkommens des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit" kundgemacht worden, ABl L 2024/2218, 1. Das Rahmenübereinkommen wurde von der EU am 05.09.2024 unterzeichnet.

• Am 03.09.2024 hat der Bund die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht, BGBl I 2024/138.

• Am 04.09.2024 hat der Bundesminister für Bildung, Wissenschaft und Forschung die Registerforschungsverordnung-BMK kundgemacht, BGBl II 2024/241. Mit dieser Verordnung wurden zehn Register im Wirkungsbereich des Bundesministeriums für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie als registerforschungstaugliche Register festgelegt.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

• Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in einem öffentlichen Register zu berichtigen ist, wenn das Geschlecht sich ändert.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

• Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Aus der Rechtsprechung des OGH:

• Werden in einem Strafverfahren Kommunikationsdaten des Strafverdächtigten von ausländischen Behörden erhoben und an die inländischen Strafverfolgungsbehörden übermittelt, unterliegen solche Daten keinem Beweisverwertungsverbot (OGH 27.08.2024, 11Os85/24w).

BVwG 31.07.2024, W108 2284491-1

• Ein Nutzer besuchte die Website eines Medienunternehmens, die im Cookie-Banner keine "Ablehnen"-Schaltfläche auf der ersten Ebene enthielt. Der Nutzer begehrte vom Medienunternehmen die Löschung aller durch die Cookies erhobenen personenbezogenen Daten. Das Medienunternehmen argumentierte, dass die Verarbeitung personenbezogener Daten zu journalistischen Zwecken erfolgte und daher von den Bestimmungen der DSGVO ausgenommen war. Der Nutzer erhob Datenschutzbeschwerde bei der DSB, die dieser teilweise stattgab und das Medienunternehmen zur Anpassung des Cookie-Banners aufforderte. Das Medienunternehmen erhob Bescheidbeschwerde beim BVwG, das diese abwies.
  Das BVwG hat erwogen: Die DSGVO verlangt, dass die Einwilligung zur Verarbeitung personenbezogener Daten freiwillig, informiert und unmissverständlich erfolgt. Eine Einwilligung muss genauso einfach zu widerrufen sein, wie sie erteilt wurde. Auch die Nichtabgabe einer Einwilligung muss genauso einfach sein, wie die Abgabe der Einwilligung. Ein Cookie-Banner muss daher eine gleichwertige Option zum Ablehnen der Cookies auf der ersten Ebene enthalten.
  
  Das Medienunternehmen kann sich nicht auf das Medienprivileg berufen, weil das Setzen von Cookies für Analyse-, Marketing- und Werbezwecke keine journalistische Tätigkeit ist. Bei Verarbeitungstätigkeiten für andere Zwecke von Medienunternehmen wie zB für die Personalverwaltung oder Marketing sind die Bestimmungen des DSG und der DSGVO ungeschmälert anwendbar. Auch wenn aufgrund der Wichtigkeit des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft der Begriff der "journalistischen Tätigkeit" weit auszulegen ist, zielt die Verarbeitung personenbezogener Daten zu den oben genannten Zwecken nicht auf die Vermittlung von Informationen und Ideen über Fragen im öffentlichen Interesse ab.
  
  Die DSB hat die Befugnis, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen. Dies umfasst auch die Gestaltung des Cookie-Banners. Die Gestaltung des Cookie-Banners des Medienunternehmens entspricht nicht den Anforderungen der DSGVO, weil die Schaltfläche zum Ablehnen der Cookies nicht auf der ersten Ebene ist und mit der Schaltfläche "Akzeptieren" optisch nicht gleichwertig gestaltet ist.

BVwG 22.04.2024, W214 2253376-1

• Im Rahmen eines Forschungsprojekts veröffentlichte ein Universitätsprofessor Adressdaten und ZVR-Nummern von Vereinen und ihren Vertretern. Bei den veröffentlichten Adressdaten handelte es sich teilweise um die Privatadressen der Vertreter. Die Vereine und deren Vertreter erachteten sich in ihren Rechten auf Geheimhaltung und Information verletzt und brachten Datenschutzbeschwerde bei der DSB gegen die Universität, den Universitätsprofessor und den Fonds, welcher das Forschungsprojekt sponserte, ein. Die DSB wies die Datenschutzbeschwerde ua deshalb ab, weil die veröffentlichten Adressen und ZVR-Nummern der betroffenen Vereine und ihrer Vertreter aus öffentlich zugänglichen Quellen stammten.
  
  Die DSB sprach jedoch auch aus, dass eine gemeinsame Verantwortlichkeit zwischen der Universität und dem Fonds besteht und daher eine Vereinbarung gemäß Art 26 DSGVO abgeschlossen werden muss. Gegen diesen Bescheid erhoben sowohl die Universität als auch die Vereine und ihre Vertreter (teilweise erfolgreiche) Bescheidbeschwerden an das BVwG.
  
  Das BVwG hat erwogen: Die Universität ist allein datenschutzrechtlich Verantwortliche für das Forschungsprojekt. Das Handeln des Universitätsprofessors als Angestellter ist der Universität zuzurechnen. Der Fonds stellt lediglich finanzielle Mittel bereit und nimmt keinen Einfluss auf die Datenverarbeitung.
  
  Die Veröffentlichung von Adressen und ZVR-Nummern von Vereinen und deren Vertretern ist eine Datenverarbeitung. Durch die Verknüpfung der personenbezogenen Daten und die Anreicherung mit weiteren Informationen werden neue Daten und Informationen generiert. Diese neuen Daten stammen nicht aus öffentlichen Quellen.
  
  Die Daten juristischer Personen, somit die Adressen der Vereine, unterliegen dem Schutz des § 1 DSG. Da die Daten nicht 1:1 aus öffentlichen Quellen zusammengeführt, sondern mit anderen Daten kombiniert wurden, sind sie nicht allgemein verfügbar iSd § 1 DSG.
  
  Zwar kann sich die Universität bei der Durchführung und Veröffentlichung von Forschungsarbeiten auf die Wissenschaftsfreiheit gemäß § 17 StGG berufen. Allerdings ist auch bei wissenschaftlichen Vorhaben das Recht auf Geheimhaltung zu beachten. Die Veröffentlichung personenbezogener Daten muss verhältnismäßig sein und dem Grundsatz der Datensparsamkeit entsprechen. Die Veröffentlichung der Adressen der Vereine und deren Vertreter war für die Erreichung des Projektziels nicht erforderlich. Durch die überschießende Datenverarbeitung wurde das Recht auf Geheimhaltung verletzt.
  
  Betroffene natürliche Personen haben ein Recht auf Information zu der Verarbeitung ihrer Daten gemäß Art 14 DSGVO. Eine Ausnahme von der Informationspflicht besteht zwar unter anderem dann, wenn die Informationserteilung unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde. Im Projekt wurden jedoch einzelne Betroffene vorab direkt angeschrieben und informiert. Es ist nicht ersichtlich, warum dies nicht für alle Betroffenen hätte erfolgen können. Eine erst nachträglich bereitgestellte Datenschutzinformation gilt nicht als rechtzeitig erteilt.

BVwG 20.11.2023, W214 2222613-2

• Eine Kreditauskunftei speicherte ua Bonitätsscores sowie Zwischenergebnisse (Teil-scores) zu den errechneten Bonitätsscores. Ein Betroffener ersuchte um Auskunft und um eine Kopie der über ihn gespeicherten personenbezogenen Daten. Die Kreditauskunftei erteilte eine Auskunft, der Betroffene erachtete diese jedoch für unzureichend und erhob Datenschutzbeschwerde wegen Verletzungen der Rechte auf Auskunft, Information und Geheimhaltung. Die DSB wies die Datenschutzbeschwerde teilweise zurück und teilweise ab.
  
  Über die Bescheidbeschwerde des Betroffenen erging ein Teilerkenntnis des BVwG, das von beiden Parteien mit ordentlicher Revision beim VwGH bekämpft wird.
  
  Mit Beschluss vom selben Tag ersuchte das BVwG den EuGH um Vorabentscheidung betreffend die Zurverfügungstellung einer Kopie personenbezogener Daten. Mit Urteil vom 04.05.2023, C‑487/21, Österreichische Datenschutzbehörde, beantwortete der EuGH die Vorlagefragen, weshalb das Verfahren fortgesetzt wurde. Das BVwG gab der Bescheidbeschwerde (im noch zu erledigenden Umfang) teilweise statt, und trug der Kreditauskunftei auf, dem Betroffenen die ihn betreffenden Bonitätsreports mit Ausnahme allenfalls vorhandener Daten dritter natürlicher Personen zu übermitteln.
  
  Das BVwG hat erwogen: Gegenstand des Verfahrens ist nurmehr, ob die über den Betroffenen gespeicherten personenbezogenen Daten in Form einer Kopie – allenfalls in kontextualisierter Form – zu beauskunften sind. Auf die darüber hinausgehenden Ausführungen des Betroffenen zu den Verarbeitungszwecken und der Herkunft der Daten ist nicht weiter einzugehen. Ebenso wenig sind aussagekräftige Informationen über Logik, Tragweite und Auswirkungen der eingesetzten Scoreformel Verfahrensgegenstand.
  
  Kreditauskunfteien sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher für sieben Jahre aufzubewahren. Dementsprechend werden im Archiv der Kreditauskunftei die an den Kunden der Kreditauskunftei übermittelten Bonitätsscores aufbewahrt. Die Kreditauskunftei hat daher dem Betroffenen die Kopien der entsprechenden Bonitätsreports zur Verfügung zu stellen, wobei eventuell vorhandene personenbezogene Daten Dritter (etwa Namen natürlicher Personen als Mitarbeiter des Unternehmens, welches Empfänger der Bonitätsreporte war) unkenntlich zu machen sind.
  
  Der EuGH hat den Begriff der "Kopie" im gewöhnlichen Sinn ausgelegt, wonach dadurch die originalgetreue Reproduktion oder Abschrift der personenbezogenen Daten bezeichnet wird. Somit handelt es sich beim Begriff der "Kopie" nicht um eine Binärfolge, sondern um eine Darstellung in einem für den Menschen verständlichen/lesbaren Format.
  
  Eine manuell erstellte Aufstellung kann eine originalgetreue Reproduktion der Daten sein, weil es auf die Originaltreue der verarbeiteten Daten und nicht auf jene des Formats ankommt. Die Daten des Betroffenen wurden originalgetreu aus der Datenbank exportiert und stimmen somit mit den in der Datenbank verarbeiteten Daten überein. Die originalgetreue Reproduktion geht nicht dadurch verloren, dass die Daten des Nutzers in ein anderes Format übertragen werden. In welchem Format die Auskunft erteilt wird, liegt im Ermessen des Verantwortlichen.
  
  Zudem darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Die Datenbankstruktur gilt als Geschäfts- und Betriebsgeheimnis, das durch Screenshots offengelegt werden würde.
  
  Die Teilscores sind zwar personenbezogene Daten, durch ihre Offenlegung könnten jedoch Rückschlüsse auf die Scoreformel möglich werden. Sie sind daher Bestandteil des durch das Geschäftsgeheimnis geschützten Algorithmus und demnach nicht zu beauskunften.

BVwG 22.07.2024, W211 2171666-1

• Eine Kreditauskunftei prognostizierte anhand mathematisch-statistischer Verfahren das zukünftige Verhalten von Personen und erstellte darauf basierende Score-Werte. Diese Score-Werte übermittelte die Kreditauskunftei an ihre Geschäftskunden, darunter einem Telekomunternehmen. Ein Kunde dieses Telekomunternehmens richtete ein Auskunftsersuchen an die Kreditauskunftei. Da er mit der erteilten Auskunft unzufrieden war, erhob er Datenschutzbeschwerde bei der DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt, weil die Kreditauskunftei Negativauskünfte über den Betroffenen gelöscht hatte. Gegen den abweisenden Teil des Bescheides erhob der Kunde eine Bescheidbeschwerde.
  
  Das BVwG teilte seine Entscheidung in zwei Spruchpunkte. Mit dem ersten Spruchpunkt setzte das BVwG das Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus. Mit dem zweiten Spruchpunkt trug das BVwG der Kreditauskunftei auf, dem Kunden eine Auskunft über die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.
  
  Das BVwG hat erwogen: Die Kreditauskunftei ermittelt automatisiert einen Score-Wert, der auf mathematisch-statistischen Methoden beruht und das Verhalten sowie die Bonität des Kunden analysiert. Dieses Verfahren ist als Profiling zu qualifizieren. Von den übermittelten Score-Werten der Kreditauskunftei hängt maßgeblich ab, ob ihre Geschäftskunden, hier das Telekomunternehmen, ein Vertragsverhältnis mit der abgefragten Person eingehen. Daher können sich in einer Marktwirtschaft schwerwiegende Folgen für die Unabhängigkeit und Handlungsfähigkeit von Betroffenen ergeben. Nach vorläufiger Ansicht des BVwG ist der errechnete Score daher eine automatisierte Entscheidung iSd Art 22 DSGVO. In welchem Umfang die entsprechende Auskunft nach Art 15 Abs 1 lit h DSGVO zu erteilen ist, hängt jedoch vom Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, ab, weshalb das Verfahren ausgesetzt wird.
  
  Das BVwG hat bereits in einem vorhergehenden Erkenntnis ausgesprochen, dass die Kreditauskunftei dem Kunden die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu beauskunften hat. Ein entsprechender Leistungsauftrag wurde jedoch nicht erteilt. Über Revision des Kunden behob der VwGH das vorherige Erkenntnis des BVwG. Der Kreditauskunftei war nunmehr ein Leistungsauftrag zur Beauskunftung der Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.

• Das eigene Grundstück mit Video zu überwachen, ist grundsätzlich berechtigt. Über das eigene Grundstück hinaus dürfen Teile eines öffentlichen Weges und Teile von Nachbargrundstücken jedoch ohne ein entsprechendes berechtigtes Interesse nicht erfasst werden (BVwG 15.07.2024, W137 2268788-1).
  
  
• Das BVwG kann ein Verfahren bis zur Entscheidung des EuGH über ein Vorabentscheidungsersuchen aussetzen, auch wenn beim EuGH eine (bloß) ähnliche Rechtsfrage anhängig ist. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Datenschutzbeschwerde exzessiv ist. Diese Frage ist präjudiziell, weshalb das Verfahren auszusetzen ist (BVwG 04.07.2024, W211 2283135-1; BVwG 31.07.2024, W108 2283036-1).
  
  
• Wird die Datenschutzbeschwerde zurückgezogen, hat dies zur Folge, dass die angefochtenen Spruchpunkte des Bescheids der DSB dadurch (nachträglich) von einer unzuständigen Behörde erlassen wurden und sich diese Spruchpunkte (rückwirkend) als rechtswidrig erweisen (BVwG 21.08.2024, W214 2257555-1).

• Am 28.08.2024 hat Wien, LGBl 2024/24, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

• Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

• Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

• Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

VwGH 24.07.2024, Ra 2024/04/0376

Die Lebensgefährtin eines Angestellten fühlte sich von der Überwachung durch einen Detektiv in ihrem Recht auf Geheimhaltung verletzt. Die Arbeitgeberin ließ den Angestellten wegen einer arbeitsrechtlichen Auseinandersetzung observieren. Obwohl die Lebensgefährtin nicht Gegenstand des Observationsauftrags war, enthielt der Observationsbericht Fotos der Lebensgefährtin, auf denen sie allein zu sehen war, ihren vollen Namen und bezeichnete sie als "Zielperson 2". Die DSB gab der Datenschutzbeschwerde der Lebensgefährtin teilweise statt.

Gegen das Erkenntnis erhob der observierende Detektiv Bescheidbeschwerde an das BVwG, welches die Beschwerde abwies. Das BVwG sah die Verarbeitung der Daten der Lebensgefährtin nicht vom berechtigten Interesse des Detektivs gedeckt. Gegen das Erkenntnis erhob der Detektiv eine außerordentliche Revision an den VwGH. Der VwGH wies die Revision zurück.

Der VwGH hat erwogen: Bei der Beurteilung der Rechtmäßigkeit einer Datenverarbeitung gemäß Art 6 Abs 1 lit f DSGVO ist eine einzelfallbezogene Interessenabwägung durchzuführen. Eine Rechtsfrage von grundsätzlicher Bedeutung iSd Art 133 Abs 4 B-VG liegt bei Einzelfallbeurteilungen nur dann vor, wenn die Beurteilung krass fehlerhaft ist.

Die Ermittlung von Zeugen kann im berechtigten Interesse eines Detektivs liegen, muss aber vom Auftragsumfang gedeckt sein. Das Anfertigen von Fotos, auf denen die Lebensgefährtin allein zu sehen ist, fällt nicht unter die Beschaffung von Beweismitteln für ein gerichtliches oder behördliches Verfahren. Inwieweit die Fotos für einen eventuellen arbeitsrechtlichen Streit mit dem Angestellten von Nutzen sein könnten, ist nicht ersichtlich. Eine krasse Fehlbeurteilung, die aus Gründen der Rechtssicherheit einer Korrektur bedürfte, wurde in der Revision ebenso wenig aufgezeigt wie eine konkrete Rechtsfrage.

BVwG 08.07.2024, W177 2287425-1

Ein Verlassenschaftskurator stellte für die Verlassenschaft beim Bundesminister für Finanzen (BMF) ein Auskunftsbegehren betreffend den Verstorbenen bzw seiner Verlassenschaft, einschließlich seiner Kontodaten im Kontenregister. Der BMF wies den Antrag mit Bescheid ab. Gegen diesen Bescheid erhob die Verlassenschaft (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verlassenschaft hat kein Auskunftsrecht aus dem Kontenregister nach § 4 Abs 1 KontRegG, weil die Ermittlung und Feststellung von Nachlassvermögen keiner der in dieser Bestimmung taxativ genannten Zwecke ist.

Gemäß § 4 Abs 4 KontRegG haben betroffene Personen und Unternehmer das Recht auf Auskunft, welche sie betreffende Daten in das Kontenregister aufgenommen sind. Der Verlassenschaft steht dieses Auskunftsrecht nicht zu, weil es personenbezogene Daten des Verstorbenen sind. Das Auskunftsrecht nach dieser Bestimmung ist ein höchstpersönliches Recht, das mit dem Tod des Berechtigten erlischt. In höchstpersönliche Rechte des Verstorbenen findet eine Rechtsnachfolge durch die Verlassenschaft nicht statt. Dies gilt auch für das Auskunftsrecht nach dem DSG oder der DSGVO, an die die Bestimmung des § 4 Abs 4 KontRegG angelehnt ist.

Die Verlassenschaft steht zudem in keinem schuldrechtlichen Verhältnis zur Behörde, von der die Auskunft begehrt wird, sodass ein Eintritt im Wege der Gesamtrechtsnachfolge iSd Eigenschaft eines Kunden oder einer Kundin eines Kreditinstituts zur Begründung des Auskunftsrechts nicht in Betracht kommt. Die Verlassenschaft hat jedoch die Möglichkeit, direkt vom Kreditinstitut, mit dem der Verstorbene ein Vertragsverhältnis begründet hatte, Auskunft zu begehren.

BVwG 24.07.2024, W274 2287428-1

Ein Versicherter ersuchte die Gebietskrankenkasse um Löschung des Krankengeldbezugs über einen näher bezeichneten Zeitraum aus seinem Sozialversicherungsdatenauszug, weil der Krankengeldbezug für diesen Zeitraum seines Erachtens zu Unrecht als "Krankengeldbezug Sonderfall" ausgewiesen war. Der Versicherte befürchtete, dass die Daten ihm bei der Arbeitssuche schaden würden. Die Gebietskrankenkasse verweigerte die Löschung.

Der Versicherte erhob eine Datenschutzbeschwerde. Die DSB hat allerdings bereits zuvor eine Datenschutzbeschwerde des Versicherten, in dem die Löschung des Krankengeldbezugs zum Teil über denselben Zeitraum verlangt wurde, abgewiesen. Obwohl die DSB diese zeitliche Überlappung erkannte, wies sie die Datenschutzbeschwerde zur Gänze ab. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Versicherten teilweise wegen entschiedener Sache (res iudicata) zurück und teilweise ab.

Das BVwG hat erwogen: Über einen Teil des Zeitraums betreffend den Krankengeldbezug hat die DSB bereits mit einem früheren Bescheid abgesprochen. Die DSB erkannte zwar die Identität der Sache über einen Großteil des Zeitraums, dennoch wies sie die Datenschutzbeschwerde ab. Wurde von der DSB ein neuerlicher Antrag trotz Identität der Sach- und Rechtslage nicht wegen res iudicata zurückgewiesen, sondern aus materiellen Gründen (wieder) abgewiesen, ist die Partei ungeachtet der Rechtswidrigkeit des Bescheids in keinem Recht verletzt. Wird gegen eine solche rechtswidrige meritorische Erledigung jedoch Bescheidbeschwerde an das BVwG erhoben, hat das BVwG den Antrag – ungeachtet der Sachentscheidung der DSB – wegen res iudicata zurückzuweisen.

Hinsichtlich des darüber hinausgehenden Zeitraums war die Bescheidbeschwerde abzuweisen. Die gesetzliche Pensionsversicherung knüpft am Krankengeld an. Die Grundlage der entsprechenden Information für die Pensionsversicherung ist der Versicherungsdatenauszug. Die Verarbeitung des Versicherungsdatenauszugs ist zur Erfüllung der gesetzlichen Pflicht der Gebietskrankenkasse erforderlich.

Die Qualifikation "Krankenfeldbezug Sonderfall" wird verwendet, wenn aufgrund des Bezugs von Arbeitslosengeld, Karenzurlaubsgeld oder Notstandshilfe oder auf Grund einer durch eine Beschäftigung bei einer internationalen Organisation (zB IAEO, UNIDO) oder verschiedenen Gemeinde- und Landesbediensteten begründeten Krankenversicherung nach dem ASVG-Krankengeld bezogen wurde, wobei der Grund, warum es zu diesem Krankengeldbezug gekommen ist, für die Speicherung der Qualifikation unerheblich ist.

Der Versicherte meint, sein Krankengeldbezug wäre im genannten Zeitraum aufgrund einer unzulässigen Zwangsmaßnahme nach dem UbG erfolgt, woran die Qualifikation "Krankengeldbezug Sonderfalle" anknüpfe, weshalb die Aufnahme dieser Qualifikation des Krankengeldbezugs in den Versicherungsdatenauszug unrechtmäßig war. Für die Speicherung der Qualifikation ist der Grund, weshalb es zum Krankengeldbezug gekommen ist, jedoch unerheblich. Relevant ist nur der festgestellte und nicht bestrittene Zusammenhang mit dem Notstandshilfebezug des Versicherten.

BVwG 27.06.2024, W176 2248629-1

Eine Patientin absolvierte nach einer Hüftoperation ein Anschlussheilverfahren gemäß § 65a B-KUVG in einem Rehabilitationszentrum. Zu diesem Zeitpunkt war sie dement und kognitiv signifikant eingeschränkt. Die Ärzte des Rehabilitationszentrums forderten einen neurologischen MRT-Befund von einer medizinischen Einrichtung an, um den Gesundheitszustand der Patientin und den weiteren Behandlungsverlauf besser einschätzen zu können. Durch die Weitergabe ihrer Daten ohne ausdrückliche Zustimmung erachtete sich die Patientin in ihrem Recht auf Geheimhaltung verletzt. Sie legte deshalb eine Datenschutzbeschwerde bei der DSB ein. Die Datenschutzbeschwerde wurde von der DSB abgewiesen, ihre anschließende Bescheidbeschwerde beim BVwG blieb ebenso erfolglos.

Das BVwG hat erwogen: Bei der Verarbeitung besonderer Kategorien von Daten iSd Art 9 Abs 1 DSGVO, wozu ua Gesundheitsdaten gehören, muss ein Erlaubnistatbestand des Art 9 Abs 2 DSGVO erfüllt sein. Die Patientin war aufgrund ihrer kognitiven Einschränkungen nicht in der Lage, eine ausdrückliche Einwilligung zur Datenverarbeitung zu erteilen. Folglich kann sich die medizinische Einrichtung nicht auf die ausdrückliche Einwilligung der Patientin zur Datenverarbeitung gemäß Art 9 Abs 2 lit a DSGVO berufen.

Das physiotherapeutische Anschlussheilverfahren war keine medizinische Notsituation. Die durchgeführte Datenverarbeitung kann daher nicht auf ein lebenswichtiges Interesse der Patientin gestützt werden. Die Datenverarbeitung war weder zum Schutz lebenswichtiger Interessen der Patientin erforderlich noch war eine konkrete Gefahrensituation abzuwenden.

Die Übermittlung des MRT-Befundes war jedoch erforderlich, um den Gesundheitszustand und den weiteren Behandlungsverlauf im Anschlussheilverfahren zu beurteilen. Diese Verarbeitung von Gesundheitsdaten ist gemäß Art 9 Abs 2 lit h DSGVO zulässig, weil sie der medizinischen Diagnostik, Versorgung oder Behandlung der Patientin dient. Die medizinische Einrichtung war Teil eines gehobenen medizinisch-technischen Dienstes (§ 1 Z 3 iVm § 2 Abs 3 MTD-G) und unterliegt der Verschwiegenheitspflicht gemäß § 11c Abs 1 MTD-G. Allerdings ist sie verpflichtet, relevante medizinische Informationen an andere Angehörige der Gesundheitsberufe weiterzugeben, sofern diese für die Behandlung oder Pflege erforderlich sind (§ 11b Abs 2 MTD-G).

BVwG 08.07.2024, W137 2265905-1

Ein Ehemann installierte eine Kamera in der Tiefgarage eines Mehrparteienhauses, weil der PKW seiner Ehefrau in der Vergangenheit des Öfteren beschädigt wurde. Nach der Darstellung des Ehemanns zeichnete die Kamera nur dann auf, wenn sie Bewegungen in unmittelbarer Nähe des PKWs erkannte, zudem war der Aufnahmebereich auf seinen eigenen Garagenplatz begrenzt. Auch das Mikrofon der Kamera würde nur durch Stimmen in unmittelbarer Umgebung aktiviert werden. Ein Nachbar fühlte sich durch die Kamera gestört und belegte mit Screenshots, dass größere Flächen der Garage aufgenommen wurden.

Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte fest, dass der Ehemann den Nachbarn durch die Verarbeitung von Bild- und Tonaufnahmen in seinem Recht auf Geheimhaltung verletzt hat. Die dagegen erhobene Bescheidbeschwerde des Ehemannes blieb erfolglos.

Das BVwG hat erwogen: Eine Videoüberwachung durch eine Privatperson kann grundsätzlich rechtmäßig sein, wenn die Privatperson an der Datenverarbeitung ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO hat sowie die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Das berechtigte Interesse des Ehemanns lag im Schutz seines Eigentums. Die von ihm durchgeführte Datenverarbeitung war jedoch überschießend und ging über den Zweck hinaus, weil die Kamera auch andere Garagenplätze sowie den Durchgang der Tiefgarage erfasste. Die Datenverarbeitung war somit nicht auf das notwendige Maß beschränkt.

Eine Tonaufnahme kann im berechtigte Interesse zulässig sein. Die entsprechenden Tonaufnahmen waren zur Überwachung des PKWs jedoch nicht erforderlich, weil eine auf den Garagenplatz eingeschränkte Videoüberwachung jedenfalls ausgereicht hätte, um im Falle der Beschädigung des PKWs als Beweismittel zu dienen.

Die DSGVO selbst schützt nur natürliche Personen, jedoch ist in verfassungskonformer Interpretation davon auszugehen, dass die in § 1 DSG normierten Rechte auch juristischen Personen zukommen und diese sich folglich darauf berufen können. Geschäftliche Daten, die Schlüsse auf die wirtschaftliche Gebarung der juristischen Person zulassen, sind schutzwürdige unternehmensbezogene Wirtschaftsdaten. Betreffend die Anforderungen für eine Zustimmung iSd § 1 Abs 2 DSG ist auf das Konzept der Einwilligung iSd Art 4 Z 11 DSGVO zurückzugreifen. Eine rechtswirksame Zustimmung zur Datenverarbeitung durch eine Behörde ist möglich (BVwG 30.07.2024, W287 2254678-1).

In einer Datenschutzbeschwerde ist das als verletzt erachtete Recht zu bezeichnen. Wird dieses Recht – auch nach einem Mangelbehebungsauftrag – nicht bezeichnet, ist die Datenschutzbeschwerde von der DSB zurückzuweisen (BVwG 24.07.2023, W274 2291735-1).

Wird dem einzigen Beschwerdepunkt durch die DSB mit Beschwerdevorentscheidung vollinhaltlich entsprochen, ist die Beschwerdevorentscheidung zu bestätigen, auch wenn der Bescheidbeschwerde Berechtigung zukam (BVwG 24.07.2024, W274 2292105-1).

Auf Verfahren zur Bestimmung der federführenden Aufsichtsbehörde ist § 38 Satz 2 AVG (Aussetzung eines Verfahrens bis zur Lösung einer Vorfrage) nicht anzuwenden. Eine Verfahrensaussetzung ist auch nach 24 Abs 10 Z 2 DSG nicht möglich, weil diese Bestimmung keine rechtliche Grundlage für eine Verfahrensaussetzung enthält, sondern nur eine Hemmung des Fristenlaufes normiert. Die Zeit während eines Kohärenzverfahrens nach Art 56, 60 und 63 DSGVO ist in die sechsmonatige Entscheidungsfrist nicht einzurechnen (BVwG 08.07.2024, W137 2280182-1).

Gemäß § 13 Abs 7 AVG können Anbringen in jeder Lage des Verfahrens zurückgezogen werden. Solange die Bescheidbeschwerde beim BVwG anhängig ist, kann sie zurückgezogen werden. Das Verfahren ist mit Beschluss einzustellen (BVwG 17.07.2024, W108 2276381-2).

DSB 07.07.2024, 2023-0.358.049

Ein Fahrgast erhielt vom Verkehrsunternehmen eine Mehrgebühr wegen der Nutzung öffentlicher Verkehrsmittel ohne Fahrschein, obwohl er zu diesem Zeitraum nicht in der Stadt war und ein Klimaticket besaß. Nachdem er einen Scan seines Klimatickets an das Verkehrsunternehmen übermittelte, wurde der Fall geschlossen. Der Betroffene verlangte die Löschung seiner Daten.

Das Verkehrsunternehmen verweigerte die Löschung und verwies auf die buchhalterischen Aufbewahrungspflichten nach § 132 Abs 1 BAO, den §§ 190, 212 UGB und § 18 UStG. Der Fahrgast erachtete sich in seinem Recht auf Löschung verletzt, weil die Datenverarbeitung auf einer Fahrlässigkeit des Verkehrsunternehmens beruht habe. Hätte das Verkehrsunternehmen die Identität der tatsächlich kontrollierten Person ordnungsgemäß überprüft, wäre die Buchung nicht erfolgt. Die DSB wies die Datenschutzbeschwerde des Fahrgasts ab.

Die DSB hat erwogen: Das Verkehrsunternehmen verarbeitete die personenbezogenen Daten des Fahrgasts als Verantwortliche iSd Art 4 Z 7 DSGVO. Nach Art 17 Abs 1 DSGVO steht dem Fahrgast grundsätzlich das Recht zu, die Löschung seiner personenbezogenen Daten zu begehren. Die Löschung kann jedoch nach Abs 3 lit b leg cit verweigert werden, soweit die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Gemäß § 212 Abs 1 UGB und § 132 BAO trifft den Unternehmer eine siebenjährige Aufbewahrungspflicht hinsichtlich seiner Bücher, Belege und Buchungen. Dies dient der Erfüllung der Rechnungslegungspflicht gemäß §§ 189 ff UGB, um den zuständigen Behörden steuerrechtliche Feststellungen und mögliche Nachprüfungen zu ermöglichen. Die Speicherung der personenbezogenen Daten des Fahrgasts ist für die Erfüllung dieser gesetzlichen Aufgabe erforderlich, um den Grundsätzen ordnungsgemäßer Buchführung gerecht zu werden. Dabei ist es unerheblich, dass die Daten des Fahrgasts ohne sein Zutun von dem Verkehrsunternehmen erhoben wurden, weil die kontrollierte Person in betrügerischer Absicht seine Daten angab. Das Verkehrsunternehmen entsprach daher dem Löschungsersuchen des Fahrgasts zu Recht nicht. Es liegen auch keine Anhaltspunkte vor, dass die Daten des Fahrgasts vom Verkehrsunternehmen zweckwidrig verwendet wurden, weshalb Art 17 Abs 1 lit d DSGVO nicht einschlägig ist.

Am 19.08.2024 hat das Bundesland Tirol, LGBl 2024/56, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Am 23.08.2024 hat das Bundesland Steiermark, LGBl 2024/87, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge in dieser Rechtssache kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

VwGH 24.07.2024, Ro 2023/04/0001; VwGH 24.07.2024, Ra 2023/04/0270

Die DSB gab zwei Datenschutzbeschwerden statt, in welchen jeweils bei derselben Kreditauskunftei die Löschung von negativen Zahlungserfahrungen begehrt wurde. Das BVwG änderte beide Bescheide der DSB dahingehend ab, dass die Datenschutzbeschwerden abgewiesen werden. Die DSB erhob jeweils Amtsrevision an den VwGH.

Die Kreditauskunftei teilte dem VwGH in beiden Verfahren mit, dass sie in der Zwischenzeit die negativen Erfahrungswerte gelöscht und die Betroffenen hierüber informiert hat. Der VwGH erklärte beide Verfahren für gegenstandslos und stellte die Verfahren mit Beschluss ein.

Der VwGH hat erwogen: Gemäß § 33 Abs 1 erster Satz VwGG ist die Revision mit Beschluss als gegenstandslos geworden zu erklären und das Verfahren einzustellen, wenn in irgendeiner Lage des Verfahrens offenbar wird, dass der Revisionswerber klaglos gestellt wurde. Auch im Fall einer Amtsrevision ist bei Wegfall des rechtlichen Interesses an einer meritorischen Entscheidung das Verfahren wegen Gegenstandslosigkeit einzustellen.

Dem mit der Datenschutzbeschwerde erhobenen Löschungsbegehren wurde von der Kreditauskunftei entsprochen. Der mit der Datenschutzbeschwerde begehrte Zustand wurde hergestellt, weshalb von einer Klaglosstellung des Betroffenen und einem Wegfall des rechtlichen Interesses an der Entscheidung über die Revision ausgegangen werden kann. Achtung: Die Klaglosstellung führt vor dem VwGH nur dann zur Einstellung des Verfahrens, wenn der Verantwortliche vor dem BVwG obsiegt hat. Bis zur Entscheidung des BVwG kann der Betroffene hinsichtlich Auskunfts-, Löschungs-, Berichtigungs-, Einschränkungs- und Portabilitätsbegehren jederzeit klaglos gestellt werden.

Anm: Zwischen den Entscheidungen des BVwG und des VwGH hat der EuGH am 07.12.2023 in den verbundenen Rs C-26/22 und C-64/22, SCHUFA Holding (Libération de reliquat de dette), über die Speicherdauer von Daten, die von Kreditauskunfteien aufbewahrt werden, entschieden. Im Mai 2024 informierte die Kreditauskunftei den VwGH über die Löschung der negativen Erfahrungswerte.

Steht nicht fest, dass eine Information erteilt wurde (Negativfeststellung), fehlt die Kausalität für sämtliche Schadenersatzansprüche. Die Wahrnehmungen von Zeugen, die keine Angaben zur tatsächlichen Weitergabe personenbezogener Daten machen können, sind kein taugliches Beweisthema (OGH 24.07.2024, 1Ob87/24m).

BVwG 22.07.2024, W211 2271978-1

Für eine Hausbetreuung benutzte eine Hausverwaltung die private E-Mailadresse und Telefonnummer eines Hausbesorgers. Der Hausbesorger widerrief gegenüber der Hausverwaltung – seinem Arbeitgeber – die Einwilligung, seine privaten Kontaktdaten an Dritte weiterzugeben. Der Hausbesorger ersuchte um ein Diensttelefon sowie einen dienstlichen E-Mailaccount. Dennoch versandte die Hausverwaltung weiterhin E-Mails bzw Auftragsbestätigungen, in denen die privaten Kontaktdaten des Hausbesorgers aufschienen. Erst nach mehreren Monaten stellte die Hausverwaltung dem Hausbesorger ein Diensttelefon und eine dienstliche E-Mailadresse zur Verfügung. Aufgrund eines Krankenstands versandte die Personalverrechnung der Hausverwaltung – nachdem eine Kontaktaufnahme über die dienstliche E-Mailadresse und das Diensttelefon scheiterte – eine Aufforderung zur Vorlage einer Krankenstandbestätigung an die private E-Mailadresse des Hausbesorgers. Die auf eine Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB als unbegründet ab. Hiergegen erhob der Hausbesorger Bescheidbeschwerde an das BVwG, das der Bescheidbeschwerde teilweise stattgab.

Das BVwG hat erwogen: Sowohl bei privaten Telefonnummern als auch privaten E-Mailadressen handelt es sich um personenbezogene Daten. Seine Zustimmung für die Weitergabe dieser personenbezogenen Daten widerrief der Hausbesorger zwar, doch ist eine Datenverarbeitung auch dann ohne Zustimmung der betroffenen Person zulässig, wenn dies zur Wahrung überwiegender berechtigter Interessen von Dritten erforderlich ist. Im Hinblick auf die ordnungsgemäße Erfüllung der dienstlichen Aufgaben eines Hausbesorgers bestand zwar ein berechtigtes Interesse der Hausverwaltung daran, den Hausbesorger ausreichend einfach und für den Notfall rasch erreichen zu können. Das Verwenden der privaten Kontaktdaten war jedoch nicht erforderlich.

Der Hausverwaltung wäre es freigestanden, ein dienstliches Telefon und eine dienstliche E-Mailadresse bereits sehr viel früher zur Verfügung zu stellen und damit den notwendigen Kommunikationsfluss auch abseits der privaten Kontaktdaten aufrecht zu erhalten.

Auch wenn die Änderung der Kommunikationswege nach langjähriger Praxis eine gewisse Übergangszeit in Anspruch nehmen kann, wäre es der Hausverwaltung spätestens innerhalb eines Monats zumutbar gewesen, ein dienstliches Telefon mit einer Sim-Karte und einen dienstlichen E-Mailaccount zur Verfügung zu stellen. Insofern war die Angabe der privaten Kontaktdaten des Hausbesorgers in den E-Mails bzw Auftragsbestätigungen nicht erforderlich, weshalb die Hausverwaltung gegen das Geheimhaltungsrecht verstoßen hat.

Die Kontaktaufnahme der Personalverrechnungsstelle der Hausverwaltung zur Übermittlung einer Krankenstandbestätigung durch den Hausbesorger war hingegen rechtmäßig. Die Personalverrechnung bediente sich aufgrund der Dringlichkeit und der möglichen Folgen einer Verspätung (auch) der privaten E-Mailadresse des Hausbesorgers. Die damit verbundene Datenverarbeitung lag nicht nur im überwiegenden berechtigten Interesse der Hausverwaltung an der Abwicklung ihrer rechtlichen Verpflichtungen, sondern auch im Interesse des Hausbesorgers an einer rechtzeitigen und richtigen Lohnabrechnung.

BVwG 08.07.2024, W252 2241322-1

Ein ehemaliger Beschuldigter beantragte die Löschung seiner erkennungsdienstlichen Daten. Diese Daten (Identität, Beschreibung, Finger- und Handflächenabdrücke, Lichtbilder, DNA-Profil) wurden aufgrund eines Tatverdachts gegen ihn iZm absichtlich schwerer Körperverletzung erhoben und in der "Zentralen erkennungsdienstlichen Evidenz" iSd § 75 SPG gespeichert. Obwohl der ehemalige Beschuldigte von diesem Vorwurf später rechtskräftig freigesprochen wurde, lehnte die Landespolizeidirektion die Löschung der Daten ab. Sie begründete dies mit einer nicht ausreichend langen Wohlverhaltenszeit sowie einer negativen Gefährdungsprognose und einem öffentlichen Interesse an der weiteren Speicherung der Daten. Folglich erhob der ehemalige Beschuldigte eine Datenschutzbeschwerde bei der DSB. Die DSB wies diese jedoch ab, woraufhin er (erfolglos) Bescheidbeschwerde beim BVwG einlegte.

Das BVwG hat erwogen: Bei den erkennungsdienstlichen Daten handelt es sich sowohl um personenbezogene Daten iSd Art 4 Z 1 DSGVO (Identität, Beschreibung, Lichtbilder) als auch um genetische Daten iSd Art 4 Z 13 DSGVO (DNA-Profil) und biometrische Daten iSd Art 4 Z 14 DSGVO (Finger- und Handflächenabdrücke). Aufgrund der Schwere des dem ehemaligen Beschuldigten vorgeworfenen Delikts sind die Voraussetzungen für die erkennungsdienstliche Erhebung der Daten iSd §§ 64, 65 und 67 SPG erfüllt. Gemäß § 73 Ab 1 Z 4 SPG hat eine Löschung der erkennungsdienstlichen Daten von Amts wegen zu erfolgen, es sei denn, es liegen konkrete Umstände vor, die befürchten lassen, dass der Beschuldigte erneut gefährliche Angriffe begeht.

Der ehemalige Beschuldigte wurde zwar im Verfahren betreffend absichtlicher schwerer Körperverletzung freigesprochen, jedoch zeigt seine Vorgeschichte, dass weiterhin von einer Gefahr auszugehen ist. Er trat in regelmäßigen Abständen mehrfach polizeilich in Erscheinung, ua iZm Besitz verbotener Waffen, falscher Beweisaussage und Suchtgifthandel. Gerade bei Gewaltdelikten mit direktem Körperkontakt können aus DNA-Spuren wesentliche Schlüsse gezogen werden. Auch die spezialpräventive Wirkung des Wissens des ehemaligen Beschuldigten um die Verarbeitung seiner erkennungsdienstlichen Daten ist geeignet, künftige gefährliche Angriffe zu verhindern.

BVwG 18.07.2024, W137 2252081-1

Eine Betroffene trat beim Sanierungsprojekt ihres Elternhauses als Ansprechperson für das Bauunternehmen auf. Für die Fertigstellung der Fassade beauftragte das Bauunternehmen eines seiner Subunternehmen. Auf Nachfrage der Betroffenen um den Stand der Dinge leitete das Bauunternehmen den Namen, die Adresse und die Telefonnummer der Betroffenen an das Subunternehmen, ein Fassadenunternehmen, weiter, um eine einfachere Korrespondenz bezüglich der Fassade zu ermöglichen. Die Betroffene brachte daraufhin eine Datenschutzbeschwerde bei der DSB ein und behauptete, durch die Weitergabe ihrer Daten durch das Bauunternehmen und dessen Geschäftsführer in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Das Bauunternehmen und dessen Geschäftsführer brachten im Verfahren vor, dass die Betroffene am Telefon bestätigte, mit der Weitergabe ihrer Informationen einverstanden zu sein. Diese stritt dies jedoch ab. Die DSB gab der Datenschutzbeschwerde statt. Daraufhin erhoben das Bauunternehmen und dessen Geschäftsführer eine (erfolgreiche) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Die Betroffene hat bereits zuvor dem Bauunternehmen die Zustimmung erteilt, ihre Telefonnummer zwecks Terminvereinbarung und Kontaktaufnahme an diverse Subunternehmen weiterzugeben. Dies ergab sich aus dem vorgelegten E-Mail-Verkehr zwischen der Betroffenen und dem Bauunternehmen. Die Einwilligung bezog sich auf alle zu denselben Zwecken vorgenommenen Verarbeitungsvorgänge. Der Zweck der Weitergabe war die rasche und unkomplizierte Bearbeitung von Problemen sowie die Terminvereinbarung bei Mängeln und Reklamationen.

Betreffend das Fassadenunternehmen erfolgte ausschließlich eine telefonische Kommunikation. Bei einer lebenspraktischen Betrachtung konnte auch das Fassadenunternehmen davon ausgehen, dass die Betroffene dem Bauunternehmen die Zustimmung zur Weitergabe der Telefonnummer gab.

Der Zweck der Weitergabe, nämlich die Kontaktaufnahme, war zudem klar abgegrenzt. Eine funktionale Abgrenzung kann auch über eine längere Periode definiert sein. Nicht gefolgt wird der dem angefochtenen Bescheid offensichtlich zugrunde gelegten Ansicht, dass ein Bauunternehmen in jedem Einzelfall eine gesonderte Zustimmung einholen müsste. Dies wäre im Kontext eines Bauprojekts lebensfremd und würde auch von einem überschießenden Schutzgedanken getragen.

Darüber hinaus durfte das Bauunternehmen die Daten auch in seinem berechtigten Interesse an das Fassadenunternehmen weitergeben. Das berechtigte Interesse des Bauunternehmens war die Weitergabe von Kontaktdaten an Subunternehmen zur raschen und unkomplizierten Bearbeitung von Problemen.

BVwG 22.07.2024, W211 2286882-1

Ein Minderjähriger stellte, vertreten durch seine Eltern, ein Auskunftsersuchen an die DSB. Die DSB erteilte dem Minderjährigen mehrfach Auskünfte und übermittelte ihm Kopien von Unterlagen, die seine personenbezogenen Daten enthielten. Der Minderjährige erachtete die Auskunft und die Kopien für unvollständig und erhob daher Datenschutzbeschwerde bei der DSB. Die DSB wies die Datenschutzbeschwerde zunächst im Hinblick auf Art 15 Abs 1 und 2 DSGVO ab und setzte das Verfahren hinsichtlich Art 15 Abs 3 DSGVO aus. Das BVwG bestätigte diese Entscheidung rechtskräftig. Nachdem der EuGH in der Rechtssache C-487/21, Österreichische Datenschutzbehörde, klargestellt hatte, dass das Recht auf eine Kopie kein eigenständiges Recht, sondern eine Modalität der Auskunftserteilung ist, wies die DSB die Beschwerde des Minderjährigen hinsichtlich Art 15 Abs 3 DSGVO zurück. Dagegen erhob der Minderjährige (erfolglos) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Wird die Datenschutzbeschwerde von der DSB zurückgewiesen, ist "Sache" des Verfahrens vor dem BVwG nur die Frage der Rechtmäßigkeit der Zurückweisung. Eine inhaltliche Entscheidung ist dem BVwG verwehrt. Das BVwG entschied bereits mit rechtskräftigem Erkenntnis über das Auskunftsersuchen des Minderjährigen und hielt fest, dass die DSB die Auskunft iSd Art 15 Abs 1 bis 3 DSGVO vollständig erteilt hat und diese ausreichend verständlich und nachvollziehbar war. Da Art 15 Abs 3 DSGVO dem Betroffenen kein zusätzliches, eigenständiges Recht auf Kopien einräumt, bleibt kein Raum, über Art 15 Abs 3 DSGVO gesondert abzusprechen. Durch das rechtskräftige Erkenntnis des BVwG wurden alle Aspekte des Auskunftsrechts behandelt und einer Entscheidung zugeführt.

Wird das Verhängen einer Geldbuße nur angeregt – nicht aber beantragt –, darf die Datenschutzbehörde den "Antrag" auf Verhängen einer Geldbuße nicht zurückweisen. Der entsprechende Spruchpunkt ist vom BVwG ersatzlos zu beheben.

Voraussetzung für die Zulässigkeit der Bescheidbeschwerde ist das Bestehen eines Rechtsschutzinteresses. Der Bescheid muss die Rechtssphäre des Beschwerdeführers zu dessen Nachteil berühren. Stellt die DSB eine Verletzung im Recht auf Geheimhaltung fest, ist der Beschwerdeführer durch die abschlägige Behandlung eines weiteren auf das gleiche Rechtsschutzziel abzielenden "Beschwerdevorbringens" nicht beschwert (BVwG 27.06.2024, W176 2251448-1). Anm: Der Beschwerdeführer wird auch durch die Zurückweisung eines nichtgestellten Antrags auf das Verhängen einer Geldbuße in seiner Rechtsphäre nicht berührt und ist somit nicht beschwert. Wurde kein Antrag gestellt, war die DSB jedoch unzuständig. Die Unzuständigkeit ist von Amts wegen aufzugreifen. Das BVwG behob daher den entsprechenden Spruchpunkt zu Recht.

Bei Nichtfeststellbarkeit eines Umstandes ist davon auszugehen, dass dieser nicht vorliegt. Dies gilt auch für die Frage, ob personenbezogene Daten verarbeitet wurden. Ist auf einer Videoaufnahme die Erkennbarkeit der Personen ausgeschlossen, ist davon auszugehen, dass keine personenbezogenen Daten verarbeitet wurden (BVwG 27.06.2023, W298 2261979-1).

Das LVwG Wien fragte den EuGH zu den inhaltlichen Anforderungen, die eine Auskunft iSd Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidungsfindung) erfüllen muss (Rs C-203/22, Dun & Bradstreet Austria). Da im anhängigen Verfahren vor dem BVwG die gleichen Rechtsfragen zu beurteilen sind, die dem Vorlagebeschluss des LVwG Wien zugrunde liegen, ist das Verfahren iSv Art 81 DSGVO auszusetzen (BVwG 01.07.2024, W108 2230691-1). Anm: Das BVwG setzt regelmäßig Verfahren aus, um Urteile des EuGH abzuwarten. IdR wird die Aussetzung "nur" auf § 38 AVG gestützt. Das BVwG zog in diesem Fall zusätzlich Art 81 DSGVO im Lichte des ErwGr 144 DSGVO heran.

Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis vom beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen. Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen, auf die von Amts wegen, also bei feststehendem Sachverhalt, ohne Einwendung Bedacht genommen werden muss. Bringt der Beschwerdeführer vor, dass er von einem Datenschutzverstoß, der länger als die einjährige Präklusivfrist zurückliegt, erst später Kenntnis erlangt hat, hat er dies nachzuweisen (BVwG 15.07.2024, W137 2273833-1).

Die Zurückziehung der Bescheidbeschwerde ist so lange zulässig, bis die Bescheidbeschwerde unerledigt ist. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 01.07.2024, W108 2247870-1).

Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 07.2024, W287 2261108-1; 10.07.2024, W252 2261086-1 und andere).

Am 12.08.2024 wurde mit der VO 2024/2019 "zur Änderung des Protokolls Nr. 3 über die Satzung des Gerichtshofs der Europäischen Union" die Satzung des EuGH novelliert. Gleichzeitig erfolgten auch Änderungen der Verfahrensordnungen des EuGH und des EuG. Zudem erließ das EuG praktische Durchführungsbestimmungen zu seiner Verfahrensordnung und beschloss die Einreichung und Zustellung von Schriftsätzen via e-Curia.

Zweck der Reform der Verfahren vor den Unionsgerichten ist die Entlastung des EuGH. Einerseits wird künftig das EuG in besonderen Sachgebieten für Vorabentscheidungsersuchen grundsätzlich zuständig. Andererseits wird die Zulässigkeit von Rechtsmitteln gegen Entscheidungen des EuG an den EuGH eingeschränkt.

Das Datenschutzrecht verbleibt in der Zuständigkeit des EuGH. Aufgrund der Entlastung des EuGH könnten datenschutzrechtliche Vorabentscheidungsersuchen jedoch schneller erledigt werden.

Am 12.08.2024 haben die Bundesländer Kärnten, LGBl 2024/64, und Salzburg, LGBl 2024/69, die Etablierung eines Transparenzportals verlautbart.

Am 12.08.2024 wurde vom Bundesfinanzminister die Transparenzdatenbank-Abfrageverordnung 2024, BGBl II 2024/223, kundgemacht. Darin werden für die Transparenzdatenbank die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensible Daten") geregelt.

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

EuGH 12.09.2024, C-17/22 ua, HTB Neunte Immobilien 

Gesellschaftsrecht, Rechtsgrundlagen, vertragliche Verpflichtung, berechtigte Interessen

• Mehre an einem als Publikumspersonengesellschaft organisierten Investmentfonds beteiligte Investmentgesellschaften verlangten von zwei treuhänderischen Beteiligungsgesellschaften Auskunft über Namen und Adressen aller ihrer mittelbar beteiligten Mitgesellschafter. Die Investmentgesellschaften verlangten diese Auskunft, um mit den anderen Gesellschaftern Kontakt aufnehmen und über den Abkauf ihrer Gesellschaftsanteile in Verhandlungen treten zu können. Die Beteiligungsgesellschaften lehnten die Auskunft ab, weil im Beteiligungsvertrag die Auskunftserteilung ausgeschlossen wurde. Das vorlegende Gericht fragte den EuGH, ob die Auskunft auf die Erfüllung einer vertraglichen Verpflichtung iSd Art 6 Abs 1 lit b DSGVO oder auf das berechtigte Interesse iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.
  

  Der EuGH hat erwogen: Eine Datenverarbeitung ist für die Erfüllung eines Vertrags dann erforderlich, wenn der Verantwortliche nachweisen kann, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden kann. Die Daten müssen zur ordnungsgemäßen Erfüllung des Vertrags wesentlich sein. Für die Verarbeitung der Daten darf keine praktikable und weniger einschneidende Alternative bestehen. Wenn in Beteiligungs- und Treuhandverträgen die Weitergabe von Daten anderer Gesellschafter ausdrücklich ausgeschlossen ist, ist eine Weitergabe der Daten für die Erfüllung des Vertrags nicht erforderlich. Die Datenübermittlung kann daher nicht auf die Vertragserfüllung gestützt werden.

  Bei der im Einzelfall durchzuführenden Interessenabwägung nach Art 6 Abs 1 lit f DSGVO ist das Interesse eines an dem Investmentfonds beteiligten Gesellschafters am Erhalt der Daten den Interessen anderer Gesellschafter an der Geheimhaltung ihrer Daten gegenüberzustellen. Ein Interesse der an einem Investmentfonds beteiligten Gesellschafter an einer Kontaktaufnahme wegen des Erwerbs ihrer Anteile kann nicht ausgeschlossen werden. Eine Verarbeitung der Daten im berechtigten Interesse muss jedoch zum Zeitpunkt der Erhebung der Daten erwartbar sein und darf für den Betroffenen nicht überraschend erfolgen. Ist die Weitergabe von Daten an andere Gesellschafter in einem Vertrag ausdrücklich ausgeschlossen, können die Gesellschafter nicht damit rechnen, von anderen Gesellschaftern kontaktiert zu werden.

  Eine Datenverarbeitung gestützt auf Art 6 Abs 1 lit c DSGVO ist dann gerechtfertigt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt. Das Recht des Mitgliedstaats kann dabei auch die nationale Rechtsprechung umfassen. Die Rechtsprechung muss aber klar, präzise formuliert und für die Rechtsunterworfenen vorhersehbar sein und ein im öffentlichen Interesse liegendes Ziel verfolgen, zu dem sie in einem angemessenen Verhältnis steht.

EuGH Schlussanträge 12.09.2024, C‑203/22, Dun & Bradstreet

Automatisierte Entscheidung, Bonität, Auskunft

• Einer Betroffenen wurde von einem Mobilfunkanbieter wegen mangelnder Bonität der Abschluss bzw die Verlängerung eines Mobilfunkvertrags verweigert. Die Bonitätsdaten wurden dem Mobilfunkanbieter von einer Bonitätsauskunftei zur Verfügung gestellt, die die Bonitätsbeurteilung automatisiert durchgeführt hat. Die DSB gab dem Antrag der Betroffenen auf Erteilung relevanter Informationen über die der automatisierten Entscheidungsfindung zugrunde liegende Logik statt. Das BVwG bestätigte teilweise die Entscheidung der DSB und stellte fest, dass das Auskunftsrecht der Betroffenen gemäß Art 15 Abs 1 lit h DSGVO verletzt wurde, weil ihr keine aussagekräftigen Informationen über die bei der automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten involvierte Logik zur Verfügung gestellt wurde. Die Betroffene beantragte beim Magistrat der Stadt Wien die Zwangsvollstreckung dieser Entscheidung, die abgelehnt wurde. Nach Einlegen eines Rechtsbehelfs beim LVwG Wien ersuchte dieses den EuGH um Vorabentscheidung.
  
  Der Generalanwalt hat erwogen: Das Auskunftsrecht des Art 15 Abs 1 lit h DSGVO muss es der Betroffenen ermöglichen, ihre Rechte aus Art 22 DSGVO wahrzunehmen, die sich speziell auf eine Situation beziehen, in welcher die Betroffene einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird. Die Aussagekraft von Informationen setzt voraus, dass diese Informationen präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind. Zudem müssen sie hinreichend vollständig und kontextbezogen sein, um es der Betroffenen zu ermöglichen, ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen.
  
  Grundsätzlich muss der – naturgemäß technische – Prozess, der zu dieser Entscheidung geführt hat, verständlich gemacht werden. Der Verantwortliche ist aber nicht verpflichtet, Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen ohne besondere technische Fachkenntnisse nicht nachvollzogen werden können. Dies gilt etwa für Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung eingesetzt werden. Der betroffenen Person sind Informationen über den Entscheidungsprozess, über die Gründe für das Ergebnis dieser Entscheidung und damit über die verwendete Methode und die berücksichtigten Kriterien sowie deren Gewichtung bereitzustellen, nicht aber die verwendeten Algorithmen ausführlich zu erläutern oder der gesamte Algorithmus offenzulegen.

EuGH Schlussanträge, C-383/23 12.09.2024, ILVA (Amende pour violation du RGPD)

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

• Über die dänische Möbelhauskette ILVA, ein Tochterunternehmen der übergeordneten Lars Larsen Group, verhängte das Bezirksgericht Aarhus infolge einer Verletzung der DSGVO eine Geldbuße. Gegen diese Entscheidung legte die Staatsanwaltschaft Berufung an das vorlegende Gericht ein und vertrat die Ansicht, dass für die Berechnung der Geldbuße nicht nur der Umsatz des Tochterunternehmens ILVA, sondern der Gesamtumsatz der Lars Larsen Unternehmensgruppe zu berücksichtigen sei. Das vorlegende Gericht fragte nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.
  
  Der Generalanwalt hat erwogen: Bei der Verhängung von Geldbußen nach der DSGVO sind die wesentlichen Garantien eines Strafverfahrens einzuhalten. Aus der Rechtsprechung des EuGH lässt sich ableiten, dass der Grundsatz der Verhältnismäßigkeit einer der fundamentalen Grundsätze des Unionsrechts ist und bei dessen Anwendung vor nationalen Gerichten und Behörden beachtet werden muss. Der Grundsatz der Verhältnismäßigkeit verpflichtet die Mitgliedstaaten, Maßnahmen zu ergreifen, die zur Erreichung der verfolgten Ziele geeignet sind und nicht über das hinausgehen, was für die Zielerreichung erforderlich ist.
  
  Aus der Rechtsprechung des Gerichtshofs geht klar hervor, dass der Grundsatz der Verhältnismäßigkeit erstens erfordert, dass die verhängte Strafe der Schwere der Straftat entspricht, und zweitens, dass bei der Festsetzung der Strafe und der Höhe der Geldbuße die individuellen Umstände des konkreten Falls berücksichtigt werden. Nach der Rechtsprechung des EGMR haben die Mitgliedsstaaten die Pflicht, sicherzustellen, dass die verhängte Strafe nicht überschießend – und somit unverhältnismäßig – ist.
  
  Bei der Festsetzung des Höchstbetrags einer Geldbuße soll der Begriff "Unternehmen" den Art 101 und 102 AEUV entsprechen. Daher wird der weltweite Gesamtjahresumsatz des Unternehmens berücksichtigt, zu dem der Verantwortliche oder der Auftragsverarbeiter gehört.
  
  Bei der Bestimmung der tatsächlich zu verhängenden Geldbuße muss das nationale Gericht jedoch die speziellen Umstände zur Entscheidungsfindung berücksichtigen und sicherstellen, dass der Grundsatz der Verhältnismäßigkeit beachtet wird, wobei ein angemessener Ausgleich zwischen den Erfordernissen des allgemeinen Interesses der Gemeinschaft am Schutz personenbezogener Daten und den Erfordernissen des Schutzes der Grundrechte des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, zu dem dieser gehört, hergestellt wird.

EuGH Schlussanträge 12.09.2024, C-247/23, Deldits

Transgender, Berichtigung, Register

• Ein Transgender-Mann mit iranischer Staatsangehörigkeit, der als "Frau" geboren wurde, erhielt in Ungarn die Flüchtlingseigenschaft. Die Fremdenpolizei nahm personenbezogene Daten, einschließlich des Geschlechts (weiblich), in das Flüchtlingsregister auf. Der Transgender-Mann beantragte unter Vorlage von Bescheinigungen von Psychiatern und Gynäkologen die Berichtigung des Registers gemäß Art 16 DSGVO, was abgelehnt wurde, weil keine geschlechtsangleichende Operation nachgewiesen wurde. Über die daraufhin erhobene Klage des Transgender-Mannes, fragte das vorlegende Gericht den EuGH, ob die Stelle, die ein nationales Register führt, die Daten einer Betroffenen zu berichtigten hat, wenn sich deren Daten, seit deren Eintragung ins Register geändert haben und bejahendenfalls, welche Nachweise die Betroffene zu erbringen hat.
  
  Der Generalanwalt hat erwogen: Art 5 Abs 1 lit d DSGVO verlangt, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Art 16 DSGVO gibt der betroffenen Person das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Die Eintragung des Geschlechts als "weiblich" ist unrichtig, weil sich die Person als Transgender-Mann identifiziert und entsprechende Nachweise vorgelegt hat. Art 8 Abs 2 der EU-Grundrechtecharta garantiert das Recht auf Berichtigung der Daten, Art 16 DSGVO spiegelt dieses Recht wider und trägt zur Einhaltung des Grundsatzes der Richtigkeit bei. Die Richtigkeit der Daten hängt vom Kontext und dem Zweck der Datenerhebung ab.
  
  Das Flüchtlingsregister dient der Identifizierung, und das Geschlecht gehört zu den Identifikationsdaten natürlicher Personen. Art 16 DSGVO verlangt nicht, dass eine Person eine geschlechtsangleichende Operation nachweist, um die Berichtigung ihrer Daten zu beantragen. Der EGMR verurteilt die Auferlegung eines solchen Erfordernisses, weil es die vollständige Ausübung des Rechts auf Achtung des Privatlebens von der Aufgabe des Rechts auf körperliche Unversehrtheit abhängig macht. Eine Betroffene, die die Berichtigung von Daten beantragt, muss zwar Nachweise vorlegen, um die Unrichtigkeit einer fehlerhaften Eintragung nachzuweisen, aber sie muss nicht nachweisen, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat.

VwGH 25.06.2024, Ra 2022/04/0167

Eine Justizwachebeamtin wurde von einem Strafgefangenen tätlich angegriffen. Die zuständige Staatsanwaltschaft (StA) führte deshalb ein Strafverfahren gegen den Strafgefangenen durch. Die personenbezogenen Daten der Beamtin gelangten in den Ermittlungsakt und wurden von der StA an den Haftrichter übersendet. Der Strafgefangene nahm Akteneinsicht und gelangte dadurch an die personenbezogenen Daten der Justizwachebeamtin.

Die Justizwachebeamtin brachte Datenschutzbeschwerde bei der DSB ein und brachte vor, die StA habe ihr Recht auf Geheimhaltung durch Weitergabe ihrer Daten an den Strafgefangenen verletzt. Die DSB wies die Datenschutzbeschwerde ab, weil bei der StA keine Einsicht in den physischen Akt stattgefunden hat und somit von der StA an den Strafgefangenen keine Daten weitergegeben wurden.

Das BVwG gab der Bescheidbeschwerde der Justizwachebeamtin mit der Begründung statt, dass die StA dem Haftrichter personenbezogene Daten der Justizwachebeamtin weitergegeben hat, obwohl dies nicht erforderlich gewesen wäre.

Der VwGH stellte zunächst an den VfGH den Antrag, dieser möge jene Bestimmungen des DSG als verfassungswidrig aufheben, die die DSB für Datenverarbeitungstätigkeiten bei den Staatsanwaltschaften für zuständig erklären. Nachdem der VfGH diesen Antrag des VwGH abwies, behob der VwGH das Erkenntnis wegen funktioneller Unzuständigkeit des BVwG.

Der VwGH hat erwogen: Aufgrund der zulässigen Revision ist eine allfällige Unzuständigkeit des BVwG von Amts wegen aufzugreifen.

Den äußersten Rahmen für die Prüfbefugnis des BVwG bildet die "Sache" des Verfahrens. Diese "Sache" ist nur jene Angelegenheit, die den Inhalt des Spruchs der DSB gebildet hat. Die Entscheidung des BVwG hat sich innerhalb jenes Themas zu bewegen, über das die DSB entschieden hat. Entscheidet das BVwG in einer Angelegenheit, die kein Gegenstand des Verfahrens vor der DSB war, so fällt eine solche Entscheidung nicht in die funktionelle Zuständigkeit des BVwG. Eine solche Entscheidung ist daher mit Rechtswidrigkeit infolge Unzuständigkeit belastet.

Der verfahrenseinleitende Antrag, dh die Datenschutzbeschwerde, ist nicht maßgeblich. Wird die Datenschutzbeschwerde durch den Bescheid der DSB nicht vollständig erledigt, steht dem Betroffenen das Säumnisbeschwerdeverfahren zur Verfügung.

Die DSB hat nur über die Offenlegung bzw Nichtoffenlegung durch die StA an den Strafgefangen abgesprochen. Der Datenfluss von der StA an den Haftrichter war vom Spruch des Bescheides der DSB nicht umfasst. Indem das BVwG über einen Verfahrensgegenstand entschieden hat, der nicht Inhalt des Spruchs des angefochtenen Bescheides war, hat es seine Kognitionsbefugnis überschritten.

Nach Ablauf der gesetzlich normierten Löschungspflichten der Telefonanbieter gemäß § 167 Abs 1 und 2 TKG 2021 [bzw § 99 Abs 1 und 2 TKG 2003] kann die Auswertung von Verkehrsdaten grundsätzlich nicht mehr durchgeführt werden (OGH 17.07.2024, 11Os20/24m).

Gemäß § 358 ASVG ist für die Feststellung des Geburtsdatums der versicherten Person die erste schriftliche Angabe der versicherten Person gegenüber dem Versicherungsträger heranzuziehen. Eine spätere Berichtigung des Geburtsdatums durch ein ausländisches Gericht ändert daran nichts. Das sozialversicherungsrechtliche Geburtsdatum ist eine andere Datenkategorie als das biologische Geburtsdatum. Die Legitimität des Zwecks einer Datenverarbeitung ist gegeben, wenn der Zweck von der Rechtsordnung gedeckt bzw mit ihr vereinbar ist. Die Regelung des § 358 ASVG ist weder verfassungswidrig (vgl VfGH 12.06.2023, G 206/2023) noch ist sie mit der DSGVO unvereinbar (OGH 09.07.2024, 10ObS11/24a). Anm: Auch der VwGH hält § 358 ASVG mit Art 16 DSGVO für vereinbar (VwGH 08.04.2024, Ra 2022/04/0056).

Ein Grundstückseigentümer montierte eine Wildkamera auf seinem Grund. Die Kamera erfasste einen Teil eines Forstweges, der von einer Bringungsgenossenschaft genutzt wurde. Eine Bringungsgenossenschaft ist eine forstrechtliche Genossenschaft, die von Grundeigentümern und Nutzungsberechtigten gebildet wird (§ 68 ForstG).

Bei dem überwachten Abschnitt des Weges handelte es sich um einen Interessentenweg gemäß § 7 Abs 1 Z 5 Steiermärkisches Landes-Straßenverwaltungsgesetz (LStVG). Die Mitglieder der Bringungsgenossenschaft nutzten den Weg für forstliche und jagdliche Zwecke.

Der Grundstückseigentümer installierte die Kamera, um Lichtbilder zu sammeln, welche er an die Polizei weitergab. Dies führte zu Verwaltungsstrafverfahren gegen andere Mitglieder der Bringungsgenossenschaft.

Die DSB gab einer Datenschutzbeschwerde dieser anderen Mitglieder Folge und stellte eine Verletzung ihrer Geheimhaltungsrechte fest. Das BVwG änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird.

Das BVwG hat erwogen: Die Überwachung eines öffentlichen Interessentenwegs durch eine Wildkamera erfolgt im berechtigten Interesse des Grundstückseigentümers, um die Nutzung des Weges durch unberechtigte Personen zu verhindern. Als Eigentümer des Grundstücks hat er ein berechtigtes Interesse, dass dieser Weg nicht von einem weiteren als den im § 7 Abs 1 Z 5 LStVG genannten Personenkreis benutzt wird. Die Überwachung durch eine einzelne Wildkamera, die nur bei Bewegung auslöst und bei Erkennen der Bewegung ein einzelnes Bild lokal speichert, ist als verhältnismäßig anzusehen. Gelindere Mittel, wie eine persönliche Kontrolle, wären praktisch kaum umsetzbar.

Da sowohl der Grundstückseigentümer als auch die betroffenen Mitglieder Teil der Bringungsgenossenschaft sind, stehen diese in einem engen Verhältnis zueinander und kannten die Natur des Weges sowie den zur Benützung berechtigten Personenkreis. Bei objektiver Würdigung lag die Überwachung auch im Interesse der Bringungsgenossenschaft, denn die Satzung der Genossenschaft sprach wiederholt von "schonender" und "notwendiger" Nutzung.

Die Anfertigung der Lichtbilder zum Zweck der Beweissicherung und zur Erstattung von Anzeigen wegen verwaltungsstrafrechtlich relevanter Sachverhalte ist ein erhebliches Interesse iSd Art 6 Abs 1 lit f DSGVO.

Wird ein Erkenntnis nach der Verhandlung mündlich verkündet, kann das Erkenntnis in gekürzter Form ausgefertigt werden, wenn von den Parteien auf die Revision beim Verwaltungsgerichtshof und die Beschwerde beim Verfassungsgerichtshof verzichtet wird oder nicht binnen zwei Wochen nach Ausfolgung bzw Zustellung der Verhandlungsniederschrift die Ausfertigung des Erkenntnisses beantragt wird (BVwG 24.07.2024, W605 2282514-1).

Anbringen können in jeder Lage des Verfahrens zurückgezogen werden. Unter "Anbringen" ist auch eine Säumnisbeschwerde zu verstehen. Wird eine Säumnisbeschwerde zurückgezogen, ist das Säumnisbeschwerdeverfahren mangels Erledigungsanspruch als gegenstandslos einzustellen (BVwG 22.07.2024, W292 2294844-1).

Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 02.07.2024, W214 2261131-1, BVwG 02.07.2024, W214 2263511-1 und andere).

Am 08.08.2024 haben die Bundesländer Vorarlberg, LGBl 2024/48, und Burgenland, LGBl 2024/49, eine Vereinbarung gemäß Art 15a B-VG über die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht. Zur Vermeidung von Doppel- und Mehrfachförderungen aus öffentlichen Mitteln werden an das Transparenzportal personenbezogene Daten, darunter auch besondere Kategorien personenbezogener Daten, übermittelt.

Am 12.08.2024 haben auch die Bundesländer Kärnten, LGBl 2024/64 und Salzburg, LGBl 2024/69, die Etablierung des Transparenzportals verlautbart.

Am 12.08.2024 wurde vom Bundesfinanzminister die Transparenzdatenbank-Abfrageverordnung 2024, BGBl II 2024/223, kundgemacht. Darin werden für die Transparenzdatenbank die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensiblen Daten") geregelt.

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Der Begriff des Privatlebens umfasst die Freiheit jeder Person, ihr Leben und ihre persönlichen, beruflichen und gesellschaftlichen Tätigkeiten zu gestalten. Der Eingriffsvorbehalt, dh die Zulässigkeit des Grundrechtseingriffs, kann bei beruflichen und geschäftlichen Tätigkeiten allerdings weitergehen als in anderen Fällen.

Eine Meldepflicht für steuerliche Planungs- und Gestaltungsaktivitäten im Kontext persönlicher, beruflicher oder geschäftlicher Tätigkeiten greift in das Recht auf Achtung des Privatlebens ein. Der Eingriff ist zwar nicht unerheblich, aber dennoch verhältnismäßig und gerechtfertigt, weil die Bekämpfung der aggressiven Steuerplanung und die Verhinderung der Gefahren von Steuervermeidung und Steuerhinterziehung wichtige Ziele des Unionsrechts sind (EuGH 29.07.2024, C-623/22, Belgian Association of Tax Lawyers).

OLG Graz 15.07.2024, 9Bs171/24a

• Ein Vermieter wurde verdächtigt, in einem von ihm an Urlauber vermieteten Appartement unbefugte Bildaufnahmen sexuell konnotierter Körperteile durch eine als Wecker getarnte Spykamera gemacht zu haben, sodass die Anordnung der Hausdurchsuchung bewilligt wurde. Gegen diesen Durchsuchungsbeschluss erhob der Vermieter Beschwerde.
  
  Das OLG Graz hat erwogen: Da die Durchsuchung bereits vollzogen wurde, ist die richtige Anwendung des Gesetzes zu prüfen. Die Rechtmäßigkeit der Durchsuchungsbewilligung ist zum Zeitpunkt der Entscheidung des Erstgerichts (ex-ante-Perspektive) zu beurteilen.
  
  Die gerichtliche Bewilligung der Hausdurchsuchung erfordert einen begründeten Verdacht, der vor dem Eingriff bestimmt und hinreichend sein muss. Eine Durchsuchung ist nur zulässig, wenn aufgrund bestimmter Tatsachen anzunehmen ist, dass sich dort sicherzustellende oder auszuwertende Gegenstände oder Spuren befinden. Der Verdacht beruhte auf den Ermittlungsergebnissen, insbesondere den Angaben der mutmaßlichen Opfer. Die heimliche Installation einer auf die Sauna gerichteten Kamera legt auch den Schluss nahe, dass es dem Vermieter darauf ankam, Bildaufnahmen ohne Einwilligung seiner Opfer zu machen.
  
  Zwar wurde die Spykamera direkt nach der Anzeige von einem Polizeibeamten sichergestellt, ob die Kamera tatsächlich Videos aufzeichnete, konnte aber vorerst nicht festgestellt werden. Um zu beweisen, dass auf die Kamera zugegriffen wurde und unbefugte Bildaufnahmen gemacht wurden, war daher eine Hausdurchsuchung erforderlich. Ein Zuwarten auf die Auswertung hätte die Gefahr geborgen, dass der Vermieter Beweise vernichtet. Aus demselben Grund kamen eine Vernehmung des Vermieters oder ein anderer zielführender und grundrechtsschonenderer Ermittlungsschritt nicht in Frage.
  
  Die Durchsuchung war verhältnismäßig. Das Gewicht einer strafbaren Handlung und deren sozialer Störwert misst sich nicht ausschließlich an der Strafdrohung. Angesichts der beiden Opfer des mehrtägigen Tatzeitraums und dem nicht unerheblichen Gewicht der angelasteten Straftat ist die Durchsuchung gerechtfertigt.

Aus der Rechtsprechung des OGH (Strafrecht):

• Gelangt der Inhalt einer verschlüsselten Kommunikation im Rechtshilfeweg in das Ermittlungsverfahren der Staatsanwaltschaft, unterliegen die von ausländischen Behörden übermittelten Kommunikationsdaten keinem Beweisverwertungsverbot (OGH 17.07.2024, 11Os55/24h).

• Sicherheitspolizeiliche Fallkonferenzen verfolgen – wie sich bereits aus dem Gesetzeswortlaut des § 22 Abs 2 SPG ergibt – das Ziel, gefährlichen Angriffen auf Leben, Gesundheit, Freiheit, Sittlichkeit, Vermögen oder Umwelt vorzubeugen und Schutzmaßnahmen für die gefährdeten Personen möglichst effizient aufeinander abzustimmen. Es wird durch den Informationsaustausch zwischen den zuständigen Behörden und Institutionen die Möglichkeit geschaffen, koordinierte Maßnahmen zur Verhinderung von Straftaten zu ergreifen. Gemäß § 56 Abs 1 Z 9 SPG dürfen die Sicherheitsbehörden personenbezogene Daten an die Teilnehmerinnen und Teilnehmer der Sicherheitspolizeilichen Fallkonferenz übermitteln. Die Teilnehmer sind – sofern sie nicht ohnehin der Amtsverschwiegenheit unterliegen – jedoch zur vertraulichen Behandlung der Daten verpflichtet (LVwG NÖ 06.06.2024, LVwG-AV-2018/001-2023).

BVwG 08.07.2024, W137 2278780-1

• Ein ehemaliger Arbeitnehmer erhob Datenschutzbeschwerde bei der DSB, weil die von ihm begehrte Datenauskunft des ehemaligen Arbeitgebers unvollständig gewesen sei. Der Arbeitnehmer befand sich parallel bereits in zwei Arbeits- und Sozialgerichtlichen Verfahren gegen den Arbeitgeber. Der Arbeitgeber hat Dokumente von der Auskunft ausgenommen, weil sonst in Rechte und Freiheiten anderer Personen in Hinsicht auf die Verfahren eingegriffen werden würde. Die DSB hat die Beschwerde abgewiesen, woraufhin der Arbeitnehmer Bescheidbeschwerde beim BVwG erhob, das diese ebenfalls abwies.
  
  Das BVwG hat erwogen: Die Auskunft war vollständig. Vorbringen, die auf Dokumente gerichtet sind, die angeblich existieren müssten, sind unbeachtlich. Eine Auskunft darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen (Art 15 Abs 4 DSGVO). Das betrifft grundsätzlich alle Rechte, die vom Recht der Union oder des nationalen Rechts anerkannt sind. Nach § 4 Abs 6 DSG besteht das Auskunftsrecht "in der Regel" dann nicht, wenn durch die Erfüllung Geschäfts- oder Betriebsgeheimnisse gefährdet werden. Durch diese Formulierung ist klargestellt, dass eine Abwägung der Interessen im Einzelfall stattfinden muss. Die begehrten Dokumente waren Teil der parallel geführten ASG-Verfahren. Deren Beauskunftung hätte die Prozessposition des Arbeitgebers geschwächt, weshalb ein berücksichtigungswürdiges Geheimhaltungsinteresse vorlag und die Beauskunftung verweigert werden durfte. Die Beschaffung von prozessstärkender Information geht über den Schutzzweck der Norm hinaus.

BVwG 15.07.2024, W298 2284627-1

• Die Betreiberin eines Restaurants betrieb in den Gästeräumen mehrere Überwachungskameras zum Zwecke des Eigentumsschutzes der Gäste und zur speziellen Gefahrenprävention sowie zur Möglichkeit der Aufklärung von Straftaten. Eine der Kameras im Garderobenbereich war so eingestellt, dass sie den Toiletteneingangsbereich miterfasste. Die DSB stellte einen Verstoß gegen die Verarbeitungsgrundsätze der DSGVO fest, weil der Aufnahmebereich über das für die Gefahrenabwehr unbedingt erforderliche Ausmaß hinausging. Die DSB verhängte über die Restaurantbetreiberin eine Geldstrafe. Die Restaurantbetreiberin bekämpfte das Straferkenntnis nur der Höhe nach beim BVwG. Das BVwG reduzierte den Betrag der Geldstrafe.
  
  Das BVwG hat erwogen: Das Verhängen einer Geldbuße im Zuge einer überschießenden Videoüberwachung ist aus generalpräventiven Gründen unbedingt erforderlich. Eine Verwarnung nach Art 11 DSG kommt nicht in Betracht. Grundsätzlich hat jede Aufsichtsbehörde nach Art 83 Abs 1 DSGVO sicherzustellen, dass das Verhängen von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
  
  In Art 83 Abs 2 DSGVO sind Zumessungskriterien angeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall "gebührend" zu berücksichtigen sind (zB Art, Schwere und Dauer des Verstoßes).
  
  Das Verschulden der Restaurantbetreiberin war – entgegen der Auffassung der DSB – nur geringfügig. Zum einen war es nicht möglich, den Toiletteneingangsbereich zu betreten, ohne zuvor den Garderobenbereich zu passieren, für dessen Videoüberwachung eine Registrierung bei der DSB vorlag. Insofern hatten sich die Gäste beim Betreten der Toilette ohnedies einer (kurzfristigen) Datenverarbeitung auszusetzen. Zum anderen war die Beeinträchtigung durch die unrechtmäßige Überwachung im Toiletteneingangsbereich als zeitlich gering und vergleichsweise wenig eingriffsintensiv zu werten. Da es sich zudem um den ersten einschlägigen Verstoß der Restaurantbetreiberin handelte, war die verhängte Geldbuße auf EUR 1.500 zzgl EUR 150 an Kosten des Strafverfahrens zu reduzieren.

BVwG 12.07.2024, W298 2287221-1

• Anlässlich eines Nachbarschaftskonflikts erließ das örtlich zuständige Bezirksgericht mehrere einstweilige Verfügungen gegen den Nachbarn, einen Stalker. Dem Stalker wurde das Betreten des Straßenabschnitts rund um das Grundstück seines Nachbarn, der die einstweiligen Verfügungen erwirkte, untersagt. Der Stalker verstieß gegen das Betretungsverbot. Zum Beweis dafür legte der Nachbar im bezirksgerichtlichen Verfahren mehrere Videoaufnahmen vor, die er mit seiner Actionkamera angefertigt hatte. Darüber hinaus betrieb er zwei fest montierte Videokameras, die ausschließlich sein Grundstück erfassten. Sowohl die DSB als auch das BVwG beurteilten die Anfertigung der Videoaufnahmen zur Beweismittelsicherung als datenschutzrechtlich zulässig.
  
  Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten durch Anfertigung von Videoaufnahmen ist nach der Judikatur des EuGH unter drei kumulativen Voraussetzungen zulässig. Die Videoüberwachung bedarf (i) der Wahrnehmung eines berechtigten Interesses, sie muss (ii) erforderlich sein und (iii) das berechtigte Interesse des Verantwortlichen muss das Interesse des Betroffenen auf Datenschutz überwiegen.
  
  Der Nachbar verfolgte mit der Installation des Videoüberwachungssystems ein berechtigtes Interesse. Er wollte sein Eigentum sowie Leib und Leben schützen. Zur Beantwortung der Frage, ob die Videoaufnahmen erforderlich gewesen sind, ist der besondere Unrechtsgehalt, der sich aus dem Stalking über einen längeren Zeitraum ergibt, zu beachten. Alternative Maßnahmen, wie ein vor dem Bezirksgericht vorgelegtes Stalking-Protokoll, sind nicht ausreichend, um das Stalking zu unterbinden. Der Stalker hat sich – hinsichtlich der Verarbeitung aller hier verfahrensgegenständlichen personenbezogenen Daten – entgegen seinen rechtlichen Verpflichtungen in Bereiche begeben, in denen er sich nicht aufhalten durfte. Nach den vernünftigen Erwartungen konnte der Stalker davon ausgehen, dass er einer Datenverarbeitung unterliegen könnte, die zum Ziel hat, sein Verhalten gegenüber Behörden und Gerichten offenzulegen, die für die Einhaltung dieser Regeln verantwortlich sind.

BVwG 10.06.2024, W148 2291941-1

• Ein Journalist begehrte eine erweiterte Auskunft gem § 9 WiEReG aus dem Register der wirtschaftlichen Eigentümer. Er begehrte insbesondere Einsicht in das dort hinterlegte Compliance-Package zu einer GmbH. Der Journalist begründete sein Recht auf Auskunft mit seiner Rolle als public watchdog. Die Information brauchte der Journalist für eine Recherche über die Umsetzung von Sanktionsmaßnahmen gegen die für die GmbH handelnden Akteure. Der Bundesminister für Finanzen als Registerbehörde wies die Anträge des Journalisten zurück. Gegen den Zurückweisungsbescheid erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Das WiEReG räumt natürlichen Personen und Organisationen, die ein berechtigtes Interesse nachweisen können, gemäß § 10 WiEReG ein Einsichtsrecht ein. Dieses umfasst Angaben zum Rechtsträger sowie den wirtschaftlichen und indirekt wirtschaftlichen Eigentümern. Weitere Informationen, insbesondere zum Compliance-Package, sind vom Einsichtsrecht nicht umfasst. In der Bestimmung hat der Gesetzgeber die Aufgabe von Journalisten als public watchdogs anerkannt und ihnen ein berechtigtes Interesse zugestanden. Ein gesamtgesellschaftliches Interesse des Journalisten auf Einsicht kann aber nur soweit aufgegriffen werden, wie dies vom anwendbaren Gesetz anerkannt ist, was im vorliegenden Fall durch § 10 WiEReG geschehen ist.

BVwG 10.07.2024, W298 2293438-1

• Eine Hausverwaltung veröffentlichte durch Aushang in einer Wohnanlage ein Schreiben, das personenbezogene Daten eines Wohnungseigentümers enthielt. Die Hausverwaltung sah zur Durchführung eines Umlaufbeschlusses gem § 24 WEG eine gesetzliche Notwendigkeit für die Veröffentlichung des Schreibens. Der betroffene Wohnungseigentümer fühlte sich in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde. Gegen den stattgebenden Bescheid der DSB erhob die Hausverwaltung (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Nach § 1 Abs 2 DSG sind Beschränkungen des Geheimhaltungsanspruchs unter anderem bei überwiegenden berechtigten Interessen eines Dritten oder bei Vorhandensein einer qualifizierten gesetzlichen Grundlage zulässig.
  
  Auf das ausgedruckte veröffentlichte Schreiben ist die DSGVO anwendbar, weil dieses in einem elektronischen Textverarbeitungsprogramm und via E-Mail verarbeitet wurde. Der Inhalt des Schreibens und die Veröffentlichung an einen nicht näher definierbaren Personenkreis liegt im Anwendungsbereich des § 1 Abs 1 DSG, weil keine familiäre Tätigkeit der Hausverwaltung vorliegt.
  
  Die offengelegten Daten waren nicht öffentlich, weil im Schreiben Informationen enthalten waren, die sich nicht aus öffentlichen Quellen ergaben. Die Daten wurden auch nicht nur gegenüber den beschlussfassenden Parteien veröffentlicht. Die Möglichkeit von der Kenntnisnahme von schützenswerten Daten reicht für die Verletzung einer Geheimhaltungspflichtverletzung aus. Der Wortlaut des § 24 Abs 5 WEG enthält keine Verpflichtung, ein an Wohnungseigentümer adressiertes Schreiben zu veröffentlichen.
  
  Für die Begründung eines berechtigten Interesses ist eine einzelfallbezogene Interessenabwägung durchzuführen. Dabei ist das Interesse der Hausverwaltung an der Veröffentlichung dem Interesse des Wohnungseigentümers an Geheimhaltung seiner Daten gegenüberzustellen. Für die Zweckerreichung war die Veröffentlichung in der gewählten Form nicht erforderlich.

BVwG 12.06.2024, W292 2283307-1

• Ein Journalist, der sich als "public watchdog" bezeichnete, verlangte Auskünfte gemäß den §§ 2, 3 iVm § 4 Auskunftspflichtgesetz von der Bundesministerin für Landesverteidigung (Ministerin). Diese Informationen betrafen ein Disziplinarverfahren wegen Wiederbetätigung und das entsprechende Erkenntnis der Bundesdisziplinarbehörde. Die Anfragen des Journalisten umfassten detaillierte Fragen zu den beteiligten Personen, den Inhalt verschiedener Bescheide und die Maßnahmen innerhalb des Bundesministeriums für Landesverteidigung.
  
  Die Ministerin beantwortete einige der Fragen. Der Journalist hielt die Beantwortung jedoch für unvollständig. Die Ministerin verweigerte die Beantwortung weiterer Fragen mit Bescheid. Daraufhin erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Die Auskunftspflicht besteht nur innerhalb der örtlichen und sachlichen Zuständigkeit des ersuchten Organs. Die vom Journalisten erfragten Informationen über die Disziplinarverfahren betreffen auch Angelegenheiten, die nicht in den Wirkungsbereich der Ministerin fielen. Für die Entscheidungen der Bundesdisziplinarbehörde oder für deren Veröffentlichung ist die Ministerin nicht zuständig.
  
  Hinzu kommt, dass auch aus der Verpflichtung zur Auskunft iSv Art 20 Abs 4 B-VG keine Verpflichtung einer Behörde abgeleitet werden kann, behördliches Handeln oder Unterlassen zu begründen. Daher kommt dem Journalisten als nicht am Verfahren beteiligten Dritten kein Recht zu, eine nähere Begründung hinsichtlich der ergangenen Entscheidungen zu erhalten.
  
  Die Pflicht zur Amtsverschwiegenheit gemäß Art 20 Abs 3 B-VG besteht, wenn schutzwürdige Geheimhaltungsinteressen vorliegen. Die Namen, Ränge und Funktionsbezeichnungen sind personenbezogene Daten iSv § 1 Abs 1 DSG, deren Geheimhaltung schutzwürdig ist. Insbesondere die Aufrechterhaltung des guten Rufes des Disziplinaranwalts und die bestehende Gefahr, bei medialer Berichterstattung in der Öffentlichkeit angeprangert zu werden, ist als legitimes und überwiegendes Interesse an der Geheimhaltung seiner Identität anzusehen. Des Weiteren fallen alle Personen unter die Verschwiegenheitsverpflichtung des § 26 Ab 2 HDG 2014, die mit einem Disziplinarverfahren in Berührung kamen.
  
  Weiters würde die Bekanntgabe personenbezogener Daten, wie die Identität des Disziplinaranwalts, nicht zur Meinungsbildung in einer Debatte von allgemeinem Interesse beitragen. Darüber hinaus ist die Disziplinarentscheidung im RIS veröffentlicht. Der Journalist hat somit Zugang zu den Informationen, die nicht den höchstpersönlichen Lebensbereich betreffen. Daher kommt ihm auch aus Art 10 EMRK kein Recht auf Auskunftserteilung zu. Der Name als Mittel zur individuellen Bezeichnung einer Person ist vom Schutzbereich des Art 8 EMRK umfasst. Auch aus Art 8 EMRK folgt, dass eine Übermittlung der geforderten Informationen nicht zulässig ist.
  
  Des Weiteren wurden einige Fragen bereits hinreichend beantwortet, wie aus den Schreiben der Ministerin hervorgeht. Folglich steht dem Journalisten kein Recht auf weitere Auskünfte in Bezug auf diese Fragen zu.

• Wird Einsicht in einen Vergabeakt gewährt, der personenbezogene Daten enthält, sind zum Schutz personenbezogener Daten entsprechende Datenminimierungsmaßnahmen zu treffen (BVwG 24.06.2024, W606 2286002-2).
  
  
• Hat ein Beschwerdeführer vor der DSB vollständig obsiegt, ist er durch den Bescheid der DSB nicht beschwert. Werden in der Beschwerde an das BVwG eine Bescheidbeschwerde und eine Säumnisbeschwerde vermischt, ist die Beschwerde hinsichtlich der Säumnisbeschwerde zwecks allfälliger weiterer Behandlung gemäß § 6 AVG der DSB zu übermitteln (BVwG 08.07.2024, W137 2289439-1).
  
  
• Das Säumnisbeschwerdeverfahren hat als Rechtsschutzziel (nur) die Herbeiführung einer Entscheidung in der betreffenden Verwaltungsangelegenheit und nicht die Richtigkeit der Entscheidung. Hat die DSB nach Einlangen der Säumnisbeschwerde innerhalb von drei Monaten eine Entscheidung getroffen, ist das Säumnisbeschwerdeverfahren einzustellen (BVwG 08.07.2024, W137 2293870-1).
  
  
• Der Antrag, personenbezogene Daten von einer Website zu löschen, ist ein Löschungsersuchen. Sind die personenbezogenen Daten zum Entscheidungszeitpunkt auf der Website nicht mehr abrufbar, kommt ein Leistungsauftrag zur Entfernung dieser Daten von der Website jedoch nicht mehr in Betracht. Auch eine wesentliche unmittelbare Gefährdung des Betroffenen (Gefahr in Verzug) liegt nicht mehr vor, sodass ein Vorgehen mit einem Mandatsbescheid nach § 22 Abs 4 DSG ausscheidet (BVwG 28.06.2024, W108 2250401-2).
  
  
• Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 26.06.2024, W258 2261057-1, BVwG 03.07.2024, W258 2262326-1 und andere).

• Am 22.07.2024 wurde das " Bundesgesetz, mit dem die Gewerbeordnung 1994 geändert wird", BGBl I 2024/130, kundgemacht. Mit der Novelle werden elektronische Eintragungen in das Gewerbeinformationssystem Austria (GISA) ermöglicht. Hierzu gelangt die E-ID zum Einsatz. Die DSGVO wird berücksichtigt.

• Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

• Am 05.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Aus der Rechtsprechung des OGH:

Personenbezogene Daten verkörpern einen monetären Wert. Die Bereitstellung personenbezogener Daten wie etwa Kontakt- und Einkaufsverhaltensdaten ist eine (Gegen-)Leistung, mit der man "zahlt". Die Bereitstellung dieser Daten und die Mitgliedschaft in einem Kundenbindungsprogramm sind gegenseitige Hauptleistungspflichten. In einem Kundenbindungsprogramm die Gewährung und Einlösung von Bonuspunkten anzubieten, dann aber den Mitgliedern keinen Anspruch auf das entsprechende Angebot zu gewähren, steht in krassem Missverhältnis zur vom Mitglied erbrachten Gegenleistung, nämlich vorab Daten zu seiner Person und seinem Einkaufsverhalten offengelegt zu haben (OGH 25.06.2024, 4Ob102/23p).

Aus der Rechtsprechung des BFG:

Die Organe der Abgabenbehörden und des BFG sind gemäß § 48a BAO zur Geheimhaltung der ihnen im Rahmen ihrer Amtsausübung zukommenden Daten verpflichtet. Dadurch ist der Datenschutz gewährleistet (BFG 05.06.2024, RV/7102695/2023).

DSB 04.07.2024, 2024-0.199.724

Der Rechnungshof Österreich veröffentlichte die Spendenhöhe sowie den Namen und die Postleitzahl eines Parteispenders auf seiner Website. Da diese Daten seine politische Meinung offenbarten, sah der Spender in der Veröffentlichung eine Verletzung seines Rechts auf Geheimhaltung. Daraufhin reichte der Parteispender eine Datenschutzbeschwerde gegen den Rechnungshof ein. Die DSB setzte das Verfahren bis zum Urteil des EuGH vom 01.2024, C-33/22, Österreichische Datenschutzbehörde, aus. Das EuGH-Urteil bestätigte die Zuständigkeit der DSB für Datenverarbeitungstätigkeiten der Gesetzgebungsorgane. Nach Fortsetzung des Verfahrens erklärte sich die DSB für zuständig, sie wies die Datenschutzbeschwerde jedoch ab.

Die DSB hat erwogen: Da das neu geschaffene Parlamentarische Datenschutzkomitee erst mit 01.01.2025 eingerichtet wird, ist zum Zeitpunkt der Entscheidung die DSB gemäß Art 55 Abs 1 DSGVO zuständig. Weiters fallen die Daten des Parteispenders in den Anwendungsbereich des Art 9 Abs 1 DSGVO, weil jedenfalls seine politischen Vorlieben aus seiner Spendentätigkeit hervorgehen. Art 9 Abs 2 lit g DSGVO erlaubt die Verarbeitung dieser Daten, wenn sie auf einer gesetzlichen Grundlage beruht, die ein erhebliches öffentliches Interesse verfolgt und angemessene Maßnahmen zum Schutz der Betroffenen vorsieht. § 6 Abs 2 und 3 PartG bietet diese gesetzliche Grundlage. Darüber hinaus ist die Transparenz der Parteienfinanzierung ein erhebliches öffentliches Interesse. Zudem setzte man durch das Absehen der Veröffentlichung der gesamten Anschrift des Parteispenders sowie durch Festlegung einer Löschfrist (§ 6 Abs 2 letzter Satz PartG) und Abhilfemaßnahmen angemessene Maßnahmen zur Wahrung der Grundrechte und Interessen.

Die Verarbeitung ist auch verhältnismäßig. Sie unterscheidet nach Höhe der Spende und Zeitraum, in dem gespendet wird. Die Veröffentlichung der Daten greift zwar in das Grundrecht auf Geheimhaltung ein, ist im Hinblick auf das erhebliche öffentliche Interesse an einer transparenten Parteienfinanzierung jedoch gerechtfertigt.

DSB 08.10.2021, 2021-0.698.184

Ein Geschäftsführer fühlte sich durch die Veröffentlichung seiner Daten auf der Website einer Werbeagentur in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt. Auf der Website der Werbeagentur wurde ein firmenbuchähnlicher Service angeboten, bei dem Informationen über im Firmenbuch eingetragene Rechtsträger und handelnde Personen miteinander verknüpft wurden, um auch Verbindungen zwischen den handelnden Personen darzustellen. Die Werbeagentur stützte die Veröffentlichung auf ihr berechtigtes Interesse. Der Geschäftsführer erachtete die Verarbeitung für unrechtmäßig und brachte (erfolglose) Datenschutzbeschwerde bei der DSB ein.

Die DSB hat erwogen: Bei der Verknüpfung von öffentlich zugänglichen Daten mit neuen Daten handelt es sich um eine neue Datenverarbeitung, deren Zulässigkeit nach dem DSG und der DSGVO zu prüfen ist. Zulässigerweise veröffentlichte Daten sind nicht per se einem Geheimhaltungsanspruch entzogen.

Bei der Interessenabwägung im Rahmen der Prüfung des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO werden die Interessen der Werbeagentur am Betrieb der Plattform dem Interesse des Geschäftsführers an Geheimhaltung gegenübergestellt. Eine Werbeagentur hat ein wirtschaftliches Interesse ihre Dienstleistungen zu bewerben und Werbeeinnahmen zu generieren sowie ein Interesse, den Nutzern ihrer Website interessante und nützliche Informationen über bestehende Unternehmen und deren handelnde Personen zur Verfügung zu stellen. Als Website-Betreiber schaltet die Werbeagentur für unterschiedliche Unternehmen Werbung. Es liegt im Interesse eines Website-Betreibers, möglichst viele Nutzer durch die Bereitstellung interessanter Informationen auf die Website zu bringen, um dadurch Werbeeinnahmen zu generieren. Der Geschäftsführer hat ein Interesse an der Geheimhaltung seiner personenbezogenen Daten. Bei der Interessenabwägung ist auch zu berücksichtigen, ob ein Betroffener absehen kann, ob möglicherweise eine Verarbeitung zu diesem Zweck zukünftig erfolgen wird.

Die Schutzwürdigkeit der Daten des Geschäftsführers ist aufgrund ihrer allgemeinen Verfügbarkeit geringer zu bewerten. Die veröffentlichten Daten gehören ausschließlich der beruflichen Sphäre an und der Geschäftsführer entscheidet selbst, ob er als Gesellschafter oder Geschäftsführer am Wirtschaftsleben teilnimmt.

Das berechtigte Interesse der Werbeagentur an der Verarbeitung der Daten im Rahmen ihrer Website überwiegt aufgrund der geringen Eingriffsintensität die Interessen des Geschäftsführers an der Geheimhaltung.

Am 19.07.2024 wurde das "Bundesgesetz, mit dem das E-Government-Gesetz geändert wird", BGBl I 2024/117, kundgemacht. Die Novelle des E-GovG regelt ua die Wahlfreiheit der Kommunikation für Bürgerinnen und Bürger sowie den elektronischen Verkehr zwischen Verantwortlichen des öffentlichen Bereichs.

Am 22.07.2024 wurde das "Bundesgesetz, mit dem das Schulorganisationsgesetz, das Schulunterrichtsgesetz, das Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge, das Bildungsdokumentationsgesetz 2020 und das Schulpflichtgesetz 1985 geändert werden", BGBl I 2024/121, kundgemacht. Das Bundesgesetzt enthält Regelungen zur Datenverarbeitung, darunter zur Verarbeitung des elektronischen Zertifikats zum Nachweis der Schülereigenschaft (edu.digicard). Weiters wurden Datenverarbeitungstätigkeiten auf der Grundlage des Bildungsdokumentationsgesetzes novelliert.

Am 22.07.2024 wurde das "Bundesgesetz, mit dem das Sicherheitspolizeigesetz geändert wird", BGBl I 2024/122, kundgemacht. Mit der Novelle werden den Sicherheitsbehörden Befugnisse für Datenverarbeitungstätigkeiten eingeräumt und Regelungen für den elektronischen Rechtsverkehr getroffen.

Am 16.07.2024 hat der EDSA eine Erklärung zur Rolle der Datenschutzbehörden im Rahmen der KI-VO angenommen.

Am 16.07.2024 hat der EDSA zum EU-US Data Privacy Framework separate FAQs für Einzelpersonen und für Unternehmen veröffentlicht.

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 05.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

EuG 17.07.2024, T-1077/23, Bytedance

Die Europäische Kommission (Kommission) hat Bytedance, ein chinesisches Unternehmen, das die Online-Plattform TikTok betreibt, als einen Torwächter (Gatekeeper) im Sinne der Verordnung über digitale Märkte (DMA) benannt. Bytedance hat gegen diese Benennung Klage erhoben und insbesondere drei Gründe geltend gemacht: (i) Eine Verletzung von Art 3 Abs 1 und 5 DMA (Benennung als Torwächter); (ii) eine Verletzung ihrer Verteidigungsrechte; und (iii) eine Verletzung des Gleichbehandlungsgrundsatzes. Das EuG wies die Klage in vollem Umfang ab.

Das EuG hat erwogen: Die Kommission hat TikTok zu Recht als einen zentralen Plattformdienst und ein wichtiges Zugangstor für Unternehmen, die ihre Endnutzer erreichen wollen, angesehen, weil Bytedance kumulativ die quantitativen Schwellenwerte von Art 3 Abs 2 lit a, b und c DMA erfüllt (Jahresumsatz, Anzahl der Endnutzer, Anzahl der Geschäftsjahre).

Bytedance hat nicht ausreichend begründet, weshalb diese Schwellenwerte nicht erfüllt sein sollten. Die vorgebrachten Argumente, wie etwa (i) das Fehlen eines Plattformökosystems, (ii) das Vorhandensein von Multihoming (die parallele Verwendung mehrerer Dienste), (iii) der angeblich geringe Umsatz in der Union, (iv) die Herkunft des Marktwerts (Hauptmarkt China), (v) die geringere Größe im Vergleich zu anderen Plattformen, (vi) die niedrigen Werbeeinnahmen, (vii) die Tatsache, dass Bytedance ein neuer Marktteilnehmer ist, oder dass (viii) seine Position von anderen Gatekeepern wie Meta und Alphabet herausgefordert wird, sind nicht geeignet, um die Einstufung als Torwächter in Frage zu stellen.

Bytedance hat einen erheblichen Einfluss auf den Binnenmarkt, weil Bytedance auch den Schwellenwert für den Marktwert von Art 3 Abs 2 lit a DMA überschritten hat (Jahresumsatz). Die Verteidigungsrechte von Bytedance wurden nicht verletzt, weil es weder nachgewiesen hat, dass es ohne die angeblichen Verfahrensfehler seine Verteidigung besser hätte wahrnehmen können, noch, dass diesfalls die Entscheidung der Kommission anders ausgefallen wäre. Der Gleichbehandlungsgrundsatz wurde nicht verletzt, weil Bytedance nicht nachgewiesen hat, dass ähnliche Argumente in vergleichbaren Fällen berücksichtigt worden wären.

EuG 17.07.2024, T-761/21, Courtois

Die Europäische Kommission ("Kommission") hat für EUR 2,7 Mrd Impfstoffe gegen COVID-19 von Pharmaunternehmen bestellt. Abgeordnete des Europäischen Parlaments sowie Privatpersonen (Antragsteller) stellten an die Kommission den Antrag, diese möge ihnen Zugang zu den Verträgen mit den Pharmaunternehmen und bestimmten mit diesen Verträgen in Zusammenhang stehenden Dokumenten gewähren.

Die Kommission verweigerte teilweise den Zugang zu den Verträgen und auch zu den Dokumenten. Hinsichtlich der Erklärungen der Mitglieder des Verhandlungsteams über das Nichtvorliegen von Interessenkonflikten stützte die Kommission die Verweigerung des (ungeschwärzten) Dokumentenzugangs auf den Schutz der Privatsphäre dieser EU-Vertreter. Das EuG erklärte die Entscheidung der Kommission für nichtig.

Das EuG hat erwogen: Die Kommission hat den Zugang zu den Erklärungen über das Fehlen von Interessenkonflikten zu Unrecht verweigert. Diese Erklärungen sind für die Transparenz und die Rechenschaftspflicht der EU-Vertreter, die an den Verhandlungen mit den Impfstoffherstellern beteiligt waren, von wesentlicher Bedeutung. Die Antragsteller haben hinreichend dargelegt, dass sie die Offenlegung dieser Erklärungen zur Überprüfung benötigen, ob die an den Verhandlungen beteiligten EU-Vertreter keinem Interessenkonflikt unterlagen. Für diese Überprüfung ist die Kenntnis der Vor- und Nachnamen sowie der beruflichen und institutionellen Rollen der besagten EU-Vertreter erforderlich.

VwGH 17.05.2024, Ra 2021/04/0009

Eine Ärztin begehrte im Jahr 2017 die Löschung ihrer personenbezogenen Daten auf einer Ärztebewertungsplattform. Nachdem die Betreiberin der Bewertungsplattform das Löschungsbegehren der Ärztin ablehnte, brachte die Ärztin eine zivilgerichtliche Klage ein, in der sie eine Verletzung im Recht auf Datenschutz geltend machte und die Löschung der Daten beantragte. Anschließend brachte die Ärztin zusätzlich eine Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde mit der Begründung zurück, dass sie nicht über dieselbe Frage absprechen könne, welche bereits gemäß Art 79 DSGVO zivilgerichtlich anhängig sei. Eine gleichzeitige Inanspruchnahme des Beschwerderechts bei der Aufsichtsbehörde und des gerichtlichen Rechtsbehelfs in ein- und derselben Sache komme nicht in Betracht.

Das BVwG gab der von der Ärztin eingebrachten Bescheidbeschwerde keine Folge, bestätigte die Zurückweisung der Datenschutzbeschwerde aber aus einem Grund. In der Zwischenzeit wurde die zivilrechtliche Klage der Ärztin – im Zeitpunkt der Entscheidung des BVwG jedoch noch nicht rechtskräftig – abgewiesen. Gegen diese Entscheidung erhoben sowohl die Ärztin als auch die DSB jeweils Revision an den VwGH.

Der VwGH setzte das Verfahren aus und legte dem EuGH die Fragen vor, ob im innerstaatlichen Recht das Zusammenspiel der Rechtsbehelfe so geregelt werden darf, dass

1. sofern ein Rechtsbehelf beim Gericht bereits anhängig ist, oder (zumindest)
2. nachdem eine (wenn auch noch nicht rechtskräftige) inhaltliche Entscheidung des Gerichts ergangen ist,

die DSB die Datenschutzbehörde zurückweisen darf.

Der VwGH hat erwogen: Nach der Rechtsprechung des EuGH dürfen eine Datenschutzbeschwerde gemäß Art 77 DSGVO an eine Aufsichtsbehörde und ein zivilgerichtlicher Rechtsbehelf gemäß Art 79 DSGVO nebeneinander und unabhängig voneinander eingelegt werden. Laut den Ausführungen des EuGH obliegt die Festlegung der Modalitäten für die Verwaltungs- und Gerichtsverfahren den EU-Mitgliedstaaten, die dabei ein hohes Schutzniveau der Unionsrechte gewährleisten müssen. Dieses hohe Schutzniveau bedinge die Vermeidung einander widersprechender Entscheidungen.

Vor diesem Hintergrund ist zu klären, ob es eine zulässige Modalität des Rechtsschutzes ist, wenn eine Datenschutzbeschwerde nach Art 77 DSGVO zurückgewiesen wird, weil in derselben Sache bereits ein gerichtlicher Rechtsbehelf nach Art 79 DSGVO eingelegt wurde und das gerichtliche Verfahren noch anhängig ist.

Anm: Das ist bereits das zumindest 14. Vorabentscheidungsersuchen an den EuGH aus Österreich mit Bezug zur DSGVO (ab 2021), wobei ein Vorabentscheidungsersuchen zurückgezogen wurde (C-701/20) und ein Vorabentscheidungsersuchen als unzulässig zurückgewiesen wurde (C-115/22). Zählt man diese nicht mit, wurden bis dato aus Österreich zwölf Vorabentscheidungsersuchen mit Bezug zur DSGVO an den EuGH gestellt. Davon kamen vier vom VwGH (C-33/22, C-416/23, C-638/23, C-414/24), drei vom OGH (C-154/21, C-300/21, C-446/21), drei vom BVwG (C-487/21, C-291/24, C-474/24), eins vom LVwG Wien (C-203/22) und eins vom LG St. Pölten (C-468/24).

BVwG 11.03.2024, W214 2235505-1

Ein Journalist begehrte im Rahmen des Auskunftspflichtgesetzes (AuskunftspflichtG) beim Bundesminister für Finanzen (BMF) per E-Mail eine Liste aller Unternehmen, die COVID-19-Hilfsmaßnahmen in Form von Steuerstundungen, Fixkostenzuschüsse oder Haftungen für Kredite in Anspruch genommen haben, einschließlich der jeweiligen Höhe der bewilligten Hilfen. Der BMF wies das Auskunftsbegehren mit Bescheid gemäß § 4 AuskunftspflichtsG ab, weil die Geheimhaltungsinteressen der Unternehmen zu wahren seien und die angeforderten Daten nicht ohne weiteres verfügbar seien, weshalb vor der Beauskunftung eine zusätzliche Verarbeitung stattfinden müsste. Gegen den abweisenden Bescheid erhob der Journalist Bescheidbeschwerde an das BVwG, das der Beschwerde hinsichtlich der Daten zu offenlegungspflichtigen Unternehmen stattgab.

Das BVwG hat erwogen: Unternehmen, die verpflichtet sind, erhaltene Corona-Beihilfen im Transparency Award Module (TAM) oder im Firmenbuch zu veröffentlichen, haben kein schutzwürdiges Interesse an der Geheimhaltung der erhaltenen Beihilfen. Einzelunternehmer und natürliche Personen genießen dagegen ein erhöhtes Geheimhaltungsinteresse. Deren Daten dürfen nur veröffentlicht werden, wenn sie auch der Offenlegungspflicht im TAM unterliegen, weil dann kein schutzwürdiges Interesse an der Geheimhaltung mehr vorliegt. Das öffentliche Interesse an der Kontrolle der Verwendung von öffentlichen Mitteln für COVID-19-Hilfsmaßnahmen überwiegt das Interesse der Unternehmen an der Wahrung ihrer Geschäfts- und Betriebsgeheimnisse. Journalisten üben dabei als "public watchdog" eine wichtige Funktion für die demokratische Meinungsbildung aus.

Auch wenn Daten erst aufzuarbeiten sind, ist eine pauschale Auskunftsverweigerung nicht zulässig. Wenn Daten bereits in automationsunterstützter und strukturierter Weise verarbeitet werden, ist eine Auskunft jedenfalls nicht unzumutbar.

Die untersten 10% der Beihilfeempfänger sind nicht zu beauskunften, weil diese eine geringe Relevanz für die öffentliche Kontrolle haben und eine höhere Gefahr der Offenlegung der Identität besteht.

BVwG 17.06.2024, W298 2283379-1

Eine für Parteimitglieder bestimmte E-Mail wurde von einer politischen Partei versehentlich an einen Bürger versendet. Seine E-Mail-Adresse wurde versehentlich in die Mitgliederdatenbank eingetragen und mit einem Parteimitglied verknüpft. Der Bürger erhob Datenschutzbeschwerde und monierte, dass die politische Partei ihn in seinem Recht auf Geheimhaltung verletzt hatte, indem sie (i) seine E-Mail-Adresse verarbeitete, (ii) ein Tracking-Pixel einsetzte und (iii) seine personenbezogenen Daten aus der Wählerevidenz abgerufen hat. Den ersten beiden Beschwerdepunkten gab die DSB statt, der dritte Beschwerdepunkt wurde abgewiesen. Dagegen richtete sich die Bescheidbeschwerde an das BVwG, die abgewiesen wurde.

Das BVwG hat erwogen: Gemäß § 1 Abs 2 PartG iVm § 4 Abs 2 WEviG ist eine politische Partei berechtigt, die dort angeführten Daten für Zwecke der Beeinflussung der staatlichen Willensbildung, insbesondere durch die Teilnahme an Wahlen zu allgemeinen Vertretungskörpern und dem Europäischen Parlament, zu empfangen. Es ist zulässig, dass politische Parteien Werbung für eigene politische Ziele durch direkte Ansprache der Wähler betreiben und dabei privilegiert auf Daten der Wählerevidenz zugreifen dürfen, sofern ein Zweck gemäß § 1 Abs 2 PartG verfolgt wird. Die politische Partei hat die Daten des Bürgers zwar zum Zweck der Wahlwerbung erhoben, aber die Daten falsch verknüpft. Der Datenschutzbeschwerde wurde in diesem Punkt auch stattgegeben. Die Abfrage der Daten aus der Wählerevidenz war jedoch rechtmäßig.

Der Antrag zur Vorabentscheidung an den EuGH wird abgewiesen, weil die Beschränkung auf die in § 1 Abs 2 PartG genannten Daten sowie die Einschränkung der Datenverarbeitung zu wahlwerbenden Zwecken iSd DSGVO hinreichend sind.

BVwG 17.06.2024, W298 2261552-1

Eine Bewohnerin hatte in ihrer Liegenschaft zwei Strompunktzähler und beauftragte für jeden Zähler einen anderen Energieanbieter. Beide Anbieter leiteten daraufhin unabhängig voneinander einen Zählpunktidentifizierungsprozess über die Wechselplattform ein, um den Wechsel der Stromlieferanten zu vollziehen. Der Netzbetreiber meldete beide Zähler an beide Energieanbieter zurück, obwohl jeweils nur für einen der beiden Zähler eine Vollmacht vorlag. Dies führte dazu, dass die Daten beider Zähler an beide Energieanbieter weitergegeben wurden. Die DSB gab der Datenschutzbeschwerde der Bewohnerin statt und stellte eine Verletzung ihres Geheimhaltungsrechts fest. Das BVwG gab der Bescheidbeschwerde des Netzbetreibers teilweise statt.

Das BVwG hat erwogen: Die Weitergabe der Daten an den zweiten Energieanbieter erfolgte ohne rechtliche Grundlage und verletzte somit das Geheimhaltungsrecht der Bewohnerin. Die Weitergabe der Daten an den ersten Energieanbieter war jedoch rechtmäßig.

Die Energieanbieter haben von der Bewohnerin jeweils eine Vollmacht zur Vornahme eines spezifischen Rechtsgeschäfts iSd § 76 Abs 3 ElWOG und des § 4 Wechselverordnung (WVO) erhalten, die zur Übernahme jeweils eines Zählers berechtigt. Die Energieanbieter müssen das Vorliegen der Vollmacht nur glaubhaft machen, sofern die Vollmacht tatsächlich erteilt wurde. Unklarheiten über den Umfang der Vollmacht muss sich die Bewohnerin zurechnen lassen. Der Netzbetreiber durfte darauf vertrauen, dass die Vollmacht dem ersten Energieanbieter im Umfang der Übernahme beider Zählpunkte erteilt worden ist.

Hinsichtlich des zweiten Energiebetreibers verletzte der Netzbetreiber jedoch seine Sorgfaltspflichten. Beide Energieanbieter haben unabhängig voneinander eine Zählpunktidentifizierung für beide Zählpunkte gestartet, welche vom Netzbetreiber jeweils genehmigt wurden.

Gemäß § 5 WVO kann der Netzbetreiber bei begründetem Verdacht, wenn die zu wechselnde Zählpunktbezeichnung einem anderen Endverbraucher zugeordnet ist, den Wechselprozess verweigern. Da die Zählpunktidentifizierung durch den ersten Energieanbieter bereits gestartet wurde, hätte der Netzbetreiber bei der Anfrage des zweiten Energieanbieters Überschneidungen der beiden Verfahren prüfen müssen.

Der Verstoß gegen die gesetzlichen Sorgfaltspflichten indiziert auch einen Verstoß gegen das Grundrecht auf Datenschutz.

Erfolgt die Datenverarbeitung durch eine Videokamera nur im unmittelbaren Bereich vor der Eingangstüre, um zu überwachen, wer sich wann und wie unmittelbar vor der Eingangstüre aufhält, ist die Datenverarbeitung verhältnismäßig und erforderlich, wenn sie aus einem nachvollziehbaren Grund erfolgt. Auf das Verhängen einer Strafe besteht kein subjektives Recht, weshalb dem Betroffenen hierfür keine Antragslegitimation zukommt (BVwG 20.06.2024, W211 2276490-1).

Wird eine Säumnisbeschwerde rechtmäßig erhoben, räumt § 28 Abs 7 VwGVG dem BVwG eine "kondemnatorische" Entscheidungsbefugnis ein. Dh das BVwG darf ihre Entscheidung auf einzelne maßgebliche Rechtsfragen beschränken und die DSB zum Erlassen eines Bescheides "verurteilen". Die DSB erhält damit eine "dritte Chance" und hat ihre Entscheidung unter Zugrundelegung der Rechtsanschauung des BVwG innerhalb von acht Wochen nachzuholen (BVwG 13.06.2024, W292 2281684-1).

Ein Aussetzungsbescheid ist ersatzlos zu beheben, wenn der von der DSB angenommene Aussetzungsgrund nicht besteht. Im fortgesetzten Verfahren wird die DSB das Verfahren formlos einzustellen haben, weil der Verantwortliche in der Zwischenzeit dem Berichtigungsersuchen des Betroffenen entsprochen hat, indem der Verantwortliche den Geschlechtseintrag des Betroffenen auf "divers" geändert hat (BVwG 18.06.2024, W214 2275651-1).

Ist kein Wiederaufnahmegrund ersichtlich, ist ein Antrag auf Wiederaufnahme aussichtslos. Die Verfahrenshilfe wird daher nicht gewährt (BVwG 27.06.2024, W292 2293432-1).

Gemäß § 62 Abs 4 AVG kann das BVwG Schreib- und Rechenfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten in Entscheidungen jederzeit von Amts wegen berichtigen. Eine Berichtigung nach § 62 Abs 4 AVG ist keine Entscheidung in der Sache und hat daher gemäß § 31 Abs 1 VwGVG in Form eines Beschlusses zu erfolgen (BVwG 14.06.2024, W292 2282284-1).

Ist die DSB der Auffassung, in der Sache nicht entscheiden zu können, weil der Sachverhalt mangelhaft vorgebracht ist oder Beweismittel fehlen, hat die DSB den Betroffenen zur Stellungnahme oder Urkundenvorlage aufzufordern. Die Zurückweisung der Datenschutzbeschwerde ohne Durchführung eines Ermittlungsverfahrens ist dagegen verfehlt (BVwG 16.05.2024, W252 2281584-1).

Die wirksame Zurückziehung der Datenschutzbeschwerde im Beschwerdeverfahren vor dem BVwG bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des angefochtenen Aussetzungsbescheides und damit (nachträglich) dessen Rechtswidrigkeit. Die Unzuständigkeit einer Behörde hat das Verwaltungsgericht von Amts wegen wahrzunehmen. Das BVwG ist somit gehalten, den Bescheid ersatzlos aufzuheben (BVwG 12.06.2024, W108 2280177-1).

Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 20.06.2024, W292 2248579-1).

BFG 20.06.2024, RV/5100216/2024

Im Rahmen einer Außenprüfung forderte das Finanzamt für Großbetriebe von einem Kreditinstitut Kundenkonten und -depots zur Überprüfung der Sorgfalts- und Meldepflichten nach dem Gemeinsamen Meldestandard-Gesetz (GMSG) an. Das Kreditinstitut verweigerte die geforderte Datenübermittlung mit Hinweis auf die fehlende Erforderlichkeit und Bedenken aufgrund Bestimmungen des Datenschutzrechts. Da diese Unterlagen nicht übermittelt wurden, wurde eine Zwangsstrafe iHv EUR 500 verhängt. Gegen diesen Bescheid wurde Bescheidbeschwerde erhoben, weil die Abfrage personenbezogener Daten zur Ausübung der Kontrollbefugnisse unrechtmäßig sei. Die Bescheidbeschwerde wurde mit Beschwerdevorentscheidung als unbegründet abgewiesen. Die DSGVO-Rechtmäßigkeit der Prüfung der Abgabenerklärung ergäbe sich aus dem klar definierten öffentlichen Interesse iSd Art 6 Abs 1 lit e DSGVO an der Steuererhebung und der Bekämpfung von Steuerbetrug. Somit sei die Abgabenerklärung auch eine rechtliche Verpflichtung iSd Art 6 Abs 1 lit c DSGVO. Dagegen richtet sich der Vorlageantrag des Kreditinstituts.

Das BFG hat erwogen: Aus § 110 und 111 GMSG ergibt sich der gesetzliche Auftrag zur Überprüfung der Meldepflicht und der ausgeübten Sorgfalt und somit eine klare gesetzliche Grundlage für die vom Finanzamt vorgenommenen Datenanforderungen. Die auf § 111 GMSG iVm § 114 BAO basierende Datenverarbeitung ist ein verhältnismäßiger und minimalinvasiver Eingriff in das Grundrecht auf Datenschutz und erfolgt in der Durchführung von Unionsrecht anhand der Abgabevorschriften. Die Möglichkeit der Einsicht in die erhobenen Daten ist zudem ausschließlich auf Organe der Finanzverwaltung im Rahmen ihrer dienstlichen Tätigkeit beschränkt, sodass keine datenschutzrechtlichen Bedenken vorliegen. Durch die Verweigerung der Herausgabe der Kundenkonten wurde der Zweck der Prüfungshandlung, die Vollständigkeit der GMSG-Daten zu überprüfen, konterkariert, sodass die Verhängung der Zwangsstrafe rechtmäßig war.

Um den Erfordernissen des Datenschutzes zu entsprechen, haben die Abgabenbehörden nach Maßgabe ihrer technischen Möglichkeiten Zustellungen an Empfänger, die Teilnehmer von FinanzOnline sind, elektronisch vorzunehmen (BFG 30.04.2024, RV/7100834/2023).

Ein durchdachtes Berechtigungskonzept, in dem Zugriffsrechte auf Rollenebene definiert werden, trägt zur Erfüllung der Anforderungen der DSGVO bei (LVwG 11.07.2024, LVwG-2024/32/1750-4).

Am 17.07.2024 wurde das "Bundesgesetz, mit dem ein Qualifizierte-Einrichtungen-Gesetz erlassen wird und die Zivilprozessordnung, das Konsumentenschutzgesetz, das Gerichtsgebührengesetz und das Rechtsanwaltstarifgesetz geändert werden (Verbandsklagen-Richtlinie-Umsetzungs-Novelle)", BGBl I 2024/85, kundgemacht. Mit diesem Bundesgesetz wird die Verbandsklagen-Richtlinie (EU) 2020/1828 ins österreichische Recht umgesetzt. Gestützt auf dieses Bundesgesetz können Verbandsklagen auch wegen (behaupteten) Verletzungen des Datenschutzrechts geltend gemacht werden.

Am 18.07.2024 wurde das "Bundesgesetz, mit dem das KommAustria-Gesetz geändert wird", BGBl I 2024/90, kundgemacht. Ua wird das KOG dem "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G) angepasst. Zudem wird der RTR-GmbH ein jährliches Budget iHv EUR 0,5 Mio zur Verfügung gestellt, um Audio-Podcasts über Medien- und Digitalkompetenz etc zu produzieren.

Am 19.07.2024 wurde das "Bundesgesetz, mit dem das Arbeitsvertragsrechts-Anpassungsgesetz, das Arbeitsverfassungsgesetz, das Arbeitsinspektionsgesetz 1993, das Dienstnehmerhaftpflichtgesetz, das Allgemeine Sozialversicherungsgesetz, das Beamten-Kranken- und Unfallversicherungsgesetz, das Notarversorgungsgesetz, das Einkommensteuergesetz 1988, das Heimarbeitsgesetz und das Landarbeitsgesetz 2021 geändert werden (Telearbeitsgesetz)", BGBl I 2024/110, kundgemacht. Als Telearbeit wird die regelmäßige Verrichtung der Arbeit unter Einsatz von Informations- und Kommunikationstechnologien von Örtlichkeiten außerhalb des Unternehmens verstanden.

Am 19.07.2024 wurde das "Bundesgesetz, mit dem ein DORA-Vollzugsgesetz erlassen und das Alternative Investmentfonds Manager-Gesetz, das Bankwesengesetz, das Börsegesetz 2018, das Finanzmarktaufsichtsbehördengesetz, das Investmentfondsgesetz 2011, das Pensionskassengesetz, das Sanierungs- und Abwicklungsgesetz, das Versicherungsaufsichtsgesetz 2016, das Wertpapieraufsichtsgesetz 2018 und das Zahlungsdienstegesetz 2018 geändert werden", BGBl I 2024/112, kundgemacht. Mit dem DORA-Vollzugsgesetz wird ua die FMA als zuständige Behörde für die Überwachung der Einhaltung der DORA-Verordnung (EU) 2022/2554 festgelegt.

Am 07.2024 wurde das "Zweite Oö Digitalisierungsgesetz", OÖ LGBl 2024/59, kundgemacht. Mit diesem Landesgesetz wurde ua das oberösterreichische Auskunftspflicht-, Datenschutz- und Informationsweiterverwendungsgesetz geändert.

EuGH 11.07.2024, C-757/22, Meta

Beim Aufruf des "App-Zentrums" von Meta wurden die Nutzer darüber informiert, dass sie durch die Nutzung bestimmter Spieleanwendungen das Sammeln und Veröffentlichen persönlicher Daten gestatten und sie den AGB und der Datenschutzpolitik zustimmen. Der Bundesverband der Verbraucherzentralen und Verbraucherverbände hielt diese Hinweise ua mangels wirksamer Einwilligung für unlauter und erhob eine Unterlassungsklage. Der EuGH äußerte sich zur Frage, ob ein Verband eine Verletzung der Rechte einer betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO geltend macht, wenn die Klage darauf gestützt wird, dass der Verantwortliche seine Informationspflichten verletzt hat.

Der EuGH hat erwogen: Die Informationspflicht des Verantwortlichen gegenüber der von der Datenverarbeitung betroffenen Person ist logische Folge des Informationsrechts, das dieser Person durch Art 12 und 13 DSGVO zuerkannt wird. Dieses Recht gehört damit zu den Rechten, auf welche die in Art 80 Abs 2 DSGVO vorgesehenen Verbandsklagen gestützt werden sollen.

Die Erhebung einer auf Art 80 Abs 2 DSGVO gestützten Verbandsklage impliziert, dass es anlässlich der Verarbeitung personenbezogener Daten zu einer Verletzung der Rechte einer betroffenen Person aus den Datenschutzvorschriften der DSGVO kommt. Die Gültigkeit einer datenschutzrechtlichen Einwilligung hängt davon ab, ob die betroffene Person zuvor Informationen über alle Umstände im Zusammenhang mit der Datenverarbeitung hat, auf die sie nach Art 12 und 13 DSGVO Anspruch hat. Diese Informationen ermöglichen es ihr, die Einwilligung in voller Kenntnis der Sachlage zu geben. Eine Verletzung des Informationsrechts könnte der Erteilung einer Einwilligung in informierter Weise entgegenstehen und somit die Datenverarbeitung rechtswidrig machen.

Eine Verletzung des Informationsrechts verstößt gegen die in Art 5 DSGVO festgelegten Anforderungen und ist daher als Verstoß gegen die Rechte der betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO anzusehen.

EuGH 11.07.2024, C-461/22, MK

Ein Schutzbedürftiger ersuchte seinen ehemaligen Erwachsenenvertreter, einen Anwalt aus seinem persönlichen Umfeld, um Auskunft über jene personenbezogenen Daten, die der Anwalt im Zuge der Wahrnehmung seiner Aufgaben als Erwachsenenvertreter verarbeitet hatte.

Das vorlegende Gericht fragte den EuGH, ob ein gesetzlich bestellter Erwachsenenvertreter, der diese Tätigkeit berufsmäßig ausübt, Verantwortlicher gemäß Art 4 Z 7 DSGVO ist und demzufolge zur Auskunft verpflichtet ist.

Der EuGH hat erwogen: Laut ErwGr 18 und Art 2 Abs 2 lit c DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten, die durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ohne Bezug zu beruflichen oder wirtschaftlichen Tätigkeiten vorgenommen werden. Der Umstand, dass der Erwachsenenvertreter aus dem persönlichen Umfeld des Schutzbefohlenen stammte, ändert aber nichts daran, dass der Vertreter seine Aufgaben im Rahmen der Erwachsenenvertretung in Ausübung seiner anwaltlichen Tätigkeiten berufsmäßig wahrgenommen hat. Zwar handelt ein Erwachsenenvertreter nach den Vorschriften des deutschen Betreuungsrechts im Namen und auf Rechnung des Vertretenen, doch handelt es sich bei einem ehemaligen Erwachsenenvertreter um eine dritte Person.

Daraus folgt, dass ein ehemaliger Erwachsenenvertreter, der seine Aufgaben in Bezug auf eine unter seine Betreuung gestellte Person berufsmäßig wahrgenommen hat, als Verantwortlicher gemäß Art 4 Z 7 DSGVO einzustufen ist und sämtliche Bestimmungen der DSGVO, darunter auch die Auskunftspflicht gemäß Art 15 DSGVO, zu beachten hat.

EuGH Schlussanträge 11.07.2024, C-394/23, Mousse

Ein Verband erhob Klage gegen ein Transportunternehmen, weil dieses bei der Online-Buchung von Fahrscheinen die Angabe der Anrededaten "Herr" oder "Frau" von seinen Kunden verlangte. Der Generalanwalt äußerte sich zur Auslegung von Art 5 Abs 1 lit c sowie Art 6 Abs 1 lit b und c DSGVO.

Der Generalanwalt hat erwogen: Die systematische Verarbeitung von Anrededaten ist für die Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen nicht erforderlich, wenn sie der personalisierten geschäftlichen Kommunikation oder geschlechtsspezifischen Anpassung von Beförderungsleistungen dient. Hauptgegenstand des Vertrags ist die Bereitstellung eines Fahrscheins und die Beförderung der Kunden. Die Kommunikation mit dem Kunden ist zwar integraler Bestandteil des Beförderungsvertrags, die Verarbeitung der Anrededaten ist aber nicht erforderlich, weil personalisierte Kommunikation auch ohne Anrededaten möglich ist. Für spezielle Anpassungen der Beförderungsdienstleistung (zB Reservierung eines Nachtzugwagons für Frauen oder Unterstützung von Personen mit eingeschränkter Mobilität) sind nicht Anrede- sondern Geschlechtsdaten erforderlich. Dieses Ziel kann auch erreicht werden, indem diese Daten nur in besonderen Fällen und nicht bei allen Fahrscheinkäufen erhoben werden.

Das Transportunternehmen hat die betroffenen Personen zum Zeitpunkt der Datenerhebung nicht über die verfolgten berechtigten Interessen informiert. Aus der Nichteinhaltung der Informationspflicht resultiert die Rechtswidrigkeit der Verarbeitung der Anrededaten. Ohne Information über die berechtigten Interessen kann die Verarbeitung der Anrededaten auch nicht als erforderlich angesehen werden. Selbst wenn das berechtigte Interesse der personalisierten Kundenkommunikation mitgeteilt worden wäre, wäre die Verarbeitung der Anrededaten nicht erforderlich, weil die Kommunikation auch ohne diese Daten möglich ist. Kunden können vernünftigerweise nicht absehen, dass ihre Anrededaten zur Kommunikation aufgrund eines Fahrscheinerwerbs verarbeitet werden.

Die Verarbeitung von Anrededaten könnte die Grundrechte oder -freiheiten betroffener Personen beeinträchtigen, weil sie zu einer Diskriminierung aufgrund des Geschlechts führen könnte. Dies gilt insb bei Transgender-Personen oder Personen mit Staatsangehörigkeit eines Staates, der das neutrale Geschlecht anerkennt. Das berechtigte Interesse an der Kommunikation mit dem Kunden überwiegt daher nicht die Interessen oder die Grundrechte oder -freiheiten der betroffenen Person.

Das Bestehen eines Widerspruchsrechts ist für die Beurteilung der Erforderlichkeit bei einer Verarbeitung nach Art 6 Abs 1 lit f DSGVO irrelevant, weil es eine rechtmäßige Verarbeitung voraussetzt. Es kann erst ausgeübt werden, wenn die rechtmäßige Verarbeitung bereits erfolgt ist, um diese zu unterbinden. Eine andere Auslegung würde die Rechtmäßigkeitsgründe des Art 6 DSGVO ausweiten. Das Schutzniveau der betroffenen Personen hinge davon ab, dass diese der Datenverarbeitung widersprechen.

Eine Zurückverweisung an die DSB zur Durchführung notwendiger Ermittlungen gemäß § 28 Abs 3 VwGVG ist nur bei besonders gravierenden Ermittlungslücken gerechtfertigt. Wenn die DSB auf Grundlage ihrer Ermittlungsergebnisse bereits Feststellungen getroffen hat und ergänzende Ermittlungen ohne Schwierigkeiten vom Verwaltungsgericht durchgeführt werden können, ist eine Zurückverweisung nicht erforderlich. Im Interesse der Verfahrensbeschleunigung und der angemessenen Verfahrensdauer haben Verwaltungsgerichte erforderliche ergänzende Ermittlungen selbst vorzunehmen (VwGH 13.06.2024, Ra 2023/04/0259).

BVwG 27.03.2024, W214 2243436-1

Ein Unternehmen betrieb ein branchenübergreifendes Kundenbindungsprogramm, für das zur Rechtfertigung der Verarbeitung Einwilligungen physisch über ein Anmeldeformular und über eine Website eingeholt wurden. Um die Rechtmäßigkeit der Vorgehensweise zu prüfen, leitete die DSB ein amtswegiges Prüfverfahren ein. Da die Einwilligungen nicht der DSGVO entsprachen, verhängte die DSB im darauffolgenden Strafverfahren eine Geldstrafe iHv EUR 1,2 Mio (zuzüglich EUR 120.000 Verfahrenskostenbeitrag). Dagegen erhob das Unternehmen Bescheidbeschwerde an das BVwG, welches die Strafe auf EUR 700.000 (zuzüglich EUR 70.000 Verfahrenskostenbeitrag) herabsetzte und den Bescheid teilweise abänderte.

Das BVwG hat erwogen: Das Selbstbezichtigungsverbot des Art 90 Abs 2 B-VG und Art 6 EMRK gilt in Verwaltungsstrafverfahren nach der DSGVO jedenfalls nicht für juristische Personen. Beweisergebnisse, die in einem vorgelagerten Administrativverfahren unter strafbewehrter Mitwirkungspflicht erlangt wurden, dürfen im nachgelagerten Verwaltungsstrafverfahren verwertet werden.

Bei der Beurteilung der Gültigkeit einer Einwilligung ist maßgeblich, wie eine durchschnittliche einwilligende Person, die über keine juristischen oder technischen Kenntnisse verfügt und sich der Einwilligung mit durchschnittlicher Aufmerksamkeit widmet, diese versteht. Eine datenschutzrechtliche Erklärung, die zwar fettgedruckt ist, jedoch am Ende eines physischen Anmeldeformulars unter einem Unterschriftsfeld platziert wurde, ist irreführend. Eine bei einem Onlineformular missverständlich beschriftete Schaltfläche ist dabei irreführend und intransparent. Durch die intransparente Vorgehensweise entsprechen die Einwilligungen nicht den Erfordernissen iSd Art 7 DSGVO. Eine darauf gestützte Datenverarbeitung ist rechtswidrig.

Bei Profiling iSd DSGVO handelt es sich um einen erheblichen Eingriff in die Grundrechte von Betroffenen. Das Interesse Betroffener, keinem Profiling unterworfen zu werden, überwiegt das Interesse eines Unternehmens, ohne Einwilligung Daten zur interessensgerichteten Werbung verarbeiten zu dürfen.

Geschäftsführer trifft eine Erkundigungspflicht hinsichtlich einschlägiger Bestimmungen vor Beginn einer Datenverarbeitung. Zur Wirksamkeit eines internen Kontrollsystems muss dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen.

Für die Bemessung der Höhe einer Strafe nach der DSGVO liegt eine Unternehmensgruppe vor, wenn eine Muttergesellschaft einen entscheidenden Einfluss auf ein Tochterunternehmen ausübt.

Werden personenbezogene Daten (i) schuldhaft unrechtmäßig verarbeitet, (ii) betrifft die Verarbeitung das gesamte Bundesgebiet, (iii) stellt die Verarbeitung eine zentrale Tätigkeit des Verantwortlichen dar und (iv) sind eine große Anzahl natürlicher Personen von der Verarbeitung über einen Zeitraum von zwei Jahren betroffen, liegt bei einem fahrlässigen Verstoß gegen die DSGVO für die Strafbemessung ein mittlerer bis hoher Schweregrad vor. Anm: Das BVwG verwehrt datenschutzrechtlich Verantwortlichen, insb wenn sie juristische Personen sind, den Schutz vor Zwang zur Selbstbezichtigung.

BVwG 07.06.2024, W256 2246230-1

Ein Unternehmen hat von Mai 2019 bis Januar 2021 personenbezogene Daten für personalisierte Werbung, basierend auf Einwilligungserklärungen, die mittels Flyer und Webseite eingeholt wurden, erhoben. Die DSB leitete ein amtswegiges Prüfverfahren ein, in dem sie die Einwilligungserklärungen für ungültig erklärte. Im anschließenden Verwaltungsstrafverfahren verhängte die DSB eine Geldstrafe iHv EUR 2 Mio. Das Unternehmen erhob dagegen Bescheidbeschwerde an das BVwG, das die Geldbuße auf EUR 500.000 herabsetzte.

Das BVwG hat erwogen: Ergebnisse des amtswegigen Prüfverfahrens können in ein Verwaltungsstrafverfahren einbezogen werden. Das Recht, sich selbst nicht einer strafbaren Handlung bezichtigen zu müssen, kommt einer juristischen Person nicht zu. Die Einwilligungserklärungen entsprechen nicht den Anforderungen des Art 7 Abs 2 DSGVO, weil sie nicht klar und verständlich gestaltet, und damit nicht freiwillig waren. Die Einwilligungserklärung muss optisch und sprachlich transparent ausgestaltet sein, insb wenn sie verschiedene Sachverhalte betrifft. Das Unternehmen hat den Gesamteindruck vermittelt, dass es sich eigentlich um eine Unterschrift für die Teilnahme am Kundenbindungsprogramm und nicht um eine Einwilligung zum Profiling handelt.

Die Verarbeitung kann nicht auf Art 6 Abs 1 lit f oder Art 6 Abs 4 DSGVO gestützt werden, weil die betroffenen Personen nicht mit einer solchen Verarbeitung rechnen mussten. Das Unternehmen hat fahrlässig gehandelt, weil den Geschäftsführern und/oder dem Datenschutzbeauftragten die Rechtswidrigkeit der Einwilligungserklärungen hätte auffallen müssen. Die Geldbuße ist jedoch zu hoch angesetzt, weil die Verhältnismäßigkeit und die wirtschaftliche Leistungsfähigkeit des Unternehmens sowie mildernde Umstände zu berücksichtigen sind.

Die Revision an den VwGH ist zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage von grundsätzlicher Bedeutung abhängt, insb zu Art 7 DSGVO und zum entschuldbaren Verbotsirrtum im Anwendungsbereich der DSGVO.

Die mündliche Weitergabe personenbezogener Daten fällt nicht in den sachlichen Anwendungsbereich der DSGVO, ist aber anhand des Maßstabs des § 1 DSG zu prüfen. Eine Information über den stationären Aufenthalt einer Patientin ist ein Gesundheitsdatum iSd Art 4 Z 15 DSGVO. Die allgemeine Verfügbarkeit von Daten schließt die Verletzung eines Geheimhaltungsinteresses iSd § 1 DSG ausdrücklich aus. Daten, die nur einem begrenzten Personenkreis offengelegt werden, sind jedoch nicht allgemein verfügbar (BVwG 12.06.2024, W211 2281442-1). Beachte: Fällt eine Datenverarbeitung in den Anwendungsbereich der DSGVO, sind auch allgemein verfügbare Daten geschützt.

Über die Beschwerde einer Sportlerin gegen eine Entscheidung der Unabhängigen Dopingkontrolleinrichtung (NADA) legte die Unabhängige Schiedskommission (USK) mehrere Fragen hinsichtlich der Vereinbarkeit von Anti-Doping-Regelungen mit der DSGVO dem EuGH vor. Der EuGH wies die Fragen der USK mit Urteil vom 05.2024, C‑115/22, NADA, zurück, weil die USK kein Gericht iSd Art 267 AEUV ist. Das BVwG setzte ein bei ihm anhängiges Verfahren bis zur Entscheidung des EuGH aus. Nunmehr hat das BVwG das bei ihm anhängige Verfahren fortgesetzt und als Gericht iSd Art 267 AEUV dem EuGH die Fragen der USK nochmals vorgelegt. Den Fragen der USK stellt das BVwG jedoch eine weitere Frage voran, die die Schlussanträge der Generalanwältin reflektieren. Die Generalanwältin hinterfragte, ob die Durchführung des Anti-Doping-Rechts in den Anwendungsbereich des Unionsrechts und somit in jenen der DSGVO fällt (BVwG 28.06.2024, W108 2250401-1).

Von einem unvertretenen juristischen Laien kann die rechtliche Einordnung und Anführung der korrekten Norm nicht erwartet werden (BVwG 17.06.2024, W287 2285759-1).

Entsteht nach Ansicht des Beschuldigten aufgrund der Zusammenstellung personenbezogener Daten eine inhaltliche Irreführung, kann er Fehlannahmen durch Vorbringen im Einklang mit der Strafprozessordnung richtigstellen. Ein Recht auf Vervollständigung seiner Daten im Ermittlungsakt kommt ihm nicht zu (BVwG 12.06.2024, W605 2280077-1).

Wird das Recht auf Löschung geltend gemacht, kann eine Verantwortliche bis zum Abschluss des Verfahrens vor der DSB die behauptete Rechtsverletzung nachträglich beseitigen, indem sie den Anträgen des Betroffenen entspricht (§ 24 Abs 6 DSG). Diese Bestimmung ist sinngemäß auch im Verfahren beim BVwG anzuwenden (§ 17 VwGVG). Bei materieller Klaglosstellung wegen Wegfalls des Rechtsschutzinteresses ist das Verfahren einzustellen (BVwG 20.06.2024, W211 2225136-1).

Die DSB kann eine Verletzung des Grundrechts auf Geheimhaltung nur ex post betrachtet feststellen, weshalb eine Datenschutzbeschwerde über eine möglicherweise in der Zukunft eintretende Verletzung bereits aus diesem Grund abzuweisen ist (BVwG 27.05.2024, W137 2288754-1).

Am 07.2024 wurde die Verordnung über künstliche Intelligenz "VO (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13.06.2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828" im Amtsblatt der EU veröffentlicht. Anm: Einen kurzen Überblick finden Sie unter folgendem Link.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

VwGH 06.06.2024, Ra 2022/04/0008

Die Teilnehmerin einer Gruppe zur Stressbewältigung erachtete sich in ihrem Recht auf Geheimhaltung verletzt, weil die Betreiberin der Gruppe Chatverläufe an den Ex-Freund der Teilnehmerin weitergeleitet haben soll. Die DSB gab der Datenschutzbeschwerde der Teilnehmerin statt. Der von der Betreiberin der Gruppe erhobenen Bescheidbeschwerde gab das BVwG insofern statt, als es den Bescheid behob und die Angelegenheit zur Verfahrensergänzung und Erlassung eines neuen Bescheids an die DSB zurückverwies. Aufgrund der dagegen erhobenen außerordentlichen Amtsrevision der DSB behob der VwGH den Zurückverweisungsbeschluss des BVwG wegen Rechtswidrigkeit des Inhalts.

Der VwGH hat erwogen: Die nach § 28 Abs 3 Satz 2 VwGVG bestehende Zurückverweisungsmöglichkeit stellt eine Ausnahme von der grundsätzlichen meritorischen Entscheidungszuständigkeit der Verwaltungsgerichte dar. Das BVwG wich insofern von der stRsp des VwGH ab, als die Voraussetzungen für eine Aufhebung und Zurückverweisung der Angelegenheit an die DSB mangels gravierender Ermittlungslücken nicht vorlagen. Eine Zurückverweisung ist regelmäßig nur dann zulässig, wenn die Verwaltungsbehörde jegliche erforderliche Ermittlungstätigkeit unterlassen hat, die zur Ermittlung des maßgebenden Sachverhalts gesetzten Ermittlungsschritte völlig ungeeignet waren oder von der Verwaltungsbehörde bloß ansatzweise ermittelt wurde. Solche – einen Zurückweisungsbeschluss rechtfertigende – Mängel haften dem Ermittlungsverfahren nicht an. Das BVwG hätte die von ihm als notwendig angesehenen ergänzenden Ermittlungsschritte – etwa im Rahmen einer mündlichen Verhandlung – nachholen können.

Die DSB hat den Ex-Freund der Teilnehmerin als Zeugen einvernommen. Auf Grundlage dieser Ermittlungsergebnisse hat die DSB – nach Einräumung des Parteiengehörs – Sachverhaltsfeststellungen getroffen und diese ihrer Entscheidung zugrunde gelegt. Zu beurteilen, ob die Beweiswürdigung der DSB im Zusammenhang mit der Weiterleitung der Chats ggf verfehlt war, gehört zu den zentralen Aufgaben des BVwG.

Ebenso wenig kann die Frage, ob die Haushaltsausnahme nach Art 2 Abs 2 lit c DSGVO anzuwenden gewesen wäre, eine Zurückverweisung rechtfertigen. Diese Rechtsfrage hat das BVwG selbst zu beantworten.

Die DSB hat von sich aus den vollständigen und wahren entscheidungsrelevanten Sachverhalt durch Aufnahme aller nötigen Beweise festzustellen. Wenn die DSB jegliche erforderliche Ermittlungstätigkeit unterlässt, nur völlig ungeeignete Ermittlungsschritte setzt oder bloß ansatzweise ermittelt, darf das BVwG das Verfahren an die DSB zurückverweisen (VwGH 06.06.2024, Ra 2023/04/0280).

Die Zurückziehung einer Datenschutzbeschwerde nach Entscheidung durch das BVwG und somit nach Eintritt der Rechtskraft ist nicht mehr möglich (VwGH 06.06.2024, Ra 2023/04/0004; Ra 2023/04/0006).

BVwG 23.04.2024, W292 2248672-1

Eine Kreditauskunftei übermittelte Informationen zur Bonität eines Betroffenen in Form eines Scoring-Wertes an einen Energieversorger, wobei sie dem Betroffenen eine "mittlere" Bonität zuschrieb, obwohl keine sachlich begründenden Informationen hierfür vorlagen. Aufgrund dieses Bonitätsscores verweigerte der Energieversorger einen Vertragsabschluss mit dem Betroffenen. Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB und machte mehrere Verletzungen seiner Rechte durch die Kreditauskunftei geltend, insbesondere das Recht auf Auskunft, das Recht auf Datenrichtigkeit, das Prinzip der Verarbeitung nach Treu und Glauben und das Recht, keiner automatisierten Entscheidung unterworfen zu werden.

Die DSB stellte fest, dass die Kreditauskunftei gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben verstoßen hatte, weil die Berechnung ohne Vorhandensein von konkreten Zahlungserfahrungsdaten zur Person des Betroffenen durchgeführt wurde. Zudem sah die DSB einen Verstoß gegen den Grundsatz der Transparenz vorliegen, weil die Kreditauskunftei es unterlassen hatte, verständlich darzustellen, ob sie die personenbezogenen Daten auch zu anderen Zwecken als zur Ausübung des Gewerbes der Kreditauskunftei verarbeite. Der Betroffene wurde nach Ansicht der DSB auch in seinem Recht auf Geheimhaltung und Auskunft verletzt, weil seine personenbezogenen Daten unrechtmäßig verarbeitet wurden und die Kreditauskunftei ihm keine Auskunft gemäß Art 15 Abs 1 lit h DSGVO erteilt hatte. Die gegen diesen Bescheid erhobene Bescheidbeschwerde der Kreditauskunftei war zum Teil erfolgreich.

Das BVwG hat erwogen: Die Kreditauskunftei hat bei der Berechnung des Bonitätsscores eine automatisierte Entscheidungsfindung iSd Art 22 DSGVO durchgeführt, weil sie einen auf personenbezogene Daten gestützten Wahrscheinlichkeitswert in Bezug auf die Fähigkeit der Betroffenen, künftige Zahlungsverpflichtungen zu erfüllen, automatisiert erstellt hat und der Energieversorger aufgrund dessen den Vertragsabschluss verweigert hat. Damit hat die automatisierte Entscheidungsfindung den Energieversorger maßgeblich geleitet und rechtliche Wirkung für den Betroffenen entfaltet bzw ihn in ähnlicher Weise erheblich beeinträchtigt.

Es waren keine Ausnahmetatbestände iSd Art 22 Abs 2 DSGVO erfüllt. Auch den weitergehenden Informationspflichten nach Art 13 Abs 2 lit f und Art 14 Abs 2 lit g DSGVO ist die Kreditauskunftei nicht nachgekommen, weil sie dem Betroffenen keine Informationen über die involvierte Logik sowie Tragweite und die angestrebten Auswirkungen der Verarbeitung zur Verfügung gestellt hat. Es war aus den Bonitätsauszügen auch nicht ersichtlich, dass der darin enthaltene Bonitätsscore ohne Zahlungserfahrungsdaten berechnet wurde. Die Kreditauskunftei verstieß somit gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben.

Der Ausspruch der DSB, wonach die Kreditauskunftei gegen den Grundsatz der Transparenz verstoßen hat, war aufzuheben, weil dieser Verstoß von der Datenschutzbeschwerde nicht umfasst war und die Kreditauskunftei in ihrer zuvor ergangenen Stellungnahme klar angegeben hatte, zu welchen Zwecken sie die Daten verarbeitet. Auch eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG wurde in der Datenschutzbeschwerde nicht geltend gemacht, weshalb auch der hierzu ergangene Spruchpunkt des Bescheides der DSB ersatzlos zu beheben war.

Die Kreditauskunftei vertrat die Ansicht, dass sie keine automatisierte Entscheidungsfindung durchführe, weshalb kein Anspruch des Betroffenen auf Auskunft bestehe. Damit ist sie dem Auskunftsersuchen des Betroffenen bis zum Abschluss des Verfahrens nicht vollständig nachgekommen und hat ihn in seinem Recht auf Auskunft gemäß Art 15 DSGVO verletzt. Das Argument der Kreditauskunftei, dass die verlangten Informationen zum Bonitätsscore Geschäftsgeheimnisse sind, schließt den Auskunftsanspruch nicht absolut aus. Dennoch müssen Informationen über die Berechnung des Bonitätsscores zumindest grundlegend bereitgestellt werden, ohne dass hierbei Geschäftsgeheimnisse preisgegeben werden müssen.

BVwG 28.05.2024, W176 2249328-1

Eine Muttergesellschaft ist Alleingesellschafterin einer Tochtergesellschaft, die ein Kundenbindungsprogramm betreibt. In der Konzeptionsphase legte der Vorstand der Muttergesellschaft die Strategie für ein Multipartner-System fest, das die Tochtergesellschaft durch das Kundenbindungsprogramm ohne Involvierung der Muttergesellschaft umsetzte. In Folge eines amtswegigen Prüfverfahrens leitete die DSB ein Verwaltungsstrafverfahren gegen die beiden Gesellschaften als gemeinsame Verantwortliche ein. Die gemeinsame Verantwortlichkeit wurde damit begründet, dass die Muttergesellschaft die strategische Entscheidung traf, ein Multipartner-Kundenbindungsprogramm einzurichten, die Tochtergesellschaft zu gründen und diese finanziell und personell zu unterstützten. Den Gesellschaften wurde vorgeworfen, dass die Einwilligungsformulare für die Datenverarbeitung zu Zwecken des Profiling nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung entsprechen würden und die Datenverarbeitung daher auf keinen Erlaubnistatbestand des Art 6 Abs 1 DSGVO gestützt werden könne. Der Muttergesellschaft wurde eine Geldbuße iHv EUR 8 Mio und ein Verfahrenskostenbeitrag von EUR 800.000 auferlegt. Das BVwG hat das Straferkenntnis behoben und das Verwaltungsstrafverfahren eingestellt.

Das BVwG hat erwogen: Die gemeinsame Verantwortlichkeit erfordert ein kooperatives Zusammenwirken zweier Akteure. Ein solches ist nicht erkennbar, weil die Muttergesellschaft seit Abschluss der Konzeptionsphase nicht mehr in die maßgeblichen Vorgänge involviert war und sie keinen Einfluss auf konkrete Datenverarbeitungszwecke und -mittel nehmen konnte.

Die Muttergesellschaft ist nicht Verantwortliche für die Datenverarbeitung, weil sich ihre Tätigkeit auf die strategische Festlegung eines Multipartner-Kundenbindungsprogramms und der Gründung der Tochtergesellschaft in der Konzeptionsphase beschränkte. Ab der Aufnahme des operativen Geschäftsbetriebs hat sie keine Leitungs- und Kontrolltätigkeiten in Bezug auf die Tochtergesellschaft vorgenommen oder veranlasst. Es fehlt eine gewollte und bewusste Zusammenarbeit der Beteiligten, die wesentlichen Entscheidungen über Zwecke und Mittel der Datenverarbeitung zu treffen, sodass keine gemeinsame Verantwortlichkeit vorliegt.

BVwG 28.06.2023, W214 2245388-1

Eine Bürgerin fühlte sich von dem Bundesminister für Digitalisierung und Wirtschaftsstandort als Stammzahlenregisterbehörde (Stammzahlenregisterbehörde) in ihrem Recht auf Geheimhaltung und Löschung verletzt, weil personenbezogene Daten zu ihrer Person im Ergänzungsregister für sonstige Betroffene (ERsB) eingetragen wurden und ihrem Löschersuchen nicht nachgekommen wurde. Die Eintragung war ihrer Ansicht nach nicht notwendig, weil ihre Daten schon im Zentralen Melderegister (ZMR) erfasst waren und sie keine unternehmerische Tätigkeit ausübt. Die Datenschutzbeschwerde blieb erfolglos. Die gegen den Bescheid der DSB erhobene Bescheidbeschwerde der Bürgerin hatte Erfolg.

Das BVwG hat erwogen: Die Stammzahlenregisterbehörde führt neben dem Ergänzungsregister für natürliche Personen (ERnP) auch das ERsB für alle anderen Betroffenen.

Die Bürgerin wurde als Einzelunternehmerin ins ERsB eingetragen, weil die Stammzahlenbehörde von einem weiten Unternehmensbegriff ausgeht, der natürliche Personen, Personengesellschaften, Personengemeinschaften und Personenvereinigungen, die unternehmerisch tätig sind, umfasst.

Die Bürgerin bezog zwar für eine Tätigkeit Funktionsgebühren, die gemäß § 29 Z 4 EStG als sonstige Einkunft zu den außerbetrieblichen Einkunftsarten aus nicht selbständiger Arbeit zählen. Eine unternehmerische Tätigkeit entfaltete sie jedoch nicht. Die Eintragung der Bürgerin ins ERsB erfolgte daher zu Unrecht.

BVwG 03.06.2024, W292 2282284-1

Die Ordinationsassistentin einer Fachärztin für Psychiatrie und psychotherapeutische Medizin versendete eine Terminerinnerung versehentlich mittels Gruppentextnachricht an 27 Patienten. Dadurch legte sie personenbezogene Daten, einschließlich Gesundheitsdaten der Patienten, für alle Empfänger offen. Die DSB verhängte eine Geldbuße iHv EUR 6.000 und einen Verfahrenskostenbeitrag von EUR 600. Das BVwG gab der Bescheidbeschwerde der Fachärztin teilweise statt und senkte die Geldbuße auf EUR 4.000 und den Verfahrenskostenbeitrag auf EUR 400 herab.

Das BVwG hat erwogen: Die Telefonnummern der Patienten sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Die Information über die Inanspruchnahme des Dienstleistungsangebots der Fachärztin durch die Patienten ist als Gesundheitsdatum iSd Art 4 Z 15 DSGVO zu qualifizieren. Diese Daten lassen zumindest indirekt auf eine psychische Erkrankung der Empfänger schließen. Die Fachärztin hat die unbefugte Offenlegung der Daten nicht unverzüglich und innerhalb von 72 Stunden der DSB gemeldet (Art 33 Abs 1 DSGVO).

Die Informationen aus der Gruppen-Textnachricht können zu physischen, materiellen oder immateriellen Schäden für die Patienten führen. Darüber hinaus erfordern Gesundheitsdaten ein besonderes Maß an Sorgfalt. Diese Informationen unterliegen einem besonderen Geheimhaltungsinteresse. Es ist die Pflicht der Fachärztin, ihre Mitarbeiter ausreichend zu schulen und für die Einhaltung der datenschutzrechtlichen Vorgaben zu sorgen. Die Fachärztin ergriff keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit. Weiters führte die Fachärztin auch kein Verzeichnis über ihre Verarbeitungstätigkeiten (Art 30 DSGVO).

Nach Art 83 Abs 1 DSGVO müssen Aufsichtsbehörden sicherstellen, dass Geldbußen wirksam, verhältnismäßig und abschreckend sind. Bei der Bemessung sind Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens und die Kategorie der betroffenen Daten zu berücksichtigen. Die Verknüpfung der offengelegten Telefonnummern mit namentlich identifizierbaren Personen ist mit einem gewissen Aufwand verbunden, was eine geringfügige Minderung der Schwere des Eingriffs und eine Reduktion der Geldbuße rechtfertigt. Für Terminerinnerungen per SMS muss eine ausdrückliche Einwilligung der Patienten gemäß Art 9 Abs 2 lit a DSGVO vorliegen. Die Fachärztin war sich dieser Vorgaben nicht bewusst und setzte keine sichere technische Lösung ein. Diese Handlungen und Unterlassungen sind als grob fahrlässiges Verhalten zu qualifizieren. Mildernd wirken die fahrlässige Begehung, die Unbescholtenheit, die Mitwirkung im Ermittlungsverfahren, die Anpassung der technischen Einstellungen und die nachträgliche Erstellung eines Verarbeitungsverzeichnisses.

BVwG 06.06.2024, W108 2280859-1

Nachdem das E-Mail-Postfach eines Arztes und des von ihm geführten Labors kompromittiert wurde, gelangte eine Excel-Liste mit tausenden PCR-Test-Ergebnissen und personenbezogenen Daten an zwei Medienunternehmen. Nachdem die Medienunternehmen über die geleakten Ergebnisse berichteten, beantragte das Labor die Löschung der E-Mail und nach Ablehnung durch die Medienunternehmen stellten der Arzt und das Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht vollständig nachkamen. Vor diesem Hintergrund brachten der Arzt und das Labor Datenschutzbeschwerden bei der DSB ein. Der Arzt behauptete eine Verletzung in seinem Recht auf Auskunft und das Labor in seinem Recht auf Löschung, Geheimhaltung und Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie gemäß § 9 DSG dem Medienprivileg unterliegen würden und den Arzt und das Labor nicht in ihren Rechten verletzt hätten. Die DSB wies die Datenschutzbeschwerden zunächst mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin der Arzt und das Labor Bescheidbeschwerden an das BVwG richteten. Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein, welches zur Aufhebung des § 9 Abs 1 DSG wegen Verfassungswidrigkeit führte. In weiterer Folge entschied die DSB, dass keine Verletzung des Rechts auf Löschung vorlag und stellte fest, dass die Medienunternehmen gewisse Informationen aufgrund des § 31 Abs 1 MedienG nicht zu beauskunften hatten, hinsichtlich anderer Informationen jedoch den Arzt und das Labor in ihren Rechten auf Auskunft verletzt haben. Daraufhin erhoben sowohl die Medienunternehmen als auch der Arzt und das Labor Bescheidbeschwerden an das BVwG. Das BVwG wies sämtliche Bescheidbeschwerden ab.

Das BVwG hat erwogen: Der Begriff "personenbezogene Daten" ist weit zu verstehen. Auch wenn die Excel-Liste personenbezogene Daten Dritter enthielt, war die Medienberichterstattung mit dem Arzt und dem Labor verknüpft. Daher wurden auch personenbezogene Daten des Arztes und des Labors verarbeitet. Das Labor ist, entgegen der Annahme der Medienunternehmen, als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre.

Das Interesse des Arztes und des Labors auf Auskunft überwog dem Geheimhaltungsinteresse der Medienunternehmen jedoch nicht, weil eine Berufung auf das Redaktionsgeheimnis auch außerhalb des § 31 Abs 1 MedienG möglich ist. Dies gilt vor allem mit Blick auf Art 10 EMRK, weil Informanten die Medien nicht unterstützen könnten, wenn kein Schutz journalistischer Quellen im Rahmen der Pressefreiheit garantiert wäre. Da den Medien in ihrer Rolle als "public watchdog" eine wichtige Kontroll- und Aufklärungsfunktion zukommt, muss ein dringendes Erfordernis des öffentlichen Interesses vorliegen, um in den Schutz journalistischer Quellen einzugreifen. Ein solches Interesse besteht hier nicht.

Unter "Stammdaten", die von den Medienunternehmen zu beauskunften sind, fallen persönliche Angaben wie Namen, Adresse, Geburtsdatum, Sozialversicherungsnummer und Kontaktdaten, nicht jedoch das gesamte journalistische Recherchematerial. Das Redaktionsgeheimnis wird durch das Offenlegen dieser Daten nicht verletzt.

Da dem Grundrecht auf Datenschutz unmittelbare Horizontal- bzw Drittwirkung zukommt, können auch Private verpflichtet sein. Das Untätigbleiben der Medienunternehmen mit der Begründung, dass juristischen Personen kein Auskunftsrecht zukommt, war rechtswidrig, weil die Betroffenenrechte gemäß Art 12 f DSGVO analog auf juristische Personen anzuwenden sind.

Das Erleichterungsgebot gemäß Art 12 Abs 2 DSGVO ist eine Strafnorm. Ein Verstoß dagegen kann gemäß Art 83 Abs 5 lit b DSGVO mit einer Geldbuße geahndet werden. Der Verantwortliche hat jedoch nur leicht fahrlässig gehandelt, weshalb die Strafe von EUR 9,5 Mio auf EUR 500.000 herabzusetzen war (BVwG 18.04.2024, W137 2248575-1).

Die DSB ist berechtigt, die Herausgabe personenbezogener Daten eines Beschwerdeführers vom Verantwortlichen zu verlangen, wenn die angeforderten Daten für das Erheben des maßgeblichen Sachverhalts erforderlich sein können. Der Verantwortliche hat dem Auftrag der DSB auf Herausgabe der Daten im Rahmen seiner Mitwirkungspflicht gemäß Art 31 DSGVO zu entsprechen (BVwG 13.05.2024, W101 2249293-1).

Wird in einem Einspruch gegen eine Strafverfügung nur die Herabsetzung der Strafe beantragt, tritt Teilrechtskraft hinsichtlich des Schuldspruchs ein (BVwG 06.05.2024, W108 2281246-1).

Krankheitsrisiken sind Gesundheitsdaten. Daher ist das Datum "Impfstatus" als Gesundheitsdatum iSd Art 9 Abs 1 DSGVO zu qualifizieren (BVwG 11.07.2023, W214 2257639-1).

Kommt dem Wiederaufnahmewerber mangels Obsorge keine Vertretungsbefugnis für seinen minderjährigen Sohn zu, fehlt ihm die Legitimation zur Erhebung eines Antrags auf Wiederaufnahme (BVwG 12.06.2024, W211 2267466-2; W211 2280883-2).

Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheides und damit (nachträglich) dessen Rechtswidrigkeit. Das BVwG hat daher den bekämpften Bescheid (ersatzlos) zu beheben (BVwG 06.06.2024, W287 2268623-1).

Der EuGH hat mit Urteil vom 16.01.2024, C-33/22, Österreichische Datenschutzbehörde, die Zuständigkeit der DSB für Datenverarbeitungstätigkeiten der Gesetzgebungsorgane bejaht, weil keine andere Aufsichtsbehörde für die Überwachung der entsprechenden Datenverarbeitungstätigkeiten eingerichtet war.

Der Gesetzgeber hat am 04.07.2024 mit einem Gesetzgebungspaket reagiert (BGBl I 2024/68; BGBl I 2024/70; BGBl I 2024/71). Es sind ua das Bundes-Verfassungsgesetz (B-VG), das DSG, das Informationsordnungsgesetz, das Rechnungshofgesetz und das Volksanwaltschaftsgesetz novelliert worden.

Mit dem Gesetzgebungspaket wird insb ein "Parlamentarisches Datenschutzkomitee" eingerichtet, das neben der DSB als nationale Aufsichtsbehörde fungieren wird. Das Parlamentarische Datenschutzkomitee wird für Datenschutzbeschwerden gegen den Nationalrat, den Bundesrat, den Rechnungshof, die Volksanwaltschaft sowie die obersten Organe des Nationalrats, des Bundesrats, des Rechnungshofs sowie der Volksanwaltschaft zuständig sein.

Durch Landesverfassungsgesetz kann die Zuständigkeit des Parlamentarischen Datenschutzkomitees auf die Datenverarbeitungstätigkeiten

Am 07.2024 wurde das Bundesgesetz zur Einrichtung einer nationalen Behörde für die Cybersicherheitszertifizierung (Cybersicherheitszertifizierungs-Gesetz, CSZG, BGBl I 2024/78), mit dem eine nationale Behörde für die Cybersicherheitszertifizierung eingerichtet wurde, kundgemacht.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuGH in der Rs C-461/22, MK (Curateur professionnel), veröffentlicht. Geklärt wird, ob ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter) bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

EGMR 25.06.2024, 23215/21, Vlaisavljevikj/Nordmazedonien

Der Betroffene machte bei der zuständigen nationalen Behörde (Direktion für den Schutz personenbezogener Daten) eine Datenschutzbeschwerde geltend und brachte vor, durch einen Wärmelieferanten in seinem Recht auf Schutz seiner personenbezogenen Daten verletzt worden zu sein. Dieser soll dem Betroffenen Rechnungen geschickt haben, obwohl in seiner Wohnung keine Heizungen installiert waren und er keinen Vertrag mit dem Wärmelieferanten abgeschlossen hatte. Der Wärmelieferant stütze sich auf das nationale Energiegesetz und brachte vor, die Verarbeitung sei rechtmäßig gewesen, weil er die Daten vom vorherigen Versorger erhalten hatte und berechtigt sei, die Daten zu verarbeiten, um Zahlungen einzuziehen. Die Direktion wies die Datenschutzbeschwerde ab und argumentierte dies mit dem berechtigten Interesse des Wärmelieferanten, die Wärmemenge in Rechnung zu stellen und erachtete die Verarbeitung als rechtmäßig iSd Energiegesetzes.

Der Betroffene ging gegen die Entscheidung der Direktion beim Verwaltungsgericht vor und hielt fest, dass die herangezogene Bestimmung auf seinen Fall nicht anzuwenden sei, weil dies bloß für Wärmeverbraucher anzuwenden wäre. Er habe aber nie einen Vertrag geschlossen, daher sei bereits der frühere Versorger unrechtmäßig an seine Daten gelangt. Nachdem das Verwaltungsgericht dem Betroffenen Recht gab, hob das Oberverwaltungsgericht dieses Urteil wieder auf und argumentierte im Wesentlichen wie die Direktion. Der Betroffene machte nunmehr eine Verletzung des Art 8 EMRK vor dem EGMR geltend, weil die inländischen Behörden es versäumt hätten, ihn vor der rechtswidrigen Erhebung und Verwendung seiner personenbezogenen Daten zu schützen. Die nordmazedonische Regierung trug vor, dass der Betroffene die sechsmonatige Frist zur Antragstellung nicht eingehalten und den innerstaatlichen Rechtsweg nicht ausgeschöpft habe.

Der EGMR hat erwogen: Da der Betroffene nicht die zugrundeliegenden Bestimmungen selbst als verfassungsrechtlich bedenklich hielt, sondern vielmehr die Versäumnis der Behörden und somit die Anwendung des Gesetzes auf seinen Fall rügte, war keine Verfassungsbeschwerde durch den Betroffenen erforderlich. Zudem kann die Klage nicht wegen der Nichteinhaltung der sechsmonatigen Frist abgewiesen werden, weil das Abwarten des Betroffenen auf die endgültige Erledigung seiner verwaltungsrechtlichen Beschwerde angemessen war, bevor er eine Beschwerde beim EGMR eingereicht hat. Es steht jedenfalls fest, dass der Wärmelieferant die personenbezogenen Daten des Betroffenen verarbeitet hat. Dass die Daten im Grundbuch eingetragen und somit auf der Website des Grundbuchamts öffentlich zugänglich und abrufbar waren ändert nichts daran, dass die Daten dem Schutz von Art 8 EMRK unterliegen. Der Wärmelieferant war nicht berechtigt, die Daten des Betroffenen zu verarbeiten und hat ihn in seinen Rechten nach Art 8 EMRK verletzt.

Der nordmazedonische Staat hat eine positive Verpflichtung zur Gewährleistung des Rechts des Betroffenen auf Achtung des Privatlebens. Die Wärmeversorger sind durch das Energiegesetz zwar berechtigt, Daten zu verarbeiten, um das ordnungsgemäße Funktionieren des Wärmeversorgungssystems als Angelegenheit des öffentlichen Interesses zu gewährleisten. Der Betroffene machte jedoch geltend, dass er nie einen Vertrag mit einem Wärmelieferanten abgeschlossen hatte, worauf weder die Direktion noch das Oberverwaltungsgericht eingegangen sind. Damit wurde der Kern des vom Betroffenen geltend gemachten Anspruchs nie wirklich geprüft, weil es an einer umfassenden Prüfung der Frage gefehlt hat, ob die Speicherung und Verwendung der Daten in Ermangelung eines vertraglichen Verhältnisses zwischen dem Betroffenen und dem Wärmelieferanten dem legitimen Ziel des Energiegesetzes entsprachen. Vor diesem Hintergrund haben die nationalen Gerichte das Recht des Betroffenen auf Achtung seines Privatlebens nicht wirksam geschützt. Es liegt eine Verletzung des Art 8 EMRK vor. Achtung: Die Beschwerdefrist an den EGMR ist in der Zwischenzeit auf vier Monate herabgesetzt worden!

VwGH 17.05.2024, Ro 2022/04/0026

Die auf einer Bewertungsplattform für Reisen gelisteten Betreiber eines Hotels forderten die Löschung aller ihrer personenbezogenen Daten einschließlich der Bewertungen. Die Bewertungsplattformbetreiberin ist diesem Löschersuchen nicht nachgekommen, weil die Datenverarbeitung im berechtigten Interesse der Plattform und ihrer Nutzer liege und durch die Meinungsäußerungsfreiheit und das Informationsinteresse der Öffentlichkeit geschützt sei. Die DSB und das BVwG wiesen die Beschwerden der Hotelbetreiber mangels Rechtswidrigkeit der Datenverarbeitung ab. Der VwGH wies die ordentliche Revision ab.

Der VwGH hat erwogen: Die Wahrnehmung des Rechts auf Meinungs- und Informationsfreiheit kann ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Dementsprechend sieht Art 17 Abs 3 lit a DSGVO eine Ausnahme vom Recht auf Löschung vor, soweit die Datenverarbeitung zur Ausübung dieser Rechte erforderlich ist. Die Bewertungsplattform ermöglicht Meinungsäußerungen und strukturierte Suchen, was der Ausübung der Meinungsäußerungsfreiheit dient. Daher ist die damit verbundene Datenverarbeitung zur Wahrung eines berechtigten Interesses erforderlich. Dass die Daten nur für einen kleinen Teil der Öffentlichkeit relevant sind, ändert nichts an dem grundsätzlichen Vorliegen eines berechtigten Interesses, kann aber bei der Interessenabwägung berücksichtigt werden.

Die Bewertungen betreffen die Erbringung von Dienstleistungen gegenüber Dritten und damit ein Verhalten in der Öffentlichkeit. Die verarbeiteten Daten fallen daher in die Sozialsphäre der Hotelbetreiber, die einen geringeren Schutz als der Kernbereich der Privatsphäre (zB Daten zum Sexualleben) genießt. Der bloße Umstand, dass sich die Eingriffsintensität einer Datenverarbeitung durch die Änderung maßgeblicher Umstände (zB Betriebsübergabe) in Zukunft ändern kann, führt für sich genommen nicht dazu, dass eine solche Datenverarbeitung von vornherein nicht der Sozial- bzw Berufssphäre zuzurechnen wäre.

Wer Dienstleistungen öffentlich anbietet, muss mit Beobachtung und Kritik rechnen und die Bewertungsplattform auf unberechtigte Kritik prüfen. Dies ist auch zumutbar, weil die Bewertungsplattform es ermöglicht, per E-Mail über neue Bewertungen informiert zu werden und zu Kommentaren Stellung zu nehmen. Die Bewertungsplattformbetreiberin hat hinreichende Maßnahmen ergriffen, um missbräuchliche Verwendungen durch Nutzer einzuschränken bzw den Betroffenen zu ermöglichen, sich gegen Kommentare zu wehren. Da die Datenverarbeitung rechtmäßig ist, besteht kein Löschungsanspruch der Hotelbetreiber.

VwGH 28.05.2024, Ro 2021/04/0034

Eine Kreditauskunftei hatte zu einem Geschäftsführer einer GmbH unter anderem einen Hinweis über dessen Insolvenz in ihrer Wirtschaftsdatenbank gespeichert. Nach Abschluss des Insolvenzverfahrens erhob der Geschäftsführer Datenschutzbeschwerde und begehrte die Löschung des Eintrags. Die DSB wies die Datenschutzbeschwerde ab, wogegen der Geschäftsführer Bescheidbeschwerde erhob. Das BVwG gab der Bescheidbeschwerde statt und trug der Kreditauskunftei die Löschung des Eintrags auf. Die Kreditauskunftei erhob Revision beim VwGH, der diese zurückwies.

Der VwGH hat erwogen: Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach Art 6 Abs 1 lit f DSGVO verlangt eine fallbezogene Interessenabwägung zwischen den Interessen der Kreditauskunftei und den Interessen, Grundrechten und Grundfreiheiten des Geschäftsführers. Das BVwG hat die Interessenabwägung anhand der konkreten Umstände des Einzelfalls und der Rechtsprechung des EuGH vorgenommen. Die Insolvenz des Geschäftsführers der GmbH ist nicht bonitätsrelevant für die Gesellschaft, weil sie weder ein Ausschlussgrund für die Bestellung noch ein zwingender Grund für seine Abberufung ist. Die Haftung des Geschäftsführers gegenüber Dritten ist deliktischer Natur und mit der Haftbarkeit von Dienstnehmern vergleichbar. Die Verarbeitung der Insolvenzdaten des Geschäftsführers durch die Kreditauskunftei ist daher nicht zur Wahrung ihrer berechtigten Interessen oder der ihrer Kunden erforderlich. Auch überwiegt das Interesse des Geschäftsführers an der Löschung des Eintrags, weil dieser die Gefahr einer Missinterpretation seiner Bonität und seiner organschaftlichen Verpflichtungen mit sich bringt. Die Revision zeigt keine grundsätzliche Rechtsfrage auf, die eine Korrektur der Interessenabwägung des BVwG erfordert.

Die in der Marketingbranche als Sinus-Geo-Milieus bekannten anonymen statistischen Wahrscheinlichkeitswerte verwandeln sich in personenbezogene Daten, wenn sie einer natürlichen Person zugeordnet werden. Gleichzeitig gehen aus ihnen die weltanschaulichen Überzeugungen der Person hervor, der sie zugeordnet werden (irrelevant ist, dass diese Person beim Berechnen der Sinus-Geo-Milieus nicht einmal bekannt ist). Das Einhalten genehmigter Verhaltensregeln kann eine rechtswidrige Datenverarbeitung nicht rechtfertigen (VwGH 17.05.2024, Ra 2023/04/0005).

BVwG 03.06.2024, W211 2273051-1

Ein Richter des Landesgerichts für Strafsachen (LG) übermittelte aufgrund eines Ersuchens gemäß § 360 ASVG Verfahrens- und Gerichtsakten an die GKK (nunmehr ÖGK), die PVA und das Sozialministerium zur straf- und regressrechtlichen Verfolgung. Der Beschuldigte fühlte sich von der Vorgehensweise in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde bei der DSB gegen den Richter und das LG. Die DSB wies die Datenschutzbeschwerde gegen den Richter ab und gegen das LG zurück. Aufgrund der weit auszulegenden justiziellen Tätigkeit sei die DSB nicht zuständig. Dagegen erhob der Beschuldigte (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Richter ist als Rechtsprechungsorgan dem LG zuzuordnen. Die Eigenschaft eines datenschutzrechtlich Verantwortlichen kommt ihm nicht zu. Im Bereich der Gerichtsbarkeit (justizielle Tätigkeiten) kommt dabei dem jeweils verfahrensführenden Gericht die Eigenschaft als für die Verarbeitung Verantwortlichen in Betracht, wenn Verfahrensbestimmungen die konkrete gerichtliche Zuständigkeit anordnen. Da sich der Richter mit der Datenübermittlung innerhalb der Verfahrensordnung bewegte, kommt die Eigenschaft als Verantwortlicher dem LG zu.

Im Falle der Zurückweisung einer Datenschutzbeschwerde durch die DSB ist Sache des Beschwerdeverfahrens lediglich die Frage deren Rechtmäßigkeit. Hinsichtlich der Datenschutzbeschwerde gegen das LG ist die in Art 55 Abs 3 DSGVO genannte "justizielle Tätigkeit" weit zu verstehen. Diese ist nicht ausschließlich auf die Erlassung von Entscheidungen in konkreten Rechtssachen beschränkt. Auch die Datenübermittlung iS § 360 ASVG fällt unter die justizielle Tätigkeit eines Gerichts. Die DSB war für die Datenschutzbeschwerde daher nicht zuständig.

Für die Rüge einer Datenschutzverletzung durch ein Gericht in Ausübung der justiziellen Tätigkeit steht dem Beschuldigten der Rechtschutzbehelf des § 85 GOG zur Verfügung.

Der Empfänger eines "Impferinnerungsschreibens" hat seine Datenschutzbeschwerde gegen den falschen Verantwortlichen gerichtet. Richtet sich eine Datenschutzbeschwerde unzweifelhaft gegen eine bestimmte Person oder Stelle, welche die Datenverarbeitung nicht zu verantworten hat, dann ist die Datenschutzbeschwerde abzuweisen. Überdies konnte das Versenden des "Impferinnerungsschreibens" auf § 750 Abs 1a und 2 ASVG gestützt werden (BVwG 03.06.2024, W211 2263700-1).

Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung beim Zugriff auf den Patientenindex sowie auf das zentrale Impfregister für den Versand von COVID-Impferinnerungsschreiben ist beim VwGH anhängig. Zudem liegen dem BVwG etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage vor. Aus Gründen der Prozessökonomie gilt es, die gleiche Rechtsfrage nicht nebeneinander in mehreren Verfahren zu erörterten. Um das Verfahren zu vereinfachen und die Parteien vor unnötigen Revisionen beim VwGH zu schützen, wird das Verfahren ausgesetzt (BVwG 03.06.2024, W211 2262341-1).

Säumnisbeschwerden sind bei der belangten Behörde einzubringen, sofern das Verwaltungsverfahren noch bei dieser anhängig ist. Wenn die belangte Behörde bereits einen (negativen) Bescheid erlassen hat, liegt faktisch keine Säumnis vor (BVwG 05.06.2024, W252 2288636-1).

Am 06.2024 wurde das "Bundesgesetz, mit dem das Datenschutzgesetz geändert wird" kundgemacht (BGBl I 2024/62). Mit dieser Novelle wird das sogenannte Medienprivileg (§ 9 DSG) neugefasst, weil der VfGH den alten § 9 DSG als verfassungswidrig aufgehoben hat. Darüber hinaus enthält die DSG-Novelle redaktionelle Anpassungen.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuGH in der Rs C-461/22, MK (Curateur professionnel), veröffentlicht. Geklärt wird, ob ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter) bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

EGMR 20.06.2024, 8826/20, Namazli/Azerbaijan

Ein aserbaidschanischer Häftling wurde von seinem Rechtsanwalt besucht und sie berieten sich über ein vor dem EGMR anhängiges Verfahren. Der Rechtsanwalt wurde sowohl beim Betreten als auch beim Verlassen des Gefängnisgebäudes vom Gefängnispersonal durchsucht. Dabei stellte das Gefängnispersonal die schriftliche Kopie einer Stellungnahme sicher, die der Rechtsanwalt für seinen Mandanten vorbereitet hatte, um diese anschließend beim EGMR einzubringen. Das Schriftstück wurde dem Gefängnisdirektor vorgelegt, der daraufhin die Beschlagnahme anordnete. Ein Protokoll über die Beschlagnahme wurde nicht angefertigt.

In seiner Beschwerde an den EGMR behauptete der Rechtsanwalt, dass er wegen der Beschlagnahme von Unterlagen, die unter den Schutz des Anwaltsgeheimnisses fallen, in seinen Rechten gemäß Art 8 EMRK verletzt wurde. Der EGMR stellte eine Verletzung des Art 8 EMRK in Bezug auf die Beschlagnahme des anwaltlichen Schriftstücks fest und sprach dem Rechtsanwalt eine Entschädigung iHv EUR 4.500 zu.

Der EGMR hat erwogen: Die Beschlagnahme von Schriftstücken, die dem Anwaltsgeheimnis unterliegen, ist ein Eingriff in die Rechte gemäß Art 8 EMRK, der nur dann zulässig ist, wenn er gesetzlich vorgesehen ist, einem legitimen Zweck dient und in einer demokratischen Gesellschaft notwendig ist.

Das aserbaidschanische Strafvollzugsgesetz legt fest, dass ein Anwalt gegen Vorlage seines Personalausweises ein Gefängnis betreten darf. Gleichzeitig ermächtigt das Strafvollzugsgesetz das Gefängnispersonal, die Besitztümer von ein- und ausgehenden Personen zu kontrollieren, ohne dabei zwischen den verschiedenen Personenkategorien zu unterscheiden. Ferner enthielten die aserbaidschanischen Regelungen keine Vorschriften darüber, wie die Leibesvisitation durchzuführen ist.

Die Durchsuchung einer Person ist ein schwerwiegender Eingriff in die Rechte nach Art 8 EMRK und bedarf daher einer besonders präzisen gesetzlichen Grundlage. Klare und detaillierte Vorschriften zum Schutz gegen möglichen Missbrauch oder Willkür sind unerlässlich.

Die anlasslose Einsichtnahme in anwaltliche Schriftstücke ist mit dem durch Art 8 EMRK garantierten Schutz des Anwaltsgeheimnisses unvereinbar.

EuGH 20.06.2024, C-182/22 und C-189/22, Scalable Capital

Die Kläger hatten bei Scalable Capital, einer Gesellschaft deutschen Rechts, die eine Trading-App betreibt, einen Account eröffnet und dazu bestimmte personenbezogene Daten hinterlegt. Im Jahr 2020 wurden diese Daten von unbekannten Dritten abgegriffen, ohne dass bisher ein Identitätsdiebstahl oder -betrug festgestellt wurde. Die Kläger klagten auf Ersatz des immateriellen Schadens, der ihnen durch den Diebstahl ihrer personenbezogenen Daten entstanden ist.

Der EuGH hat erwogen: Eine auf Art 82 DSGVO gestützte Entschädigung in Geld soll es ermöglichen, den erlittenen Schaden in vollem Umfang auszugleichen, sodass diese Bestimmung eine ausschließliche Ausgleichsfunktion, keine Abschreckungs- oder Straffunktion hat.

Art 82 DSGVO verlangt nicht, dass die Schwere des Verschuldens bei der Bemessung der Höhe des Schadenersatzes berücksichtigt wird. Damit die finanzielle Entschädigung vollständig und wirksam ist, ist der Betrag jedoch so festzulegen, dass er den konkret aufgrund des DSGVO-Verstoßes erlittenen Schaden in vollem Umfang ausgleicht. Dieser Grundsatz des vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden könnte durch die Annahme, dass eine Körperverletzung von Natur aus schwerer wiegt als ein immaterieller Schaden, in Frage gestellt werden.

Bei fehlender Schwere des Schadens kann ein Gericht diesen ausgleichen, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.

Der Diebstahl personenbezogener Daten stellt für sich genommen keinen Identitätsdiebstahl oder -betrug dar. Der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens kann aber nicht auf Fälle beschränkt werden, in denen nachgewiesen wird, dass er anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat.

EuGH 20.06.2024, C-590/22, PS (Adresse erronée)

Zwei Mandanten einer deutschen Steuerberatungskanzlei teilten dieser ihre neue Postanschrift mit. Aufgrund eines Fehlers der Kanzlei wurde die Steuererklärung aber an die alte Adresse der Mandanten verschickt und von den neuen Bewohnern an dieser Adresse geöffnet. Die Mandanten erhoben daraufhin Klage gegen die Kanzlei und begehrten Schadenersatz zur Wiedergutmachung des immateriellen Schadens, der ihnen durch die Weitergabe ihrer personenbezogenen Daten an Dritte entstanden sein soll. Das vorlegende Gericht legte dem EuGH mehrere Fragen zu den Voraussetzungen und zur Bemessung des Schadenersatzanspruchs nach Art 82 DSGVO vor.

Der EuGH hat erwogen: Ein Verstoß gegen die DSGVO reicht für sich genommen nicht aus, um einen Anspruch auf Schadenersatz nach Art 82 Abs 1 DSGVO zu begründen. Die Betroffenen müssen auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen. Dieser Schaden muss jedoch keinen bestimmten Schweregrad erreichen. Bereits die Befürchtung, dass Daten an Dritte weitergegeben wurden, kann zur Begründung eines Schadenersatzanspruchs reichen, wenn die Befürchtung und ihre negativen Folgen ordnungsgemäß nachgewiesen wurden. Ein Nachweis der tatsächlichen Datenweitergabe ist nicht erforderlich.

Die Kriterien zur Festlegung von Geldbußen (Art 83 DSGVO) sind nicht zur Bemessung von Schadenersatz heranzuziehen. Ebenso wenig zu berücksichtigen sind nationale Vorschriften, die zwar ebenfalls personenbezogene Daten schützen sollen, aber die DSGVO nicht präzisieren.

OGH 15.05.2024, 6Ob70/24y

Der Mieter einer Wohnung versuchte im alkoholisierten Zustand sein Auto vor seiner Wohnung zu parken, wobei er über die Parkplatzbegrenzungen hinausfuhr und sein Auto dabei beschädigte. Da der Mieter in seiner Unfallmeldung an seinen Kaskoversicherer behauptete, der Unfall sei aufgrund einer plötzlich vor sein Auto laufenden Katze passiert, erhielt er zunächst eine Deckungszusage. Im Zuge einer Nachschau vor Ort fielen dem Mitarbeiter der Versicherung die vom Vermieter am Gebäude installierten Videoüberwachungskameras auf. Der Vermieter übermittelte dem Versicherer auf Anfrage die Videoaufnahmen des Unfalls, woraufhin die Versicherung die Deckung für die Reparaturkosten nun ablehnte. Der Mieter brachte daraufhin eine Klage gegen seinen Vermieter ein und begehrte die Zahlung der Reparaturkosten aus dem Titel des Schadenersatzes gemäß Art 82 DSGVO. Nach abweisenden Urteilen durch die Erst- und Berufungsgerichte brachte der Mieter eine Revision beim OGH ein.

Der OGH hat erwogen: Nach Art 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Nach § 29 DSG sind für Schadenersatzansprüche die allgemeinen Bestimmungen des bürgerlichen Rechts anwendbar. Der Mieter stützte seine Schadenersatzklage darauf, dass der Vermieter durch eine unzulässige Datenverarbeitung die Deckung der Reparaturkosten durch den Versicherer verhindert hätte.

Der Mieter versucht eine vom Versicherer zu Recht verweigerte Versicherungsleistung im Zuge einer Schadenersatzklage geltend zu machen. Dies liegt außerhalb des Schutzzweckes des Art 82 DSGVO. Auch im Lichte des Effektivitätsgebots ändert sich das Ergebnis nicht, weil eine versuchte Erschleichung einer Versicherungsleistung erfolgt ist. Die abweisenden Urteile der Vorinstanzen sind aufgrund des mangelnden Rechtswidrigkeitszusammenhangs zu bestätigen, weil der vom Mieter geltend gemachte Schadenersatzanspruch nicht vom Schutzzweck des Art 82 DSGVO umfasst ist.

Die Auskunftsverpflichtung besteht auch dann, wenn das Auskunftsersuchen aus einem datenschutzfremden Zweck gestellt wird. Dient das Auskunftsersuchen der Beschaffung von Beweismitteln für eine Rückforderungsklage, ist das weder rechtsmissbräuchlich noch schikanös. Die Auskunft ist zu erteilen (OLG Wien 10.06.2024, 14R48/24t).

BVwG 24.05.2024, W271 2269889-1

Ein Hauseigentümer erhielt von einer von ihm beauftragen Hausverwaltung eine Willkommensmail mit diversen Anhängen, darunter auch Angebote von Drittanbietern. Der Hauseigentümer wertete die E-Mail als unerlaubte Werbung und zeigte die Hausverwaltung beim Fernmeldebüro an. Die Hausverwaltung brachte vor, dass sie mit der E-Mail nicht werben wollte und dass der Hauseigentümer bei einem von ihm selbst organisierten Treffen der Zusendung einer solchen E-Mail nicht widersprochen hat. Das Fernmeldebüro verhängte aufgrund der Verletzung von § 174 Abs 3 TKG 2021 eine Strafe. Die Bescheidbeschwerde der Hausverwaltung an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Die Zusendung elektronischer Post zu Zwecken der Direktwerbung ist ohne vorherige Einwilligung des Empfängers gemäß § 174 Abs 3 TKG 2021 unzulässig.

Nicht nur die in der E-Mail selbst enthaltenen Informationen, sondern auch die in den Anhängen enthaltenen Informationen sind dabei erfasst. Für die Einordnung als Werbung ist es irrelevant, ob es sich um Informationen zu eigenen oder fremden Produkten handelt. Der Begriff der Werbung ist weit gefasst und umfasst auch Äußerungen, die für eine bestimmte Idee werben oder dafür Argumente liefern.

Das TKG enthält keine Erfordernisse, die eine Einwilligung erfüllen muss. Insofern ist auf die allgemeinen datenschutzrechtlichen Bestimmungen zurückzugreifen. Die Willensbekundung kann sowohl ausdrücklich als auch konkludent erfolgen. Entscheidend für die konkludente Willensbekundung ist, ob ein bestimmtes Verhalten unzweifelhaft als Einwilligung in den Erhalt von Werbung verstanden werden kann. Die bloße Eintragung von Kontaktinformationen in Listen oder Websites ist keine konkludente Einwilligung. Auch nicht die Nichtbeanstandung bereits erhaltener Werbesendungen. Die Anwesenheit bei einer Versammlung oder das Fehlen eines ausdrücklichen Widerspruchs zur Übermittlung von Werbung kann deshalb keine Einwilligung nach dem TKG sein, unabhängig davon, ob es sich um eine Privatperson oder einen Unternehmer handelt.

Ob es sich bei dem Adressaten und Empfänger der E-Mail um eine Firma oder Privatperson, einen Verbraucher oder Unternehmer handelt, ist für die gesetzliche Bestimmung des § 174 Abs 3 TKG 2021 unerheblich.

Bei der Zusammenstellung einer Zusendung ist die der Bedeutung der Sache gebührende Sorgfalt aufzubringen. Dabei muss ein gut funktionierendes Kontrollsystem eingerichtet sein, um die Zusendung von Werbeinhalten ohne Einwilligung zu verhindern. Durch das Nichtvorliegen eines solchen Systems handelte die Hausverwaltung zumindest fahrlässig.

BVwG 23.05.2024, W298 2284122-1

Die Unterstützerin eines Initiativantrags iSd § 6 NÖ STRÖG brachte eine Datenschutzbeschwerde bei der DSB ein, weil sie sich vom Bürgermeister in ihrem Recht auf Geheimhaltung für verletzt erachtete. Die Unterstützerin brachte vor, dass sie vom Bürgermeister zwei Schreiben erhalten hatte, eines mit Werbung der ÖVP NÖ und eines mit einer Verständigung über das Ergebnis der Behandlung des Initiativantrags. Der Bürgermeister hatte die Adressdaten der Unterstützerin aus dem Initiativantrag entnommen, den sie unterschrieben hatte. Hinsichtlich der Werbung erstattete der Datenschutzbeauftragte der ÖVP NÖ eine Stellungnahme und führte aus, dass das Schreiben von der ÖVP NÖ stammte und diese daher Verantwortliche sei. Die Daten seien rechtmäßig aus dem Wählerregister entnommen worden.

Hinsichtlich des Ergebnisses des Initiativantrags nahm der Magistratsdirektor Stellung und führte aus, dass der Bürgermeister dazu verpflichtet sei, den Zustellungsbevollmächtigten über das Ergebnis zu unterrichten, und dieser in Folge die Unterstützer zu benachrichtigen hat. Da sich dies in der Praxis jedoch als schwierig bzw unmöglich erwiesen hat, wäre § 8 Abs 4 NÖ STRÖG so auszulegen, dass die Unterstützer konkludent mit der Unterzeichnung des Initiativantrags auch in die Verständigung vom Ergebnis einwilligen würden. Die DSB gab der Datenschutzbeschwerde statt und stellte eine Verletzung des Rechts auf Geheimhaltung der Unterstützerin durch den Bürgermeister fest, welcher in Folge eine (erfolglose) Bescheidbeschwerde erhob.

Das BVwG hat erwogen: Der Bürgermeister hat als staatliche Behörde iSd § 1 Abs 2 DSG gehandelt und personenbezogene Daten der Unterstützerin verarbeitet. Für einen behördlichen Eingriff in das Grundrecht auf Datenschutz ist eine gesetzliche Grundlage erforderlich, die hinreichend determiniert ist und der Eingriff muss verhältnismäßig sein. Der Bürgermeister berief sich auf § 8 Abs 4 NÖ STRÖG, wonach er den Zustellungsbevollmächtigten des Initiativantrags vom Ergebnis der Behandlung zu verständigen hat. Diese Bestimmung erlaubt jedoch nicht die Verständigung aller Unterstützer durch den Bürgermeister, sondern verpflichtet den Zustellungsbevollmächtigten dazu. Die Verarbeitung kann daher nicht auf § 8 Abs 4 NÖ STÖG gestützt werden. Auch eine konkludente Einwilligung der Unterstützerin in die Verarbeitung ihrer personenbezogenen Daten konnte nicht angenommen werden, weil sie diese nicht in informierter Weise und unmissverständlich abgegeben hatte. Hierfür hätte sie mit einer eindeutig bestätigenden Handlung einwilligen müssen, was gerade nicht geschehen ist.

Der sachliche Anwendungsbereich der DSGVO ist gemäß Art 2 Abs 1 DSGVO auch für die nichtautomatisierte Verarbeitung personenbezogener Daten eröffnet, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Werden physische Kopien von Beilagen, die personenbezogene Daten enthalten, manuell an Teilnehmer einer Sitzung übergeben, ist der sachliche Anwendungsbereich der DSGVO eröffnet, wenn die Beilagen in einem Dateisystem abgespeichert werden (BVwG 13.05.2024, W101 2216385-1).

Anbieter von Kommunikationsdiensten sind, sofern eine befugte Behörde (Gericht, Staatsanwaltschaft, Kriminalpolizei) ein Auskunftsbegehren betreffend die Übermittlung von Kundendaten stellt, unter anderem gemäß § 181 Abs 9 TKG 2021 verpflichtet, die entsprechenden Auskünfte zu erteilen (BVwG 17.04.2024, W108 2271999-2).

Das Beschwerdeverfahren wird bis zur Entscheidung des EuGH, ob Betroffene ein subjektives Recht auf das Ergreifen bestimmter Maßnahmen durch die Aufsichtsbehörde haben, ausgesetzt (BVwG 12.04.2024, W108 2274731-1).

Das Beschwerdeverfahren wird bis zur Klärung der Frage durch den EuGH, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung dem Betroffenen gemäß Art 15 Abs 1 lit h DSGVO zur Verfügung zu stellen sind, ausgesetzt (BVwG 26.04.2024, W256 2253364-1).

Wird eine Datenverarbeitung nicht nachgewiesen, ist weder der Verantwortliche passiv- noch der Betroffene aktivlegitimiert (BVwG 22.05.2024, W298 2263508-1).

Zum Klären der Fragen, ob (i) eine Beschwerdeerhebung verfristet (präkludiert) ist und (ii) ein Auskunftsersuchen ordnungsgemäß beantwortet worden ist, ist das Bereitstellen eines Rechtsanwalts als Verfahrenshelfer mangels besondere rechtliche und technische Schwierigkeiten nicht erforderlich (BVwG 23.04.2024, W605 2289290-1).

Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren als gegenstandslos einzustellen (BVwG 29.05.2024, W101 2246818-1).

Am 06.2024 wurde die "VO (EU) 2024/1620 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Errichtung der Behörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung … " im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "VO (EU) 2024/1624 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche oder der Terrorismusfinanzierung" im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "RL (EU) 2024/1640 des Europäischen Parlaments und des Rates vom 31. Mai 2024 über die von den Mitgliedstaaten einzurichtenden Mechanismen zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche oder der Terrorismusfinanzierung, zur Änderung der Richtlinie (EU) 2019/1937 und zur Änderung und Aufhebung der Richtlinie (EU) 2015/849" im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "Richtlinie (EU) 2024/1654 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Änderung der Richtlinie (EU) 2019/1153 in Bezug auf den Zugang zuständiger Behörden zu zentralen Bankkontenregistern über das Vernetzungssystem und auf technische Maßnahmen zur Erleichterung der Verwendung von Transaktionsaufzeichnungen" im Amtsblatt der EU veröffentlicht.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

EuGH 13.06.2024, C-229/23, HYA ua II

Die bulgarische Staatsanwaltschaft (StA) stellte mehrere Anträge auf Telefonüberwachung betreffend vier Personen, die schwerer Straftaten verdächtigt wurden. Die Anträge der StA enthielten detaillierte individualisierte Begründungen. Genehmigt wurden die Anträge am Einreichungstag vom zuständigen Gericht mittels Textvorlage ohne individualisierte Begründung. Die Zulässigkeit dieser Vorgehensweise nach dem Unionsrecht wurde im Verfahren HYA ua I (EuGH 16.02.2023, C-349/21) bejaht. Das nun mit der Sache befasste Gericht stieß bei der Anwendung der vom EuGH festgehaltenen Grundsätze auf Schwierigkeiten. Gerichtliche Genehmigungen haben nach dem bulgarischen Recht ausdrücklich eine schriftliche Begründung zu enthalten, während nach dem Unionsrecht eine standardisierte gerichtliche Genehmigung in bestimmten Fällen ausreicht.

Vor diesem Hintergrund fragte das vorlegende Gericht den EuGH, ob nationale Rechtsvorschriften, die die ausdrückliche Angabe von schriftlichen Gründen in der gerichtlichen Genehmigung verlangen, unangewendet zu lassen sind.

Der EuGH hat erwogen: Das Urteil HYA ua I kann nicht dahin ausgelegt werden, dass damit ein Begründungsmodell entwickelt worden ist, welches die bulgarischen Behörden verpflichten würde, Bestimmungen des nationalen Rechts zur Genehmigung von Überwachungsmaßnahmen unangewendet zu lassen, weil sie mit dem Unionsrecht unvereinbar sind. Eine nationale Regelung, nach der gerichtliche Entscheidungen zur Genehmigung von Überwachungsmaßnahmen selbst eine ausdrückliche schriftliche Begründung enthalten müssen, entspricht den Anforderungen des Unionsrechts. Nationale Gerichte sind nicht verpflichtet, eine solche Regelung unangewendet zu lassen.

Die Anforderungen an eine ausreichende Begründung dürfen vom nationalen Recht nicht untergraben werden. Die Mitgliedstaaten sollen aber nicht von höheren nationalen Anforderungen abweichen, auch wenn dies das Unionsrecht zulassen würde.

EuGH Schlussanträge 13.06.2024, C-80/23, Ministerstvo na vatreshnite raboti

Über die Beschuldigte eines vorsätzlichen Verbrechens sollte eine Polizeiakte angelegt werden, die auch biometrische und genetische Daten erfassen sollte. Die Beschuldigte verweigerte die Zustimmung dazu, woraufhin die Polizei die zwangsweise Erstellung der Akte bei einem bulgarischen Gericht beantragte. Das Gericht hatte Zweifel an der Zulässigkeit und der Vereinbarkeit der entsprechenden bulgarischen Regelung mit den Anforderungen der Richtlinie 2016/680, insbesondere hinsichtlich der Verarbeitung sensibler Daten, und legte dem EuGH zwei Fragen zur Vorabentscheidung vor.

Der Generalanwalt hat erwogen: Die Richtlinie 2016/680 verlangt, dass die Verarbeitung besonderer Kategorien personenbezogener Daten nur in einer stark begrenzten Anzahl von Fällen als "unbedingt erforderlich", und damit zulässig, angesehen werden darf. Die Erforderlichkeit ist für den jeweils eindeutig festgelegten Zweck zu bestimmen. Die Prinzipien der Richtlinie (insb Datenminimierung) sind besonders streng zu prüfen.

Die bulgarische Regelung lässt keinen Raum für eine wirksame Beurteilung der "Erforderlichkeit" durch die zuständigen Behörden, sondern erst durch das überprüfende Gericht. Das führt zu einer diskriminierenden und generalisierten Erhebung der biometrischen und genetischen Daten der meisten beschuldigten Personen, unabhängig von der Art und Schwere der Straftat, der sie beschuldigt werden, und von den besonderen Umständen des Falles. Deshalb ist die bulgarische Regelung mit Art 10 der Richtlinie 2016/680 nicht vereinbar.

OGH 26.04.2024, 6Ob210/23k

Ein Polizist wurde bei einer Demonstration fotografiert und gefilmt. Das Video wurde auf Facebook veröffentlicht. Der Polizist wurde nicht nur des Amtsmissbrauchs bezichtigt, sondern es wurde auch zur Weiterverbreitung aufgerufen, woraufhin ein Shitstorm losbrach. Tatsächlich war der Polizist nur Glied einer polizeilichen Absperrkette und an der behaupteten Amtshandlung überhaupt nicht beteiligt. Der Beklagte teilte das Bild des Polizisten samt herabsetzendem Text auf seinem Facebook-Profil ohne Prüfung auf den Wahrheitsgehalt. Der Polizist begehrte Ersatz für den immateriellen Schaden, den er aufgrund des Shitstorms erlitten hat. Der OGH sprach ihm EUR 3.000 zu.

Der OGH hat erwogen: Schadenersatz nach der DSGVO verlangt nicht nur einen schuldhaften Verstoß gegen die jeweiligen Rechtsvorschriften und den Eintritt eines Schadens, sondern auch einen Kausalzusammenhang zwischen Verstoß und eingetretenem Schaden.

Ein Shitstorm ist ein "Sturm der Entrüstung im virtuellen Raum" mit zum Teil beleidigenden Äußerungen gegen eine Person, der durch das Zusammenwirken vieler Menschen entsteht. Ein Einzelner kann einen Shitstorm nur lostreten oder daran teilnehmen, ihn aber nicht allein bewirken. Die Schlagkraft eines Shitstorms liegt in der öffentlichen Schmähung durch viele Personen, die vom Opfer als ungerechte Verurteilung durch die Allgemeinheit erlebt wird.

Jeder Teilnehmer an einem Shitstorm begeht durch das Teilen des Postings allein eine Datenschutz- und Bildnisschutzverletzung, die einen ideellen Schaden des Polizisten verursacht. Allerdings verursacht ein Shitstorm einen anderen Schaden, der zusätzliche Ängste auslöst, insbesondere über die Verbreitung und über zukünftige Anwürfe. Die Entwicklung des Schadens ist nicht linear, weil jede schädigende Handlung in Kombination mit dem Aufruf zur Weiterverbreitung ein weiteres Verbreiterungs- und damit Schadenspotenzial eröffnet. Die Schadensentwicklung ist damit potenziell exponentiell, sodass sich der Gesamtschaden nicht in begrenzt bewertbare Einzelschäden zerteilen lässt.

Die Unaufklärbarkeit der Verursachung eines bestimmten Schadens durch einen einzelnen Beitrag führt nicht zur Entlastung des einzelnen Täters. Der Geschädigte kann den Ersatz für den gesamten Schaden im Wege der Solidarhaftung auch nur von einem Schädiger verlangen, wenn er behauptet und belegt, Opfer eines Shitstorms (gewesen) zu sein. Die Schwierigkeit, andere Schädiger ausfindig zu machen und das Risiko der Uneinbringlichkeit ist von den Schädigern zu tragen. Die einzelnen Teilnehmer am Shitstorm haben die Schadensaufteilung im Regressweg untereinander vorzunehmen.

Der Schaden des Polizisten besteht in der (i) Schädigung des Rufs sowie (ii) empfindlichen Kränkung und der dadurch bewirkten Ängste und Sorgen. Die Bemessung des Schadens ist gemäß § 273 ZPO vorzunehmen. Der Polizist hat zwar bereits Zahlungen erhalten, dennoch erhält der Polizist beim Zuspruch von (weiteren) EUR 3.000 nicht mehr als EUR 5.000. Der gesamte Zahlungsanspruch ist unzweifelhaft berechtigt.

OGH 15.05.2024, 6Ob20/24w

Im Rahmen eines Pflegschaftsverfahrens erachtete sich eine Mutter in ihrem Recht auf Geheimhaltung verletzt und begehrte ggü dem Bund die Feststellung einer Datenschutzverletzung nach § 85 Gerichtsorganisationsgesetz (GOG). Das Erstgericht wies den Antrag teilweise zurück und teilweise ab. Hiergegen wandte sich die Mutter mittels Rekurs an den OGH. Mangels Vorliegens einer erheblichen Rechtsfrage wies der OGH den Antrag der Mutter zurück.

Der OGH hat erwogen: Die Zulässigkeit des Zugangs zum OGH setzt das Vorliegen einer erheblichen Rechtsfrage nach § 85 Abs 5 GOG voraus. Über eine Beschwerde wegen einer Verletzung im Grundrecht auf Datenschutz im Rahmen der justiziellen Tätigkeit ist grundsätzlich im Verfahren außer Streitsachen zu entscheiden. Während ein Antrag im Verfahren außer Streitsachen kein bestimmtes Begehren enthalten muss, stellt § 85 Abs 3 GOG höhere Anforderung an die Präzisierungspflicht eines Beschwerdeführers. Diesen Mindestinhalt in Form einer Angabe, worin die Mutter konkret eine Verletzung in ihrem Recht auf Geheimhaltung sieht, lässt ihr Antrag vermissen. Vielmehr erschöpfte sich das Vorbringen der Mutter in der Pauschalbehauptung, vertrauliche Unterlagen aus Gerichtsakten, die ihre Person betreffen, seien an verfahrensunbeteiligte Dritte weitergegeben worden.

Bereits das Erstgericht hielt fest, dass das Vorbringen der Mutter mangels Konkretisierung nicht überprüfbar sei. Nachdem die Mutter im Rahmen des Rekurses nicht dargelegt hat, warum diese Beurteilung unrichtig sein sollte – und lediglich auf "inkriminierte Handlungen/Vorgänge" verwiesen hat –, vermag das Rechtsmittel der Mutter keine erhebliche Rechtsfrage anzusprechen.

Die Bemessung des immateriellen Schadenersatzes erfolgt nicht im Wege der Rechnungslegung, sondern im Wege des § 273 ZPO (OGH 15.05.2024, 6Ob43/24b).

BVwG 23.05.2024, W298 2255416-1

Ein Berufsdetektiv hat im Zuge einer Observierung auch Bilder von der Lebensgefährtin der auftragsgemäß zu überwachenden Person (Zielperson) angefertigt, die Beschwerde bei der DSB erhob. Die DSB stellte einen Verstoß gegen das Recht auf Geheimhaltung fest. Der Detektiv erhob Bescheidbeschwerde an das BVwG, das diese abwies.

Das BVwG hat erwogen: Der Detektiv hat die personenbezogenen Bilddaten der Lebensgefährtin ohne Rechtfertigungsgrund verarbeitet. Die Lebensgefährtin war auf den Fotos zu erkennen und wurde auch bezeichnet (Zielperson 2). Die Lebensgefährtin war sohin zumindest identifizierbar, weshalb der Detektiv ihre personenbezogenen Daten verarbeitet hat. Der Detektiv hatte kein berechtigtes Interesse an der Verarbeitung dieser Daten, weil er damit seinen Auftrag, die eigentliche Zielperson zu observieren, überschritten hat. Die Beobachtung und das Fotografieren der Lebensgefährtin waren weder für die Ausübung seines Gewerbes als Berufsdetektiv noch für die Wahrung der Interessen seines Auftraggebers erforderlich. Zudem überwog das Geheimhaltungsinteresse der Lebensgefährtin.

BVwG 28.08.2023, W214 2226813-1

Ein Fluggast brachte eine Datenschutzbeschwerde bei der DSB ein, weil er sich durch den Bundesminister für Inneres (BMI) in seinem Recht auf Geheimhaltung verletzt sah. Der BMI soll seine personenbezogenen Daten auf Grundlage des PNR-Gesetzes für die Flüge zwischen Wien und Brüssel verarbeitet haben, ohne dass ein begründeter Verdacht vorlag. Da die Verarbeitung verdachtsunabhängig erfolgt sei, war nach Ansicht des Fluggastes keine taugliche Rechtsgrundlage gegeben. Die DSB hielt fest, dass die Verarbeitung ausdrücklich gesetzlich vorgesehen ist und bloß die im PNR-G vorgesehen Daten verarbeitet wurden. Zu prüfen, ob das PNR-G grundrechtskonform ist, obliege nicht der DSB. Die DSB wies die Datenschutzbeschwerde daher ab. Daraufhin erhob der Fluggast Bescheidbeschwerde an das BVwG. Das BVwG setzte das Verfahren bis zur Vorabentscheidung des EuGH vom 21.06.2022, C-817/19, Ligue des droits humains, aus und wies die Bescheidbeschwerde in weiterer Folge ab.

Das BVwG hat erwogen: Eine Verarbeitung personenbezogener Daten iSd 3. Hauptstücks des DSG ist erfolgt. Die verarbeitende Behörde ist eine zuständige Behörde iSd § 36 Abs 2 Z 7 DSG. Bei den verarbeitenden Fluggastdaten handelt es sich um personenbezogene Daten iSd § 36 Abs 2 Z 1 DSG. Nach dem 3. Hauptstück des DSG ist eine Verarbeitung rechtmäßig, soweit sie gesetzlich vorgesehen ist und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist. § 4 Abs 1 PNR-G enthält eine Ermächtigung für die beim BMI eingerichteten Fluggastdatenzentralstelle, die bei ihr eingelangten Fluggastdaten mit Daten aus Fahndungsevidenzen und sonstigen sicherheitspolizeilichen Datenverarbeitungen abzugleichen und das Ergebnis gemeinsam mit den Fluggastdaten zu verarbeiten, wenn dies der Vorbeugung oder Verfolgung von gerichtlich strafbaren Handlungen dient.

Bei Situationen und Ergebnissen, die zu einer erhöhten Gefährdungslage führen können, darf der BMI auf der Grundlage von § 2 Abs 5 PNR-G Verordnungen erlassen. Die auf dieser Grundlage erlassene Verordnung (die PNR-V) sah eine Erstreckung des PNR-G auf EU-Flüge für einen Zeitraum von sechs Monaten vor und wurde dreimal jeweils um sechs Monate verlängert.

Laut dem EuGH darf die Verarbeitung der Fluggastdaten nur dann auf die PNR-RL und somit auf die PNR-V gestützt werden, wenn der Mitgliedstaat zum Zeitpunkt der Verarbeitung mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert war. Da der BMI glaubhaft ausführte, dass zu dem Zeitpunkt aufgrund islamistisch motivierter Terroranschläge und des Anstiegs in der Jihadisten-Szene eine solche Bedrohung vorlag, war die Verarbeitung erforderlich und verhältnismäßig. Zudem war die PNR-V zeitlich befristet und somit ein auf das absolut Notwendige beschränkte Mittel zur Terrorismusbekämpfung.

Die Zurückweisung einer Datenschutzbeschwerde ist rechtmäßig, wenn (i) die Datenschutzbeschwerde mangelhaft und der Verbesserungsauftrag daher erforderlich war, (ii) der Verbesserungsauftrag den gesetzlichen Anforderungen entsprach und (iii) der Mangelbehebungsauftrag nicht befolgt wurde. Der Betroffene machte Verletzungen in den Rechten auf Berichtigung und Geheimhaltung geltend. Zur Geltendmachung der Verletzung im Recht auf Berichtigung hätte der Betroffene die Vorkorrespondenz mit dem Verantwortlichen, in der dieses Recht ausgeübt wurde, vorzulegen gehabt. Da der Betroffene auch nach erfolgtem Verbesserungsauftrag keine Vorkorrespondenz vorlegte, war die Zurückweisung der Datenschutzbeschwerde in diesem Punkt rechtmäßig. Hinsichtlich des Geheimhaltungsrechts war die Datenschutzbeschwerde jedoch nicht mangelhaft, weshalb der Zurückweisungsbescheid der DSB zu beheben war (BVwG 16.04.2024, W605 2285496-1).

Eine Datenschutzbeschwerde ist zurückzuweisen, wenn ihr Angaben (i) zum für verletzt erachteten Recht, (ii) zum Rechtsträger, dem die Rechtsverletzung zugerechnet wird, (iii) zur Rechtzeitigkeit sowie (iv) das Begehren, die Rechtsverletzung festzustellen, fehlen. Die DSB hat im Rahmen ihrer gesetzlichen Pflicht gehandelt, indem sie einen Verbesserungsauftrag erteilt hat (BVwG 10.04.2024, W605 2275708-1).

Das Informationsschreiben zur dritten Corona-Schutzimpfung war keine Maßnahme des Krisenmanagements gemäß § 24d Abs 2 Z 5 GTelG 2012, weshalb die Abfrage der Daten aus dem Impfregister nicht darauf gestützt werden konnte (BVwG 23.05.2024, W298 2261884-1).

Die Trägerin einer Pensionsversicherung darf Gutachten, die für die Gewährung einer Berufsunfähigkeitspension erstellt wurden, einschließlich der darin befindlichen Gesundheitsdaten, an das AMS übermitteln (BVwG 16.05.2024, W252 2276589-1).

Die DSB lehnte die Behandlung der Datenschutzbeschwerde als "exzessiv" iSd Art 57 Abs 4 DSGVO ab, weil der Betroffene innerhalb von zwei Jahren 42 Beschwerdeverfahren vor der DSB anstrengte. Der VwGH legte dem EuGH die Frage vor, wie der Begriff "exzessiv" iSd Art 57 Abs 4 DSGVO auszulegen ist. Bis zur Entscheidung des EuGH war das Verfahren daher auszusetzen (BVwG 15.05.2024, W108 2284624-2).

Die DSB lehnte die Behandlung der Datenschutzbeschwerde als "exzessiv" iSd Art 57 Abs 4 DSGVO ab, weil der Betroffene innerhalb von 50 Monaten 19 Datenschutzbeschwerden gegen die Einzelabrechnungen einer Immobilienkanzlei einbrachte. Der VwGH legte dem EuGH die Frage vor, wie der Begriff "exzessiv" iSd Art 57 Abs 4 DSGVO auszulegen ist. Bis zur Entscheidung des EuGH war das Verfahren daher auszusetzen (BVwG 10.04.2024, W605 2284124-1).

DSB 06.10.2023, 2023-0.273.912

Nachdem das E-Mail-Postfach eines Arztes und des von ihm geführten Labors kompromittiert wurde, gelangte eine Excel-Liste mit tausenden COVID19-PCR-Test-Ergebnissen und personenbezogenen Daten an zwei Medienunternehmen. Nachdem die Medienunternehmen über die geleakten Ergebnisse berichteten, beantragte das Labor die Löschung der E-Mail und nach Ablehnung durch die Medienunternehmen stellten der Arzt und das Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht vollständig nachkamen. Vor diesem Hintergrund brachten der Arzt und das Labor Datenschutzbeschwerde bei der DSB ein. Der Arzt behauptete eine Verletzung in seinem Recht auf Auskunft und das Labor in seinem Recht auf Löschung, Geheimhaltung und Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie gemäß § 9 DSG dem Medienprivileg unterliegen würden und den Arzt und das Labor nicht in ihren Rechten verletzt hätten. Die DSB wies die Datenschutzbeschwerde mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin der Arzt und das Labor eine Bescheidbeschwerde beim BVwG einbrachten. Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein, welches zur Aufhebung des § 9 Abs 1 DSG wegen Verfassungswidrigkeit führte. Aufgrund der Anlassfallwirkung war § 9 Abs 1 DSG bereits vor dessen Außerkrafttreten am 01.07.2024 auf den vorliegenden Fall nicht anzuwenden.

Die DSB hat erwogen: Das Labor ist als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre. Nachdem das Medienunternehmen dem Löschersuchen nicht nachgekommen ist, hat das Labor seinen Antrag gewechselt und Auskunft darüber verlangt, welche Daten zu welchem Zweck verarbeitet werden und an wen diese übermittelt wurden. Damit bestand zum Zeitpunkt der Beschwerdeerhebung kein aufrechtes Löschungsersuchen, weshalb das Recht auf Löschung nicht verletzt wurde. Selbst bei einem aufrechten Löschungsersuchen würde gemäß Art 17 Abs 3 lit a DSGVO kein Löschungsrecht bestehen, soweit die Datenverarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Da die E-Mail das Kernelement der Medienberichterstattung war, würde dessen Löschung den Kerninhalt der Berichterstattung vernichten.

Im Hinblick auf die Auskunftsersuchen ist die Verweigerung dann gerechtfertigt, wenn die Geheimhaltungsinteressen der Medienunternehmen gegenüber dem Auskunftsinteresse des Arztes und des Labors überwiegen, wobei die Interessenabwägung für jede Datenart gesondert erfolgen muss. Eines der Medienunternehmen erteilte dem Arzt zwar eine Auskunft über seine Stammdaten. Über die im Zusammenhang mit der Medienberichterstattung verarbeiteten Daten erteilte das Medienunternehmen jedoch keine Auskunft, wodurch es den Arzt in seinem Recht auf Auskunft verletzt hat.

Die Herkunft personenbezogener Daten ist gemäß § 31 Abs 1 MedienG von Medienunternehmen nicht zu beauskunften, wenn die Daten die Person des Verfassers, Einsenders oder Gewährsmannes betreffen. Das Medienunternehmen hat die Auskunft darüber also zu Recht verweigert. Das zweite Medienunternehmen erteilte dem Arzt bloß Auskunft im Zusammenhang mit seiner Digital-Sat-Karte, nicht jedoch hinsichtlich der Medienberichterstattung und verletzte ihn somit ebenfalls in seinem Recht auf Auskunft.

Da das Labor an beide Medienunternehmen das gleiche Auskunftsersuchen gestellt hat, war eine einheitliche Vorgehensweise der Medienunternehmen hinsichtlich der Löschung der der Berichterstattung zugrundeliegenden Nachricht geboten. Der Austausch zwischen den Medienunternehmen über die an sie gerichteten Auskunftsersuchen lag im Schutzbereich der Meinungsäußerungs-/Informationsfreiheit. Das Recht der Medienunternehmen überwiegt dem Interesse des Labors auf Schutz seiner personenbezogenen Daten. Daher wurde das Labor durch den Informationsaustausch zwischen den Medienunternehmen in seinem Recht auf Geheimhaltung nicht verletzt.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

Der EGMR hatte sich mit Inhaltsdaten, die aus einem Mobiltelefon stammten, auseinanderzusetzen. Eine Anwältin händigte ihr Mobiltelefon "freiwillig" einem Untersuchungsrichter aus. Da das Mobiltelefon extensiv durchsucht wurde, stellte der EGMR neben einer Verletzung des Rechts auf Geheimhaltung der Korrespondenz und des Privatlebens auch eine Verletzung des Anwaltsgeheimnisses fest (EGMR 06.06.2024, 36559/19, Bersheda/Monaco).

EuGH Schlussanträge 06.06.2024, C-169/23, Masdi

Eine Betroffene erhielt von einer Regierungsbehörde ein Immunitätszertifikat für ihre Covid-19-Impfung. Einige darin enthaltene Daten (zB Seriennummer, Gültigkeitsdauer, QR-Code) wurden nicht bei der Person selbst erhoben oder von einer anderen Organisation erlangt, sondern von der Regierungsbehörde selbst erzeugt. Die Betroffene monierte, dass ihr kein Datenschutzhinweis bereitgestellt wurde. Die zuständige Aufsichtsbehörde wies ihre Beschwerde zurück, weil die Ausnahme nach Art 14 Abs 5 lit c DSGVO gelte, sodass die Verantwortliche nicht zur Informationserteilung verpflichtet gewesen sei. Das Rechtsmittelgericht gab der Klage der Betroffenen statt, weil die Daten von der Behörde selbst erzeugt wurden und die Ausnahme daher nicht greife. Das vorlegende Gericht befragte den EuGH zur Auslegung des Art 14 Abs 5 lit c DSGVO.

Der Generalanwalt hat erwogen: Art 14 Abs 5 lit c DSGVO enthält keine Einschränkung hinsichtlich einer bestimmten Art der Verarbeitung oder der Methode, mit der Verantwortliche die Daten erlangen. Diese Ausnahmeregelung gilt daher sowohl für Daten, die von anderen Einrichtungen stammen als auch für solche, die von Verantwortlichen selbst erzeugt wurden. Die durch die Mitgliedstaaten gewählten alternativen Unterrichtungswege für Betroffene müssen aber ebenso sicherstellen, dass diese Kontrolle über ihre Daten ausüben und ihre Rechte nach der DSGVO wahrnehmen können. Betroffene müssen daher wissen, von wem sie Informationen über die Verarbeitung ihrer Daten erhalten.

Aufsichtsbehörden sind zur Prüfung befugt, ob alle Voraussetzungen des Art 14 Abs 5 lit c DSGVO erfüllt sind. Insbesondere sind sie zur Prüfung der Frage berechtigt, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Sind die Voraussetzungen nicht erfüllt, darf die Aufsichtsbehörde Verantwortliche anweisen, der Betroffenen die in Art 14 Abs 1 bis 4 DSGVO genannten Informationen bereitzustellen. Eine solche Anweisung berührt nicht die Gültigkeit der Rechtsvorschrift, an die Verantwortliche gebunden sind.

Ist die Aufsichtsbehörde der Ansicht, dass die fragliche Rechtsvorschrift ungültig ist, kann sie ein nach nationalem Recht vorgesehenes Gerichtsverfahren anstrengen. Sieht die einschlägige Rechtsvorschrift keine geeigneten Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vor, ist die Aufsichtsbehörde befugt, der Legislative oder der Exekutive zu raten, die einschlägige Rechtsvorschrift zu ändern.

Der Begriff der "geeigneten Maßnahmen" ist im Licht des Transparenzgrundsatzes auszulegen. Unter der Ausnahmeregelung des Art 14 Abs 5 lit c DSGVO übernimmt das nationale Recht die Informationspflicht des Verantwortlichen. Es obliegt daher dem Gesetzgeber, je nach Kategorie der erlangten Daten und dem Kontext, in dem die Verarbeitung stattfindet, geeignete Maßnahmen zu bestimmen und dadurch für eine faire und transparente Verarbeitung zu sorgen.

Damit die Betroffene eine Risikoeinschätzung der Datenverarbeitung vornehmen kann, muss sie in der Lage sein, einfach nachlesen zu können, wer die Daten aus welchem Grund und auf welche Weise verarbeitet. Die Mitgliedstaaten können dabei spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen. Der nationale Gesetzgeber hat aber nicht die in Art 32 DSGVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit umzusetzen.

BVwG 02.09.2022, W292 2255476-1

Eine politisch aktive Bürgerin reichte im Rahmen der öffentlichen Auflage eines Stadtentwicklungsplans per E-Mail eine Stellungnahme ein. Diese Stellungnahme veröffentlichte sie auch selbst auf einer eigenen Homepage. Darin enthalten war ihr Name und ihre Privatadresse. Der Magistrat der Stadt veröffentlichte in Vorbereitung auf eine Gemeinderatsitzung auf der städtischen Internetseite einen Bericht, der die Stellungnahme der Bürgerin inklusive Name und Privatadresse enthielt. Durch die Veröffentlichung erachtete die sich Bürgerin in ihrem Recht auf Geheimhaltung verletzt und brachte Datenschutzbeschwerde bei der DSB ein. Die Stadt sah die Veröffentlichung als rechtmäßig an, weil es eine ausreichende Rechtsgrundlage für die Veröffentlichung gab. Zudem seien die Daten aufgrund der Veröffentlichung allgemein zugänglich, weswegen kein Geheimhaltungsinteresse der Bürgerin bestehe. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob der Magistrat der Stadt (erfolglose) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Das Grundrecht zum Schutz personenbezogener Daten ist in Art 8 der Europäischen Grundrechtecharta (GRC) geregelt. Der Anwendungsbereich knüpft an die Verarbeitung personenbezogener Daten an. Eine Ausnahme des Anwendungsbereichs betreffend "allgemein verfügbare Daten" kennt die GRC nicht. Das DSG sieht in § 1 DSG als zusätzliches Anwendungskriterium die Schutzwürdigkeit des Geheimhaltungsinteresses vor. Die DSGVO enthält dieses Kriterium jedoch nicht und es besteht auch keine Öffnungsklausel für eine solche Regelung. Die Ausnahmeregelung des § 1 DSG wird sohin aufgrund des Anwendungsvorrangs vom Unionsrecht verdrängt. Eine Veröffentlichung von Daten an einer anderen Stelle im Internet steht einem berechtigten Geheimhaltungsinteresse nicht entgegen.

Art 6 Abs 1 lit e DSGVO unterscheidet zwei Rechtfertigungstatbestände, zum einen eine Aufgabe im öffentlichen Interesse und zum anderen eine Aufgabe in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde. Die Verarbeitung muss in beiden Fällen zur Wahrnehmung der Aufgabe erforderlich sein. Die Erforderlichkeit ist dabei eng mit dem Grundsatz der Datenminimierung in Art 5 Abs 1 lit c DSGVO verbunden.

Die landesgesetzlichen Bestimmungen der §§ 24 Abs 4, Abs 6, Abs 26 NÖ STROG 2014 und § 24 Abs 9 NÖ ROG 2014 enthalten keinen gesetzlichen Auftrag oder eine Ermächtigung, anlässlich des Begutachtungsprozesses oder im Zuge der Vorbereitung von Gemeinderatssitzungen sowie der Durchführung von Gemeinderatssitzungen in Stellungnahmen enthaltene personenbezogene Daten zu veröffentlichen.

BVwG 19.04.2024, W287 2251990-1

Eine Wohnungseigentümerin richtete eine E-Mail an ihre Hausverwaltung, um Aufklärung über Ungereimtheiten bei Betriebskostenabrechnungen zu fordern. Die Hausverwaltung leitete diese E-Mail an das von ihr beauftragte Hausbetreuerunternehmen weiter, um eine Stellungnahme zu den bemängelten Rechnungen zu erhalten. Dadurch wurden dem Hausbetreuerunternehmen Name, E-Mail-Adresse und Inhalt der E-Mail der Wohnungseigentümerin offengelegt. Als die Wohnungseigentümerin von der Weiterleitung erfuhr, erhob sie Datenschutzbeschwerde bei der DSB, der die DSB stattgab. Die Bescheidbeschwerde der Hausverwaltung blieb erfolglos.

Das BVwG hat erwogen: Die Hausverwaltung übermittelte personenbezogene Daten der Wohnungseigentümerin (Name, E-Mail-Adresse und Inhalt der E-Mail) an das Hausbetreuungsunternehmen. Diese Daten sind eindeutig der Wohnungseigentümerin zuzuordnen und nicht allgemein verfügbar, weshalb sie ein schutzwürdiges Interesse an diesen Daten hat. Daran ändert auch die Tatsache nichts, dass dem Hausbetreuungsunternehmen Name und E-Mail-Adresse der Wohnungseigentümerin bereits vorher bekannt waren, zumal auch die spezifische Information über die Beanstandung der Abrechnung des Hausbetreuungsunternehmens offengelegt wurde.

Die Wohnungseigentümerin willigte in die Datenverarbeitung nicht ein. Die bloße Bitte, die Themen mit dem Hausbetreuungsunternehmen zu klären, ist keine Einwilligung. Auch eine allgemeine Datenschutzklausel im Wohnungseigentumsvertrag erfüllt nicht die spezifischen Anforderungen an eine Einwilligung. Zur Erfüllung vertraglicher Verpflichtungen war die Datenverarbeitung nicht notwendig, weil eine Klärung der Anliegen auch ohne Offenlegung der Identität erfolgen kann.

Die Hausverwaltung kann sich auch nicht auf ein allfälliges berechtigtes Interesse berufen, weil eine anonymisierte Klärung der Fragen möglich gewesen wäre. Zudem verfügte die Wohnungseigentümerin über die Kontaktdaten des Hausbetreuerunternehmens selbst. Sie hätte daher die Themen auf direktem (nicht anonymen) Weg mit dem Hausbetreuerunternehmen klären können, wenn sie das gewollt hätte.

BVwG 19.04.2024, W287 2276988-1

Ein Betroffener ersuchte um die Löschung seiner bonitätsrelevanten Daten aus der Bonitätsdatenbank einer Kreditauskunftei. Die Kreditauskunftei kam dem Ersuchen nicht nach. Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB und machte die Verletzung seiner Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch geltend. Die Kreditauskunftei bot dem Betroffenen an, die Daten bloß für interne buchhalterische Zwecke zu speichern und nicht mehr an Dritte weiterzugeben. Nachdem die siebenjährige abgabenrechtliche Aufbewahrungsfrist verstrichen war, löschte die Kreditauskunftei die bonitätsrelevanten Daten des Betroffenen gänzlich. Der Betroffene hielt an seiner Datenschutzbeschwerde jedoch weiterhin fest, weil die Löschung zu spät erfolgt sei. Die DSB wies die Datenschutzbeschwerde als unbegründet ab, woraufhin der Betroffene eine (erfolglose) Bescheidbeschwerde erhob.

Das BVwG hat erwogen: Das Recht auf Löschung umfasst kein Recht auf Feststellung vergangener, inzwischen behobener Rechtsverletzungen. Sobald die Löschung vom Verantwortlichen durchgeführt ist, hat der Betroffene sein Rechtsschutzziel erreicht. Die Kreditauskunftei ist dem Löschungsersuchen nachgekommen, womit der Betroffene im Entscheidungszeitpunkt durch die DSB in seinem Recht auf Löschung nicht mehr verletzt war. Die Möglichkeit, eine Schadenersatzklage vor den ordentlichen Gerichten einzubringen, wird dadurch nicht eingeschränkt, weil ein Feststellungsbescheid der DSB keine Voraussetzung für eine solche Klage ist.

Die Rechte auf Berichtigung, Einschränkung der Verarbeitung und Widerspruch sind antragsbedürftige Rechte. Da der Betroffene lediglich einen Antrag auf Löschung der ihn betreffenden bonitätsrelevanten Daten gestellt hat, wurde er in diesen Rechten nicht verletzt. Auch ergab sich keine Verpflichtung der Kreditauskunftei, die Daten von sich aus zu berichtigen.

Anm: In der verwaltungsrechtlichen Rechtsprechung wird zwischen "antragsbedürftigen Rechten" und solchen Rechten unterschieden, die ohne vorherigen Antrag an den Verantwortlichen ausgeübt werden dürfen. Damit ist gemeint, dass vor dem Erheben einer Datenschutzbeschwerde ein Ersuchen um Auskunft, Löschung, Berichtigung, Vervollständigung, Einschränkung der Verarbeitung an den Verantwortlichen zu stellen oder ein Widerspruch beim Verantwortlichen einzulegen ist. Bei den Rechten auf Geheimhaltung oder hinsichtlich der Verletzung der Informationspflicht kann antragsunabhängig (= ohne vorherige Kontaktaufnahme mit dem Verantwortlichen)  eine Datenschutzbeschwerde erhoben werden.

Die Zurückziehung einer Beschwerde wird mit dem Zeitpunkt ihres Einlangens wirksam. Ab diesem Zeitpunkt ist – mangels einer aufrechten Beschwerde – die Pflicht des BVwG zur Entscheidung weggefallen und das Beschwerdeverfahren ist einzustellen. Der Beschwerdeverzicht (bzw die Zurückziehung der Beschwerde) ist unwiderruflich, weil es eine einseitige, verbindliche Prozesshandlung ist (BVwG 12.04.2024, W605 2280854-1).

Die Zulässigkeit einer Säumnisbeschwerde setzt die Säumnis der vor dem Verwaltungsgericht belangten Behörde voraus, deren Entscheidungspflicht geltend gemacht wird, und somit die Verpflichtung dieser Behörde, über den bei ihr eingebrachten Antrag mittels Bescheid zu entscheiden. Fehlt es an der Säumnis der Behörde, so ist die Säumnisbeschwerde zurückzuweisen. Da zum Zeitpunkt des Einbringens der Säumnisbeschwerde die DSB bereits mit Bescheid über den Antrag der Betroffenen vollständig abgesprochen hat, kann der DSB nicht vorgeworfen werden, ihre Entscheidungspflicht verletzt zu haben (BVwG 22.12.2022, W292 2246171-1).

DSB 01.09.2022, 2022-0.616.013

Ein Minderjähriger richtete ein Auskunftsersuchen an ein Unternehmen, das dessen Daten im Rahmen eines Kundenbindungsprogramms verarbeitete. Das Unternehmen erteilte dem Minderjährigen die Auskunft und teilte gleichzeitig mit, dass die Mitgliedschaft aufgekündigt wurde, weil er – entgegen den zugrundeliegenden Teilnahmebedingungen – noch nicht volljährig sei. Der Minderjährige erachtete sich in seinem Recht auf Auskunft verletzt und erhob (erfolglose) Datenschutzbeschwerde bei der DSB.

Die DSB hat erwogen: Das Recht auf Auskunft ist auf jene Daten beschränkt, die zum Zeitpunkt des Einlangens des Auskunftsersuchens tatsächlich verarbeitet werden. Ein Recht auf Verarbeitung personenbezogener Daten kann aus der DSGVO nicht abgeleitet werden. Die Grundlage jeder datenschutzrechtlichen Auskunftserteilung ist der Istzustand an gespeicherten Personendaten und verfügbaren Informationen über deren Verwendung, nicht ein wie immer gearteter Sollzustand.

Das Unternehmen hat die Daten des Minderjährigen nach Auskunftserteilung gelöscht, weil es der Ansicht war, dass dessen Registrierung mangels Volljährigkeit nicht wirksam erfolgt war. Das Vorbringen des Minderjährigen, wonach er mit Vollendung seines 14 Lebensjahres in die Verarbeitung seiner Daten wirksam einwilligen könne, war irrelevant, weil die Frage der Wirksamkeit der datenschutzrechtlichen Einwilligung keinen Einfluss auf die Frage der (zivilrechtlich zu beurteilenden) Gültigkeit eines Vertragsabschlusses hat. Die Prüfung der Frage, ob das Unternehmen berechtigt war, das Vertragsverhältnis mit dem Minderjährigen zu beenden, fällt nicht in die Zuständigkeit der Datenschutzbehörde, sondern in die Zuständigkeit der Zivilgerichte.

Das Unternehmen hat dem Minderjährigen gesetzmäßig Auskunft über die zu seiner Person verarbeiteten Daten erteilt. Die gleichzeitig erteilte Information, dass nun eine Löschung dieser Daten erfolgen werde, ist keine Verletzung des Auskunftsrechts des Minderjährigen gemäß Art 15 DSGVO.

DSB 16.12.2021, 2021-0.816.492

Eine Betroffene stellte per E-Mail ein Auskunftsersuchen gemäß § 44 DSG über polizeiliche Eintragungen an den Bundesminister für Inneres (BMI). Der E-Mail war auch eine Kopie ihres Reisepasses angehängt und sie gab an, die Auskunft per E-Mail erhalten zu wollen. Der BMI versuchte zunächst, die Auskunft an die (aus dem Antrag hervorgehende) Anschrift zuzustellen, was aufgrund der Ortsabwesenheit der Betroffenen scheiterte. Nach einer ZMR-Abfrage versuchte der BMI eine erneute Zustellung an die neue Wohnadresse der Betroffenen, welche aus gleichem Grund erfolglos blieb. Die Betroffene brachte Datenschutzbeschwerde bei der DSB ein.

In seiner Stellungnahme an die DSB hielt der BMI fest, dass er als Behörde bei Zustellungen nach dem ZustG vorgehen müsse. Demnach sei eine Zustellung aus besonders wichtigen Gründen nach § 21 ZustG bloß zu eigenen Handen mittels RSa-Brief oder gemäß § 28 Abs 3 ZustG elektronisch mit Zustellnachweis durch Zustellsysteme möglich, wobei E-Mails keine zulässige Zustellform sind. Dadurch soll vor allem vermieden werden, dass Ersatzempfänger Kenntnis von strafrechtsrelevanten Daten erlangen. Da die Betroffene ihre Identität mit keiner Bürgerkarte nachgewiesen hat, konnte die Zustellung nicht elektronisch erfolgen. Die DSB gab der Datenschutzbeschwerde statt, weil der BMI nicht alle ihm zur Verfügung stehenden Maßnahmen ausgeschöpft hatte, um die Auskunft zuzustellen. Daraufhin brachte der BMI eine Bescheidbeschwerde bei der DSB ein und führte darin aus, dass er die Auskunft durch Hinterlegung sehr wohl zugestellt hat. Zudem brachte der BMI vor, dass keine Feststellung darüber getroffen wurde, ob er die Auskunft per E-Mail zustellen müsse. Die DSB änderte den Spruch ihres (weiterhin) stattgebenden Bescheides mit einer Beschwerdevorentscheidung ab.

Die DSB hat erwogen: Der Verantwortliche hat die Auskunft grundsätzlich in derselben Form, in der er das Auskunftsersuchen erhalten hat, zu übermitteln.

Der Verantwortliche muss alle Anstrengungen unternehmen, damit die Auskunft der Betroffenen tatsächlich zukommt. Dem BMI ist zwar zuzustimmen, dass er eine Behörde ist und daher der Anwendung des AVG und des ZustG unterliegt. Das 3. Hauptstück des DSG ist jedoch eine lex specialis. Einschlägig ist daher § 42 Abs 4 DSG, welcher im Lichte des Art 12 der "Datenschutz-RL für den Bereich Inneres und Justiz" auszulegen ist. Die Auskunft ist demnach in derselben Form, in der das Ersuchen gestellt wurde, zu erteilen. Eine Abweichung hiervon bedarf einer Begründung. Das ZustG steht einer Zustellung per E-Mail nicht entgegen. Da es zwei Zustellversuche zu eigenen Handen der Betroffenen gegeben hat, lagen keine Zweifel an der Identität dieser vor, weshalb die Auskunft per E-Mail zu erfolgen gehabt hätte.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.