Schönherr Datenschutzmonitor

Willkommen zu unserem wöchentlichen Datenschutz-Update. Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen. Erfasst wird die relevante Rechtsprechung in Österreich und auf europäischer Ebene. Neben der kurzen Zusammenfassung der einzelnen Entscheidungen zeigt der Datenschutzmonitor die Entwicklung von Rechtsprechungslinien auf.

>> Registrieren Sie sich, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<

Die Datenschutzmonitor Jahresausgabe 2024 mit allen Ausgaben des Datenschutzmonitors des vergangenen Jahres, einem Abkürzungsverzeichnis, Begriffslexikon, Rechtsprechungslinien und Übersichtstabellen finden Sie hier.

Jänner 2025

08.01. | 12.01. | 22.01. | 29.01.

Februar 2025

06.02.

Datenschutzmonitor 06.02.2025

Rechtsprechung des EuG

EuG 29.01.2025, T-70/23 ua, DPC/EDSA

DPC, EDSA, Kohärenzverfahren, verbindlicher Beschluss

· Die Data Protection Commission ("DPC") erhob Klage gegen den Europäischen Datenschutzausschuss ("EDSA"). Die Klage richtete sich gegen verbindliche Beschlüsse des EDSA (3/2022, 4/2022 und 5/2022), mit welchen die DPC verpflichtet wurde, neue Untersuchungen zu Datenverarbeitungstätigkeiten der Meta-Dienste Facebook, Instagram und WhatsApp durchzuführen und ergänzende Beschlussentwürfe zu erstellen. Die DPC beantragte, diese verbindlichen Beschlüsse teilweise für nichtig zu erklären. Das EuG wies die Klagen ab und bestätigte die Kompetenz des EDSA, entsprechende Beschlüsse zu erlassen.

Das EuG hat erwogen: Nach ständiger Rechtsprechung sind bei der Auslegung einer Unionsrechtsvorschrift nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und ihre Ziele zu berücksichtigen. Der EDSA kann gemäß Art 65 Abs 1 lit a DSGVO verbindliche Beschlüsse erlassen, wenn eine andere Aufsichtsbehörde einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde einlegt. Dies schließt auch die Anweisung ein, eine fehlende Analyse nachzuholen und die Untersuchung zu vertiefen oder auszuweiten, wenn dies erforderlich ist.

Der Wortlaut des Art 65 Abs 1 lit a DSGVO unterstützt diese Auslegung. Die Zusammenarbeit zwischen den betroffenen Aufsichtsbehörden und die Kohärenzkontrolle durch den EDSA wird nicht beeinträchtigt, wenn der EDSA Weisungen zur Ausweitung der Untersuchung erteilt. Der Unionsgesetzgeber hat entschieden, dass anhaltende Meinungsverschiedenheiten zwischen den betroffenen Aufsichtsbehörden im Rahmen des Kohärenzverfahrens innerhalb des EDSA geschlichtet werden sollen. Eine nationale gerichtliche Kontrolle ist nicht geeigneter, um Einwände im Zusammenhang mit der Untersuchung zu prüfen.

Rechtsprechung des VwGH

VwGH 19.12.2024, Ro 2022/15/0018

Steuern, Spende, erhebliches öffentliches Interesse

· Ein Arbeitnehmer machte in seiner Arbeitnehmerveranlagung eine Spende an einen gemeinnützigen Verein als Sonderausgaben geltend. Das Finanzamt berücksichtigte diese Sonderausgaben nicht, weil der Arbeitnehmer dem Zuwendungsempfänger seinen Namen und sein Geburtsdatum nicht bekannt gab. Gegen den ablehnenden Bescheid des Finanzamts erhob der Arbeitnehmer Bescheidbeschwerde an das BFG. Die Bestimmung des § 18 Abs 8 Z 1 EStG 1988 sei aufgrund des Vorranges der DSGVO nicht anwendbar und verfassungswidrig. Seine Geldspende sei als Sonderausgabe zu berücksichtigen.

Das BFG wies die Bescheidbeschwerde ab, weil der Datenaustausch mit einem verschlüsselten bereichsspezifischen Personenkennzeichen für Steuern und Abgaben ("vbPK SA") erfolge und zulässig sei. Die Behandlung der Erkenntnisbeschwerde des Arbeitnehmers lehnte der VfGH ab. Der VwGH wies die Revision ab.

Der VwGH hat erwogen: Durch Art 9 Abs 2 lit g DSGVO kann eine Datenverarbeitung gerechtfertigt sein, wenn sie aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Im Unterschied zu Art 6 Abs 1 lit e DSGVO, welcher nur ein öffentliches Interesse voraussetzt, braucht es bei der Rechtfertigung einer Datenverarbeitung nach Art 9 Abs 2 lit g DSGVO ein erhebliches öffentliches Interesse. Dieses setzt eine spezifische Abwägung und eine besondere Legitimation für die Verwendung solcher Daten voraus. Nicht nur die Erhebung von Steuern und Abgaben, sondern auch die Ermittlung der korrekten Steuerbemessungsgrundlagen ist ein erhebliches öffentliches Interesse.

Durch einen Datenaustausch mit Hilfe des "vbPK SA" ist für das Finanzamt eine Zuordnung zu einer Person ohne Verknüpfung mit anderen Daten möglich. Der Zweck des § 18 Abs 8 EStG 1988 ist dem Finanzamt die Erfüllung seiner gesetzlichen Aufgabe zu ermöglichen, die ua darin besteht, in Massenverfahren Manipulationsmöglichkeiten zu verhindern und eine Gleichmäßigkeit der Besteuerung sicherzustellen.

Das "vbPK SA" ist für die Zuordnung und Ermittlung der als Sonderausgaben zu berücksichtigenden Zuwendungen zu einem bestimmten Steuerpflichtigen erforderlich.

Verarbeitet werden nur jene Zuwendungen, die ein Steuerpflichtiger als Sonderausgaben in Abzug bringen will. Auch vor Einführung des § 18 Abs 8 EStG 1988 mussten Steuerpflichtige alle Zuwendungen lückenlos nachweisen. Die Erhebung erfolgt im konkreten Anlass und nicht auf "Vorrat".

· Die vollständige und richtige Eintragung von Personenstandsdaten in das Zentrale Personenstandsregister ("ZPR") ist von erheblichem öffentlichen Interesse. Gemäß § 2 Abs 1 iVm Abs 2 gehört das Geschlecht einer Person zu den allgemeinen Personenstandsdaten, die gemäß § 11 Abs 1 PStG verpflichtend von der Personenstandsbehörde einzutragen sind. Eine ersatzlose Streichung des Eintrags des Geschlechts aus dem ZPR ist unzulässig. § 41 Abs 1 PStG ermöglicht nur die Änderung des Geschlechtseintrags, nicht dessen Streichung. Der VfGH hat in seiner Entscheidung vom 15.06.2018, G 77/2018, festgestellt, dass das Geschlecht ein maßgebliches Personenstandsdatum ist. Der VfGH hat jedoch zwischen Intersexualität und Transidentität unterschieden, wobei lediglich für intersexuelle Personen alternative Einträge wie "divers", "inter" oder "offen" möglich sind. Diese Regelung gilt nicht für transsexuelle Personen (VwGH 05.12.2024, Ro 2023/01/0008).

· Wird durch die Verknüpfung personenbezogener Daten (Name und Adresse) mit einer veröffentlichten Stellungnahme die Urheberschaft der Stellungnahme offengelegt, entsteht in datenschutzrechtlicher Hinsicht ein informationeller Mehrwert (VwGH 20.12.2024, Ra 2024/04/0425).

· Gegen ein Erkenntnis des BVwG, mit dem ein Säumnisbeschwerdeverfahren eingestellt wurde, ist eine Revision, die Vorbringen nur zur Hauptsache enthält, unzulässig (VwGH 20.12.2024, Ra 2024/04/0427).

· Einer Revision gegen ein Erkenntnis des BVwG, mit dem eine Verletzung im Recht auf Geheimhaltung festgestellt wurde, kommt keine aufschiebende Wirkung zu (VwGH 11.12.2024, Ra 2024/04/0423). Mit Beschluss vom 04.03.2024, Ra 2024/04/0010, erkannte der VwGH die aufschiebende Wirkung der Revision in einem Geheimhaltungsverfahren noch zu. Von dieser Rechtsprechung ist der VwGH nun wieder abgegangen. Begründend führt der VwGH aus, dass es darauf ankäme, ob die DSB der Zuerkennung entgegenstehende zwingende öffentliche Interessen einwendet. Allerdings hat die DSB keine solchen Interessen eingewendet.

Rechtsprechung der Justiz

· Mit § 55d Abs 7 EU-JZG wird Art 31 der RL 2014/41/EU über die Europäische Ermittlungsanordnung in Strafsachen umgesetzt. Die Staatsanwaltschaft wird verpflichtet, bei Unterrichtung durch ausländische Behörden über eine Telekommunikationsüberwachung in Österreich das Vorliegen von Vollstreckungshindernissen nach § 55a Abs 1 EU-JZG zu prüfen. Bei deren Vorliegen hat die Staatsanwaltschaft der ausländischen Strafverfolgungsbehörde mitzuteilen, dass die Überwachung nicht durchgeführt werden kann und bereits gesammelte Ergebnisse nicht verwendet werden dürfen. § 55a Abs 1 Z 13 EU-JZG normiert ein Vollstreckungshindernis, wenn die Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Wurden die Daten durch die Sicherstellung eines ausländischen (französischen) Servers und nicht durch eine Telekommunikationsüberwachung gewonnen, liegt kein Vollstreckungshindernis vor (OLG Linz 10.01.2025, 8Bs249/24k).

· Wurde eine Vollmachtsurkunde entgegen der Anmerkung "handschriftlich" elektronisch unterzeichnet und weicht diese Unterschrift maßgeblich von jener auf dem Ausweis des Klägers ab, sind Zweifel an der Vollmachterteilung iSd Art 12 Abs 6 DSGVO begründet. Durch Verweigerung der Auskunftserteilung wird daher keine Veranlassung zur Klagsführung gegeben, sodass die Kostenersatzpflicht nach § 45 ZPO greift. Erst gegenüber dem Gericht kann sich ein Rechtsanwalt gemäß § 8 RAO auf die ihm erteilte Vollmacht berufen. Anerkennt daraufhin der beklagte Verantwortliche den Auskunftsanspruch, hat der klagende Betroffene die Prozesskosten zu tragen (OLG Linz 15.01.2025, 2R174/24g; 15.01.2025, 2R172/24p).

· Gibt es keinen Grund, an der Vollmachtserteilung zu zweifeln, darf die Auskunft nicht verweigert werden. Verlangt der Verantwortliche dennoch einen speziellen Nachweis der Vollmacht, veranlasst er damit die Klagsführung und hat die Kosten zu tragen (OLG Linz 23.01.2025, 1R4/25a).

Rechtsprechung des BVwG

BVwG 02.09.2024, W256 2251016-1

Auskunft, Datenübertragung, neuer Verantwortlicher

· Ein Kunde begehrte Auskunft und Datenübertragung bei einem Finanzdienstleistungsunternehmen. Dieses stellte ihm seine personenbezogenen Daten sowie Informationen über abgeschlossene Verträge und Anträge in Form eines Excel-Dokuments bereit. Zudem standen ihm diese Daten im Kundenpostfach zur Verfügung. Der Kunde erhob Datenschutzbeschwerde bei der DSB, weil die Auskunft unvollständig und verspätet erteilt worden sei, die Datenübertragung verweigert worden sei und die Übertragung sensibler Kundendaten unverschlüsselt erfolgt sei. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Kunde Bescheidbeschwerde an das BVwG, das diese wegen der behaupteten Verletzung im Recht auf Auskunft abwies. Hinsichtlich des Rechts auf Datenübertragbarkeit gab das BVwG der Bescheidbeschwerde statt.

Das BVwG hat erwogen: Das Finanzdienstleistungsunternehmen hat dem Kunden sämtliche verarbeiteten Unterlagen übermittelt bzw standen diese dem Kunden im Postfach zur Verfügung. Eine Verletzung des Rechts auf Auskunft ist gemäß § 24 Abs 6 DSG sanierbar, der DSB kann daher nicht entgegengetreten werden, wenn sie eine (ursprüngliche) Unvollständigkeit der Auskunft in dem vom Kunden aufgezeigten Umfang nicht angenommen hat.

Das Recht auf Datenübertragbarkeit setzt voraus, dass (i) die begehrten Daten vom Betroffenen bereitgestellt sein müssen, (ii) die Verarbeitung auf einer Einwilligung oder einem Vertrag beruhen muss und (iii) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Der Zweck des Rechts auf Datenübertragung besteht nicht in der Information des Betroffenen über die Datenverarbeitung, sondern in der Ermöglichung bzw Erleichterung des Anbieterwechsels. Da der Kunde eine Datenübertragung nicht an seine Person, sondern direkt an den neuen Verantwortlichen beantragt hat und ihm eine solche Form der Datenübertragung nach Art 20 Abs 2 DSGVO auch ausdrücklich zusteht, hätte das Finanzdienstleistungsunternehmen darauf zu reagieren gehabt.

BVwG 18.12.2024, W252 2294338-1

Rollenverteilung, Anwendungsbereich, Videoüberwachung

· Eine Stadt betrieb eine Videoüberwachungskamera im Stadtgebiet und fasste konkrete Pläne für die Installation weiterer Kameras zur Stärkung des subjektiven Sicherheitsgefühls, des Schutzes von Eigentum und der Dokumentation straf- oder zivilrechtlich relevanter Delikte. Die Aufnahmen der bereits installierten Kamera konnten nur von der Stadtpolizei eingesehen werden. Die DSB leitete ein amtswegiges Prüfverfahren ein und untersagte die Datenverarbeitung der installierten Überwachungskamera. Daneben sprach sie eine Warnung aus, dass die geplante Installation weiterer Kameras voraussichtlich gegen die DSGVO verstoßen werde. Dagegen richtete sich die (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Stadt ist Verantwortliche, weil ihre Organe Zweck und Mittel der Videoüberwachung bestimmt haben. Da die Stadtpolizei keine tragende Rolle bei der Festlegung von Zweck und Mittel spielte, hatte deren Erwähnung in der Datenschutz-Folgenabschätzung keinen Einfluss auf die Qualifikation der Stadt als Verantwortliche.

Die DSGVO findet gemäß Art 2 Abs 2 lit d DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Da die Stadtpolizei der Bezirkshauptmannschaft (BH) nur unterstellt ist, ist diese selbst keine Sicherheitsbehörde. Deren Eigenschaft als Gemeindewachkörper ändert daran nichts. Die DSGVO ist daher anwendbar.

Hinsichtlich der Stärkung des subjektiven Sicherheitsgefühls, der Dokumentation von straf- oder zivilrechtlich relevanten Delikten und eines allgemeinen vorbeugenden Schutzes von Personen oder Sachen ist die Stadt als Behörde zu qualifizieren, sodass sich diese nicht auf die Wahrung berechtigter Interessen berufen kann. Denkbar wäre ein rein auf den Schutz des Eigentums der Stadt beschränktes Handeln im Rahmen der Privatwirtschaftsverwaltung. Der Schutz des Eigentums ist grundsätzlich ein berechtigtes Interesse. Allerdings stehen hinsichtlich der Beschädigung öffentlicher Sitzgelegenheiten oder Straßenbeleuchtungen gelindere Alternativen zur Verfügung (zB Anti-Graffiti-Beschichtungen, häufigere Kontrollen durch die Stadtpolizei, Einfriedungen, etc).

Die DSB hat die Aufgabe, die Anwendung der DSGVO zu überwachen und durchzusetzen. Ein Verbot der Videoüberwachung ist für das Erreichen dieser Ziele geeignet, erforderlich und verhältnismäßig. Auch die Warnung wegen der geplanten Kameras ist gerechtfertigt, weil bei deren Inbetriebnahme ein Verstoß gegen die DSGVO zu erwarten ist.

BVwG 18.12.2024, W256 2285492-1

Videoüberwachung, Arbeitsplatz, Anweisung, Geldbuße

· Die DSB führte aufgrund einer anonymen Eingabe ein amtswegiges Prüfverfahren gegen einen Arbeitgeber wegen des Verdachts auf unrechtmäßige Datenverarbeitung durch eine Videoüberwachungsanlage. Ua wurden Arbeitsgroßraum, Küche, Besprechungszimmer und Flur, inkl den Eingängen zu den Toiletten, überwacht. Der Arbeitgeber rechtfertigte die Datenverarbeitung ua mit dem Schutz vor Diebstahl, Einbruch, körperlicher und emotionaler Gewalt und Vandalismus. Die Kameras seien auch freiliegend, sichtbar und per Klebeschild bei der Eingangstüre, welches ein Piktogramm und die Herstellerbezeichnung zeigte, gekennzeichnet. Die Kameras seien auf Wunsch der Mitarbeiter installiert worden, die über die Überwachung informiert wurden.

Daraufhin leitete die DSB ein Verwaltungsstrafverfahren ein und verhängte eine Geldstrafe iHv EUR 59.400 (zzgl EUR 5.940 an Verfahrenskosten) wegen der fehlenden Rechtsgrundlage gemäß Art 6 Abs 1 DSGVO (Spruchpunkt I), dem Nichterfüllen der Informationspflichten gemäß Art 13 DSGVO (Spruchpunkt II) und dem Nichtbefolgen einer Anweisung der Behörde (Spruchpunkt III). Der Arbeitgeber bekämpfte das Straferkenntnis beim BVwG und brachte zusammengefasst vor, man habe stets kooperiert und den abschließenden Bescheid der DSB aus dem Prüfverfahren nicht bekämpft. Das BVwG gab der Bescheidbeschwerde hinsichtlich Spruchpunkt III statt und setzte die Geldstrafe auf EUR 11.000 (zzgl EUR 1.100 Verwaltungskosten) herab.

Das BVwG hat erwogen: Eine Verarbeitung gemäß Art 6 Abs 1 lit f DSGVO kann gerechtfertigt sein, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen. Die Erforderlichkeit ist dabei eng mit dem Grundsatz der Datenminimierung verbunden. Die Videoüberwachung des Arbeitsgroßraums, der Küche, der Besprechungszimmer und des Flurs war für den Zweck des Eigentumsschutzes nicht erforderlich. Im Straferkenntnis muss die DSB die Zahl der konkret Betroffenen einer Datenverarbeitung nicht beziffern, es genügt die unrechtmäßige Datenverarbeitung an sich.

Klebeschilder, die lediglich eine bildliche Darstellung und die Herstellerbezeichnung von Kameras zeigen und keine weiteren Informationen zur Datenverarbeitung enthalten, entsprechen nicht den zu erteilenden Informationen gemäß Art 13 Abs 1 und 2 DSGVO. Allein aus der Tatsache, dass Kameras in einem Gebäude installiert sind, in dem ein Verantwortlicher seine Geschäftstätigkeit ausübt, kann ohne zusätzliche Informationen nicht auf die datenschutzrechtliche Verantwortlichkeit des Verantwortlichen geschlossen werden.

Der Auftrag in einem Bescheid, binnen zwei Wochen Nachweise über die Änderung einer Datenverarbeitung zu übermitteln, ist keine Anweisung nach Art 58 Abs 2 DSGVO und kein Begehren auf Zugang zu Information nach Art 58 Abs 1 lit e DSGVO und berechtigt beim Nichterfüllen nicht zum Verhängen einer Geldbuße

Bilddaten, die ausschließlich zum Eigentumsschutz angefertigt werden, sind nicht ohne weiteres sensible Daten nach Art 9 DSGVO. Wenn durch Kameras auch regelmäßig Mitarbeiter gefilmt werden, rechtfertigt dies noch nicht die Annahme einer Mitarbeiterüberwachung, wenn dies nicht Zweck der Überwachung ist. Geldbußen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Aufgrund der mittleren Schwere des Verstoßes kommt eine bloße Abmahnung ohne Ausspruch einer Strafe nicht in Betracht.

Rechtsprechung der DSB

DSB 12.12.2024, 2024-0.796.258

Aktfotos, Geldbuße

· Ein Kameramann fertigte Aktfotos von einer Frau mit ihrer Einwilligung und ihrem eigenen Mobiltelefon an. In Folge leitete er die Aktfotos ohne ihre Zustimmung über einen Internetdienst von ihrem Mobiltelefon auf sein eigenes Mobiltelefon weiter. Die Frau forderte den Kameramann auf, die Fotos zu löschen, was dieser auch tat. Die Frau zeigte den Kameramann dennoch an und die DSB leitete ein Verwaltungsstrafverfahren ein. Der Kameramann äußerte sich trotz Aufforderung der DSB nicht zur Sache. Die DSB verhängte eine Geldstrafe iHv EUR 2.000.

Die DSB hat erwogen: Die erfassten Bilddaten sind personenbezogene Daten. Die Lichtbilder spiegeln intime Aufnahmen wider und erfassen Daten zum Sexualleben der Frau iSd Art 9 Abs 1 DSGVO.

Nach Art 9 Abs 1 DSGVO besteht grundsätzlich ein Verarbeitungsverbot für besondere Kategorien personenbezogener Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist erlaubt, wenn die Betroffene ausdrücklich einwilligt. Die Frau hat der Anfertigung der Lichtbilder zugestimmt, weshalb diese Verarbeitung zulässig war. Für die Übermittlung und Speicherung der Lichtbilder lag hingegen keine ausdrückliche Einwilligung vor. Die Übermittlung erfolgte ohne Wissen der Frau. Diese Datenverarbeitung war somit rechtswidrig.

Nationale Rechtsakte

· Am 28.01.2025 wurde die "Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der die Gesundheitstelematikverordnung 2013 und die ELGA-Verordnung 2015 geändert und die ELGA-und eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen wird (Gesundheitstelematik-Anpassungsverordnung 2025)", BGBl II 2025/11, kundgemacht. Mit dieser Verordnung wird neben der Gesundheitstelematikverordnung 2013 auch die ELGA-Verordnung 2015 novelliert und werden die eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen. Die Verordnungen enthalten neue Regelungen zur Verarbeitung von Gesundheitsdaten und genetischen Daten durch Gesundheitsdiensteanbieter.

Vorschau EuGH-Rechtsprechung

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

· Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.

· Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von Telekommunikationsverträgen absprechen.

· Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

· Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

· Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

Datenschutzrechtsmonitor 29.01.2025

Rechtsprechung des EGMR

EGMR 23.01.2025, 31175/14, Reznik/Ukraine

Durchsuchung, Beschlagnahme, Anwaltsgeheimnis, wirksames Rechtsmittel

· Ein Anwalt schloss einen Vertrag über Rechtsdienstleistungen mit dem ukrainischen Informationszentrum ab, in dem die Übermittlung von Dokumenten zur Untersuchung und Analyse vereinbart wurde. Nach Beginn strafrechtlicher Ermittlungen gegen die Leitung des Informationszentrums forderte dieses den Rechtsanwalt zur Rückgabe der übergebenen Dokumente auf. Dieser Aufforderung kam der Anwalt nach. Dennoch wurde ein Durchsuchungsbeschluss für die Wohnung des Anwalts genehmigt. Der stellvertretende Generalstaatsanwalt wurde ermächtigt, Dokumente über die finanzielle und kommerzielle Tätigkeit des Informationszentrums und anderer konkret benannten Unternehmen und Einzelpersonen, die mit dem Informationszentrum in Verbindung standen, sowie IT-Geräte, mobile Kommunikationsgeräte und Datenspeicher sicherzustellen. Der Beschluss wurde für unanfechtbar erklärt. Während der Durchsuchung, bei der ua auch Vertreter der Anwaltskammer anwesend waren, wurden ua ein Computer und ein USB-Stick beschlagnahmt und zur forensischen Untersuchung weitergeleitet. Die Einwände und Beschwerden der Vertreter der Anwaltskammer und des Anwalts blieben zunächst erfolglos. Schlussendlich wurden dem Anwalt die beschlagnahmten Datenspeicher zurückgegeben.

Der EGMR stellte fest, dass eine Verletzung von Art 8 und Art 13 EMRK vorliegt und sprach dem Anwalt EUR 6.000 immateriellen Schadenersatz und EUR 3.450 Kostenersatz zu.

Der EGMR hat erwogen: Die Durchsuchung der Wohnung und die Beschlagnahme von Dokumenten und Geräten greifen in die Rechte des Anwalts auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs ein. Ein solcher Eingriff muss gesetzlich vorgesehen sein, einem legitimen Ziel dienen und in einer demokratischen Gesellschaft notwendig sein.

Der Durchsuchungsbeschluss basierte auf der ukrainischen Strafprozessordnung und dem Anwaltsgesetz, die spezifische Verfahrensgarantien zum Schutz des Anwaltsgeheimnisses vorsahen. Die Gesetze verlangten, dass Durchsuchungen von Anwaltspraxen nur mit richterlicher Genehmigung und unter Anwesenheit eines Vertreters der Anwaltskammer durchgeführt werden. Der Vertreter der Anwaltskammer hatte das Recht, Fragen zu stellen und Einwände zu erheben, die im Durchsuchungsprotokoll festzuhalten waren.

Die Einwände des Vertreters hatten jedoch keine praktische Wirkung, und sie konnten die Beschlagnahme der Gegenstände nicht verhindern. Die Durchsuchung und die Beschlagnahme wurden daher ohne ausreichende verfahrensrechtliche Schutzmaßnahmen durchgeführt, was zu einem unverhältnismäßigen Eingriff führte. Außerdem waren die Durchsuchung und Beschlagnahme in einer demokratischen Gesellschaft nicht notwendig, weil die richterliche Anordnung zu weit gefasst war und keine ausreichenden Gründe für die Annahme enthielt, dass relevante Beweismittel bei dem Anwalt gefunden würden.

Es muss ein wirksames Rechtsmittel zur Verfügung stehen, um die Rechtmäßigkeit der Durchsuchung und Beschlagnahme anzufechten. Das ukrainische Recht bietet keine Möglichkeit, eine Durchsuchungsanordnung anzufechten, sodass die verfügbaren Rechtsmittel unzureichend sind. Die Möglichkeit, beschlagnahmte Gegenstände zurückzufordern, reicht nicht aus, um die Beschwerden über die Rechtmäßigkeit der Durchsuchung zu behandeln.

Rechtsprechung des BVwG

BVwG 04.12.2024, W176 2295345-1

Trafik, Video, Piktogramm, Geldstrafe

· Ein Trafikant brachte an der Außenmauer seiner Trafik zwei Videokameras an, um sich vor Überfällen zu schützen. Die Kameras erfassten Teile des öffentlichen Gehsteigs, den angrenzenden Fahrradweg und einen Abschnitt der Straßenbahngleise. Durch die Überwachung konnte der Trafikant ein Foto einer Passantin anfertigen, welches sie dabei zeigte, wie diese von Ihrem Hund hinterlassenen Exkremente nicht wegräumte. Um auf das seines Erachtens unrechtmäßige Verhalten der Passantin aufmerksam zu machen, brachte der Trafikant das aufgenommene Foto vor seiner Trafik an. Durch einen leicht entfernbaren Sticker über das Gesicht der Passantin anonymisierte er das Foto. Der Sticker löste sich jedoch. Ein Bürger erhob gegen dieses Vorgehen Datenschutzbeschwerde bei der DSB. Die DSB verhängte wegen der unrechtmäßigen Datenverarbeitung und der nicht erteilten Information zu der Datenverarbeitung eine Geldstrafe iHv EUR 1.500 (zzgl Verfahrenskostenbeitrag von EUR 150). Gegen das Straferkenntnis erhob der Trafikant (hinsichtlich der Strafhöhe erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Mangels Öffnungsklausel in der DSGVO kommen die §§ 12 und 13 DSG bei der Prüfung der Zulässigkeit einer Videoüberwachung nicht zur Anwendung. Nach der DSGVO dürfen personenbezogene Daten nur auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Das Interesse am Schutz des Vermögens vor Angriffen in Form von Sachbeschädigungen, Raubfällen, etc überwiegt die Interessen Betroffener in einem kleinen Bereich vor der Trafik. Auch bei einer unbedingt erforderlich erscheinenden Videoüberwachung müssen jedoch Maßnahmen zur Einschränkung des Erfassungsbereichs getroffen werden. Videoüberwachungsanlagen dürfen den angrenzenden öffentlichen Raum geringfügig erfassen, sofern dies erforderlich ist, um eine sinnvolle Videoüberwachung zu ermöglichen. Eine Überwachung des gesamten öffentlichen Gehsteigs inkl weiter Teile des angrenzenden öffentlichen Raums ist nicht vom berechtigten Interesse gedeckt.

Am Aufzeigen des Fehlverhaltens einer Passantin besteht kein berechtigtes Interesse. Ein Überkleben mit einem leicht entfernbaren Sticker ist kein geeignetes Mittel zur Anonymisierung.

Die Erfüllung der Informationspflicht durch Kennzeichnung einer Videokamera durch Piktogramme kann zulässig sein, wenn es sich um die erste "Schicht" der Informationserteilung handelt und weitere Informationen zur Datenverarbeitung aufliegen.

Die Geldstrafe ist wegen des Hinzutretens eines Milderungsgrundes und der Verschlechterung der Vermögensverhältnisse des Trafikanten auf EUR 750 (zzgl EUR 75 Verfahrenskostenbeitrag) zu reduzieren.

BVwG 16.12.2024, W137 2292450-1

Rechtsanwalt, Anwaltsgeheimnis, Beschwerdegegner

· Ein Fitnesscentermitglied führte gegen die Betreiberin des Fitnesscenters wegen der unberechtigten Erhöhung von Mitgliedsbeiträgen ein zivilgerichtliches Verfahren. Im Verfahren vor dem Landesgericht ("LG") wurde vom Rechtsanwalt der Betreiberin des Fitnesscenters eine Mailkorrespondenz mit einer Zeugin als Beweis für das Zustandekommen von Mitgliederverträgen vorgelegt. Die Korrespondenz enthielt den Namen, die Mailadresse und die Information über das Vertragsverhältnis der Zeugin. Die Zeugin fühlte sich durch die Vorgehensweise in ihrem Recht auf Geheimhaltung verletzt und brachte explizit Datenschutzbeschwerde gegen die Betreiberin des Fitnesscenters bezüglich der Vorlage der E-Mails beim LG ein.

Die Betreiberin stütze die Rechtmäßigkeit der Verarbeitung der Daten auf die Erfüllung eines Vertrags und auf ihr berechtigtes Interesse. Die DSB gab der Datenschutzbeschwerde statt. Dagegen erhob die Betreiberin des Fitnesscenters Bescheidbeschwerde an das BVwG, das den Bescheid der DSB ersatzlos behob.

Das BVwG hat erwogen: Rechtsanwälte handeln, wenn sie Daten für den Zweck der Vertretung ihrer Mandanten verarbeiten, regelmäßig als für die Verarbeitung Verantwortliche im Sinne der DSGVO. Die Entscheidung, welche Daten für die Erfüllung des Mandats zu verarbeiten sind, wird, vorbehaltlich eines Beweises für das Gegenteil, vom Rechtsanwalt ohne Weisung des Mandanten getroffen.

Die Rechte der Betroffenen kommen nur in dem Umfang zur Anwendung, als dem nicht das Recht des Rechtsanwalts auf Verschwiegenheit zum Schutz der Partei oder der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche entgegensteht, sonst bestünde die Gefahr, dass der (Prozess-)Gegner einer zivilrechtlichen Streitigkeit im Weg des Auskunftsrechts nach der DSGVO Auskünfte aus den Akten des gegnerischen Rechtsanwalts erhalten könnte.

Ausschließlicher Gegenstand des Verfahrens war die Übermittlung der E-Mailkorrespondenz als Beweismittel im Gerichtsprozess durch den eigenständig agierenden Rechtsanwalt. Das Verfahren hätte aber gegen den Rechtsanwalt der Betreiberin des Fitnesscenters und nicht gegen diese selbst geführt werden müssen.

Die nicht rechtskundige Zeugin hat in der Datenschutzbeschwerde den falschen Beschwerdegegner bezeichnet. Die richtige Einordnung des Rechtsanwalts als Verantwortlichen für die Datenverarbeitung kann aber von ihr nicht verlangt werden.

Da das BVwG das Beschwerdeverfahren nicht gegen den Rechtsanwalt anstelle der Betreiberin des Fitnesscenters führen darf, ist der Bescheid der DSB ersatzlos zu beheben. Das Verfahren ist damit erneut zur inhaltlichen Entscheidung bei der DSB anhängig.

BVwG 16.12.2024, W137 2288040-1

Rollenverteilung, Identitätsdokumentenregister

· Anlässlich einer Lärmerregung und Störung der öffentlichen Ordnung forderten Polizeibeamte eine Passantin zur Identitätsfeststellung in Form einer Ausweisleistung auf. Da sich die Passantin weigerte, ihren Ausweis vorzuzeigen, wurde sie schließlich von den Polizeibeamten festgenommen und zur nächstgelegenen Polizeiinspektion verbracht, wo eine Abfrage ihres Lichtbildes im Identitätsdokumentenregister ("IDR") erfolgte. Die Passantin brachte eine auf das Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den Magistrat der Stadt Wien als Passbehörde ("MA 62") ein. Die DSB wies die Datenschutzbeschwerde ab. Die hiergegen erhobene Bescheidbeschwerde wies das BVwG ab.

Das BVwG hat erwogen: Die Stellung als datenschutzrechtlicher Verantwortlicher hat diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ergibt sich die Stellung als Verantwortlicher nicht aufgrund gesetzlicher Bestimmungen, muss die Qualifikation einer Partei als Verantwortlicher auf der Grundlage einer Bewertung der tatsächlichen Umstände der Verarbeitung festgestellt werden.

Die Bestimmung des § 52 SPG ermächtigt die Sicherheitsbehörden, personenbezogene Daten von Personen zu verarbeiten, soweit dies zur Erfüllung der ihnen übertragenen Aufgaben erforderlich ist. Das SPG regelt jedoch nicht, wem die datenschutzrechtliche Verantwortlichkeit für eine Abfrage aus dem IDR im Zuge einer Identitätsfeststellung zukommt. Die Mittel- und Zweckentscheidung war daher aufgrund der tatsächlichen Umstände zu beurteilen. Die Polizeibeamten als Bedienstete der Landespolizeidirektion ("LPD") haben selbst und allein für die LPD bestimmt, dass sie nach einer erfolgten Festnahme der Beschwerdeführerin eine Abfrage aus dem IDR im Zuge der Identitätsfeststellung tätigen. Sie haben damit den Zweck der Datenverarbeitung – in concreto die Feststellung der Identität der Passantin – allein bestimmt. Damit ist die LPD, der das Handeln der Polizeibeamten zuzurechnen ist, als alleinige Verantwortliche anzusehen. Mangels Rechtswidrigkeit des angefochtenen Bescheids war die Bescheidbeschwerde vom BVwG als unbegründet abzuweisen.

· Die Besetzung des Präsidiums des BVwG ist eine Angelegenheit des Interesses der Allgemeinheit. Dem um die Auskunft ersuchenden Journalisten kommt als "social watchdog" eine wichtige Rolle für die Garantie der Meinungsäußerungs- und Informationsfreiheit zu. Die Namen jener Bewerber, die von der eingesetzten Kommission nicht vorgeschlagen wurden, sind jedoch schützenswerte personenbezogene Daten. Diese Bewerber mussten nicht damit rechnen, dass ihre Identität und die Einschätzungen und Wertungen der Kommission veröffentlicht werden. Die Herausgabe des ungeschwärzten Gutachtens der Kommission sowie des ungeschwärzten Minderheitsvotums wird daher verweigert (BVwG 25.10.2024, W211 2295570-1).

· Gibt die DSB einer Datenschutzbeschwerde statt, ist der Betroffene in keinem subjektiven Recht verletzt. Die Bescheidbeschwerde ist mangels formeller Beschwer unzulässig. Voraussetzung für eine Untersagung der Verarbeitung iSd § 22 Abs 4 DSG ist, dass die Datenverarbeitung noch nicht abgeschlossen ist. Zudem gibt es keinen subjektiven Rechtsanspruch auf eine solche Untersagung. Im Administrativverfahren kann keine Geldbuße gegen einen Verantwortlichen verhängt werden. Auf das Verhängen einer Geldbuße besteht auch kein subjektiver Rechtsanspruch. Weiters kann gegen Körperschaften des öffentlichen Rechts gemäß § 30 Abs 5 DSG keine Geldbuße verhängt werden (BVwG 27.11.2024, W252 2299666-1).

Rechtsprechung des BFG

· Der EuGH hat mit Urteil vom 22.11.2022, C-37/20 und C-601/20, Luxembourg Business Registers, entschieden, dass die Bestimmung des Art 30 Abs 5 der 5. Geldwäscherichtlinie, die den öffentlichen Zugang zu Informationen über wirtschaftliche Eigentümer vorsieht, ungültig ist. Der EuGH begründete dies mit einem schwerwiegenden Eingriff in das Recht auf Achtung des Privat- und Familienlebens sowie das Recht auf Schutz personenbezogener Daten. Diese Entscheidung betrifft jedoch nur die öffentliche Einsicht in das Register der wirtschaftlichen Eigentümer gemäß § 10 WiEReG und nicht die Meldepflicht selbst. Die Verpflichtung zur Meldung und deren Erzwingung verletzen keine Grundrechte (BFG 19.12.2024, RV/7102904/2021).

Rechtsprechung der DSB

DSB 16.10.2024, 2024-0.641.771

Geldstrafe, handelsrechtlicher Geschäftsführer, Datenschutzbeauftragter

· Die DSB verhängte eine Geldstrafe von EUR 5.500 gegen ein Unternehmen, weil dieses ihren handelsrechtlichen Geschäftsführer ("Gf") als Datenschutzbeauftragten ("DSBA") benannte, ohne sicherzustellen, dass diese Doppelrolle nicht zu einem Interessenkonflikt führt. Das Unternehmen hat dadurch eine ungeeignete Person als Datenschutzbeauftragten benannt. Der Verstoß erstreckte sich über den Zeitraum von etwa drei Jahren.

Die DSB hat erwogen: Das Unternehmen verstieß gegen ihre Pflicht gemäß Art 38 Abs 6 DSGVO, indem sie ihren Gf zum DSBA benannte, obwohl dieser aufgrund seiner gleichzeitigen Tätigkeit als Gf und DSBA einem Interessenkonflikt unterlag, weshalb im Ergebnis eine ungeeignete Person als DSBA benannt wurde. Ein Interessenkonflikt liegt vor, wenn der DSBA zugleich Aufgaben oder Pflichten wahrnimmt, die die Ausübung seiner Stellung beeinträchtigen könnten. Dies ist insbesondere bei leitenden Managementpositionen wie der Geschäftsführung der Fall. Dem DSBA dürfen keine Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen, weil deren Überwachung unabhängig durchgeführt werden muss.

Bei der Strafzumessung ist insb der Umsatz (Geschäftsjahr 2023: EUR 4 Millionen), die Schwere der Zuwiderhandlung (niedrig; "low level of seriousness"), die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Fahrlässigkeit, weil sich das Unternehmen nicht mit seinen Verpflichtungen auseinandergesetzt hat, obwohl dies zumutbar und möglich gewesen wäre), die bisherigen Verstöße (keine) und die Mitwirkung im Ermittlungsverfahren als Bemessungsgrundlage heranzuziehen. Eine Geldstrafe von EUR 5.000 (zzgl EUR 500 Verfahrenskostenbeitrag) ist angemessen.

DSB 21.09.2022, 2022-0.672.331

Videoüberwachung, Mitwirkungspflicht, freie Beweiswürdigung

· Die Nachbarin der Betroffenen betrieb eine Kamera mit Video- und Tonüberwachung an ihrer Wohnungstüre, welche auch die Wohnungstüre der Betroffenen sowie den Stiegen- und Liftbereich umfasste. Nachdem die Nachbarin trotz Aufforderung, die Überwachung zu unterlassen, nicht reagierte, brachte die Betroffene bei der DSB eine Datenschutzbeschwerde wegen Verletzung ihres Rechts auf Geheimhaltung ein.

Die DSB forderte die Nachbarin mehrmals zur Stellungnahme auf, jedoch ohne Erfolg. Daraufhin leitete die DSB amtswegig ein Verwaltungsstrafverfahren wegen Verletzung der Mitwirkungspflicht iSd Art 31 DSGVO ein und verhängte eine Geldbuße.

Anschließend setzte die DSB das Administrativverfahren fort, stellte eine Verletzung des Rechts auf Geheimhaltung fest und trug der Nachbarin auf, den Bild- und Tonaufnahmebereich der von ihr betriebenen Kamera einzuschränken.

Die DSB hat erwogen: Dort, wo der Behörde die Ermittlung von Tatsachen ohne Mitwirkung der Partei nicht möglich ist, liegt es an der Partei, ihr Wissen einzubringen. Die nicht gehörige Mitwirkungspflicht im Beweisverfahren unterliegt der freien Beweiswürdigung, in dessen Rahmen die Behörde auch negative Schlüsse ziehen kann.

Die Kamera der Nachbarin erfasste den Wohnungseingangsbereich der Betroffenen und weitere genutzte Flächen in Bild und Ton, wodurch personenbezogene Daten verarbeitet wurden. Die Nachbarin hat keine Einwilligung der Betroffenen eingeholt. Die Verarbeitung kann auf Art 6 Abs 1 lit f DSGVO gestützt werden, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Der Schutz des Eigentums oder der Gesundheit kann ein berechtigtes Interesse sein. Die Erforderlichkeit der Datenverarbeitung muss sich aber auf das für die Zwecke der Verarbeitung absolut notwendige Maß beschränken.

Die Erfassung des Wohnungseingangsbereichs der Betroffenen sowie des gesamten Stiegen- und Liftbereichs war nicht erforderlich, um die allenfalls verfolgten Zwecke der Nachbarin zu erreichen. Die Kamera könnte so eingestellt werden, dass nur der unmittelbare Wohnungseingangsbereich der Nachbarin erfasst wird. Die von der Nachbarin angebrachte Kamera zeichnete nicht nur zeitlich beschränkte Momente auf, sondern filmte bereits vor Betätigen der Türklingel. Die Möglichkeit zur ortsungebundenen Betrachtung der Kameraübertragung und die Tonaufnahme stellen einen intensiveren Eingriff in die Rechte der Betroffenen dar. Die Verarbeitung war daher unverhältnismäßig und rechtswidrig.

Vorschau EuGH-Rechtsprechung

· Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.

· Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

· Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.

· Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.

· Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.

Datenschutzrechtsmonitor 22.01.2025

Rechtsprechung des VfGH

VfGH 02.12.2024, E1380/2024; 02.12.2024, E1379/2024

Nationalrat, Auskunftsrecht

· Ein Abgeordneter zum Nationalrat stellte zur Vorbereitung seiner parlamentarischen Tätigkeit Auskunftsersuchen zu Korruptionsvorwürfen an den Bundesminister für Bildung, Wissenschaft und Forschung (E1379/2024) und an den Bundesminister für Finanzen (E1380/2024), die er auf das AuskunftspflichtG stützte. Nachdem ihm die Auskünfte verweigert wurden, erhob er Bescheidbeschwerden an das BVwG, das diese abwies. Begründet wurde dies damit, dass der Abgeordnete das Auskunftsbegehren als Abgeordneter zum Nationalrat gestellt habe. In dieser Funktion komme ihm gemäß Art 52 B-VG (Interpellationsrecht) ein besonderes Auskunftsrecht zu. Aufgrund dieses spezielleren Auskunftsrechts sei eine Auskunft gemäß § 6 AuskunftspflichtG ausgeschlossen. Dagegen erhob er Erkenntnisbeschwerden gemäß Art 144 B-VG wegen Verletzung in verfassungsgesetzlich gewährleisteten Rechten an den VfGH, der diesen stattgab und feststellte, dass der Abgeordnete im Recht auf Gleichheit aller Staatsbürger vor dem Gesetz gemäß Art 2 StGG und Art 7
B-VG verletzt wurde.

Der VfGH hat erwogen: Das BVwG begründet seine Entscheidung ausschließlich damit, dass das Auskunftsbegehren in der Funktion eines Abgeordneten zum Nationalrat und damit als Organ der Gesetzgebung gestellt wurde. Das Interpellationsrecht ist in Art 52 B-VG sowie den §§ 90 ff GOG-NR geregelt und unterliegt strengen Formalvoraussetzungen.

Anfragen von Abgeordneten sind nur dann eine der Gesetzgebung zuzuzählende Tätigkeit eines gesetzgebenden Organs, wenn sie in der vorgesehenen Weise gestellt wurden. Das Verhalten eines Abgeordneten ist nicht schlechthin immer schon dann der Gesetzgebung zuzuzählen, wenn der Abgeordnete als solcher auftritt. Auch ein Verweis auf die Vorbereitung der parlamentarischen Tätigkeit in den Auskunftsersuchen ändert daran nichts. Auch ein Abgeordneter muss wie jedermann das Recht haben, ein Auskunftsbegehren nach dem AuskunftspflichtG zu stellen.

Rechtsprechung des OGH

Aus der Rechtsprechung des OGH:

Zentrales Testamentsregister, Erbe, Notar

· Der quotenmäßige Erbe eines Verstorbenen hat kein Recht auf Einsicht in das von der Österreichischen Notariatskammer geführte Österreichische Zentrale Testamentsregister ("ÖZTR"). Auf die Datenverarbeitungen zur Führung des ÖZTR sowie die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sind die Notariatsordnung ("NO") und die nach § 140a Abs 2 Z 8 NO erlassenen Richtlinien ("RL") anzuwenden. § 140c Abs 3 NO sieht eine Übermittlung der registrierten Daten (nur) an die (i) Verlassenschaftsgerichte und (ii) öffentlichen Notare als Gerichtskommissäre in Verlassenschaftssachen sowie (iii) zu Kontrollzwecken an die Gerichte, Notare und Rechtsanwälte vor. Hingegen ist ein Erbe weder in der NO noch in den RL genannt (OGH 11.12.2024, 6Ob147/24x).

Rechtsprechung des BVwG

BVwG 06.11.2024, L532 2300411-1

Gesetzesprüfungsantrag, Handyauswertung

· Im Verfahren vor dem Bundesamt für Fremdenwesen und Asyl zielen die §§ 35a, 39, 39a BFA-VG darauf ab, die Reiseroute und Identität eines Asylwerbers zu ermitteln. Dazu erlauben sie die Sicherstellung und – aufgrund behördlicher Anordnung – die Auswertung von Datenträgern. Die Auswertung eines Datenträgers setzt lediglich voraus, dass ein Antrag auf internationalen Schutz gestellt wurde, eine Feststellung der Identität nicht möglich ist und eine Auswertung nicht bereits durch die Erstaufnahmestelle erfolgt ist.

In einem Maßnahmenbeschwerdeverfahren wurde die Verfassungskonformität dieser Bestimmungen in Frage gestellt, weil sie weitreichende Eingriffsbefugnisse ohne angemessenen Rechtsschutz und Garantien für die Betroffenen vorsehen würden. Erst kürzlich habe der VfGH entschieden, dass die Abnahme und Sicherstellung von Mobiltelefonen im strafrechtlichen Ermittlungsverfahren ohne richterliche Bewilligung gegen das Grundrecht auf Datenschutz und das Recht auf Privatleben verstoße und daher verfassungswidrig sei.

Die Maßnahmen im BFA-VG böten bei gleicher Eingriffsintensität schwächere Garantien zum Schutz der Geheimhaltungsinteressen der Betroffenen als die für verfassungswidrig erklärten Regelungen der StPO. Der Grundrechtseingriff könne im Rahmen einer Maßnahmenbeschwerde nicht vollständig angefochten werden, sodass der gesetzlich vorgesehene Rechtsschutz gegen die Sicherstellung und Auswertung eines Datenträgers unzureichend sei.

Das BVwG teilt diese Bedenken, setzte das Maßnahmenbeschwerdeverfahren aus und stellte einen Gesetzesprüfungsantrag an den VfGH auf Aufhebung einzelner Bestimmungen des BFA-VG.

Das BVwG hat erwogen: Es bestehen erhebliche Bedenken an der Verfassungskonformität der §§ 35a, 39, 39a BFA-VG und des § 38 Abs 2 BFA-VG. Zwar wurde die Verfassungsmäßigkeit von § 38 Abs 2 BFA-VG nicht in Zweifel gezogen, doch darf diese Bestimmung bei einer Aufhebung der übrigen Bestimmungen nicht bestehen bleiben.

Dem Gesetzgeber steht es frei, für verschiedene Regelungsregime wie Strafprozessrecht und fremdenrechtliches Verfahrensrecht unterschiedliche Anordnungen zu treffen. Es ist jedoch nicht nachvollziehbar, warum gravierende unterschiedliche Anforderungen gelten sollten, die zu unsachlichen Schlechterstellungen führen.

Ein gangbarer gesetzgeberischer Weg wäre, die Anordnungsbefugnis zur Datenträgersicherstellung unverändert im Rechtsbestand zu belassen, die Anordnung zur Datenträgerauswertung jedoch von einer bekämpfbaren Entscheidung des BVwG abhängig zu machen, sodass die Rechtsschutzmöglichkeiten von betroffenen Fremden bei gleichzeitiger Sicherstellung effektiver verwaltungsbehördlicher Verfahrensführung gewahrt blieben.

BVwG 18.10.2024, W256 2248161-1

Verarbeitung, Informationspflicht, Ausnahme

· Ein Wahlberechtigter abonnierte über die Website einer politischen Partei deren Newsletter unter Angabe seiner E-Mail-Adresse. Diese enthielten Informationen über politische Themen und Aktivitäten in Form von Texten, die von Regierungsmitgliedern verfasst und unterzeichnet wurden. Der Versand erfolgte über das technische Netzwerk der Partei und in deren eigener Verantwortung.

Der Wahlberechtigte stellte ein Auskunftsersuchen nach Art 15 DSGVO. Die darauf erteilte Auskunft hielt er für unzureichend. Zudem vertrat er die Ansicht, dass eine Offenlegung seiner personenbezogenen Daten an Dritte erfolgt sei. Weiters monierte er eine Verletzung der Informationspflicht gemäß Art 14 DSGVO wegen der Verarbeitung seiner Daten aus der Wählerevidenz. Die DSB stellte zwar fest, dass die Partei sein Recht auf Auskunft verletzt hatte, jedoch sei keine Offenlegung an Dritte erfolgt. Weiters wurde die Datenschutzbeschwerde hinsichtlich der Verletzung der Informationspflicht abgewiesen. Daraufhin erhob der Wahlberechtigte (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Spruch enthält keine explizite Abweisung in Bezug auf die vom Wahlberechtigten aufgezeigte Unvollständigkeit der Auskunft. Fehlt es dem Spruch an der gebotenen Deutlichkeit, so ist die Bescheidbegründung zu seiner Auslegung heranzuziehen. Unter Berücksichtigung der Bescheidbegründung kann kein Zweifel daran bestehen, dass die Datenschutzbeschwerde in dieser Hinsicht abgewiesen wurde.

Nach Art 4 Z 2 DSGVO fällt nicht nur die Offenlegung durch Übermittlung, sondern bereits jede "andere Form der Bereitstellung" unter den Begriff einer Verarbeitung. Damit wird der Charakter der Offenlegung als "Zugänglichmachen" verdeutlicht. Jedoch räumte man den jeweiligen Regierungsmitgliedern in keiner Weise eine Einblicksmöglichkeit in die Daten des Wahlberechtigten ein. Es wurden lediglich von diesen bereitgestellte Texte in die Newsletter kopiert und in weiterer Folge unter Verwendung der Daten des Wahlberechtigten an diesen versendet.

Gemäß Art 14 DSGVO hat der Verantwortliche der Betroffenen bestimmte Informationen zur Verfügung zu stellen. Nach Art 14 Abs 5 lit c DSGVO entfallen die Informationspflichten, wenn und soweit eine Rechtsvorschrift die Erhebung oder (zweckändernde) Offenlegung bestimmter Daten ausdrücklich regelt.

Die Daten des Wahlberechtigten wurden aufgrund der Bestimmung des § 4 Abs 2 Wählerevidenzgesetz aus der Wählerevidenz der Gemeinde erhoben. Die Ausnahmereglung des Art 14 Abs 5 lit c DSGVO greift hier zwar nicht, weil die Partei nicht verpflichtet war, die Daten zu erheben, sondern die Erhebung freiwillig erfolgte. Die Partei hatte aber bereits im Zeitpunkt der Datenerhebung in ihrer Datenschutzerklärung auf der Website und in den Aussendungen über die Datenverarbeitung informiert. Die zusätzliche Nennung der bereits im Gesetz ausreichend klar und präzise geregelten Informationen gemäß Art 14 DSGVO ist in einem solchen Fall nicht erforderlich. Schon allein der Hinweis auf die tatsächliche Datenverarbeitung versetzt die betroffene Person in die Lage, sich anhand der Rechtsvorschrift einen hinreichenden Überblick über die konkrete Datenverwendung zu verschaffen.

Da die gegenständliche Datenerhebung zum Zweck der Kommunikation erfolgt ist, bestehen im Hinblick auf die Ausnahmeregelung des Art 14 Abs 3 lit b DSGVO auch keine Bedenken daran, dass die Informationserteilung der Partei rechtzeitig erfolgt ist.

BVwG 30.10.2024, W256 2247276-1

Präklusion

· In einem Rechtsstreit vor Gericht übermittelte die beklagte Klinik Gesundheitsdaten auf deren Ansuchen an die dem Rechtsstreit beigetretene Nebenintervenientin. Von der Datenübermittlung erfuhr der klagende Patient von der Klinik im Mai 2019 aufgrund eines Auskunftsersuchens. Der Patient fühlte sich durch diese Vorgehensweise in seinem Recht auf Geheimhaltung verletzt, weil die Übermittlung der Gesundheitsdaten zur Verteidigung von Rechtsansprüchen nicht notwendig gewesen sei und brachte im Juni 2020 Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde ab. Dagegen erhob der Patient Bescheidbeschwerde an das BVwG. Das BVwG wies die Bescheidbeschwerde wegen bereits eingetretener Präklusion gemäß § 24 Abs 4 DSG zurück.

Das BVwG hat erwogen: Die Verjährungsregelung des § 24 Abs 4 DSG ist eine Präklusivfrist, die von Amts wegen wahrzunehmen ist und die Lebensdauer eines Rechts nicht verlängerbar begrenzt. Da die DSGVO keine Vorschriften oder Fristen für die Rechtsverfolgung enthält, ist es Sache jedes einzelnen Mitgliedstaats, das Verfahren für die Rechtsverfolgung und auch die Präklusion von Rechten in seiner innerstaatlichen Rechtsordnung unter Wahrung der Grundsätze der Äquivalenz und Effektivität auszugestalten.

Das Grundrecht auf Datenschutz darf nur unter Einhaltung strenger Bedingungen eingeschränkt werden. Zulässige Einschränkungen müssen dabei gesetzlich vorgesehen sein, den Wesensgehalt des betreffenden Rechts beachten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sein und dem von der EU anerkannten Gemeinwohl entsprechen. Die Präklusion und somit die Einschränkung des Grundrechts auf Datenschutz ist in § 24 Abs 4 DSG gesetzlich vorgesehen.

Die einjährige Präklusivfrist des § 24 Abs 4 DSG beginnt mit Kenntnis der Betroffenen vom "beschwerenden Ereignis" zu laufen. Der Patient war nach der Beantwortung des Auskunftsersuchens im Mai 2019 in der Lage, das zur Begründung seines Anspruchs erforderliche Sachvorbringen in Form einer Datenschutzbeschwerde konkret zu erstatten. Die einjährige subjektive Frist des § 24 Abs 4 DSG begann daher ab diesem Zeitpunkt zu laufen und war bei Beschwerdeerhebung schon verstrichen.

· Die Behörden und Gerichte dürfen nur darüber absprechen, was beantragt wurde. Sie sind an den Inhalt der Datenschutzbeschwerde gebunden. Gegenstand des Verfahrens ist daher ausschließlich die zugrundeliegende Datenschutzbeschwerde und die darin konkret geltend gemachte Rechtsverletzung. Weder die DSB noch das BVwG haben im Falle einer behaupteten Verletzung im Recht auf Auskunft jegliche Rechtsverletzung zu überprüfen. Ein subjektives Recht auf Einleitung eines Strafverfahrens besteht nicht. Darüber hinaus gilt nach § 25 Abs 1 VStG das Prinzip der Amtswegigkeit. Die Behörde hat sowohl bei der Einleitung als auch bei der Durchführung des Verwaltungsstrafverfahrens von Amts wegen vorzugehen. Der Betroffene hat keinen Anspruch auf Einleitung eines Verwaltungsstrafverfahrens (BVwG 27.11.2024, W256 2246546-1).

· Stirbt der Betroffene, hat das BVwG den angefochtenen Bescheid ersatzlos aufzuheben. Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod des Betroffenen untergeht und nicht auf einen etwaigen Rechtsnachfolger übergehen kann. Mit dem Verlust der Parteistellung fällt die Berechtigung weg, eine Datenschutzbeschwerde zu erheben. Damit einhergehend fällt die Berechtigung der DSB weg, über die Datenschutzbeschwerde zu entscheiden (BVwG 10.12.2024, W211 2272735-1).

Leitlinien

EDSA Leitlinien 01/2025 über Pseudonymisierung (2025)

Pseudonymisierung, Personenbezug, Weiterverarbeitung

· Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Pseudonymisierung angenommen, in welchen der EDSA insb die Definition und Anwendbarkeit der Pseudonymisierung und deren Vorteile erläutert. Klargestellt wird, dass pseudonymisierte Daten, die einer Person (vom Verantwortlichen oder einer anderen Person) durch zusätzliche Informationen zugeordnet werden könnten, immer noch personenbezogene Daten sind. Die Pseudonymisierung kann Risiken reduzieren und die Nutzung berechtigter Interessen als Erlaubnistatbestand erleichtern, sofern alle anderen Anforderungen der DSGVO erfüllt sind. Die Pseudonymisierung kann dazu beitragen, iSd Art 6 Abs 4 DSGVO die Vereinbarkeit der Weiterverarbeitung mit dem ursprünglichen Zweck zu gewährleisten. Die Pseudonymisierung kann Organisationen auch helfen, ihren Verpflichtungen gemäß Art 5, 25 und 32 DSGVO nachzukommen. Bestimmte technische Maßnahmen und Garantien bei der Verwendung von Pseudonymisierung können zudem die Vertraulichkeit gewährleisten und eine unbefugte Identifizierung von Personen verhindern. Anm: Die Leitlinien werden bis zum 28.02.2025 einer öffentlichen Konsultation unterzogen, um Interessenträgern Gelegenheit zur Stellungnahme zu geben.

Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht

Markt- und Wettbewerbsfaktoren, Datenschutzpraktiken, Regulierungsbehörden

· Der EDSA hat eine Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht angenommen, in der Konstellationen erörtert werden, in denen sich diese Rechtsgebiete überschneiden können. Obwohl es separate Rechtsgebiete mit unterschiedlichen Zielen in unterschiedlichen Rahmen sind, können sie in bestimmten Fällen für dieselben Einrichtungen gelten. Unter bestimmten Voraussetzungen sollen Schritte zur Einbeziehung von Markt- und Wettbewerbsfaktoren in die Datenschutzpraktiken und zur Berücksichtigung von Datenschutzvorschriften bei Wettbewerbsbewertungen gemacht werden.

Die Zusammenarbeit zwischen den Regulierungsbehörden soll verbessert werden, ua indem eine zentrale Anlaufstelle eingerichtet wird, um die Koordinierung zwischen Regulierungsbehörden zu fördern.

EU-Rechtsakte

· Am 15.01.2025 ist die "VO (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste", ABl L 2025/37, 1, kundgemacht worden. Mit dieser VO werden europäische Schemata für die Cybersicherheitszertifizierung eingeführt. Zudem wird ua ein europäischer Zertifizierungsrahmen für die Cybersicherheit geschaffen.

· Am 15.01.2025 ist die "VO (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694 (Cybersolidaritätsverordnung)", ABl L 2025/38, 1, kundgemacht worden. Mit dieser VO werden Maßnahmen zur Stärkung der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen festgelegt.

Vorschau EuGH-Rechtsprechung

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

Datenschutzrechtsmonitor 12.01.2025

Rechtsprechung des EuGH

EuGH 09.01.2025, C-394/23, Mousse

Anrede, Vertragserfüllung, berechtigtes Interesse

· Ein Transportunternehmen verlangte bei der Online-Buchung von Fahrscheinen die Angabe der Anrede "Herr" oder "Frau". Der Verband "Mousse" erhob Klage, weil diese Datenverarbeitung weder auf einer Rechtsgrundlage gemäß Art 6 Abs 1 DSVGO beruhe noch dem Grundsatz der Datenminimierung entspreche. Zudem seien Transparenz- und Informationspflichten gemäß Art 13 DSGVO verletzt. Die Vorlagefrage des vorlegenden Gerichts betraf die in Art 6 Abs 1 lit b (Vertragserfüllung) und lit f (berechtigte Interessen) DSGVO genannten Rechtfertigungsgründe.

Der EuGH hat erwogen: Eine geschlechtsspezifische Personalisierung der geschäftlichen Kommunikation ist weder objektiv unerlässlich noch wesentlich, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Die Datenverarbeitung kann daher nicht auf Art 6 Abs 1 lit b DSGVO gestützt werden. Weniger einschneidend wären allgemeine und inklusive Höflichkeitsformen, die von der Geschlechtsidentität unabhängig sind.

Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn (i) ein berechtigtes Interesse des Verantwortlichen oder eines Dritten wahrgenommen wird; (ii) die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich ist und (iii) die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Kommerzielle Direktwerbung und deren Personalisierung können ein berechtigtes Interesse sein. Gemäß Art 13 Abs 1 DSGVO ist den Betroffenen zum Zeitpunkt der Datenerhebung das verfolgte berechtigte Interesse aber mitzuteilen. Andernfalls kann die Erhebung nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden.

Die Abfrage einer Anrede und/oder Geschlechtsidentität erscheint im Licht des Grundsatzes der Datenminimierung nicht erforderlich. Für die Personalisierung reichen Name und Vorname der Kunden aus. Art 6 Abs 1 lit f DSGVO sieht bei der Beurteilung der Erforderlichkeit einer Datenverarbeitung keine Berücksichtigung der Gepflogenheiten und gesellschaftlichen Konventionen vor.

Im Fall der Gefahr einer Beeinträchtigung der Grundrechte und Grundfreiheiten der Betroffenen kann das berechtigte Interesse an kommerzieller Direktwerbung nicht überwiegen. Das vorlegende Gericht hat insbesondere zu prüfen, ob die Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität besteht. Dies vor allem im Licht der RL (EU) 2004/113, mit der der Grundsatz der Gleichbehandlung von Männern und Frauen beim Zugang zu und bei der Versorgung mit Gütern und Dienstleistungen verwirklicht wird. Diese Richtlinie gilt auch für Diskriminierungen, die ihre Ursache in der Änderung der Geschlechtsidentität einer Person haben.

EuGH 09.01.2025, C-416/23, Österreichische Datenschutzbehörde

Exzess, Wahlrecht der Aufsichtsbehörde

· Innerhalb von etwa 20 Monaten brachte eine Betroffene 77 ähnliche Datenschutzbeschwerden bei der DSB ein. Die DSB lehnte die Behandlung einer der Datenschutzbeschwerden ab, weil sie exzessiv sei. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH ersuchte den EuGH um Vorabentscheidung, ob (i) der Begriff der "Anfrage" iSd Art 57 Abs 4 DSGVO auch Beschwerden nach Art 77 Abs 1 DSGVO erfasse, (ii) ob ein Exzess allein an der Anzahl von Beschwerden, die eine Person an eine Aufsichtsbehörde stellt, festzumachen sei, und (iii) ob eine Aufsichtsbehörde frei wählen könne, eine angemessene Gebühr zu verlangen oder die Behandlung der Beschwerde zu verweigern.

Der EuGH hat erwogen: Für die Verfolgung des Ziels, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union sicherzustellen, ist das ordnungsgemäße Funktionieren der Aufsichtsbehörden unentbehrlich. Art 57 Abs 4 DSGVO soll der Verfolgung dieses Ziels dienen, indem verhindert wird, dass Aufsichtsbehörden durch offenkundig unbegründete oder exzessive Beschwerden behindert werden.

Eine Auslegung dahingehend, dass der Begriff "Anfrage" nur Anfragen nach Art 57 Abs 1 lit e DSGVO und nicht auch Beschwerden nach Art 77 Abs 1 DSGVO umfasse, würde Art 57 Abs 4 DSGVO eines großen Teils seiner praktischen Wirksamkeit berauben und – im Ergebnis – den wirksamen Schutz der durch diese Verordnung garantierten Rechte untergraben. Der in Art 57 Abs 4 DSGVO enthaltene Begriff der "Anfrage" umfasst daher auch Beschwerden an Aufsichtsbehörden.

Die – alleinige – Häufung von Beschwerden von einer Person kann ein Indiz für exzessive Anfragen sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann etwa dann der Fall sein, wenn eine Person eine große Zahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat und diese übermäßige Inanspruchnahme des Beschwerderechts in Verbindung mit anderen Gesichtspunkten, wie dem Inhalt der Beschwerden, die Absicht der Person erkennen lässt, die Behörde lahmzulegen, indem sie sie mit Anfragen überflutet. Eine isolierte Betrachtung der Zahl der Beschwerden könnte zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen. Die Feststellung, dass exzessive Anfragen iSd Art 57 Abs 4 DSGVO vorliegen, setzt aus diesen Überlegungen den Nachweis einer Missbrauchsabsicht der Person voraus, die solche Beschwerden einreicht.

Die beiden in Art 57 Abs 4 DSGVO für den Fall exzessiver Anfragen vorgesehenen Optionen, nämlich (i) eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, oder (ii) sich zu weigern, aufgrund solcher Anfragen tätig zu werden, sind nebeneinander aufgeführt und durch die nebenordnende Konjunktion "oder" getrennt. Dieser Wortinterpretation Rechnung tragend darf die Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung darüber wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Die Aufsichtsbehörde hat dabei jedoch alle relevanten Umstände zu berücksichtigen und muss sich vergewissern, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.

Rechtsprechung des EuG

EuG 08.01.2025, T-354/22, Bindl/Kommission

IP-Adresse, Datentransfer, Schadenersatz

· Ein Bürger besuchte eine Website der EU, für die die Europäische Kommission ("Kommission") datenschutzrechtliche Verantwortliche war. Er meldete sich für eine Veranstaltung über "EU Login" mittels "Sign in with Facebook" an. Der Bürger ersuchte die Kommission nach der Anmeldung zwei Mal um Datenauskunft bzgl der dadurch verarbeiteten Daten. Ihm wurde auf seine erste Anfrage mitgeteilt, dass seine Daten nicht an Drittländer übermittelt und nur innerhalb Europas gespeichert und verarbeitet werden. Auf seine (präzisierte) zweite Anfrage, die konkrete Fragen zur Datenübermittlung an Meta in den USA aufgrund der Anmeldung enthielt, reagierte die Kommission nicht innerhalb der vorgesehenen Frist, weshalb der Bürger eine Klage an das EuG erhob. Das EuG gab der Klage teilweise statt und sprach dem Bürger auch Schadenersatz zu.

Das EuG hat erwogen: Die beantragte Nichtigerklärung der Übermittlungen der personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau ist abzuweisen, weil sich ein solcher Antrag nur auf Rechtsakte beziehen kann. Die Datenübermittlung ist dagegen ein Realakt, der einer Nichtigerklärung nicht zugänglich ist.

Die Datenübermittlung an die USA bei der Anmeldung für die Veranstaltung ist der Kommission zuzurechnen. Diese hat als Verantwortliche der Website mit dem Hyperlink "Sign in with Facebook" die Voraussetzungen für die Übermittlung der IP-Adresse des Bürgers an Facebook (= Meta) geschaffen. Da – zum Zeitpunkt der Datenübermittlung – kein Angemessenheitsbeschluss vorlag und die Kommission auch keine geeigneten Garantien (Standarddatenschutz- oder Vertragsklauseln) nachweisen konnte, galten nur die Nutzungsbedingungen von Facebook. Die Kommission hat somit gegen die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ der Union verstoßen.

Durch die Datenübermittlung wurde der Bürger in eine Lage gebracht, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Daher hat er einen immateriellen Schaden erlitten. Für die unrechtmäßige Datenübermittlung ist eine Entschädigung iHv EUR 400 angemessen. Anm: Gegen diese Entscheidung könnte ein Rechtsmittel an den EuGH erhoben werden.

Rechtsprechung des VwGH

· Das BVwG hat mit Erkenntnis vom 27.06.2024, W176 2248629-1, ausgesprochen, dass die Übermittlung eines MRT-Befundes zur Behandlung im Gesundheitsbereich auf der Grundlage des MTD-Gesetzes zulässig ist. Die gegen dieses Erkenntnis gerichtete außerordentliche Revision wurde vom VwGH aus formalen Gründen zurückgewiesen. Ein Revisionswerber, der eine Abweichung des angefochtenen Erkenntnisses von der Rechtsprechung des Verwaltungsgerichtshofs behauptet, hat konkret darzulegen, dass der der gegenständlich angefochtenen Entscheidung zugrundeliegende Sachverhalt einer der von ihm ins Treffen geführten Entscheidung gleicht, das Verwaltungsgericht im revisionsgegenständlichen Fall jedoch anders entschieden hat und es damit von der ständigen Rechtsprechung des Verwaltungsgerichtshofs abgewichen ist. Eine bloße Wiedergabe von Rechtssätzen, die bloße Zitierung aus Literaturfundstellen oder Geschäftszahlen ohne Eingehen auf die behaupteten inhaltlichen Abweichungen reicht zur Darlegung des Abweichens von der Rechtsprechung des Verwaltungsgerichtshofs nicht aus (VwGH 26.11.2024, Ra 2024/04/0408). Anm: Die Zusammenfassung des Erkenntnisses des BVwG vom 27.06.2024, W176 2248629-1, können Sie im Schönherr Datenschutzmonitor vom 28.08.2024 nachlesen.

Rechtsprechung des BVwG

BVwG 25.11.2024, W252 2282050-1

Dark Patterns, Cookie-Banner, Widerruf

· Ein Websitenutzer brachte wegen behaupteter Mangelhaftigkeit eines Cookie-Banners einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Im Cookie-Banner war die Option zur Einwilligung farblich kontrastreich und groß gestaltet, die Möglichkeit zur Ablehnung war mit geringerem Kontrast und kleinerer Schrift gestaltet. Durch die Gestaltung wurde der Websitenutzer zu einer Einwilligung und damit zu einer Handlung gegen sein Interesse verleitet (Dark Patterns). In der Datenschutzbeschwerde machte der Websitenutzer die Verletzung in den Rechten auf Geheimhaltung und Löschung seiner Daten geltend. Die DSB wies die Datenschutzbeschwerde hinsichtlich des Rechts auf Geheimhaltung ab, gab ihr betreffend die Verletzung im Recht auf Löschung aber statt und trug dem Websitebetreiber eine Änderung des Cookie-Banners auf. Die Websitebetreiberin erhob Bescheidbeschwerde an das BVwG, insbesondere weil die DSGVO keine Gleichwertigkeit von Einwilligungs- und Ablehnungsoptionen vorschreibe. Das BVwG wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Durch die Verknüpfung von Zeichenfolgen mit zusätzlichen Daten, zB der IP‑Adresse oder einer anderen Kennung, kann die Identifizierung eines Websitenutzers ermöglicht werden. Es handelt sich dann um ein personenbezogenes Datum im Sinne von Art 4 Z 1 DSGVO. Eine Unique-ID ist auch dann ein personenbezogenes Datum, wenn der Websitebetreiber nicht selbst die Möglichkeit hat, diese mit einer gespeicherten oder unmittelbar von Dritten erhaltenen IP-Adresse zu kombinieren. Die Weiterverarbeitung von in Cookies gespeicherten oder weitergegebenen Daten fällt in den Anwendungsbereich der DSGVO.

Ein Verantwortlicher hat personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich gemäß Art 17 Abs 1 lit d DSGVO zu löschen. Dies trifft auch dann zu, wenn eine Einwilligung widerrufen wurde und eine andere Rechtsgrundlage für die Verarbeitung fehlt.

Eine Einwilligung muss in informierter Weise, unmissverständlich und eindeutig abgegeben werden. Eine versehentliche Einwilligung durch Betroffene soll durch die Bedingungen für die Einwilligung in Art 7 Abs 2 DSGVO und auch dem Transparenzgrundsatz in Art 5 Abs 1 lit a DSGVO verhindert werden.

Ist ein Einwilligungsbutton durch Größe, Kontrast und Platzierung auffällig gestaltet, die Widerspruchsmöglichkeit aber im Vergleich dazu unauffälliger, kann mangels Transparenz nicht von einer eindeutigen Einwilligung ausgegangen werden.

Ein Anspruch auf Ausgestaltung der Widerrufsmöglichkeit in Form eines "schwebenden" Symbols besteht jedoch nicht.

BVwG 18.11.2024, W274 2284469-1

Entschiedene Sache, Exekutionsverfahren

· Der Betroffene stellte ein Auskunftsersuchen an einen gerichtlich bestellten Gutachter, der im Rahmen eines Verfahrens vor dem Zivilgericht ein Gutachten mit Bezug zum Betroffenen erstellte. Dabei verlangte er ausdrücklich auch Auskunft über die Herkunft der Daten gemäß Art 15 Abs 1 lit g DSGVO. Der Betroffene behauptete, der Gutachter habe eine falsche Diagnose gestellt, ohne seine Krankengeschichte zu kennen. Nachdem der Gutachter dem Auskunftsersuchen nicht nachkam, brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Auskunft ein. Der Gutachter kam dem Ersuchen trotz zweimaligem Hinweis durch die DSB nicht nach, woraufhin die DSB eine Verletzung des Rechts auf Auskunft feststellte und dem Gutachter auftrug, innerhalb von vier Wochen dem Antrag des Betroffenen zu entsprechen. Der Gutachter übermittelte nach ergangenem Bescheid eine Auskunft zur Diagnose des Betroffenen und verwies auf eine frühere Diagnose eines anderen Arztes. Der Betroffene hielt die Diagnose für falsch und verlangte deren Korrektur. Nachdem der Gutachter an seiner Diagnose festhielt, forderte der Betroffene detailliertere Auskunft über die Herkunft der Daten. Der Gutachter verwies hierzu auf den Gerichtsakt. Der Betroffene erachtete diese Auskunft als unzureichend und reichte erneut eine Datenschutzbeschwerde bei der DSB ein, welche die DSB abwies, weil der Gutachter dem Betroffenen bereits Auskunft erteilt habe. Daraufhin erhob der Betroffene eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die materielle Rechtskraft eines Bescheids steht einer weiteren Entscheidung in derselben Rechtssache entgegen. Eine Änderung entscheidungsrelevanter Fakten führt dazu, dass die Sache ihre ursprüngliche Identität verliert, womit eine andere Sache vorliegt, über die bescheidmäßig abgesprochen werden kann oder muss. Bei der Beurteilung der Identität der Sache ist festzustellen, ob an den entscheidungsrelevanten Fakten eine wesentliche Änderung eingetreten ist.

Die Behörde hat die Identität der Sache im Vergleich mit dem im Vorbescheid angenommenen Sachverhalt zu beurteilen und zu prüfen, ob sich an diesem Sachverhalt oder an seiner rechtlichen Beurteilung eine wesentliche Änderung ergeben hat. Dem Vorbescheid lag eine Datenschutzbeschwerde zugrunde, der einen Antrag auf Feststellung der Rechtsverletzung durch den Gutachter sowie einen Leistungsauftrag zur Entsprechung des Auskunftsersuchens umfasste. Die zweite Datenschutzbeschwerde des Betroffenen bezog sich erneut auf die Herkunft der Daten. Die beantragte Auskunft über die Herkunft der Daten war bereits Gegenstand des Leistungsauftrags des ersten Bescheids. Die zweite Datenschutzbeschwerde war daher wegen entschiedener Sache zurückzuweisen.

Sollte der Betroffene mit den bisherigen Auskünften nicht zufrieden sein, ist er auf ein allfälliges Exekutionsverfahren zu verweisen. Zudem ist darauf hinzuweisen, dass die Fragen des Betroffenen typischerweise bei der Erörterung von Gutachten im Zivilverfahren zu klären sind.

BVwG 18.11.2024, W137 2297057-1

Auskunftsrecht, Rechte von Dritten, Öffnungsklausel

· Ein Mann war über acht Jahre mit der Pflege und Erziehung eines minderjährigen Kindes betraut. Nach einem behördlich eingeleiteten Überprüfungsverfahren wurde das Kind aufgrund von Bedenken hinsichtlich des Kindeswohls anderweitig untergebracht. Die Obsorge ging auf den Kinder- und Jugendhilfeträger über. Dieser verarbeitete personenbezogene Daten des ehemaligen Pflegevaters in mehreren elektronischen Akten. Neben dessen Papierakt lag ein weiterer Akt über das Kind vor, der auch personenbezogene Daten des ehemaligen Pflegevaters enthielt. Dieser stellte ein Auskunftsersuchen gemäß Art 15 DSGVO, um Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten. Weiters beantragte der ehemalige Pflegevater die Herausgabe seiner Daten in Papierform und forderte eine ungekürzte Übermittlung der beantragten Informationen samt Unterlagen. Die anschließend erteilte Auskunft hielt er für unvollständig. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Mann (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Eine Betroffene soll durch die Auskunft in die Lage versetzt werden, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Art 15 DSGVO gewährt jedoch nur das Recht, die eigenen Daten zu erhalten. Dementsprechend kann sich der ehemalige Pflegevater in Bezug auf die Daten des Kindes nicht auf Art 15 DSGVO stützen.

Weiters könnte er das Kind im Verfahren nur dann vertreten, wenn dies dessen Interesse im Rahmen des Kindeswohls entspräche. Da die Kinder- und Jugendhilfe ein höchst sensibler Bereich ist, können einzelne Informationen gemäß § 12 Abs 4 Wiener Kinder- und Jugendhilfegesetz (WKJHG) unter Berücksichtigung des Kindeswohls unter Umständen nicht erteilt oder Kopien nur eingeschränkt übermittelt werden.

Darüber hinaus darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Weiters enthalten die nach der Öffnungsklausel des Art 23 DSGVO zulässigen Bestimmungen, ua im WKJHG, Beschränkungen des Auskunftsrechts aufgrund von Kindeswohlerwägungen. Diese ähneln den Regelungen des § 4 Abs 6 DSG, die sich auf Geschäfts- und Betriebsgeheimnisse beziehen.

Da dem ehemaligen Pflegevater die Obsorge entzogen wurde, ist nicht anzunehmen, dass die Einsicht in den Papierakt seines ehemaligen Pflegekindes dem Kindeswohl dient. Dementsprechend ist die Zurverfügungstellung des noch nicht beauskunfteten Papierakts bzw der Aktenteile vor dem Hintergrund des Kindeswohls bzw der sonstigen Einschränkungen des Auskunftsrechts nach dem WKJHG nicht geboten.

Das Auskunftsrecht nach der DSGVO unterscheidet sich von den Rechten einer Verfahrenspartei im Rahmen eines Rechtsstreits. Es ist aber nicht dazu gedacht, allfällige Ausnahmen von einer Akteneinsicht auszuhebeln.

· Der Bürgermeister einer Stadt ist eine staatliche Behörde iSd § 1 Abs 2 DSG. Denn der Begriff "Behörde" ist im funktionellen Sinn zu verstehen, davon sind auch Selbstverwaltungskörper und alle Stellen der Hoheitsverwaltung erfasst. Eingriffe staatlicher Behörden sind nur aufgrund von Gesetzen zulässig, die ausreichend präzise, also für jedermann vorhersehbar, regeln, unter welchen Voraussetzungen die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist (BVwG 25.11.2024, W214 2273462-1).

· Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 04.12.2024, W603 2303734-1; 03.12.2024, I406 2300562-1).

Rechtsprechung der DSB

DSB 27.06.2024, 2024-0.028.256

Anzeige, Akteneinsicht, Interessenabwägung

· Der Betroffene machte eine Eingabe bei der Bauabteilung eines Gemeindeamts, in welcher er darauf hinwies, dass die Brandschutzsicherungsmaßnahmen sowie der Schallschutz eines Wohnbaus eines Grundstückseigentümers nicht in Ordnung seien und überprüft werden müssten. Dabei sei ihm nicht klar gewesen, dass es sich bei seiner Eingabe um eine Anzeige handle. Nachdem der Grundstückseigentümer Kenntnis von der Anzeige erlangte, nahm er Akteneinsicht und kontaktierte den Betroffenen telefonisch, wobei auch Beschimpfungen und Drohungen gefallen sein sollen. Das Gemeindeamt legte dem Grundstückseigentümer den Vor- und Nachnamen des Betroffenen offen, nicht aber dessen Telefonnummer. Daraufhin brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde gegen das Gemeindeamt bei der DSB ein, weil er sich durch die Weitergabe seiner Daten an den Grundstückseigentümer in seinem Grundrecht auf Geheimhaltung verletzt sah.

Die DSB hat erwogen: Gemäß § 1 Abs 1 DSG hat Jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Es spielt keine Rolle, auf welche Weise Daten verarbeitet werden, auch eine mündliche Mitteilung kann eine Verletzung sein. Der offengelegte Vor- und Nachname des Betroffenen fällt in den sachlichen Schutzbereich des § 1 DSG.

Die Offenlegung durch das Gemeindeamt erfolgte zwar auf Basis einer qualifizierten rechtlichen Grundlage, weil der Grundstückseigentümer sein Recht auf Akteneinsicht nach § 17 AVG wahrnahm. Grundsätzlich erstreckt sich die Akteneinsicht auf alle Unterlagen, die sich auf die Sache beziehen. § 17 Abs 3 AVG nimmt jedoch Aktenbestandteile davon aus, wenn der Einsichtnahme legitime Interessen entgegenstehen. Das Gemeindeamt hätte eine Interessenabwägung zwischen dem Recht auf Akteneinsicht des Grundstückseigentümers und dem Grundrecht auf Geheimhaltung des Betroffenen vornehmen müssen. Das Interesse des Grundstückseigentümers an vollständiger Information wäre dabei geringer zu gewichten als das Interesse an Geheimhaltung seitens des Betroffenen. Die Offenlegung der Identität des Betroffenen war zur Gewährleistung des Rechts auf Akteneinsicht nicht notwendig, weshalb eine Verletzung des Grundsatzes der Datenminimierung verwirklicht wurde.

EU-Rechtsakte

· Am 08.01.2025 ist die "VO (EU) 2025/12 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verbesserung und Erleichterung der Kontrollen an den Außengrenzen, zur Änderung der Verordnungen (EU) 2018/1726 und (EU) 2019/817 sowie zur Aufhebung der Richtlinie 2004/82/EG des Rates", ABl L 2025/12, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, bei Flügen in die Union sogenannte API-Daten (vorab übermittelte Fluggastdaten) zu erheben und diese verschlüsselt an die zuständigen Grenzbehörden zu übermitteln. Die API-Daten umfassen Identifizierungs-, Flugzeug- und Gepäckdaten.

· Am 08.01.2025 ist die "VO (EU) 2025/13 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818", ABl L 2025/13, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, zur Bekämpfung der länderübergreifenden schweren und organisierten Kriminalität sowie des Terrorismus an die sogenannten PNR-Zentralstellen verschlüsselte API-Daten und sonstige PNR-Daten (sonstige Fluggastdatensatzdaten) zu übermitteln.

· Am 10.01.2025 ist die "RL (EU) 2025/25 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinien 2009/102/EG und (EU) 2017/1132 zur Ausweitung und Optimierung des Einsatzes digitaler Werkzeuge und Verfahren im Gesellschaftsrecht", ABl L 2025/25, 1, kundgemacht worden. Ziel dieser RL ist es, durch die Vernetzung von Unternehmensregistern und die Schaffung von digitalen Werkzeugen, die grenzüberschreitende Gründung von Kapitalgesellschaften, Eintragung von Zweigniederlassungen und Einreichung von Dokumenten und Informationen bei den Unternehmensregistern zu erleichtern.

· Am 10.01.2025 ist eine Berichtigung der "VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte; DMA)", ABl L 2025/90024, 1, kundgemacht worden. Berichtigt wird ein redaktionelles Versehen und die Berichtigung betrifft nur einen Verweis auf die Befugnisse der Europäischen Kommission.

· Am 10.01.2025 ist die "UN-Regelung Nr. 155 — Einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems" im Amtsblatt der EU, ABL L 2025/5, 1, kundgemacht worden. Verbindlich ist jedoch die von der UN verabschiedete Originalfassung.

Vorschau EuGH-Rechtsakte

· Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

Datenschutzrechtsmonitor 08.01.2025

Rechtsprechung des VfGH

VfGH 09.03.2023, E2097/2021

Finanzdatenaustausch, Besteuerung, GMSG

· Ein Österreicher mit einem deutschen Bankkonto erachtete sich in seinem Grundrecht auf Datenschutz verletzt, weil der Bundesminister für Finanzen (BMF) personenbezogene Daten vom deutschen Bundeszentralamt für Steuern erhielt, verarbeitete und an die zuständige Abgabenbehörde weiterleitete. Die Datenverarbeitung beruhte auf § 113 Gemeinsamer Meldestandard-Gesetz (GMSG) und der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG wies die Bescheidbeschwerde ab. Der VfGH wies die Erkenntnisbeschwerde ab und trat sie an den VwGH zur Entscheidung darüber ab, ob der Österreicher durch das angefochtene Erkenntnis in einem sonstigen Recht verletzt wurde.

Der VfGH hat erwogen: §§ 112 und 113 GMSG setzen den automatischen Austausch von Finanzdaten gemäß Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung deckungsgleich um. Der VfGH kann die Verfassungsmäßigkeit der §§ 112 und 113 GMSG daher nur dann prüfen, wenn der EuGH zuvor Art 8 Abs 3a der Richtlinie für ungültig erklärt. Der VfGH hat jedoch auch keine Bedenken ob der Vereinbarkeit des Art 8 Abs 3a der Richtlinie mit Art 7 und 8 GRC.

Einschränkungen der Rechte auf Achtung des Privat- und Familienlebens, der Wohnung sowie Kommunikation und des Rechts auf Schutz personenbezogener Daten sind gemäß Art 52 GRC zulässig, wenn sie gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte wahren. Die Einschränkungen müssen verhältnismäßig und notwendig sein und im Einklang mit dem Gemeinwohl dienenden Zielsetzungen oder dem Schutz der Rechte und Freiheiten Dritter stehen.

Bei Eingriffen in das Datenschutzrecht muss das öffentliche Interesse an der Datenerhebung gegen den Schutz des Privatlebens abgewogen werden. Besonders schützenswert sind Daten, die für die spätere automatische Datenverarbeitung gesammelt werden. Es ist sicherzustellen, dass nur relevante Daten erhoben werden und diese nicht länger aufbewahrt werden, als dies für die Erreichung der Ziele erforderlich ist. Auch Schutzmaßnahmen gegen Datenmissbrauch sind zu treffen. Der BMF und alle am Informationsaustausch beteiligten Behörden sind an die Vorgaben der DSGVO gebunden, um den erforderlichen Sicherheitsanforderungen für die Verarbeitung zu entsprechen.

Die Weitergabe von Finanzdaten gemäß der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und somit gemäß §§ 112 f GMSG soll Steuerbetrug und -hinterziehung verhindern, die Wirksamkeit und Effizienz der Steuererhebung fördern und aggressive Steuerplanung eindämmen. Diese Ziele liegen alle im öffentlichen Interesse. Der automatische Informationsaustausch geht nicht über das Maß hinaus, das notwendig und erforderlich ist, um diese Ziele zu erreichen.

Die Rechtsprechung des EuGH zur Verhältnismäßigkeit der Vorratsdatenspeicherung sind auf die Regelungen der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung nicht übertragbar, weil sich die Regelungen in ihren Zielsetzungen unterscheiden und die verarbeiteten Finanzdaten nicht den Kernbereich des Privatlebens betreffen. Auch anderen EuGH-Urteilen kann nicht entnommen werden, dass Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung gegen Art 8 GRC verstoßen würde.

Rechtsprechung des BVwG

· Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen. Es besteht eine erhöhte Mitwirkungspflicht, wenn es um Umstände geht, die in der persönlichen Sphäre der Parteien liegen (BVwG 22.11.2024, W211 2272744-1; 18.11.2024, W137 2272120-1).

EU-Rechtsakte

· Am 30.12.2024 ist die "VO (EU) 2024/3228 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Aufhebung der Verordnung (EU) Nr. 524/2013 und zur Änderung der Verordnungen (EU) 2017/2394 und (EU) 2018/1724 im Hinblick auf die Einstellung der Europäischen Plattform für Online-Streitbeilegung", ABl L 2024/3228, 1, kundgemacht worden. Mit dieser Verordnung wird die Europäische Plattform für Online-Streitbeilegung eingestellt.

· Am 30.12.2024 ist die "RL (EU) 2024/3237 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinie (EU) 2015/413 zur Erleichterung des grenzüberschreitenden Austauschs von Informationen über die Straßenverkehrssicherheit gefährdende Verkehrsdelikte", ABl L 2024/3237, 1, kundgemacht worden. Geregelt werden ua der Austausch von Fahrzeugzulassungsdaten und die Amts- und Rechtshilfe betreffend Verkehrsdelikte.

Vorschau EuGH-Rechtsprechung

· Am 08.01.2025 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, verkündet. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.

· Am 09.01.2025 wird das Urteil des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.

· Am 09.01.2025 wird das Urteil des EuGH in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.

· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.

Dezember 2024

04.12. | 11.12 | 18.12. | 27.12. | 30.12.

Datenschutzrechtsmonitor 30.12.2024

Rechtsprechung des BVwG

· Eine Inhaberin von Urheberrechten ("Rechteinhaberin") übermittelte eine Abmahnung an einen Anbieter von Internetzugangsdiensten ("Internet Service Provider; ISP"). Der ISP teilte aufgrund dieser Abmahnung der zuständigen Telekom-Control-Kommission ("TKK") mit, dass er wegen eines Streaming-Links ua eine IP-Zugangssperre eingerichtet hat.

Die TKK leitete daraufhin von Amts wegen ein Verfahren ein und sprach mit Bescheid aus, dass die IP-Zugangssperre, die auf die Sperre einer IPv4-Adresse gerichtet war, gegen Art 3 Abs 3 der VO 2015/2120 verstoßen habe. Gegen den Bescheid der TKK wurde Bescheidbeschwerde an das BVwG erhoben.

Das BVwG setzte das Verfahren aus und legte dem EuGH zur Vorabentscheidung fünf Fragen zur Auslegung des Art 3 Abs 3 der VO 2015/2120 vor. Im Wesentlichen fragt das BVwG, welche Verkehrsmanagementmaßnahmen gemäß Art 3 VO 2015/2120 ein ISP zum Schutz urheberrechtlich geschützter Inhalte dritter Rechtsinhaber zu ergreifen hat. Konkret geht es dem BVwG um die Unterscheidung zwischen IP-Sperren und DNS-Sperren, um IP-Overblocking zu vermeiden. Dabei kritisiert das BVwG die Rechtsprechung des OGH, die keine entsprechende Unterscheidung trifft.

Das BVwG hat ua erwogen: In der Rechtsprechung des OGH, der über das Bestehen von Unterlassungsansprüchen in letzter Instanz entscheidet, wurde bisher nur die Sphäre jener Endnutzer beachtet, die selbst Kunden jenes ISP sind, der die IP-Sperren einrichtet. Die Definition der "Endnutzer" umfasst jedoch ausdrücklich auch Nutzer, die Informationen, Inhalte, Anwendungen und Dienste bereitstellen, also beispielsweise Webseiten bereitstellen und dort Dienste wie zB Webshops betreiben.

In den bisherigen nationalen zivilgerichtlichen Entscheidungen, in denen von ISP's drohendes Overblocking als Argument gegen die Zulässigkeit der Einrichtung von IP-Sperren ins Treffen geführt wurde, ist keine Differenzierung und konkrete Auseinandersetzung mit der Art des Overblockings (DNS vs IP-Overblocking) erfolgt. Diese Entscheidungen scheinen – in technischer Hinsicht irrig – davon auszugehen, dass unabhängig davon, ob eine IP- oder DNS-Sperre vom ISP angewandt wird, nur etwaige legale Inhalte, die unter derselben Domain abrufbar sind, wie die zu sperrenden illegalen Inhalte, mitblockiert werden.

Tatsächlich ergeben sich jedoch bei Vorliegen eines IP-Overblockings potenziell deutlich weitergehende Auswirkungen der Sperrmaßnahmen, weil Inhalte bzw Dienste Dritter mitblockiert werden könnten, die unter anderen Domains angeboten werden und in keinem näheren Zusammenhang mit den erwähnten illegalen Inhalten bzw Diensten stehen.

· Ein Berufsdetektiv darf zum Zweck der Verteidigung von Rechtsansprüchen mit der Erhebung (sensibler) personenbezogener Daten durch Observierung eines Klagegegners beauftragt werden, soweit die Datenerhebung für die Zweckerreichung erforderlich ist (BVwG 23.09.2024, W274 2257472-1).

Nationale Rechtsakte

· Am 27.12.2024 wurde das Strafprozessrechtsänderungsgesetz 2024, BGBl I 2024/157, kundgemacht. In Folge des Erkenntnisses des VfGH vom 14.12.2023, G 352/2021, wird die "Beschlagnahme" von Datenträgern (zB Mobiltelefone) und Daten sowie die Aufbereitung und Auswertung von Daten neu geregelt. Ausdrücklich umfasst ist ebenso die "Beschlagnahme" von Daten, die an anderen Speicherorten als auf einem Datenträger gespeichert sind (zB in der Cloud). Neben der Strafprozessordnung (StPO) wurden mit dem Strafprozessrechtsänderungsgesetz 2024 ua auch das Staatsanwaltschaftsgesetz, das Gerichtsorganisationsgesetz, das Finanzstrafgesetz und das AVG novelliert. Anm: Mit der Neuregelung der Beschlagnahme mobiler Daten(träger) hat sich unser Kollege Oliver M. Loksa vertieft auseinandergesetzt: https://www.schoenherr.eu/content/seizure-and-examination-of-mobile-data-in-austria-new-legal-framework-finally-passed-in-parliament.

Vorschau EuGH-Rechtsprechung

· Am 08.01.2024 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, veröffentlicht. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.

· Am 09.01.2024 wird das Urteil in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelsen werden.

· Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.

Datenschutzmonitor 27.12.2024

Rechtsprechung des EGMR

· Die Durchsuchung der Räumlichkeiten einer juristischen Person und die anschließende Beschlagnahme einer Vielzahl von Unterlagen auf Papier oder in digitaler Form, darunter einer Liste mit den Namen und den personenbezogenen Daten der Mitglieder eines Vereins, greift in das Recht auf Achtung der Wohnung und der Korrespondenz der juristischen Person gemäß Art 8 EMRK ein. Ein solcher Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Bei juristischen Personen haben die Staaten zwar einen weiteren Ermessensspielraum als bei natürlichen Personen. Auch den juristischen Personen müssen jedoch geeignete ausgleichende Garantien gegen Machtmissbrauch und Willkür zur Verfügung stehen (EGMR 19.12.2024, 29550/17, Grande Oriente D’italia/Italien).

Rechtsprechung des EuG und EuGH

EuGH 19.12.2024, C-65/23, K GmbH

Kollektivvereinbarung, Betriebsvereinbarung, gerichtliche Kontrolle, Anwendungsvorrang

· Ein deutscher Arbeitgeber verarbeitete personenbezogene Mitarbeiterdaten in einer SAP-Software. Die US-Muttergesellschaft führte die cloudbasierte Software "Workday" als einheitliches Personal-Informationsmanagementsystem ein. Anschließend übertrug der Arbeitgeber bestimmte Mitarbeiterdaten an den Standort der Muttergesellschaft in den USA.

Beim Arbeitgeber war ein Betriebsrat eingerichtet. Über die Einführung der Software "Workday" wurde eine Betriebsvereinbarung abgeschlossen, die näher festlegte, welche Mitarbeiterdaten zum Befüllen der Software verwendet werden durften. Der Vorsitzende des Betriebsrats klagte den Arbeitgeber ua auf Löschung ihn betreffender Daten und auf Schadenersatz, weil an den Server der Muttergesellschaft über die Betriebsvereinbarung hinausgehende Daten übertragen worden seien.

Das vorlegende Gericht stellte dem EuGH Fragen zur Datenverarbeitung auf der Grundlage einer Kollektivvereinbarung und zum Anspruch auf immateriellen Schadenersatz. Die Fragen zum immateriellen Schadenersatz zog das vorlegende Gericht später wieder zurück, weil diese Fragen durch zwischenzeitige Rechtsprechung des EuGH hinreichend beantwortet wurden.

Der EuGH hat erwogen: Die DSGVO soll eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Einzelne Bestimmungen der DSGVO ermöglichen jedoch den Mitgliedstaaten, zusätzliche, strengere oder einschränkende nationale Vorschriften vorzusehen, und lassen ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen ("Öffnungsklauseln"). Gemäß Art 88 DSGVO dürfen die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen "spezifischere Vorschriften" zur Datenverarbeitung im Beschäftigtenkontext vorsehen. Der Begriff Kollektivvereinbarungen umfasst auch "Betriebsvereinbarungen".

Der Regelungsgehalt der nach Art 88 DSGVO erlassenen spezifischen Vorschriften unterscheidet sich von den allgemeinen Regeln der DSGVO. Diese spezifischen Vorschriften, die durch Rechtsvorschriften oder durch Kollektivvereinbarung in die jeweiligen innerstaatlichen Rechtsordnungen eingeführt werden, haben jedoch die Anforderungen zu erfüllen, die sich aus den anderen Bestimmungen der DSGVO ergeben. Datenverarbeitungstätigkeiten aufgrund einer Kollektivvereinbarung müssen daher dem Kriterium der Erforderlichkeit der Verarbeitung entsprechen und eine der in Art 6 Abs 1 DSGVO vorgesehenen Rechtmäßigkeitsvoraussetzungen erfüllen. Daher müssen Verarbeitungstätigkeiten, die auf "spezifischere Vorschriften" gemäß Art 88 Abs 1 DSGVO beruhen, nicht nur die Voraussetzungen in Art 88 Abs 1 und 2 DSGVO, sondern auch die Voraussetzungen in den Art 5, 6 und 9 DSGVO erfüllen, wobei die Anforderungen aus den Art 5 und 6 DSGVO mit den Anforderungen aus Art 9 DSGVO kumulierbar sind.

Die Parteien einer Kollektivvereinbarung verfügen zwar über einen Spielraum beim Festlegen der Datenverarbeitungstätigkeit. Dieser Spielraum hat jedoch dieselben Grenzen wie das den Mitgliedstaaten zuerkannte Ermessen. Die Kollektivvereinbarungen unterliegen daher einer ebenso umfassenden gerichtlichen Kontrolle wie die Vorschriften des nationalen Rechts. Der Spielraum der Parteien einer Kollektivvereinbarung darf nicht dazu führen, dass diese Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse schließen, die die Ziele der DSGVO beinträchtigen könnten. Entsprechen einzelne Bestimmungen einer Kollektivvereinbarung den Anforderungen der DSGVO nicht, sind diese Bestimmungen vom nationalen Gericht unangewendet zu lassen.

· In Art 15 Abs 3 DSGVO ist kein eigenständiges Recht auf Erhalt einer Dokumentenkopie normiert. Das Recht des Betroffenen auf Erhalt einer Kopie der ihn betreffenden personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, bedeutet aber, dass dem Betroffenen eine originalgetreue und verständliche Reproduktion aller seiner Daten überlassen wird. Dieses Recht setzt den Erhalt einer vollständigen Kopie der Dokumente voraus, die ua diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um dem Betroffenen die Überprüfung der Korrektheit und Vollständigkeit der Daten zu ermöglichen und deren Verständlichkeit zu gewährleisten. Diese Verpflichtung trifft den Verantwortlichen selbst dann, wenn der Antrag des Betroffenen einen anderen Zweck verfolgt, als in ErwGr 63 DSGVO vorgesehen ist. Die Tatsache, dass die Verarbeitung personenbezogener Daten einer gesetzlichen Verpflichtung entspricht, hat keinen Einfluss auf den Umfang dieses Rechts (EuGH 27.05.2024, C-312/23, Addiko Bank).

· Ein Betroffener brachte Beschwerde gegen das Europäisches Amt für Personalauswahl (EPSO) beim Europäischen Datenschutzbeauftragten (EDSB) ein, weil er sich durch EPSO in seinem Recht auf Auskunft verletzt erachtete. Der EDSB wies die Beschwerde des Betroffenen zunächst mit einer in drei Spruchpunkte gegliederten Entscheidung ab. Der Betroffene erhob Rechtsmittel an das EuG gegen Spruchpunkt iii der Entscheidung und begehrte Schadenersatz vom EDSB, weil der EDSB ihn in eine unsichere Lage hinsichtlich der Verarbeitung seiner personenbezogenen Daten versetzt habe.

Nach Einlangen des Rechtsmittels änderte der EDSB Spruchpunkt iii seiner Entscheidung in Hinblick auf das Urteil des EuGH in der Rs Pankki dahingehend ab, dass der Betroffene einen Anspruch auf Auskunft auf die Logfiles in seinem EPSO-Account habe.

Da Spruchpunkt iii der Entscheidung vom EDSB iSd Betroffenen abgeändert wurde, hatte das EuG nur mehr den Schadenersatzanspruch zu beurteilen. Das EuG verneinte den Schadenersatzanspruch des Betroffenen, weil er keinen tatsächlich eingetretenen immateriellen Schaden nachzuweisen vermochte (EuG 17.06.2024, T-546/23, WS/EDSB).

Rechtsprechung des VwGH

· Der VwGH richtete ein Vorabentscheidungsersuchen zur Auslegung der Wortfolge "exzessive Anfragen" iSd Art 57 Abs 4 DSGVO an den EuGH. Dieses Vorabentscheidungsersuchen ist beim EuGH anhängig (C-416/23, Österreichische Datenschutzbehörde). Da dieses Vorabentscheidungsersuchen für das vorliegende Verfahren präjudiziell ist, wird dieses Verfahren bis zur Entscheidung des EuGH ausgesetzt (VwGH 19.11.2024, Ro 2022/04/0016).

Rechtsprechung des BVwG

BVwG 19.11.2024, W176 2286887-1

Auskunft, Betroffenenrechte, Datenherkunft, Speicherdauer

· Ein Rechtsanwalt reichte im Auftrag des Bruders einer Erbin eine Pflichtteilsergänzungsklage ein. Die Erbin beschuldigte den Rechtsanwalt, im Zuge dessen unbefugt eine Namensabfrage gemäß §§ 5 und 6a GUG durchgeführt zu haben, was zu einem Disziplinarverfahren führte. Dieses wurde jedoch mangels Nachweises einer solchen Abfrage eingestellt. Später stellte die Erbin ein Auskunftsersuchen gemäß § 44 DSG an den Rechtswalt. Dieser kontaktierte den Rechtsvertreter der Erbin und teilte mit, er könne ihr aus standesrechtlichen Gründen nicht direkt antworten. Die DSB gab der Datenschutzbeschwerde der Erbin statt und stellte fest, dass der Rechtsanwalt gegen das Recht auf Auskunft verstoßen hatte. Sie verpflichtete ihn, die geforderten Informationen innerhalb von vier Wochen bereitzustellen. Daraufhin erhob der Rechtsanwalt Bescheidbeschwerde an das BVwG, das den Bescheid dahingehend abänderte, dass nur mehr ein Teil der Auskunft zu erteilen ist.

Das BVwG hat erwogen: Die Erbin hat ihr Auskunftsersuchen durch Verwendung des Musterformulars der DSB auf § 44 DSG gestützt. Dieser regelt jedoch das Auskunftsrecht der betroffenen Person lediglich im Zusammenhang mit der Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des Verfassungsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs. Folglich ist er keine taugliche Rechtsgrundlage für das Auskunftsersuchen der Erbin. Wenngleich sie sich in der Rechtsgrundlage geirrt hat, ist unmissverständlich, dass die Erbin ihr Recht auf Auskunft geltend machen wollte, wie es ihr gemäß § 1 Abs 3 DSG und Art 15 DSGVO zusteht. Der Erbin die Erteilung jeglicher Auskunft lediglich wegen Vergreifens in der Rechtsgrundlage zu verwehren, stünde im diametralen Widerspruch zu ErwGr 63 der DSGVO.

Der Rechtsanwalt erteilte bis zum Abschluss des Verwaltungsverfahrens keinerlei Auskunft. Dies holte er in seiner Bescheidbeschwerde teilweise nach. Weiterhin erteilte der Rechtsanwalt der Erbin jedoch keine Auskunft über ihre Betroffenenrechte (Art 15 Abs 1 lit e DSGVO), über die Empfänger bzw Empfängerkategorien der Daten (Art 15 Abs 1 lit c DSGVO), über die Herkunft der Daten (Art 15 Abs 1 lit g DSGVO) sowie über deren Speicherdauer (Art 15 Abs 1 lit d DSGVO).

Betreffend die Datenherkunft können Verschwiegenheitspflichten eines Rechtsanwalts der Beauskunftung entgegenstehen, diese sind jedoch im Rahmen der Auskunftserteilung geltend zu machen.

Hinsichtlich der Speicherdauer ist, falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, sind die Kriterien für die Festlegung dieser Dauer zu beauskunften. Der Rechtsanwalt ist daher verpflichtet, zumindest die Kriterien für die Festlegung der Speicherdauer anzugeben (etwa Abschluss des zivilgerichtlichen Verfahrens oder – im Hinblick auf die Abwehr von Haftungsansprüchen – eine Speicherdauer im Sinne der absoluten Verjährungsfrist im ABGB von 30 Jahren). Anm: Die DSB unterscheidet in ihrer Rechtsprechung zwischen Verfahren wegen Nichterteilung der Auskunft und unvollständiger Auskunft. Dieser Unterscheidung hat sich das BVwG in seiner bisherigen Rechtsprechung angeschlossen. Auch der VwGH überprüfte zuletzt nicht die Vollständigkeit der nachträglich erteilten Auskunft in einem auf Nichterteilung der Auskunft gerichteten Verfahren (VwGH 02.08.2024, Ra 2022/04/0161). Soweit ersichtlich, war "Sache" des Verfahrens vor der DSB nur die Nichterteilung der Auskunft. Das BVwG ging von seiner bisherigen Rechtsprechung daher ab, indem es auch die Vollständigkeit der im laufenden Verfahren erteilten Auskunft prüfte und die Vervollständigung der Auskunft auftrug.

· Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod der natürlichen Person untergeht und auf einen etwaigen Rechtsnachfolger nicht übergehen kann. Mit dem Tod der natürlichen Person geht deren Parteistellung verloren. Mit dem Verlust der Parteistellung ist die Berechtigung weggefallen, eine Datenschutzbeschwerde zu erheben. Damit fiel auch die Berechtigung der DSB (nachträglich) weg, über die Datenschutzbeschwerde zu entscheiden. Der bekämpfte Bescheid ist daher ersatzlos zu beheben (BVwG 22.11.2024, W211 2272917-1).

Rechtsprechung der LVwG

· Bescheidmäßig verhängte Tierhalteverbote sind keine Umweltinformation iSd § 2 Z 3 UIG. Es kann jedoch dahingestellt bleiben, ob eine Anfrage über ein Tierhalteverbot betreffend eine geschützte Tierart als Umweltinformation iSd § 2 UIG zu werten ist. Denn der Mitteilung der Umweltinformation steht der Ablehnungsgrund des § 6 Abs 2 Z 3 UIG entgegen, wenn sie eine negative Auswirkung auf die Vertraulichkeit personenbezogener Daten hätte, sofern ein schutzwürdiges Interesse an der Geheimhaltung besteht. Eine Liste mit konkret namentlich bezeichneten Personen, über die ein Tierhalteverbot verhängt wurde, beinhaltet mit Blick auf den pönalisierenden Charakter des Tierhalteverbots sensible Daten. Das Interesse an der Geheimhaltung dieser Daten überwiegt das öffentlichen Interesse an der allgemeinen Bekanntgabe von verhängten Tierhalteverboten (LVwG OÖ 28.12.2023, LVwG-552738/2/SB). Anm: Das LVwG OÖ dürfte mit der Wortfolge "sensible Daten" auf die Sensibilität der Informationen hinweisen und keine besondere Kategorie personenbezogener Daten iSd Art 9 Abs 1 DSGVO meinen.

Nationale Rechtsakte

· Am 13.12.2024 wurde das FM-GwG-Anpassungsgesetz, BGBl I 2024/151, kundgemacht. Aufgrund von Empfehlungen des internationalen Gremiums Financial Action Task Force (FATF) sowie zur Umsetzung der VO 2023/1114 (Markets in Crypto-Assets Regulation – MiCAR) wurde der Geltungsbereich des Finanzmarkt-Geldwäschegesetzes (FM-GwG) auf Kryptowertetransfers und sämtliche gezielte finanzielle Sanktionen ausgeweitet. Zudem wurde auch das Wirtschaftliche Eigentümer Registergesetz (WiEReG) novelliert. Zu beachten sind verlängerte Verjährungsfristen. Gleichzeitig wurden ebenso aufgrund von Empfehlungen der FATF auch das Bilanzbuchhaltungsgesetz, das Wirtschaftstreuhandberufsgesetz und die Gewerbeordnung novelliert (BGBl I 2024/150).

Vorschau EuGH-Rechtsprechung

· Am 08.01.2024 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, veröffentlicht. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.

· Am 09.01.2024 wird das Urteil in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.

· Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.

Datenschutzmonitor 18.12.2024

Rechtsprechung des EuGH

· Datenschutzrechtliche Grundsätze müssen bei Untersuchungen durch Disziplinarbehörden gegen Beamte von EU-Organen eingehalten werden. Verwaltungsuntersuchungen haben auf einer rechtmäßigen Grundlage zu erfolgen, einem eindeutigen und rechtmäßigen Zweck zu dienen und die Beamten müssen über das Verfahren informiert werden. Der Grundsatz der Datenverarbeitung nach Treu und Glauben verhindert jedoch nicht die Nutzung von Informationen, die in einem Untersuchungsverfahren von dritter Stelle übermittelt werden, auch wenn diese Informationen zu anderen Zwecken erhoben wurden (EuGH 12.12.2024, C-587/21P, DD/FRA; 12.12.2024, C-130/22P, DD/FRA; 12.12.2024, C-680/22P, DD/FRA).

Rechtsprechung des VwGH

· Das gegen eine Beschwerdevorentscheidung vorgesehene Rechtsmittel ist der Antrag, dass die Bescheidbeschwerde gegen den Ausgangsbescheid dem Verwaltungsgericht zur Entscheidung vorgelegt wird (Vorlageantrag). Die DSB fasste die Beschwerdevorentscheidung in Form eines Aussetzungsbescheides. Das BVwG entschied dennoch in der Sache. Auch wenn mit der Beschwerdevorentscheidung das Verfahren ausgesetzt wurde, steht dieser Aussetzungsbescheid/"Beschwerdevorentscheidung" nach Wegfall des Aussetzungsgrundes der Entscheidung des Verwaltungsgerichts in der Sache nicht entgegen (VwGH 15.11.2024, Ro 2022/04/0028). Anm: Mit der Beschwerdevorentscheidung wird dem Ausgangsbescheid derogiert, sodass der Ausgangsbescheid vor dem Verwaltungsgericht nicht mehr dem Rechtsbestand angehört.

Rechtsprechung des BVwG

Energieunternehmen, intelligente Stromzähler, EEffG

· Der Bewohner einer Wohnung erhob Datenschutzbeschwerde, weil ihn das Energieunternehmen, das ihn mit Fernwärme belieferte, durch den Betrieb eines bei ihm eingebauten intelligenten Kleinwärmezählers in seinem Grundrecht auf Geheimhaltung verletzt habe. Die DSB wies die Datenschutzbeschwerde ab, woraufhin der Bewohner Bescheidbeschwerde an das BVwG erhob, die ebenfalls abgewiesen wurde.

Das BVwG hat erwogen: Das Energieunternehmen hat mit dem Bewohner einen privatrechtlichen Vertrag abgeschlossen. Somit ist das Energieunternehmen nicht als "staatliche Behörde" iSd § 1 Abs 2 DSG bzw "Behörde" iSd ErwGr 47 DSGVO zu qualifizieren.

Die anwendbare Rechtsgrundlage iSd Art 6 Abs 1 lit c DSGVO für die Installation und den Betrieb des intelligenten Wärmezählers ist § 55 EEffG, der den Zweck der Verarbeitung (Verrechnung, Kundeninformation, Energieeffizienz und Aufrechterhaltung eines sicheren Betriebes von der für die Abrechnung durchführenden Stelle, Aufrechterhaltung der Betriebsfunktion) festlegt. Aus dieser Bestimmung ergeben sich auch die Arten der Daten, die gespeichert werden dürfen, die Dauer der Aufbewahrungspflicht (zur Erfüllung des Zwecks, maximal sieben Jahre) sowie die zu ergreifenden Datensicherheitsmaßnahmen (ua Absicherung der Kommunikation der Geräte, Schutz vor unberechtigtem Zugriff).

Die Speicherung bestimmter Daten in LOG-Files ist aufgrund berechtigter Interessen des Energieunternehmens an der Aufrechterhaltung der Betriebsfunktion und dem ordnungsgemäßen Betrieb des Geräts rechtmäßig, weil ohne diese Aufzeichnung etwaige Fehler nicht erkannt und behoben werden könnten, wodurch der ordnungsgemäße Betrieb gefährdet wäre.

E-Scooter, Geheimhaltung

· Ein Passant beschwerte sich über das Abstellen von E-Scootern am Straßenrand bei der Stadt Wien mittels E-Mail, die auch ein Foto der Örtlichkeit der abgestellten Scooter enthielt. Die Stadt Wien leitete die E-Mail – ohne Angabe von Name/E-Mailadresse des Passanten – an die Betreiberfirma des E-Scooters weiter, um deren Wegschaffung zu veranlassen. Der Passant erachtete sich durch die Weiterleitung der E-Mail in seinem Recht auf Geheimhaltung verletzt und begründete dies damit, dass aus der Örtlichkeit der E-Scooter auf seinen Wohnort geschlossen werden könne. Die auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Dagegen erhob der Passant erfolglos Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Ein Personenbezug liegt vor, wenn Daten einer Person so zugeordnet sind, dass die Identität der Person für den jeweiligen Verwender direkt ersichtlich oder mit Hilfe von – vernünftigerweise zur Verfügung stehenden – Zusatzinformationen herstellbar ist. Die – auf keine solche Zusatzinformationen gestützte – bloße Vermutung, dass Daten einer bestimmten Person zugeordnet werden könnten, kann demnach keine Identifizierbarkeit und damit keinen Personenbezug begründen. Aus der bloßen Örtlichkeit der E-Scooter kann nicht auf den Wohnort des Passanten geschlossen werden, was schon aus der Tatsache folgt, dass dem Betreiberunternehmen eben keine Daten wie etwa Name/E-Mailadresse des Passanten übermittelt wurden.

Informationspflicht, Mitteilungspflicht

· Ein Inkassobüro und ein Rechtsanwalt machten gegenüber einem Betroffenen unberechtigte Forderungen geltend. Ursächlich dafür war eine unzutreffende "Identifizierung" aufgrund einer fälschlicherweise dem Betroffenen zugeordneten Adresse, die bei einer Identitäts- und Bonitätsdatenbank ("Kreditauskunftei") hinterlegt gewesen war. Der Betroffene begehrte die Löschung der "falschen" Adresse bei der Kreditauskunftei. Diese kam dem Löschungsersuchen erst nach, nachdem sie diese "falsche" Adresse der Berechnung eines Bonitätscores über den Betroffenen zugrunde gelegt hatte. Die Kreditauskunftei unterrichtete die jeweiligen Empfänger der – aufgrund der "falschen" Adresse zu gering bewerteten – Bonitätscores nicht über die nachträgliche Löschung der Adresse. Die DSB wies die vom Betroffenen erhobene Datenschutzbeschwerde wegen einer Verletzung des Rechts auf Information, auf Löschung sowie auf Mitteilung ab. Dagegen erhob der Betroffene (teilweise erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die von der Kreditauskunftei erfassten und verarbeiteten Daten sind personenbezogene Daten des Betroffenen, weil diese mit seinem Namen und Geburtsdatum verknüpft sind. Der Betroffene hat erst aufgrund mehrerer gestellter Auskunftsersuchen von den Datenverarbeitungen der Kreditauskunftei erfahren. Anders als bei den Rechten auf Auskunft, Berichtigung oder Löschung besteht beim Recht auf Information keine Möglichkeit seitens des Verantwortlichen, eine bereits erfolgte Verletzung durch einen actus contrarius (hier: Löschung der betreffenden Daten) rückwirkend zu beseitigen. Die nachträgliche Auskunftserteilung änderte nichts an der – in der Unterlassung der Erteilung einer entsprechenden Information begründeten – Informationspflichtverletzung.

Anders war die vom Betroffenen monierte Verletzung des Rechts auf Löschung zu beurteilen. Die Kreditauskunftei löschte die vom Betroffenen als unrichtig monierte Adresse noch vor dem Entscheidungszeitpunkt der DSB, sodass eine allfällige Beschwer des Betroffenen – im Nachhinein – weggefallen ist.

Die Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO ist antragslos wahrzunehmen. Die Rechtsverletzung besteht in der Unterlassung der entsprechenden Mitteilung. Die Unterlassung der Mitteilungspflicht kann ebensowenig wie die Verletzung der Informationspflicht saniert werden. Daher war (auch) die Verletzung der Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO festzustellen.

Geldbuße, Videoüberwachung, Verfahrenskosten

· Die Polizei entdeckte im April 2021 bei einer COVID-19-Kontrolle in einem Lokal den Betrieb einer Videoüberwachungsanlage. Die Kamera zeichnete nicht nur den Innenbereich, sondern auch die Zufahrt und einen Teil der gegenüberliegenden Liegenschaft auf. Zudem fehlte eine Kennzeichnung der Anlage. Die Beamten wiesen den Filialleiter auf die gesetzlichen Vorschriften hin. Bei einer Nachkontrolle im Oktober 2021 war die Situation dennoch unverändert. Daraufhin brachte die Polizei eine Anzeige bei der DSB ein, die ein Verwaltungsstrafverfahren gegen die Betreiberin des Lokals einleitete.

Die DSB stellte fest, dass die Betreiberin von April 2021 bis März 2022 personenbezogene Daten unrechtmäßig verarbeitet und gegen ihre Informationspflichten gemäß Art 12 und 13 DSGVO verstoßen hatte. Daher verhängte sie eine Geldstrafe iHv EUR 4.100. Dagegen erhob die Betreiberin Bescheidbeschwerde an das BVwG, das den Tatzeitraum einschränkte, im Übrigen die Bescheidbeschwerde aber abwies.

Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem datenschutzrechtlichen Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer konkreten natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist.

Die Betreiberin war Verantwortliche der Bildverarbeitung iSd Art 4 Z 7 DSGVO, weil sie deren Zweck und Mittel kontrollierte. Ihr ist der in ihrem Unternehmen angestellte Filialleiter als "unterstellte Person" zuzurechnen.

Bei der automatisierten Verarbeitung durch ein kamerabasiertes Videoüberwachungssystem ist bereits die "Fähigkeit", personenbezogene Daten zu erfassen, ausreichend, um von einer Verarbeitung zu sprechen. Entsprechend erfolgte durch den Betrieb der Videoüberwachungsanlage eine Verarbeitung gemäß Art 4 Z 2 DSGVO.

Es ist kein berechtigtes Interesse der Betreiberin erkennbar, weshalb über den Innenbereich ihres Lokals hinaus auch deren Außenbereich vom Aufnahmebereich der Kameras erfasst sein musste. Die Betreiberin verstieß somit gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Weiters folgte sie auch nicht dem Grundsatz der Datenminimierung.

Die Betreiberin hatte bis Ende Dezember 2021 überhaupt keine Kennzeichnung der Kamera vorgenommen. Auch das nachträglich angebrachte Hinweisschild enthielt nicht die in der Leitlinie des Europäischen Datenschutzausschusses 3/2019 angeführten Mindestinformationen. Über diese Kennzeichnung hinaus erhielten die Betroffenen im relevanten Zeitraum bis März 2022 keine weiteren Informationen in Bezug auf den Betrieb der Videoüberwachungsanlage.

Die DSB hat den Tatzeitraum unzulässigerweise bis März 2022 ausgedehnt. Der Tatzeitraum ist von April 2021 bis Dezember 2021 zu reduzieren, weil die Aufforderung zur Rechtfertigung nur diesen Zeitraum umfasste.

Ein Verantwortlicher kann für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. Die Betreiberin traf eine Erkundigungspflicht hinsichtlich der einschlägigen Bestimmungen der DSGVO vor der Verwendung einer Videoüberwachungsanlage. Nach dem eindeutigen Hinweis der Polizei konnte sie über die Rechtswidrigkeit der Datenverarbeitung jedenfalls nicht mehr im Unklaren sein.

Die Betreiberin hat personenbezogene Daten unrechtmäßig und schuldhaft über einen Zeitraum von knapp neun Monaten verarbeitet. Weiters verstieß sie mehr als elf Monate lang gegen ihre Informationspflichten. Die Verstöße wurden zwar fahrlässig begangen, sind jedoch nicht geringfügig, sondern weisen vielmehr bei Beurteilung nach Art 83 Abs 2 lit a DSGVO einen mittleren bis hohen Schweregrad auf. Auch bei der Verkürzung des Tatzeitraums von elfeinhalb auf neun Monate besteht kein Raum für eine Herabsetzung der Strafhöhe.

Da der Bescheidbeschwerde hinsichtlich des Tatzeitraums teilweise stattgegeben wurde, hat die Betreiberin die Kosten des verwaltungsgerichtlichen Verfahrens jedoch nicht zu tragen.

Stammzahlenregisterbehörde, ERsB, Informationspflicht

· Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB, weil er sich in seinem Recht auf Geheimhaltung verletzt sah. Er behauptete, dass die Stammzahlenregisterbehörde (SRB) seine Daten im Ergänzungsregister für sonstige Betroffene (ERsB) verarbeitet habe, obwohl er zu keinem Zeitpunkt einen Antrag auf Eintragung in das ERsB gestellt habe und immer im Zentralen Melderegister (ZMR) gemeldet gewesen sei. Darüber hinaus sei er zu keinem Zeitpunkt über die Eintragung gemäß Art 14 DSGVO informiert worden, weshalb er auch in seinem Recht auf Information verletzt worden sei. Die DSB wies die Datenschutzbeschwerde ab, weil die Eintragung erforderlich sei, um in einem elektronischen Verfahren unterscheiden zu können, ob eine natürliche Person in Privatangelegenheiten agiere oder unternehmerisch tätig sei. Der Betroffene richtete daraufhin eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die SRB war Verantwortliche, weil sie gemäß § 7 Abs 1 E-GovG iVm § 1 ERegV das Ergänzungsregister zu führen hatte.

Nach § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) waren Betroffene, die weder im Melderegister eingetragen waren noch im Firmenbuch oder im Vereinsregister eingetragen sein mussten, auf ihren Antrag im ERsB einzutragen. Der Betroffene war zum Zeitpunkt der Eintragung ins ERsB jedoch im ZMR eingetragen. Die Verarbeitung seiner personenbezogenen Daten im ERsB war daher unrechtmäßig.

Die Informationspflicht nach Art 14 DSGVO besteht unabhängig von einem vorherigen Antrag der betroffenen Person, sie erfordert vielmehr ein aktives Handeln des Verantwortlichen. Die SRB hat durch die Unterlassung der ihr zukommenden Informationspflicht nach Art 14 DSGVO den Betroffenen in seinen Rechten verletzt. Die Informationen hätten spätestens zum Zeitpunkt des Inkrafttretens der DSGVO erteilt werden müssen. Eine nachträgliche Sanierung der Verletzung ist nicht möglich.

· Der Zweck des Ergänzungsregisters für sonstige Betroffene (ERsB) war gemäß § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) die eindeutige digitale Identifikation von Betroffenen, die weder im Zentralen Melderegister (ZMR) noch im Firmenbuch (FB) oder im Vereinsregister eingetragen waren, durch ihre Stammzahlen. Die Eintragung der personenbezogenen Daten verstieß gegen das Zweckbindungsprinzip des Art 5 Abs 1 lit b DSGVO, wenn der Betroffene bereits im ZMR, FB oder Vereinsregister eingetragen war (BVwG 19.11.2024, W287 2248018-1).

· Die Information, dass sich eine Person in einem Therapiezentrum aufhält, das sich auf die Behandlung psychischer und psychiatrischer Erkrankungen spezialisiert, ist ein Gesundheitsdatum. Eine den Verfahrensgesetzen entsprechende Verwendung von (sensiblen) Daten ist aus datenschutzrechtlicher Sicht zulässig. Zusätzlich sind die sich aus den Bestimmungen des Art 5 Abs 1 und Art 6 Abs 1 DSGVO ergebenden Anforderungen einzuhalten und es muss eine der in Art 6 Abs 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt sein. Die strittige Datenverarbeitung muss in der Rechtsgrundlage allerdings nicht bezeichnet werden (BVwG 07.10.2024, W108 2277566-1).

· Eine Verletzung im Recht auf Geheimhaltung knüpft an der Verarbeitung personenbezogener Daten an. Durch einen Scheinwerfer ist die Verarbeitung personenbezogener Daten schon begrifflich ausgeschlossen. Ein Schlüsseltresor dient der Aufbewahrung von Schlüsseln. Die Datenerhebung des Außentemperatursensors einer Wetterstation beschränkt sich auf die Außentemperatur. Eine Einparkhilfe bemisst den Abstand zu einem zufahrenden Auto. Durch diese Objekte besteht keine Gefahr der Datenverarbeitung und erfolgt daher auch keine Verletzung des Rechts auf Geheimhaltung. Bleibt ein Antrag in der Datenschutzbeschwerde durch die DSB unerledigt, ist die dadurch begründete Rechtswidrigkeit nicht durch die Bescheidbeschwerde, sondern durch die Säumnisbeschwerde aufzugreifen (BVwG 29.10.2024, W274 2299991-1).

· Das datenschutzrechtliche Auskunftsrecht ist ein höchstpersönliches Recht. In höchstpersönliche Rechte eines Verstorbenen findet keine Rechtsnachfolge statt, weshalb auch die Fortsetzung des Verfahrens über solche Rechte durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Das in § 4 Abs 4 KontRegG normierte Auskunftsrecht ist eine Erweiterung des nach der DSGVO zustehenden Auskunftsrechts, weil auch über etwaige indirekte personenbezogene Daten Auskunft zu erteilen ist und über die Verweigerung dieses Auskunftsrechts mit Bescheid abzusprechen ist. Eine Rechtsnachfolge findet jedoch auch in das Auskunftsrecht nach § 4 Abs 4 KontRegG nicht statt (BVwG 10.10.2024, W177 2257566-2).

· Nach Ansicht des BVwG könnte die Rechtsprechung des EuGH zur DSGVO in der Rs C-807/21, Deutsche Wohnen, wonach die Strafbarkeit einer juristischen Person "keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt", auf die Geldwäsche-Richtlinie übertragbar sein. Aus diesem Grund hat das BVwG beschlossen, dem EuGH entsprechende Fragen zum FM-GwG vorzulegen (BVwG 30.10.2024, W172 2296169-1). Anm: Dieses Vorabentscheidungsersuchen ist insofern überraschend, weil ein anderer Senat des BVwG dieselben Fragen dem EuGH bereits vorgelegt hat. Wir haben darüber am 08.05.2024 in der 18. Ausgabe des Schönherr Datenschutzmonitors berichtet. Die damals vorgelegten Fragen sind beim EuGH unter der Zahl C-291/24, Steiermärkische Bank und Sparkasse, weiterhin anhängig. In solchen Fällen kann das spätere Verfahren ausgesetzt werden, eine erneute Vorlage an den EuGH ist nicht erforderlich.

· Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen. In einer erheblichen Anzahl von Verfahren ist ua die Frage anhängig, ob ein Verstoß des Auftragsverarbeiters gegen Art 32 DSGVO dem Verantwortlichen zugerechnet werden kann (BVwG 21.11.2024, W101 2284188-1).

Rechtsprechung der LVwG

· Die Speicherung von DNA-Daten ist ein Eingriff ins Grundrecht auf Datenschutz. Die §§ 65 und 67 SPG regeln die (materiellen) Voraussetzungen für eine entsprechende erkennungsdienstliche Behandlung der Tatverdächtigen. Ist das einzige Verdachtsmaterial, welches den Verdächtigen belastet, das Video über den Eingangsbereich einer observierten Adresse, ist dieses Video auch dann zu sichten, wenn auf dem Observierungsvideo ca 100 verdächtige Personen zu erkennen sind. Da das Observationsvideo nicht gesichtet wurde, ist die Verwechslung des Verdächtigen dem eingeschrittenen Organ vorwerfbar und die Durchführung der erkennungsdienstlichen Behandlung (Ermittlung und Speicherung der DNA) war rechtswidrig. Die rechtswidrig erlangten DNA-Daten mögen zwar von Amts wegen zu löschen sein. Für den Antrag auf Löschung ist jedoch die DSB zuständig, sodass der Löschungsantrag vom LVwG Tirol wegen Unzuständigkeit zurückzuweisen war (LVwG Tirol 03.12.2024, LVwG-2024/12/2131-5).

Neues vom EDSA

· Der Europäische Datenschutzausschuss (EDSA) hat am 03.12.2024 Leitlinien zu Art 48 DSGVO veröffentlicht. Gemäß Art 48 DSGVO dürfen Urteile oder Entscheidungen von Gerichten oder Behörden in Drittländern, die einem Verantwortlichen oder Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten auftragen, nur dann anerkannt oder vollstreckt werden, wenn sie auf ein internationales Abkommen gestützt sind. Die Leitlinien konzentrieren sich auf Anfragen, die auf eine direkte Zusammenarbeit zwischen einer Drittlandsbehörde und einer privaten Einrichtung in der Union abzielen und enthalten Empfehlungen, wie mit solchen Anfragen umzugehen ist.

Die Offenlegung oder Übermittlung von in der EU verarbeiteten Daten auf Anfrage einer Drittlandsbehörde muss den Grundsätzen des Art 5 DSGVO entsprechen und auf einer Rechtsgrundlage nach Art 6 DSGVO beruhen. Zudem muss eine Übermittlungsgrundlage nach Kapitel V vorliegen ("Zweistufentest"). Die Anfrage einer ausländischen Behörde allein ist weder eine Rechtsgrundlage noch ein Übermittlungsgrund.

Besteht eine rechtliche Verpflichtung aus einem internationalen Abkommen, auf dem die Anfrage beruht, kommt Art 6 Abs 1 lit c DSGVO als Rechtsgrundlage in Betracht. Andernfalls können andere Rechtsgrundlagen gemäß Art 6 Abs 1 DSGVO genutzt werden. Einzig Art 6 Abs 1 lit b DSGVO kann von einer privaten Stelle in der EU nicht als Rechtsgrundlage für die Beantwortung einer Anfrage herangezogen werden. Ein Verantwortlicher kann sich auch nicht auf Art 6 Abs 1 lit f DSGVO stützen, um personenbezogene Daten präventiv zu erheben und zu speichern, wenn dies nicht mit den tatsächlichen (wirtschaftlichen und kommerziellen) Aktivitäten des Unternehmens zusammenhängt.

Art 48 DSGVO ist keine Übermittlungsgrundlage. Bevor auf eine Anfrage einer Drittlandsbehörde reagiert wird, muss daher eine Übermittlungsgrundlage des Kapitel V identifiziert werden. Regelt ein internationales Abkommen die Zusammenarbeit zwischen dem Verantwortlichen oder Auftragsverarbeiter in der EU/EEA und der anfragenden Drittlandsbehörde, kann dieses Abkommen als Übermittlungsgrundlage dienen, wenn es die entsprechenden Schutzmaßnahmen gemäß Art 46 Abs 2 lit a DSGVO vorsieht. Andernfalls ist ein anderer Übermittlungsgrund des Kapitels V der DSGVO zu wählen. Anm: Zu diesen Leitlinien wurde eine öffentliche Konsultation eingeleitet. Stellungnahmen können bis zum 27.01.2025 abgegeben werden.

Vorschau EuGH Rechtsprechung

· Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

Datenschutzmonitor 11.12.2024

Rechtsprechung des EGMR

EGMR 03.12.2024, 28935/21, MSD/Rumänien

Online-Gewalt, Schadenersatz

Der Ex-Partner einer Frau erstellte auf Facebook gefälschte Profile, um von der Frau intime Fotos zu verbreiten und sendete die Fotos auch an ihre Familie und Freunde. Weiters veröffentlichte er die Fotos der Frau mit ihrem Namen und ihrer Telefonnummer auf Websites für Escort-Services. Die Frau wurde von zahlreichen Personen wegen sexuellen Dienstleistungen kontaktiert. Als sie ihren Ex-Partner konfrontierte, wurde sie von diesem physisch und verbal aggressiv attackiert. Sie erhob Strafanzeige gegen den Ex-Partner. Die Ermittlungen zogen sich aber jahrelang hin, die Behörden handelten nur zögerlich und stellten das Verfahren schließlich ein.

Der EGMR hat erwogen: Art 8 EMRK schützt das Recht auf Achtung des Privatlebens, einschließlich der körperlichen und psychischen Integrität einer Person. Der Staat hat positive Verpflichtungen, Maßnahmen zu ergreifen, um dieses Recht auch in den Beziehungen zwischen Privatpersonen zu schützen. Dies umfasst die Verpflichtung, ein wirksames rechtliches System zu schaffen und anzuwenden, das Schutz vor Gewalt bietet, einschließlich Schutz vor Online-Gewalt und Belästigung. Die Veröffentlichung intimer Fotos und die Verbreitung dieser Fotos stellten eine Form der Online-Belästigung dar, die die psychische Integrität der Frau erheblich beeinträchtigt haben. Diese Handlungen erforderten eine strafrechtliche Reaktion der nationalen Behörden. Ein zivilrechtlicher Rechtsbehelf allein ist in solchen Fällen nicht ausreichend. Das (nationale) Strafgesetzbuch in seiner damaligen Fassung bot keinen wirksamen Schutz, weil unklar war, ob die Verbreitung von Bildern, die rechtmäßig erlangt wurden, strafbar war. Die Ermittlungen der nationalen Behörden waren nicht effektiv, weil sie die Ermittlungen erst mehr als sechs Monate nach der Strafanzeige eröffneten und den Ex-Partner erst nach über einem Jahr befragten. Sie unternahmen keine ausreichenden Maßnahmen, um Beweise zu sichern oder die Frau vor weiteren Übergriffen zu schützen. Die nationalen Behörden haben ihre positiven Verpflichtungen aus Art 8 EMRK nicht erfüllt.

Die Feststellung des Verstoßes gegen Art 8 EMRK genügt für den Ausgleich des erlittenen immateriellen Schadens nicht, weshalb der Frau ein Schadenersatz iHv EUR 7.500 zuzusprechen ist.

Rechtsprechung des VwGH

Durch das Wr AuskunftspflichtG wird ein "Recht auf Information" gesetzlich eingeräumt. Mit der Pflicht der Behörde korrespondiert ein subjektiv öffentliches Recht des Auskunftswerbers. Dem Wr AuskunftspflichtG liegt ein Regel-Ausnahme-Prinzip zu Grunde, wonach grundsätzlich eine Auskunft zu erteilen ist. Eine Ausnahme ist zB, wenn der Auskunftserteilung gesetzliche Verschwiegenheitspflichten Eine pauschale Verweigerung der Auskunft über eine Mehrzahl von Verwaltungsvorgängen kann mit Verschwiegenheitspflichten hinsichtlich einzelner dieser Vorgänge nicht begründet werden. Vergaberechtliche Vertraulichkeitspflichten derogieren nationalen Rechtsvorschriften betreffend den Zugang zu Informationen nicht. An der Offenlegung der Information, mit wem die Stadt Wien städtebauliche Verträge schließt, besteht ein hohes öffentliches Interesse, um im Sinne eines "social watchdog" allfällige wirtschaftliche bzw politische Verflechtungen einer öffentlichen Debatte zuführen zu können. Der Datenschutz steht der Offenlegung dieser Information daher nicht entgegen (VwGH 24.10.2024, Ra 2023/05/0006).

Rechtsprechung des OGH

OGH 13.11.2024, 15Os51/24z

Persönlichkeitsrecht, Identifizierbarkeit

Ein Medienunternehmen berichtete mehrfach über den Einsturz einer Brücke auf den Philippinen, bei dem eine schwangere Frau auf ihrer Hochzeitsreise ihren Ehemann verlor. Aufgrund zahlreicher berichteter Details war die Frau identifizierbar. Die Frau klagte auf Entschädigung nach § 7 Abs 1 MedienG, weil die Berichte ihre Privatsphäre verletzt hätten. Das LG Graz gab der Klage statt, das OLG Graz bestätigte das Urteil. Daraufhin beantragte das Medienunternehmen beim OGH die Erneuerung des Verfahrens mit Verweis auf die Meinungsfreiheit gemäß Art 10 Abs 1 EMRK. Der OGH wies den Antrag zurück.

Der OGH hat erwogen: Der Erneuerungsantrag zeigt keine Begründungsmängel oder erhebliche Zweifel an der Identifizierbarkeit der Frau auf. Die Schwangerschaft, die einen die Gesundheitssphäre betreffenden Umstand darstellt, gehört zum höchstpersönlichen Lebensbereich iSd § 7 Abs 1 MedienG der Frau, weil die Hochzeit innerhalb eines begrenzten Personenkreises, daher nicht in einer medialen oder sonst vergleichbar großen Öffentlichkeit stattfand. Die Frau hat ihre Schwangerschaft und sonstige Umstände des Unfalls und ihres Privat- und Familienlebens auch nicht auf andere Weise selbst in die mediale oder sonst große Öffentlichkeit getragen.

Berichterstattungen über für eine begrenzte Öffentlichkeit sichtbare oder bekannte Umstände können bloßstellend sein, wenn sie den Betroffenen gegenüber einer grenzenlosen Öffentlichkeit als außergewöhnlich bedauernswert hinstellen, emotionsgeladen und unerwünschtes Mitleid heischend gestaltet sind.

Die Weigerung eines Hauseigentümers, unter anderem aus datenschutzrechtlichen Gründen, seinen analogen Stromzähler auf einen Smartmeter umzustellen, berechtigt einen Netzbetreiber nicht, mittels Androhung der Stromabschaltung den Stromzählertausch zu erzwingen. Gegen die Androhung der Stromabschaltung steht einem Hauseigentümer eine einstweilige Verfügung gegen den Netzbetreiber zu. Dem Netzbetreiber steht es aber offen, selbst gerichtliche Hilfe bei der Durchsetzung seines Interesses auf Tausch des Stromzählers in Anspruch zu nehmen (OGH 28.10.2024, 3Ob191/24w).
Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 06.11.2024, 6Ob195/24f).

Rechtsprechung des BVwG

BVwG 11.11.2024, W298 2295931-1

Säumnis, Kohärenzverfahren

Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Geheimhaltung. Die DSB setzte das Verfahren bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde aus. Der Betroffene erhob eine Bescheidbeschwerde gegen diesen Aussetzungsbescheid, weil er die Zuständigkeit der DSB annahm. Das BVwG hob den Aussetzungsbescheid auf, weil keine zu lösende Vorfrage vorlag, die ein Aussetzen des Verfahrens rechtfertigen würde. Der Betroffene erhob in Folge eine (erfolglose) Säumnisbeschwerde, weil die DSB nicht innerhalb der sechsmonatigen Entscheidungsfrist über seine Datenschutzbeschwerde entschieden habe. Die DSB wendete ein, dass die Entscheidungsfrist aufgrund des weiterhin laufenden Verfahrens gemäß Art 56 DSGVO gehemmt sei.

Das BVwG hat erwogen: Gemäß § 8 Abs 1 VwGVG beginnt die Entscheidungsfrist der Behörde von sechs Monaten in dem Zeitpunkt zu laufen, in dem der Antrag auf Sachentscheidung bei der zuständigen Stelle eingelangt ist. Das Verfahren über eine Datenschutzbeschwerde im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung besteht aus drei Phasen. In einem ersten Schritt werden die beteiligten Aufsichtsbehörden und ihre jeweilige Rolle als federführende oder betroffene Aufsichtsbehörde bestimmt, wobei sie der allgemeinen Kooperationspflicht gemäß Art 51 Abs 2 S 2 DSGVO unterliegen. In einem zweiten Schritt führt die federführende Aufsichtsbehörde das Kohärenzverfahren nach Art 60 DSGVO durch und fasst über die Beschwerde einen verbindlichen Beschluss. Im letzten Schritt wird gemäß Art 60 Abs 8 DSGVO dieser Beschluss von der Aufsichtsbehörde, bei der die Beschwerde eingebracht worden ist, erlassen.

Nach § 73 AVG ist über einen Antrag, hier die Datenschutzbeschwerde, ohne unnötigen Aufschub, spätestens aber sechs Monate nach Einlangen dieses Antrags zu entscheiden. Nicht in diese Entscheidungsfrist eingerechnet werden Zeiten während des Verfahrens zur Feststellung der federführenden Aufsichtsbehörde sowie eines Kohärenzverfahrens. Die Entscheidungsfrist wird gehemmt. Die sechsmonatige Entscheidungsfrist kann daher noch nicht abgelaufen sein.

Gemäß § 8 Abs 1 VwGVG kann eine Säumnisbeschwerde erst erhoben werden, wenn die Behörde die Sache nicht innerhalb von sechs Monaten entschieden hat. Der Säumnisbeschwerde ist stattzugeben, wenn die Verzögerung auf ein überwiegendes Verschulden der Behörde zurückzuführen ist. Ein überwiegendes Verschulden der Behörde liegt dann vor, wenn diese die für eine zügige Verfahrensführung notwendigen Schritte unterlässt oder mit diesen grundlos zuwartet. Das BVwG kann sich jedoch gemäß § 28 Abs 7 VwGVG in seinem Erkenntnis auf die Entscheidung einzelner maßgeblicher Rechtsfragen beschränken und der Behörde auftragen, den versäumten Bescheid unter Zugrundelegung der festgelegten Rechtsanschauung des BVwG binnen acht Wochen zu erlassen (kondemnatorische Entscheidung; BVwG 18.11.2024, W137 2297602-1).
Eine Bescheidbeschwerde gegen ein Straferkenntnis der DSB hat gewisse Punkte aufzuweisen, ua die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt (§ 9 Abs 1 VwGVG). Mängel im schriftlichen Anbringen berechtigten jedoch nicht zur Zurückweisung, sondern es ist ein Mangelbehebungsauftrag zu erteilen. Wird dem Mangelbehebungsauftrag nicht entsprochen, ist die Bescheidbeschwerde zurückzuweisen. Für das Verfahren vor dem BVwG sind im Fall der Zurückweisung der Bescheidbeschwerde keine Verfahrenskosten zu entrichten (BVwG 11.11.2024, W298 2296786-1).
Beschränkt sich die DSB trotz strittig gebliebener Tatsachenbehauptungen auf den Austausch wechselseitiger Stellungnahmen, ist das einem Unterlassen jeglicher erforderlichen Ermittlungstätigkeit Die von der DSB durchgängig geübte Praxis, die Ermittlungen trotz strittiger Tatsachenbehauptungen auf das Austauschen von schriftlichen Stellungnahmen zu beschränken, ist ein "nach-oben-Delegieren" der Ermittlungen an das BVwG. Der Bescheid ist daher zu beheben und an die DSB zur neuerlichen Entscheidung zurückzuverweisen (BVwG 18.11.2024, W274 2291293-1).
Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 10.2024, I406 2299747-1; 07.11.2024, I411 2300073-1).
Das Grundrecht auf Datenschutz ist im Verfahren über die Festsetzung des ORF-Beitrags nicht präjudiziell, weshalb allfällige datenschutzrechtliche Bedenken der Festsetzung des ORF-Beitrags nicht entgegenstehen (BVwG 02.12.2024, L521 2298795-1).

EU-Rechtsakte

Zur Erleichterung der grenzüberschreitenden elektronischen Identifizierung erließ die Europäische Kommission fünf Durchführungsverordnungen betreffend die "europäische Brieftasche" gemäß Art 5a der eIDAS-VO. Am 12.2024 wurden die DurchführungsVO 2024/2977, ABl L 2024/2977, 1; die DurchführungsVO 2024/2979, ABl L 2024/2979, 1; die DurchführungsVO 2024/2980, ABl L 2024/2980, 1; die DurchführungsVO 2024/2981, ABl L 2024/2981, 1; die DurchführungsVO 2024/2982, ABl L 2024/2982, 1, kundgemacht. Diese fünf DurchführungsVO enthalten Vorschriften hinsichtlich der europäischen Brieftasche: Personenidentifizierungsdaten und elektronische Attributsbescheinigungen (DurchführungsVO 2024/2977); Integrität und Kernfunktionen (DurchführungsVO 2024/2979); Notifizierungen an die Kommission (DurchführungsVO 2024/2980); Zertifizierung der EU-Brieftasche (DurchführungsVO 2024/2981) sowie Protokolle und Schnittstellen (DurchführungsVO 2024/2982).
Am 02.12.2024 wurde die "Durchführungsverordnung (EU) 2024/2956 der Kommission vom 29. November 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister", ABl L 2024/2956, 1, kundgemacht. Finanzunternehmen haben im Rahmen des IKT-Risikomanagements ein Informationsregister über die Nutzung von IKT-Drittdienstleister zu führen. Die DurchführungsVO 2024/2956 legt Standards für die Führung dieses Informationsregisters fest.
Am 03.12.2024 wurde die "Durchführungsverordnung (EU) 2024/2984 der Kommission vom 29. November 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Formulare, Formate und Mustertexte für die Kryptowerte-Whitepaper", ABl L 2024/2984, 1, kundgemacht. Personen, die Kryptowerte-Whitepaper erstellen, haben die in dieser DurchführungsVO vorgeschriebenen Informationen bereitzustellen.

Nationale Rechtsakte

Am 05.12.2024 wurde die Telekommunikationsgebührenverordnung 2025 (TKGV 2025), BGBl II 2024/356, kundgemacht. In der TKGV 2025 werden Gebühren im Bereich der Telekommunikation, insb für die Nutzung von Funkfrequenzen, festgelegt.

Vorschau EuGH-Rechtsprechung

Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

Datenschutzmonitor 4.12.2024

Rechtsprechung des EGMR

EGMR 28.11.2024, 31091/16, Csikos/Ungarn

Telefonüberwachung, Journalismus

Im Zuge verdeckter Ermittlungen gegen einen Polizeibeamten sollen Telefongespräche zwischen ihm und einer Journalistin abgehört worden sein. Die Abhörmaßnahmen wurden auf eine Bestimmung des ungarischen Polizeigesetzes gestützt, die in dringenden Ausnahmefällen eine Überwachungsmaßnahme ohne vorherige Genehmigung eines Richters erlaubte. Die Überwachungsmaßnahme sei jedoch nicht, wie gesetzlich vorgesehen, nachträglich von einem Richter genehmigt worden, die Daten der Journalistin seien nicht gelöscht worden und sie sei auch nicht benachrichtigt worden. Nachdem sich die Journalistin, die eine Offenlegung ihrer journalistischen Quellen befürchtete, erfolglos an mehrere Behörden wandte, beschwerte sie sich schließlich beim EGMR über das Abhören ihrer Telefongespräche. Der EGMR stellte eine Verletzung des Art 8 und 10 EMRK fest und sprach der Journalistin eine Entschädigung iHv EUR 6.500 zu.

Der EGMR hat erwogen: Das Abhören von Telefongesprächen ist ein Eingriff in das Recht auf Achtung des Privat- und Familienlebens. Ein solcher Eingriff ist nur dann zulässig, wenn er gesetzmäßig ist, eines oder mehrere der in Art 8 Abs 2 EMRK genannten Ziele verfolgt und in einer demokratischen Gesellschaft erforderlich ist.

Das Kriterium der Erforderlichkeit setzt angemessene und wirksame Schutzmaßnahmen gegen Missbrauch voraus. Der Schutz journalistischer Quellen zählt zu den tragenden Säulen der Pressefreiheit und ist ein hohes Gut in einer Demokratie. Die involvierten Behörden befassten sich mit der Beschwerde der Journalistin nur peripher. Auf die Frage, ob das Abhören der Telefongespräche stattfand und wenn ja, ob dieses im Hinblick auf die journalistische Tätigkeit rechtmäßig erfolgte, gingen die Behörden nicht ein.

Die einschlägige Bestimmung im ungarischen Polizeigesetz differenzierte nicht danach, ob eine Überwachung vertrauliche journalistische Quellen betrifft oder nicht. Auch verlangte die Bestimmung keine Abwägung der mit der Anwendung geheimer Überwachungsmaßnahmen verfolgten Ziele gegen die Folgen des Abhörens des Telefons eines Journalisten. Im Ergebnis waren keine ausreichenden Verfahrensgarantien vorhanden, damit die Journalistin den angeblichen Einsatz geheimer Überwachung zur Ermittlung ihrer journalistischen Quellen wirksam anfechten hätte können.

Rechtsprechung des EuGH

EuGH 28.11.2024, C-169/23, Masdi

Informationspflicht, Ausnahme, Datenquelle, Datengenerierung

Eine Betroffene erhielt von einer ungarischen Behörde ein Covid-19-Immunitätszertifikat, ohne über die Datenverarbeitung informiert zu werden. Die Behörde berief sich auf die Ausnahme von der Informationspflicht nach Art 14 Abs 5 lit c DSGVO, weil sie die Daten, basierend auf einer ungarischen Verordnung, von einer anderen Stelle erhalten habe. Das vorlegende Gericht stellte dem EuGH mehrere Fragen zu dieser Ausnahme von der Informationspflicht.

Der EuGH hat erwogen: Art 14 DSGVO bestimmt, welche Informationen der Verantwortliche der Betroffenen zur Verfügung stellen muss, wenn die personenbezogenen Daten nicht bei dieser erhoben wurden. Art 14 Abs 5 lit c DSGVO sieht eine Ausnahme von der Informationspflicht vor, sofern die Erlangung oder Offenlegung von Informationen durch Rechtsvorschriften der Union oder der Mitgliedstaaten, die geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsehen, ausdrücklich geregelt sind.

Die Ausnahmeregelung des Art 14 Abs 5 lit c DSGVO betrifft unterschiedslos alle personenbezogenen Daten, die der Verantwortliche nicht unmittelbar bei der Betroffenen erhoben hat. Dies gilt unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der Betroffenen erlangt hat oder er die Daten selbst im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.

Eine Beschwerde nach Art 77 Abs 1 DSGVO kann auf eine Verletzung der Informationspflicht durch den Verantwortlichen gestützt werden, die sich aus der Nichtbeachtung der Voraussetzungen für die Anwendung der in Art 14 Abs 5 lit c DSGVO vorgesehenen Ausnahme ergibt. Die Aufsichtsbehörde muss prüfen, ob nationales Recht oder Unionsrecht die Datenverarbeitung erlaubt und ein gleichwertiges Schutzniveau wie Art 14 Abs 1 bis 4 DSGVO gewährleistet. Die Regelungen müssen klar sein und den Betroffenen ermöglichen, ihre Rechte wahrzunehmen. Insb müssen diese Vorschriften die Quelle angeben, aus der die Betroffenen Informationen über die Datenverarbeitung erhalten.

Im Rahmen eines Beschwerdeverfahrens darf die Aufsichtsbehörde daher prüfen, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art 32 DSGVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.

EuGH 28.11.2024, C-80/23, Ministerstvo

DSRL-PJ 2016/680, biometrische und genetische Daten

Zur Beantwortung eines Vorabentscheidungsersuchens entschied der EuGH, dass die Erhebung von biometrischen und/oder genetischen Daten von Beschuldigten im Rahmen eines Strafverfahrens auch zwangsweise zulässig ist, sofern das nationale Recht nachgelagert eine wirksame gerichtliche Kontrolle der Bewilligung zur Erhebung dieser Daten gewährleistet. Das nationale Gericht hat insb zu prüfen, ob die Beurteilung der "unbedingten Erforderlichkeit" der Erhebung sowohl biometrischer als auch genetischer Daten der Betroffenen durch die zuständige Behörde sichergestellt ist (EuGH 26.01.2023, C‑205/21, Ministerstvo na vatreshnite).

Im Rahmen des nationalen Verfahrens, auf dem dieses Urteil beruhte, legte das zuständige bulgarische Gericht weitere Fragen zur Vorabentscheidung vor.

Der EuGH hat erwogen: Die zuständige Behörde muss die unbedingte Erforderlichkeit der Erhebung der biometrischen und genetischer Daten überprüfen und nachweisen. Das nationale Gericht kann die Einhaltung dieser Verpflichtung nicht sicherstellen, weil es Sache der zuständigen Behörde ist, die nach Art 10 Richtlinie 2016/680 (DSRL-PJ) erforderliche Beurteilung vorzunehmen. Nationale Rechtsvorschriften, die keine Verpflichtung der zuständigen Behörde vorsehen, die unbedingte Erforderlichkeit der Erhebung biometrischer und genetischer Daten zu überprüfen und nachzuweisen, verstoßen gegen Art 10 der DSRL-PJ. Anm: Die Zusammenfassung der Schlussanträge kann in der 24. Ausgabe des Schönherr Datenschutzmonitors vom 19.06.2024 nachgelesen werden.

Rechtsprechung des VwGH

Aus der Rechtsprechung des VwGH:

Bei Gefahr in Verzug darf die DSB eine Datenverarbeitung mit Mandatsbescheid untersagen (§ 22 Abs 4 DSG iVm § 57 Abs 1 AVG). Gegen den Mandatsbescheid kann Vorstellung bei der DSB erhoben werden. Prozessgegenstand des Vorstellungsverfahrens ist der Mandatsbescheid, der durch den Vorstellungsbescheid ersetzt wird. Die Formulierung "wie noch im Detail ausgeführt wird" in der Amtsrevision der DSB genügt dem Erfordernis nicht, die Zulässigkeitsbegründung der Revision gesondert auszuführen (VwGH 31.10.2024, Ra 2022/04/0145).

Rechtsprechung des BVwG

BVwG 13.09.2024, W298 2274626-1

reCAPTCHA, Cookies, berechtigtes Interesse

Auf einer Parteiwebsite verwendeten zwei Websitebetreiber den Google-Dienst reCAPTCHA. Verwendet wurde eine "unsichtbare" Version von reCAPTCHA, die auf einer Website nicht gleich erkannt werden kann. Das Cookie blieb für die Unterseiten der Website aktiv, auch wenn es beim Öffnen der Website deaktivierte wurde. Über die weitere Verwendung des Cookies wurde auf der Website nicht informiert und auch keine Einwilligung eingeholt. Ein Websitebesucher fühlte sich durch diese Websiteeinstellungen in seinem Recht auf Geheimhaltung verletzt und brachte eine erfolgreiche Datenschutzbeschwerde bei der DSB ein. Dagegen erhoben die Websitebetreiber Bescheidbeschwerde an das BVwG, welches diese abwies.

Das BVwG hat erwogen: Der Betrieb einer Website ist ein Dienst der Informationsgesellschaft gemäß § 3 Z 1 ECG und Art 4 Z 25 DSGVO. IP-Adressen sind unabhängig davon, ob sie dynamisch oder statisch sind, personenbezogene Daten. Sobald mit zusätzlichen Daten die Identifizierung eines Nutzers ermöglicht wird, liegt ein Personenbezug gemäß Art 4 Z 1 DSGVO vor. Das von reCAPTCHA gesetzte Cookie ermöglicht die Identifizierbarkeit eines Nutzers und ermöglicht es, Besucher einer Website zu unterscheiden. Durch die übermittelten Informationen kann von Nutzern ein "digitaler Fingerabdruck" generiert werden.

Der Begriff "Verantwortlicher" in Art 4 Z 7 DSGVO ist weit definiert und erfasst jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Mehrere Akteure können auch gemeinsam für eine Datenverarbeitung verantwortlich sein. Eine Person, die aus Eigeninteresse auf die Zwecke und Mittel der Verarbeitung Einfluss nimmt, kann Verantwortliche sein.

Die Websitebetreiber betreiben die Website zum Zweck, andere Menschen über die Partei zu informieren und um weitere Parteimitglieder zu rekrutieren. Sie nehmen dabei aus Eigeninteresse auf die Verarbeitungen personenbezogener Daten Einfluss und legen die Mittel der Verarbeitung fest. Zusätzlich sind beide Websitebetreiber im Impressum als Medieninhaber nach § 25 MedienG genannt.

Eine Einwilligung ist jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Die Einwilligung für die Speicherung von Cookies muss mit einem aktiven Verhalten erfolgen und darf nicht vermutet werden. Wenn eine echte Wahlfreiheit fehlt, ist die Einwilligung nicht freiwillig. Wenn Websitebesucher nicht über die Verwendung von reCAPTCHA informiert werden, können sie in die Datenverarbeitung nicht wirksam einwilligen.

Die Verarbeitung personenbezogener Daten gemäß Art 6 Abs 1 lit f DSGVO ist zulässig, sofern sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen, nicht überwiegen.

Ein berechtigtes Interesse kann nur dann vorliegen, wenn der Verantwortliche den Betroffenen über das verfolgte Interesse informiert hat. Da dies nicht erfolgte, war die Datenverarbeitung rechtswidrig.

Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, sind für den Betrieb einer Website technisch nicht erforderlich, weshalb kein berechtigtes Interesse zur Nutzung besteht und eine ausdrückliche Einwilligung des Websitebesuchers einzuholen gewesen wäre.

BVwG 05.09.2024, W211 2291307-1

Smart Meter, Vertragserfüllung, Koppelungsverbot, Transparenz

Ein Hausbewohner fühlte sich durch den Einbau eines digitalen Stromzählers (Smart Meter) in seinem Recht auf Geheimhaltung verletzt. Dagegen brachte er Datenschutzbeschwerde bei der DSB ein. Der Hausbewohner brachte vor, der Smart Meter verarbeite permanent bei systemerhaltenden oder systemüberwachenden Tätigkeiten Daten. Dies sei vom – vor längerer Zeit abgeschlossenen – Nutzungsvertrag nicht gedeckt. Der Vertragszweck könne auch durch einen analogen Stromzähler erreicht werden. Der Netzbetreiber stützte sich auf die Vertragserfüllung und konfigurierte den Smart Meter entsprechend dem Wunsch des Hausbewohners in der "Opt-Out"-Konfiguration, bei der nur einmal im Jahr der Stromverbrauch abgelesen wird.

Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass es sich bei Einbau und Inbetriebnahme eines Smart Meters mit "Opt-Out"-Konfiguration um keine Datenverarbeitung handelt. Dagegen erhob der Hausbewohner (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Entsprechend dem Netznutzungsvertrag, der als Grundlage für die Verarbeitung der Daten dient, kann der Netzbetreiber selbst entscheiden, welche Art von Stromzähler er einsetzt. Der Stromverbrauch wird sowohl bei einem Smart Meter in der "Opt-Out"-Konfiguration als auch bei einem analogen Stromzähler einmal im Jahr ausgelesen. Das Auslesen des Verbrauchs erfolgt beim Smart Meter extern und bei einem analogen Gerät vor Ort. Die jährliche Übermittlung des Zählerstands dient zur Erfüllung des Netznutzungsvertrags gemäß Art 6 Abs 1 lit b DSGVO und ist dadurch gerechtfertigt. Der Einbau und auch die Inbetriebnahme eines Smart Meters sind keine Datenverarbeitungen. Eine Verletzung des Koppelungsverbots kann mangels einer eingeholten Einwilligung nicht vorliegen.

Informationen zu den einzelnen Funktionen des Routers oder zu gesundheitlichen Gefahren durch den Smart Meter sind keine zu erteilenden Informationen nach Art 13 DSGVO. Die Nichtaushändigung der Bedienungsanleitung eines Smart Meters kann nicht nach der DSGVO gerügt werden und ist keine Verletzung des Transparenzgebots.

BVwG 17.09.2024, W298 2295130-1

Geldbuße, Mitwirkung, Selbstbezichtigung

Die DSB forderte eine im Bereich der Personalservice tätige Gesellschaft in einem Verwaltungsverfahren zur Mitwirkung Die Gesellschaft beantwortete die behördliche Aufforderung trotz nachweislicher Zustellung nicht. Weiters wirkte sie auch im anschließenden Verwaltungsstrafverfahren an der Aufklärung des Tathergangs nicht mit. Darüber hinaus machte sie keine Angaben zu ihren Einkommens- und Vermögensverhältnissen.

Die DSB verhängte wegen Verletzung der Mitwirkungspflicht gemäß Art 31 DSGVO eine Geldstrafe iHv EUR 1.500. Aufgrund der Bescheidbeschwerde der Gesellschaft setzte das BVwG diese Geldstrafe auf EUR 500 herab.

Das BVwG hat erwogen: Eine Verletzung der Mitwirkungspflicht liegt vor, wenn die Aufforderung zur Stellungnahme der DSB nicht rechtzeitig, fristgerecht oder innerhalb einer angemessenen Frist beantwortet wird, ohne dass ein bestimmter Erfolg erforderlich ist. Die Bestimmung des Art 31 DSGVO legt dem Verantwortlichen verwaltungsverfahrensrechtliche Kooperationslasten auf. Die Vorschrift drängt den Amtsermittlungsgrundsatz ein Stück weit zurück. Neben der Pflicht zur Kooperation verlangt sie dem Adressaten ein aktives Tun ab.

Der Grundsatz der Selbstbelastungsfreiheit ist nicht verletzt, solange mit einer Information kein unmittelbares Schuldeingeständnis verbunden ist. Die Mitwirkungspflicht begründet keinen Verstoß gegen Art 6 EMRK (nemo tenetur Prinzip), weil die initiale Ermittlung des Sachverhalts in einem vorgelagerten datenschutzrechtlichen Verfahren erfolgt. Weiters liegt ein Verstoß gegen Art 6 EMRK nur dann vor, wenn eine Selbstauskunft die Gefahr einer (verwaltungs-)strafrechtlichen Verfolgung birgt und einer Selbstbezichtigung gleichkommt. Das Verweigern jeglicher Kommunikation mit der DSB ist damit vor allem iZm dem Verhältnismäßigkeitsgrundsatz des Art 52 Abs 1 S 2 GRC und der Eignung, Erforderlichkeit und Angemessenheit der konkreten Frage nicht umfasst.

Gemäß Art 58 Abs 2 lit i DSGVO sind Aufsichtsbehörden befugt, eine Geldbuße gemäß Art 83 DSGVO "zusätzlich zu oder anstelle von" anderen in Art 58 Abs 2 DSGVO genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Darüber hinaus ist es Aufsichtsbehörden gestattet, im Fall eines geringfügigeren Verstoßes, oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen. Jedoch kann das gänzliche Unterlassen jeglicher Mitwirkung an der Aufklärung eines Sachverhalts nicht als geringfügiger Verstoß angesehen werden.

Die Strafe scheint in Anbetracht dessen, dass die Schuld als gering anzusehen ist und die Gesellschaft den Aufforderungen der Behörde schließlich doch, wenn auch erheblich verspätet, nachgekommen ist, in der vorgesehenen Höhe nicht zweckmäßig. Es handelte sich auch um den ersten einschlägigen Verstoß der Gesellschaft.

BVwG 30.09.2024, W108 2285483-1

Geldbuße, Videoüberwachung, Kennzeichnung

Die DSB erhielt eine anonyme Anzeige, dass ein Restaurantbetreiber an der straßenseitigen Fassade Kameras installiert habe, welche den öffentlichen Straßenraum filmten. Die DSB leitete daraufhin ein amtswegiges Prüfverfahren gegen den Restaurantbetreiber ein. Der Restaurantbetreiber gab an, die Kameras wegen wiederholter Fensterschäden angebracht zu haben, und legte Unterlagen iZm Einbrüchen und Sachschäden vor. Die DSB stellte einen Verstoß gegen die DSGVO fest und leitete ein Verwaltungsstrafverfahren ein. Die DSB stellte mit Straferkenntnis fest, dass die Kameras öffentliche Straßen erfassten und damit unrechtmäßig personenbezogene Daten verarbeitet wurden. Weiters stellte die DSB einen Verstoß gegen die Informationspflichten gemäß Art 13 DSGVO fest, weil die Kameras nicht gekennzeichnet waren. Aufgrund dieser Verstöße wurde eine Geldstrafe iHv EUR 4.125 verhängt. Über Bescheidbeschwerde des Restaurantbetreibers setzte das BVwG die Geldstrafe auf EUR 1.000 herab.

Das BVwG hat erwogen: Der Restaurantbetreiber brachte ein rechtfertigendes Interesse iSd Art 6 Abs 1 lit f DSGVO vor, weil die Überwachung dem Schutz des Eigentums dienen sollte. Allerdings war der Aufnahmebereich der Kameras überschießend groß gewählt, weil der Kamerawinkel so hätte eingestellt werden können, dass ein kleinerer Bereich des öffentlichen Raums erfasst wird. Da die Geheimhaltungsinteressen der Betroffenen – der zufällig am Restaurant vorbeikommenden Verkehrsteilnehmer – überwiegen, kann sich der Restaurantbetreiber nicht auf Art 6 Abs 1 lit f DSGVO stützen. Der Restaurantbetreiber hat, entgegen seiner Annahme, durch die Videoüberwachung personenbezogene Daten erhoben. Ein an der Glastür des Restaurants angebrachter Hinweisaufkleber über die Videoüberwachung ändert nichts an der Unzulässigkeit der Datenverarbeitung und entspricht zudem nicht den Informationspflichten gemäß Art 12 und 13 DSGVO.

Die Strafbemessung ist eine Einzelfallentscheidung, bei der die Bewertungskriterien des Art 83 Abs 2 DSGVO zu berücksichtigen sind. Da die Videoüberwachung einen erheblichen Teil des öffentlichen Grunds umfasste, handelt es sich jedenfalls um eine erhebliche Anzahl der von der Verarbeitung Betroffenen. Allerdings erstreckte sich der Zeitraum der Überwachung auf weniger als einen Monat und den Betroffenen entstand kein konkreter Schaden. Weiters ist zu berücksichtigen, dass ein (wenn auch unzureichender) Hinweis über die Videoüberwachung vorhanden war. Da der Restaurantbetreiber bisher unbescholten war und Einsicht zeigte, sich nicht ganz rechtskonform verhalten zu haben, ist eine Geldstrafe iHv EUR 1.000 schuld- und tatangemessen.

BVwG 17.10.2024, W274 2291368-1

Datenschutzbehörde, AuskunftspflichtG, amtswegige Verfahren

Eine Lehrerin stellte fest, dass ihre personenbezogenen Daten in einer von der Verantwortlichen angebotenen App verarbeitet wurden. Daraufhin erhob die Lehrerin eine Datenschutzbeschwerde bei der DSB und machte eine Verletzung der Informationspflichten gemäß Art 14 DSGVO geltend. Die Verantwortliche berief sich auf den Ausnahmetatbestand des Art 14 Abs 5 lit b DSGVO, weil die unmittelbare Kontaktaufnahme mit sämtlichen Lehrern einen unverhältnismäßigen Aufwand erfordern würde. Zudem habe sie die Datenschutzerklärung in der App und auf ihrer Website öffentlich zugänglich gemacht.

Die DSB wies die Datenschutzbeschwerde ab, weil alle festgestellten Mängel im Verlauf des Verfahrens behoben worden seien. Der objektive Verstoß gegen Art 14 DSGVO sei in einem amtswegigen Prüfverfahren gemäß Art 58 Abs 1 lit b DSGVO aufzugreifen. Nachdem das BVwG die von der Lehrerin eingebrachte Bescheidbeschwerde abwies, erhob die Lehrerin gegen das Erkenntnis des BVwG eine ordentliche Revision. Nach einer Revisionsbeantwortung der DSB, in welcher erneut auf die amtswegige Prüfung gemäß Art 58 Abs 1 lit b DSGVO hingewiesen wurde, stellte die Lehrerin eine Anfrage an die DSB. Sie wollte wissen, ob wegen des Verstoßes gegen Art 14 DSGVO ein amtswegiges Prüfverfahren oder ein Verwaltungsstrafverfahren eingeleitet wurde und welche Ergebnisse bislang vorlagen.

Die DSB verweigerte die Auskunft mit der Begründung, dass der Verfasser einer Meldung oder eine dritte Person keine Parteistellung in einem amtswegigen Prüf- oder Verwaltungsstrafverfahren habe und daher nicht über den Ausgang solcher Verfahren unterrichtet werde. Nachdem die Lehrerin die Erlassung eines Bescheids gemäß § 4 Auskunftspflichtgesetz (AuskunftspflichtG) beantragte, entschied die DSB in ihrem Bescheid, dass kein berechtigtes Interesse der Lehrerin an der begehrten Auskunft vorliege und das Geheimhaltungsinteresse der Verantwortlichen überwiege. Daher wurde die Auskunft verweigert. Gegen diesen Bescheid erhob die Lehrerin eine (teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Behörden des Bundes sind gemäß § 1 AuskunftspflichtG verpflichtet, über Angelegenheiten ihres Wirkungsbereichs Auskunft zu erteilen, sofern dem keine gesetzliche Verschwiegenheitspflicht entgegensteht. Bei Auskunftsersuchen von Personen, die nicht Partei eines Verfahrens sind, ist eine Interessenabwägung mit dem Recht auf Geheimhaltung gemäß § 1 DSG vorzunehmen. Dabei muss das Interesse des Auskunftswerbers an der Auskunftserteilung das Interesse des im Verfahren Beschuldigten an der Geheimhaltung überwiegen. Dem Interesse der Lehrerin, nähere Auskunft über amtswegige Prüf- und/oder Verwaltungsstrafverfahren zu erhalten, steht das Geheimhaltungsinteresse der Verantwortlichen gegenüber.

Für die Lehrerin sind diese Auskünfte auch im Hinblick auf mögliche weitergehende Ansprüche, wie Unterlassungs- oder Schadenersatzansprüche, relevant. Berücksichtigt man den Umstand, dass die DSB der Lehrerin selbst Hinweise auf mögliche Umstände lieferte, die für die Einleitung eines amtswegigen Prüfverfahrens und eines Verwaltungsstrafverfahrens sprechen könnten, überwiegt das Interesse der Lehrerin an der Beantwortung der Fragen, ob derartige Verfahren eingeleitet wurden, gegenüber dem Interesse der Verantwortlichen. Die Bekanntgabe, ob ein Verfahren eingeleitet wurde, ist keine wesentliche Gefahr für eine öffentliche Diskreditierung.

Über Ergebnisse der Verfahren dürfen hingegen keine Informationen offengelegt werden, wenn die jeweiligen Verfahren noch nicht abgeschlossen sind. Zudem kämen Informationen über Ergebnisse der Verfahren einer Akteneinsicht gleich, die ausschließlich Verfahrensparteien vorbehalten ist.

Solange Werbemittel in noch unbefüllte, unetikettierte Kartons oder Kuverts zB auf einer Packstraße eines Versandhändlers beigelegt werden, findet keine Datenverarbeitung statt ("Beipackwerbung"). Dasselbe gilt auch für das Beilegen von Werbemitteln nach dem Befüllen mit der zu versendenden Ware, sofern das Werbemittel allen und nicht nur einer vorselektierten Auswahl von Adressaten beigelegt wird. Eine Datenverarbeitung findet jedoch statt, wenn die Empfänger des beizulegenden Werbematerials aufgrund einer bestimmten Information über diese Empfänger ausgewählt werden (BVwG 16.10.2024, W287 2258171-1).
Die Daten des Begünstigten eines Sanierungsverfahrens dürfen von einer Kreditauskunftei so lange aufbewahrt werden, bis sie in der Insolvenzdatei gemäß § 256 IO öffentlich publiziert sind. Danach sind solche Daten des Begünstigten von der Kreditauskunftei zu löschen, weil die weitere Verarbeitung dieser Daten die Verwirklichung des Ziels, dem Begünstigten zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, gefährden würde (BVwG 05.11.2024, W292 2247063-1).
Die Voraussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem Grundsatz der "Datenminimierung" zu prüfen, der verlangt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind (BVwG 13.09.2024, W298 2277035-1).
Das Recht auf Geheimhaltung iSd § 1 Abs 1 DSG kann auch im Zuge einer nichtautomatisierten Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen (dh außerhalb des Anwendungsbereich der DSGVO), verletzt werden. Die Entgegennahme eines Einschreibens durch einen Auftragsverarbeiter, mit dem eine Vereinbarung zur Auftragsverarbeitung geschlossen wurde, ist jedoch rechtmäßig (BVwG 23.09.2024, W274 2286029-1).
Der Datenschutz für bereits veröffentlichte Daten unterscheidet sich grundsätzlich nicht vom Schutzumfang von sonstigen personenbezogenen Daten. Die Veröffentlichung einer Stellungnahme im Rahmen eines örtlichen Raumordnungsprogramms ist nicht zu beanstanden. Unzulässig ist jedoch die Veröffentlichung der Stellungnahme gemeinsam mit dem Namen des Einschreiters, auch wenn der Name des Einschreiters öffentlich verfügbar ist (BVwG 23.09.2024, W274 2265096-1).
Anrufe zu Werbezwecken sind ohne vorherige Einwilligung des Nutzers gemäß § 174 Abs 1 TKG 2021 unzulässig (Cold Calling). Eine Ausnahme von der Anwendbarkeit des § 174 Abs 1 TKG 2021 besteht nicht. Bereits der erstmalige Kontakt in Form der telefonischen Einholung der Einwilligung zu einem späteren Werbetelefonat ist als Anruf zu Werbezwecken zu qualifizieren und ist somit unzulässig (BVwG 07.10.2024, W271 2294874-1).
Die Prüfung der Frage, ob es bei der Führung eines datenschutzrechtlichen Beschwerdeverfahrens zu einer Datenschutzverletzung gekommen ist, ist keine Tätigkeit, die der Wahrung der nationalen Sicherheit Eine Datenverarbeitung, die der datenschutzrechtlichen Kontrolle einer disziplinarrechtlichen Kontrolle (allenfalls) militärischen Handelns dient, fällt daher nicht in den Bereich der militärischen Landesverteidigung bzw der nationalen Sicherheit. Die DSGVO ist anzuwenden. Die verantwortliche Stelle nach dem Heeresdisziplinargesetz ist die Disziplinarbehörde (BVwG 31.10.2024, W258 2253618-1).
Die Regelungen des 13 ORF Beitrags Gesetzes 2024 erscheinen dem BVwG sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt, weshalb auch die diesbezüglich gerügte Verfassungswidrigkeit nicht naheliegt. Zudem ist zum entsprechenden Beschwerdevorbringen darauf hinzuweisen, dass sich die Zuständigkeit des BVwG im Kontext datenschutzrechtlicher Anbringen gemäß § 27 Abs 1 DSG auf die Entscheidung über Bescheidbeschwerden gegen Bescheide der DSB beschränkt (BVwG 24.10.2024, W603 2301338-1).
Die Zuständigkeit des BVwG im Kontext mit datenschutzrechtlichen Anbringen beschränkt sich gemäß 27 Abs 1 DSG auf die Entscheidung über Bescheidbeschwerden gegen Bescheide der DSB. Aus diesem Grund ist in einem Verfahren gegen einen Bescheid der ORF-Beitrags Service GmbH über datenschutzrechtliche Bedenken nicht abzusprechen (BVwG 03.10.2024, I415 2296585-1).
Findet eine Verhandlung in Anwesenheit von Parteien statt, ist das Erkenntnis idR mündlich zu verkünden. Wird von den Parteien auf Rechtsmittel verzichtet, kann das Erkenntnis in gekürzter Form ausgefertigt werden (BVwG 06.11.2024, W292 2284079-1).
Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim BVwG sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 06.11.2024, W214 2261322-1).
Wird die Bescheidbeschwerde wegen exzessiver Ausübung des Rechts iSd Art 57 Abs 4 DSGVO abgelehnt, hat der Wiederaufnahmewerber darzutun, dass die Entscheidung des BVwG hinsichtlich dieser Ablehnung der inhaltlichen Behandlung seiner Datenschutzbeschwerde anders gelautet hätte. Kommt dem Wiederaufnahmewerber mangels Obsorge keine Vertretungsbefugnis hinsichtlich seines minderjährigen Sohnes zu, fehlt ihm die Legitimation zum Erheben des Wiederaufnahmeantrags im Namen seines Sohnes (BVwG 06.11.2024, W252 2259204-2).
Die Bescheidbeschwerde kann in jeder Lage des Verfahrens vor dem BVwG zurückgezogen werden. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 10.2024, W108 2281992-1; 11.11.2024, W101 2281202-1).

EU-Rechtsakte

Am 26.11.2024 ist die "Durchführungsverordnung (EU) 2024/2916 der Kommission vom 25. November 2024 zur Festlegung eines Standardformulars für die Daten, die in dem Bericht über die Verarbeitung personenbezogener Daten enthalten sind, der von Dienstleistern gemäß der Verordnung (EU) 2021/1232 des Europäischen Parlaments und des Rates veröffentlicht und der zuständigen Aufsichtsbehörde und der Kommission vorgelegt wird", ABl L 2024/2916, 1, kundgemacht worden. Für die Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste (NIICS) besteht eine vorübergehende Ausnahme von bestimmten Datenverarbeitungsverboten der ePrivacy RL 2002/58 zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet (VO 2021/1232). Die NIICS – darunter versteht man zB Anbieter von Internet-Sprachtelefonie, Messaging-Diensten und webgestützten E-Mail-Diensten – trifft eine Jahresberichtspflicht über ihre Datenverarbeitungstätigkeit zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet. Mit der DurchführungsVO 2024/2916 hat die Kommission ein Standardformular zum Erstellen dieses Jahresberichts festgelegt.
Am 26.11.2024 ist die "Durchführungsverordnung (EU) 2024/2545 der Kommission vom 24. September 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Muster und Verfahren für die Zusammenarbeit und den Informationsaustausch zwischen zuständigen Behörden", ABl L 2024/2545, 1, kundgemacht worden. Festgelegt werden technische Durchführungsstandards für die Behördenkooperation hinsichtlich der Regulierung der Märkte für Kryptowerte.

Nationale Rechtsakte

Am 27.11.2024 ist die "Verordnung des Bundesministers für Finanzen zur vierzehnten Änderung der FinanzOnline-Verordnung 2006", BGBl II 2024/325, kundgemacht worden. Neu geregelt wird ua die Teilnahme an FinanzOnline.

Vorschau EuGH Rechtsprechung

Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

November 2024

06.11. | 13.11. | 20.11. | 28.11.

Datenschutzmonitor 28.11.2024

Rechtsprechung des EuGH

EuGH 21.11.2024, C-336/23, Hrvatska pošta

PSI 2-RL, Dokumentenzugang

Die kroatische Post (HP), ein zu 100% von der Republik Kroatien gehaltenes Unternehmen, das den Universalpostdienst in Kroatien anbietet und auch kommerzielle Tätigkeiten ausübt, lehnte einen Antrag auf Bereitstellung von Bauverträgen, vorläufigen Abrechnungen und Protokollen über die Übergabe einer Immobilie ab, der auf der RL 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (PSI 2-RL) und dem kroatischen Gesetz über das Recht auf Zugang zu Informationen beruhte.

Dagegen wurde Beschwerde beim Informationsbeauftragten eingelegt, der HP anwies, dem Antrag stattzugeben. HP erhob Klage beim "Hohen Verwaltungsgericht", das die Sache zur erneuten Prüfung an den Informationsbeauftragten zurückverwies. Der Informationsbeauftragte bestätigte seine Anweisung, woraufhin HP erneut beim Hohen Verwaltungsgericht klagte, das den EuGH um Vorabentscheidung ersuchte. Die Vorlagefragen befassten sich insb damit, (i) ob unter "Weiterverwendung von Informationen" iSd PSI 2-RL der Zugang zu allen Informationen eines öffentlichen Unternehmens gemeint ist und ob diese bereitzustellen sind, (ii) auf welche Informationen im Besitz eines öffentlichen Unternehmens die Bereitstellungspflicht anwendbar ist, sowie (iii) unter welchen Voraussetzungen und unter welchen Einschränkungen Informationen offenzulegen sind.

Der EuGH hat erwogen: "Weiterverwendung" bedeutet die Nutzung von Dokumenten für kommerzielle oder nicht kommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags oder dem Zweck der Erbringung von Dienstleistungen von allgemeinem Interesse unterscheiden, für den die Dokumente erstellt wurden. "Weiterverwendung" setzt zwar einen Zugang zu den betreffenden Dokumenten voraus, gleichwohl handelt es sich um zwei offensichtlich unterschiedliche Vorgänge. Die PSI 2-RL regelt die Weiterverwendung vorhandener Dokumente, die im Besitz öffentlicher Stellen und öffentlicher Unternehmen der Mitgliedstaaten sind, ohne jedoch eine Pflicht in Bezug auf den Zugang zu Dokumenten vorzusehen. Die PSI 2-RL gilt nicht für Dokumente, für die nach den Zugangsregelungen der Mitgliedstaaten der Zugang ausgeschlossen oder eingeschränkt ist. Die PSI 2-RL gewährt kein Recht auf Zugang zu Dokumenten des öffentlichen Sektors, sondern setzt ein solches Recht im Recht der Mitgliedstaaten oder im Unionsrecht voraus. Die Voraussetzungen für den Zugang zu diesen Dokumenten fallen nicht in ihren Anwendungsbereich.

Rechtsprechung des OGH

OGH 05.11.2024, 14Os14/24a

ANOM, SKY ECC, Verwertungsverbot

Der Verurteilte eines Strafverfahrens wurde wegen mehrerer Verbrechen des Suchtgifthandels und seiner Mitgliedschaft in einer kriminellen Vereinigung für schuldig erkannt. Die kriminelle Vereinigung nutzte verschlüsselte Kommunikationsdienste wie ANOM und SKY ECC, um ihre Aktivitäten zu koordinieren. Der Verurteilte brachte gegen das ihn ergehende Urteil eine (erfolglose) Nichtigkeitsbeschwerde an den OGH ein und behauptete darin, dass die Verwendung des digitalen Datenmaterials betreffend die Krypto-Messenger-Dienste gegen einfach- und verfassungsgesetzliche Vorschriften, den Grundsatz der Verhältnismäßigkeit sowie gegen primäres und sekundäres Unionsrecht verstoßen würde. Die Überwachung verschlüsselter Kommunikationen sei in Österreich gesetzlich nicht vorgesehen.

Der OGH hat erwogen: Auf die Tätigkeit ausländischer Behörden beziehen sich die inländischen Verfahrensgesetze nicht. Die StPO kennt keine generellen Verwendungsbeschränkungen für Beweismittel, die durch ausländische Behörden erlangt wurden. Sofern in der Beweisverwendung nicht selbst eine Grundrechtsverletzung liegt, ist die Vorlage von Beweisen, die ohne gesetzliche Regelung gewonnen wurden, nicht zwingend unzulässig. Ein Beweisverwendungsverbot besteht, wenn bei der Beweiserhebung ein fundamentaler Verfahrensgrundsatz verletzt wurde, etwa durch eine gravierende Menschenrechtsverletzung. Ein Beweisverwendungsverbot für durch ausländische Behörden erlangte Beweismittel besteht, wenn gegen rechtsstaatliche Mindeststandards oder völkerrechtliche Garantien verstoßen wurde.

Die Staatsanwaltschaft wertete Daten aus, die sie zuvor vom Federal Bureau of Investigation (FBI) erhielt, und stellte fest, dass der Verurteilte ANOM-Mobiltelefone nutzte, welche in mutmaßliche kriminelle Organisationen eingeschleust wurden und nach Angaben des FBI von 100% der Nutzer für kriminelle Zwecke genutzt wurden. Die Daten mit der Information, dass der Verurteilte SKY ECC-Mobiltelefone verwendete, wurden dem österreichischen Bundeskriminalamt – durch Europol koordiniert – von ausländischen Behörden aufgrund einer Europäischen Ermittlungsanordnung (EEA) übermittelt. Die Sicherstellung und Entschlüsselung dieser Daten erfolgte weder durch noch unter Beteiligung österreichischer Strafverfolgungsorgane. Diesen wurden lediglich die Ergebnisse der Überwachung übermittelt.

Ein Beweisverwertungsverbot ergibt sich nicht allein daraus, dass die Überwachung verschlüsselter Nachrichten in der österreichischen Rechtsordnung nicht vorgesehen ist. Zudem wurden die ANOM-Telefone gezielt an mutmaßliche Mitglieder von kriminellen Vereinigungen ausgegeben, wobei der Verwendungszweck nicht die Erlangung von Daten aus dem persönlichen Lebensbereich jener Personen war. Der Eingriff in das Recht auf Privatleben tritt sohin hinter das öffentliche Interesse an der Aufklärung derartiger Formen von Schwerkriminalität zurück.

Die Annahme, dass von ausländischen Behörden gewonnene Beweisergebnisse jedenfalls nicht in inländischen Strafverfahren verwendet werden dürfen, ist nicht zutreffend. Eine Verletzung der Verständigungspflicht nach Art 31 Abs 1 RL-EEA durch die ausländischen Behörden nimmt den österreichischen Behörden zwar die Möglichkeit, Überwachungsmaßnahmen auf österreichischem Hoheitsgebiet zu unterbinden (vgl § 55d Abs 7 EU-JZG). Daraus lässt sich aber nicht unmittelbar ein Verbot der Verwendung dadurch erlangter Beweismittel ableiten.

Eine Europäische Ermittlungsanordnung zur Überwachung verschlüsselter Nachrichten darf von österreichischen Behörden nach 55a Abs 1 Z 13 EU-JZG nicht vollstreckt werden, wenn sie in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Die österreichische Staatsanwaltschaft muss die ausstellende Behörde informieren, dass die Überwachung nicht durchgeführt werden kann oder zu beenden ist und die Ergebnisse nicht verwendet werden dürfen. Der EuGH hat entschieden, dass die Überwachung verschlüsselter Kommunikation vom Begriff "Überwachung des Telekommunikationsverkehrs" erfasst ist und das Schutzniveau des Mitgliedstaats nicht unterlaufen werden darf. Es ist jedoch Sache des nationalen Gesetzgebers, die Zulässigkeit der Verwendung unionsrechtswidrig erlangter Beweise unter Beachtung grundrechtlicher Anforderungen an die Fairness des Verfahrens zu regeln. Im fortgesetzten Verfahren wird zu klären sein, ob ausländische Strafverfolgungsbehörden die von ihnen zur Verfügung gestellten Kommunikationsdaten auf eine Weise erlangten, die ein Vollstreckungshindernis nach § 55a Abs 1 Z 1 bis 5, 8 oder (insbesondere) 13 EU-JZG begründen würde (OGH 13.11.2024, 11Os129/24s).
Ermittlungsmaßnahmen von ausländischen Behörden ohne Veranlassung inländischer Strafverfolgungsbehörden sind keine Ergebnisse einer nach dem fünften Abschnitt des achten Hauptstücks der StPO durchgeführten Ermittlungsmaßnahme. Vor diesem Hintergrund findet das in § 140 Abs 1 StPO normierte Verwertungsverbot keine Anwendung auf die Ergebnisse (OGH 05.11.2024, 14Os100/24y).

Rechtsprechung des BVwG

BVwG 25.10.2024, W108 2285546-1

Geldbuße, sensible Daten, Verschulden, Strafzumessung

Die Sekretärin der Bundesorganisation einer politischen Partei versendete eine E-Mail für eine politische Kampagne. Den E-Mail-Verteiler mit ca 400 E-Mail-Adressen, davon zumindest 100 personalisierte E-Mail-Adressen, fügte sie versehentlich statt ins "An-Feld" ins "bcc-Feld" ein. Die E-Mail-Adressen stammten aus öffentlich zugänglichen Quellen.

Die DSB verhängte eine Geldbuße iHv EUR 50.700 gegen die politische Partei, weil durch den Versand der E-Mail politische Meinungen und weltanschauliche Überzeugungen offengelegt worden seien. Aufgrund der Bescheidbeschwerde der politischen Partei setzte das BVwG die Geldbuße auf EUR 28.000 herab.

Das BVwG hat erwogen: Sensible Daten können aus einer Information auch mittelbar hervorgehen. Der Inhalt der E-Mail erweckte den Eindruck, dass die E-Mail-Empfänger sich der politischen Partei angeschlossen haben. Dadurch wurde ihnen eine (vermeintliche) politische Überzeugung zugeschrieben. Für die zumindest 100 Personen deren E-Mail-Adressen personalisiert waren, liegt aufgrund der Offenlegung der E-Mail-Adressen das Gefahrenpotenzial der Benachteiligung oder Verfolgung vor.

Nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft begangen hat, können zur Verhängung einer Geldbuße führen. Verschulden liegt aber bereits dann vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt. Die politische Partei konnte sich über die Rechtswidrigkeit der Offenlegung von E-Mail-Adressen nicht im Unklaren sein.

Im Gegensatz zur Bestimmung der Bußgeldobergrenze ist für die Strafzumessung nicht der Umsatz im letzten abgeschlossenen Geschäftsjahr vor Erlass des Straferkenntnisses, sondern die im Entscheidungszeitpunkt des BVwG aktuelle Einkommens- und Vermögenslage der politischen Partei zu berücksichtigen. Nur so kann die Verhältnismäßigkeit der Geldbuße und die wirtschaftliche Überlebensfähigkeit gewährleistet werden. Anm: Entgegen der klaren Rechtsprechung des EuGH hat das BVwG das Schuldprinzip teilweise abgeschafft. Der Rechtsstaat gerät zunehmend unter die Datenschutzräder.

BVwG 13.09.2024, W252 2277317-1

Tonbandaufnahme, Scheidung, berechtigtes Interesse

Im Zuge von ehelichen Auseinandersetzungen fertigte ein Ehemann über einen Zeitraum von neun Monaten punktuell heimlich Tonbandaufnahmen von mit seiner Ehefrau geführten Streitgesprächen an, um diese ggf in einem streitigen Scheidungsverfahren vorlegen zu können (was schließlich auch – zumindest teilweise – geschah). Die Ehefrau erachtete sich in ihrem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB ein, welche von dieser als unbegründet abgewiesen wurde. Hiergegen erhob die Ehefrau erfolgreiche Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ("Haushaltsausnahme"). Entscheidend ist, dass der Datenumgang im ausschließlich privaten Aktionskreis stattfindet. Die Aufnahmen – obwohl in einem familiären Umfeld wurzelnd – waren mit dem Zweck angefertigt worden, diese ggf in einem streitigen Scheidungsverfahren als Beweismittel vorzulegen. Insofern fiel diese Datenverarbeitung nicht unter die Haushaltsausnahme.

Die Verarbeitung personenbezogener Daten ist gemäß § 6 Abs 1 lit f DSGVO unter drei kumulativen Voraussetzungen rechtmäßig. Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Die Durchsetzung von Rechtsansprüchen – wie hier im Rahmen einer Scheidung – kommt jedenfalls als berechtigtes Interesse in Frage. Es war dem Ehemann auch nicht möglich, in zumutbarer Weise seine Scheidungsklage ebenso wirksam mit anderen Mitteln – zB einem "Streittagebuch" – zu untermauern. Dies auch deswegen, weil die Scheidungsklage gerade mit den "provokanten Äußerungen, gehässigen Wortmeldungen und Beschimpfungen" der Ehefrau begründet wurde, welche ohne Tonaufnahmen kaum belegbar gewesen wären.

Das Verhalten der Ehefrau war dem Begriff "Psychoterror" jedoch (noch) nicht zuzuordnen. Das Interesse der Ehefrau, dass ihre gesprochenen Worte in den eigenen vier Wänden nicht aufgenommen werden, ist sehr hoch. Die Anfertigung der Tonbandaufnahmen war datenschutzrechtlich unzulässig, weil das Geheimhaltungsinteresse der Ehefrau überwog.

Rechtsanwalt, Rechtsdurchsetzung, berechtigtes Interesse

BVwG 30.09.2024, W256 2248861-1

Ein Ehemann fertigte mit einer im Garten des Hauses seiner Ehefrau montierten Kamera Fotos an, die sie bei intimen Handlungen mit einem anderen Mann zeigten. Im Rahmen der Korrespondenz zur Vorbereitung auf die Scheidung vermutete die Ehefrau, ihr Mann hätte noch Zugriff auf die Kamera und verlangte über ihren Rechtsvertreter die Herausgabe von angefertigten Fotos. Die Fotos wurden vom Rechtsvertreter des Ehemanns in einer ZIP-Datei per Mail an den Rechtsvertreter der Ehefrau übermittelt. Nach Ansicht der Ehefrau erfolgte die Verarbeitung der Fotos ohne ihre Einwilligung und die Übermittlung durch den Rechtsvertreter ohne geeignete Schutzmaßnahmen. Wegen der Verletzung ihres Rechts auf Geheimhaltung brachte sie Datenschutzbeschwerde bei der DSB ein. Gegen den abweisenden Bescheid brachte sie Bescheidbeschwerde beim BVwG ein, welches diese abwies.

Das BVwG hat erwogen: Rechtsanwälte sind nach § 9 Abs 1 RAO in der Ausübung ihres Mandats unabhängig und entscheiden über Zwecke und Mittel der diesbezüglichen Datenverarbeitung selbst. Sie sind eigenständige Verantwortliche iSd Art 4 Z 7 DSGVO.

Der Anspruch auf Geheimhaltung gemäß § 1 Abs 1 DSG kann gemäß § 1 Abs 2 DSG nur durch eine Datenverarbeitung eingeschränkt werden, die rechtmäßig ist und in der gelindesten zum Ziel führenden Art vorgenommen wird. Die in der DSGVO verankerten Grundsätze sind bei der Auslegung des Rechts auf Geheimhaltung zu berücksichtigen. Das Prinzip der Datenminimierung in Art 5 Abs 1 lit c DSGVO sieht eine Beschränkung der Datenverarbeitung auf das notwendige Maß vor. Eine Datenverarbeitung ist dann nicht notwendig, wenn die Verarbeitung der Daten weggedacht, die Zweckerreichung dabei aber nicht erschwert wird.

Eine Verarbeitung nach Art 6 Abs 1 lit f DSGVO ist zulässig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen des Betroffenen nicht überwiegen. Die Interessen des Betroffenen überwiegen insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen der Betroffene nicht mit einer Verarbeitung rechnen muss.

Die Verfolgung, Durchsetzung und Verteidigung von Rechtsansprüchen gemäß Art 9 Abs 2 lit f DSGVO ist ein von der DSGVO anerkanntes, berechtigtes Interesse. Darunter fallen auch Datenverarbeitungen zur außergerichtlichen Geltendmachung von Ansprüchen. Der Erlaubnistatbestand ist ein Sonderfall des berechtigten Interesses und erlaubt auch die Verarbeitung sensibler Daten. Die effektive Rechtsdurchsetzung des Einzelnen hat Vorrang vor den Interessen betroffener Personen am Schutz ihrer Daten.

Die Datenverarbeitung erfolgte im Zuge außergerichtlicher Scheidungsverhandlungen über Begehren der Ehefrau. Der Rechtsanwalt des Ehemanns handelte bei der Übermittlung sämtlicher Fotos im Sinne seines Mandanten zum Zweck der Rechtsverteidigung. Durch das Anfordern des gesamten Bildmaterials war es erforderlich alle Daten zu übermitteln. Da von einer Bildverarbeitung im Aufforderungsschreiben ausgegangen wurde, konnte die Datenverarbeitung auch nicht überraschend sein. Die vorzunehmende Interessenabwägung geht daher zu Gunsten des Rechtsanwaltes aus.

Rechtsprechung des BFG

Aus der Rechtsprechung des BFG:

Eine den Verfahrensgesetzen entsprechende Verwendung personenbezogener Daten, auch wenn es sich um Gesundheitsdaten handelt, ist grundsätzlich auch aus datenschutzrechtlicher Sicht zulässig (BFG 26.09.2024, RV/5101151/2020).

Rechtsprechung der BDB

Aus der Rechtsprechung der BDB:

Die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz (§ 1 DSG) zu durchbrechen, wird von einem Beamten dann missbräuchlich in Anspruch genommen, wenn eine Datenbankabfrage ohne dienstliche Rechtfertigung erfolgt. Nach der Rechtsprechung des OGH führt der Befugnismissbrauch bei deliktspezifischem Schädigungsvorsatz zu einer strafrechtlichen Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch), ohne dass an sich ein tatsächlicher Schadenseintritt erforderlich wäre. Durch den OGH wird bereits in der Verletzung des Grundrechts auf Datenschutz durch eine missbräuchliche Datenermittlung die konkrete Schädigung des Betroffenen/der Betroffenen erblickt (BDB 09.2024, 2024-0.266.730; 17.10.2024, 2023-0.246.270; 21.10.2024, 2022-0.607.066).

EU-Rechtsakte

Am 18.11.2024 ist "Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über die Haftung für fehlerhafte Produkte und zur Aufhebung der Richtlinie 85/374/EWG des Rates", ABl L 2024/2853, 1, kundgemacht worden. Die Richtlinie legt Vorschriften über die Haftung von Wirtschaftsakteuren für Schäden, die natürlichen Personen durch fehlerhafte Produkte entstanden sind, fest. Unter "Produkte" sind auch "digitale Konstruktionsunterlagen" und in Produkte integrierte digitale Dienste zu verstehen.
Am 20.11.2024 ist die "Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung)", ABl L 2024/2847, 1, kundgemacht worden. Die Verordnung beinhaltet Vorschriften zur Gewährleistung der Cybersicherheit von Produkten mit digitalen Elementen.

Nationale Rechtsakte

Am 21.11.2024 hat das Bundesland Niederösterreich, LGBl 2024/65, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Vorschau EuGH-Rechtsprechung

Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

Datenschutzmonitor 20.11.2024

Rechtsprechung der Justiz

Eine auf Überwachung verschlüsselter Nachrichten nach vorheriger Installation eines (Entschlüsselungs-)Programms auf den Mobiltelefonen der Nutzer ohne deren Kenntnis gerichtete Europäische Ermittlungsanordnung eines anderen Mitgliedstaats dürfte von österreichischen Behörden nach § 55a Abs 1 Z 13 EU-JZG nicht vollstreckt Wird eine österreichische Staatsanwaltschaft über eine solche Ermittlungsmaßnahme unterrichtet, hat sie der ausstellenden Behörde mitzuteilen, dass die Überwachung nicht durchgeführt werden kann oder zu beenden ist und bereits gesammelte Ergebnisse der Überwachung von Nachrichten nicht verwendet werden dürfen. Mit dieser Regelung hat der Gesetzgeber ein unbedingtes Beweisverwertungsverbot geschaffen (OGH 05.11.2024, 14Os107/24b).
Eine Rechtsanwaltsgesellschaft klagte eine Rechtsanwalts OG und ihre persönlich haftenden Gesellschafter wegen eines Verstoßes gegen § 1 und 2 UWG auf Unterlassung, weil die Rechtsanwalts OG unrichtig behauptet habe, keine Cookies auf ihrer Website zu verwenden und durch diese Nichteinhaltung der DSGVO sich gegenüber der klagenden Rechtsanwaltsgesellschaft einen Wettbewerbsvorteil verschafft habe. Im Beschluss des OLG Wien geht es nur um den Kostenrekurs der Rechtsanwaltsgesellschaft. Aus dem Beschluss geht jedoch klar hervor, dass die Unterlassungsklage der Rechtsanwaltsgesellschaft keinen Erfolgt hatte (OLG Wien 07.11.2024, 33R132/24k).

Rechtsprechung des BVwG

BVwG 22.10.2024, W252 2286224-1

Eltern-App, Haushaltsausnahme, Familienleben

Eine Mutter installierte eine Handy-App auf dem Handy ihrer Tochter, welche die Ortung des Geräts und die Aufnahme von Umgebungsgeräuschen ermöglichte. Durch die App fühlte sich ihr Ex-Mann (Kindsvater) in seinem Recht auf Geheimhaltung verletzt, weil die App auch seine Standortdaten und Daten aus seinem beruflichen Umfeld erfasse. Dagegen brachte er Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde sowohl hinsichtlich der Standortdaten als auch der Umgebungsgeräusche ab, ua weil die Aufnahmefunktion der App betreffend Umgebungsgeräusche nicht genutzt wurde. Der Ex-Mann erhob eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSGVO ist gemäß Art 2 Abs 2 lit c DSGVO ("Haushaltsausnahme") auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten nicht anwendbar. Erfasst von der Ausnahme sind Tätigkeiten, die zum Privat- oder Familienleben von Privatpersonen zählen.

Ein Zugänglichmachen von Daten einer unbegrenzten Zahl von Personen oder Verarbeitungen, die sich teilweise auf den öffentlichen Raum erstrecken, fallen nicht unter diese Ausnahme. Die Verarbeitung muss im privaten Aktionskreis stattfinden. Der Verantwortliche und die betroffene Person müssen aber nicht im selben Haushalt zusammenleben.

Entscheidend ist der rein private Zweck der Verarbeitungstätigkeit. Die Kriterien "persönlich" und "familiär" beziehen sich auf die Tätigkeiten der Person, die personenbezogene Daten verarbeitet, nicht aber auf die Person, deren Daten verarbeitet werden.

Die Auslegung der Kriterien "persönlich" und "familiär" erfolgt nach der Verkehrsanschauung. Darunter fallen unter anderem die Freizeitgestaltung, Hobbies und die Anfertigung von Urlaubsaufnahmen zu rein privaten Unterhaltungszwecken. Der Begriff "Familie" ist unabhängig von der strengen familienrechtlichen Definition im Einzelfall zu beurteilen. Daher können auch andere von Ehe und Kindschaft abweichende Beziehungen umfasst sein.

Die Unterstützung des eigenen Kindes bei der Orientierung in einer neuen Stadt oder die Erhöhung der Sicherheit, aber auch die Erhöhung des Sicherheitsgefühls der Eltern kann unter den Begriff persönliche und familiäre Tätigkeit fallen. Von der Ausnahme sind auch Datenverarbeitungen erfasst, die nebenbei das Privatleben anderer Personen betreffen oder betreffen können. Die durch eine Ortung erlangte Information, wonach sich das Kind in Sicherheit beim Kindesvater befindet, fällt ebenfalls unter die Ausnahme.

Die Haushaltsausnahme dient der Erleichterung der Ausübung des Grundrechts auf Familienleben gemäß Art 8 EMRK und ist auf das DSG anzuwenden.

Die Verarbeitung der Standortdaten fiel in die Haushaltsausnahme, weshalb die DSGVO und das DSG nicht anzuwenden waren. Die Bescheidbeschwerde war daher abzuweisen, aber mit der Maßgabe, dass die DSB die Datenschutzbeschwerde hinsichtlich der Standortdaten wegen Unzuständigkeit zurückzuweisen gehabt hätte.

Hinsichtlich der Umgebungsgeräusche war die Bescheidbeschwerde abzuweisen, weil diese Funktion der App nicht genutzt wurde und somit die Datenverarbeitung nicht stattgefunden hat.

Rechtsprechung der LVwG

Die Auskunftspflichtigen iSd Bundesstatistikgesetzes sind verpflichtet, vollständig, rechtzeitig und nach bestem Wissen Auskunft über jene Daten, die Erhebungsmerkmal der angeordneten statistischen Erhebung sind, zu erteilen. Die Verletzung der Mitwirkungspflicht an der Mikrozensuserhebung ist strafbewehrt (LVwG Tirol 27.09.2024, LVwG-2024/27/1740-4).

Rechtsprechung der BDB

BDB 29.05.2024, 2023-0.604.684

Dienstpflichtverletzung durch Datenabfrage, AIS

Eine beim Finanzamt tätige Beamtin bewarb sich bei einem internen Besetzungsverfahren für eine Führungsfunktion, woraufhin eine notwendige systematische Analyse hinsichtlich dienstlich unbegründeter Datenbankzugriffe durchgeführt wurde. Dabei konnten 120 Zugriffe auf ihre eigenen Steuerdaten festgestellt werden. Daraufhin wurden weitere Ermittlungen vorgenommen, um mögliche dienstlich unbegründete Datenbankzugriffe zu analysieren. Hierbei stellte sich heraus, dass die Beamtin ohne dienstliche Veranlassung auf zahlreiche Steuerdatensätze im Abgabeninformationssystem der Finanzverwaltung (AIS) ihrer Familienmitglieder und Nachbarn aus ihrer Heimatgemeinde zugegriffen hat. Bei einer Befragung bestätigte die Beamtin ihre Zugriffe und dass keine dienstliche Veranlassung für diese Zugriffe vorlag. Sie führte aus, dass sie die Abfragen auf Verlangen der jeweiligen Personen durchgeführt habe. Während die Beamtin ihrer schriftlichen Stellungnahme unterzeichnete Erklärungen von neun abgefragten Personen beilegte, in denen sie angaben, die Abfragen selbst veranlasst zu haben, fehlte die Einverständniserklärung zweier Nachbarn. Diese teilten mit, dass sie die Beamtin um keine Auskunft gebeten haben und mit der Abfrage nicht einverstanden waren, weshalb sie sich in ihrem Recht auf Datenschutz verletzt fühlten. Das bei der Staatsanwaltschaft anhängige Verfahren wurde mit einer Diversion beendet.

Die BDB hat erwogen: Die Beamtin hat die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz gemäß § 1 DSG zu durchbrechen, missbräuchlich in Anspruch genommen, weil keine dienstliche Rechtfertigung vorlag. Dadurch hat sie die Personen, die mit der Abfrage nicht einverstanden waren, in ihrem Recht auf Datenschutz verletzt. Die Datenzugriffe durch die Beamtin sind Weisungsverstöße gemäß § 44 BDG 1979. Abfragen im AIS dürfen nämlich lediglich im Zuge eines Amtsgeschäfts, also bei einer dienstlichen Veranlassung, erfolgen. Zudem ist die Beamtin durch ihr Naheverhältnis zu den Familienangehörigen und Nachbarn befangen iSd § 47 BDG, weshalb die Vornahme eines Amtsgeschäfts in Bezug auf diese Daten von vornherein untersagt war.

Im Hinblick auf die Datenabfrage ihrer eigenen Steuerdaten liegt ein Verstoß gegen § 47 BDG iVm § 76 BAO und § 7 AVG vor. Die Beamtin hat schuldhaft und zumindest mit bedingtem Vorsatz gehandelt, weil aufgrund ihres Verwandtschaftsverhältnisses bzw durch das bestehende Naheverhältnis zu ihren Nachbarn keine dienstliche Notwendigkeit für die Abfragetätigkeit vorlag. Die Beamtin hat die Dienstanweisungen nicht eingehalten und die gesetzlich normierte Bestimmung der Befangenheit missachtet. Vor diesem Hintergrund war gegen die Beamtin wegen Dienstpflichtverletzung eine Disziplinarstrafe zu verhängen.

Fragt eine Teamleiterin der Finanzverwaltung ihre eigenen Steuerdaten ab, begeht sie eine Dienstpflichtverletzung. Das ist ihr auch vorwerfbar, denn eine Teamleiterin hat über die Sensibilität und Problematik des Datenschutzes bestens informiert zu sein (BDB 23.04.2024, 2024-0.002.580).

Rechtsakte

Am 11.11.2024 ist die "Richtlinie (EU) 2024/2831 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit", ABl L 2024/2831, 1, kundgemacht worden (Plattformarbeit-RL). Ziel der Plattformarbeit-RL ist neben den Arbeitsbedingungen auch den Schutz personenbezogener Daten in der Plattformarbeit (Arbeit, die über eine digitale Arbeitsplattform organisiert ist) zu verbessern.
Am 11.11.2024 wurde ein Erlass der Bundesministerin für Justiz "zur Gewährleistung einer verfassungs- und unionsrechtskonforme Rechtsanwendung bei der Sicherstellung und Auswertung von Datenträgen im Hinblick auf das VfGH-Erkenntnis G 352/2021-46 und das EuGH-Urteil C-548/21" (Handyauswertung) veröffentlicht.

Vorschau EuGH-Rechtsprechung

Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

Datenschutzmonitor 13.11.2024

Rechtsprechung des VwGH

Ist einem Löschungsersuchen durch Löschung der Bewerbungsdaten bereits entsprochen worden, ist eine auf Löschung dieser Daten gerichtete Revision an den VwGH unzulässig (VwGH 16.10.2024, Ra 2022/04/0151).
Die Veröffentlichung einer Stellungnahme samt Name und Wohnanschrift durch eine Behörde im Internet kann nicht auf die Wahrnehmung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden (VwGH 16.10.2024, Ra 2022/04/0140).
In Verwaltungsstrafverfahren ist – trotz des Offizialprinzips – dort, wo es der Behörde nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, von einer Mitwirkungspflicht der Partei auszugehen. In solchen Fällen hat die Partei betriebsbezogene oder personenbezogene Umstände mitzuteilen (VwGH 09.10.2024, Ra 2024/06/0161).

Rechtsprechung des BVwG

BVwG 30.09.2024, W603 2297646-1

Eine GmbH führte Telefonate durch, um Kunden zu akquirieren und Termine für einen Vertreterbesuch zum Verkauf von Sicherheitstechniken zu vereinbaren. Einer der Angerufenen zeigte kein Interesse, erteilte keine Einwilligung zu diesem Anruf und zeigte die GmbH beim Fernmeldebüro an. Das Fernmeldebüro verhängte eine Geldstrafe gegen den alleinvertretungsbefugten Geschäftsführer der GmbH, weil dieser gegen das Verbot des Cold Calling verstoßen hat (§ 174 Abs 1 iVm § 188 Abs 6 Z 9 TKG 2021) und sprach die Solidarhaftung des Unternehmens aus. Der Geschäftsführer brachte dagegen eine Bescheidbeschwerde beim BVwG ein und beantragte die Aufhebung des Straferkenntnisses bzw die Herabsetzung der verhängten Strafe. Der Geschäftsführer bestritt, dass es sich um einen Werbeanruf handelte, weil der Angerufene seine Telefonnummer bei der Herold Business Data GmbH hinterlegt habe, was eine konkludente Einwilligung darstelle. Zudem habe der Anruf nur dazu gedient, die Einwilligung zur Werbung zu erlangen.

Das BVwG hat erwogen: Anrufe zu Werbezwecken ohne vorherige Einwilligung des Nutzers sind gemäß § 174 Abs 1 TKG 2021 unzulässig (Cold Calling). Den Ausführungen des Geschäftsführers, es habe sich um keinen Werbeanruf gehandelt, kann nicht gefolgt werden. Der Begriff der Werbung ist weit auszulegen und bereits der erstmalige Kontakt in Form der telefonischen Einholung der Einwilligung zu einem späteren Werbetelefonat ist als Anruf zu Werbezwecken zu qualifizieren und somit unzulässig. Bei dem Anruf durch die GmbH handelt es sich somit um einen Werbeanruf, welcher für seine Zulässigkeit der vorherigen Einwilligung gemäß § 174 Abs 1 TKG 2021 bedurft hätte.

Mangels fehlender Definition des Einwilligungsbegriffs im TKG 2021 ist auf Art 4 Z 11 DSGVO zurückzugreifen. Da eine Eintragung von Kontaktinformationen in Telefonbüchern keine konkludente Einwilligung zum Empfang von Werbung ist und der Angerufene auch durch keine ausdrückliche Willenserklärung eine Einwilligung erteilte, ist der GmbH keine Einwilligung iSd § 174 Abs 1 TKG 2021 erteilt worden.

Zudem wird in den AGB der Herold Business Data GmbH darauf hingewiesen, dass die Bereitstellung der Rufnummern im Teilnehmerverzeichnis nicht auf die Zustimmung zum Erhalt von Werbeanrufen schließen lässt.

Cold Calling ist ein Ungehorsamsdelikt, sodass bereits fahrlässiges Verhalten für die Strafbarkeit ausreicht. Der Geschäftsführer hat kein wirksames Kontrollsystem eingerichtet und hat Übertretungen des § 174 Abs 1 TKG 2021 im Unternehmen gefördert. Der Geschäftsführer hat sich nicht über die Rechtslage erkundigt, was ebenfalls als Verschulden zuzurechnen ist. Bei der Bemessung der Strafe ist § 19 VStG heranzuziehen, weshalb das geschützte Rechtsgut – hier die Privatsphäre von natürlichen Personen, der Schutz vor Belästigungen und unerbetenen Nachrichten – und die Intensität seiner Beeinträchtigung zu beachten sind. Zudem sind Erschwerungs- und Milderungsgründe sowie die Einkommens- und Vermögensverhältnisse zu berücksichtigen. Die verhängte Geldstrafe ist somit tat- und schuldangemessen.

Die Bescheidbeschwerde kann in jeder Lage des Verfahrens vor dem BVwG zurückgezogen werden. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 09.10.2024, W274 2284620-1).

Leitlinien

EDPB Report on the first review of the European Commission Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework (2024)

Der Europäische Datenschutzausschuss (EDSA) hat einen Bericht über die erste Überprüfung des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) veröffentlicht. Bewertet wurden insbesondere die kommerziellen Aspekte des DPF und der Zugang der US-Behörden zu personenbezogenen Daten, die an DPF-zertifizierte Organisationen übermittelt werden.

Der EDSA stellte fest, dass das US-Handelsministerium den Zertifizierungsprozess für US-Unternehmen umgesetzt hat. Das implementierte mehrstufige Beschwerdesystem bietet EU-Bürgern leicht zugängliche Beschwerdemöglichkeiten. Aufgrund der wenigen Beschwerden empfiehlt der EDSA jedoch, dass das Handelsministerium und die Federal Trade Commission (FTC) die Einhaltung der DPF-Grundsätze bei zertifizierten Organisationen verstärkt von Amts wegen überwachen. Außerdem soll das Handelsministerium Leitlinien für DPF-zertifizierte Unternehmen zur Datenübermittlung an Drittländer erstellen und den in der EU und den USA unterschiedlich ausgelegten Begriff "Personaldaten" ("HR Data") klären.

Der EDSA anerkennt die Aktualisierung der Richtlinien und Verfahren der US-Geheimdienste zur Umsetzung der Prinzipien der Notwendigkeit und Verhältnismäßigkeit, fordert die Europäische Kommission aber auf, die Umsetzung dieser Prinzipien weiterhin zu überwachen. Insbesondere begrüßt der EDSA legislative Änderungen, die den Datenschutz verbessern. Allerdings wurden im US Foreign Intelligence Surveillance Act (FISA) bestimmte Empfehlungen nicht kodifiziert und somit keine zusätzlichen Schutzmaßnahmen eingeführt, wie es der EDSA empfohlen hatte. Auch die im FISA enthaltene erweiterte Definition von "elektronischen Kommunikationsdienstanbietern" schafft nach Ansicht des EDSA Unsicherheit über den tatsächlichen Umfang der Überwachung. Die Europäische Kommission soll daher Entwicklungen im Zusammenhang mit dem FISA verfolgen.

Die nächste Überprüfung des DPF soll in weniger als vier Jahren stattfinden, damit die Europäische Kommission und der EDSA früher als gesetzlich vorgesehen auf Informationen zur praktischen Anwendung des DPF reagieren können.

Rechtsakte

Am 11.2024 ist die Zugriffsberechtigungsverordnung (ZugriffsV), BGBl II 2024/300, kundgemacht worden. Geregelt werden darin Zugriffsberechtigungen auf die eHealth-Anwendung Elektronischer Impfpass (eImpfpass).

Vorschau EuG- und EuGH-Rechtsprechung

Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.

Datenschutzmonitor 06.11.2024

Rechtsprechung des VwGH

Aus der Rechtsprechung des VwGH:

Ein Betroffener wird klaglos gestellt, wenn seinem Löschungsersuchen entsprochen wird. Eine auf Löschung gerichtete Revision ist daher auch dann wegen nachträglichen Wegfalls des rechtlichen Interesses als gegenstandslos geworden zu erklären, wenn die Löschung erst nach Entscheidung durch das BVwG erfolgt. Ohne einen unverhältnismäßigen Prüfungsaufwand kann in solchen Fällen nicht beurteilt werden, welchen Ausgang das Verwaltungsverfahren ohne die Gegenstandsloserklärung genommen hätte. Daher findet kein Kostenzuspruch statt (VwGH 30.09.2024, Ro 2022/04/0033).

Rechtsprechung des OGH

OGH 08.10.2024, 14Os26/24s

Amtsgeheimnis, Amtsmissbrauch, Strafverfolgung

Ein Polizeibeamter wurde mutmaßlich bestochen, polizeiinterne Informationen preiszugeben und Daten aus der zentralen Datenanwendung des Bundesministers für Inneres (BMI) abzurufen. Er wurde (nicht rechtskräftig) schuldig gesprochen, mehrfach seine Amtsgewalt missbraucht und das Amtsgeheimnis verletzt zu haben, indem er ohne dienstliche Notwendigkeit personenbezogene Daten abrief und weitergab. Da der Polizeibeamte seine Bestecher auch über geplante Polizeikontrollen informiert und ihnen Fotos von Kollegen gezeigt haben soll, damit sie Kontrollen entgehen können, wurde er auch (nicht rechtskräftig) schuldig gesprochen, den Staat Österreich in seinem Recht auf Strafverfolgung geschädigt zu haben. Aufgrund von Rechtsfehlern hob der OGH den Schuldspruch gegen alle Beteiligten teilweise auf und verwies die Sache im Übrigen zur neuerlichen Entscheidung und Verhandlung an das Erstgericht zurück.

Der OGH hat erwogen: Es ist zwischen der missbräuchlichen Abfrage von Datenbanken und der Weitergabe der daraus gewonnenen Informationen zu unterscheiden. Das Ermitteln der Daten erfüllt den Tatbestand des Missbrauchs der Amtsgewalt, wenn der Beamte ohne dienstliche Rechtfertigung handelt und dadurch seine Befugnis missbraucht. Bei der Weitergabe amtsgeheimer Informationen kommt Missbrauch der Amtsgewalt durch Geheimnisverrat nur dann in Betracht, wenn der Beamte dies aufgrund einer ihn konkret treffenden Pflicht zu unterlassen hat. Ansonsten ist die Strafbarkeit einer Informationsweitergabe primär nach § 310 StGB (Verletzung des Amtsgeheimnisses) zu prüfen.

Aus den getroffenen Feststellungen ergibt sich, dass die vom Polizeibeamten vorgenommenen Abfragen in den Datenbanken einen Befugnisfehlgebrauch darstellen. Es wurde jedoch nicht festgestellt, dass er durch die Weitergabe der Informationen eine konkrete tatbildliche Befugnis iSd § 302 StGB (Amtsmissbrauch) wahrgenommen oder eine ihn konkret treffende Pflicht verletzt hat.

Im weiteren Verfahren wird zu beachten sein, dass das staatliche Recht auf Strafverfolgung auf Basis der bisherigen Aktenlage als Bezugspunkt des von § 302 StGB verlangten Schädigungsvorsatzes nicht in Betracht kommt. Eine durch die Datenabfrage bewirkte Schädigung der Betroffenen an deren Recht auf Datenschutz ist zwar denkbar, allerdings würde eine allfällige, den konkret erfolgten Eingriff umfassende, vorab erfolgte Einwilligung einen Rechtfertigungsgrund darstellen. Für die Weitergabe der durch die Datenabfrage gewonnenen Informationen wäre jedoch die Verletzung des Amtsgeheimnisses gemäß § 310 StGB zu prüfen.

Aus der weiteren Rechtsprechung des OGH:

Anders als die Produkthaftungs-RL 85/374/EWG ordnet Art 82 DSGVO ausdrücklich auch den Ersatz immaterieller Schäden Der Eintritt eines durch den Verstoß entstandenen Schadens ist jedoch auch dafür erforderlich (OGH 22.10.2024, 4Ob109/24v). Anm: Aus den Überlegungen des OGH könnte zumindest implizit abgeleitet werden, dass bloße Angst- und Unlustgefühle kein entstandener Schaden sind.

Rechtsprechung des BVwG

BVwG 19.09.2024, W287 2248365-1

AuskunftspflichtG, Meinungsäußerungsfreiheit

Im Zuge einer Demonstration sollen Mitglieder einer politischen Gruppierung den am Karl-Lueger-Denkmal angebrachten Betonschriftzug entfernt haben. Der Journalist einer Tageszeitung kommunizierte im Rahmen seiner Recherche über den Vorfall mit der Pressestelle einer Landespolizeidirektion ("LPD") und ersuchte um Auskunft, ob Ermittlungen gegen jene Polizeibeamten stattfinden würden, die nicht eingeschritten seien, als der Betonschriftzug gewaltsam entfernt wurde. Die Landespolizeidirektion teilte mit, dass eine interne Überprüfung der Vorgänge stattgefunden habe. Eine Auskunft über den Ausgang dieser internen Überprüfung lehnte die LPD mit der Begründung des Datenschutzes der involvierten Polizeibeamten ab. Gegen den hierüber von der LPD ausgestellten Bescheid erhob der Journalist (erfolgreich) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Grundsätzlich haben Organe des Bundes über Angelegenheiten ihres Wirkungsbereichs Auskünfte zu erteilen, soweit eine gesetzliche Verschwiegenheitspflicht dem nicht entgegensteht. Als solche gesetzliche Verschwiegenheitspflicht kommt auch das Recht auf Geheimhaltung personenbezogener Daten in Betracht, welches jedoch nicht uneingeschränkt gilt. Bei einer Auskunft über den Ausgang einer internen Überprüfung des Verhaltens zweier Polizeibeamter handelt es sich um personenbezogene Daten, weil die betroffenen Beamten zumindest für einen gewissen Personenkreis identifizierbar sind. Die Reichweite der das Auskunftsrecht gegebenenfalls einschränkenden Bestimmungen über die zulässige Verweigerung der Auskunft aus Gründen der Verschwiegenheit ist aufgrund der im Verfassungsrang stehenden Bestimmung des Art 10 EMRK (Recht auf freie Meinungsäußerung) verfassungskonform auszulegen. Nach der Rechtsprechung des EGMR ist das Recht auf freie Meinungsäußerung dahingehend auszulegen, dass dieses – unter bestimmten Voraussetzungen – ein Recht auf Zugang zu Informationen miteinschließt. Bei der Ermittlung der Reichweite dieses Rechts auf Informationszugang kommt es nach der Rechtsprechung des EGMR darauf an, dass (i) ein Journalist als public watchdog (ii) das Informationsersuchen als Vorbereitungsschritt für journalistische Aktivitäten zur Schaffung eines Forums einer notwendigen und bedeutenden öffentlichen Debatte stellt und (iii) die Offenlegung der begehrten Information im großen öffentlichen Interesse liegt.

Der Journalist war im Nachrichtenbereich tätig und erfüllte daher die Rolle eines "social watchdogs". Das Karl-Lueger-Denkmal ist ein polarisierendes und wiederholt in den Medien kontrovers diskutiertes Denkmal, sodass ein grundsätzliches Interesse der Allgemeinheit an der rechtlichen Einordnung des dienstlichen Verhaltens von Exekutivbeamten im Rahmen eines Einsatzes besteht. In diesem Licht ist die begehrte Auskunft jedenfalls geeignet, zur Transparenz über die Art und Weise der Führung von Amtsgeschäften beizutragen. Die vom Journalisten begehrte Information ist auch notwendig, um eine Beurteilung des Einsatzes vornehmen und eine Debatte eröffnen zu können.

Das öffentliche Interesse überwiegt das Interesse der involvierten Polizeibeamten an der Geheimhaltung ihrer personenbezogenen Daten, ua deshalb, weil Journalisten im Umgang mit personenbezogenen Daten an die datenschutzrechtlichen Bestimmungen gebunden sind.

BVwG 25.09.2024, W108 2287986-1

Präklusion, Haushaltsausnahme, Forderungsbetreibung

Zwischen einem Ehemann und seiner damaligen Ehefrau war ein Scheidungsverfahren anhängig. Im Zuge dessen gab die Ehefrau Konto- und Bankdaten an eine dritte Person weiter. Diese verarbeitete die Daten in einer Excel-Tabelle und übermittele sie wieder an die Ehefrau zurück. Inhalt der Excel-Tabelle war eine Übersicht über die Ausgaben bzw Einnahmen der letzten Jahre auf dem gemeinsamen Konto des Ehepaars. Die Ehefrau nutzte die erstellte Excel-Tabelle, um die Einkommensverhältnisse des Ehemanns im Scheidungsverfahren darzulegen. In dieser "Datenmanipulation" sah der Ehemann einen Versuch, überhöhte Ansprüche geltend zu machen, und fühlte sich dadurch in seinem Recht auf Geheimhaltung verletzt. Infolgedessen erhob er Datenschutzbeschwerde an die DSB.

Die DSB wies die Datenschutzbeschwerde zur behaupteten Weitergabe der Konto- und Bankdaten wegen Präklusion zurück. Die Tatsache, dass die Ehefrau seine Konto- und Bankdaten weitergegeben hatte, war dem Ehemann bereits im Jahr 2021 bekannt. Er hat damals eine Datenschutzbeschwerde gegen die dritte Person eingebracht. Hinsichtlich der Datenmanipulation wies die DSB die Datenschutzbeschwerde ab, weil der Ehemann keinen ausreichenden Beweis für eine Manipulation erbrachte und das berechtigte Interesse der Ehefrau zur Nutzung der Daten im Scheidungsverfahren überwog. Daraufhin erhob der Ehemann (erfolglos) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn sie nicht innerhalb eines Jahres ab Kenntnis des beschwerenden Ereignisses, jedoch spätestens innerhalb von drei Jahren ab dem Ereignis, eingebracht wird. Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen, auf die von Amts wegen, also bei feststehendem Sachverhalt ohne Einwendung, Bedacht genommen werden muss. Es ist nicht ersichtlich, dass die Fristen des § 24 DSG das Beschwerderecht nach der DSGVO unverhältnismäßig einschränken. Die Verjährung wird auch nicht durch ein allfällig noch anhängiges Strafverfahren hinausgeschoben. Die Weitergabe der Konto- und Bankdaten fand im Jahr 2020 statt und war dem Ehemann bereits seit 2021 bekannt.

Gemäß Art 2 Abs 2 lit c DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Nach der Rsp des OGH ist entscheidend für diese Haushaltsausnahme, dass der Datenumgang im privaten Aktionskreis stattfindet. Der persönlich-familiäre Bereich wurde durch die Vorlage der Daten im Scheidungsverfahren vor dem Bezirksgericht jedenfalls überschritten, weshalb die Haushaltsausnahme nicht zur Anwendung kommt.

Nach der Judikatur des VfGH hat ein Ehegatte im Scheidungsprozess kein Recht auf Geheimhaltung seiner Einkommensdaten gegenüber dem anspruchstellenden Ehepartner, zumal nach der Judikatur des OGH ein Anspruch auf Auskunft und Rechnungslegung besteht und daher eine Verletzung des (Noch-)Ehemannes in seinem Recht auf Geheimhaltung von vornherein nicht in Betracht kommt.

Selbst wenn man jedoch von einem Recht auf Geheimhaltung der Einkommensdaten des Ehemanns ausgeht, überwiegt das berechtigte Interesse der Ehefrau an deren Verarbeitung. Der EuGH hat bereits erkannt, dass die ordnungsgemäße Forderungsbetreibung ein berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) sein kann.

Weiters sind gemäß § 76 Abs 1 ZPO in jedem Schriftsatz die tatsächlichen Verhältnisse, durch welche die gestellten Anträge begründet werden, darzustellen. Wenn es eines Beweises oder einer Glaubhaftmachung dieser Anführungen bedarf, sind auch die Beweismittel im Einzelnen zu bezeichnen. Die Vorlage der Excel-Tabelle war im Scheidungsverfahren jedenfalls als Beweismittel geeignet, zumal die Ermittlung der nötigen Beweismittel und deren Anbieten grundsätzlich den Verfahrensparteien obliegt. Folglich ist es jedenfalls auch zulässig, etwa die Informationen aus Kontoauszügen in einer Tabelle zusammenzufassen.

Es kommt auch nicht darauf an, ob sich ex post herausstellt, dass die Datenverarbeitung im Prozess nicht zum Erfolg gereicht hat, sondern lediglich darauf, ob die vorgelegten Unterlagen ex ante denkmöglich als Beweismittel geeignet waren. Die Excel-Tabelle wurde von der erkennenden Richterin zum Verfahrensakt genommen, was die grundsätzliche Geeignetheit als Beweismittel bestätigt.

BVwG 25.09.2024, W108 2284790-1

Materielle Wahrheit, Zurückverweisung

Der Nachbar eines Cafés erhob Datenschutzbeschwerde bei der DSB und brachte dabei vor, dass ein Gast des Cafés ihn widerrechtlich gefilmt und fotografiert. Er legte auch eine Filmaufnahme vor, die dies beweisen sollte, weil der Gast darauf selbst zugibt, ihn minutenlang gefilmt zu haben. Auch ist zu sehen und zu hören, wie der Gast laufend seine Handy-Aufzeichnung kommentiert. Der Gast brachte vor, dass er das Handy in der Zwischenzeit gewechselt hat und keine Bilder oder Videos des Nachbarn mehr gespeichert hat. Das BVwG gab der Bescheidbeschwerde des Nachbarn statt, hob den Bescheid auf und verwies die Sache zur neuerlichen Entscheidung an die DSB zurück.

Das BVwG hat erwogen: Ob eine Videoaufnahme/Bildaufnahme angefertigt wurde, ist grundsätzlich strittig. Dennoch hat die DSB zu dieser zentralen Tatfrage ihr Ermittlungsverfahren auf die Einholung von schriftlichen Stellungnahmen beschränkt. Die DSB unterließ es, auf die vom Nachbarn vorgelegten Beweismittel einzugehen und somit die Durchführung der erforderlichen Ermittlungen, ob eine Aufnahme stattgefunden hat.

Im Interesse der Erforschung der materiellen Wahrheit wäre es zumindest erforderlich gewesen, die Parteien förmlich niederschriftlich einzuvernehmen. Es handelt sich dabei auch um einen rechtserheblichen Verfahrensmangel, weil nicht auszuschließen ist, dass die DSB bei dessen Vermeidung zu einem anderen Bescheid hätte kommen können. Der für eine Entscheidung in der Sache erforderliche Sachverhalt steht daher nicht fest. Eine Zurückverweisung der Sache zur Durchführung notwendiger Ermittlungen gemäß § 28 Abs 3 zweiter Satz VwGVG kommt bei gravierenden Ermittlungslücken in Betracht, insbesondere dann, wenn die DSB jegliche erforderliche Ermittlungstätigkeit unterlassen hat, wenn sie zur Ermittlung des maßgebenden Sachverhalts lediglich völlig ungeeignete Ermittlungsschritte gesetzt oder bloß ansatzweise ermittelt hat.

BVwG 25.09.2024, W108 2274176-1

Materielle Wahrheit, Zurückverweisung

Eine Arbeitsinspektorin führte eine unangemeldete Besichtigung in der Praxis eines Arztes durch. Da der Arzt nicht an einem direkten Gespräch interessiert war, gab die Ordinationsassistentin der Arbeitsinspektorin die notwendigen Auskünfte und legte die erforderlichen Unterlagen vor. Im Zuge der Besichtigung stellte die Arbeitsinspektorin fest, dass Vorschriften zum Arbeitsschutz nicht eingehalten wurden. Auf Nachfrage gab die Ordinationsassistentin eine E-Mail-Adresse als Kontaktadresse für die Ordination bekannt, an welche in Folge das Besichtigungsergebnis übermittelt wurde.

Daraufhin erhob der Arzt eine Datenschutzbeschwerde, weil er sich in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt sah. Die E-Mail-Adresse sei nicht die offizielle Kontaktadresse der Praxis und es sei ausgeschlossen, dass seine Ordinationsassistentin diese angegeben habe. Das Arbeitsinspektorat führte aus, dass es vom Arzt bereits zuvor im Rahmen einer Meldung gemäß § 3 Mutterschutzgesetz für die Praxis des Arztes eine E-Mail von eben dieser Adresse erhalten hatte, weshalb davon ausgegangen werden konnte, dass die von der Ordinationsassistentin bekanntgegebene E-Mail-Adresse die offizielle Kontaktadresse der Praxis sei. Die DSB hat der Datenschutzbeschwerde teilweise stattgegeben und festgestellt, dass das Arbeitsinspektorat durch die Übermittlung des Besichtigungsergebnisses an diese E-Mail-Adresse die Daten des Arztes unrechtmäßig an einen Dritten offengelegt und ihn damit in seinem Recht auf Geheimhaltung verletzt hat. Das Arbeitsinspektorat erhob eine (erfolgreiche) Bescheidbeschwerde aufgrund eines sekundären Feststellungmangels beim BVwG und erreichte die Aufhebung des Bescheides und die Zurückverweisung an die DSB.

Das BVwG hat erwogen: Die Entscheidung der DSB, dass eine Verletzung des § 1 DSG objektiv zu beurteilen ist und das Vorliegen eines individuellen Verschuldens irrelevant ist, ist grundsätzlich richtig. Jedoch ist die Frage, wie die Arbeitsinspektorin zur E-Mail-Adresse gekommen ist und diese verwendet hat, für die Beurteilung des Vorliegens einer Verletzung des § 1 DSG maßgebend. Bei Vorliegen einer Zustimmung in die Verarbeitung personenbezogener Daten ist eine Beschränkung des Anspruchs auf Geheimhaltung zulässig. Daher ist auf Tatsachenebene zu klären, ob der Arzt bzw seine Mitarbeiterin der Arbeitsinspektorin die E-Mail-Adresse zwecks Übermittlung des Besichtigungsergebnisses bekanntgegeben hat und – bejahendenfalls –, ob dadurch eine Zustimmung iSd § 1 Abs 2 DSG vorliegt.

Die DSB hat die Rechtslage verkannt und es unterlassen, Feststellungen dazu zu treffen, wie das Arbeitsinspektorat an die E-Mail-Adresse gekommen ist. Zudem hat die DSB im Ermittlungsverfahren bloß schriftliche Stellungnahmen der Parteien eingeholt, obwohl diese widersprechende Behauptungen aufgestellt hatten. Die DSB ist als Behörde verpflichtet, von Amts wegen die materielle Wahrheit zu erforschen.

BVwG 16.09.2024, W137 2293092-1

Sozialversicherung, AMS, rechtliche Verpflichtung

Ein Sozialversicherungsträger wurde aufgefordert, dem AMS bekannt zu geben, wann der Versicherte die Voraussetzungen für eine frühestmögliche Alterspension sowie Korridorpension erfüllt. Der Sozialversicherungsträger kontaktierte daraufhin mehrmals den Versicherten, um die bestehenden Lücken im Versicherungsverlauf zu klären. Es erging auch ein Schreiben, in welchem der Versicherte über die Einleitung eines Feststellungsverfahrens und die Konsequenzen bei mangelnder Mitwirkung informiert wurde. Nachdem der Versicherte auf keines dieser Schreiben reagierte, teilte der Sozialversicherungsträger dem AMS den frühestmöglichen Pensionsstichtag mit und informierte darüber, dass der Versicherte am Verfahren nicht mitgewirkt hat.

Der Versicherte erhob daraufhin eine Datenschutzbeschwerde bei der DSB und behauptete eine Verletzung in seinem Recht auf Geheimhaltung. Nachdem die DSB die Datenschutzbeschwerde abwies, brachte der Versicherte eine (erfolglose) Bescheidbeschwerde an das BVwG ein.

Das BVwG hat erwogen: Jede Verarbeitung personenbezogener Daten muss den Grundsätzen des Art 5 DSGVO entsprechen und rechtmäßig iSd Art 6 DSGVO erfolgen. Eine Verarbeitung ist dann rechtmäßig, wenn neben den in Art 5 DSGVO geregelten Grundsätzen mindestens einer der in Art 6 Abs 1 DSGVO festgelegten Rechtsgründe vorliegt. Eine Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit c DSGVO rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. § 69 Abs 1 Arbeitslosenversicherungsgesetz (AlVG) verpflichtet die Sozialversicherungsträger dazu, die regionalen Geschäftsstellen des AMS bei der Erfüllung ihrer Aufgaben zu unterstützen. Diese Pflicht umfasst unter anderem die Übermittlung von Daten über Versicherungszeiten der Arbeitnehmer. Der Sozialversicherungsträger hat den Versicherten mehrfach kontaktiert, um Lücken im Versicherungslauf zu klären, woran der Versicherte jedoch nicht mitgewirkt hat. Der Sozialversicherungsträger musste gemäß § 69 Abs 1 AlVG in Erfüllung einer gesetzlichen Auskunftspflicht iSd Art 6 Abs 1 lit c DSGVO die Informationen an das AMS übermitteln. Die Mitteilung über die mangelnde Mitwirkung durch den Versicherten war daher durch § 69 Abs 1 AlVG gedeckt und verstößt nicht gegen den Grundsatz der Datenminimierung iSd Art 5 Abs 1 lit c DSGVO. Die Verarbeitung der personenbezogenen Daten des Versicherten erfolgte daher gemäß Art 6 Abs 1 lit c DSGVO rechtmäßig.

Eine Warnung gemäß Art 58 Abs 1 lit a DSGVO kann nur ausgesprochen werden, solange die Verarbeitung lediglich geplant ist (beabsichtigte Datenverarbeitung). Eine Warnung kann nicht mehr ausgesprochen werden, wenn die Verarbeitung bereits durchgeführt wird (BVwG 15.10.2024, W254 2291347-1).

Verfolgt der Beschwerdeführer offenbar ein Anliegen allgemein rechtspolitischer Art, dann ist die Datenschutzbeschwerde unzulässig. Beim Auslegen der Willenserklärung eines berufsmäßigen Parteienvertreters (hier ein Wirtschaftsprüfer und Steuerberater) ist ein strengerer Maßstab anzulegen als für unvertretene Beschwerdeführer (BVwG 23.09.2024, W274 2266396-1).

Richtet sich eine Säumnisbeschwerde zwar formal auch gegen den Bescheid über die Einstellung des Säumnisbeschwerdeverfahrens, enthält sie jedoch keine Begründung, weshalb der Bescheid im Ausgangsverfahren die Verwaltungssache nicht zur Gänze erledigt haben soll, ist die Säumnisbeschwerde abzuweisen (BVwG 04.10.2024, W274 2291590-1).

Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen (BVwG 02.10.2024, W287 2273330-1).

Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Betroffene sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, einbringt. Nach Ablauf dieser einjährigen subjektiven Präklusivfrist ist das Erheben einer Datenschutzbeschwerde nicht mehr zulässig, sofern keine "fortgesetzte Schädigung" gegeben ist (BVwG 20.09.2024, W214 2291552-1).

Das Recht auf Auskunft steht unter keinen Voraussetzungen. Es muss insb nicht mit einem Rechtsschutzinteresse begründet werden. Verarbeitet der Verantwortliche keine Daten des Betroffenen (mehr), hat er innerhalb eines Monats eine Negativauskunft zu erteilen. Eine Negativauskunft setzt jedoch voraus, dass der Verantwortliche tatsächlich keine Daten des Betroffenen (mehr) verarbeitet (BVwG 20.09.2024, W214 2291834-1).

Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens Der VwGH ersuchte den EuGH um Vorabentscheidung zur Auslegung des Begriffs "exzessiv" iSd Art 57 Abs 4 DSGVO. Da diese Frage auch im vorliegenden Verfahren präjudiziell ist, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 23.09.2024, W274 2294608-1).

Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 03.10.2024, W258 2262116-1).

Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Erstbescheids und damit dessen Rechtswidrigkeit. Der Erstbescheid ist daher durch das BVwG (ersatzlos) aufzuheben. Bei dieser Art der Entscheidung handelt es sich um eine negative Sachentscheidung, womit auch das Beschwerdeverfahren erledigt wird. Eine darüber hinausgehende Einstellung des Beschwerdeverfahrens erübrigt sich daher (BVwG 04.10.2024, W211 2272474-1).

Das BVwG kann jederzeit von Amts wegen Schreib- und Rechenfehler oder diesen gleichzuhaltende Unrichtigkeiten in seinen Entscheidungen berichtigen. Einem Berichtigungsbeschluss kommt nur feststellende, nicht jedoch rechtsgestaltende Wirkung (BVwG 15.10.2024, W176 2234682-1).

Rechtsprechung der LVwG

Eine Ausschreibung ist aufgrund datenschutzrechtlicher Bedenken hinsichtlich der Datenerhebung nicht rechtswidrig, wenn rechtmäßige Mittel zur Verfügung stehen, um die für die Auftragserfüllung erforderlichen Daten zu erlangen (LVwG Wien 18.10.2024, VGW-123/095/6508/2024).

Rechtsprechung der BDB

BDB 04.03.2024, 2022-0.711.297

Amtsmissbrauch, Befangenheit

Eine Finanzbeamtin griff ohne dienstliche Notwendigkeit wiederholt auf Steuerdaten von sich selbst, ihren Familienmitgliedern und Bekannten zu. Die Zugriffe kamen im Rahmen einer Überprüfung von Logfiles der Datenbankzugriffe hervor. Die Beamtin rechtfertigte die Zugriffe auf die Daten mit der Zustimmung der betroffenen Personen. Die BDB verhängte aufgrund der Dienstpflichtverletzung gemäß § 44 iVm 47 BDG eine Geldbuße in der Höhe von EUR 800 gegen die Beamtin.

Die BDB hat erwogen: Ein Beamter darf nur aus dienstlicher Veranlassung Daten verarbeiten. Wenn personenbezogene Daten ohne dienstliche Rechtfertigung ermittelt werden, liegen eine missbräuchliche Datenverarbeitung und ein Verstoß gegen § 1 DSG vor. Der damit verwirklichte Befugnismissbrauch löst auch ohne tatsächlichen Schadenseintritt bei Schädigungsvorsatz strafrechtliche Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch) aus.

Eine dienstliche Veranlassung eines Datenzugriffes kann bei Vorliegen von Verwandtschaft oder Bekanntschaft aufgrund der Befangenheit des Organs nicht gegeben sein. Eine Einwilligung kann bei Befangenheit auch den Zugriff auf die Daten nicht rechtfertigen.

Zugriffe eines Beamten auf die eigenen Steuerdaten im System sind unrechtmäßig, weil damit die Akteneinsicht im Abgabenverfahren umgangen wird und auch auf Aktenteile Einsicht genommen werden kann, die sonst von der Einsicht ausgenommen sind.

Durch eine abgelegte Fachprüfung wird die Kenntnis der anwendbaren Gesetze und Erlässe vorausgesetzt und von vorsätzlichem Verhalten ausgegangen.

Bei der Schuldbemessung wirken das reumütige Geständnis und die bisherige disziplinarrechtliche Unbescholtenheit mildernd. Als erschwerend wird die Fortsetzung der strafbaren Handlungen über einen mehrjährigen Zeitraum gewertet.

EU-Rechtsakte

Am 05.11.2024 wurde die "Durchführungsverordnung (EU) 2024/2835 der Kommission vom 4. November 2024 zur Festlegung von Vorlagen für die Transparenzberichtspflichten der Anbieter von Vermittlungsdiensten und der Anbieter von Online-Plattformen gemäß der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates", ABl L 2024/2835, 1, kundgemacht. Mit dieser DurchführungsVO werden Transparenzberichtspflichten des Digital Service Act konkretisiert.

Vorschau EuG- und EuGH-Rechtsprechung

Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.

Oktober 2024

02.10. | 09.10. | 16.10. | 23.10. | 30.10.

Datenschutzrechts-Update 30.10.2024

Rechtsprechung des OGH

OGH 20.09.2024, 6Ob221/23b

Google-Bewertungen, Zuständigkeit, Herkunftslandprinzip, Rollenverteilung, Datentransfer in die USA

Über den Dienst "Google My Business" werden öffentlich zugängliche Informationen und Nutzerbewertungen über lokale Unternehmen veröffentlicht. Solche Profile können von Unternehmen selbst erstellt oder automatisch auf Grundlage öffentlich verfügbarer Daten generiert werden.

Eine Fachärztin erhob Klage gegen eine nach irischem Recht gegründete Gesellschaft (Google Ireland), die Google-Dienste in Europa anbietet und in Österreich die Domain www.google.at betreibt. Das Profil der Fachärztin auf "Google My Business" enthielt ihre Kontaktdaten, Öffnungszeiten, Lichtbilder der Ordination sowie Sternebewertungen und Rezensionen. In mehreren 1-Stern-Bewertungen wurden insb die langen Wartezeiten kritisiert. Die auf Google veröffentlichten Daten der Fachärztin (abseits der Bewertungen und Rezensionen) wurden von ihr selbst auf ihrer Homepage veröffentlicht und waren auch über eine Seite der zuständigen Landes-Ärztekammer abrufbar.

Die Fachärztin forderte die Löschung der Rezensionen und Bewertungen und eine Unterlassung zukünftiger Rezensionen ohne ihre Zustimmung (Art 17 DSGVO). Zudem verlangte sie Schadenersatz iHv 5.000 EUR.

Nach Ansicht der Fachärztin enthielten einige Rezensionen grob kreditschädigende und unrichtige Aussagen, was ihr allgemeines Persönlichkeitsrecht gemäß § 16 iVm § 1330 ABGB beeinträchtigte. Die Fachärztin sah auch das Schutzniveau ihrer Daten als gefährdet, weil ihre Daten konzernintern an die Muttergesellschaft in den USA übermittelt wurden. Nach ihrer Ansicht boten die eingesetzten Standardvertragsklauseln keinen gleichwertigen Schutz, weil diese als privatrechtliche Verträge die US-Behörden nicht binden konnten und somit ein DSGVO-konformer Schutz nicht gewährleistet war.

Das Erst- und das Berufungsgericht wiesen die Klage ab. Der OGH gab der Revision der Fachärztin Folge, behob die Entscheidungen der Vorinstanzen und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück.

Der OGH hat erwogen: Gemäß § 48 IPRG ist österreichisches Recht anzuwenden, weil sich die Wirkung der Verbreitung der Äußerungen vornehmlich im Inland entfaltet, in dem auch das Zentrum der sozialen Interaktion der Fachärztin liegt. Da Google Ireland ihren Sitz jedoch in einem anderen EWR-Mitgliedstaat hat und im koordinierten Bereich gemäß § 3 Z 8 ECG tätig ist, ist das Herkunftslandprinzip nach § 20 ECG relevant. Die rechtlichen Anforderungen für Diensteanbieter, die in einem Mitgliedstaat niedergelassen sind, sind nach dem Recht des Niederlassungsstaats zu beurteilen. Eine Ausnahme vom Herkunftslandprinzip nach den §§ 21 f ECG ist nicht ersichtlich, zumal die Rezensionen und Bewertungen, deren Unterlassung und Löschung die Fachärztin begehrt, nicht als die Würde eines einzelnen Menschen antastend zu qualifizieren sind. § 20 Abs 1 ECG enthält für Eingriffe in das (allgemeine) Persönlichkeitsrecht eine Sachnormverweisung auf die materiellen Rechtsvorschriften des Niederlassungsstaats. Demnach ist das Recht des Staats maßgeblich, in dem der Dienstleister iSd ECG seinen Sitz hat (daher irisches Sachrecht).

Auf eine fehlende Zustimmung der Fachärztin, sich bewerten zu lassen, kommt es nicht an, weil sich Google Ireland zu Recht auf Art 6 Abs 1 lit f DSGVO stützt. Anlässlich der Verarbeitung wird ein berechtigtes Interesse wahrgenommen. Dieses Interesse besteht in der Information der Öffentlichkeit über ärztliche Leistungen sowie in einem Einblick in persönliche Erfahrungen und subjektive Einschätzungen, die der jeweilige Nutzer bei seiner eigenen Arztwahl berücksichtigen kann.

Google Ireland ist als Verantwortliche iSd Art 4 Z 7 DSGVO zu qualifizieren. Durch ihren Dienst "Google My Business" erstellt und verwaltet sie Unternehmensprofile. Sie beeinflusst so den Zweck und die Mittel der Verarbeitung, weil sie die Kategorien der Informationen und die Verknüpfung der Rezensionen und Bewertungen mit Unternehmensprofilen vorgibt.

Die zentrale datenschutzrechtliche Problematik liegt in der Frage, was unter "Übermittlung an ein Drittland" zu verstehen ist. Um den durch die DSGVO innerhalb der EU gewährten Schutz des Einzelnen nicht zu untergraben, sind Übermittlungen personenbezogener Daten "an ein Drittland" nur unter bestimmten Voraussetzungen zulässig (Art 44 DSGVO). Dabei geht es im Wesentlichen um die Einhaltung eines angemessenen Schutzniveaus, welches Erfordernis sich nach der Rechtsprechung des EuGH direkt aus der EU-Grundrechte-Charta ergibt. Solange ein mit einem Drittland (hier den USA) geschlossenes Abkommen bestand oder besteht, zu dem ein (aufrechter) Angemessenheitsbeschluss iSd Art 45 Abs 1 DSGVO vorliegt, bedarf es für die Übermittlung keiner besonderen Genehmigung. Ohne einen solchen Angemessenheitsbeschluss (Art 45 Abs 3 DSGVO) dürfen nach Art 46 Abs 1 DSGVO personenbezogene Daten an ein Drittland nur übermittelt werden, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Kernargument der Revision für die Unzulässigkeit der Übermittlung der Daten in die USA als Drittland ist die Aufhebung des Angemessenheitsbeschlusses zum Privacy Shield-Abkommen durch den EuGH. Nachdem der US-Präsident den "Executive Order on Enhancing Safeguards for United States Signals Intelligence Activites" erlassen hat, wurde jedoch mit dem "EU-U.S. Data Privacy Framework" ein neuer Angemessenheitsbeschluss gefasst. Seither ist der Datentransfer (hinsichtlich der zertifizierten Empfänger) wieder "ohne besondere Genehmigung" zulässig.

Nicht zweifelsfrei geklärt ist aber, welche Vorgänge unter "Übermittlung" iSd Art 44 ff DSGVO überhaupt zu verstehen sind.

Auch nicht eindeutig geklärt ist, ob die Aufhebung des Angemessenheitsbeschlusses auf bereits zuvor erfolgte Datenübermittlungen zurückwirkt und somit das (Weiter-)Anzeigen (oder die Speicherung) von Bewertungen, die bereits zuvor "übermittelt" wurden, als unzulässige Übermittlungen nach Art 44 DSGVO anzusehen sind. Ist eine Rückwirkung nicht völlig auszuschließen, scheint auch die Frage einer etwaigen Sanierung durch einen nachfolgenden Angemessenheitsbeschluss offen.

Letztlich kann auch die Kategorie der übermittelten Daten in Betracht zu ziehen sein. Bei den Profildaten handelt es sich um allgemein verfügbare personenbezogene Daten der Fachärztin. Werden die Profildaten nicht bloß reproduziert, sondern mit einem neuen Element verknüpft (der Bewertung), werden damit "neue" personenbezogene Daten (unter Einschluss der Profildaten) erzeugt. Allerdings könnte das Verlangen der Löschung der gesamten Daten als "überschießend" angesehen werden.

Nicht zuletzt ist auch zu hinterfragen, ob – soweit von einer unzulässigen Übermittlung in ein Drittland nach Art 44 DSGVO auszugehen sein sollte – aus einem solchen Verstoß das Recht des Betroffenen auf Löschung seiner Daten nach Art 17 DSGVO resultiert, zumal es einer Verletzung eines dem Betroffenen eingeräumten subjektiven, individuellen Rechts bedarf. Es erscheint fraglich, ob die Fachärztin den Anspruch auf Löschung aller Bewertungen (bzw überhaupt all ihrer Daten) als verhältnismäßige Konsequenz auf Art 17 Abs 1 lit d DSGVO stützen kann.

Rechtsprechung des BVwG

Durch das ORF-Beitrags-Gesetz 2024 (OBG) ist kein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu erblicken. Die Verarbeitung bestimmter personenbezogener Daten zum Zwecke der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 OBG erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt (BVwG 01.10.2024, I406 2297556-1).
Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim Bundesverwaltungsgericht sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 30.09.2024, W258 2262547-1; W258 2262750-1 ua).
Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung zur Auslegung des Begriffs "exzessiv" iSd Art 57 Abs 4 DSGVO. Da diese Frage auch im vorliegenden Verfahren präjudiziell ist, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 09.2024, W274 2293407-1; 30.09.2024, W274 2290131-1).
Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Erstbescheides und damit (nachträglich) dessen Rechtswidrigkeit. Der Erstbescheid ist daher durch das BVwG (ersatzlos) aufzuheben. Bei dieser Art der Entscheidung handelt es sich um eine negative Sachentscheidung, womit auch das Beschwerdeverfahren erledigt wird. Eine darüberhinausgehende Einstellung des Beschwerdeverfahrens erübrigt sich daher (BVwG 30.09.2024, W211 2271492-1).

Rechtsakte

Am 23.10.2024 ist die 3. Novelle zur AutomatFahrV, BGBl II 2024/287, kundgemacht worden. Die Verordnung enthält Regelungen zum automatisierten Fahrzeug zur Personenbeförderung sowie zum automatisierten Absicherungsfahrzeug.

Vorschau EuG- und EuGH-Rechtsprechung

Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska pošta, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahren sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.

Datenschutzmonitor 23.10.2024

Rechtsprechung des EuGH

EuGH 17.10.2024, C-302/23, Jarocki

eIDAS-Verordnung

Ein Gläubiger beantragte bei einem polnischen Gericht die Erteilung einer Vollstreckungsklausel, um die Zwangsvollstreckung in eine Immobilie betreiben zu können. Er reichte seinen Antrag per E-Mail mit einer vertrauenswürdigen, aber nicht qualifizierten elektronischen Signatur über die elektronische Plattform des Gerichts ein. Die meisten polnischen Gerichte verfügen über kein Informations- und Kommunikationssystem, das die elektronische Einreichung von Schriftsätzen ermöglicht und nehmen daher keine elektronisch signierten Schriftstücke an. Der Rechtspfleger wies den Antrag zurück, weil er nicht handschriftlich unterzeichnet war. Der Gläubiger machte geltend, dass dies gegen das Unionsrecht verstoße.

Der EuGH hat erwogen: Die Verordnung (EU) 910/2024 (eIDAS-VO) gilt sowohl für sämtliche in der EU niedergelassene Vertrauensdiensteanbieter als auch für von einem Mitgliedstaat notifizierte elektronische Identifizierungssysteme. Selbst wenn ein Mitgliedstaat kein solches System notifiziert hat, bleiben die Bestimmungen über elektronische Signaturen anwendbar.

Die eIDAS-VO erlaubt es den nationalen Gerichten, elektronische Signaturen für ungültig zu erklären. Elektronischen Signaturen dürfen Rechtswirkung und Beweiskraft aber nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegen oder weil sie die Anforderungen an eine qualifizierte elektronische Signatur nicht erfüllen. Die eIDAS-VO hindert Mitgliedstaaten nicht daran, Vorgaben hinsichtlich der Form zu machen. Die eIDAS-VO wirkt sich daher nicht auf Verfahrensfragen aus, die im nationalen Recht die Modalitäten für die Einreichung von Schriftsätzen bei den Gerichten festlegen.

Die polnische Regelung untersagt die elektronische Einreichung eines elektronisch signierten Schriftstücks bei einem Gericht nicht deshalb, weil allein eine handschriftliche Unterzeichnung als Signatur angesehen wird, sondern verlangt, dass die elektronische Einreichung von Schriftsätzen über ein geeignetes Informations- und Kommunikationssystem, über das dieses Gericht verfügen muss, erfolgt. Wenn ein Gericht über kein solches Informations- und Kommunikationssystem verfügt, wird der Schriftsatz nicht "allein deshalb" abgelehnt, weil dieser elektronisch signiert wurde oder nicht den Anforderungen der qualifizierten elektronischen Signatur genügt, sondern weil er nicht über ein geeignetes Informations- und Kommunikationssystem eingereicht wurde, wie es das nationale Recht vorsieht. Dies ist keine Verletzung der eIDAS-VO.

Die eIDAS-VO steht daher einer nationalen Vorschrift, nach der ein Schriftsatz nur dann in elektronsicher Form und mit elektronischer Signatur bei einem Gericht eingereicht werden darf, wenn dieses über ein geeignetes Informations- und Kommunikationssystem verfügt und die Einreichung über dieses System erfolgt, nicht entgegen.

Rechtsprechung des VfGH

Bei einer ergänzenden Beweisanforderung zur Vorlage eines Steuerakts durch ein Viertel der Mitglieder des Untersuchungsausschusses gemäß § 25 Abs 2 VO-UA kommt von vornherein keine Verletzung von Persönlichkeitsrechten in Betracht. Die Entscheidung, ob Akten und Unterlagen dem Untersuchungsausschuss vorzulegen sind, obliegt dem informationspflichtigen Organ. Dieses hat auch zu entscheiden, ob die vorzulegenden Akten und Unterlagen nach dem Informationsordnungsgesetz zu klassifizieren sind. Der Eingriff in Persönlichkeitsrechte entsteht daher erst, wenn das vorlagepflichtige Organ dem Untersuchungssauschuss tatsächlich Akten oder Unterlagen vorlegt (VfGH 24.09.2024, UA17/2024).

Rechtsprechung des OGH

Wenn der Entscheidungsgegenstand nicht ausschließlich in einem Geldbetrag besteht, hat das Berufungsgericht (OLG) gemäß § 500 Abs 2 ZPO den Wert des Entscheidungsgegenstandes auszusprechen (Bewertungsausspruch). Die Zulässigkeit der Revision an den OGH hängt ua vom Wert des Entscheidungsgegenstandes ab. Ansprüche, die auf eine Verletzung des Datenschutzrechts gestützt werden, sind nicht zu bewerten.
Soweit für eine Person eine Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit besteht, dürfen personenbezogene Daten und andere Umstände, die Rückschlüsse auf die Identität oder die höchstpersönlichen Lebensumstände der gefährdeten Person zulassen, von der Akteneinsicht ausgenommen werden (51 Abs 1 iVm § 162 StPO). Eine darüber hinausgehende Beschränkung des Rechts auf Akteneinsicht des Beschuldigten ist unzulässig (OGH 24.09.2024, 11Os76/24x).
Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 20.09.2024, 6Ob219/23h).

Rechtsprechung des BVwG

BVwG 11.09.2024, W256 2290824-1

Kohärenzverfahren, Säumnisbeschwerde

Der Nutzer einer Social-Media-Plattform brachte im Zusammenhang mit der Einschränkung der ihm zur Verfügung stehenden Funktionen eine Datenschutzbeschwerde bei der DSB gegen den Betreiber der Plattform im Unionsraum ein. Nachdem mehr als sechs Monate verstrichen waren, wandte sich der Nutzer mittels Säumnisbeschwerde (erfolglos) an das BVwG.

Das BVwG hat erwogen: Grundsätzlich steht jedem Betroffenen nach Art 78 Abs 2 DSGVO die Möglichkeit einer Untätigkeitsklage frei, wenn sich die zuständige Aufsichtsbehörde nicht mit einer Datenschutzbeschwerde befasst (hat). Die Zulässigkeit einer Säumnisbeschwerde setzt die Säumnis der vor dem Verwaltungsgericht belangten Behörde voraus. Da es sich beim Betreiber der Plattform um ein in Irland hauptansässiges Unternehmen handelt, liegt eine grenzüberschreitende Verarbeitung vor.

Für grenzüberschreitende Verarbeitungen sieht Art 56 Abs 1 DSGVO ein Verfahren der Zusammenarbeit und Kohärenz vor, das auf einer Aufteilung der Zuständigkeiten zwischen einer "federführenden Aufsichtsbehörde" und den anderen betroffenen Aufsichtsbehörden beruht. Grundsätzlich fällt die Führung eines solchen – vom Sachentscheidungsverfahren zu unterscheidenden – Vorverfahrens in die Zuständigkeit der "federführenden Aufsichtsbehörde". Da somit bei grenzüberschreitenden Datenverarbeitungen die Zuständigkeit zur Entscheidung vom Ausgang des Verfahrens der Zusammenarbeit und Kohärenz abhängt und diese somit bis dahin nicht geklärt ist, kann eine Verletzung der Entscheidungspflicht durch eine Aufsichtsbehörde bis zum Abschluss eines solchen Verfahrens nicht rechtswirksam geltend gemacht werden. Korrespondierend ordnet § 24 Abs 10 Z 2 DSG an, dass in die Entscheidungsfrist die Zeit während eines solchen Verfahrens nicht eingerechnet wird.

Hieran ändert auch nichts, dass die DSB die vom Nutzer bei ihr eingebrachte Datenschutzbeschwerde an die zur Durchführung des Kohärenzverfahrens zuständige "federführende Aufsichtsbehörde" nicht weitergeleitet hat, weil die Frist zur Entscheidung bereits mit Einbringen der Datenschutzbeschwerde gehemmt wurde. Betreffend die hier allein geltend gemachte Entscheidungsfrist war die DSB nicht säumig.

BVwG 16.09.2024, W137 2288585-1

Wildkamera, zeitlicher Anwendungsbereich, DSG 2000 Verhältnismäßigkeit, gelindeste Mittel

Im Februar 2018 installierte ein Grundstücksbewohner, der ein Wohnrecht, aber kein Eigentum (mehr) an der Liegenschaft hatte, mehrere Kameras, darunter eine Wildkamera, auf seinem Anwesen. Der Zweck der Wildkamera bestand darin, die Hühner in seinem Garten vor einem Marder zu schützen. Der erfasste Bereich erstreckte sich auf den Eingang des Nachbarhauses und den Streifen zwischen den beiden Häusern. Dadurch erachtete sich der Nachbar in seinem Recht auf Geheimhaltung verletzt.

Die DSB gab der Datenschutzbeschwerde des Nachbarn statt. Gegen diesen Bescheid erhob der Grundstücksbewohner Bescheidbeschwerde an das BVwG und führte ua an, dass kein ordnungsgemäßes Ermittlungsverfahren stattgefunden hatte. Das BVwG hob den Bescheid der DSB auf und verwies die Angelegenheit an die DSB zurück. Es bemängelte, dass die DSB die Sachverhaltsfeststellungen ohne ordnungsgemäßes Ermittlungsverfahren getroffen hatte. Infolgedessen setzte die DSB das Verfahren fort und forderte vom Grundstücksbewohner weitere Beweismittel an. Letztendlich stellte die DSB fest, dass der Grundstücksbewohner seinen Nachbarn im Recht auf Geheimhaltung verletzt hatte, indem er den Eingangsbereich des Nachbarhauses mit der Wildkamera aufnahm. Daraufhin erhob der Grundstücksbewohner (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Das BVwG hat seine Entscheidung an der zum Zeitpunkt der Entscheidung maßgeblichen Sach- und Rechtslage auszurichten. Eine frühere Rechtslage ist anzuwenden, wenn der Anspruch nach den zu seiner Entstehungszeit geltenden materiell-rechtlichen Bestimmungen zu beurteilen ist. Die Kameraaufzeichnungen ereigneten sich vor Inkrafttreten der DSGVO (25.05.2018). Daher ist materiell-rechtlich die Rechtslage des DSG 2000 heranzuziehen.

Die Definition der Videoüberwachung knüpfte an die Feststellung von Geschehnissen an, die ein bestimmtes Objekt oder eine bestimmte Person "betreffen". Es wurde nicht darauf abgestellt, was von den Bilddaten erfasst wurde, sondern dass ein bestimmtes Objekt oder eine bestimmte Person von der Überwachung betroffen war.

Auch gezieltes Fotografieren kann eine Videoüberwachung sein, wenn es intentional auf die Überwachung einer Person oder eines Objekts gerichtet ist. Die regelmäßige Auslösung durch jedes Kommen und Gehen des Nachbarn verwirklichte den Überwachungsgedanken. Folglich lag eine Videoüberwachung iSd § 50a DSG 2000 vor.

Nach § 50a Abs 2 DSG 2000 galten die Grundsätze der §§ 6 und 7 DSG 2000, insbesondere der Verhältnismäßigkeitsgrundsatz (§ 7 Abs 3 DSG 2000). Die Videoüberwachung war weder gemeldet noch genehmigt. Somit war bereits die Aufnahme der Datenverarbeitung rechtswidrig (§ 17ff DSG 2000).

Der Grundstücksbewohner hatte gemäß § 7 Abs 1 DSG 2000 die rechtliche Befugnis zum Installieren der Wildkamera. Die Wildkamera war innen montiert und erfasste teilweise sein eigenes Grundstück. Die Verhältnismäßigkeit gemäß § 1 Abs 1 letzter Satz DSG erfordert jedoch, dass weniger eingriffsintensive Mittel vorzuziehen sind. Da bereits eine bessere Sicherung des Hühnerstalls ausreichend gewesen wäre, handelte es sich zweifelsfrei nicht um das gelindeste Mittel iSd § 7 Abs 3 DSG 2000.

Laut Art 56 Abs 1 VO (EU) 2022/2065 (Digital-Services-Act; DSA) verfügt der Mitgliedstaat, in dem sich die Hauptniederlassung des Anbieters von Vermittlungsdiensten befindet, über ausschließliche Befugnisse, den DSA zu überwachen und durchzusetzen. Das Kommunikationsplattformen-Gesetz (KoPl-G) ist gemäß § 10 Abs 1 Koordinator-für-digitale-Dienste-Gesetz (KDD-G) mit 17.02.2024 außer Kraft getreten. Verfahren, die nach dem KoPl-G gegen den Anbieter einer Kommunikationsplattform geführt wurden, der nach Art 56 DSA nunmehr in die Zuständigkeit eines anderen Mitgliedstaats oder der Europäischen Kommission fällt, sind einzustellen (BVwG 02.09.2024, W290 2242336-1). Anm: Hintergrund des Verfahrens ist, dass der österreichische Gesetzgeber die Anbieter von Kommunikationsplattformen dem
KoPl-G unterwarf. Google, Meta und TikTok beantragten daraufhin die Feststellung, dass sie dem KoPl-G nicht unterliegen, ua mit dem Argument, dass das KoplG mit dem Unionsrecht unvereinbar sei. Die zuständige Kommunikationsbehörde (KommAustria) stellte in allen drei Verfahren – wie auch in einem späteren Verfahren gegen Twitter – fest, dass diese Anbieter in den Anwendungsbereich des KoPl-G fallen. Die Bescheidbeschwerden dieser drei Anbieter wurden vom BVwG abgewiesen. Ihre Revisionen verband der VwGH zu einem Verfahren und der VwGH ersuchte den EuGH um Vorabentscheidung zur Vereinbarkeit des KoPl-G mit der eCommerce-Richtlinie. Der EuGH entschied, dass das KoPl-G mit dem Herkunftslandprinzip der eCommerceRL unvereinbar war. Daraufhin behob der VwGH die drei Erkenntnisse des BVwG und der Gesetzgeber hob das KoPl-G auf. Das BVwG hat nunmehr im zweiten Verfahrensgang den Bescheid der KommAustria gegen TikTok ersatzlos behoben und das Verfahren eingestellt.
Voraussetzung für die Geltendmachung des Beschwerderechts ist, dass die beschwerdeführende Person selbst durch die Datenverarbeitung betroffen Dort, wo es der DSB nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, ist von einer Mitwirkungspflicht der Partei auszugehen. Die beschwerdeführende Partei ist verpflichtet, in ihrer Sphäre liegende Unterlagen vorzulegen, um den Beweis zu erbringen, dass ihre personenbezogenen Daten tatsächlich verarbeitet wurden. Werden entsprechende Unterlagen nicht vorgelegt, kann keine Datenschutzverletzung festgestellt werden und ist die Datenschutzbeschwerde abzuweisen (BVwG 12.09.2024, W252 2271471-1).
Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 20.09.2024, W214 2262861-1).

Rechtsprechung der LVwG

LVwG Wien 29.02.2024, VGW-001/049/14641/2023

Handelsstatistik, UID-Nummer, Art 6 Abs 1 lit e DSGVO

Ein Unternehmen erhielt mehrere Strafverfügungen und Straferkenntnisse von der Bezirkshauptmannschaft (BH), weil es trotz Aufforderung unterließ, die nach dem Handelsstatistischen Gesetz (HStG) erforderlichen Daten der Statistik Austria zu übermitteln. Das Unternehmen sei am EU-Warenverkehr beteiligt und sei daher ua zur Bekanntgabe der UID-Nummern ihrer Handelspartner verpflichtet. Der Geschäftsführer des Unternehmens erhob Einspruch und Bescheidbeschwerde beim zuständigen LVwG, welches die anhängigen Straferkenntnisse mangels örtlicher Zuständigkeit der BH behob. Daraufhin wurde die Sache dem Magistrat der Stadt Wien abgetreten und es ergingen erneut Straferkenntnisse, gegen die der Geschäftsführer Bescheidbeschwerde an das LVwG Wien erhob.

Das LVwG hat erwogen: Die örtliche Zuständigkeit des Magistrats der Stadt Wien ergibt sich aus dem Sitz der Statistik Austria als auskunftbegehrende Stelle nach dem HStG. Gemäß § 1 Abs 1 HStG müssen Waren, die innerhalb der EU verbracht werden, und Waren, die über die Zollgrenze der EU ein- und ausgeführt werden, für die Zwecke der amtlichen Handelsstatistik angemeldet werden. Unter die bekanntzugebenden Daten fällt gemäß § 4 HStG und Art 13 der VO 2019/2152 auch die UID-Nummer des Handelspartners. Das Vorbringen, dass die Bekanntgabe der UID-Nummern mit einem unverhältnismäßigen administrativen Aufwand verbunden sei, ist nicht glaubhaft, weil das Unternehmen nicht von unwesentlicher Größe ist und auch international in Drittstaaten tätig ist. Ein Unternehmen dieser Größe wird zwangsläufig über einen entsprechenden Verwaltungsapparat verfügen, dem dieser Aufwand zumutbar ist. Das Argument des Datenschutzes greift nicht, weil es sich bei den UID-Nummern zwar um personenbezogene Daten handelt, jedoch im HStG und in der VO 2019/2152 mehrere Rechtsgrundlagen iSd Art 6 Abs 1 lit e DSGVO vorliegen. Auch kann das Unternehmen in keinem subjektiven Recht verletzt sein, weil es sich bei den UID-Nummern um die Daten seiner Handelspartner handelt. Das Vorbringen, die UID-Nummern aus Sorge vor einem etwaigen Data Breach bei der Statistik Austria oder der Eurostat nicht weitergeleitet zu haben, reicht nicht aus. Ein Data Breach kann nie zu 100% ausgeschlossen werden und die Statistik Austria unterliegt im Rahmen ihrer Tätigkeit dem Statistikgeheimnis nach § 17 Bundesstatistikgesetz und somit strengen Zweckbindungen bei der Verarbeitung personenbezogener Daten. Das Unternehmen hat somit durch Unterlassung der Bekanntgabe der erforderlichen Daten eine Verwaltungsübertretung begangen und es war eine Geldstrafe zu verhängen.

Leitlinien

Der EDSA veröffentlichte Leitlinien, um den technischen Anwendungsbereich der Art 5 Abs 3 ePrivacy-Richtlinie (ePrivacyRL) durch Aufzählung von Beispielen näher zu bestimmen. Die Leitlinien sind eine Ergänzung zur Stellungnahme 9/2014 der Art 29 Datenschutzgruppe (WP 224), in der die Anwendbarkeit von Art 5 Abs 3 ePrivacyRL auf den virtuellen Fingerabdruck erörtert wurde (device fingerprinting).

Ziel der ePrivacyRL ist es, die Privatsphäre der Nutzer zu schützen. Art 5 Abs 3 ePrivacyRL ist anwendbar, wenn (i) Informationen (diese müssen keinen Personenbezug aufweisen) (ii) auf einem Endgerät eines Nutzers oder Teilnehmers (iii) gespeichert oder von diesem abgerufen werden.

Ein Gerät wird als Endgerät definiert, wenn es direkt oder indirekt mit der Schnittstelle eines öffentlichen Telekommunikationsnetzes verbunden ist, um Informationen zu senden, zu verarbeiten oder zu empfangen. Bei der Speicherung und dem Abrufen handelt es sich um getrennte Vorgänge, diese müssen nicht in derselben Kommunikation stattfinden. Gespeicherte Informationen sind Informationen, die schon am Endgerät vorhanden sind. Dabei kommt es auf die Art und die Quelle der Information nicht an.

Anwendungsfälle von Art 5 Abs 3 ePrivacyRL sind etwa URL- und Pixel-Tracking, weil dafür Informationen vom Endgerät abgerufen werden. Auch fallen lokal auf dem Endgerät verarbeitete und generierte Daten in den Anwendungsbereich der ePrivacyRL, wenn durch eine installierte API (Programmierschnittstelle) bereits gespeicherte Informationen einem Dritten zugesandt werden.

Tracking durch IP-Adressen, die an Provider gesendet werden, fallen in den Anwendungsbereich der ePrivacyRL, wenn die IP-Adresse von einem Endgerät stammt. Kann der Empfänger nachweisen, dass es sich bei den Daten um keine Endnutzerdaten handelt, ist die Datenübermittlung vom Anwendungsbereich der ePrivacyRL jedoch ausgenommen.

Datenverbindungen von IoT-Geräten (Internet of Things; zB Smartwatches, intelligente Türschlösser, virtuelle Assistenten) fallen in den Anwendungsbereich der ePrivacyRL, wenn diese Geräte direkt oder indirekt Zugang zu einem öffentlichen Kommunikationsnetzwerk haben und Informationen senden.

Unique Identifier (UID/eindeutige Identifizierungsnummer) fallen in den Anwendungsbereich der ePrivacyRL, wenn über einen Browser die Aufforderung an das Endgerät gesendet wird, die UID zu übermitteln.

EU-Rechtsakte

Am 18.10.2024 wurde die Durchführungsverordnung (EU) 2024/2690 zur Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) veröffentlicht. Mit dieser DurchführungsVO werden technische und methodische Anforderungen für Risikomanagementmaßnahmen im Bereich der Cybersicherheit für folgende Anbieter/Betreiber und Dienstleister festgelegt: DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter.

Vorschau EuG- und EuGH-Rechtsprechung

Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.

Datenschutzmonitor 16.10.2024

Rechtsprechung des VfGH

VfGH 03.10.2024, E4003/2023

Videoüberwachung, Verschleierungsverbot

Ein Mann trug eine Burka, um nicht von einer öffentlichen Videoüberwachungskamera erfasst zu werden. Aufgrund des Verstoßes gegen § 2 Abs 1 Anti-Gesichtsverhüllungsgesetz (AGesVG) wurde ihm mit Bescheid eine Geldstrafe auferlegt. Der Mann erhob Bescheidbeschwerde beim LVwG Niederösterreich und behauptete, das AGesVG sei verfassungswidrig, weil es gegen das verfassungsgesetzlich gewährleistete Recht auf Datenschutz verstoße. Da das LVwG die Bescheidbeschwerde abwies, erhob der Mann Erkenntnisbeschwerde an den VfGH.

Der VfGH hat erwogen: Gemäß Art 8 Abs 1 EMRK hat jedermann Anspruch auf Achtung seines Privatlebens. Ein Eingriff in dieses Grundrecht ist nur statthaft, wenn dieser gesetzlich vorgesehen ist und dem materiellen Gesetzesvorbehalt des Art 8 Abs 2 EMRK entspricht. Zudem muss der Eingriff geeignet und erforderlich sein, um ein legitimes Ziel zu erreichen und er muss verhältnismäßig sein.

Das AGesVG zielt auf die Förderung von Integration durch die Stärkung der Teilhabe an der Gesellschaft und die Sicherung des friedlichen Zusammenlebens von Menschen unterschiedlicher Herkunft und Religion in einer pluralistischen Gesellschaft ab. Dies dient der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit. Zur Umsetzung dieses Ziels hat der Gesetzgeber den Verbotstatbestand des § 2 Abs 1 AGesVG normiert, der neutral formuliert ist und sämtliche Gesichtsverhüllungen in der Öffentlichkeit erfasst. Der EGMR erkennt dem Staat einen weiten Ermessensspielraum bei der Frage zu, ob es erlaubt sein soll, seine Gesichtszüge in der Öffentlichkeit zu verhüllen. Diesen rechtspolitischen Gestaltungsspielraum hat der österreichische Gesetzgeber nicht überschritten, sodass keine Verletzung im Recht auf Achtung des Privatlebens vorliegt.

Da auch keine Verletzung in anderen verfassungsgesetzlich gewährleisteten Rechten oder in einem sonstigen Recht zu erkennen ist, ist der Beschwerdeführer wegen Anwendung des § 2 Abs 1 AGesVG nicht in seinen Rechten verletzt worden.

Rechtsprechung des OGH

Soweit für eine Person eine Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit besteht, dürfen personenbezogene Daten und andere Umstände, die Rückschlüsse auf die Identität oder die höchstpersönlichen Lebensumstände der gefährdeten Person zulassen, von der Akteneinsicht ausgenommen werden (51 Abs 1 iVm § 162 StPO). Eine darüber hinausgehende Beschränkung des Rechts auf Akteneinsicht des Beschuldigten ist unzulässig (OGH 24.09.2024, 11Os75/24z; 24.09.2024, 11Os74/24b).
Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 20.09.2024, 6Ob112/24z).

Rechtsprechung des BVwG

BVwG 28.08.2024, W221 2279014-1

Tesla, Dash-Cam, Beweislast

Tesla-Fahrzeuge sind mit mehreren Dash-Cams ausgestattet, die das Umfeld überwachen. Der "Sentry Mode" speichert Aufnahmen bei Bedrohungen. Der "Alert Mode" wird bei Erschütterungen oder ähnlichen Ereignissen aktiviert. Für die Speicherung der Videos auf einem USB-Laufwerk muss dieses korrekt formatiert und angeschlossen sein.

Ein Passant fühlte sich durch die vermeintliche Videoaufzeichnung eines Teslas in seinem Recht auf Geheimhaltung verletzt. Das Fahrzeug parkte in einer Fußgängerzone, als der Passant vorbeiging. Seiner Ansicht nach filmte das Fahrzeug ihn im "Sentry Mode" und "Alert Mode", speicherte die Aufnahmen und übertrug diese in die USA. Weiters erachtete er sich in seinen Rechten auf Auskunft, Berichtigung und Löschung verletzt. Die Fahrzeughalterin verstieße gegen Art 6 DSGVO, weil es weder eine gesetzliche Grundlage noch eine Einwilligung für die Verarbeitung gebe. Zudem verletze sie mangels Kennzeichnung die Informationspflicht nach Art 13 DSGVO.

Die DSB wies die Datenschutzbeschwerde des Passanten wegen Verletzung in den Rechten auf Auskunft, Berichtigung und Löschung in einem Teilbescheid ab, weil der Passant kein entsprechendes Ersuchen an die Fahrzeughalterin richtete. In einem zweiten Teilbescheid wies die DSB auch die Datenschutzbeschwerde wegen behaupteter Verletzung der Rechte auf Information und Geheimhaltung ab, weil zum entscheidungsrelevanten Zeitpunkt der "Sentry Mode" zwar aktiv gewesen sei, die Kameras jedoch nicht eingeschaltet waren. Es habe somit keine Datenverarbeitung stattgefunden. Daraufhin erhob der Passant (erfolglose) Bescheidbeschwerde gegen den zweiten Teilbescheid an das BVwG.

Das BVwG hat erwogen: Die Aktivierung des "Sentry Mode" (auch wenn er nicht in den "Alert Mode" wechselt) ist eine Datenverarbeitung, die eine Informationspflicht des datenschutzrechtlich Verantwortlichen auslösen kann. Entscheidend ist daher, ob der "Sentry Mode" zum entscheidungsrelevanten Zeitpunkt tatsächlich aktiviert war.

Der Verantwortliche iSd Art 4 Z 7 DSGVO trägt die Beweislast für die Rechtmäßigkeit der Datenverarbeitung iSd Art 5 DSGVO. Darüber hinaus finden sich in der einschlägigen Judikatur und in den anzuwendenden Normen jedoch keine Hinweise auf eine entsprechende Beweislastumkehr in Bezug auf das Vorliegen einer Datenverarbeitung.

Weiters ist in diesem Zusammenhang auf den Amtswegigkeitsgrundsatz zu verweisen. Dieser verpflichtet die Behörde, den Sachverhalt vollständig von Amts wegen zu ermitteln, ohne in tatsächlicher Hinsicht an das Parteienvorbringen gebunden zu sein (§ 39 Abs 2 iVm § 37 AVG). Wenn es nicht gelingt, die anspruchsbegründenden Tatsachen festzustellen, geht dies zulasten des Betroffenen.

Der "Sentry Mode" war zum entscheidungsrelevanten Zeitpunkt nicht aktiviert. Folglich fanden auch keine Videoaufnahmen über Passanten statt. Da keine personenbezogenen Daten verarbeitet wurden, ist das Geheimhaltungsrecht des Passanten nicht verletzt worden. Weiters gelangt Art 13 DSGVO mangels Erhebung personenbezogener Daten nicht zur Anwendung. Anm: Nach der ständigen Rechtsprechung der DSB können die Rechte auf Auskunft, Berichtigung und Löschung in einer Datenschutzbeschwerde erst geltend gemacht werden, nachdem ein Auskunfts-, Berichtigungs- oder Löschungsersuchen an den Verantwortlichen gestellt worden ist. Deshalb ist die Datenschutzbeschwerde hinsichtlich dieser Rechte mit dem ersten (unbekämpften) Teilbescheid der DSB zurückgewiesen worden (vgl auch unten BVwG 12.09.2024, W287 2296629-1).

BVwG 22.08.2024, W256 2246158-1

SPG, Identitätsdokumentenregister, AuvBZ, Unzuständigkeit

Anlässlich einer Lärmerregung im öffentlichen Raum forderten Polizeibeamte eine Passantin zur Identitätsfeststellung in Form einer Ausweisleistung auf. Da sich die Passantin weigerte, ihren Ausweis vorzuzeigen, wurde sie schließlich von den Polizeibeamten festgenommen und zur nächstgelegenen Polizeiinspektion verbracht, wo eine Abfrage ihres Lichtbildes im Identitätsdokumentenregister ("IDR") Die von der Passantin auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Die hiergegen erhobene Bescheidbeschwerde wies das BVwG mit der Maßgabe ab, dass die ursprüngliche Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird.

Das BVwG hat erwogen: Die Organe des öffentlichen Sicherheitsdienstes sind gemäß § 35 Abs 2 und 3 SPG zur Feststellung der Identität einer tatverdächtigen Person ermächtigt. Dabei reicht die Skala der für die Feststellung der Identität einsetzbaren Maßnahmen vom Befragen des Betroffenen bis zur Einsichtnahme in einen amtlichen Lichtbildausweis.

Über Beschwerden wegen Verletzung von Rechten durch Verarbeiten personenbezogener Daten in Angelegenheiten der Sicherheitsverwaltung entscheidet grundsätzlich die DSB. Davon ausgenommen ist jedoch die Beurteilung der Rechtmäßigkeit der Ermittlung von personenbezogenen Daten infolge der Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt ("AuvBZ").

Eine AuvBZ liegt vor, wenn physischer Zwang ausgeübt wird oder die unmittelbare Ausübung physischen Zwangs bei Nichtbefolgung eines Befehls droht. Die Passantin wurde Zwecks Feststellung ihrer Identität festgenommen, worin die Ausübung physischen Zwangs zu sehen ist. Daraus ergibt sich, dass in die personenbezogenen Daten der Passantin infolge einer AuvBZ eingesehen wurde, deren Beurteilung gemäß § 88 Abs 1 SPG in die Zuständigkeit der Landesverwaltungsgerichte fällt. Demzufolge hätte die DSB die Datenschutzbeschwerde der Passantin als unzulässig zurückzuweisen gehabt.

BVwG 05.09.2024, W176 2273820-1

Rechtsanwaltskammer, AuskunftspflichtG

Ein Rechtsanwalt verlangte Auskunft gemäß 1 AuskunftspflichtG bei der für ihn zuständigen Rechtsanwaltskammer ("RAK") über die Zusammensetzung, das Abstimmungsverhalten der Mitwirkenden sowie über internen Abläufe und Entscheidungen der Kammer in den ihn betreffenden Ausschüssen. Die RAK lehnte das Auskunftsersuchen pauschal ohne vertiefende Begründung ab, weil die Fragen das interne Beratungs- und Willensbildungsverhalten der RAK sowie die detaillierten Abstimmungsergebnisse dem Amtsgeheimnis unterliegen würden. Der Rechtsanwalt erhob daraufhin Bescheidbeschwerde an ein LVwG, das die Bescheidbeschwerde zuständigkeitshalber an das BVwG weiterleitete. Das BVwG wies die Bescheidbeschwerde hinsichtlich des Abstimmungsverhaltens ab. Im Übrigen behob das BVwG den Bescheid und verwies die Angelegenheit zur Erlassung eines neuen Bescheids an die RAK zurück.

Das BVwG hat erwogen: Auskünfte über den Beratungs- und Willensbildungsprozess von Mitgliedern eines Kollegialorgans gefährden dessen Unabhängigkeit und unterliegen dem Beratungsgeheimnis. Wenn Mitglieder von Kollegialorganen die Offenlegung ihres Abstimmungsverhaltens befürchten müssen, kann dies das Stimmverhalten und die Unabhängigkeit gefährden. Der Begriff "Auskunft" umfasst nur die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens gegenüber dem Anfragenden.

Das Abstimmungsverhalten von Mitgliedern des Ausschusses der RAK sind interne Beratungs- und Willensbildungsprozesse, die dem für die Unabhängigkeit des Kollegialorgans wesentlichen Beratungsgeheimnis unterliegen, sodass die betreffenden Aktenteile von der Akteneinsicht auszunehmen sind.

Im Verfahren des Ausschusses der RAK ist das AVG anzuwenden. Gemäß § 18 Abs 4 AVG hat jede schriftliche Ausfertigung die Bezeichnung der Behörde, das Datum der Genehmigung und den Namen des Genehmigenden zu enthalten. Einzelne Mitglieder einer Kollegialbehörde müssen namentlich zwar nicht genannt werden. Die Bekanntgabe der Mitglieder der über eine Sache entscheidenden Behörde kann jedoch für die Überprüfung der richtigen Zusammensetzung und der Unbefangenheit erforderlich sein. Bei Auskünften nach dem AuskunftspflichtG hat eine Interessenabwägung zwischen der Amtsverschwiegenheit und dem Interesse des Auskunftswerbers an der Information zu erfolgen.

Angelegenheiten, in denen jemand Parteistellung hat, stehen einer Auskunftserteilung nach dem AuskunftspflichtG entgegen, weil die Möglichkeit zur Akteneinsicht besteht. In Angelegenheiten, in denen der Rechtsanwalt keine Parteistellung hatte, könnte sein Interesse an der Erlangung der Informationen über die Zusammensetzung der entscheidenden Behörde überwiegen. Da die RAK hierzu keine Feststellungen traf, war der Bescheid zu beheben und die Angelegenheit an die RAK zurückzuverweisen.

BVwG 02.09.2024, W292 2292958-1

BVwG, Verfristung

Ein Betroffener behauptete, durch das BVwG in seinem Grundrecht auf Datenschutz und Geheimhaltung sensibler personenbezogener Daten verletzt worden zu sein.

Der Betroffene wies sich bei einer öffentlichen mündlichen Verhandlung beim BVwG mit seinem Behindertenpass aus. Da im Verhandlungsprotokoll der mündlichen Verhandlung die Information über seinen Behindertenpass aufschien, erhob der Betroffene eine Beschwerde gemäß Art 130 Abs 2a

B-VG. Er führte aus, dass er nicht darüber informiert wurde, dass seine Daten an Dritte weitergegeben werden würden. Mit diesem Wissen hätte er sich mit dem Reisepass ausgewiesen. Dem Betroffenen wurde jedoch bereits nach der Verhandlung ein Kurzprotokoll vorgelegt, auf dem vermerkt wurde, dass er sich mit einem Behindertenpass ausgewiesen hat, wogegen er am Ende der Verhandlung keine Einwände erhob. Auch nach Zustellung einer Vollschrift des Verhandlungsprotokolls, in welchem die Information über den Behindertenpass übernommen wurde, erhob der Betroffene Einwendungen nur gegen das Verhandlungsprotokoll, jedoch nicht gegen die Protokollierung des Behindertenpasses selbst.

Das BVwG entschied in einem aus drei Berufsrichtern gebildeten Senat und wies die Beschwerde als verspätet zurück.

Das BVwG hat erwogen: Wer durch ein Organ in Ausübung seiner justiziellen Tätigkeit im Grundrecht auf Datenschutz verletzt wurde, kann gemäß § 85 Abs 8 GOG dem Bund gegenüber die Feststellung dieser Verletzung begehren. Gemäß § 24a BVwGG gelten die §§ 84 und 85 GOG sinngemäß für Organe des BVwG mit der Maßgabe, dass über behauptete Datenschutzverletzungen ein Senat des BVwG entscheidet. Der behaupteten Verletzung liegt das Handeln eines Organs des BVwG in Ausübung seiner justiziellen Tätigkeit iSd Art 55 Abs 3 DSGVO und den §§ 84 und 85 GO – nämlich die Aufnahme einer Information zum Ausweisdokument in eine Verhandlungsschrift – zugrunde.

Die Beschwerde ist innerhalb eines Jahres ab dem Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, beim BVwG einzubringen. Nach Ablauf von drei Jahren nach der Entscheidung oder dem Vorgang kann die Feststellung nicht mehr begehrt werden. Der Betroffene musste die behauptete Datenschutzverletzung bereits im Rahmen der Unterzeichnung des Kurzprotokolls am 21.04.2021 kennen. Er erhob die Beschwerde jedoch erst am 01.06.2024. Zudem hat der Betroffene fünf Tage nach Zustellung der Vollschrift des Verhandlungsprotokolls Einwendungen erhoben, welche sich damals nicht auf die Protokollierung des Behindertenausweises bezogen. Vor diesem Hintergrund war die Beschwerde als verfristet zurückzuweisen.

BVwG 12.09.2024, W252 2272069-1

Impferinnerungsschreiben, Mitwirkungspflicht

Der Empfänger eines COVID-19-Impferinnerungsschreibens behauptete, dass der (vermeintlich) absendende Verantwortliche sein Grundrecht auf Geheimhaltung verletzt habe. Der (vermeintliche) Verantwortliche soll rechtswidrig auf seine im Impfregister hinterlegten Daten zugegriffen haben. Das Impferinnerungsschreiben legte der Empfänger der Datenschutzbeschwerde nicht bei. Die DSB legte einen anderen Verantwortlichen als Beschwerdegegner fest und gab der Datenschutzbeschwerde statt. Daraufhin erhob der Beschwerdegegner eine (erfolgreiche) Bescheidbeschwerde.

Das BVwG hat erwogen: Gemäß Art 77 DSGVO kommt jeder Person das Recht zu, Beschwerde bei einer Aufsichtsbehörde zu erheben, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Art 77 DSGVO macht keine inhaltlichen Vorgaben, verlangt jedoch ausreichende Angaben, damit die DSB die Art und Weise der Verarbeitung sowie den Verstoß gegen die DSGVO nachvollziehen kann.

Wenn es der DSB nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, besteht eine Mitwirkungspflicht der Partei. Dies vor allem dann, wenn die DSB sich die Kenntnis von ausschließlich in der Sphäre der Partei liegenden Umständen nicht von Amts wegen beschaffen kann. Der Empfänger machte eine Verletzung seines Rechts auf Geheimhaltung geltend, legte auf Nachfrage des BVwG jedoch kein Impferinnerungsschreiben vor. Aufgrund der Mitwirkungspflicht wäre der Empfänger dazu verpflichtet gewesen, den Beweis zu erbringen, dass seine personenbezogenen Daten tatsächlich verarbeitet wurden. Da der Empfänger mittlerweile verstorben ist, kann er dieser Mitwirkungspflicht nicht mehr nachkommen. Die Verletzung des Rechts auf Geheimhaltung konnte somit nicht festgestellt werden. Vor diesem Hintergrund war der Bescheidbeschwerde stattzugeben und die ursprüngliche Datenschutzbeschwerde abzuweisen. Anm: Dem BVwG ist zwar beizupflichten, dass der Empfänger des Impferinnerungsschreibens seine Betroffenheit durch Vorlage des Impferinnerungsschreibens nachzuweisen gehabt hätte. Da der Empfänger während des laufenden Verfahrens verstorben ist, wäre der Bescheid jedoch ersatzlos zu beheben und das Verfahren einzustellen gewesen (vgl zB BVwG 07.06.2023, W214 2263568-1).

Das Recht auf eine Kopie der personenbezogenen Daten gemäß Art 15 Abs 3 DSGVO ist eine Regelung für die Form der Unterrichtung des Betroffenen. Art 15 Abs 3 Satz 1 DSGVO räumt dem Betroffenen neben dem Recht auf Auskunft gemäß Art 15 Abs 1 DSGVO kein zusätzliches – eigenständiges – Recht auf Kopien von Auszügen aus Dokumenten, von ganzen Dokumenten oder Auszügen aus Datenbanken, die personenbezogene Daten enthalten, ein (BVwG 09.09.2024, W176 2283061-1).
In der Systematik des Art 12 Abs 3 und 4 DSGVO kommt zum Ausdruck, dass das in Art 15 DSGVO normierte Betroffenenrecht auf Auskunft jedenfalls (zunächst) im Wege eines Antrags an den Verantwortlichen durchzusetzen ist. Ist an den Verantwortlichen kein Auskunftsersuchen gestellt worden, ist die Datenschutzbeschwerde von der DSB abzuweisen. Die Auslegung einer Erklärung ist am Empfängerhorizont zu messen. Ist für den objektiven Erklärungsempfänger kein Auskunftsersuchen ersichtlich, ist von keinem Auskunftsersuchen auszugehen (BVwG 12.09.2024, W287 2296629-1).
Wird eine Datenschutzbeschwerde während des laufenden Verfahrens vor dem BVwG zurückgezogen, entfällt die Zuständigkeit der DSB rückwirkend, sodass der Bescheid der DSB ersatzlos zu beheben und das Verfahren einzustellen ist (BVwG 16.09.2024, W137 2262841-1; W137 2263387-1; W137 2257622-1).
Wird eine Bescheidbeschwerde während des laufenden Verfahrens vor dem BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 10.09.2024, W292 2285395-1).

Rechtsprechung des BFG

Bescheidbeschwerden gegen Bescheide der DSB unterliegen einer Pauschalgebühr, die zum Zeitpunkt des Einbringens der Bescheidbeschwerde bei der DSB zu entrichten ist. Die Gebührenschuld entsteht bereits beim Einbringen der Bescheidbeschwerde (BFG 27.09.2024, RV/5100356/2024).

Vorschau EuG- und EuGH-Rechtsprechung

Am 17.10.2024 wird das Urteil des EuGH in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.

Datenschutzmonitor 09.10.2024

Rechtsprechung des EuGH

EuGH 04.10.2024, C-446/21, Schrems III

Personalisierte Online-Werbung, Datenminimierung, sensible Daten

Meta Platforms Ireland ("Meta") betreibt die Plattform Facebook innerhalb der EU. Ein Facebook-Nutzer klagte Meta, weil seine Daten für personalisierte Werbung ohne rechtsgültige Einwilligung verwendet worden seien. Das Geschäftsmodell von Meta ist es, Einnahmen durch zielgerichtete Werbung und kommerzielle Inhalte zu generieren. Die Werbung wird durch Erstellung detaillierter Profile der Nutzer personalisiert. Dafür werden Daten innerhalb und außerhalb des sozialen Netzwerks erfasst und verarbeitet. Laut Vorlageentscheidung hat der Nutzer Meta nicht erlaubt, seine außerhalb von Facebook erlangten Daten für personalisierte Werbung zu nutzen. Außerdem es hat der Nutzer nicht gestattet, bestimmte Profilinformationen (zB Beziehungsstatus, Arbeitgeber, Beruf, Ausbildung) für personalisierte Werbung zu verwenden. Meta habe jedoch Daten von Webseiten Dritter für die Erstellung von zielgerichteter Werbung verwendet, unter anderem auch Daten zur sexuellen Orientierung des Nutzers. Zwar habe der Nutzer seine sexuelle Orientierung öffentlich gemacht, aber nicht auf seinem Facebook-Profil.

Nachdem die Klage in den unteren Instanzen abgewiesen wurde, wandte sich der Nutzer mit seiner Revision an den OGH. Der OGH fragte den EuGH, ob personenbezogene Daten uneingeschränkt für personalisierte Werbung genutzt werden dürfen und ob die öffentliche Bekanntmachung sensibler Daten durch den Betroffenen die Verwendung dieser Daten für personalisierte Werbung erlaubt.

Der EuGH hat erwogen: Ziel der DSGVO ist, ein hohes Schutzniveau der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Jede Verarbeitung personenbezogener Daten muss im Einklang mit den in Art 5 DSGVO genannten Verarbeitungsgrundsätzen stehen, die in Art 6 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen und die Betroffenenrechte in Art 12-22 DSGVO beachten.

Dem Grundsatz der Datenminimierung entspricht eine Datenverarbeitung, wenn sie auf den notwendigen Zeitraum beschränkt ist. Auswirkungen für die Betroffenen sind umso schwerer, je länger Daten gespeichert werden. Umso höher sind auch die Anforderungen an die Rechtmäßigkeit der Datenspeicherung. Nach Erreichung des Verarbeitungszwecks müssen die Daten gelöscht werden. Eine ursprünglich zulässige Datenverarbeitung kann mit der Zeit gegen die DSGVO verstoßen, wenn die Daten nicht mehr für die Zweckerreichung, erforderlich sind. Eine unbegrenzte Speicherung der Nutzerdaten eines sozialen Netzwerks zu Zwecken der zielgerichteten Werbung ist ein unverhältnismäßiger Eingriff in die Rechte der Betroffenen.

Daten dürfen nicht unterschiedslos erhoben und gespeichert werden. Nicht erforderliche Daten sind nicht zu erheben. Dabei hat der Verantwortliche gemäß Art 25 Abs 2 DSGVO Maßnahmen zu treffen, die sicherstellen, dass nur die für die Zweckerreichung notwendigen Daten verarbeitet werden. Datenverarbeitungen sind besonders umfassend, wenn sie potenziell unbegrenzte Daten betreffen und die Onlineaktivitäten zum großen Teil erfassen. Bei Betroffenen kann dies das Gefühl der dauernden Überwachung auslösen.

Der Grundsatz der Datenminimierung steht einer Verarbeitung sämtlicher personenbezogener Daten entgegen, die ein Betreiber einer Onlineplattform von der betroffenen Person oder von Dritter Seite erhält, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet.

Mit der Verarbeitung von besonderen Kategorien personenbezogener Daten (zB politische Meinung, sexuelle Orientierung) ist ein erhebliches Risiko für die Grundfreiheiten und Grundrechte der Betroffenen verbunden. Die Bestimmung des Art 9 Abs 1 DSGVO verbietet grundsätzlich solche Datenverarbeitungen. Ausnahmen sieht Art 9 Abs 2 DSGVO für die Rechtfertigung von der Verarbeitung besonderer Kategorien personenbezogener Daten vor.

Eine Verarbeitung kann nach Art 9 Abs 2 lit e DSGVO gerechtfertigt sein, wenn Daten durch den Betroffenen durch eine eindeutige bestätigende Handlung einer breiten Öffentlichkeit zugänglich gemacht wurden. Eine Veröffentlichung im Rahmen einer Podiumsdiskussion mit Livestream ist so eine Handlung. Die Veröffentlichung von Daten bedeutet jedoch für den Betreiber einer Onlineplattform keine Zustimmung iSd Art 9 Abs 2 lit a DSGVO, die von dritten Partnern erhaltenen Daten für die Erstellung von personalisierter Werbung zu verwenden.

EuGH 04.10.2024, C-507/23, Patērētāju tiesību aizsardzības centrs

Immaterieller Schaden, Entschuldigung

Ein Journalist mit Fachkenntnissen im Automobilbereich wurde ohne sein Einverständnis in einer Videosequenz der Kampagne einer Verbraucherschutzbehörde von einer anderen Person imitiert. Der Journalist verlangte die Beendigung der Verbreitung und Schadenersatz wegen Rufschädigung.

Das Erstgericht sprach dem Journalisten einen Schadenersatz in Form einer (i) Entschuldigung und (ii) Entschädigung iHv EUR 2.000 zu. Das Berufungsgericht bestätigte den Schadenersatz in Form der Entschuldigung, verwarf jedoch die finanzielle Entschädigung. Das vorlegende Höchstgericht stellte dem EuGH mehrere Fragen zum immateriellen Schadenersatz, ua wollte das Höchstgericht wissen, ob ein immaterieller Schaden iSd Art 82 Abs 1 DSGVO durch eine Entschuldigung ausgeglichen werden kann.

Der EuGH hat erwogen: Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Eintritt eines Schadens ist nur eine potenzielle und keine automatische Folge einer rechtswidrigen Verarbeitung. Ein Verstoß gegen die DSGVO führt nicht zwangsläufig zu einem Schaden.

Die Voraussetzungen für einen immateriellen Schadenersatzanspruch sind (i) das Vorliegen eines immateriellen "Schadens", (ii) das Vorliegen eines Verstoßes gegen die DSGVO und (iii) ein Kausalzusammenhang zwischen Schaden und Verstoß.

Da Art 82 DSGVO keine Regeln für die Bemessung des Schadenersatzes festlegt, sind nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden. Der Schadenersatzanspruch nach Art 82 DSGVO hat ausschließlich eine Ausgleichsfunktion.

Bei fehlender Schwere des entstandenen Schadens kann ein geringfügiger Schadenersatz ausreichen. Auch eine Entschuldigung kann ein angemessener Ersatz für einen immateriellen Schaden sein, sofern diese Form des Schadenersatzes geeignet ist, den dem Betroffenen entstandenen Schaden in vollem Umfang auszugleichen.

Die Schwere eines Verstoßes gegen die DSGVO sowie die Haltung und die Beweggründe des Verantwortlichen sind beim Festlegen der Höhe der finanziellen Entschädigung – anders als bei der Strafbemessung nach Art 83 DSGVO – nicht zu berücksichtigen. Anm: Der EuGH leitete seine Rechtsprechungslinie zum immateriellen Schadenersatz iSd Art 82 DSGVO mit Urteil vom 04.05.2023, C-300/21, Österreichische Post, ein und sprach dort von einer "finanziellen Entschädigung" zum Ausgleich des erlittenen Schadens. Der EuGH wiederholte seine Wortwahl seitdem in mehreren Urteilen (EuGH 21.12.2023, C-667/21, Krankenversicherung Nordrhein; 25.01.2024, C-687/21, MediaMarktSaturn; 11.04.2024, C-741/21, juris; 20.06.2024, C-182/22 und C-189/22, Scalable Capital; 20.06.2024, C-590/22, PS [Fehlerhafte Anschrift]). Diese Wortwahl legte nahe, dass sofern ein Schaden festgestellt wird, eine finanzielle Entschädigung zuzusprechen ist. Aus der nunmehrigen Entscheidung folgt jedoch, dass der eingetretene Schaden nicht zwingend durch eine finanzielle Entschädigung auszugleichen ist, sondern etwa auch eine Entschuldigung ausreichen kann.

EuGH 04.10.2024, C-21/23, Lindenapotheke

Apotheke, Mitbewerber, Unterlassungsklage, Gesundheitsdaten

Der Betreiber der Lindenapotheke vertrieb apothekenpflichtige Arzneimittel über Amazon-Marketplace (Amazon), wofür Kunden Angaben wie Namen, Lieferadresse und Informationen zur Individualisierung der Arzneimittel eingeben mussten. Ein anderer Apotheker (= Mitbewerber) erhob Unterlassungsklage, weil der Vertrieb wegen des Verstoßes gegen Datenschutzvorschriften unlauter sei und beantragte, der Lindenapotheke den Vertrieb über Amazon zu verbieten, solange die Kunden nicht vorab in die Verarbeitung von Gesundheitsdaten einwilligen. Das vorlegende Gericht fragte, ob Mitbewerber bei Datenschutzverstößen zivilrechtlich gegen den Verletzer vorgehen können und ob die Daten tatsächlich als Gesundheitsdaten einzustufen sind.

Der EuGH hat erwogen: Die Bestimmungen des Kapitels VIII der DSGVO stehen einer nationalen Regelung nicht entgegen, die Mitbewerbern erlaubt, bei DSGVO-Verstößen unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken zu klagen. Die DSGVO schließt Klagen von Mitbewerbern nicht ausdrücklich aus. Das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bestehen vielmehr unbeschadet jeglicher anderer verwaltungsrechtlicher, gerichtlicher oder außergerichtlicher Rechtsbehelfe.

Aus dem Wortlaut und dem Kontext der Bestimmungen des Kapitels VIII ergibt sich, dass der Unionsgesetzgeber keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem DSGVO-Verstoß zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Unterlassungsklage erheben können. Diese Möglichkeit stärkt sogar die praktische Wirksamkeit der DSGVO und verbessert damit das Schutzniveau der Betroffenen. Es ist aber Sache des nationalen Gerichts, zu prüfen, ob der mutmaßliche Verstoß gegen die DSGVO auch ein Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken gemäß den einschlägigen nationalen Regelungen ist.

Daten zum Erwerb von Arzneimitteln sind Gesundheitsdaten iSd Art 5 Z 1 DSGVO, wenn daraus Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Es genügt, wenn aus den eingegebenen Daten mittels gedanklicher Kombination oder Ableitung Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können, indem eine Verbindung zwischen dem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und der natürlichen Person hergestellt wird.

Dies gilt auch, wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für den Kunden bestimmt sind. Werden die Arzneimittel für andere Personen bestellt, kann nicht ausgeschlossen werden, dass auch diese Personen identifiziert und Rückschlüsse auf ihren Gesundheitszustand gezogen werden können.

EuGH 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond

Interessenabwägung, wirtschaftliche Interessen

Der Tennisbond ist ein Sportverband, der in Form eines Vereins gegründet ist. Die Mitglieder dieses Sportverbands sind die ihm angeschlossenen Tennisvereine sowie deren Mitglieder, die durch Beitritt zum Tennisverein automatisch auch Mitglied des Tennisbonds werden. Der Tennisbond hat personenbezogene Daten seiner Mitglieder an zwei seiner Sponsoren gegen Entgelt offengelegt. Diese Daten umfassten Namen, Anschriften, Wohnorte, Geburtsdaten, Festnetz- und Mobiltelefonnummern, E-Mail-Adressen und die Namen der Tennisclubs, denen die Mitglieder angehörten. Die Sponsoren nutzten die Daten, um Werbebriefe an die Mitglieder zu versenden und Werbeanrufe durchzuführen. Die niederländische Aufsichtsbehörde verhängte eine Geldbuße von EUR 525.000 gegen Tennisbond, wogegen Tennisbond Rechtsmittel erhob. Das vorlegende Gericht fragte den EuGH ua, ob eine Datenverarbeitung, die im reinen wirtschaftlichen Interesse des Verantwortlichen liegt, auf die Wahrung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.

Der EuGH hat erwogen: Ziel der DSGVO ist es, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten. Um diesem Ziel gerecht zu werden, muss jede Verarbeitung personenbezogener Daten im Einklang mit den Art 5 und 6 DSGVO stehen. Art 6 Abs 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Art 6 Abs 1 lit b bis f DSGVO sind eng auszulegen, weil in diesen Fällen die Verarbeitung ohne Einwilligung der Betroffenen erfolgt.

Nach Art 6 Abs 1 lit f DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz dieser personenbezogenen Daten erfordern, überwiegen. Ein breites Spektrum von Interessen kann als berechtigt gelten. Der Begriff "berechtigtes Interesse" verlangt nicht, dass das Interesse gesetzlich geregelt sein muss. Ein wirtschaftliches Interesse des Verantwortlichen kann ein berechtigtes Interesse sein, sofern es nicht gesetzwidrig ist.

Die Verarbeitung personenbezogener Daten muss zur Verwirklichung des berechtigten Interesses erforderlich sein. Das berechtigte Interesse darf nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden können, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen. Dem Tennisbond wäre es möglich gewesen, seine Mitglieder im Voraus zu informieren und nachzufragen, ob sie einer Weitergabe ihrer Daten für Werbe- oder Marketingzwecke möchten.

Zu beachten ist insbesondere, dass es sich bei einem der Sponsoren um einen Glücksspielanbieter handelt und die Mitglieder daher der Gefahr der Entwicklung einer Spielsucht ausgesetzt werden könnten.

EuGH 04.10.2024, C-200/23, Agentsia po vpisvaniyata

Handelsregister, Rollenverteilung, immaterieller Schaden

Eine staatliche Agentur veröffentlichte das Gründungsdokument einer Gesellschaft mit beschränkter Haftung, aus dem Vor- und Zuname eines Gesellschafters, seine ID-Nummer samt Ausstellungsort und -datum, seine Adresse sowie seine Unterschrift für die Öffentlichkeit einsehbar waren. Der Gesellschafter wandte sich gegen die Agentur und zog vor Gericht. Das vorlegende Gericht stellte ua Fragen an den EuGH zur Verarbeitung personenbezogener Daten in einem Handelsregister.

Der EuGH hat erwogen: Die mit der Führung des Handelsregisters betraute Behörde eines Mitgliedsstaates, welche die in diesem Register enthaltenen personenbezogenen Daten veröffentlicht, ist sowohl als Empfängerin dieser Daten als auch als datenschutzrechtliche Verantwortliche anzusehen.

Die handschriftliche Unterschrift einer natürlichen Person ist ein personenbezogenes Datum.

Auch eine bloß temporäre Veröffentlichung personenbezogener Daten im Handelsregister eines Mitgliedstaats kann einen immateriellen Schaden auf Seiten der betroffenen Person auslösen, ohne dass der Begriff des "immateriellen Schadens" den Nachweis zusätzlicher konkreter negativer Folgen erfordert.

Eine auf Art 58 Abs 3 lit b DSGVO gestützte Stellungnahme einer Aufsichtsbehörde eines Mitgliedstaats reicht nicht aus, um die für die Führung des Handelsregisters – und als datenschutzrechtliche Verantwortliche zu qualifizierende – zuständige Behörde von einer allfälligen Haftung nach Art 82 DSGVO zu befreien.

EuGH 04.10.2024, C-548/21, Bezirkshauptmannschaft Landeck

StPO, Mobiltelefon, Auswertung

Zollbeamte beschlagnahmten im Rahmen einer Suchtmittelkontrolle ein Paket, in dem sich 85 g Cannabiskraut befanden. Die Kriminalpolizei nahm Ermittlungen gegen einen Tatverdächtigen auf. Die Polizeibeamten stellten das Mobiltelefon des Tatverdächtigen sicher und versuchten, es zu entsperren, um dessen Inhalte und Daten auszulesen. Einer Genehmigung der Staatsanwaltschaft oder eines Gerichts bedurfte es nach der StPO hierfür nicht. Über die versuchte Auswertung der Telefondaten wurde der Tatverdächtige erst in Kenntnis gesetzt, nachdem er Beschwerde gegen die Sicherstellung seines Mobiltelefons erhob.

Das LVwG Tirol fragte den EuGH zum einen, ob (i) der Zugriff öffentlicher Stellen auf sämtliche Daten eines Mobiltelefons einen so schweren Eingriff in das Grundrecht auf Datenschutz bewirke, dass dieser bloß bei der Bekämpfung schwerer Kriminalität erfolgen darf, (ii) ein solcher Zugriff auch ohne vorherige Genehmigung durch ein Gericht oder durch eine unabhängige Verwaltungsstelle erfolgen darf und (iii) die Datenauswertung durchgeführt werden darf, ohne dass der Betroffene hierüber in Kenntnis gesetzt wird.

Der EuGH hat erwogen: Die Grundrechte auf Schutz personenbezogener Daten und auf Achtung des Privat- und Familienlebens gelten grundsätzlich nicht uneingeschränkt, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden. Jegliche Einschränkung ihrer Ausübung muss gemäß Art 52 Abs 1 GRC gesetzlich vorgesehen sein, ihren Wesensgehalt achten sowie den Grundsatz der Verhältnismäßigkeit wahren. Dabei bedarf die Prüfung der Verhältnismäßigkeit eines Grundrechtseingriffs einer Gewichtung aller relevanten Gesichtspunkte des Einzelfalls. Zu diesen Gesichtspunkten zählen ua (i) die Schwere des Grundrechtseingriffs, die von der Natur und der Sensibilität der Daten abhängt, auf die von den zuständigen Sicherheitsbehörden zugegriffen werden kann, (ii) die Bedeutung des damit verfolgten, dem Gemeinwohl dienenden Ziels und (iii) die Verbindung zwischen dem Eigentümer des Mobiltelefons und der in Rede stehenden Straftat.

Die Gewichtung all dieser Gesichtspunkte hat eine unabhängige Stelle vorzunehmen, die über alle Befugnisse verfügt und alle Garantien bietet, die erforderlich sind, um einen gerechten Ausgleich zwischen den berechtigten Interessen zur Kriminalitätsbekämpfung (des Staates) einerseits und der Achtung des Privatlebens und des Datenschutzes (von potenziell Tatverdächtigen) andererseits herzustellen. Diese unabhängige Kontrolle muss – außer in hinreichend begründeten Einzelfällen – grundsätzlich im Vorfeld jedes Versuchs von staatlicher Seite, Zugang zu Daten auf einem Mobiltelefon zu erlangen, erfolgen.

Den behördlichen Zugang zu Daten auf einem Mobiltelefon bloß im Rahmen der Bekämpfung schwerer Kriminalität zuzulassen, könnte die Gefahr der Straflosigkeit von Straftaten bewirken und wäre dem der DSGVO immanenten Ziel der Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts in der Union abträglich.

Bei der Verhältnismäßigkeitsprüfung ist zu beachten, dass jede Einschränkung der Ausübung eines Grundrechts gesetzlich vorgesehen sein muss. Dabei hat die Rechtsgrundlage die Tragweite des Grundrechtseingriffs hinreichend klar und präzise zu definieren. Um diesem Erfordernis zu genügen, muss der nationale Gesetzgeber die zu berücksichtigenden Gesichtspunkte, insb die Art oder die Kategorie der betreffenden Straftaten, konkretisieren.

Daraus folgt, dass eine nationale Regelung, die Behörden den Zugriff zu sämtlichen auf einem Mobiltelefon gespeicherten Daten ermöglicht, dann unionrechtskonform ist, wenn diese Regelung die Art oder die Kategorie der betreffenden Straftaten hinreichend präzise definiert, die Wahrung des Grundsatzes der Verhältnismäßigkeit gewährleistet und der behördliche Zugriff – außer in hinreichend begründeten Einzelfällen – an eine vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle geknüpft ist.

Ein Betroffener ist über den Datenzugriff zu informieren, sobald die Übermittlung dieser Information die Aufklärung einer Straftat nicht (mehr) beeinträchtigen kann.

Rechtsprechung des VwGH

VwGH 03.09.2024, Ro 2022/04/0031

Schule, Art 6 Abs 1 lit e DSGVO, Interessenabwägung

Ein Lehrer einer Berufsschule fühlte sich durch die Veröffentlichung seiner personenbezogenen Daten auf der Schulwebsite in seinem Recht auf Geheimhaltung verletzt. Auf der Website sind der Vor- und Nachname, der akademische Grad und die dienstliche E-Mail-Adresse des Lehrers angegeben, um den Kontakt zwischen Lehrpersonal, Schülern und Erziehungsberechtigten zu erleichtern. Der Lehrer sah darin einen Verstoß gegen Art 5 und Art 6 DSGVO.

Die DSB wies die Datenschutzbeschwerde des Lehrers ab, weil die Veröffentlichung der personenbezogenen Daten des Lehrers auf Art 6 Abs 1 lit e DSGVO gestützt werden konnte. Die Bescheidbeschwerde des Lehrers an das BVwG und seine anschließende Revision an den VwGH wurden jeweils abgewiesen.

Der VwGH hat erwogen: Nach Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Der Zweck der Verarbeitung muss dabei nicht ausdrücklich in einer Rechtsgrundlage festgelegt sein. Daher ist es unerheblich, dass § 56 SchUG keine konkrete Datenverarbeitung normiert. Entscheidend ist, ob die in § 56 SchUG beschriebenen Aufgaben im öffentlichen Interesse liegen und ob die gegenständliche Datenverarbeitung einer dieser Aufgaben dient.

Gemäß § 56 Abs 2 SchUG obliegt dem Schulleiter die Leitung der Schule sowie die Pflege der Verbindung zwischen Schule, Schülern und ihren Erziehungsberechtigten. Diese Aufgaben zielen auf die schulische Qualitätsentwicklung ab und verfolgen letztlich das Ziel, den größtmöglichen Kompetenzerwerb der Schüler zu fördern. Folglich liegen diese Aufgaben im öffentlichen Interesse.

Weiters ermöglichen alternative Kommunikationswege, etwa über das Schulsekretariat oder geschützte Bereiche auf Online-Plattformen, nicht den gleichen Grad an direkter und rascher Kommunikation, wie die Veröffentlichung der E-Mail-Adressen. Darüber hinaus kann bei der Beurteilung der Rechtmäßigkeit der Datenverarbeitung darauf Bedacht genommen werden, dass die dienstliche E-Mail-Adresse nicht den Kernbereich der geschützten Privatsphäre, sondern die Sozialsphäre betrifft, die sich etwa durch die Interaktion mit Außenstehenden auszeichnet. Des Weiteren ist auch die Sensibilität der Daten und die Schwere des Eingriffs zu berücksichtigen.

VwGH 03.09.2024, Ra 2023/04/0042

AMS, Speicherbegrenzung, Rechtsansprüche

Ein Kunde des Arbeitsmarktservice (AMS) erhob bei der DSB eine Datenschutzbeschwerde, weil beim Erstellen eines eAMS-Kontos im Jahr 2019 seine Daten aus einem Geschäftsfall von 1992-1994 vorausgefüllt gewesen seien. Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Verarbeitung der Daten des Kunden zur Erfüllung der Aufgaben des AMS erforderlich war. Das BVwG gab der daraufhin vom Kunden erhobenen Bescheidbeschwerde teilweise statt. Es stellte fest, dass das AMS den Mitbeteiligten in seinem Recht auf Geheimhaltung verletzt habe, indem es die Daten von 1992-1994 ohne Rechtsgrundlage weiterverarbeitet habe. § 25 Abs 9 Arbeitsmarktservicegesetz (AMSG) sehe nämlich eine eindeutige Frist von sieben Jahren für die Aufbewahrung der in § 25 Abs 1 AMSG genannten Daten vor. Das AMS erhob daraufhin eine (erfolglose) Revision an den VwGH und brachte vor, § 25 Abs 9 AMSG würde Art 6 DSGVO einschränken, weil eine zeitliche Beschränkung vorgesehen wird, welche die DSGVO nicht kenne. Außerdem würde die Bestimmung die Ansprüche der Arbeitssuchenden beeinträchtigen, weil sich Ansprüche nicht bloß auf die letzten sieben Jahre beziehen würden.

Der VwGH hat erwogen: Gemäß Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Die Regelung des § 25 AMSG verfolgt das im öffentlichen Interesse liegende Ziel, dem AMS zur Erfüllung seiner gesetzlichen Aufgaben die Aufbewahrung der Daten zu ermöglichen. Die DSGVO erlaubt den Mitgliedstaaten, spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften zu erlassen. Die DSGVO geht somit davon aus, dass Zweckbegrenzungen oder Speicherfristen durch nationale Bestimmungen vorgesehen werden dürfen. § 25 Abs 9 AMSG legt eine Frist von sieben Jahren für die Aufbewahrung der Daten fest. Diese Frist steht im Einklang mit den Bestimmungen der DSGVO. Zudem normiert der Grundsatz der Speicherbegrenzung gemäß Art 5 Abs 1 lit e DSGVO eine zeitliche Begrenzung für die Verarbeitung personenbezogener Daten.

In § 25 Abs 9 zweiter Satz AMSG ist ein Ausnahmetatbestand von der siebenjährigen Frist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vorgesehen. Das BVwG geht davon aus, dass das AMS keine ihm zukommenden Rechtsansprüche aufgezeigt habe. Das AMS bringt vor, dadurch wären die Ansprüche der Arbeitssuchenden gefährdet. Unter dem Begriff "Verteidigung von Rechtsansprüchen" sind auch Fälle zu subsumieren, in denen der Verantwortliche Rechtsansprüche eines Dritten abwehrt oder bestreitet. Jedoch handelt es sich bei § 25 Abs 9 zweiter Satz um eine Ausnahme von der im ersten Satz AMSG vorgesehenen Aufbewahrungsfrist. Das AMS wird somit nicht ermächtigt, die Daten generell länger als sieben Jahre aufzubewahren. Das Vorbringen des AMS, dass die jährlichen Zahlen an Fällen zeigen, dass die Ansprüche der Arbeitssuchenden auf Leistungen nicht auf sieben Jahre befristet wären, ist nicht ausreichend. Das AMS hat keine konkrete Erforderlichkeit der längeren Speicherung der Daten des spezifischen Kunden aufgezeigt.

Die ungenaue oder unrichtige Bezeichnung des Verantwortlichen ist der Unzumutbarkeit seiner Namhaftmachung gleichzuhalten. Ein Mängelbehebungsauftrag ist dem Beschwerdeführer nicht aufzutragen, weil das die Zumutbarkeit der Benennung des Beschwerdegegners voraussetzen würde. Die DSB darf in solchen Fällen den Beschwerdegegner selbst ermitteln und gegen ihn das Verfahren führen. Daraus ergibt sich aber nicht, dass der ermittelte Beschwerdegegner tatsächlich der Verantwortliche ist (VwGH 03.09.2024, Ra 2023/04/0092; Ra 2023/04/0107 ua).
Ein Aussetzungsbescheid der DSB, mit dem das Verfahren "bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses" ausgesetzt wird, ist mangels einfachgesetzlicher Rechtsgrundlage rechtswidrig (VwGH 06.09.2024, Ro 2023/04/0006).

Rechtsprechung des OGH

Einer Bank kann keine Sorgfaltswidrigkeit zur Last gelegt werden, wenn trotz erfolgter starker Kundenauthentifizierung und erstmaliger Blockierung einer verdächtigen Überweisung durch das Transaktionsüberwachungssystem der Bank, der Kunde aufgrund falscher Vorstellungen die Überweisung dennoch (gestückelt in kleinere Beträge) freigibt (OGH 28.08.2024, 7Ob95/24g).

Rechtsprechung des BVwG

Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das BVwG hat in einem solchen Fall den erstinstanzlichen Bescheid ersatzlos zu beheben (BVwG 09.2024, W292 2247490-1; 16.09.2024, W287 2248646-1).
Wird eine Bescheidbeschwerde vor Entscheidung des BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 26.07.2024, W256 2247956-1; W256 2249414-1).

Rechtsprechung der LVwG

Eine Behörde darf durch den behördlich zugelassenen Zustelldienst "Bundesrechenzentrum GmbH" ("MeinPostkorb") eine Strafverfügung zustellen. Entscheidet sich die Behörde jedoch für eine Zustellung ohne Zustellnachweis durch ein Zustellsystem gemäß § 36 ZustG und wird ein Zustellmangel behauptet, liegt es an der Behörde, einer solchen Behauptung entgegenzutreten. Gelingt der Behörde der Nachweis über den Zustellzeitpunkt nicht, ist von einem Zustellmangel auszugehen, der gemäß § 7 ZustG geheilt werden kann (LVwG Steiermark 12.04.2024, 30.5-736/2024).

Vorschau der EuGH-Rechtsprechung

Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Datenschutzmonitor 02.10.2024

Rechtsprechung des EuGH

EuGH 26.09.2024, C-768/21, Land Hessen

Aufsichtsbehörde, Aufsichtsbefugnisse, Ermessen, subjektives Recht, Geldbuße

Eine Bankmitarbeiterin griff mehrmals unbefugt auf die Daten eines ihrer Kunden zu. Die Bank meldete die Datenschutzverletzung gemäß Art 33 DSGVO der zuständigen Aufsichtsbehörde. Den Bankkunden verständigte die Bank nicht. Nachdem der Bankkunde beiläufig erfuhr, dass die Bankmitarbeiterin mehrfach unrechtmäßig auf seine Daten zugegriffen hatte, beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt.

Die Bankmitarbeiterin gab die Daten des Bankkunden an keinen Dritten weiter und verwendete die Daten nicht zum Nachteil des Bankkunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Bankmitarbeiterin. Die Aufsichtsbehörde verneinte daher eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Den Bescheid der Aufsichtsbehörde bekämpfte der Bankkunde vor dem zuständigen Verwaltungsgericht. Das Gericht fragte den EuGH, ob die Aufsichtsbehörde, wenn sie eine Verletzung von Betroffenenrechten feststellt, stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.

Der EuGH hat erwogen: Jede Aufsichtsbehörde ist verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden in aller gebotenen Sorgfalt zu befassen. Zur Bearbeitung von Beschwerden verfügen Aufsichtsbehörden gemäß Art 58 Abs 1 DSGVO über weitreichende Untersuchungsbefugnisse. Bei der Feststellung eines Verstoßes gegen die DSGVO ist eine Aufsichtsbehörde verpflichtet, in geeigneter Weise zu reagieren, um die festgestellte Unzulänglichkeit zu beheben. Die gesetzten Maßnahmen sollen dabei geeignet, erforderlich, verhältnismäßig und den Umständen des Einzelfalls angemessen sein.

Aufsichtsbehörden haben bei der Wahl der Abhilfemaßnahmen ein Ermessen. Dieses Ermessen ist durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Geldbußen können nach Art 58 Abs 2 lit i DSGVO zusätzlich oder anstelle von Maßnahmen verhängt werden, wobei Art, Schwere und Dauer des Verstoßes gebührend zu berücksichtigen sind.

Die Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn das Einschreiten unter Berücksichtigung des konkreten Falls geeignet, erforderlich und verhältnismäßig ist, um einer festgestellten Unzulänglichkeit abzuhelfen.

Weder nach Art 58 Abs 2 DSGVO noch nach Art 83 DSGVO ist eine Aufsichtsbehörde jedoch verpflichtet, im Fall einer festgestellten Verletzung des Schutzes personenbezogener Daten stets eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Die Aufsichtsbehörde hat nur die Verpflichtung, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Der Betroffene hat kein subjektives Recht, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.

Dauert eine Datenschutzverletzung nicht mehr an und wurden schon geeignete technische und organisatorische Maßnahmen getroffen, um diese abzustellen, kann ausnahmsweise vom Ergreifen von Abhilfemaßnahmen, insbesondere von der Verhängung einer Geldbuße, abgesehen werden.

Das Ergreifen einer Abhilfemaßnahme kann ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles nicht geboten sein, wenn (i) der Situation, die einen Verstoß gegen die DSGVO begründete, bereits abgeholfen wurde, (ii) die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO durch den hierfür Verantwortlichen gewährleistet ist und (iii) das Nichteinschreiten der Aufsichtsbehörde nicht geeignet ist, das Erfordernis eines klar durchsetzbaren Rechtsrahmens zum Schutz personenbezogener Daten zu beeinträchtigen.

Rechtsprechung des OGH

OGH 27.08.2024, 6Ob233/23t

Erstkopie, Krankengeschichte, Beschränkung von Betroffenenrechten, Verhältnismäßigkeit

Ein Patient wurde infolge eines Arbeitsunfalls in ein Spital der Stadt Wien eingeliefert. Nach Empfang seines Patientenbriefs ersuchte der Anwalt des Patienten beim Spital, gestützt auf die DSGVO, um eine kostenlose Übermittlung einer Kopie der gesamten Krankengeschichte. Nachdem das Spital dem Ersuchen nicht nachkam, erhob der Patient Klage gegen die Stadt Wien und forderte die Herausgabe einer kostenlosen Kopie seines Patientenakts. Die Stadt Wien wendete ein, dass der Patient gemäß § 17 Abs 4 und § 17a Abs 2 lit g Wiener Krankenanstaltengesetz (WrKAG) nur das Recht auf Einsicht, nicht aber auf die kostenlose Herstellung einer Kopie hätte. Dies diene vor allem dazu, unnötige Anfragen zu verhindern und somit die Verwaltungskosten niedrig zu halten. Nachdem das Erstgericht der Klage stattgab, änderte das Berufungsgericht das Urteil im klagsabweisenden Sinn ab. Der OGH gab der Revision des Klägers Folge, hob die Urteile der Vorinstanzen auf und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück. Es müsse beurteilt werden, ob Art 15 Abs 3 DSGVO durch § 17 Abs 2 lit g WrKAG zulässiger Weise eingeschränkt wird oder als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben hat. Zudem sei eine Interessenabwägung durchzuführen.

Nach erneuter Verhandlung gab das Erstgericht der Klage des Patienten statt. Die Berufung durch die Stadt Wien führte erneut zur Klageabweisung durch das Berufungsgericht. Der Patient wandte sich mit einer durch das Berufungsgericht zugelassenen (erfolgreichen) Revision abermals an den OGH.

Der OGH hat erwogen: Der EuGH hat bereits in seinem Urteil vom 26.10.2023, C-307/22, FT, ausgesprochen, dass Art 15 Abs 3 iVm Art 12 Abs 5 DSGVO das Recht auf eine kostenlose Erstkopie der Krankengeschichte gewährt. Dieses Recht gilt unabhängig vom Zweck des Auskunftsersuchens, auch wenn es zur Geltendmachung von Schadenersatzansprüchen dient. Dieses Recht kann in Fällen des Rechtsmissbrauchs, in denen die Anträge offenkundig unbegründet oder exzessiv sind, eingeschränkt werden. Nach Art 15 Abs 3 DSGVO kann der Verantwortliche ein angemessenes Entgelt verlangen, wenn bereits eine kostenlose Kopie erstellt wurde. Der Patient hat jedoch weder rechtsmissbräuchlich gehandelt noch hat er zuvor eine kostenlose Kopie seiner Krankengeschichte erhalten.

Art 23 Abs 1 DSGVO erlaubt Beschränkungen der Betroffenenrechte gemäß Art 12 und 15 DSGVO zum Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses, worunter auch der Schutz wichtiger wirtschaftlicher und finanzieller Interessen im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit fällt. § 17a Abs 2 lit g WrKAG zielt darauf ab, die wirtschaftliche Belastung von Krankenanstalten zu verringern und liegt im wirtschaftlichen Interesse der öffentlichen Krankenanstalten. Diese Regelung normiert eine Beschränkung des Rechts auf eine kostenlose Erstkopie. Diese Beschränkung muss jedoch verhältnismäßig sein und es muss eine Interessenabwägung vorgenommen werden.

Die Leitlinien der EDSA besagen, dass die Kosten der Auskunftserteilung und die finanzielle Belastung öffentlicher Haushalte kein ausreichendes öffentliches Interesse an der Einschränkung der Betroffenenrechte sind. Die Kosten für die Erstellung und Ausfolgung von Kopien der Krankengeschichten sind im Verhältnis zu den gesamten Verwaltungskosten gering. Das Interesse des Patienten, eine kostenlose Erstkopie seiner Krankengeschichte zu erhalten, überwiegt das finanzielle Interesse der Stadt Wien. Patienten haben ein anerkanntes Recht, ihre Behandlungsunterlagen selbst zu besitzen, um beispielsweise weitere fachliche Meinungen einzuholen oder Ansprüche gegen Dritte prüfen zu können. Dem Argument der Stadt Wien, wonach der Kostenbeitrag einer Steigerung der Anfragen und damit einer Erhöhung des Aufwands entgegenwirken soll, kommt kein Wert zu.

Die Kostenersatzpflicht nach § 17a Abs 2 lit g WrKAG ist somit unverhältnismäßig und unzulässig und hat als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben. Der Patient hat ein Recht auf eine kostenlose Erstkopie der Krankengeschichte. Das klagestattgebende Urteil des Erstgerichts wird wiederhergestellt.

Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob37/24w).

Rechtsprechung des BVwG

Wird von einem Verantwortlichen das Datum "Geschlecht" in seinen IT-Systemen nicht (mehr) verarbeitet, ist es dem Verantwortlichen faktisch unmöglich, das Geschlecht des Antragstellers auf "divers" zu berichtigen. Ist die Verarbeitung des Datums "Geschlecht" auch nicht vorgesehen, ist auch von keinen unvollständigen personenbezogenen Daten iSd Art 16 letzter Satz DSGVO auszugehen. Die Feststellung einer allfälligen vergangenen Rechtsverletzung gemäß Art 16 DSGVO kommt nicht in Betracht, weil weder das DSG noch die DSGVO in Bezug auf das Recht auf Berichtigung die Feststellung vergangener Rechtsverletzungen vorsehen (BVwG 21.08.2024, W108 2283759-1).

Rechtsprechung der LVwG

Das Recht auf Berichtigung einer Eintragung im Zentralen Personenstandsregister (ZPR) ist ein höchstpersönliches Recht des Betroffenen. Nach dem Tod des Berechtigten findet keine Rechtsnachfolge statt, weshalb die Fortsetzung des Verfahrens über dieses Recht durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Parteistellung kommt bei der Aufnahme von Daten ins ZPR nur der Person zu, deren Personenstandsfall im ZPR verdatet (sic) wird. Eine Tochter hat keinen Rechtsanspruch auf die Eintragung und daher auch nicht auf die Berichtigung eines fehlerhaft eingetragenen akademischen Grads ihres Vaters bei der Verdatung (sic) ihres Personenstandsfalls "Geburt". Der Tochter kommt aber ein Recht zu, eine zu Unrecht erfolgte Eintragung eines akademischen Grades eines Elternteils beseitigen zu lassen. Da der akademische Grad des Vaters ohne Rechtsgrundlage und daher zu Unrecht in den Personenstandsfall "Geburt" der Tochter eingetragen wurde, war die Eintragung zu entfernen (LVwG Wien 06.08.2024, VGW-101/042/2543/2024).

Rechtsprechung der DSB

DSB 28.03.2024, 2024-0.215.259

Zuständigkeit, Mandatsbescheid, Untersuchungsausschuss, COFAG

Abgeordnete des Nationalrats verlangten vom Bundesminister für Finanzen ("Finanzminister") die Vorlage des Steueraktes und von der Bundesministerin für Justiz ("Justizministerin") die Vorlage des WKStA-Ermittlungsaktes eines Beschuldigten an den COFAG-Untersuchungsausschuss. Der Beschuldigte brachte eine Datenschutzbeschwerde bei der DSB ein und beantragte die Erlassung eines Mandatsbescheids. Konkret begehrte er die Untersagung jeder weiteren Übermittlung bzw Verarbeitung der Daten in seinem Steuer- und Ermittlungsakt durch den Finanzminister, die Justizministerin und den COFAG-Untersuchungssauschuss.

Der Beschuldigte brachte ua vor, es sei gängige Praxis, dass sämtliche Unterlagen und Daten, die Untersuchungsausschüssen übermittelt werden, veröffentlicht würden, oft durch "Leaks" an Medien. Aufgrund der aktuellen Wahlkämpfe sei damit zu rechnen, dass seine personenbezogenen Daten einer breiten Öffentlichkeit zugänglich gemacht würden.

Die DSB hat erwogen: Die DSB ist zur Kontrolle parlamentarischer Untersuchungsausschüsse berufen, weshalb der Antrag auf Erlassung eines Mandatsbescheids in Bezug auf den COFAG-Untersuchungsausschuss zulässig ist.

Die Erlassung eines Mandatsbescheids erfordert eine materielle Rechtswidrigkeit der Datenverarbeitung. Ein begründeter Verdacht reicht aus, wenn tatsächliche Anhaltspunkte vorliegen, dass eine Datenschutzverletzung vorliegt und dies nachvollziehbar dargelegt wird. Zudem ist erforderlich, dass aufgrund dieser Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen besteht.

Auch wenn personenbezogene Daten des Beschuldigten an Medien übermittelt und offengelegt würden, ist nicht erkennbar, wie diese Gefahrensituation unmittelbar aufgrund der Datenverarbeitung durch den Finanzminister oder die Justizministerin gegeben wäre. Die vermeintliche Gefährdung von Interessen des Beschuldigten wird in der Tätigkeit von Mitgliedern des Untersuchungsausschusses gesehen und nicht in der Datenverarbeitung durch den Finanzminister oder die Justizministerin und liegt daher außerhalb deren Sphären.

Die Weitergabe von Akten an Medien oder Dritte durch Mitglieder des Untersuchungsausschusses ist gesetzlich nicht vorgesehen. Die datenschutzrechtliche Verantwortlichkeit solcher Handlungen trifft somit nicht den COFAG-Untersuchungsausschuss, sondern vielmehr das einzelne Mitglied des Untersuchungsausschusses. Derartige Datenverarbeitungen fallen daher auch nicht in die Sphäre des COFAG-Untersuchungsausschusses. Anm: Ab dem 01.01.2025 übergeht die Kompetenz zur Überprüfung der Datenverarbeitungstätigkeiten parlamentarischer Untersuchungsausschüsse des Bundes auf das neu eingerichtete Parlamentarische Datenschutzkomitee (vgl §§ 35a ff DSG). Die fünf künftigen Mitglieder des Parlamentarischen Datenschutzkomitees wurden am 18.09.2024 benannt und vom Nationalrat gewählt (Hauptausschussbericht 2712 BlgNR 27. GP).

Vorschau der EuGH-Rechtsprechung

Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

September 2024

04.09. | 11.09. | 18.09. | 26.09.

Datenschutzmonitor 26.09.2024

Rechtsprechung des OGH

OGH 26.08.2024, 502Präs26/24d

Amtshaftung, feste Geschäftsverteilung, negativer Kompetenzkonflikt

Der Leiter einer Volksschule reichte im Rahmen der gesetzlich vorgesehenen Fortbildungsverpflichtung einen Antrag auf Zulassung eines Fortbildungsprogramms bei einer pädagogischen Hochschule ein. Der Antrag wurde bewilligt und der Volksschulleiter wurde als "Prozessbegleiter" für das Programm zugeteilt. Ein Lehrer ersuchte um Zuteilung eines anderen "Prozessbegleiters" und verlangte Auskunft über die vom Volksschulleiter über ihn verarbeiteten Daten. Insb wollte der Lehrer erfahren, von wem der Volksschulleiter die Auskunft erhielt, dass der Lehrer "im Bildungsbereich kein unbeschriebenes Blatt" sei und "das öffentliche Bildungswesen infrage" stelle. Die Vorinstanzen wiesen die Klage des Lehrers auf Auskunft und Schadenersatz

Beim OGH wurde das Verfahren dem 6. Senat als für die Fachsache "Datenschutz" zuständigem Senat zugewiesen. Der Vorsitzende des 6. Senats bot das Verfahren dem 1. Senat zur Übernahme an, weil das Verfahren die Frage der Amtshaftung betreffe. Der Vorsitzende des 1. Senats lehnte die Übernahme des Verfahrens ab und regte wegen eines negativen Kompetenzkonflikts die Vorlage des Akts an den Personalsenat an. Der Vorsitzende des 6. Senats beantragte, dass der Personalsenat die Zuständigkeit des 1. Senats ausspreche. Der Personalsenat beschloss jedoch, dass das Verfahren in die Zuständigkeit des 6. Senats fällt.

Der Personalsenat des OGH hat erwogen: Die Vorinstanzen haben ein auf das Datenschutzrecht gestütztes Klagebegehren abgewiesen, sodass nach der Geschäftsverteilung Fachzuständigkeit des 6. Senats besteht. Die Zulässigkeit des Rechtswegs ist eine Prozessvoraussetzung, die beim OGH von dem in der Hauptsache zuständigen Senat zu prüfen ist. Die Geschäftsverteilung weist dem 1. Senat Fragen der Amtshaftung zu, jedoch nicht schlechthin Klagen gegen Rechtsträger im Zusammenhang mit Aufgaben der Hoheitsverwaltung. Zudem war nicht über allgemeine Fragen des Amtshaftungsrechts, sondern darüber zu entscheiden, ob das Amtshaftungsrecht vom europäischen Datenschutzrecht überlagert wird. Darüber sollte der für das Datenschutzrecht als speziellere Materie zuständige Senat entscheiden, dies umso mehr, wenn der Schadenersatzanspruch mit einem datenschutzrechtlichen Auskunftsanspruch verbunden ist. Anm: Gemäß § 4 Bildungsdokumentationsgesetz 2020 sind Schulleiter datenschutzrechtliche Verantwortliche. Weshalb einem Schulleiter als "Prozessbegleiter" eines Fortbildungsprogramms, das an einer pädagogischen Hochschule durchgeführt wird, die Verantwortlichenrolle zukommt, geht aus dem im Urteil knapp dargestellten Sachverhalt jedoch nicht hervor.

Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das gegenständliche Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob217/23i und 6Ob159/23k).

Rechtsprechung des BVwG

BVwG 21.08.2024, W258 2246325-1

Anwendungsbereich, Unzuständigkeit, Schule, COVID

Während der COVID-19-Pandemie hatten zwei Schülerinnen an zwei verschiedenen Schulen im Klassenverband unter der Kontrolle ihrer jeweiligen Lehrer Selbsttests durchzuführen, um am Präsenzunterricht teilnehmen zu dürfen. Die Testmaterialien wurden unmittelbar nach der Durchführung entsorgt. Negative und nicht eindeutige Ergebnisse wurden nicht erfasst. Die rechtliche Grundlage der Tests war eine Verordnung des zuständigen Bundesministers, die auf die Verordnungsermächtigung des § 44 Schulunterrichtsgesetz (SchUG) gestützt war.

Die Schülerinnen führten die Tests in der vorgesehenen Form durch und erzielten dabei keine positiven Ergebnisse. Dennoch erachteten sie sich in ihrem Recht auf Geheimhaltung ua deshalb verletzt, weil § 44 SchUG keine taugliche Gesetzesgrundlage für die herangezogene Verordnung sei. Die DSB wies die Datenschutzbeschwerde der Schülerinnen ab. Die dagegen erhobene Bescheidbeschwerde der Schülerinnen wurde vom BVwG ebenso abgewiesen. Das BVwG änderte den Spruch des angefochtenen Bescheids zudem dahingehend ab, dass die Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird.

Das BVwG hat erwogen: Gemäß Art 2 Abs 1 DSGVO ist die DSGVO nur auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie auf die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, anwendbar. Die Testergebnisse wurden nicht auf Papier oder elektronisch festgehalten, es erfolgte keine automatisierte Verarbeitung oder Speicherung in einem Dateisystem. Der sachliche Anwendungsbereich der DSGVO war daher nicht eröffnet.

Das Grundrecht auf Datenschutz iSd § 1 Abs 1 DSG ist von den technisch-organisatorischen Bedingungen der Verarbeitung unabhängig und ist damit anwendbar. Ein eigenständiges Beschwerderecht besteht jedoch nicht, weil § 4 Abs 1 DSG den Anwendungsbereich der einfachgesetzlichen Bestimmungen des DSG (einschließlich des Beschwerderechts) – wie in der DSGVO – beschränkt. Somit besteht ein materiellrechtlicher Anspruch, der aber mangels eigenständigem Beschwerderecht vor der DSB nicht durchgesetzt werden kann.

Eine Rechtsschutzlücke entsteht hierdurch nicht. Die behauptete Verletzung des § 1 DSG hätte durch Einbringen eines Feststellungsantrags bei der datenverarbeitenden Behörde geltend gemacht werden können. Die behauptete Gesetzeswidrigkeit der Verordnung hätte durch Individualantrag gemäß Art 139 Abs 1 B-VG (Verordnungsprüfungskompetenz des VfGH) an den VfGH aufgegriffen werden können. Die Bedenken der DSB, wonach – sofern man die Zuständigkeit der DSB verneine – die mündliche Offenlegung personenbezogener Daten nicht mehr geschützt wäre, treffen somit nicht zu.

BVwG 27.08.2024, W298 2291640-1

Medien, Amtsverschwiegenheit

Ein Journalist begehrte vom Bundesminister für europäische und internationale Angelegenheiten ("Außenminister") nach dem Auskunftspflichtgesetz die Beantwortung mehrerer Fragen zur Beglaubigung der eidesstattlichen Erklärungen zweier Zeugen, die in einem Strafprozess vorgelegt wurden. Ua aufgrund datenschutzrechtlicher Bedenken verweigerte der Außenminister die Auskunft mit einem Auskunftsverweigerungsbescheid. Dagegen erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die im Auskunftspflichtgesetz geregelte Auskunftspflicht von Bundesorganen umfasst die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens. Das Auskunftspflichtgesetz soll der Partei nur Informationen über bereits vorhandenes Wissen der Behörde, nicht aber eine vorzunehmende Bewertung zugänglich machen. Die Auskunftspflicht beinhaltet auch nicht die Verpflichtung, Akteneinsicht zu gewähren, sondern Informationen über einen Akteninhalt oder ein Wissen der Behörde zu geben. Diese müssen nicht die Detailliertheit aufweisen, die bei Akteneinsicht zu gewähren wäre.

Gegenstand der Anfrage bilden personenbezogene Daten. Die entsprechenden Informationen sind beim Außenminister vorhanden. Durch das Entsprechen des Auskunftsbegehrens wäre jedoch eine unrechtmäßige Beeinträchtigung der Rechte Dritter zu befürchten.

Zur Beurteilung der Frage, ob ein subjektiver Auskunftsanspruch gegenüber dem Rechtsträger besteht, ist der Zweck des Auskunftsersuchens relevant. Dem Journalisten kommt als public watchdog eine besondere Verantwortung zu. Sein journalistisches Interesse besteht gerade darin, zu erfahren, wie die Zeugen ihre Erklärungen abgegeben haben bzw wie sie sich bei der Behörde, dh dem Außenminister, verhalten haben und wie die Amtshandlung zustande gekommen ist. Die eidesstattlichen Erklärungen dienen auch als zitierfähige Quelle für die journalistische Arbeit und haben daher einen Mehrwert gegenüber einer öffentlich verfügbaren Quelle.

Allerdings betreffen die Fragen des Journalisten zweifelsfrei Informationen über die Zeugen. Da dem Journalisten die Identität der Zeugen bekannt ist, kommt keine anonymisierte Auskunft in Frage. Die Beantwortung der Fragen des Journalisten würde sohin eine unrechtmäßige Beeinträchtigung der Rechte Dritter ergeben, weil die den Gegenstand der Anfrage bildenden Daten schutzwürdige personenbezogene Daten von Zeugen sind. Der Umstand, dass die Daten teilweise von einem anderen datenschutzrechtlichen Verantwortlichen zwischenzeitlich auf eine Weise verwendet wurden, die den Inhalt einer breiten Öffentlichkeit zugänglich gemacht hat, bedeutet nicht, dass der Außenminister von den ihn verpflichtenden Geheimhaltungspflichten entbunden ist.

BVwG 21.08.2024, W214 2254151-1

Heizkostenabrechnung, Zuständigkeit

Die Eigentümer einer Wohnung ("Wohnungseigentümer") verwehrten der mit der jährlichen Ablesung von Verbrauchserfassungsgeräten beauftragten Liegenschaftsverwalterin den Zutritt zu ihrer Wohnung, sodass eine Erfassung (Ablesung) der Heiz-, Warmwasser- und Kaltwasserwerte unmöglich war. Daher erfolgte die Einzelabrechnung für diese Wohnung – teilweise – mittels Hochrechnung der Verbrauchswerte, welche die Liegenschaftsverwaltung an die Wohnungseigentümer übermittelte. Die Wohnungseigentümer waren der Ansicht, dass die Verbrauchswerte unrichtig hochgerechnet wurden. Die auf eine Verletzung im Recht auf Berichtigung gestützte Datenschutzbeschwerde wies die DSB ab. Hiergegen erhoben die Wohnungseigentümer (vergeblich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Über Anträge zur Überprüfung der inhaltlichen Richtigkeit einer (Jahres-)Abrechnung entscheidet nach § 25 Abs 1 Z 2 HeizKG das für Zivilrechtssachen örtlich zuständige Bezirksgericht. Das HeizKG enthält sohin abschließende Bestimmungen zu einem eigenen Verfahren zur Richtigstellung der ermittelten Verbrauchsanteile, die der DSGVO als lex specialis derogieren. Die Wohnungseigentümer hätten die behauptete Unrichtigkeit der Einzelabrechnung vor dem zuständigen Bezirksgericht (bzw der vorgeschalteten Schlichtungsstelle) geltend zu machen gehabt.

Abseits dessen war eine Schlichtungsstelle für wohnrechtliche Angelegenheiten mit der monierten Einzelabrechnung befasst und wies die Anträge der Wohnungseigentümer auf Richtigstellung der ermittelten Verbrauchsanteile ab.

Wird einem Betroffenen, nachdem sich dieser über die Nichterteilung einer Auskunft iSd Art 15 DSGVO bei der DSB beschwerte, die begehrte Auskunft erteilt, wird die "Sache" des Verfahrens in ihrem Wesen geändert, wenn sich der Betroffene nicht mehr wegen der Nichterteilung, sondern wegen der mangelhaften Erteilung der Auskunft als beschwert erachtet. Die DSB darf daher von der Zurückziehung der ursprünglichen Datenschutzbeschwerde und der gleichzeitigen Einbringung einer neuen Datenschutzbeschwerde ausgehen (BVwG 21.08.2024, W214 2280448-1).
Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung, (i) ob eine Datenschutzbeschwerde als "Anfrage" iSd Art 57 Abs 4 DSGVO zu qualifizieren ist, (ii) welche Voraussetzungen für die Beurteilung der "Exzessivität" von Anfragen gelten und (iii) wie die DSB mit derartigen Anfragen umzugehen hat. Da diese Fragen auch im vorliegenden Verfahren präjudiziell sind, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 28.08.2024, W287 2297420-1).
Wird die Bescheidbeschwerde gegen ein Straferkenntnis ausdrücklich zurückgezogen, ist das Verfahren mit Beschluss als gegenstandslos einzustellen. Dies bewirkt, dass das angefochtene Straferkenntnis in Rechtskraft erwächst (BVwG 29.08.2024, W101 2276072-1).

Rechtsprechung des BFG

BFG 06.09.2024, AO/5100023/2024

Mutwillensstrafe, Akteinsicht

Bei der Prüfung mehrerer Einkommenssteuerbescheide eines Steuerzahlers holte das BFG zur Prüfung dessen Gesundheitszustands gemäß § 158 BAO ein Sachverständigengutachten vom Sozialministeriumsservice Der Steuerzahler erachtete die Datenerhebung für unzulässig, weil sich § 158 BAO nur auf Abgabenbehörden beziehe. Der Steuerzahler stellte ein Auskunftsbegehren an den Präsidenten des BFG. Das BFG teilte dem Steuerzahler mit, dass seine Bescheidbeschwerde abgewiesen wurde und er die Rechtmäßigkeit einzelner Verfahrensschritte durch das Einbringen eines entsprechenden Rechtsmittels hätte überprüfen lassen können, worüber er auch belehrt wurde. Weiters wies das BFG darauf hin, dass für personenbezogene Daten, die in einem Akt enthalten sind, das datenschutzrechtliche Auskunftsrecht gemäß § 48f BAO ausgeschlossen ist, der Steuerzahler könne jedoch Akteneinsicht nehmen. Den Antrag auf Akteneinsicht könne der Steuerzahler bei der Außenstelle Linz des BFG einbringen. Der Steuerzahler richtete ein beinahe wortidentes Schreiben – wie zuvor an den Präsidenten des BFG – an den Leiter der Außenstelle Linz des BFG. Das BFG verhängte daraufhin eine Mutwillensstrafe über den Steuerzahler.

Das BFG hat erwogen: Der Antragsteller erhielt bereits vom Präsidenten des BFG eine fundierte Antwort auf seine Anfrage. Nunmehr richtet der Steuerzahler ein nahezu wortidentes Anbringen an den Leiter der Außenstelle Linz des BFG.

Das BFG kann eine Mutwillensstrafe gegen eine Person verhängen, die offenbar mutwillig die Tätigkeit des BFG in Anspruch nimmt. Nachdem eine nahezu wortidente Eingabe des Steuerzahlers durch das Präsidialbüro des BFG beantwortet wurde, wendet sich der Steuerzahler mit dem gleichen Anliegen an den Leiter der Außenstelle Linz des BFG. Ein solches Vorgehen ist eine bewusste nutzlose Behelligung gerichtlicher Organe, weil mit mehrfachen, nahezu wortidenten Anbringen kein sinnvolles und hinsichtlich des gegenständlichen Auskunftsbegehrens zweckmäßiges Verfahrensergebnis erreicht werden kann. Anm: Da der Präsident des BFG den Steuerzahler ausdrücklich an die Außenstelle Linz des BFG zur Akteneinsicht verwies, ist der Vorwurf der Mutwilligkeit nicht ganz nachvollziehbar, auch wenn der Steuerzahler sein Schreiben zweifellos hätte anpassen können.

Rechtsprechung des DSB

DSB 05.09.2024, 2023-0.793.494

Grundbuch, Rollenverteilung, Gemeinsam Verantwortliche, justizielle Tätigkeit

Der Betroffene brachte eine Datenschutzbeschwerde gegen (i) ein Medienhaus, (ii) die Bundesministerin für Justiz ("Justizministerin") und (iii) ein Bezirksgericht ein. Er fühlte sich in seinem Recht auf Geheimhaltung verletzt, weil das Medienhaus auf seiner Website im Namen der Justizministerin das Grundbuch veröffentlicht und neben dem Grundbuchsauszug auch persönliche Daten und Urkunden gegen Entgelt an beliebige Personen im Internet verkauft. Das Medienhaus wendete ein, von der Republik Österreich, vertreten durch die Justizministerin, zur Veröffentlichung beauftragt worden zu sein und lehnte die Löschung ab, weil es bloß als Auftragsverarbeiter tätig werde.

Die Justizministerin bestritt ebenfalls ihre Verantwortlicheneigenschaft, weil sie bloß die technischen Ressourcen zur Verfügung stelle und ihr keine Entscheidungsbefugnis zukäme. Zudem sei die Datenverarbeitung im Grundbuch eine justizielle Tätigkeit, weshalb die DSB nicht zuständig sei.

Auch das Bezirksgericht hielt in seiner Stellungnahme fest, dass die Bereitstellung von Urkunden in einer Urkundensammlung im Rahmen der justiziellen Tätigkeit nach Art 55 Abs 3 DSGVO erfolge und der DSB daher keine Überprüfungskompetenz zukomme.

Die DSB hat erwogen: Verantwortlicher iSd Art 4 Z 7 DSGVO ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wesentliches Kriterium ist hierbei die Entscheidungsbefugnis. Auftragsverarbeiter iSd Art 4 Z 8 DSGVO hingegen ist jene Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei weisungsgebunden ist.

Das Medienhaus gewährleistet nur den Zugang zur Grundstücksdatenbank über IT-Anwendungen aufgrund einer Vereinbarung mit der Republik Österreich. Es hat keine Entscheidungsgewalt über die Daten/Dokumente in der Grundstücksdatenbank und leitet die Inhalte unverändert weiter. Aufgrund der Weisungsgebundenheit und der mangelnden Entscheidungsgewalt ist es ein Auftragsverarbeiter. Die Datenschutzbeschwerde gegen das Medienhaus ist daher abzuweisen.

Die Justizministerin ist gemäß § 1 Abs 1 Grundbuchsumstellungsgesetz (GUG) für die Umstellung des Grundbuchs auf automationsunterstützte Datenverarbeitung verantwortlich. Sie betreibt die Grundstücksdatenbank als Gemeinsam Verantwortliche. Sie hat jedoch keine Entscheidungsgewalt über die Aufnahme der Daten/Dokumente in die Grundstücks- bzw Urkundendatenbank. Diese Entscheidung trifft ausschließlich das örtlich zuständige Grundbuchsgericht. Die Justizministerin ist für diese Verarbeitungstätigkeiten keine Verantwortliche gemäß Art 4 Z 7 DSGVO. Die Datenschutzbeschwerde ist daher auch gegen die Justizministerin abzuweisen.

Gemäß Art 55 Abs 3 DSGVO sind Aufsichtsbehörden nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig. Die Grundbuchsnovelle 2024, mit der das GUG novelliert wurde, sieht vor, dass das Grundbuchsgericht über Anträge auf Beschränkung der Einsicht in Urkunden der Urkundensammlung entscheidet. Da es sich hierbei um eine justizielle Tätigkeit handelt, ist die DSB zur Behandlung der Datenschutzbeschwerde gegen das Bezirksgericht unzuständig, weshalb die Datenschutzbeschwerde gegen das Bezirksgericht zurückzuweisen ist. Anm: Mit der am 01.09.2024 in Kraft getretenen Grundbuchsnovelle 2024, BGBl I 2024/91, reagierte der Gesetzgeber auf das Urteil des EGMR vom 06.04.2021, 5434/17, Liebscher/Österreich, in dem Österreich vom EGMR wegen einer ohne Interessenabwägung erfolgten Veröffentlichung eines Scheidungsvergleichs in der Urkundensammlung des Grundbuchs verurteilt wurde (ErläutRV BlgNR27. GP 1; Fucik, Keine Grundbuchseinsicht in sensible Daten, ÖJZ 2024/109).

Rechtsakte

Am 19.09.2024 hat Oberösterreich, LGBl 2024/77, die Genehmigung der Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart

Vorschau der EuGH-Rechtsprechung

Am 26.09.2024 wurde das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH sprach über die Ausübung von Aufsichtsbefugnissen durch die Aufsichtsbehörden ab. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors vom 17.04.2024 nachgelesen werden. Über das Urteil informieren wir Sie nächste Woche.
Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Datenschutzmonitor 18.09.2024

Rechtsprechung des EuGH

EuGH 12.09.2024, C-17/22 ua, HTB Neunte Immobilien

Gesellschaftsrecht, Rechtsgrundlagen, vertragliche Verpflichtung, berechtigte Interessen

Mehre an einem als Publikumspersonengesellschaft organisierten Investmentfonds beteiligte Investmentgesellschaften verlangten von zwei treuhänderischen Beteiligungsgesellschaften Auskunft über Namen und Adressen aller ihrer mittelbar beteiligten Mitgesellschafter. Die Investmentgesellschaften verlangten diese Auskunft, um mit den anderen Gesellschaftern Kontakt aufnehmen und über den Abkauf ihrer Gesellschaftsanteile in Verhandlungen treten zu können. Die Beteiligungsgesellschaften lehnten die Auskunft ab, weil im Beteiligungsvertrag die Auskunftserteilung ausgeschlossen wurde. Das vorlegende Gericht fragte den EuGH, ob die Auskunft auf die Erfüllung einer vertraglichen Verpflichtung iSd Art 6 Abs 1 lit b DSGVO oder auf das berechtigte Interesse iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.

Der EuGH hat erwogen: Eine Datenverarbeitung ist für die Erfüllung eines Vertrags dann erforderlich, wenn der Verantwortliche nachweisen kann, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden kann. Die Daten müssen zur ordnungsgemäßen Erfüllung des Vertrags wesentlich sein. Für die Verarbeitung der Daten darf keine praktikable und weniger einschneidende Alternative bestehen. Wenn in Beteiligungs- und Treuhandverträgen die Weitergabe von Daten anderer Gesellschafter ausdrücklich ausgeschlossen ist, ist eine Weitergabe der Daten für die Erfüllung des Vertrags nicht erforderlich. Die Datenübermittlung kann daher nicht auf die Vertragserfüllung gestützt werden.

Bei der im Einzelfall durchzuführenden Interessenabwägung nach Art 6 Abs 1 lit f DSGVO ist das Interesse eines an dem Investmentfonds beteiligten Gesellschafters am Erhalt der Daten den Interessen anderer Gesellschafter an der Geheimhaltung ihrer Daten gegenüberzustellen. Ein Interesse der an einem Investmentfonds beteiligten Gesellschafter an einer Kontaktaufnahme wegen des Erwerbs ihrer Anteile kann nicht ausgeschlossen werden. Eine Verarbeitung der Daten im berechtigten Interesse muss jedoch zum Zeitpunkt der Erhebung der Daten erwartbar sein und darf für den Betroffenen nicht überraschend erfolgen. Ist die Weitergabe von Daten an andere Gesellschafter in einem Vertrag ausdrücklich ausgeschlossen, können die Gesellschafter nicht damit rechnen, von anderen Gesellschaftern kontaktiert zu werden.
Eine Datenverarbeitung gestützt auf Art 6 Abs 1 lit c DSGVO ist dann gerechtfertigt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt. Das Recht des Mitgliedstaats kann dabei auch die nationale Rechtsprechung umfassen. Die Rechtsprechung muss aber klar, präzise formuliert und für die Rechtsunterworfenen vorhersehbar sein und ein im öffentlichen Interesse liegendes Ziel verfolgen, zu dem sie in einem angemessenen Verhältnis steht.

EuGH Schlussanträge 12.09.2024, C‑203/22, Dun & Bradstreet

Automatisierte Entscheidung, Bonität, Auskunft

Einer Betroffenen wurde von einem Mobilfunkanbieter wegen mangelnder Bonität der Abschluss bzw die Verlängerung eines Mobilfunkvertrags verweigert. Die Bonitätsdaten wurden dem Mobilfunkanbieter von einer Bonitätsauskunftei zur Verfügung gestellt, die die Bonitätsbeurteilung automatisiert durchgeführt hat. Die DSB gab dem Antrag der Betroffenen auf Erteilung relevanter Informationen über die der automatisierten Entscheidungsfindung zugrunde liegende Logik statt. Das BVwG bestätigte teilweise die Entscheidung der DSB und stellte fest, dass das Auskunftsrecht der Betroffenen gemäß Art 15 Abs 1 lit h DSGVO verletzt wurde, weil ihr keine aussagekräftigen Informationen über die bei der automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten involvierte Logik zur Verfügung gestellt wurde. Die Betroffene beantragte beim Magistrat der Stadt Wien die Zwangsvollstreckung dieser Entscheidung, die abgelehnt wurde. Nach Einlegen eines Rechtsbehelfs beim LVwG Wien ersuchte dieses den EuGH um Vorabentscheidung.

Der Generalanwalt hat erwogen: Das Auskunftsrecht des Art 15 Abs 1 lit h DSGVO muss es der Betroffenen ermöglichen, ihre Rechte aus Art 22 DSGVO wahrzunehmen, die sich speziell auf eine Situation beziehen, in welcher die Betroffene einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird. Die Aussagekraft von Informationen setzt voraus, dass diese Informationen präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind. Zudem müssen sie hinreichend vollständig und kontextbezogen sein, um es der Betroffenen zu ermöglichen, ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen.

Grundsätzlich muss der – naturgemäß technische – Prozess, der zu dieser Entscheidung geführt hat, verständlich gemacht werden. Der Verantwortliche ist aber nicht verpflichtet, Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen ohne besondere technische Fachkenntnisse nicht nachvollzogen werden können. Dies gilt etwa für Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung eingesetzt werden. Der betroffenen Person sind Informationen über den Entscheidungsprozess, über die Gründe für das Ergebnis dieser Entscheidung und damit über die verwendete Methode und die berücksichtigten Kriterien sowie deren Gewichtung bereitzustellen, nicht aber die verwendeten Algorithmen ausführlich zu erläutern oder der gesamte Algorithmus offenzulegen.

EuGH Schlussanträge, C-383/23 12.09.2024, ILVA (Amende pour violation du RGPD)

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

Über die dänische Möbelhauskette ILVA, ein Tochterunternehmen der übergeordneten Lars Larsen Group, verhängte das Bezirksgericht Aarhus infolge einer Verletzung der DSGVO eine Geldbuße. Gegen diese Entscheidung legte die Staatsanwaltschaft Berufung an das vorlegende Gericht ein und vertrat die Ansicht, dass für die Berechnung der Geldbuße nicht nur der Umsatz des Tochterunternehmens ILVA, sondern der Gesamtumsatz der Lars Larsen Unternehmensgruppe zu berücksichtigen sei. Das vorlegende Gericht fragte nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Der Generalanwalt hat erwogen: Bei der Verhängung von Geldbußen nach der DSGVO sind die wesentlichen Garantien eines Strafverfahrens einzuhalten. Aus der Rechtsprechung des EuGH lässt sich ableiten, dass der Grundsatz der Verhältnismäßigkeit einer der fundamentalen Grundsätze des Unionsrechts ist und bei dessen Anwendung vor nationalen Gerichten und Behörden beachtet werden muss. Der Grundsatz der Verhältnismäßigkeit verpflichtet die Mitgliedstaaten, Maßnahmen zu ergreifen, die zur Erreichung der verfolgten Ziele geeignet sind und nicht über das hinausgehen, was für die Zielerreichung erforderlich ist.

Aus der Rechtsprechung des Gerichtshofs geht klar hervor, dass der Grundsatz der Verhältnismäßigkeit erstens erfordert, dass die verhängte Strafe der Schwere der Straftat entspricht, und zweitens, dass bei der Festsetzung der Strafe und der Höhe der Geldbuße die individuellen Umstände des konkreten Falls berücksichtigt werden. Nach der Rechtsprechung des EGMR haben die Mitgliedsstaaten die Pflicht, sicherzustellen, dass die verhängte Strafe nicht überschießend – und somit unverhältnismäßig – ist.

Bei der Festsetzung des Höchstbetrags einer Geldbuße soll der Begriff "Unternehmen" den Art 101 und 102 AEUV entsprechen. Daher wird der weltweite Gesamtjahresumsatz des Unternehmens berücksichtigt, zu dem der Verantwortliche oder der Auftragsverarbeiter gehört.

Bei der Bestimmung der tatsächlich zu verhängenden Geldbuße muss das nationale Gericht jedoch die speziellen Umstände zur Entscheidungsfindung berücksichtigen und sicherstellen, dass der Grundsatz der Verhältnismäßigkeit beachtet wird, wobei ein angemessener Ausgleich zwischen den Erfordernissen des allgemeinen Interesses der Gemeinschaft am Schutz personenbezogener Daten und den Erfordernissen des Schutzes der Grundrechte des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, zu dem dieser gehört, hergestellt wird.

EuGH Schlussanträge 12.09.2024, C-247/23, Deldits

Transgender, Berichtigung, Register

Ein Transgender-Mann mit iranischer Staatsangehörigkeit, der als "Frau" geboren wurde, erhielt in Ungarn die Flüchtlingseigenschaft. Die Fremdenpolizei nahm personenbezogene Daten, einschließlich des Geschlechts (weiblich), in das Flüchtlingsregister auf. Der Transgender-Mann beantragte unter Vorlage von Bescheinigungen von Psychiatern und Gynäkologen die Berichtigung des Registers gemäß Art 16 DSGVO, was abgelehnt wurde, weil keine geschlechtsangleichende Operation nachgewiesen wurde. Über die daraufhin erhobene Klage des Transgender-Mannes, fragte das vorlegende Gericht den EuGH, ob die Stelle, die ein nationales Register führt, die Daten einer Betroffenen zu berichtigten hat, wenn sich deren Daten, seit deren Eintragung ins Register geändert haben und bejahendenfalls, welche Nachweise die Betroffene zu erbringen hat.

Der Generalanwalt hat erwogen: Art 5 Abs 1 lit d DSGVO verlangt, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Art 16 DSGVO gibt der betroffenen Person das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Die Eintragung des Geschlechts als "weiblich" ist unrichtig, weil sich die Person als Transgender-Mann identifiziert und entsprechende Nachweise vorgelegt hat. Art 8 Abs 2 der EU-Grundrechtecharta garantiert das Recht auf Berichtigung der Daten, Art 16 DSGVO spiegelt dieses Recht wider und trägt zur Einhaltung des Grundsatzes der Richtigkeit bei. Die Richtigkeit der Daten hängt vom Kontext und dem Zweck der Datenerhebung ab.

Das Flüchtlingsregister dient der Identifizierung, und das Geschlecht gehört zu den Identifikationsdaten natürlicher Personen. Art 16 DSGVO verlangt nicht, dass eine Person eine geschlechtsangleichende Operation nachweist, um die Berichtigung ihrer Daten zu beantragen. Der EGMR verurteilt die Auferlegung eines solchen Erfordernisses, weil es die vollständige Ausübung des Rechts auf Achtung des Privatlebens von der Aufgabe des Rechts auf körperliche Unversehrtheit abhängig macht. Eine Betroffene, die die Berichtigung von Daten beantragt, muss zwar Nachweise vorlegen, um die Unrichtigkeit einer fehlerhaften Eintragung nachzuweisen, aber sie muss nicht nachweisen, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat.

Rechtsprechung des BVwG

BVwG 21.08.2024, W176 2281424-1

Exekution, justizielle Tätigkeit, Zustellung

Der Schuldner eines Exekutionsverfahrens beantragte beim Bezirksgericht die Aufschiebung der Exekution und eine Zustellung in kroatischer Sprache. Zudem gab er dem Gericht bekannt, einen sechswöchigen Rehabilitationsaufenthalt anzutreten und beantragte, dass in diesem Zeitraum keine Zustellungen verfügt werden mögen. Das Bezirksgericht lehnte den Aufschiebungsantrag mit Beschluss ab und trug dem Schuldner auf, für die Dauer seines Rehabilitationsaufenthalts eine zustellfähige Adresse bekanntzugeben, widrigenfalls eine Hinterlegung ohne vorhergehenden Zustellversuch erfolgen werde.

Dieser Aufforderung des Gerichts kam der Schuldner nicht nach. Daher stellte die zuständige Richterin des Exekutionsverfahrens ein Ersuchen an den zuständigen Rechtsträger um Bekanntgabe, in welcher Einrichtung sich der Schuldner befinde. Nachdem der Rechtsträger dem Ersuchen nachkam, wurden die Unterlagen des Exekutionsverfahrens dem Schuldner zugestellt. Dieser sah sich dadurch in seinem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB gegen das Bezirksgericht ein.

Das Bezirksgericht brachte in seiner Stellungnahme vor, im Rahmen seiner justiziellen Tätigkeit agiert zu haben, weshalb die DSB gemäß Art 55 Abs 3 DSGVO unzuständig sei. Die DSB führte in ihrem Bescheid aus, grundsätzlich für die Datenschutzbeschwerde zuständig zu sein. Es handle sich nämlich um keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO, sondern lediglich um die Vollstreckung des Exekutionstitels durch Zwangsmittel. Die Datenschutzbeschwerde sei jedoch abzuweisen, weil das Bezirksgericht gemäß § 8 Abs 2 ZustG berechtigt war, den Aufenthaltsort des Schuldners zu ermitteln. Die Bescheidbeschwerde des Schuldners wurde vom BVwG abgewiesen und das BVwG änderte den Spruch des Bescheids dahingehend ab, dass die Datenschutzbeschwerde zurückgewiesen wird.

Das BVwG hat erwogen: Der Vollzug der Exekution ist eine justizielle Tätigkeit, weil dabei weiterhin die richterliche Unabhängigkeit zu wahren ist. Zudem wird der Vollzug der Exekution nach den Bestimmungen der Exekutionsordnung im Auftrag und unter der Leitung des Gerichts durchgeführt. Die Zustellung von Schriftstücken in einem Exekutionsverfahren ist ebenso eine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO.

Die DSB war sohin zur Prüfung der Verletzung im Recht auf Geheimhaltung durch das Bezirksgericht unzuständig. Die Unzuständigkeit der DSB ist gemäß § 27 VwGVG vom BVwG von Amts wegen aufzugreifen, unabhängig davon, ob dies in der Bescheidbeschwerde eingewendet wird oder nicht. Bei einer Unzuständigkeit der Behörde haben die Verwaltungsgerichte den Bescheid grundsätzlich ersatzlos zu beheben. Infolge des ersatzlosen Behebens darf die Behörde über den gleichen Gegenstand nicht erneut entscheiden. Da dem Bescheid der DSB jedoch ein Parteiantrag zugrunde liegt, ist eine kassatorische Entscheidung nicht zulässig. Daher war die Datenschutzbeschwerde des Schuldners durch das BVwG zurückzuweisen.

BVwG 19.08.2024, W108 2286821-1

Altstoffsammelzentrum, Interessenabwägung

Ein Abfallbesitzer fuhr in ein Altstoffsammelzentrum (ASZ), um dort einen Sack mit künstlichen Mineralfasern und Verpackungsmaterial zu entsorgen. Ein Mitarbeiter des ASZ machte den Abfallbesitzer darauf aufmerksam, dass – mit Ausnahme von Verpackungsmaterial – nur die Bewohner einer bestimmten Stadt ihren Müll in diesem ASZ entsorgen dürfen. Nachdem der Abfallbesitzer dies ignorierte und den Sack mit künstlichen Mineralfasern im ASZ liegen ließ, erhielt er per Post eine Rechnung für seine Abfallentsorgung, die seiner Meinung nach zu hoch war.

Der Abfallbesitzer brachte Datenschutzbeschwerde ein, weil das ASZ seines Erachtens die Zulassungsdaten des von ihm gelenkten Pkw für die Zusendung der Rechnung nicht hätte erheben dürfen. Das ASZ führte in seiner Stellungnahme aus, es sei bereits in der Einfahrt klar erkennbar gewesen, dass der Abfallbesitzer keine Berechtigung zur Müllentsorgung in dem ASZ hatte. Die Kosten seien angemessen, weil die Entsorgung gefährlicher Abfälle erhebliche Kosten verursacht. Gegen den abweisenden Bescheid der DSB brachte der Abfallbesitzer eine (erfolglose) Bescheidbeschwerde ein.

Das BVwG hat erwogen: Die Erhebung der Zulassungsdaten des vom Abfallbesitzer gelenkten Fahrzeugs ist eine Verarbeitung personenbezogener Daten. Das ASZ ist als Verantwortlicher iSd Art 4 Z 7 DSGVO zu qualifizieren. Das Grundrecht auf Datenschutz umfasst auch den Schutz vor der Ermittlung und Weitergabe personenbezogener Daten. Die Ausforschung des Zulassungsbesitzers durch ein Ersuchen an die Bezirkshauptmannschaft berührt daher jedenfalls das Recht auf Geheimhaltung gemäß § 1 DSG.

Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen. Das ASZ hat ein berechtigtes Interesse an der Erhebung der Daten, um die entstandenen Kosten für die unrechtmäßige Abfallentsorgung weiterverrechnen zu können. Der Abfallbesitzer hat den Sack Mineralwolle trotz Hinweis des Mitarbeiters, dass dies nur für Bürger der Stadt erlaubt sei, im ASZ zurückgelassen. Dadurch sind ein erheblicher Aufwand und Kosten für die ordnungsgemäße Entsorgung entstanden, zumal es sich um Abfall einer gefährlichen Art handelte. Die Verarbeitung der personenbezogenen Daten des Abfallbesitzers war erforderlich, um die Forderung gegen ihn zu betreiben. Es gab keine alternativen Mittel zur Ermittlung der benötigten Daten.

Die erhobenen Daten waren weder sensible noch strafrechtlich relevante Daten. Der Abfallbesitzer musste mit einer Verarbeitung seiner Daten rechnen, weil er den Abfall unerlaubterweise zurückgelassen hat. Die berechtigten Interessen des ASZ überwogen daher die Interessen des Abfallbesitzers an der Geheimhaltung seiner personenbezogenen Daten. Die Verarbeitung war auch verhältnismäßig und auf das notwendige Maß beschränkt.

Überdies kann sich das ASZ auf Art 6 Abs 1 lit e DSGVO stützen, weil es gemäß § 8 der Abfallordnung der Stadt, die aufgrund des § 6 Oö Abfallwirtschaftsgesetzes 2009 erlassen wurde, im öffentlichen Interesse handelt und eine gesetzliche Aufgabe erfüllt. Im Zusammenhang mit dieser Aufgabe ist das ASZ jedenfalls berechtigt, personenbezogene Daten zu erheben und zu verarbeiten, wenn etwa unzulässigerweise gefährlicher Abfall hinterlassen wird.

Beim Versand einer unerbetenen Werbeemail kommt keine Ermahnung in Betracht, denn die Bedeutung des strafrechtlich geschützten Rechtsguts ist in Ansehung des Strafrahmens iHv bis zu EUR 50.000 nicht als gering zu betrachten. Wurde aufgrund der Werbeemail eine Anzeige erstattet, kann auch von keiner völlig unerheblichen Störung ausgegangen werden, weil der Empfänger beim Ausbleiben der Störung keine Anzeige erstattet hätte (BVwG 08.08.2024, W282 2289350-1).
Setzt ein Arbeitsloser keine Bemühungen zum Erlangen einer ihm zugewiesenen konkreten Arbeitsstelle, sind datenschutzrechtliche Einwände nicht geeignet, um das Unterlassen der Bewerbung zu rechtfertigen (BVwG 17.05.2024, G305 2282006-1).

Vorschau EuGH-Rechtsprechung

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors vom 17.04.2024 nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Datenschutzmonitor 11.09.2024

Rechtsprechung des EuGH

EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde

Ein Betroffener erachtete sich in seinem Auskunftsrecht verletzt, weil der Verantwortliche nicht innerhalb eines Monats auf sein Auskunftsersuchen geantwortet hat und erhob Datenschutzbeschwerde gemäß Art 77 Abs 1 DSGVO bei der DSB. Da er innerhalb von 20 Monaten bereits 77 ähnliche Datenschutzbeschwerden gegen verschiedene Verantwortliche eingereicht hat, die ebenfalls nicht fristgerecht auf seine Auskunfts- oder Löschersuchen reagiert haben sollen, stufte die DSB seine Datenschutzbeschwerde als exzessiv ein und verweigerte deren Bearbeitung. Das BVwG behob den Bescheid der DSB, die daraufhin Revision beim VwGH einlegte. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Anfrage iSd Art 57 Abs 4 DSGVO als exzessiv gilt.

Der Generalanwalt hat erwogen: Die Begriffe "Anfrage" bzw "Anfragen" iSd Art 57 Abs 4 DSGVO erfassen auch Beschwerden an die Datenschutz-Aufsichtsbehörden.

Um ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, ist ein ordnungsgemäßes Funktionieren der Aufsichtsbehörden sicherzustellen, indem verhindert wird, dass diese durch das Einreichen offenkundig unbegründeter oder exzessiver Beschwerden behindert werden. Die Bestimmung des Art 57 Abs 4 DSGVO ermöglicht den Aufsichtsbehörden, mit solchen Beschwerden speziell umzugehen und dadurch die Belastung zu verringern, die solche Beschwerden auslösen können.

Ein Schwellenwert, ab dem Beschwerden allein aufgrund ihrer Anzahl als exzessiv eingestuft werden könnten, würde die Betroffenenrechte beeinträchtigen. Da Art 57 Abs 4 DSGVO eng auszulegen ist, reicht die bloße Berücksichtigung der Anzahl der Beschwerden, so groß sie auch sein mag, als Rechtfertigung für die Anwendung dieser Bestimmung durch eine Aufsichtsbehörde nicht aus. Für die Feststellung, dass eine exzessive Anfrage vorliegt, ist eine missbräuchliche Absicht der Person, die die Beschwerden einreicht, nachzuweisen. Die Aufsichtsbehörde hat nachzuweisen, dass die Beschwerden nicht dem Schutz der Rechte aus der DSGVO dienen, sondern einem anderen Zweck, etwa dem Versuch, die Behörde zu überlasten.

Bei exzessiven Anfragen kann die Aufsichtsbehörde wählen, ob sie eine angemessene Gebühr verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Diese Wahl darf die Aufsichtsbehörde jedoch nicht nach freiem Ermessen und ohne Begründung treffen. In Hinblick auf den Verhältnismäßigkeitsgrundsatz, auf das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten und auf die Verpflichtung der Behörden, sich mit aller gebotenen Sorgfalt mit Beschwerden zu befassen, sollte vorranging eine angemessene Gebühr in Betracht gezogen werden, weil dadurch die Rechte der Betroffenen in geringerem Maße beeinträchtigt werden.

Rechtsprechung des BVwG

BVwG 31.07.2024, W108 2280724-1

Ein Nutzer brachte wegen behaupteter Mangelhaftigkeit des Cookie-Banners auf einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Der Nutzer monierte ua, dass auf der ersten Ebene des Cookie-Banners keine "Ablehnen"-Schaltfläche vorhanden war und die Einwilligung nicht ebenso einfach widerrufen wie erteilt werden konnte. Die DSB wies die Datenschutzbeschwerde teilweise ab und teilweise zurück. Gleichzeitig erteilte die DSB dem Websitebetreiber von Amts wegen die Aufträge, seinen Cookie-Banner und die damit verbundenen Datenverarbeitungen auf näher umschriebene Weise anzupassen. Der Websitebetreiber erhob Bescheidbeschwerde an das BVwG, entsprach jedoch während des laufenden Verfahrens vor dem BVwG den Leistungsaufträgen der DSB. Das BVwG gab der Bescheidbeschwerde daher statt und hob den angefochtenen Bescheid ersatzlos auf.

Das BVwG hat erwogen: Gemäß Art 7 Abs 3 DSGVO hat der Widerruf der Einwilligung genau so einfach zu sein, wie das Erteilen der Einwilligung. Der Websitebetreiber hat die Website in der Zwischenzeit angepasst. Im Cookie-Banner wird darauf hingewiesen, dass am Seitenende ein Link "Cookie Einstellungen und Widerruf" zu finden ist, über den die Einwilligung widerrufen werden kann. Diese Anpassung entspricht den gesetzlichen und behördlichen Vorgaben, auch wenn auf einen Link geklickt werden muss und der Nutzer erst auf einer "zweiten Ebene" die Einstellungen und den Widerruf findet. Einem durchschnittlich informierten Verbraucher ist das zumutbar.

Der Websitebetreiber hat auch die Datenverarbeitung angepasst und setzt beim Aufruf der Website, bevor eine Einwilligung abgegeben wurde, nur mehr technisch notwendige Cookies. Diese Cookies sind für die Diensterbringung unbedingt erforderlich und können demgemäß ohne Einwilligung gesetzt werden. Da technisch nicht notwendige Cookies erst nach Erteilen der Einwilligung gesetzt werden, hat der Websitebetreiber auch diesem Leistungsauftrag der DSB entsprochen.

Anm: Leistungsaufträgen der DSB im laufenden Verfahren vor dem BVwG zu entsprechen, kann eine gute Strategie sein. Denn die Leistungsaufträge der DSB sind Anweisungen iSd Art 83 Abs 6 DSGVO. Wird ein Leistungsauftrag rechtskräftig und ist der Betroffene der Ansicht, dass dem Auftrag nicht (vollständig) entsprochen wurde, kann er Exekution führen oder bei der DSB die Einleitung eines Verwaltungsstrafverfahrens anregen.

BVwG 10.07.2024, W298 2261830-1

Während der Corona-Pandemie sind die Mitarbeiter einer Behörde per E-Mail instruiert worden, ihren Arbeitsplatz ohne FFP2-Maske nur mit einem negativen Antigen-Test zu betreten. Die Testergebnisse konnten die Mitarbeiter in einer Datenbank einsehen, in der sie sich zuvor unter Angabe persönlicher Daten, wie etwa Vor- und Nachname, Sozialversicherungsnummer und Geburtsdatum, vorregistrieren mussten. In die Testergebnisse konnte (auch) die Behördenleitung sowie gelegentlich die Belegschaft einsehen. Die DSB gab der auf eine Verletzung des Geheimhaltungsrechts gestützten Datenschutzbeschwerde eines Mitarbeiters statt. Die dagegen erhobene Bescheidbeschwerde der Behörde wies das BVwG ab.

Das BVwG hat erwogen: Bei Covid-19-Testergebnissen handelt es sich um Gesundheitsdaten. Deren Verarbeitung ist – unter anderem – dann zulässig, wenn die betroffene Person in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich und freiwillig eingewilligt hat. Zwar wurde eine Einwilligung des Mitarbeiters mit dessen Unterschrift zur Verarbeitung der Gesundheitsdaten eingeholt. Das Kriterium der Freiwilligkeit war jedoch nicht erfüllt, weil der Mitarbeiter keine echte Wahl hatte. Ohne der "freiwilligen" Teilnahme am Testprogramm hätte der Mitarbeiter während der Dienstzeiten verpflichtend durchgängig eine FFP2-Atemschutzmaske zu tragen gehabt. Davon abgesehen bedingt das einem Dienstverhältnis regelmäßig innewohnende Abhängigkeitsverhältnis des Mitarbeiters von seinem Dienstgeber, dass die Einwilligung nicht freiwillig erteilt wurde.

Ebenso wenig erteilte der Mitarbeiter seine ausdrückliche Einwilligung dazu, dass nicht nur er, sondern auch Dritte (hier: die Behördenleitung) in seine Testergebnisse einsehen konnten. Die Behördenleitung konnte sich auch auf keine gesetzliche Grundlage iSd Art 9 Abs 2 lit b DSGVO stützen. Denn die 3. COVID-19-NotMV betraf die Bereithaltung von Informationen zum Beweis der Einhaltung von Präventionsmaßnahmen gegen die Verbreitung des Covid-19-Virus. Daraus ergab sich jedoch keine Datenverarbeitungsgrundlage, auf deren Basis die Behördenleitung in die Testergebnisse ihrer Mitarbeiter hätte einsehen dürfen.

BVwG 19.08.2023, W214 2242818-1

Der Miteigentümer einer Liegenschaft schrieb E-Mails an die Hausverwaltung, in denen er Beschwerden über verschiedene Missstände äußerte. Diese E-Mails, einschließlich der E-Mail-Adresse des Miteigentümers, leitete die Hausverwaltung ohne die Zustimmung des Miteigentümers an drei andere Miteigentümer der Liegenschaft, die laut Hausverwaltung als "Vertrauensleute" bestellt waren, weiter. Die darüber erhobene Datenschutzbeschwerde des Miteigentümers wies die DSB ab. Gegen diesen Bescheid der DSB erhob der Miteigentümer (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Inhalt der E-Mails sowie die E-Mail-Adresse des Miteigentümers sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Das Datenschutzrecht gilt auch für die teilweise öffentlich zugänglichen Daten des Miteigentümers. Der Eigentümer hat in die Weiterleitung seiner E-Mail-Adresse nicht eingewilligt.

Die Hausverwaltung war auch vertraglich iSd Art 6 Abs 1 lit b DSGVO zur Weiterleitung der Nachrichten an die "Vertrauensleute" nicht verpflichtet. Zwar übte der Miteigentümer in seinen Nachrichten massive Kritik an der Hausverwaltung, dennoch war die Weitergabe seiner personenbezogenen Daten an die "Vertrauensleute" kein geeignetes Mittel, um die Aufgabe der Hausverwaltung zu erfüllen.

Die drei "Vertrauensleute" wurden nicht als Eigentümervertreter iSv § 22 WEG bestellt. Gemäß § 26 Abs 1 WEG könnten alle Wohnungseigentümer eine Vereinbarung über bestimmte Funktionen treffen. Es existiert jedoch keine entsprechende Vereinbarung, und die ehrenamtliche Tätigkeit der "Vertrauensleute" reicht nicht aus.

Zwar hatte die Hausverwaltung ein berechtigtes Interesse, die übrigen Eigentümer über den Konflikt zu informieren, jedoch wäre dies auch ohne Weiterleitung der E-Mails durch alternative Methoden möglich gewesen. Folglich überwog das Recht des Miteigentümers auf Geheimhaltung seiner Daten.

BVwG 19.08.2024, W214 2248588-1

Der Pächter einer Parzelle eines Siedlervereins brachte mehrere Überwachungskameras am Parkplatz und an den Straßen am Areal des Siedlervereins an. Einer seiner Nachbarn, welcher ebenfalls eine Parzelle gepachtet hat, brachte daraufhin wegen behaupteter Verletzung im Geheimhaltungsrecht eine Datenschutzbeschwerde bei der DSB ein. Der Pächter gab an, dass das Anbringen der Kameras durch den Vorstand des Siedlervereins genehmigt wurde und sein Nachbar Mitglied des Vorstands sei. Die Kameras sollten zur Überwachung des Fahrzeugs des Pächters und zur Feststellung von unberechtigt parkenden Fahrzeugen dienen, weil es sich um einen Privatgrund handle. Die Kameras zeichneten kontinuierlich auf und speicherten die Aufnahmen für 72 Stunden. Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte eine Verletzung in seinem Recht auf Geheimhaltung fest, weil die Parkplätze und Zufahrtsstraßen von allen Pächtern des Areals genutzt werden konnten und es sich somit um allgemein nutzbare Flächen handelte. Der Pächter erhob eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Pächter ist Verantwortlicher der Bildverarbeitung iSd Art 4 Z 7 DSGVO. Er hat die Installation der Kameras beauftragt und wurde auf den Hinweisschildern als Verantwortlicher angegeben. Die Videoüberwachung ist eine Verarbeitung personenbezogener Daten iSd Art 4 Z 2 DSGVO, weil die Kameras in der Lage sind, personenbezogene Daten zu erfassen und zu speichern.

Entgegen den Behauptungen des Pächters hat der Vorstand dem Anbringen der Kameras nicht zugestimmt. Dem Protokoll der Jahreshauptversammlung des Vorstands konnte nur entnommen werden, dass über die Anbringung einer Kamera-Attrappe abgestimmt wurde. Der Pächter hat nicht hinreichend über die Details informiert.

Der Pächter hat zwar ein berechtigtes Interesse an der Überwachung seines Eigentums zum Schutz vor Diebstahl und Beschädigungen sowie zur Hintanhaltung der Ablagerung von Müll. Demgegenüber steht jedoch das berechtigte Interesse des Nachbarn, nicht überwacht zu werden. Die Videoüberwachung des gesamten Parkplatzes durch vier Kameras und die Speicherung der Aufnahmen für 72 Stunden über einen Zeitraum von mehreren Jahren war unverhältnismäßig, zumal dem Pächter kein fixer Parkplatz zugewiesen war, sondern alle Parkplätze von allen Pächtern genutzt werden durften. Die Interessen des Nachbarn überwogen die berechtigten Interessen des Pächters.

Auch die Überwachung der Zufahrtsstraße durch die Kameras war unverhältnismäßig, weil es allgemein zugängliche Bereiche waren und den Nachbarn nicht zuzumuten ist, bei jeder Benutzung dieser Straße von der Videoüberwachung erfasst zu werden. Der Eingriff ins Recht auf Geheimhaltung war somit unverhältnis- und unrechtmäßig.

Eine auf § 13 Abs 3 AVG gestützte Zurückweisung kommt nur bei solchen Datenschutzbeschwerden in Frage, die mit Mängeln behaftet sind. Fehlen (i) die Bezeichnung des als verletzt erachteten Rechts, (ii) das Begehren, die behauptete Rechtsverletzung festzustellen, sowie (iii) die Angaben, die zur Beurteilung der Rechtzeitigkeit der Datenschutzbeschwerde erforderlich sind, ist das Erteilen eines Mängelbehebungsauftrags erforderlich. Kommt der Beschwerdeführer dem Mängelbehebungsauftrag nicht nach, ist die DSB berechtigt, die Datenschutzbeschwerde zurückzuweisen (BVwG 26.07.2024, W292 2265092-1).
Wird gegen einen Zurückweisungsbescheid eine Bescheidbeschwerde erhoben, darf das BVwG nur über die Rechtmäßigkeit der Zurückweisung absprechen. Da die Zurückweisung rechtswidrig war, ist der angefochtene Bescheid aufzuheben und der DSB die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufzutragen (BVwG 18.06.2024, W214 2222613-2).
Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 21.08.2024, W214 2262974-1).
Wird eine Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 31.07.2024, W292 2250709-1).

EU-Rechtsakte

Das Rahmenübereinkommen des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit, SEV 225, ist am 05.09.2024 zur Zeichnung aufgelegt worden. Am 04.09.2024 ist der "Beschluss (EU) 2024/2218 des Rates vom 28. August 2024 über die Unterzeichnung — im Namen der Europäischen Union — des Rahmenübereinkommens des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit" kundgemacht worden, ABl L 2024/2218, 1. Das Rahmenübereinkommen wurde von der EU am 05.09.2024 unterzeichnet.

Nationale Rechtsakte

Am 03.09.2024 hat der Bund die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht, BGBl I 2024/138.

Am 04.09.2024 hat der Bundesminister für Bildung, Wissenschaft und Forschung die Registerforschungsverordnung-BMK kundgemacht, BGBl II 2024/241. Mit dieser Verordnung wurden zehn Register im Wirkungsbereich des Bundesministeriums für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie als registerforschungstaugliche Register festgelegt.

Vorschau EuGH-Rechtsprechung

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in einem öffentlichen Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Datenschutzmonitor 04.09.2024

Rechtsprechung des OGH

Aus der Rechtsprechung des OGH:

Werden in einem Strafverfahren Kommunikationsdaten des Strafverdächtigten von ausländischen Behörden erhoben und an die inländischen Strafverfolgungsbehörden übermittelt, unterliegen solche Daten keinem Beweisverwertungsverbot (OGH 27.08.2024, 11Os85/24w).

Rechtsprechung des BVwG

BVwG 31.07.2024, W108 2284491-1

Ein Nutzer besuchte die Website eines Medienunternehmens, die im Cookie-Banner keine "Ablehnen"-Schaltfläche auf der ersten Ebene enthielt. Der Nutzer begehrte vom Medienunternehmen die Löschung aller durch die Cookies erhobenen personenbezogenen Daten. Das Medienunternehmen argumentierte, dass die Verarbeitung personenbezogener Daten zu journalistischen Zwecken erfolgte und daher von den Bestimmungen der DSGVO ausgenommen war. Der Nutzer erhob Datenschutzbeschwerde bei der DSB, die dieser teilweise stattgab und das Medienunternehmen zur Anpassung des Cookie-Banners aufforderte. Das Medienunternehmen erhob Bescheidbeschwerde beim BVwG, das diese abwies.
Das BVwG hat erwogen: Die DSGVO verlangt, dass die Einwilligung zur Verarbeitung personenbezogener Daten freiwillig, informiert und unmissverständlich erfolgt. Eine Einwilligung muss genauso einfach zu widerrufen sein, wie sie erteilt wurde. Auch die Nichtabgabe einer Einwilligung muss genauso einfach sein, wie die Abgabe der Einwilligung. Ein Cookie-Banner muss daher eine gleichwertige Option zum Ablehnen der Cookies auf der ersten Ebene enthalten.

Das Medienunternehmen kann sich nicht auf das Medienprivileg berufen, weil das Setzen von Cookies für Analyse-, Marketing- und Werbezwecke keine journalistische Tätigkeit ist. Bei Verarbeitungstätigkeiten für andere Zwecke von Medienunternehmen wie zB für die Personalverwaltung oder Marketing sind die Bestimmungen des DSG und der DSGVO ungeschmälert anwendbar. Auch wenn aufgrund der Wichtigkeit des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft der Begriff der "journalistischen Tätigkeit" weit auszulegen ist, zielt die Verarbeitung personenbezogener Daten zu den oben genannten Zwecken nicht auf die Vermittlung von Informationen und Ideen über Fragen im öffentlichen Interesse ab.

Die DSB hat die Befugnis, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen. Dies umfasst auch die Gestaltung des Cookie-Banners. Die Gestaltung des Cookie-Banners des Medienunternehmens entspricht nicht den Anforderungen der DSGVO, weil die Schaltfläche zum Ablehnen der Cookies nicht auf der ersten Ebene ist und mit der Schaltfläche "Akzeptieren" optisch nicht gleichwertig gestaltet ist.

BVwG 22.04.2024, W214 2253376-1

Im Rahmen eines Forschungsprojekts veröffentlichte ein Universitätsprofessor Adressdaten und ZVR-Nummern von Vereinen und ihren Vertretern. Bei den veröffentlichten Adressdaten handelte es sich teilweise um die Privatadressen der Vertreter. Die Vereine und deren Vertreter erachteten sich in ihren Rechten auf Geheimhaltung und Information verletzt und brachten Datenschutzbeschwerde bei der DSB gegen die Universität, den Universitätsprofessor und den Fonds, welcher das Forschungsprojekt sponserte, ein. Die DSB wies die Datenschutzbeschwerde ua deshalb ab, weil die veröffentlichten Adressen und ZVR-Nummern der betroffenen Vereine und ihrer Vertreter aus öffentlich zugänglichen Quellen stammten.

Die DSB sprach jedoch auch aus, dass eine gemeinsame Verantwortlichkeit zwischen der Universität und dem Fonds besteht und daher eine Vereinbarung gemäß Art 26 DSGVO abgeschlossen werden muss. Gegen diesen Bescheid erhoben sowohl die Universität als auch die Vereine und ihre Vertreter (teilweise erfolgreiche) Bescheidbeschwerden an das BVwG.

Das BVwG hat erwogen: Die Universität ist allein datenschutzrechtlich Verantwortliche für das Forschungsprojekt. Das Handeln des Universitätsprofessors als Angestellter ist der Universität zuzurechnen. Der Fonds stellt lediglich finanzielle Mittel bereit und nimmt keinen Einfluss auf die Datenverarbeitung.

Die Veröffentlichung von Adressen und ZVR-Nummern von Vereinen und deren Vertretern ist eine Datenverarbeitung. Durch die Verknüpfung der personenbezogenen Daten und die Anreicherung mit weiteren Informationen werden neue Daten und Informationen generiert. Diese neuen Daten stammen nicht aus öffentlichen Quellen.

Die Daten juristischer Personen, somit die Adressen der Vereine, unterliegen dem Schutz des § 1 DSG. Da die Daten nicht 1:1 aus öffentlichen Quellen zusammengeführt, sondern mit anderen Daten kombiniert wurden, sind sie nicht allgemein verfügbar iSd § 1 DSG.

Zwar kann sich die Universität bei der Durchführung und Veröffentlichung von Forschungsarbeiten auf die Wissenschaftsfreiheit gemäß § 17 StGG berufen. Allerdings ist auch bei wissenschaftlichen Vorhaben das Recht auf Geheimhaltung zu beachten. Die Veröffentlichung personenbezogener Daten muss verhältnismäßig sein und dem Grundsatz der Datensparsamkeit entsprechen. Die Veröffentlichung der Adressen der Vereine und deren Vertreter war für die Erreichung des Projektziels nicht erforderlich. Durch die überschießende Datenverarbeitung wurde das Recht auf Geheimhaltung verletzt.

Betroffene natürliche Personen haben ein Recht auf Information zu der Verarbeitung ihrer Daten gemäß Art 14 DSGVO. Eine Ausnahme von der Informationspflicht besteht zwar unter anderem dann, wenn die Informationserteilung unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde. Im Projekt wurden jedoch einzelne Betroffene vorab direkt angeschrieben und informiert. Es ist nicht ersichtlich, warum dies nicht für alle Betroffenen hätte erfolgen können. Eine erst nachträglich bereitgestellte Datenschutzinformation gilt nicht als rechtzeitig erteilt.

BVwG 20.11.2023, W214 2222613-2

Eine Kreditauskunftei speicherte ua Bonitätsscores sowie Zwischenergebnisse (Teil-scores) zu den errechneten Bonitätsscores. Ein Betroffener ersuchte um Auskunft und um eine Kopie der über ihn gespeicherten personenbezogenen Daten. Die Kreditauskunftei erteilte eine Auskunft, der Betroffene erachtete diese jedoch für unzureichend und erhob Datenschutzbeschwerde wegen Verletzungen der Rechte auf Auskunft, Information und Geheimhaltung. Die DSB wies die Datenschutzbeschwerde teilweise zurück und teilweise ab.

Über die Bescheidbeschwerde des Betroffenen erging ein Teilerkenntnis des BVwG, das von beiden Parteien mit ordentlicher Revision beim VwGH bekämpft wird.

Mit Beschluss vom selben Tag ersuchte das BVwG den EuGH um Vorabentscheidung betreffend die Zurverfügungstellung einer Kopie personenbezogener Daten. Mit Urteil vom 04.05.2023, C‑487/21, Österreichische Datenschutzbehörde, beantwortete der EuGH die Vorlagefragen, weshalb das Verfahren fortgesetzt wurde. Das BVwG gab der Bescheidbeschwerde (im noch zu erledigenden Umfang) teilweise statt, und trug der Kreditauskunftei auf, dem Betroffenen die ihn betreffenden Bonitätsreports mit Ausnahme allenfalls vorhandener Daten dritter natürlicher Personen zu übermitteln.

Das BVwG hat erwogen: Gegenstand des Verfahrens ist nurmehr, ob die über den Betroffenen gespeicherten personenbezogenen Daten in Form einer Kopie – allenfalls in kontextualisierter Form – zu beauskunften sind. Auf die darüber hinausgehenden Ausführungen des Betroffenen zu den Verarbeitungszwecken und der Herkunft der Daten ist nicht weiter einzugehen. Ebenso wenig sind aussagekräftige Informationen über Logik, Tragweite und Auswirkungen der eingesetzten Scoreformel Verfahrensgegenstand.

Kreditauskunfteien sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher für sieben Jahre aufzubewahren. Dementsprechend werden im Archiv der Kreditauskunftei die an den Kunden der Kreditauskunftei übermittelten Bonitätsscores aufbewahrt. Die Kreditauskunftei hat daher dem Betroffenen die Kopien der entsprechenden Bonitätsreports zur Verfügung zu stellen, wobei eventuell vorhandene personenbezogene Daten Dritter (etwa Namen natürlicher Personen als Mitarbeiter des Unternehmens, welches Empfänger der Bonitätsreporte war) unkenntlich zu machen sind.

Der EuGH hat den Begriff der "Kopie" im gewöhnlichen Sinn ausgelegt, wonach dadurch die originalgetreue Reproduktion oder Abschrift der personenbezogenen Daten bezeichnet wird. Somit handelt es sich beim Begriff der "Kopie" nicht um eine Binärfolge, sondern um eine Darstellung in einem für den Menschen verständlichen/lesbaren Format.

Eine manuell erstellte Aufstellung kann eine originalgetreue Reproduktion der Daten sein, weil es auf die Originaltreue der verarbeiteten Daten und nicht auf jene des Formats ankommt. Die Daten des Betroffenen wurden originalgetreu aus der Datenbank exportiert und stimmen somit mit den in der Datenbank verarbeiteten Daten überein. Die originalgetreue Reproduktion geht nicht dadurch verloren, dass die Daten des Nutzers in ein anderes Format übertragen werden. In welchem Format die Auskunft erteilt wird, liegt im Ermessen des Verantwortlichen.

Zudem darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Die Datenbankstruktur gilt als Geschäfts- und Betriebsgeheimnis, das durch Screenshots offengelegt werden würde.

Die Teilscores sind zwar personenbezogene Daten, durch ihre Offenlegung könnten jedoch Rückschlüsse auf die Scoreformel möglich werden. Sie sind daher Bestandteil des durch das Geschäftsgeheimnis geschützten Algorithmus und demnach nicht zu beauskunften.

BVwG 22.07.2024, W211 2171666-1

Eine Kreditauskunftei prognostizierte anhand mathematisch-statistischer Verfahren das zukünftige Verhalten von Personen und erstellte darauf basierende Score-Werte. Diese Score-Werte übermittelte die Kreditauskunftei an ihre Geschäftskunden, darunter einem Telekomunternehmen. Ein Kunde dieses Telekomunternehmens richtete ein Auskunftsersuchen an die Kreditauskunftei. Da er mit der erteilten Auskunft unzufrieden war, erhob er Datenschutzbeschwerde bei der DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt, weil die Kreditauskunftei Negativauskünfte über den Betroffenen gelöscht hatte. Gegen den abweisenden Teil des Bescheides erhob der Kunde eine Bescheidbeschwerde.

Das BVwG teilte seine Entscheidung in zwei Spruchpunkte. Mit dem ersten Spruchpunkt setzte das BVwG das Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus. Mit dem zweiten Spruchpunkt trug das BVwG der Kreditauskunftei auf, dem Kunden eine Auskunft über die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.

Das BVwG hat erwogen: Die Kreditauskunftei ermittelt automatisiert einen Score-Wert, der auf mathematisch-statistischen Methoden beruht und das Verhalten sowie die Bonität des Kunden analysiert. Dieses Verfahren ist als Profiling zu qualifizieren. Von den übermittelten Score-Werten der Kreditauskunftei hängt maßgeblich ab, ob ihre Geschäftskunden, hier das Telekomunternehmen, ein Vertragsverhältnis mit der abgefragten Person eingehen. Daher können sich in einer Marktwirtschaft schwerwiegende Folgen für die Unabhängigkeit und Handlungsfähigkeit von Betroffenen ergeben. Nach vorläufiger Ansicht des BVwG ist der errechnete Score daher eine automatisierte Entscheidung iSd Art 22 DSGVO. In welchem Umfang die entsprechende Auskunft nach Art 15 Abs 1 lit h DSGVO zu erteilen ist, hängt jedoch vom Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, ab, weshalb das Verfahren ausgesetzt wird.

Das BVwG hat bereits in einem vorhergehenden Erkenntnis ausgesprochen, dass die Kreditauskunftei dem Kunden die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu beauskunften hat. Ein entsprechender Leistungsauftrag wurde jedoch nicht erteilt. Über Revision des Kunden behob der VwGH das vorherige Erkenntnis des BVwG. Der Kreditauskunftei war nunmehr ein Leistungsauftrag zur Beauskunftung der Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.

Das eigene Grundstück mit Video zu überwachen, ist grundsätzlich berechtigt. Über das eigene Grundstück hinaus dürfen Teile eines öffentlichen Weges und Teile von Nachbargrundstücken jedoch ohne ein entsprechendes berechtigtes Interesse nicht erfasst werden (BVwG 15.07.2024, W137 2268788-1).
Das BVwG kann ein Verfahren bis zur Entscheidung des EuGH über ein Vorabentscheidungsersuchen aussetzen, auch wenn beim EuGH eine (bloß) ähnliche Rechtsfrage anhängig ist. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Datenschutzbeschwerde exzessiv ist. Diese Frage ist präjudiziell, weshalb das Verfahren auszusetzen ist (BVwG 04.07.2024, W211 2283135-1; BVwG 31.07.2024, W108 2283036-1).
Wird die Datenschutzbeschwerde zurückgezogen, hat dies zur Folge, dass die angefochtenen Spruchpunkte des Bescheids der DSB dadurch (nachträglich) von einer unzuständigen Behörde erlassen wurden und sich diese Spruchpunkte (rückwirkend) als rechtswidrig erweisen (BVwG 21.08.2024, W214 2257555-1).

Rechtsakte

Am 28.08.2024 hat Wien, LGBl 2024/24, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Vorschau EuGH-Rechtsprechung

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

August 2024

08.08. | 14.08. | 21.08. | 28.08.

Datenschutzmonitor 28.08.2024

Rechtsprechung des VwGH

VwGH 24.07.2024, Ra 2024/04/0376

Die Lebensgefährtin eines Angestellten fühlte sich von der Überwachung durch einen Detektiv in ihrem Recht auf Geheimhaltung verletzt. Die Arbeitgeberin ließ den Angestellten wegen einer arbeitsrechtlichen Auseinandersetzung observieren. Obwohl die Lebensgefährtin nicht Gegenstand des Observationsauftrags war, enthielt der Observationsbericht Fotos der Lebensgefährtin, auf denen sie allein zu sehen war, ihren vollen Namen und bezeichnete sie als "Zielperson 2". Die DSB gab der Datenschutzbeschwerde der Lebensgefährtin teilweise statt.

Gegen das Erkenntnis erhob der observierende Detektiv Bescheidbeschwerde an das BVwG, welches die Beschwerde abwies. Das BVwG sah die Verarbeitung der Daten der Lebensgefährtin nicht vom berechtigten Interesse des Detektivs gedeckt. Gegen das Erkenntnis erhob der Detektiv eine außerordentliche Revision an den VwGH. Der VwGH wies die Revision zurück.

Der VwGH hat erwogen: Bei der Beurteilung der Rechtmäßigkeit einer Datenverarbeitung gemäß Art 6 Abs 1 lit f DSGVO ist eine einzelfallbezogene Interessenabwägung durchzuführen. Eine Rechtsfrage von grundsätzlicher Bedeutung iSd Art 133 Abs 4 B-VG liegt bei Einzelfallbeurteilungen nur dann vor, wenn die Beurteilung krass fehlerhaft ist.

Die Ermittlung von Zeugen kann im berechtigten Interesse eines Detektivs liegen, muss aber vom Auftragsumfang gedeckt sein. Das Anfertigen von Fotos, auf denen die Lebensgefährtin allein zu sehen ist, fällt nicht unter die Beschaffung von Beweismitteln für ein gerichtliches oder behördliches Verfahren. Inwieweit die Fotos für einen eventuellen arbeitsrechtlichen Streit mit dem Angestellten von Nutzen sein könnten, ist nicht ersichtlich. Eine krasse Fehlbeurteilung, die aus Gründen der Rechtssicherheit einer Korrektur bedürfte, wurde in der Revision ebenso wenig aufgezeigt wie eine konkrete Rechtsfrage.

Rechtsprechung des BVwG

BVwG 08.07.2024, W177 2287425-1

Ein Verlassenschaftskurator stellte für die Verlassenschaft beim Bundesminister für Finanzen (BMF) ein Auskunftsbegehren betreffend den Verstorbenen bzw seiner Verlassenschaft, einschließlich seiner Kontodaten im Kontenregister. Der BMF wies den Antrag mit Bescheid ab. Gegen diesen Bescheid erhob die Verlassenschaft (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verlassenschaft hat kein Auskunftsrecht aus dem Kontenregister nach § 4 Abs 1 KontRegG, weil die Ermittlung und Feststellung von Nachlassvermögen keiner der in dieser Bestimmung taxativ genannten Zwecke ist.

Gemäß § 4 Abs 4 KontRegG haben betroffene Personen und Unternehmer das Recht auf Auskunft, welche sie betreffende Daten in das Kontenregister aufgenommen sind. Der Verlassenschaft steht dieses Auskunftsrecht nicht zu, weil es personenbezogene Daten des Verstorbenen sind. Das Auskunftsrecht nach dieser Bestimmung ist ein höchstpersönliches Recht, das mit dem Tod des Berechtigten erlischt. In höchstpersönliche Rechte des Verstorbenen findet eine Rechtsnachfolge durch die Verlassenschaft nicht statt. Dies gilt auch für das Auskunftsrecht nach dem DSG oder der DSGVO, an die die Bestimmung des § 4 Abs 4 KontRegG angelehnt ist.

Die Verlassenschaft steht zudem in keinem schuldrechtlichen Verhältnis zur Behörde, von der die Auskunft begehrt wird, sodass ein Eintritt im Wege der Gesamtrechtsnachfolge iSd Eigenschaft eines Kunden oder einer Kundin eines Kreditinstituts zur Begründung des Auskunftsrechts nicht in Betracht kommt. Die Verlassenschaft hat jedoch die Möglichkeit, direkt vom Kreditinstitut, mit dem der Verstorbene ein Vertragsverhältnis begründet hatte, Auskunft zu begehren.

BVwG 24.07.2024, W274 2287428-1

Ein Versicherter ersuchte die Gebietskrankenkasse um Löschung des Krankengeldbezugs über einen näher bezeichneten Zeitraum aus seinem Sozialversicherungsdatenauszug, weil der Krankengeldbezug für diesen Zeitraum seines Erachtens zu Unrecht als "Krankengeldbezug Sonderfall" ausgewiesen war. Der Versicherte befürchtete, dass die Daten ihm bei der Arbeitssuche schaden würden. Die Gebietskrankenkasse verweigerte die Löschung.

Der Versicherte erhob eine Datenschutzbeschwerde. Die DSB hat allerdings bereits zuvor eine Datenschutzbeschwerde des Versicherten, in dem die Löschung des Krankengeldbezugs zum Teil über denselben Zeitraum verlangt wurde, abgewiesen. Obwohl die DSB diese zeitliche Überlappung erkannte, wies sie die Datenschutzbeschwerde zur Gänze ab. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Versicherten teilweise wegen entschiedener Sache (res iudicata) zurück und teilweise ab.

Das BVwG hat erwogen: Über einen Teil des Zeitraums betreffend den Krankengeldbezug hat die DSB bereits mit einem früheren Bescheid abgesprochen. Die DSB erkannte zwar die Identität der Sache über einen Großteil des Zeitraums, dennoch wies sie die Datenschutzbeschwerde ab. Wurde von der DSB ein neuerlicher Antrag trotz Identität der Sach- und Rechtslage nicht wegen res iudicata zurückgewiesen, sondern aus materiellen Gründen (wieder) abgewiesen, ist die Partei ungeachtet der Rechtswidrigkeit des Bescheids in keinem Recht verletzt. Wird gegen eine solche rechtswidrige meritorische Erledigung jedoch Bescheidbeschwerde an das BVwG erhoben, hat das BVwG den Antrag – ungeachtet der Sachentscheidung der DSB – wegen res iudicata zurückzuweisen.

Hinsichtlich des darüber hinausgehenden Zeitraums war die Bescheidbeschwerde abzuweisen. Die gesetzliche Pensionsversicherung knüpft am Krankengeld an. Die Grundlage der entsprechenden Information für die Pensionsversicherung ist der Versicherungsdatenauszug. Die Verarbeitung des Versicherungsdatenauszugs ist zur Erfüllung der gesetzlichen Pflicht der Gebietskrankenkasse erforderlich.

Die Qualifikation "Krankenfeldbezug Sonderfall" wird verwendet, wenn aufgrund des Bezugs von Arbeitslosengeld, Karenzurlaubsgeld oder Notstandshilfe oder auf Grund einer durch eine Beschäftigung bei einer internationalen Organisation (zB IAEO, UNIDO) oder verschiedenen Gemeinde- und Landesbediensteten begründeten Krankenversicherung nach dem ASVG-Krankengeld bezogen wurde, wobei der Grund, warum es zu diesem Krankengeldbezug gekommen ist, für die Speicherung der Qualifikation unerheblich ist.

Der Versicherte meint, sein Krankengeldbezug wäre im genannten Zeitraum aufgrund einer unzulässigen Zwangsmaßnahme nach dem UbG erfolgt, woran die Qualifikation "Krankengeldbezug Sonderfalle" anknüpfe, weshalb die Aufnahme dieser Qualifikation des Krankengeldbezugs in den Versicherungsdatenauszug unrechtmäßig war. Für die Speicherung der Qualifikation ist der Grund, weshalb es zum Krankengeldbezug gekommen ist, jedoch unerheblich. Relevant ist nur der festgestellte und nicht bestrittene Zusammenhang mit dem Notstandshilfebezug des Versicherten.

BVwG 27.06.2024, W176 2248629-1

Eine Patientin absolvierte nach einer Hüftoperation ein Anschlussheilverfahren gemäß § 65a B-KUVG in einem Rehabilitationszentrum. Zu diesem Zeitpunkt war sie dement und kognitiv signifikant eingeschränkt. Die Ärzte des Rehabilitationszentrums forderten einen neurologischen MRT-Befund von einer medizinischen Einrichtung an, um den Gesundheitszustand der Patientin und den weiteren Behandlungsverlauf besser einschätzen zu können. Durch die Weitergabe ihrer Daten ohne ausdrückliche Zustimmung erachtete sich die Patientin in ihrem Recht auf Geheimhaltung verletzt. Sie legte deshalb eine Datenschutzbeschwerde bei der DSB ein. Die Datenschutzbeschwerde wurde von der DSB abgewiesen, ihre anschließende Bescheidbeschwerde beim BVwG blieb ebenso erfolglos.

Das BVwG hat erwogen: Bei der Verarbeitung besonderer Kategorien von Daten iSd Art 9 Abs 1 DSGVO, wozu ua Gesundheitsdaten gehören, muss ein Erlaubnistatbestand des Art 9 Abs 2 DSGVO erfüllt sein. Die Patientin war aufgrund ihrer kognitiven Einschränkungen nicht in der Lage, eine ausdrückliche Einwilligung zur Datenverarbeitung zu erteilen. Folglich kann sich die medizinische Einrichtung nicht auf die ausdrückliche Einwilligung der Patientin zur Datenverarbeitung gemäß Art 9 Abs 2 lit a DSGVO berufen.

Das physiotherapeutische Anschlussheilverfahren war keine medizinische Notsituation. Die durchgeführte Datenverarbeitung kann daher nicht auf ein lebenswichtiges Interesse der Patientin gestützt werden. Die Datenverarbeitung war weder zum Schutz lebenswichtiger Interessen der Patientin erforderlich noch war eine konkrete Gefahrensituation abzuwenden.

Die Übermittlung des MRT-Befundes war jedoch erforderlich, um den Gesundheitszustand und den weiteren Behandlungsverlauf im Anschlussheilverfahren zu beurteilen. Diese Verarbeitung von Gesundheitsdaten ist gemäß Art 9 Abs 2 lit h DSGVO zulässig, weil sie der medizinischen Diagnostik, Versorgung oder Behandlung der Patientin dient. Die medizinische Einrichtung war Teil eines gehobenen medizinisch-technischen Dienstes (§ 1 Z 3 iVm § 2 Abs 3 MTD-G) und unterliegt der Verschwiegenheitspflicht gemäß § 11c Abs 1 MTD-G. Allerdings ist sie verpflichtet, relevante medizinische Informationen an andere Angehörige der Gesundheitsberufe weiterzugeben, sofern diese für die Behandlung oder Pflege erforderlich sind (§ 11b Abs 2 MTD-G).