Datenschutzmonitor August 2025

EuGH SA 01.08.2025, C-422/24, Storstockholms

Bodycams, Informationspflicht

·           Ein öffentlicher Verkehrsbetrieb in Stockholm setzt bei Fahrscheinkontrollen Bodycams ein, um Gewaltsituationen zu dokumentieren und die Identität von Schwarzfahrern festzustellen. Die schwedische Datenschutzbehörde verhängte ua wegen unzureichender Informationen über diese Datenerhebung an betroffene Fahrgäste gemäß Art 13 DSGVO eine Geldbuße iHv SEK 4 Mio (ca EUR 360.000). Der Verkehrsbetrieb erhob dagegen erfolglos Beschwerde an das Verwaltungsgericht Stockholm. Erst das Berufungsgericht gab dem Rechtsmittel statt und hob die Geldbuße mit der Begründung auf, dass beim Einsatz von Bodycams Art 14 DSGVO einschlägig sei. Denn Art 13 DSGVO verlange eine bewusste Handlung der Betroffenen, was im Fall von Videoaufzeichnungen nicht zutreffe. Die schwedische Datenschutzbehörde wandte sich daraufhin an das schwedische Höchstgericht. Dieses legte dem EuGH die Frage vor, ob bei der Datenerhebung durch Bodycams Art 13 (Datenerhebung bei der Betroffenen) oder Art 14 DSGVO (Datenerhebung nicht bei der Betroffenen) einschlägig ist.

Die Generalanwältin hat erwogen: Art 13 DSGVO ist dann anwendbar, wenn die personenbezogenen Daten unmittelbar von der Betroffenen selbst stammen. Art 14 greift hingegen, sobald die Daten aus irgendeiner anderen Quelle, etwa einem Dritten, einer öffentlich zugänglichen Quelle oder einer anderen Betroffenen, bezogen wurden. Entscheidend ist somit nicht die aktive Mitwirkung der Betroffenen an der Erhebung, sondern allein der Ursprung der Daten. Steht kein "Vermittler" zwischen der Betroffenen und dem Verantwortlichem, findet Art 13 DSGVO Anwendung, auch wenn die Betroffene die Datenerhebung weder initiiert noch bemerkt hat.

Dies entspricht den Leitlinien für Transparenz gemäß der Verordnung 2016/679 der Artikel-29-Gruppe (WP 260), wonach Art 13 DSGVO sowohl bei einer bewussten Bereitstellung der Daten als auch bei einer durch reine Beobachtung erfolgenden Erhebung, etwa mittels Kameras oder anderer automatisierter Aufzeichnungsgeräte, gilt. Die Informationspflicht nach Art 13 DSGVO führt erst dazu, dass die Betroffene von der Verarbeitung Kenntnis erlangt. Diese Kenntnis ist also Folge, nicht Voraussetzung der Anwendbarkeit des Art 13 DSGVO. Bei Bodycams wird eine Person allein durch ihre physische Anwesenheit zur Datenquelle. Die dadurch erfolgende unmittelbare Datenerhebung unterfällt daher Art 13 DSGVO.

EuGH SA 01.08.2025, C-371/24, Comdribus

Biometrie, Erforderlichkeit, erkennungsdienstliche Behandlung

·          Ein Demonstrant wurde wegen der Teilnahme an einer nicht angemeldeten Demonstration festgehalten. Zwar gab er seine Personalien an, jedoch verweigerte er die Abnahme seiner Fingerabdrücke und das Anfertigen von Fotos. Gegen den Demonstranten wurde ein Strafverfahren wegen des Verdachts auf Straftaten im Zusammenhang mit der Demonstration und wegen der Weigerung, sich erkennungsdienstlichen Maßnahmen zu unterziehen, eingeleitet. Vom ersten Vorwurf wurde er freigesprochen, für die Verweigerung der erkennungsdienstlichen Behandlung wurde er jedoch verurteilt. Gegen dieses Urteil legten sowohl der Demonstrant als auch die Staatsanwaltschaft Rechtsmittel ein. Das vorlegende Gericht fragte den EuGH (i) ob die Richtlinie 2016/680 (DSRL-PJ) eine Erhebung biometrischer Daten bereits bei einem plausiblen Verdacht auf eine Straftat oder deren Versuch erlaubt; (ii) ob die zuständige Behörde im Einzelfall begründen muss, warum die Erhebung biometrischer Daten unbedingt erforderlich ist, und (iii) ob eine Bestrafung allein wegen der Weigerung zur Abgabe biometrischer Daten zulässig ist, auch wenn es zu keiner Verurteilung wegen der zugrunde liegenden Straftat kommt.

Der Generalanwalt hat erwogen: Zweck des Art 10 DSRL-PJ ist es, einen erhöhten Schutz für die Verarbeitung besonderer Kategorien personenbezogener Daten zu bieten. Darunter fallen biometrische Daten wie Fingerabdrücke. Eine Verarbeitung dieser Daten ist nur erlaubt, wenn dies "unbedingt erforderlich" ist. Die Anforderung der Erforderlichkeit ist erfüllt, wenn das Ziel der Datenverarbeitung nicht ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte der Betroffenen eingreifen. Bei der Bewertung der "unbedingten Erforderlichkeit" sind auch Faktoren wie Art und Schwere der Straftat, besondere Umstände der Straftat, Zusammenhang der Straftat mit anderen laufenden Verfahren, Vorstrafen und individuelles Profil der Betroffenen zu berücksichtigen. Bei der Schwere der Tat sind auch die Besonderheiten der Aufgaben der Polizeibehörden zu berücksichtigen. Das Kriterium der "unbedingten Erforderlichkeit" ist nicht schon deshalb ausgeschlossen, weil eine Straftat nicht als "schwer" eingestuft wird.

Nationale Rechtsvorschriften, die die Erhebung biometrischer Daten bei jeder Person ermöglichen, gegen die plausible Gründe für den Verdacht des Versuchs oder der Begehung einer Straftat vorliegen, sind zulässig, sofern sie die zuständigen Behörden zur Prüfung der unbedingten Erforderlichkeit verpflichten.

Die Behörde hat ihre Entscheidung angemessen zu begründen, sodass ein Betroffener die Gründe nachvollziehen und wirksame Rechtsbehelfe ergreifen kann.

Eine Strafe wegen der Verweigerung einer erkennungsdienstlichen Behandlung ist auch dann zulässig, wenn die Straftat, die dieser Maßnahme zugrunde lag, nicht verfolgt oder verurteilt wird, sofern vor der Durchführung der Maßnahme die "unbedingte Erforderlichkeit" im Einzelfall geprüft und dokumentiert wurde.

·         Gemäß Art 6 Abs 1 lit f DSGVO ist die Verarbeitung personenbezogener Daten zulässig, wenn ein berechtigtes Interesse besteht, die Verarbeitung zur Verwirklichung dieses Interesses erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen nicht überwiegen. Es muss einzelfallbezogen geprüft werden, ob eine Verarbeitung als gerechtfertigt angesehen werden kann. Die Videoüberwachung eines öffentlich zugänglichen Weges in unmittelbarer Nähe einer privaten Liegenschaft ist grundsätzlich berechtigt, wenn diese zum persönlichen Schutz sowie zum Schutz des Eigentums erfolgt. Die Datenverarbeitung muss jedoch erforderlich sein und auf das absolut Notwendige beschränkt werden. Wenn mildere Mittel – wie etwa das Anbringen einer Alarmanlage, eine Verstärkung des Torschlosses oder eine Kameraattrappe – zur Erreichung des Schutzzwecks möglich sind, sind vorrangig diese heranzuziehen. Im Falle einer Videoüberwachung muss auch diese weniger eingriffsintensiv gestaltet werden, indem der öffentlich zugängliche Weg nicht erfasst wird (VwGH 24.06.2025, Ra 2025/04/0148).

BVwG 03.06.2025, W211 2292541-1

Initiativantrag, Beschwerdegegner, konkludente Einwilligung, gesetzliche Grundlage

·          Nach der Behandlung eines Initiativantrags im Gemeinderat erhielt eine Unterstützerin eines Initiativantrags einen Verständigungsbrief des Bürgermeisters, in dem sie über das Ergebnis der Beschlussfassung informiert wurde, obwohl sie nicht die Zustellungsbevollmächtigte war. Die Unterstützerin erhob daraufhin Datenschutzbeschwerde gegen den Magistrat der Stadt bei der DSB. Diese stellte fest, dass der Bürgermeister die für die Datenverarbeitung verantwortliche Stelle war und die Unterstützerin im Recht auf Geheimhaltung verletzt hat, indem er ihre Adressdaten zur Übermittlung eines Schreibens verarbeitet hat. Der Bürgermeister erhob (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Eine amtswegige Berichtigung der Bezeichnung des Verantwortlichen als Beschwerdegegner hat je nach Ermittlungsergebnis dann zu erfolgen, wenn der vom Betroffenen gewählte Beschwerdegegner falsch ist. Der Verständigungsbrief enthält keine Hinweise auf den Magistrat, sondern weist ausschließlich den Namen, die Unterschrift und die Kontaktdaten des Bürgermeisters auf. Es ist offensichtlich, dass die Unterstützerin den Bürgermeister als Beschwerdegegner iSd § 24 Abs 2 Z 2 DSG bezeichnen wollte.

Die bloße Teilnahme als Unterstützerin an einer Bürgerinitiative kann nicht als konkludente Einwilligung für nicht absehbare Datenverarbeitungen durch den Bürgermeister gewertet werden.

Der Bürgermeister handelte als staatliche Behörde iSd § 1 Abs 2 DSG. Gemäß § 8 Abs 4 NÖ Stadtrechtsorganisationsgesetz (NÖ STROG) ist der Bürgermeister nur zur Verständigung der Zustellungsbevollmächtigten verpflichtet. Daraus ergibt sich keine Ermächtigung für den Bürgermeister, eine (schriftliche) Verständigung und eine entsprechende Verarbeitung der Daten zum Informationszweck über den Ausgang des Initiativantrags vorzunehmen. Die Datenverarbeitung war daher weder aufgrund einer den Bürgermeister treffenden rechtlichen (gesetzlichen) Verpflichtung bzw Ermächtigung, noch einer von ihm wahrzunehmenden Aufgabe im öffentlichen Interesse gerechtfertigt.

Der Erlaubnistatbestand des Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) ist auf die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Datenverarbeitungen nicht anwendbar. Die Datenverarbeitung war somit unzulässig.

·          Bei offenkundig unbegründeten oder exzessiven Datenschutzbeschwerden darf die DSB eine Gebühr verlangen oder sich weigern, tätig zu werden (Art 57 Abs 4 DSGVO). Die Aufsichtsbehörde trägt die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Datenschutzbeschwerde. Der EuGH legt Art 57 Abs 4 DSGVO dahingehend aus, dass Anfragen nicht allein aufgrund ihrer Zahl als exzessiv eingestuft werden können. Die DSB muss unter Berücksichtigung der einzelfallbezogenen Umstände das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Eine Missbrauchsabsicht liegt vor, wenn Datenschutzbeschwerden eingereicht werden, ohne dass dies objektiv erforderlich ist, um die Rechte aus der DSGVO zu schützen. Da der Betroffene lediglich Mutmaßungen ohne konkrete Verletzungen angestellt hat, durfte die DSB die Behandlung der Datenschutzbeschwerden wegen exzessiver Ausübung des Beschwerderechts iSd Art 57 Abs 4 DSGVO ablehnen (BVwG 09.04.2025, W108 2284624-2).

·           Das Auskunftsrecht ist auf eigene Daten beschränkt. Es kann nicht dazu genutzt werden, eine umfassende Benachrichtigung über einen Vorfall (zB Data Breach) zu erhalten. Der Begriff "personenbezogene Daten" ist weit zu verstehen. Informationen betreffend einen Data Breach, wie die Geschäftszahl des Ermittlungsverfahrens der Staatsanwaltschaft, Auskünfte hinsichtlich der Ermittlungsergebnisse sowie entsprechende Presseaussendungen sind jedoch keine personenbezogen Daten, weil ihnen die Identifizierbarkeitskomponente – ähnlich wie in der Situation eines offenen WLANs – fehlt (BVwG 28.05.2025, W137 2259971-1).

·           Das Auskunftsrecht ist ein Recht auf eine Leistung. Die Feststellung einer Verletzung in Rechten auf eine bestimmte Leistung kommt nicht mehr in Frage, wenn dem Leistungsersuchen bereits entsprochen worden ist. Da das BVwG nach der Sach- und Rechtslage zum Zeitpunkt seiner Entscheidung erkennt, ist der Auskunftsanspruch auch dann als erfüllt anzusehen, wenn die Auskunft erst im Verfahren vor dem BVwG erteilt wird (BVwG 10.06.2025, W274 2307868-1).

·           Am 28.07.2025 veröffentlichte die Europäische Kommission (EK) die vorläufige Feststellung, dass das chinesische Unternehmen Temu betreffend die ordnungsgemäße Bewertung der Risiken der Verbreitung rechtswidriger Produkte auf seinem Marktplatz gegen das Gesetz über digitale Dienste (DSA) verstößt. Die Untersuchung wird fortgesetzt und bezieht sich auch auf von Temu ergriffene Risikominderungsmaßnahmen, die Verwendung suchterzeugender Gestaltungsmerkmale, die Transparenz seiner Empfehlungssysteme und seinen Datenzugang für Forschende (EK Pressemitteilung 28.07.2025, IP/25/1913). Anm: Nähere Informationen zum DSA finden Sie in unserem Praxishandbuch DSA.

·           Am 01.08.2025 bestätigte die Europäische Kommission, dass der Praxisleitfaden für KI mit allgemeinem Verwendungszweck ein geeignetes freiwilliges Instrument für Anbieter von KI mit allgemeinem Verwendungszweck ist, um die Einhaltung der KI-VO 2024/1689 nachzuweisen, Commission Opinion, C(2025) 5361 final. Der Praxisleitfaden wurde auf Unionsebene unter Einbeziehung eines großen Kreises an Stakeholdern ausgearbeitet und besteht aus den Kapiteln Sicherheit und Gefahrenabwehr, Transparenz und Urheberrecht. Anm: Wir haben im Datenschutzmonitor 28/2025 vom 16.07.2025 berichtet. Der Begriff "Praxisleitfaden" wurde bei der finalen Überarbeitung in die deutsche Fassung der KI-VO aufgenommen. Auf der verlinkten Website wird hingegen noch der zuvor verwendete Begriff "Verhaltenskodex" verwendet. Nähere Informationen zu den Praxisleitfäden finden Sie hier: Leissler/Böszörmenyi in Zankl, KI-VO (2024) Art 56 KI-VO (Paywall).

·           Am 02.08.2025 sind die Governance-Vorschriften der KI-VO in Kraft getreten. Nähere Informationen zur KI-VO finden Sie im oben zitierten Kommentar zur KI-VO sowie in unserem Handbuch Künstliche Intelligenz in der Praxis.

·           Am 30.07.2025 wurden die (i) "Durchführungsverordnung (EU) 2025/1566 der Kommission vom 29. Juli 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Referenzstandards für die Überprüfung der Identität und der Attribute der Person, der das qualifizierte Zertifikat oder die qualifizierte elektronische Attributsbescheinigung ausgestellt werden soll", ABl L 2025/1566; (ii) "Durchführungsverordnung (EU) 2025/1567 der Kommission vom 29. Juli 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Verwaltung von qualifizierten elektronischen Fernsignaturerstellungseinheiten und qualifizierten elektronischen Fernsiegelerstellungseinheiten", ABl L 2025/1567; (iii) "Durchführungsverordnung (EU) 2025/1568 der Kommission vom 29. Juli 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Verfahrensmodalitäten für gegenseitige Begutachtungen elektronischer Identifizierungssysteme und für die Zusammenarbeit bei der Organisation solcher Begutachtungen innerhalb der Kooperationsgruppe und zur Aufhebung des Durchführungsbeschlusses (EU) 2015/296 der Kommission", ABl L 2025/1568; (iv) "Durchführungsverordnung (EU) 2025/1569 der Kommission vom 29. Juli 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf qualifizierte elektronische Attributsbescheinigungen und von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen bereitgestellte elektronische Attributsbescheinigungen", ABl L 2025/1569; (v) "Durchführungsverordnung (EU) 2025/1570 der Kommission vom 29. Juli 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Notifizierung von Informationen über zertifizierte qualifizierte elektronische Signaturerstellungseinheiten und zertifizierte qualifizierte elektronische Siegelerstellungseinheiten", ABl L 2025/1570; (vi) "Durchführungsverordnung (EU) 2025/1571 der Kommission vom 29. Juli 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Formate und Verfahren für die jährlichen Berichte der Aufsichtsstellen", ABl L 2025/1571; (vii) "Durchführungsverordnung (EU) 2025/1572 der Kommission vom 29. Juli 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf das Format und die Verfahren für die Absichtsmitteilung und die Überprüfung im Hinblick auf den Beginn der Erbringung qualifizierter Vertrauensdienste", ABl L 2025/1572, kundgemacht. Mit diesen sieben DurchführungsVOs werden Anforderungen, Standards und Verfahren betreffend die europäischen Brieftaschen iSd eIDAS festgelegt.

·           Am 01.08.2025 ist der Entwurf einer DurchführungsVO veröffentlicht worden, mit dem ein Mechanismus für die gegenseitige Begutachtung (Peer-Review) der nationalen Behörden für die Cybersicherheitszertifizierung gemäß dem Rechtsakt zur Cybersicherheit (VO (EU) 2019/881) eingeführt werden soll, Ares(2025)6278765.

·           Am 01.08.2025 ist der Entwurf einer DurchführungsVO, Ares(2025)6278517, veröffentlicht worden, in dem der Liste der Sachstandsdokumente neue Sachstandsdokumente für Cybersicherheitszertifizierungen hinzugefügt oder aktualisiert werden sollen. Sachstandsdokumente sind Dokumente, in welchen Evaluierungsmethoden, -techniken und -instrumente für die Cyberzertifizierung festgelegt werden (auf Englisch: state-of-the-art documents).

Die Erhebung und Übermittlung eines ärztlichen Attests ist eine Verarbeitung besonderer Kategorien personenbezogener Daten. Gemäß § 9 Abs 1 COVID-19-Maßnahmengesetz waren Organe des öffentlichen Sicherheitsdienstes befugt, Unterlagen zur Einhaltung von Betretungsverboten, Voraussetzungen und Auflagen einzusehen und Beweismittel zu sichern. Die Vorlage und mögliche Weiterleitung des Attests zur Befreiung der Maskenpflicht an die Verwaltungsstrafbehörde und an die Ärztekammer war für den Betroffenen vorhersehbar und für die Einleitung eines Verwaltungsstrafverfahrens erforderlich. Die Weiterleitung an die Ärztekammer diente zur Überprüfung der Echtheit der ärztlichen Bestätigung. Da das BVwG die Beweiswürdigung ausführlich und sorgfältig vorgenommen hat und der Revision keine über den Einzelfall hinausgehende Bedeutung zukommt, war diese zurückzuweisen (VwGH 04.07.2025, Ra 2023/04/0220).

Dem an den Rechtsanwalt gerichteten Verbot der direkten Kontaktaufnahme mit der anwaltlich vertretenen Gegenseite nach § 19 RL-BA 2015 wird durch das in Art 15 DSGVO verankerte Auskunftsrecht des Betroffenen nicht derogiert (OGH 30.07.2025, 23Ds4/24a).

Das Revisionsverfahren wird bis zur Entscheidung des EuGH in der Rs C-468/24, Netz Niederösterreich, unterbrochen. In dieser Rs sind beim EuGH Vorlagefragen zu datenschutzrechtlichen Bedenken hinsichtlich des Austauschs einer Strommesseinrichtung gegen einen Smart Meter anhängig. Diese Fragen sind in diesem Revisionsverfahren präjudiziell, weshalb es zweckmäßig und geboten ist, bis zur Entscheidung des EuGH zuzuwarten (OGH 23.07.2025, 3Ob58/25p).

Nach einem Auskunftsersuchen gemäß Art 15 DSGVO stritt ein Betroffener mit einer Wirtschaftsauskunftei über die Vollständigkeit der erteilten Auskunft. Die Auskunftei hatte drei Seiten mit überwiegend allgemeinen Ausführungen zur Datenverarbeitung übersandt, behauptete jedoch, keine automatisierte Entscheidungsfindung iSd Art 22 DSGVO iZm der Bonitätsbewertung des Betroffenen durchzuführen. Da der Betroffene darin eine Verletzung seiner Rechte sah, legte er Datenschutzbeschwerde bei der DSB ein. Nach Ablauf der Entscheidungsfrist erhob er Säumnisbeschwerde an das BVwG. Im weiteren Verfahrensgang forderte das BVwG die Auskunftei ausdrücklich auf, sämtliche vorhandene Informationen und Unterlagen zur automatisierten Verarbeitung der personenbezogenen Daten des Betroffenen vorzulegen sowie etwaige als Geschäftsgeheimnis eingestufte Informationen entsprechend zu kennzeichnen und das Geheimhaltungsinteresse konkret darzulegen. Trotz dieser gerichtlichen Aufforderung legte die Auskunftei keine weiteren konkreten Unterlagen oder detaillierten Informationen vor. Das BVwG hat in der Sache entschieden und gab der Datenschutz- bzw Säumnisbeschwerde teilweise statt.

Das BVwG hat erwogen: Nach der Rechtsprechung des EuGH ist Art 22 Abs 1 DSGVO dahin auszulegen, dass eine "automatisierte Entscheidung im Einzelfall" vorliegt, wenn ein auf personenbezogene Daten gestützter Wahrscheinlichkeitswert maßgeblich bestimmt, ob ein Dritter ein Vertragsverhältnis mit der Betroffenen begründet, durchführt oder beendet. Dies traf für die von der Auskunftei berechneten Bonitätsscores zu.

Der Anspruch auf Auskunft nach Art 15 Abs 1 lit h DSGVO verlangt, Betroffene so zu informieren, dass sie die Funktionsweise des Scorings, die zugrunde liegenden Daten, die Gewichtung der Parameter und die möglichen Auswirkungen auf ihre Rechtsstellung nachvollziehen können. Weder die bloße Übermittlung einer komplexen mathematischen Formel noch die detaillierte Beschreibung jedes Schritts genügt, wenn sie keine präzise und verständliche Erläuterung ist.

Die von der Auskunftei übermittelten allgemeinen Hinweise ("statistische Werte" sowie pauschale Aufzählungen von Datenquellen und Kategorien) genügen diesen Transparenzanforderungen nicht. Insbesondere fehlen (i) eine Aufschlüsselung der konkret herangezogenen personenbezogenen Daten des Betroffenen als Parameter/Eingangsvariablen, (ii) deren tatsächlicher Einfluss auf das Ergebnis (Gewichtung), (iii) Informationen zur Funktionsweise des Algorithmus sowie (iv) eine verständliche Erläuterung, weshalb der konkrete Score (Ratingwert 2,02; Ampelscore 2) zustande kam. Ebenso wurde keine individualisierte Auskunft zur Tragweite und den angestrebten Auswirkungen des errechneten Scores erteilt. Der pauschale Verweis auf Geschäftsgeheimnisse rechtfertigt keine Verweigerung detaillierter Erläuterungen, solange der Verantwortliche diese nicht substantiiert darlegt und zumindest gegenüber Gericht bzw Aufsichtsbehörde offengelegt. Da die Auskunftei weder die involvierte Logik hinreichend erläuterte noch die Tragweite und angestrebten Auswirkungen individualisiert beschrieb, hat sie das Auskunftsrecht des Betroffenen verletzt.

Ein Vater verlangte von einem Kinderarzt die Übermittlung sämtlicher medizinischer Daten sowie Auskunft, an wen diese weitergegeben wurden für sich, seine Lebensgefährtin, seinen minderjährigen Sohn und seine minderjährige Tochter. Der Vater vermutete, dass durch eine verpflichtende Gefährdungsmeldung Daten ua an die Bezirkshauptmannschaft versendet wurden. Der Arzt übermittelte sämtliche medizinische Daten zum Sohn und erteilte Auskunft über die verarbeiteten Stammdaten der Familie, verneinte aber eine weitere Datenverarbeitung oder -weitergabe. Der Vater hielt die erteilte Auskunft für unvollständig.

Die DSB wies die Datenschutzbeschwerde wegen Verletzung im Recht auf Information, Auskunft, Datenübertragbarkeit und Geheimhaltung hinsichtlich des Vaters und der Lebensgefährtin ab und hinsichtlich des Sohnes und der Tochter zurück. Zur Tochter führte die DSB begründend aus, dass dem Vater die Vertretungsbefugnis fehle, weil er nicht mit deren Obsorge betraut war. Dagegen erhob der Vater (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Arzt verarbeitete zu der Familie keine weiteren medizinischen Daten/Unterlagen. Auch wurden solche Daten aufgrund einer an ihn gerichteten Gefährdungsmeldung nicht (schriftlich) weitergegeben. Eine Mangelhaftigkeit der Auskunft ist daher nicht ersichtlich.

Die Regelung des § 3b Abs 2 ÄrzteG nimmt Datenverarbeitungen, welche im Zuge der ärztlichen Berufsausübung durchzuführen sind, von der Informationspflicht des Art 13 und 14 DSGVO aus. Eine Verletzung im Recht auf Information lag daher schon aus diesem Grund nicht vor.

Die Familie hat keinen Antrag auf Datenübertragbarkeit nach Art 20 DSGVO an den Arzt gerichtet, weshalb keine Verletzung im Recht auf Datenübertragbarkeit vorliegen konnte.

Eine (schriftliche) Korrespondenz zwischen dem Arzt und der Bezirkshauptmannschaft fand iZm einer verpflichtenden Gefährdungsmeldung nicht statt. Die behauptete Verletzung im Recht auf Geheimhaltung ist daher nicht gegeben.

Die erfolgte Zurückweisung der Datenschutzbeschwerde hinsichtlich des Sohnes war nur ein Vergreifen im Ausdruck.

Eine gemeinnützige Organisation unterstützte arbeitsuchende Personen dabei, eine neue Perspektive am Arbeitsmarkt zu finden, und setzte hierfür arbeitsmarktpolitische Projekte von öffentlichen Auftraggebern um. Dafür schloss sie einen Förderungsvertrag sowie eine damit verbundene Vereinbarung zur Auftragsverarbeitung gemäß Art 28 DSGVO mit dem Auftraggeber ab. Ein Teilnehmer einer solchen arbeitsmarktpolitischen Maßnahme unterzeichnete eine Information gemäß Art 13 DSGVO. Anschließend warf er der gemeinnützigen Organisation vor, ihn nicht ordnungsgemäß auf sein Widerspruchsrecht nach Art 21 DSGVO und sein Widerrufsrecht nach Art 7 Abs 3 DSGVO hingewiesen zu haben. Er behauptete, listig getäuscht worden zu sein, um seine Unterschrift zu erlangen.

Die DSB wies die Datenschutzbeschwerde ab. Sie stellte fest, dass die gemeinnützige Organisation als Auftragsverarbeiter gemäß Art 4 Z 8 DSGVO zu qualifizieren sei, weil sie die Verarbeitung im Auftrag eines Verantwortlichen durchgeführt habe. Zudem fehle dem Teilnehmer im Hinblick auf Art 13 und Art 14 DSGVO die Beschwer. Daraufhin erhob der Teilnehmer (erfolglos) Bescheidbeschwerde an das BVwG und beantragte (ebenso erfolglos) Schadenersatz nach Art 82 DSGVO.

Das BVwG hat erwogen: Gemäß Art 4 Z 7 DSGVO ist "Verantwortlicher" die Person oder Stelle, die über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Trifft ein Akteur tatsächlich und faktisch die Entscheidung für die Aufnahme einer Datenverarbeitung, ist dieser als Verantwortlicher iSd DSGVO anzusehen. Die Rolle von Auftragsverarbeitern ergibt sich aus den konkreten Tätigkeiten in einem bestimmten Kontext. Die Art des Dienstes bestimmt, ob die Verarbeitungstätigkeit auf eine Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen hinausläuft.

Die Pflicht zur Information gemäß Art 13 und 14 DSGVO trifft den Verantwortlichen.

Die gemeinnützige Organisation ist hinsichtlich des Zwecks und der Mittel der Verarbeitung der personenbezogenen Daten an die Weisungen, die sich ua aus dem Fördervertrag und aus dem Auftragsverarbeitungsvertrag ergeben, gebunden. Diese Regelungen lassen der gemeinnützigen Organisation keinen Raum, einen hinreichenden Einfluss auf die durchgeführten Datenverarbeitungen auszuüben. Folglich ist bzw war die gemeinnützige Organisation nicht Verantwortliche hinsichtlich der gerügten Datenverarbeitung.

Für den geltend gemachten Schadenersatzanspruch ist das BVwG sachlich unzuständig.

Im Rahmen eines Exekutionsverfahrens prüfte ein Exekutionsrichter die Einkommenssituation eines Schuldners mit einer Datenabfrage beim Dachverband der Sozialversicherungsträger. Der Schuldner brachte Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde zurück, weil die Abfrage im Rahmen der justiziellen Tätigkeit des Gerichts erfolgt sei. Der Begriff justizielle Tätigkeit sei weit auszulegen und umfasse auch Datenverarbeitungen im Rahmen von Exekutionsverfahren. Der Schuldner erhob (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSB ist gemäß Art 55 Abs 3 DSGVO nicht für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig.

Der Begriff "justizielle Tätigkeit" ist in der DSGVO nicht näher definiert und ist autonom iSd Unionsrechts auszulegen. Eine justizielle Tätigkeit liegt vor, wenn ein Richter in Ausübung seines richterlichen Amts tätig wird oder sonst in Besorgung der übertragenen Amtsgeschäfte weisungsfrei gestellt ist. Zu prüfen ist, ob durch die Kontrolle der DSB die Unabhängigkeit der Gerichte mittel- oder unmittelbar beeinflusst werden kann. Es kommt nicht darauf an, ob es sich verfahrensrechtlich um ein streitiges oder außerstreitiges Verfahren handelt.

Exekutionsverfahren sind justizielle Tätigkeiten. Eine von einem Exekutionsrichter durchgeführte Datenabfrage in Ausübung des richterlichen Amts, gestützt auf die Exekutionsordnung, ist davon umfasst. Der Schuldner kann gegen die Datenverarbeitung eine Beschwerde nach § 85 GOG an das im Instanzenzug übergeordnete Zivilgericht richten.

Ein Aussetzungsbescheid der DSB verliert seine Rechtswirksamkeit mit dem Eintritt des Zeitpunkts, bis zu welchem die Aussetzung verfügt wurde. Nach diesem Zeitpunkt ist wegen nachträglichen Wegfalls des Rechtsschutzinteresses (der Beschwer) das Beschwerdeverfahren einzustellen (BVwG 16.06.2025, W101 2259199-2).

In einem vorangegangenen Verfahren erhob ein Auskunftswerber Datenschutzbeschwerde gegen einen Rechtsanwalt und weitete anschließend die Datenschutzbeschwerde auf die nunmehrige Antragstellerin aus. Die DSB erkannte dies als neue, getrennt zu beurteilende Sache und leitete ein neues Beschwerdeverfahren ein, das später nur gegenüber dem Auskunftswerber mit Bescheid zurückgewiesen wurde. Die Antragstellerin erfuhr von diesem Verfahren nur indirekt. Weder wurde ihr der Zurückweisungsbescheid zugestellt, noch wurde sie anderweitig in das Verfahren einbezogen. Mehrere Anträge ihres Rechtsanwalts auf Akteneinsicht und Zustellung des Bescheids lehnte die DSB mit der Begründung ab, dass die Antragstellerin keine Verfahrenspartei sei. Daraufhin beantragte die Antragstellerin selbst die Zustellung des Zurückweisungsbescheids. Die DSB wies diesen Antrag ab.

Die DSB hat erwogen: Das Recht auf Akteneinsicht nach § 17 AVG setzt ein Verwaltungsverfahren voraus, in dem der Akteneinsichtswerber Parteistellung hat. Die Antragstellerin war zwar im Verwaltungsverfahren Beteiligte, weil sich die Tätigkeit der DSB auf die Antragstellerin bezogen hat, indem die DSB ihre grundsätzliche Zuständigkeit bejaht hat und die entsprechenden Vorwürfe zur Kenntnis genommen und aktenkundig gemacht hat.

Partei ist aber nur, wer einen Rechtsanspruch oder ein rechtliches Interesse hat. Maßgebend ist, dass die Sachentscheidung in die Rechtssphäre des Betreffenden bestimmend eingreift und eine unmittelbare, nicht bloß abgeleitete und mittelbare Wirkung entfaltet. Im Zweifel ist ein subjektives Recht dann zu vermuten, wenn nicht ausschließlich öffentliche Interessen, sondern zumindest auch das Interesse einer von der Allgemeinheit abgrenzbaren Person für die gesetzliche Festlegung der verpflichtenden Norm maßgebend war. Diese Voraussetzung ist erfüllt, wenn ein die bestehenden subjektiven Rechte belastender Rechtsgestaltungs- oder Feststellungsbescheid erlassen werden soll.

Die DSB prüft in der Eingangsprüfung die formelle und materielle Zulässigkeit der Datenschutzbeschwerde. In diesem Verfahrensstadium besteht kein subjektives Recht auf Abweisung einer inhaltlich unberechtigten Datenschutzbeschwerde. Ein solches entsteht erst, wenn die Datenschutzbeschwerde nach erfolgter Zulässigkeitsprüfung der Beschwerdegegnerin zugestellt und ihr die Beschwerdevorwürfe vorgehalten werden. Die Parteistellung kann sich im Verlauf eines mehrstufigen Verwaltungsverfahrens ändern, wenn sich der Verfahrensgegenstand und die Rechtsschutzinteressen ändern.

Die § 24 Abs 1 und 2 DSG iVm § 13 Abs 3 AVG begründen lediglich eine objektive Rechtspflicht der DSB, eine den Form- und Inhaltskriterien nicht entsprechende Datenschutzbeschwerde von Amts wegen inhaltlich nicht zu behandeln. Ein subjektives Recht ist dabei lediglich insoweit berührt, als dem Beschwerdeführer das Recht zukommt, keiner willkürlichen oder sonst unbegründeten Nicht-Zulassung einer Datenschutzbeschwerde unterworfen zu werden.

Mangels Parteistellung der Antragstellerin kommt ihr kein Recht auf Zustellung des Zurückweisungsbescheids oder ein Recht auf Akteneinsicht gemäß § 17 Abs 1 AVG zu. Insbesondere fehlt es ihr an einem Rechtsschutzinteresse, weil sie durch die Zurückweisung der Datenschutzbeschwerde nicht beschwert oder in einem subjektiven Recht verletzt sein kann. Beachte: Am 01.09.2025 tritt das neue Grundrecht auf Information bzw Informationszugang in Kraft. Das Informationsfreiheitsgesetz wird zum Recht auf Akteneinsicht subsidiär gelten, könnte künftig jedoch Zugriff auf Fremdakten ermöglichen, sofern diesem Zugriff keine Geheimhaltungspflicht gemäß § 6 IFG entgegensteht.

• Am 04.08.2025 wurde das Steiermärkische Förderungstransparenzgesetz (StFTG 2025), LGBl 2025/55, kundgemacht. Mit diesem Gesetz werden die Verpflichtungen des Landes Steiermark zur Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) umgesetzt.
  
  
• Am 06.08.2025 wurde das Wiener Informationsfreiheitsanpassungsgesetz 2025, LGBl 2025/39, kundgemacht. Mit dieser Sammelnovelle werden knapp 30 Wiener Landesgesetze an das neue Grundrecht auf Information angepasst.

·         Der Angeklagte fertigte während eines Videotelefonats ohne Zustimmung der Geschädigten Screenshots an, die deren Genitalien und Schamgegend zeigten. Anschließend veröffentlichte der Angeklagte diese Screenshots zweimal auf Facebook und schickte sie dreimal dem Bruder der Geschädigten. Damit verwirklichte der Angeklagte den Straftatbestand der Datenverarbeitung in Schädigungsabsicht nach § 63 DSG in Form einer tatbestandlichen Handlungseinheit (OGH 05.08.2025, 12Os71/25w). Anm: Die tatbestandliche Handlungseinheit wurde früher als fortgesetztes Delikt bezeichnet. Im Verwaltungsstrafrecht werden (nunmehr) beide Begriffe synonym verwendet.

·         Beauftragt eine Betroffene einen Rechtsanwalt mit der Durchsetzung ihres Betroffenenrechts auf Auskunft, muss der Verantwortliche die Vollmacht und Identität der Betroffenen prüfen. Weitere Informationen zur Bestätigung der Identität dürfen nicht generell, sondern nur bei begründeten Zweifeln an der Identität verlangt werden. Eine Ausweiskopie ist ein geeigneter Identitätsnachweis. Der Bevollmächtigungsvertrag ist an keine speziellen Form-erfordernisse geknüpft. Teilt der Verantwortliche lediglich mit, keine elektronischen Vollmachten zu akzeptieren, ohne Zweifel an der Echtheit der Unterschrift zu äußern, ist für den Betroffenen nicht ersichtlich, ob berechtigterweise weitere Nachweise zur Erfüllung des Auskunftsersuchens verlangt werden. Da der Verantwortliche die allenfalls bestehenden Zweifel iSd Art 12 Abs 6 DSGO nicht einzelfallbezogen dargelegt hat, wurde die Klageerhebung durch den Verantwortlichen veranlasst (OLG Wien 11.02.2025, 4R5/25x).

·         Die Auskunftspflicht besteht auch dann, wenn der Auskunftswerber mit seinem Auskunftsersuchen ein datenschutzfremdes Ziel verfolgt. Das festgestellte Motiv des Klägers, nach der Auskunftserteilung die Möglichkeit zu haben, den bei den Online-Glücksspielen erlittenen Verlust (infolge nichtiger Rechtsgeschäfte) gerichtlich geltend zu machen, ist nicht unlauter. Richtig ist, dass das Auskunftsrecht die Rechte und Freiheiten anderer Personen – wozu auch der Verantwortliche zählt – nicht beeinträchtigen soll. Dies darf jedoch nicht dazu führen, dass jegliche Auskunft verweigert wird (OLG Linz 16.01.2025, 4R157/24x).

·         Die der Erfüllung behördlicher Aufgaben dienende Datenverarbeitung iSd DSGVO (elektronischer Art) oder des DSG (auch analoger Natur) ist der Hoheitsverwaltung zuzuordnen. Die Unterlassungsklage zielt damit unzulässigerweise auf eine Untersagung (wenn auch rechtswidrigen) hoheitlichen Handelns ab. Rechtswidriges und schuldhaftes hoheitliches Handeln kann gemäß § 1 Abs 1 AHG einen Amtshaftungsanspruch begründen. Andere Ansprüche als Schadenersatz auf Zahlung oder Feststellung der Ersatzpflicht können nicht auf das AHG gestützt werden. Insb sind Wiederherstellungs- oder (vorbeugende) Unterlassungsbegehren nicht möglich (OLG Wien 26.02.2025, 11R202/24t).

BVwG 20.06.2025, W252 2290822-1

Auskunft, Akteneinsicht, nationale Sicherheit, Exzess

·         Ein ehemaliger Bediensteter des Bundesheeres begehrte von seiner Dienstbehörde Auskunft über die Verarbeitung seiner personenbezogenen Daten im Personalinformationssystem (PERSIS) und im sog "kleinen Personalakt", insb iZm Disziplinarverfahren und Mitarbeitergesprächen. Die Behörde erteilte teilweise Auskunft, verweigerte aber die Beauskunftung bestimmter Daten mit Verweis auf Akteneinsichtsrechte in Disziplinarverfahren und argumentierte, die DSGVO sei nicht anwendbar, weil die Datenverarbeitung der militärischen Landesverteidigung und damit der nationalen Sicherheit diene. Zudem wurde das Auskunftsersuchen als exzessiv bezeichnet. Der ehemalige Bedienstete erhob Datenschutzbeschwerde. Die DSB gab dieser teilweise Folge und trug der Dienstbehörde auf, vollständige Auskunft zu erteilen. Dagegen erhob die Dienstbehörde (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Tätigkeiten, welche die nationale Sicherheit betreffen, worunter auch der Verteidigungsbereich fällt, sind vom sachlichen Anwendungsbereich der DSGVO ausgenommen. Diese Ausnahme ist jedoch eng auszulegen und betrifft nur Datenverarbeitungen, die unmittelbar der Wahrung der nationalen Sicherheit dienen. Die bloße Tatsache, dass das Bundesheer Aufgaben im Bereich der Landesverteidigung wahrnimmt, führt nicht dazu, dass sämtliche Personalverwaltungsdaten von der DSGVO ausgenommen sind.

Die Verarbeitung personenbezogener Daten im Personalakt und iZm Disziplinarverfahren fällt in den Anwendungsbereich der DSGVO. Die DSB kann auch Verantwortlichen des öffentlichen Bereichs Leistungsaufträge erteilen. Die Einschränkung des § 24 Abs 5 DSG auf Verantwortliche des privaten Bereichs hat aufgrund des Anwendungsvorrangs des Art 58 Abs 2 lit c DSGVO, der eine solche Einschränkung nicht vorsieht, unangewendet zu bleiben.

Ein Verweis auf bestehende Akteneinsichtsrechte in Disziplinarverfahren entbindet die Behörde nicht von der Pflicht, ein Auskunftsersuchen nach der DSGVO zu beantworten. Der Gegenstand einer Akteneinsicht kann je nach Lage des Einzelfalls mit dem Gegenstand einer Auskunft nach Art 15 DSGVO inhaltsgleich sein, doch ist das keinesfalls zwingend. Das datenschutzrechtliche Auskunftsrecht ist eigenständig und nicht subsidiär gegenüber dem Akteneinsichtsrecht.

Eine Vielzahl von Anträgen oder Datenschutzbeschwerden allein reicht nicht aus, um ein Auskunftsersuchen als exzessiv iSd Art 57 Abs 4 DSGVO einzustufen. Vielmehr ist eine Missbrauchsabsicht der betroffenen Person nachzuweisen.

BVwG 23.06.2025, W211 2297059-1

Insolvenzverfahren, strafrechtliche Verurteilung, Rechtsanspruch

·         In einem Insolvenzverfahren legte ein Gläubiger dem Insolvenzgericht strafrechtliche Verurteilungen der Schuldnerin vor. Seiner Ansicht nach war die Angabe der Vermögensverhältnisse der Schuldnerin unzutreffend. Dies wollte er mit den vorgelegten Urteilen beweisen. Weiters wollte er die Annahme eines Zahlungsplans verhindern, um weiterhin Regress gegen die Schuldnerin führen zu können. Die Schuldnerin sah in der Veröffentlichung eine Verletzung ihres Rechts auf Geheimhaltung und brachte Datenschutzbeschwerde bei der DSB ein. Die DSB stellte eine Verletzung des Rechts auf Geheimhaltung fest. Der Gläubiger erhob (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verarbeitung strafrechtsbezogener Daten gemäß Art 10 DSGVO darf nur unter behördlicher Aufsicht erfolgen oder wenn dies nach einer geeigneten Rechtsvorschrift vorgesehen ist. Die Verarbeitung von strafrechtlich relevanten Daten durch Privatpersonen ist in § 4 Abs 3 DSG geregelt. Eine Verarbeitung ist zulässig, wenn dies zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gemäß Art 6 Abs 1 lit f DSGVO erforderlich ist.

Eine Interessenabwägung ist durchzuführen. Dabei muss die Verarbeitung ex-ante als erforderlich beurteilt werden. An die Erforderlichkeit werden keine zu hohen Ansprüche gestellt. Eine plausible Begründung der Beweiserheblichkeit reicht. Das berechtigte Interesse, nicht-sensible Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen zu verarbeiten, kann aus einem Größenschluss aus Art 9 Abs 2 lit f DSGVO abgeleitet werden.

Der Erhalt von Regressmöglichkeiten gegenüber einer Schuldnerin kann ein berechtigtes Interesse im Insolvenzverfahren sein. Falls der Zahlungsplan angenommen wird, kann nach Erfüllung kein Regress mehr aus Forderungen geführt werden. Diese Möglichkeit besteht nur bei einem Abschöpfungsverfahren.

Ein Insolvenzgericht hat bei der Bestätigung des Zahlungsplans aber nur die Kriterien nach der Insolvenzordnung (IO) zu beurteilen. Die Annahme eines Zahlungsplans liegt in der Entscheidung der Gläubiger. Das Gericht hat nicht auf das Interesse einzelner Gläubiger Rücksicht zu nehmen. Die Übermittlung der Urteile an das Insolvenzgericht war daher überschießend und nicht erforderlich.

BVwG 26.05.2025, W101 2267859-1; 26.05.2025, W101 2280857-1

Data Breach, COVID, Nachweis

·         Betroffene erfuhren durch Medienberichterstattung von einer angeblichen unrechtmäßigen Verarbeitung und Offenlegung ihrer COVID-19-Testergebnisse durch ein Corona-Testzentrum. Durch den Versand einer Excel-Liste per E-Mail wurden ihrer Auffassung nach Daten zu den Testergebnissen unrechtmäßig offengelegt. Daraufhin brachten sie Datenschutzbeschwerde bei der DSB ein. Die DSB gab den Datenschutzbeschwerden statt und stellte eine unrechtmäßige Datenverarbeitung fest. Nach Auffassung der DSB wurde die Excel-Liste unberechtigt offengelegt und ohne Rechtfertigungsgrund ungesichert in einem E-Mail-Postfach aufbewahrt. Dies allein könne den Zugang von unberechtigten Dritten zu Gesundheitsdaten begünstigen und bedeutet eine Verletzung im Recht auf Geheimhaltung. Dagegen erhob das Testzentrum (erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Jede betroffene Person hat einen Anspruch auf Geheimhaltung ihrer personenbezogenen Daten. Der Anknüpfungspunkt des Grundrechtsanspruchs ist das Vorliegen eines schutzwürdigen Interesses.

Im Verfahren konnte die ursprüngliche E-Mail, mit der die Excel-Liste angeblich versandt wurde, nicht wiederhergestellt werden. Eine unrechtmäßige Offenlegung konnte auch durch Logfiles nicht bestätigt werden. Wie die Excel-Liste an die Medien gelangte, blieb unklar. Kann keine unrechtmäßige Offenlegung oder Verarbeitung von Daten im Verfahren festgestellt werden, ist eine Sicherheitsverletzung iSd Art 32 Abs 1 DSGVO bzw die Verletzung der Grundsätze der Datensicherheit und der Datenminimierung nicht erwiesen. In Ermangelung einer unrechtmäßigen Datenverarbeitung kann keine Verletzung des Rechts auf Geheimhaltung festgestellt werden.

Der bloße Umstand einer an die Medien gelangten Excel-Liste ist kein ausreichender Nachweis für eine unrechtmäßige Offenlegung aus dem Verantwortungsbereich des Testzentrums.

BVwG 28.05.2025, W137 2255428-1

Suchmaschine, De-Indexierung, Person des öffentlichen Lebens

·         Eine Unternehmerin stand aufgrund ihrer Heirat mit einem bekannten Industriellen sowie durch ihre Tätigkeit als Geschäftsführerin in der Öffentlichkeit. Sie brachte ein Löschersuchen bei einem Suchmaschinenbetreiber ein, in dessen Suchmaschine bei Eingabe ihres Namens mehrere URLs zu einer Website aufschienen, auf denen ein anonymer Verfasser in drei Beiträgen personenbezogene Informationen über sie veröffentlichte. Die Beiträge enthielten ua persönliche Angriffe und einen Schenkungsvertrag zwischen der Unternehmerin und ihrer Großmutter. Der Suchmaschinenbetreiber kam dem Ersuchen nicht nach. Die DSB stellte eine Verletzung des Rechts auf Löschung fest und verpflichtete das Unternehmen zur Löschung der konkreten URLs. Sie hielt fest, dass der Ausnahmetatbestand des Art 17 Abs 3 lit a DSGVO nicht vorliege und die Beiträge diffamierende und unrichtige Aussagen enthielten, die auf die Schädigung der Unternehmerin abzielten. Dagegen erhob der Suchmaschinenbetreiber (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Werturteile geben die subjektive Meinung des Erklärenden wieder und können personenbezogene Daten anderer Personen enthalten. Sie sind einem Berichtigungsanspruch per se nicht zugänglich. Während Tatsachen einem Beweis zugänglich sind, ob sie richtig oder falsch sind, ist dies bei Werturteilen nicht der Fall.

Zwei der veröffentlichten Artikel sind Werturteile eines unbekannten Dritten, weil die dort geäußerten Ausführungen keiner objektiven Überprüfung zugänglich sind. Die Sachinformationen sind für sich genommen nicht "falsch", sondern sie werden vom Autor klar abwertend bzw negativ interpretiert.

Der dritte Artikel enthält hingegen nur die objektive Kernaussage, dass "die im Vertrag genannte Schenkung schon am nächsten Tag in voller Höhe zurückerstattet worden sei". Diese Aussage ist einer Überprüfung auf ihre Richtigkeit grundsätzlich zugänglich, weil kein Einschätzungsspielraum besteht. Werturteile, die konkludente Tatsachenbehauptungen sind, dürfen nicht schrankenlos geäußert werden.

Im Hinblick auf Personen des öffentlichen Lebens ist nicht jeder Aspekt des Privatlebens in gleichem Ausmaß von Interesse für die Öffentlichkeit. An einer subjektiven Meinung über eine Person des öffentlichen Lebens, welche nicht auf einem ausreichenden Tatsachensubstrat gründet, besteht kein ausreichendes Interesse der Öffentlichkeit. Daher überwiegt das Geheimhaltungsinteresse der Unternehmerin.

Es liegt ein Wertungsexzess vor, welcher die Grenzen zulässiger Kritik überschreitet. Die Beiträge orientieren sich nicht hinreichend bzw nachvollziehbar an konkreten Fakten. Der Gegenstand der Berichterstattung zielt ausschließlich auf die Diffamierung der Unternehmerin ab.

·         Das "Amtswissen" als abstrakt vorhandenes Wissen kann nicht Gegenstand einer zu erteilenden Auskunft iSd Art 15 DSGVO sein, weil keine Verarbeitung personenbezogener Daten iSd Art 4 Z 2 DSGVO erfolgt. Hinsichtlich der Auskunftspflicht über die Datenherkunft spricht Art 15 Abs 1 lit g DSGVO ausdrücklich von "verfügbaren" Informationen. Eine Pflicht zur Dokumentation von Datenquellen besteht nicht. Ein subjektives Recht auf Verfahrensverbindung nach § 39 Abs 2 AVG gibt es nicht. Adressat der Bestimmung des § 7 AVG betreffend Befangenheit kann niemals ein Organ als bloße Summe von Zuständigkeiten sein, sondern nur ein Mensch, also der Organwalter. Ein Befangenheitsgrund gemäß § 7 AVG kann sich nicht auf eine Behörde beziehen (BVwG 24.06.2025, W176 2291296-1).

·         Die mit rückwirkender Kraft ausgestattete Gestaltungswirkung eines aufhebenden Erkenntnisses bedeutet auch, dass allen Rechtsakten und faktischen (Vollzugs-)Akten, die während der Geltung des später aufgehobenen Erkenntnisses auf dessen Grundlage gesetzt wurden, im Nachhinein die Rechtsgrundlage entzogen wird. Ein behördlicher Eingriff in das Grundrecht auf Datenschutz gemäß § 1 DSG wegen überwiegender berechtigter öffentlicher Interessen ist nur dann erlaubt, wenn er durch gesetzliche Grundlagen hinreichend determiniert ist. Datenverarbeitungen auf gesetzlicher Grundlage sind vom bedungenen Grundverfahren abhängig bzw teilen deren rechtliches Schicksal. Es ist weder für einen Betroffenen noch für einen verständigen Dritten absehbar, dass zwar die Speicherung der rechtsstaatlich zu Unrecht durchgeführten Verfahren gelöscht werden muss, nicht jedoch ein darauf beruhender Antrag (BVwG 04.06.2025, W298 2301992-1).

·         Die Information über eine Krankenhausbehandlung ist als Angabe über die Inanspruchnahme/Nichtinanspruchnahme einer Gesundheitsdienstleistung zu qualifizieren und ist somit auch bei einer Negativauskunft ein Gesundheitsdatum. In einem arbeitsgerichtlichen Entlassungsverfahren darf dieses Gesundheitsdatum jedoch zur Überprüfung eines "vorgetäuschten" Krankenstands beim Krankenhaus abgefragt werden. Der Erlaubnistatbestand des Art 9 Abs 2 lit f DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) normiert für sensible Daten einen Sonderfall des allgemeinen Erlaubnistatbestands des berechtigten Interesses nach Art 6 Abs 1 lit f DSGVO. Da für die Geltendmachung oder Verteidigung von Rechtsansprüchen keine Abwägung mit Betroffeneninteressen vorgesehen ist, ist auf die Erforderlichkeit ein besonderes Augenmerk zu legen. Diese ist jedenfalls gegeben, wenn die Datenanfrage auf die Wiederlegung eines Prozessvorbringens gerichtet ist (BVwG 30.05.2025, W256 2246885-1).

·         Die Rolle als Verantwortlicher ist nach einer funktionalen Sichtweise festzulegen. Die Verantwortlichkeit wird anhand des tatsächlichen Einflusses zugewiesen. Sieht eine Rechtsnorm implizite rechtliche Verpflichtungen vor, ist als Verantwortlicher jene Person oder Stelle anzusehen, die diese rechtliche Verpflichtung trifft. Rechtsanwälte, Hausverwaltungen und Sachverständige sind regelmäßig selbst Verantwortliche (BVwG 26.06.2025, W298 2291079-1). Anm: Ob Hausverwaltungen nur im Verhältnis zu Eigentümern oder auch zu Mietern gemeint sind, geht aus der Entscheidung nicht hervor. Verfahrensgegenstand war nicht die Rolle von Hausverwaltungen.

·         Die Rechenschaftspflicht ist auf den ersten Blick sehr weitgehend, sie unterliegt jedoch Verhältnismäßigkeitsabwägungen entsprechend dem risikobasierten Ansatz. Eine unbeschränkte Nachweispflicht betreffend die Einhaltung jeder einzelnen datenschutzrechtlichen Pflicht würde mit grundlegenden rechtsstaatlichen Prinzipien in Konflikt geraten. Eine generelle Protokollierung jedes einzelnen Verarbeitungsvorgangs ist nicht gefordert und würde die Grundsätze der Datenminimierung und Speicherbegrenzung konterkarieren. Die Rechenschaftspflicht ist nur gegenüber der zuständigen Aufsichtsbehörde zu erfüllen. Die Feststellung einer in der Vergangenheit liegenden Auskunftspflichtverletzung kommt nicht in Betracht (BVwG 23.06.2025, W211 2291530-1).

·         Eine Rechtsverletzung durch Nichterteilen der Auskunft kann bis zum Ende des Verfahrens vor dem BVwG nachträglich beseitigt werden (Sanierung). Dem Auskunftswerber ist während des Verfahrens vor dem BVwG die Auskunft erteilt worden. Die Feststellung einer in der Vergangenheit liegenden Auskunftspflichtverletzung kommt nicht in Betracht. Das Beschwerdeverfahren ist mit Beschluss einzustellen (BVwG 25.06.2025, W254 2307864-1).

·         Eine Missbrauchsabsicht kann dadurch gekennzeichnet sein, dass dem Betroffenen die Unrichtigkeit seines Rechtsstandpunkts bewusst ist. Auf eine Missbrauchsabsicht deuten weiters ausschweifende Vorbringen und übermäßige Wiederholungen hin. Ist der primäre Zweck der Datenschutzbeschwerde, den Kontakt zum minderjährigen Sohn herzustellen, obwohl der Vater kein Sorgerecht hat und ein aufrechtes Kontaktverbot besteht, ist die Missbrauchsabsicht offensichtlich. Die Obsorge- und Kontaktrechtsproblematik ist ein sachfremdes Motiv, das unter dem Deckmantel des Datenschutzrechts nicht verfolgt werden darf (BVwG 17.06.2025, W252 2280887-1; 17.06.2025, W252 2280766-1).

·         Der Datenschutzbeschwerde liegen keine spezifischen Gründe zugrunde, die eigenen datenschutzrechtlichen Interessen des Betroffenen zu wahren. Eine Berechtigung, datenschutzrechtliche Betroffenenrechte seines minderjährigen Sohnes wahrzunehmen, kommt dem Vater nicht zu. Der Vater hat eine hohe Anzahl an Datenschutzbeschwerden bei der DSB und dem BVwG anhängig gemacht, die somit von einer Missbrauchsabsicht getragen werden (BVwG 20.06.2025, W274 2224656-1).

·         Den äußersten Rahmen für die Prüfbefugnis des BVwG bildet die "Sache" des Verfahrens. Die "Sache" des Verfahrens ist nur jene Angelegenheit, die den Inhalt des Spruchs bildet. Die Abgrenzung des Verfahrensgegenstands hat in Relation zum angefochtenen Bescheid und nicht anhand der Datenschutzbeschwerde zu erfolgen (BVwG 24.06.2025, W292 2256548-1).

·         Die DSGVO enthält keine Vorgaben betreffend die Fristen zur Geltendmachung eines Anspruchs nach Art 77 DSGVO. Gemäß dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten ist es Sache der einzelnen Mitgliedstaaten, die Modalitäten für das Verwaltungsverfahren und das Gerichtsverfahren zu regeln. Die Ausübung der Befugnisse der DSB richtet sich nach dem mitgliedstaatlichen Recht. Die subjektive Präklusivfrist läuft binnen eines Jahres ab Kenntnis des beschwerenden Ereignisses ab. Die Kenntnis der Eltern kann minderjährigen Geschädigten, nicht aber volljährigen Geschädigten, zugerechnet werden (BVwG 02.06.2025, W176 2286423-1).

·         Zur Zumutbarkeit der Bezeichnung des Beschwerdegegners iZm Impferinnerungsschreiben sind zahlreiche Verfahren beim BVwG anhängig. Gleichzeitig ist diese Rechtsfrage auch Gegenstand eines Verfahrens vor dem VwGH. Das Beschwerdeverfahren wird daher gemäß § 34 Abs 3 VwGVG bis zur Entscheidung des VwGH ausgesetzt (BVwG 20.05.2025, W292 2273428-1).

·         Bei grenzüberschreitenden Verarbeitungen ist ein sog Kohärenzverfahren durchzuführen. Dabei wird eine federführende Aufsichtsbehörde bestimmt, die für die Verfahrensführung zuständig ist. Während des Kohärenzverfahrens ist die sechsmonatige Entscheidungsfrist der DSB gehemmt. Die Durchführung des Kohärenzverfahrens liegt nicht im Ermessen der DSB. Daher wird das Kohärenzverfahren bei Vorliegen der gesetzlichen Voraussetzungen ex lege beim Einbringen der Datenschutzbeschwerde in Gang gesetzt (BVwG 20.06.2025, W254 2310916-1).

·         Ist eine Säumnisbeschwerde berechtigt, kann das BVwG eine sog kondemnatorische Entscheidung treffen. Mit dieser Entscheidung wird die DSB unter Zugrundelegung der geäußerten Rechtsansicht des BVwG zum Erlassen des Bescheids binnen acht Wochen "verurteilt" (BVwG 17.06.2025, W171 2309847-1).

·         Die Kraftfahrbehörde darf gemäß § 47 Abs 2a KFG den Namen und die Anschrift des Zulassungsbesitzers aus der Zulassungsevidenz bei Glaubhaftmachung eines rechtlichen Interesses an eine Privatperson herausgeben. Auskunft aus der Zulassungsevidenz kann auch juristischen Personen und sonstigen Unternehmen erteilt werden. Das rechtliche Interesse der Inhaberin eines Garagierungsgewerbes an der Geltendmachung einer Vertragsstrafe ist ausreichend (LVwG NÖ 14.07.2025, LVwG-AV-508/001-2024).

DSB 24.02.2025, 2025-0.045.624

Medienprivileg, Bürgerjournalismus, berufliche Kontaktdaten

·         Auf einer Informations- und Kommunikationsplattform zum Thema Arbeitsmarkt in Österreich wurde das Profil einer Führungskraft für Personal und Finanzen eines staatlichen Fonds erstellt und veröffentlicht. Weiters wurde eine von der Führungskraft an den Plattformbetreiber verfasste E-Mail veröffentlicht, die ein Löschungsersuchen sowie Vorwürfe enthielt. Die Führungskraft erhob Datenschutzbeschwerde. Aufgrund des Löschungsersuchens entfernte der Plattformbetreiber das Profil der Führungskraft von der Webseite. Die E-Mail samt beruflicher Kontaktdaten blieb aber auf der Webseite sichtbar. Die DSB wies die Datenschutzbeschwerde ab.

Die DSB hat erwogen: Das neue Medienprivileg des § 9 Abs 1a DSG erlaubt dem Verantwortlichen, bestimmte sensible Daten gemäß Art 9 DSGVO und bestimmte strafrechtlich relevante Daten gemäß Art 10 DSGVO zur Wahrung berechtigter Interessen zu verarbeiten, soweit dies zur Ausübung der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist. Im Sinne eines Umkehrschlusses erlaubt § 9 Abs 1a DSG auch die Verarbeitung nicht-sensibler personenbezogener Daten im Rahmen des Bürgerjournalismus aus berechtigten Interessen.

Der Plattformbetreiber hatte ein berechtigtes Interesse an der Veröffentlichung der E-Mail, weil diese die Vorgehensweise des Fonds dokumentiert sowie eine öffentliche Diskussion und die öffentliche Widerlegung der in der E-Mail erhobenen Vorwürfe ermöglicht. Die Veröffentlichung ist auch erforderlich, um den angestrebten Zweck zu erreichen. Ein bloßer Hinweis auf die Aufforderung zur Löschung von Beiträgen hätte nicht dieselbe Überzeugungswirkung bei den Lesern wie eine Veröffentlichung im Original.

Die Abwägung zwischen dem Grundrecht auf Datenschutz der Führungskraft und dem Recht auf Freiheit der Meinungsäußerung und der Informationsfreiheit des Plattformbetreibers geht zu Gunsten des Letzteren aus, weil lediglich der Inhalt einer Nachricht, die von öffentlichem Interesse ist, sowie die beruflichen Kontaktdaten der Führungskraft veröffentlicht wurden. Berufliche Kontaktdaten sind nicht besonders schutzwürdig, weil sie öffentlich leicht zugänglich sind.

Da das einzig erkennbare Motiv der Verarbeitung in der Verbreitung von Informationen (Vorgehensweise des Fonds und seiner Führungskräfte) lag, ist eine journalistische Tätigkeit iSd § 9 Abs 1a DSG gegeben, die auch gerechtfertigt ist.

Die Webseite ist als Medium iSd § 1 Abs 1 Z 1 MedienG zu qualifizieren, weil es ihr um die Verbreitung von Informationen an einen größeren Personenkreis im Wege der Massenverbreitung geht. Gemäß § 9 Abs 1a DSG ist das Recht auf Löschung auf personenbezogene Daten, die von einem Medium zu journalistischen Zwecken veröffentlicht wurden, nicht anwendbar.

DSB 19.05.2025, 2025-0.327.266

Videoüberwachung, Behörde, Privatwirtschaftsverwaltung, berechtigtes Interesse

·         Die DSB leitete aufgrund einer anonymen Anzeige ein amtswegiges Prüfverfahren gegen die Magistratsabteilung 6 (MA 6) ein, weil diese an verschiedenen Standorten eine umfassende Videoüberwachung vornahm. Insgesamt wurden an 19 Standorten 44 Kameras betrieben, welche die Warte- und Kassenbereiche überwachten. Die Kassenbereiche wurden sowohl von außen aus Kundensicht als auch von innen aus Sicht der Mitarbeiter erfasst. Die Aufnahmen wurden verschlüsselt für 72 Stunden auf Servern im geschützten Rechenzentrum der Stadt Wien gespeichert, wobei auf die Live-Bilder die MA 6 und die Wache Rathaus zugreifen konnten. Abseits von den Live-Bildern konnte nur die MA 1 im Auftrag der MA 6 auf die Aufnahmen zugreifen. Die Mitarbeiter der MA 6 wurden zwar über die Kameras informiert, ihre Einwilligung wurde jedoch nicht eingeholt.

Die MA 6 führte aus, dass die Überwachung dem Personen- und Objektschutz diene, weil an den Standorten große Geldmengen verwaltet würden und es in der Vergangenheit bereits zu Raubüberfällen und Bedrohungen gekommen sei. Die DSB ordnete an, dass sämtliche Kameras binnen acht Wochen so einzustellen sind, dass die Arbeitsplätze und regelmäßig genutzte interne Bereiche nicht mehr erfasst werden.

Die DSB hat erwogen: Die Videoüberwachung identifizierbarer Personen ist eine Verarbeitung personenbezogener Daten. Die MA 6 war zur selbständigen Entscheidung über die Durchführung einer Videoüberwachung an den Standorten und damit über den Zweck der Verarbeitung befugt. Auch wenn andere Magistratsabteilungen einen gewissen Einfluss auf die Mittel der Videoüberwachung ausgeübt haben, hatte die MA 6 ausreichend Kenntnis über die konkreten Aufnahmebereiche der Videokameras und ist damit Verantwortliche iSd Art 4 Z 7 DSGVO.

Die MA 6 darf die Videoüberwachung im Rahmen der Privatwirtschaftsverwaltung grundsätzlich auf ihre berechtigten Interessen stützen, wenn die Verarbeitung erforderlich ist und die Grundrechte und Grundfreiheiten der Betroffenen nicht überwiegen. Da es zuvor zu dokumentierten Raub- und Drohvorfällen gekommen ist, große Bargeldbestände verwaltet werden und eine hohe Kundenfrequenz besteht, liegt eine tatsächliche Gefährdungslage und damit ein berechtigtes Interesse vor. Die Videoüberwachung ist grundsätzlich auch geeignet, weil die Einsichtnahmemöglichkeit der Wache Rathaus durch die rasche Gefahreneinschätzungs- und Eingriffsmöglichkeit einen präventiven Schutz bieten kann und eine abschreckende Wirkung hat.

Die Außenkameras, die ausschließlich Warte- und Kassenbereiche außen erfassen, haben einen begrenzten Aufnahmebereich, eine kurze Speicherdauer, strenge Zugriffsregelungen und erfassen keine sensiblen Räume und sind erforderlich. Auch überwiegt das Interesse der MA 6, die körperliche Unversehrtheit ihrer Mitarbeiter und ihr Eigentum zu schützen, dem Interesse der Betroffenen. Die Innenkameras, die die Arbeitsplätze oder Bildschirme der Mitarbeiter dauerhaft filmen, sind jedoch nicht erforderlich, weil ein gleich wirksamer Schutz bereits durch die Außenkameras erreicht ist.

 VfGH 12.08.2025, DS1/2025

Doppelgleisigkeit, Zuständigkeit, justizielle Tätigkeit, Web-ERV

•      Ein Rechtsanwalt erhob Datenschutzbeschwerde bei der DSB, weil die verpflichtende Nutzung des Web-basierten Elektronischen Rechtsverkehrs (Web-ERV) gegen Art 5 und 25 DSGVO verstoßen würde. Er behauptete, der Web-ERV funktioniere fehlerhaft, produziere irreführende Sendebestätigungen und biete keine ausreichenden Kontroll- und Korrekturmöglichkeiten. Dadurch sei eine von ihm an das BVwG gerichtete Revision fälschlicherweise beim VwGH eingebracht worden, was zu erheblichen Kosten und drohendem Rechtsverlust geführt habe. Die Datenschutzbeschwerde war wegen der verpflichtenden Verwendung des Web-ERV ua auch gegen den VfGH gerichtet. Die DSB übermittelte die Datenschutzbeschwerde zur Stellungnahme an den Präsidenten des VfGH. Dieser gab jedoch keine Stellungnahme ab, sondern der VfGH entschied in der Sache selbst und wies die Beschwerde ab.
  
  Der VfGH hat erwogen: In Art 55 Abs 3 DSGVO trifft der Unionsgesetzgeber eine von der (unionsrechtlich zwingenden) Doppelgleisigkeit des Rechtsschutzes abweichende Sonderregelung. Die DSB ist gemäß Art 55 Abs 3 DSGVO nicht zuständig für Beschwerden gegen Datenverarbeitungen im Rahmen der justiziellen Tätigkeit von Gerichten. Über Beschwerden hinsichtlich der justiziellen Tätigkeit des VfGH entscheidet dieser selbst (§ 88b VfGG iVm §§ 84, 85 GOG).
  
  Im Hinblick auf das unionsrechtliche Effektivitätsgebot ist der VfGH gehalten, ohne weitere Zwischenschritte (zB Stellungnahme des VfGH an die DSB) sofort in der Sache selbst zu entscheiden, ohne den Rechtsanwalt auf eine (prozessuale) Entscheidung der DSB zu verweisen.
  
  Der EuGH geht von einem weiten Verständnis der justiziellen Tätigkeit aus. Die vom Rechtsanwalt behauptete Verletzung der Art 5 und 25 DSGVO aufgrund der verpflichtenden Verwendung des Web-ERV betrifft jedenfalls eine justizielle Tätigkeit, weil die Verwendung des Web-ERV für Eingaben an den VfGH grundsätzlich eine Formvorschrift ist.
  
  Technische Schwierigkeiten oder Bedienungsfehler bei der Nutzung des Web-ERV begründen keinen Verstoß gegen Art 5 oder Art 25 DSGVO. Die behaupteten Mängel des Web-ERV betreffen keine datenschutzrechtlichen Grundsätze. Fälle unrichtiger Sendebestätigungen können allenfalls zu einer Wiedereinsetzung in den vorigen Stand führen.

•       Der VwGH erkennt nach Art 133 Abs 2a
  B-VG über Beschwerden einer Person, die durch den VwGH in Ausübung seiner gerichtlichen Zuständigkeit in ihren Rechten gemäß der DSGVO verletzt zu sein behauptet (VwGH 28.07.2025, Fr 2025/04/0002).

• Die Beschlagnahme von Daten, insb Standortdaten auf einem Mobiltelefon und der Zugriff auf Datenträger, einschließlich externer Datenträger (insb Cloud-Speicherplätze), ist zur Aufklärung eines Einbruchdiebstahls zulässig. Die staatsanwaltschaftliche Anordnung sowie die gerichtliche Bewilligung dieser Anordnung unterliegen jedoch einer erhöhten Begründungspflicht. Die zu beschlagnahmenden Datenkategorien und Dateninhalte sind zu umschreiben. Bei der Beurteilung im Einzelfall ist der Verhältnismäßigkeitsgrundsatz anzuwenden. Die Auswertung von Gesundheitsdaten wie die Aufzeichnungen einer HealthApp (zB Wegstrecken, Schritte, etc) ist unverhältnismäßig. Die Beschwerde des Rechtsschutzbeauftragten der Justiz ist somit berechtigt (OLG Linz 10.06.2025, 7Bs96/25d).

BVwG 22.05.2025, W101 2295861-1

Geldbuße, COVID, Gesundheitsdaten, Strafbemessung

• Ein PCR-Testlabor wurde während der Covid-19-Pandemie mittels Direktvergabe vom Land Tirol beauftragt, PCR-Tests durchzuführen. Später entzog das Land Tirol dem PCR-Testlabor den Auftrag und führte eine Ausschreibung durch. Den Zuschlag erhielt in der Folge ein anderes Unternehmen als Nachfolgerin des PCR-Testlabors. Während der Übergangsphase wurden die Testergebnisse des PCR-Testlabors in eine Software der Nachfolgerin eingetragen. Nachdem der ehemalige Geschäftsführer eine E-Mail mit rund 24.000 personenbezogenen PCR-Testdaten an einen Dritten versendete, leitete die DSB ein amtswegiges Prüfverfahren ein. Sie stellte zahleiche DSGVO-Verstöße fest, darunter (i) die unrechtmäßige Verarbeitung von Gesundheitsdaten, (ii) unzureichende Datensicherheitsmaßnahmen nach Art 32 DSGVO, (iii) die unterbliebene Benachrichtigung der Betroffenen gemäß Art 34 DSGVO sowie (iv) einen zeitweise fehlenden Auftragsverarbeitervertrag zwischen PCR-Testlabor und Nachfolgerin. Für diese Verstöße verhängte die DSB eine Geldstrafe iHv EUR 96.000. Darüber hinaus stellte die DSB fest, dass (v) die bestellte Datenschutzbeauftragte unqualifiziert gewesen und (vi) ihre Benennung verspätet gemeldet worden sei, wofür sie eine weitere Geldstrafe iHv EUR 4.000 verhängte. Das BVwG gab der Bescheidbeschwerde des PCR-Labors in Bezug auf die ersten drei Verstöße statt und behob diese Spruchpunkte des Straferkenntnisses der DSB. Die Bescheidbeschwerde zum fehlenden Auftragsverarbeitervertrag wurde abgewiesen und wegen dieser Tatverwirklichung wurde eine neue Strafe iHv EUR 4.000 verhängt. Die Strafe iZm der Datenschutzbeauftragten wurde abgewiesen und auf EUR 3.000 herabgesetzt.
  
  Das BVwG hat erwogen: Das PCR-Testlabor hat die Gesundheitsdaten nicht unrechtmäßig verarbeitet. Es konnten auch keine Sicherheitsverletzungen erwiesen werden.
  
  Voraussetzung für die Benachrichtigungspflicht nach Art 34 Abs 1 DSGVO ist das Vorliegen einer Datenschutzverletzung, die dem Verantwortlichen bekannt geworden ist. Da dem PCR-Testlabor weder eine unrechtmäßige Verarbeitung von Gesundheitsdaten noch eine Sicherheitsverletzung nach Art 32 Abs 1 DSGVO vorwerfbar ist, ist diese Tatbestandsvoraussetzung nicht erfüllt.
  
  Bei der Strafbemessung ist nicht der Umsatz im letzten abgeschlossenen Geschäftsjahr vor Erlass des Straferkenntnisses zu berücksichtigen, sondern die im Entscheidungszeitpunkt des BVwG aktuelle Einkommens- und Vermögenslage. Anm: Die Strafbemessung ist nicht mit der Festsetzung des Höchstmaßes der Geldbuße (Strafrahmens) zu verwechseln.

BVwG 02.06.2025, W292 2298457-1

Geldbuße, Google-Rezension, berechtigte Interessen

• Eine Kundin stornierte eine Online-Bestellung bei einem Blumenhändler und verlangte die Rückzahlung des Kaufpreises. Nachdem der Blumenhändler dies verweigerte, veröffentlichte die Kundin eine negative Google-Rezension. In Beantwortung dieser Rezension nannte der Blumenhändler den vollständigen Vor- und Nachnamen der Kundin. Die DSB verhängte eine Geldstrafe iHv EUR 400. Gegen dieses Straferkenntnis erhob der Blumenhändler (erfolglos) Bescheidbeschwerde an das BVwG. Er behauptete, dass er in seiner Datenschutzerklärung auf seiner Webseite darüber informierte, dass personenbezogene Daten zum Zweck der Reaktion auf Kundenrezensionen verwendet werden könnten.
  
  Das BVwG hat erwogen: Gemäß Art 4 Z 11 DSGVO liegt eine Einwilligung nur vor, wenn sie freiwillig, in informierter Weise und unmissverständlich abgegeben wurde. Die Online-Bestellung der Kundin kann nicht als Einwilligung gewertet werden, dass der Blumenhändler bei einer späteren Google-Rezension den vollständigen Vor- und Nachnamen der Rezensentin offenlegen darf.
  
  Behandelt ein Vertrag mehrere Aspekte, muss eine Einwilligung klar hervorgehoben sein, ein bloßer Hinweis in der Datenschutzinformation genügt nicht. Die Offenlegung des vollständigen Namens der Kundin kann damit nicht auf den Erlaubnistatbestand der Einwilligung iSd Art 6 Abs 1 lit a DSGVO gestützt werden. Auch ist nicht ersichtlich, in welchem Zusammenhang die Veröffentlichung des Vor- und Nachnamens der Kundin erforderlich gewesen sein sollte, um den Kaufvertrag zu erfüllen oder vorvertragliche Leistungen zu erbringen.
  
  Der Blumenhändler hat zwar ein berechtigtes Interesse an der Wahrung seiner geschäftlichen Reputation. Die Offenlegung des Vor- und Nachnamens war aber nicht zur Wahrung eines ideellen oder wirtschaftlichen Interesses erforderlich. Es besteht jedoch ein anerkanntes Interesse von Internetnutzern dahingehend, ihre Identität nicht offenzulegen. Die Möglichkeit von anonymen Meinungsäußerungen darf im Internet nicht schlechthin unterbunden werden.
  
  Der Inhalt der Rezension der Kundin war weder unsachlich noch ein Wertungsexzess. Da die Verarbeitung für die Kundin nicht vorhersehbar war, verstößt sie gegen den Grundsatz nach Treu und Glauben.
  
  Die vorsätzliche Veröffentlichung kann nicht als geringfügiger Verstoß, der das Absehen von einer Geldbuße ermöglichen würde, qualifiziert werden.

BVwG 17.06.2025, W252 2296540-1

Videoüberwachung, Dienstverhältnis, Einwilligung

• Ein Unternehmen betrieb in seinen Geschäftsräumlichkeiten eine auf den Hintereingang gerichtete Überwachungskamera, um sein Eigentum zu schützen. Die Kamera erfasste jedoch auch Arbeitsplätze, einen Ablagebereich und die Teeküche. Eine ehemalige Mitarbeiterin erachtete sich in ihrem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde bei der DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt und trug dem Unternehmen auf, den Aufnahmebereich zeitlich und örtlich einzuschränken. Dagegen erhob das Unternehmen (erfolglose) Bescheidbeschwerde an das BVwG. Darin behauptete es, dass die Angestellte über die Videoüberwachung informiert wurde und ein Hinweisschild am Eingang angebracht sei. Da sich die Angestellte nicht gegen die Videoüberwachung aussprach, sei von einer konkludenten Zustimmung auszugehen.
  
  Das BVwG hat erwogen: Die Aufnahmen der ehemaligen Mitarbeiterin, die eindeutig identifiziert werden kann, sind als personenbezogene Daten iSd Art 4 Z 1 DSGVO zu qualifizieren.
  
  Die Einwilligung nach Art 4 Z 11 DSGVO verlangt eine aktive Einwilligung. Stillschweigen oder eine konkludente Zustimmung genügt nicht. Dass die ehemalige Mitarbeiterin nichts gegen die Kameras gesagt hat, ersetzt keine gültige Einwilligung.
  
  Der Schutz des Eigentums ist ein berechtigtes Interesse. Die Erforderlichkeit verlangt, dass die Videoüberwachung auf das notwendige Maß beschränkt wird. Da der Eigentumsschutz während der Öffnungszeiten bereits durch die Anwesenheit der Mitarbeiter gewährleistet wurde, war die Überwachung während der Arbeitszeit und in Bereichen wie Arbeitsplätzen und Teeküche für die Überwachung des Hintereingangs nicht erforderlich.
  
  Entspricht eine Verarbeitung nicht den Anforderungen der DSGVO, sind geeignete Abhilfemaßnahmen zu erlassen. Auch die übrigen Dienstnehmer des Unternehmens haben nicht aktiv in die Videoüberwachung eingewilligt. Die Freiwilligkeit einer Einwilligung im Beschäftigungskontext ist wegen des Machtungleichgewichts besonders schwer nachzuweisen. Die vom Unternehmen vorgelegten "DSGVO-Verträge" mit den Angestellten enthielten keine ausdrückliche Einwilligung zur Videoüberwachung und genügen somit nicht den Anforderungen der DSGVO. Die DSB ordnete zu Recht an, die Videoüberwachung zeitlich auf die Zeit zwischen Betriebsschluss und Betriebsbeginn zu beschränken.

BVwG 30.06.2025, W137 2295299-1

Geheimhaltungsinteresse, Personenbezug, Familienangehöriger, Bescheidzustellung

• Ein Sohn war gemeinsam mit seinem Vater mit identem Namen an derselben Adresse gemeldet. Ein an den Sohn adressierter Bescheid wurde aufgrund fehlender akademischer Titel im Adressfeld irrtümlich vom Vater geöffnet, wodurch diesem die im Bescheid enthaltenen personenbezogenen Daten des Sohnes zugänglich wurden. Der Sohn erhob daraufhin Datenschutzbeschwerde wegen Verletzung im Recht auf Geheimhaltung. Die DSB vertrat die Ansicht, dass der Inhalt des Bescheids aufgrund der Verknüpfung mit dem Namen des Sohnes als Verarbeitung seiner personenbezogenen Daten zu werten sei. Die bescheiderlassende Behörde habe verabsäumt, ausreichende organisatorische Maßnahmen zu ergreifen, um unbefugten Zugang zu den personenbezogenen Daten zu verhindern. Dagegen erhob die Behörde (erfolgreich) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Der Bescheid stellt nicht schon in seinem gesamten Inhalt personenbezogene Daten des Beschwerdeführers dar. Nach dieser Logik wären auch personenbezogene Daten Dritter, die in einen Bescheid Eingang finden, personenbezogene Daten des Bescheidadressaten. Eine derartige Ausdehnung kann aber auch dem weiten Begriff von personenbezogenen Daten iSd Art 4 Z 1 DSGVO keinesfalls unterstellt werden. Tatsächlich verbleiben als personenbezogene Daten des Sohnes lediglich die Wohnadresse und der Umstand des Grundstückseigentums.
  
  Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Geheimhaltungsinteresse daran besteht. Die Beurteilung der Schutzwürdigkeit der Interessenlage hat unter Berücksichtigung aller konkreten Umstände des Einzelfalls nach einem objektiven Maßstab zu erfolgen. Entscheidend ist, ob das zu beurteilende Geheimhaltungsinteresse bei der gegebenen Fallgestaltung für jedermann und generell schutzwürdig ist. Ein solches Interesse ist hinsichtlich der Wohnadresse einer Person gegenüber Personen in der eigenen Hausgemeinschaft jedenfalls zu verneinen. Denn jede Briefsendung, die der an selbiger Adresse wohnhafte Vater entgegennehmen darf, würde sonst bereits eine Verletzung eines berechtigten Interesses an der Geheimhaltung des personenbezogenen Datums "Wohnsitz/Meldeadresse" bedeuten. Auch hinsichtlich des Grundstückseigentums des Sohnes kann im konkreten Fall kein schutzwürdiges Interesse an der Geheimhaltung erkannt werden, weil der Vater dem Sohn das Grundstück selbst übereignet hat.
  
  Anm: Das BVwG verneint erstmals, dass die Zuordnung von Informationen zu einer identifizierten Person zugleich den Personenbezug dieser Informationen begründet. Es weist auch erstmals darauf hin, dass Voraussetzung für eine Geheimhaltungspflichtverletzung ein Geheimhaltungsinteresse ist. Schließlich zeigt diese Entscheidung auch, dass das Versenden von Schriftstücken (zB Briefe) nur aufgrund von Name und Adresse vor (potenziellen) Fehlzustellungen nicht schützt.

BVwG 09.07.2025, W274 2259250-1

Auskunft, Rechtsschutzbedürfnis, Einstellung

• Ein Betroffener begehrte iZm einem Datensicherheitsvorfall Auskunft beim Bundesminister für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMASGPK). Da zunächst keine Auskunft erteilt wurde, erhob der Betroffene Datenschutzbeschwerde bei der DSB. Diese lehnte die Behandlung der Beschwerde mit Bescheid als exzessiv ab, weil der Betroffene bereits über 60 Datenschutzbeschwerden an die DSB erhoben hat. Das BVwG gab der Bescheidbeschwerde des Betroffenen im ersten Rechtsgang Folge, behob den Bescheid der DSB und trug ihr die Fortsetzung des Verfahrens auf. Die DSB erhob außerordentliche Revision an den VwGH, der das Erkenntnis des BVwG aufhob und diesem die neuerliche Entscheidung nach Einräumung von Parteiengehör auftrug. Im zweiten Verfahrensgang vor dem BVwG teilte die DSB mit, dass der BMASGPK inzwischen Auskunft erteilt hat. Die DSB stellte das Verfahren ein und brachte dies dem Betroffenen zur Kenntnis. Auch das BVwG stellte das Verfahren wegen Wegfalls des Rechtsschutzbedürfnisses des Betroffenen infolge zwischenzeitlich ergangener Datenauskunft ein.
  
  Das BVwG hat erwogen: Prozessvoraussetzung für das Verfahren vor dem VwGH ist das Rechtsschutzbedürfnis. Fehlt dieses schon bei Einbringung einer Revision, ist diese unzulässig. Fällt die Voraussetzung erst nach der Einbringung der Revision weg, führt dies zur Verfahrenseinstellung. Diese Grundsätze können auf Verfahren vor dem BVwG übertragen werden. Da eine Auskunft erteilt wurde, ist das Rechtsschutzinteresse des Betroffenen weggefallen, sodass das Verfahren einzustellen war. Anm: Während das Verfahren beim BVwG oder VwGH anhängig ist, ist die DSB unzuständig. Sie hätte das Verfahren nicht einstellen dürfen.

• Auskünfte nach dem AuskunftspflichtG sind Wissenserklärungen. Ihr Inhalt ist auf Informationen beschränkt, die zum Zeitpunkt der Anfrage der Verwaltung bekannt sind. Umfasst ist nur gesichertes Wissen im tatsächlichen oder rechtlichen Bereich. Die Auskunftserteilung darf die übrigen Aufgaben der Verwaltung nicht wesentlich beeinträchtigen. Da die Behörde für die Auskunftserteilung eine Analyse von Datensätzen in mehreren Arbeitsschritten hätte vornehmen müssen, verfügte sie nicht über die begehrten Informationen, weshalb die Auskunft zu Recht verweigert wurde. Eine Prüfung, ob die Interessen Dritter beeinträchtigt werden könnten, war nicht erforderlich (BVwG 05.06.2025, W211 2296350-1). Anm: Diese Entscheidung wird auf das neue Informationsfreiheitsgesetz (IFG) voraussichtlich übertragen werden. Denn auch nach dem IFG sind nur verfügbare Informationen zu erteilen (§ 2 Abs 1 IFG).
  
  
• Das Versenden unerbetener E-Mail-Nachrichten ist verboten (§ 174 TKG). Das durch die verletzte Norm geschützte Rechtsgut ist die Privatsphäre von natürlichen Personen. Der Gesetzgeber hat durch die mögliche Höchststrafe von EUR 50.000 die hohe Wertigkeit des durch die verletzte Norm geschützten Rechtsguts zum Ausdruck gebracht. Durch die Zusendung der unerbetenen elektronischen Nachricht wird die Privatsphäre beeinträchtigt. Der Ausspruch einer Ermahnung gemäß § 45 Abs 1 VStG scheidet daher aus. Die öffentliche mündliche Verhandlung wurde online durchgeführt (BVwG 27.05.2025, W603 2304292-1).
  
  
• Erscheint die Rechtsverfolgung (oder Rechtsverteidigung) als "offenbar mutwillig" oder "aussichtslos", ist keine Verfahrenshilfe zu bewilligen. Die beabsichtigte Rechtsverfolgung erweist sich als aussichtslos. Im Verfahren haben sich keine Anhaltspunkte ergeben, wonach es unerlässlich wäre, eine originalgetreue Reproduktion von Dokumenten wie Einvernahme- und Sicherstellungsprotokolle, Bescheide und Bescheidentwürfe oder Korrespondenzen auszufolgen. Dem Auskunftsanspruch des Verfahrenshilfewerbers wurde bereits in vollem Umfang entsprochen (BVwG 03.07.2025, W252 2312918-2).
  
  
• Der Auskunftswerberin wurde während des Verfahrens vor dem BVwG Auskunft erteilt. Wenn das Rechtsschutzbegehren auf die Erlangung einer bestimmten Leistung gerichtet ist, die zum Entscheidungszeitpunkt als erfüllt anzusehen ist, ist davon auszugehen, dass das Rechtsschutzziel erreicht wurde. Gegenstand des Verfahrens war ausschließlich die monierte Nichtreaktion des Unternehmens auf das Auskunftsersuchen der Betroffenen. Die Frage einer etwaigen Verspätung der Auskunftserteilung ist im Verfahren über das Auskunftsbegehren selbst nicht zu klären. Ein Anspruch auf Feststellung der Verspätung besteht nicht (BVwG 30.06.2025, W211 2307833-1).

• Am 20.08.2025 wurde die "Berichtigung der Durchführungsverordnung (EU) 2025/1570 der Kommission vom 29. Juli 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Notifizierung von Informationen über zertifizierte qualifizierte elektronische Signaturerstellungseinheiten und zertifizierte qualifizierte elektronische Siegelerstellungseinheiten", ABl L 2025/90654, kundgemacht. Der Berichtigung kommt Relevanz zu, weil das Datum, an dem die berichtigte DurchführungsVO in Geltung tritt, vom 19.12.2025 auf den 19.11.2025 "vorverlegt" wurde.