you are being redirected

You will be redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH: www.schoenherr.eu

02 July 2025
newsletter

Datenschutzmonitor Juni 2025

 

 

Datenschutzmonitor 04.06.2025

 

Rechtsprechung des EGMR

EGMR 27.05.2025, 39056/22, Selishcheva/Russland

Politische Meinung, Rückwirkungsverbot

·      In Russland wurde ein Gesetz beschlossen, das Personen, die an Aktivitäten von als extremistisch eingestuften Vereinigungen beteiligt waren, von der Kandidatur bei allen Wahlen ausschließt. Mehreren Kandidaten wurde deshalb die Registrierung bei Kommunalwahlen verwehrt. Die Datenerhebung beruhte auf allgemeinen polizeilichen Befugnissen. Ein klarer Rechtsrahmen für die Überwachung politischer Aktivitäten fehlte. Die betroffenen Personen hatten weder die Möglichkeit zu erfahren, welche Daten über sie gesammelt wurden, noch auf welcher Grundlage dies geschah. Zudem fehlten Regelungen zur Speicherdauer, zur Löschung der Daten, etc. Da keine Kriterien für die Datenerhebung definiert wurden, war die Datenerhebung intransparent und konnte willkürlich erfolgen. Auch konnte die Datenerhebung nicht wirksam angefochten werden. Die Kandidaten erhoben erfolgreiche Beschwerden an den EGMR.

Der EGMR hat erwogen: Bereits die bloße Speicherung von Informationen über das Privatleben einer Person – einschließlich Daten zu politischen Meinungen und der Teilnahme an friedlichen Protesten – ist ein Eingriff in das Recht auf Achtung des Privatlebens (Art 8 Abs 1 EMRK).

Daten über politische Meinungen und Aktivitäten sind besondere Kategorien personenbezogener Daten. Dies wiegt besonders schwer, weil die beobachteten Aktivitäten bei der legitimen Ausübung der Rechte auf Meinungs- und Versammlungsfreiheit nach Art 10 und 11 EMRK erfolgt sind. Zudem gab es keine Hinweise auf gewalttätiges Verhalten, das eine intensive Überwachung hätte rechtfertigen können. Eine breit angelegte Datenerhebung kann abschreckend wirken und Menschen davon abhalten, ihre Rechte auf Meinungs- und Versammlungsfreiheit wahrzunehmen. Da der Eingriff weder gesetzlich vorgesehen war noch ein legitimes Ziel verfolgte oder in einer demokratischen Gesellschaft notwendig war, ist Art 8 EMRK verletzt worden.

Die Verweigerung der Wahlzulassung wegen angeblicher Beteiligung an extremistischen Organisationen verletzt zudem die Rechte auf Meinungs- und Versammlungsfreiheit gemäß Art 10 und 11 EMRK. Sanktioniert wurden Aktivitäten, die vor dem Verbot der Organisationen und vor Inkrafttreten der einschlägigen Gesetzesänderung stattfanden. Die Betroffenen konnten nicht vorhersehen, dass ihre damaligen legalen Aktivitäten später zu einem Wahlverbot führen würden. Darüber hinaus ist die gesetzliche Regelung unbestimmt, weil der Begriff "Beteiligung" an extremistischen Organisationen zu weit gefasst ist. Der Begriff wird in Russland so ausgelegt, dass nahezu jede Form der Unterstützung oder Sympathiebekundung ausreicht, um eine Wahlteilnahme zu verhindern. Dies hat eine abschreckende Wirkung auf die politische Betätigung und gefährdet den politischen Pluralismus.

Rechtsprechung des VwGH

·      Für die Gültigkeit eines Bescheids ist die Nennung eines Adressaten erforderlich. Dieses Erfordernis ist erfüllt, wenn bei schriftlichen Ausfertigungen aus Spruch, Begründung und Zustellverfügung eindeutig erkennbar ist, gegenüber welchem individuellem Rechtsträger die Behörde einen Bescheid erlassen wollte. Ist der Bescheidadressat unklar, liegt kein Bescheid vor. Weist das Adressfeld nur den Platzhalter "Empfänger_Anschrift" auf, genügt es nicht, dass von der zuständigen Sachbearbeiterin Vor- und Familienname sowie E-Mail-Adresse für den Zustellvorgang und das Setzen der Zustellverfügung im EDV-System verwendet werden (VwGH 09.05.2025, Ra 2022/16/0118).

Rechtsprechung des BVwG

BVwG 31.03.2025, W287 2246105-1

Verantwortlicher, Betriebsrat, Betriebsratsfonds, Wahlvorstand, Fürsorgepflicht, Internal Investigations

·      Die stellvertretende Vorsitzende eines Angestelltenbetriebsrats stand unter Verdacht, Skontobeträge, die aus von ihr abgewickelten Apothekenbestellungen für Mitarbeiter resultierten, auf ihrem privaten Konto einbehalten zu haben. Aufgrund dessen kamen der Vorsitzende des Zentralbetriebsrats sowie ein Mitglied der Geschäftsleitung in die Büroräumlichkeiten des Angestelltenbetriebsrats und nahmen Unterlagen betreffend die getätigten Apothekenbestellungen an sich. Weitere Dokumente wurden vom Betriebsratsfonds und vom Wahlvorstand an die Geschäftsleitung übermittelt. Der Angestelltenbetriebsrat übermittelte keine Unterlagen.

Die stellvertretende Vorsitzende brachte bei der DSB eine Datenschutzbeschwerde gegen den Angestelltenbetriebsrat ein, weil sie sich durch die Weitergabe der Unterlagen an den Arbeitgeber in ihrem Recht auf Geheimhaltung verletzt sah. Die DSB wies die Datenschutzbeschwerde wegen fehlender Passivlegitimation ab. Denn die Datenschutzbeschwerde wäre richtigerweise gegen den Betriebsratsfonds als Verantwortlichen zu erheben gewesen. Auch eine entsprechende Datenschutzbeschwerde gegen den Betriebsratsfonds wäre jedoch abzuweisen gewesen, weil sowohl dem Arbeitgeber als auch dem Betriebsratsfonds gemäß § 1 Abs 2 DSG ein das Geheimhaltungsinteresse der stellvertretenden Vorsitzenden überwiegendes berechtigtes Interesse an der Aufklärung des Sachverhalts zukam. Dagegen erhob die stellvertretende Vorsitzende eine erfolglose Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Gemäß Art 4 Z 7 DSGVO ist "Verantwortlicher" derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Betriebsrat sowie der Betriebsratsfonds sind jeweils eigenständige Verantwortliche. Dasselbe gilt aufgrund der dem Betriebsrat vergleichbaren Stellung als weisungsfreies Kollegialorgan auch für den Wahlvorstand.

Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Einwilligung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig (§ 1 Abs 2 DSG). Die Verhütung und Aufklärung von Betrug oder sonstigem Fehlverhalten sind berechtigte Interessen. Hinsichtlich der mitgenommenen Unterlagen überwogen die Interessen des Arbeitgebers, die gegenüber der stellvertretenden Vorsitzenden erhobenen Vorwürfe aufzuklären sowie in einem mit der stellvertretenden Vorsitzenden geführten zivilgerichtlichen Verfahren Beweise vorlegen zu können.

Den Arbeitgeber trifft eine allgemeine Fürsorgepflicht gegenüber seinen Arbeitnehmern. Diese Fürsorgepflicht ist eine echte Rechtspflicht und keine bloß ethisch gebotene freiwillige Rücksichtnahme. Der Arbeitgeber ist verpflichtet, seine Arbeitnehmer gegen Verfehlungen anderer Arbeitnehmer zu schützen. Aus dieser Schutzpflicht folgt eine Notwendigkeit der Durchführung interner Untersuchungen ("Internal Investigations") im Unternehmen.

BVwG 28.03.2025, W292 2301229-1

Automatisierte Entscheidung, Bonitätsscore, Zahlungserfahrungsdaten, Speicherfrist

·      Eine Kreditauskunftei verarbeitete bonitätsrelevante Daten eines Kreditwerbers, ua Informationen über die Erledigung eines außergerichtlichen Ausgleichs samt Forderungsverzicht sowie den "Scorewert 0: Keine Berechnung möglich". Der Scorewert wurde nicht berechnet, weil mit der von der Kreditauskunftei verwendeten Berechnungsmethode aus den Informationen über den außergerichtlichen Ausgleich kein Scorewert abgeleitet werden konnte. Diese Informationen gab die Kreditauskunftei an ein Kreditinstitut weiter, das die Anfrage des Kreditwerbers nach einem Konsumkredit mit der Begründung ablehnte, dass die Kreditauskunftei keinen Scorewert berechnen könne, wofür technische Probleme bei der Kreditauskunftei ausschlaggebend seien.

Der Kreditwerber erhob Datenschutzbeschwerde an die DSB gegen die Kreditauskunftei, weil diese sich weigerte, die entsprechenden Daten des Kreditwerbers zu löschen. Die DSB gab dieser Datenschutzbeschwerde statt, wogegen die Kreditauskunftei eine teilweise erfolgreiche Bescheidbeschwerde an das BVwG erhob.

Das BVwG hat erwogen: Für die Ausübung des Gewerbes der Kreditauskunfteien gemäß § 152 GewO kann die Verarbeitung (bonitätsrelevanter) personenbezogener Daten ohne Einwilligung nur auf den Erlaubnistatbestand des berechtigten Interesses nach Art 6 Abs 1 lit f DSGVO gestützt werden. Informationen zu einem Schuldenregulierungsverfahren, die bereits öffentlich in einer staatlichen Insolvenzdatenbank einsehbar waren, sind ab dem Zeitpunkt, ab dem das jeweilige nationale Insolvenzrecht die öffentliche Publikation der betreffenden Informationen nicht mehr als erforderlich erachtet, von privaten Kreditauskunfteien ebenfalls nicht weiter zu verarbeiten.

Hinsichtlich Informationen, die zu keinem Zeitpunkt in einer staatlich geführten Insolvenzdatenbank öffentlich zugänglich waren, ist hingegen in einer einzelfallbezogenen Interessensabwägung zu beurteilen, wie lange eine Speicherung in der privaten Bonitätsdatenbank einer Kreditauskunftei zulässig ist.

Bei der Aufnahme von Verbraucherkrediten ist der Kreditgeber zur eingehenden Prüfung der Kreditwürdigkeit des Verbrauchers verpflichtet, erforderlichenfalls auch anhand von Auskünften aus öffentlichen und privaten Datenbanken. Gemäß der KapitaladäquanzVO (EU) 575/2013 sind Unternehmen der kreditgebenden Wirtschaft verpflichtet, die Bonität potenzieller Kreditnehmer auch anhand historischer Zahlungserfahrungsdaten über einen Beobachtungszeitraum von fünf Jahren einzuschätzen.

Die Kreditwürdigkeitsprüfung schützt nicht nur den Verbraucher, sondern das reibungslose Funktionieren des gesamten Kreditsystems. Die Verarbeitung bonitätsrelevanter Daten aus öffentlichen und privaten Datenbanken ist sohin zur Wahrung der wirtschaftlichen Interessen der Kreditauskunftei sowie der kreditgebenden Wirtschaft zulässig. Da die Kreditauskunftei nur solchen Unternehmen Zugang zum außergerichtlichen Ausgleich gewährte, die der kreditgebenden Wirtschaft angehörten, durften die entsprechenden Informationen von der Kreditauskunftei für fünf Jahre aufbewahrt werden. Der Bescheid der DSB war daher dahingehend abzuändern, dass die Datenschutzbeschwerde des Kreditwerbers hinsichtlich der Zahlungserfahrungsdaten abgewiesen wird.

Ein "Bonitätsscore", der maßgeblich für die Verweigerung eines Vertragsabschlusses mit einem Kreditinstitut ist, ist eine automatisierte Entscheidung, die gegenüber dem Kreditwerber "rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt" (Art 22 Abs 1 DSGVO). Daran ändert es auch nichts, wenn kein Scorewert berechnet werden konnte, weil die Kreditauskunftei die Information, "0 – Berechnung nicht möglich" an das Kreditinstitut weitergegeben hat. Der Umstand, dass die Letztentscheidung über die Gewährung des Verbraucherkredits innerhalb der Entscheidungsstruktur des Kreditinstituts – und damit nicht innerhalb der Kreditauskunftei – liegt, steht der rechtlichen Qualifikation der Information als eine automatisierte Entscheidung nicht entgegen. Aus dem Ablehnungsschreiben des Kreditinstituts folgt nämlich klar, dass der übermittelte "Scorewert" für die ablehnende Entscheidung des Kreditinstituts maßgeblich war.

Die Ausnahmetatbestände des Art 22 Abs 2 DSGVO gelangen nicht zur Anwendung, denn § 152 GewO ist keine Rechtsvorschrift iSd Art 22 Abs 2 lit b DSGVO. Die Verarbeitung der Information "XXXX - Scorewert 0: Keine Berechnung möglich" war somit rechtswidrig. Diese Information ist daher zu löschen. Anm: Die Information über das Nichtberechnen eines Scores ist somit eine "Entscheidung".

BVwG 07.04.2025, W256 2245984-1

Apotheke, berechtigtes wirtschaftliches Interesse, gelindere Mittel

·      Eine Ärztin für Allgemeinmedizin betrieb eine Ordination in einem Gebäude, in dem sich ein weiterer Allgemeinmediziner sowie eine Apotheke befanden. Die Vermieterin vermietete Räumlichkeiten an alle genannten Beteiligten. Nach der Pensionierung des weiteren Allgemeinmediziners kam es zu einem Gespräch zwischen Vertretern der Apotheke und der Vermieterin, in dem diese davon überzeugt werden sollte, die freiwerdende Ordination an eine Kassenärztin für Allgemeinmedizin zu vermieten und nicht an eine Wahlärztin für Psychiatrie. Die Vertreter der Apotheke gaben die (auf Tausender gerundete) Anzahl der von der Ärztin ausgestellten und bei der Apotheke eingelösten Rezepte bekannt und argumentierten, dass eine weitere Kassenärztin für die Umsätze der Apotheke besser wäre.

Die Ärztin erachtete sich in ihrem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde ein. Die DSB stellte eine Verletzung des Rechts auf Geheimhaltung fest. Die Apotheke erhob Bescheidbeschwerde an das BVwG, das ihr stattgab.

Das BVwG hat erwogen: Die Apotheke hat ein berechtigtes wirtschaftliches Interesse daran, der Vermieterin im Zusammenhang mit der Nachbesetzung der Ordination die Anzahl der bei ihr eingelösten Rezepte zu nennen. Die wirtschaftliche Existenz der Apotheke hängt maßgeblich von der Patientenfrequenz der im Haus tätigen Ärzte ab. Die Weitergabe der auf Tausender gerundeten Rezeptzahlen an die Vermieterin lässt keine konkreten Rückschlüsse auf die wirtschaftliche Leistungsfähigkeit der Ärztin, auf Details zu Behandlungsdaten, zur Art oder Dauer der Behandlungen oder zur genauen Patientenzahl zu. Geschlossen werden kann nur auf die (ungefähre) Höhe der von der Ärztin ausgestellten und bei der Apotheke eingelösten Rezepte sowie auf die (ungefähre) Anzahl der entsprechenden Patienten.

Die Datenweitergabe erfolgte im geschäftlichen Kontext und ist in solchen Situationen üblich und verhältnismäßig. Das Interesse der Ärztin an der Geheimhaltung der Rezeptzahlen ist vergleichsweise als gering anzusehen. Die von der DSB geforderte abstrakte Darstellung ohne Zahlen hätte die wirtschaftliche Abhängigkeit der Apotheke nicht in gleicher Weise verdeutlicht und wäre kein gelinderes, zum Ziel führendes Mittel gewesen.

BVwG 31.03.2025, W137 2256492-1

Verantwortlicher, Auftragsverarbeiter

·      Eine Schulungseinrichtung leitete die private E-Mail-Adresse eines Seminarteilnehmers ohne seine Einwilligung an Dritte weiter. Der Seminarteilnehmer fühlte sich durch die Übermittlung in seinem Recht auf Geheimhaltung verletzt und brachte Datenschutzbeschwerde bei der DSB ein. Die Schulungseinrichtung argumentierte, sie sei als Auftragsverarbeiterin tätig geworden. Die Verarbeitung sei gemäß Art 6 Abs 1 lit b DSGVO zur Vertragserfüllung sowie auf Grundlage berechtigter Interessen erfolgt. Die E-Mail-Adresse sei ausschließlich zur Übermittlung der Zugangsdaten zum Kurs verarbeitet worden. Die DSB wies die Datenschutzbeschwerde mangels Verantwortlicheneigenschaft der Schulungseinrichtung ab. Der Seminarteilnehmer erhob daraufhin (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Eine natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, gilt gemäß Art 4 Z 7 DSGVO als Verantwortlicher. Der Verantwortliche ist Adressat von Pflichten aus der DSGVO, von Ansprüchen der betroffenen Personen und Ansprechstelle für Maßnahmen der Aufsichtsbehörde.

Mit dem Zweck der Datenverarbeitung wird definiert, warum eine Datenverarbeitung stattfindet. Die Mittel der Verarbeitung betreffen die Art und Weise, wie das Ziel erreicht wird. Davon ist auch die Entscheidung umfasst, an wen Daten übermittelt oder wann sie gelöscht werden. Wesentlich für die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichem ist der tatsächliche Einfluss auf die Entscheidung über Zweck und Mittel. Dabei ist der Begriff des Verantwortlichen weit zu verstehen.

Der Verantwortliche entscheidet immer über den Zweck der Verarbeitung. Bei der Festlegung der Mittel hat ein Auftragsverarbeiter einen gewissen Handlungsspielraum. Mittel, die in engem Zusammenhang mit Zweck und Umfang einer Verarbeitung stehen, zB die Festlegung der Kategorien von Betroffenen, der Datenarten, der Speicherdauer und der Kategorien von Empfängern, werden vom Verantwortlichen bestimmt.

Ausschlaggebend ist, wer tatsächlich über die Daten entscheidet. Auftragsverarbeiter können zum Verantwortlichen werden, wenn sie, ohne legitimiert zu sein, über Zwecke und Mittel einer Verarbeitung selbst entscheiden. Da die Schulungseinrichtung die Verarbeitung im Rahmen der vorgegebenen Zwecke und Mittel vornahm, ist sie als Auftragsverarbeiterin zu qualifizieren.

BVwG 31.03.2025, W137 2254660-1

Nachbarschaft, berechtigtes Interesse, allgemein verfügbare Daten

·      Ein Grundstücksbewohner und sein Nachbar befanden sich aufgrund des Baus einer Einfriedungsmauer an deren Grundstücksgrenze in einem Nachbarschaftskonflikt. Der Grundstücksbewohner fertigte Bild- und Videoaufnahmen ua von der Liegenschaft, Teilen des Wohnhauses sowie einer Kamerakonstruktion des Nachbarn an. Diese Aufnahmen übermittelte er iZm einer früheren Datenschutzbeschwerde als Beweismittel an die DSB sowie in "cc" an die Bezirkshauptmannschaft (BH). Zudem sendete er Aufnahmen der benachbarten Liegenschaft an ein Bauunternehmen, welches der Nachbar zur Errichtung der Einfriedungsmauer beauftragt hatte. Aus den E-Mails ging ua der Name des Nachbarn hervor. Der Grundstücksbewohner wollte mit den Aufnahmen Beweise zu baulichen Auswirkungen der Einfriedungsmauer auf sein Grundstück sichern. Dadurch erachtete sich der Nachbar in seinem Recht auf Geheimhaltung verletzt.

Die DSB gab der entsprechenden Datenschutzbeschwerde des Nachbarn teilweise statt. Der Grundstücksbewohner habe bereits vor der Datenübermittlung Auskunft darüber erhalten, dass die BH hierfür nicht die zuständige Behörde sei. Weiters liege auch kein berechtigtes Interesse vor, die Aufnahmen an das Bauunternehmen zu senden. Die Bescheidbeschwerde des Grundstückbewohners blieb erfolglos.

Das BVwG hat erwogen: Der Grundstücksbewohner übermittelte seine (frühere) Datenschutzbeschwerde auch an die BH, obwohl er wusste, dass diese nicht zuständig ist. Somit scheitert die Rechtmäßigkeit der Datenübermittlung an die BH sowohl an der Wahrnehmung eines berechtigten Interesses als auch an der Erforderlichkeit der Übermittlung.

Die Bestimmung des § 1 Abs 1 S 2 DSG schließt die Verletzung eines schutzwürdigen Geheimhaltungsinteresses der Betroffenen bei "allgemein verfügbaren Daten" ausdrücklich aus. Obwohl die personenbezogenen Daten des Nachbarn bereits teilweise öffentlich zugänglich waren, bleibt das Datenschutzregime jedoch anwendbar. Dies gilt auch für personenbezogene Daten, die öffentlich nicht zugänglich, aber einer Person – wie dem Bauunternehmen – möglicherweise bekannt waren.

Gemäß Art 6 Abs 1 lit f DSGVO ist die Verarbeitung personenbezogener Daten in "Gleichordnungsverhältnissen" unter Privaten, wenn sie zur Wahrung berechtigter Interessen erforderlich ist, zulässig. Grundsätzlich ist der Zweck der Beweissicherung iZm allfälligen Gefahren durch die Einfriedungsmauer gegeben. Zum Zeitpunkt der Übermittlung an das Bauunternehmen lagen die betreffenden Aufnahmen jedoch bereits den zuständigen (Bau-)Behörden vor. Weiters konnte der Grundstücksbewohner nicht darlegen, warum die Aufnahmen, die das Wohnhaus des Nachbarn zeigen, für die Beweissicherung erforderlich sind.

BVwG 27.03.2025, W274 2290131-1; BVwG 28.03.2025, W274 2294608-1

Exzess, Rechtsmissbrauch

·      Der Insasse einer Justizanstalt erhob zwei Datenschutzbeschwerden bei der DSB und behauptete, durch mehrere Verantwortliche in seinem Recht auf Geheimhaltung verletzt worden zu sein. Die Verantwortlichen hätten etwa Einschreiben vom Insassen nicht vertragsgemäß behandelt und nicht zugestellt. Zudem sollen unbefugte Dritte Inhalte und Daten des Insassen unrechtmäßig geöffnet und entnommen haben. In der zweiten Datenschutzbeschwerde behauptete er, dass andere Verantwortliche wiederum seine Gesundheitsdaten unrechtmäßig verarbeitet und manipuliert sowie persönliche Daten an Dritte weitergegeben hätten.

Die DSB lehnte die Behandlung beider Datenschutzbeschwerden gemäß Art 57 Abs 4 DSGVO ab. Die DSB begründete dies damit, dass der Insasse iZm seiner Verurteilung und Inhaftierung bereits 44 Datenschutzbeschwerden erhoben habe und zudem unterschiedlichste Verfahren bei Kammern, Gerichten, Behörden, Staatsanwaltschaften, etc angestrengt habe. In den bereits beendeten Verfahren wurde von den Gerichten stets festgehalten, dass die vom Insassen behaupteten Verstöße nicht nachvollzogen werden könnten. Bei den Datenschutzbeschwerden würde es sich um wiederholende Eingaben handeln, die einen erheblichen Aufwand für die DSB mit sich brächten. Zudem würde der Insasse mit haltlosen Behauptungen dem datenschutzrechtlichen Verfahren fremde Zwecke verfolgen. Vor diesem Hintergrund sei die Datenschutzbeschwerde rechtsmissbräuchlich. Die Bescheidbeschwerden des Insassen an das BVwG blieben erfolglos.

Das BVwG hat erwogen: Bei offenkundig unbegründeten oder exzessiven Anfragen darf die DSB eine Gebühr verlangen oder sich weigern, tätig zu werden (Art 57 Abs 4 DSGVO). Die Aufsichtsbehörde trägt die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage. Der EuGH legt Art 57 Abs 4 DSGVO dahingehend aus, dass Anfragen nicht allein aufgrund ihrer Zahl als exzessiv eingestuft werden können. Die Aufsichtsbehörde muss das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Eine Missbrauchsabsicht liegt vor, wenn Beschwerden eingereicht werden, ohne dass dies objektiv erforderlich ist, um die Rechte aus der DSGVO zu schützen.

Die Zahl der Datenschutzbeschwerden allein reicht nicht aus, um eine Missbrauchsabsicht festzustellen. Die DSB muss alle relevanten Umstände jedes Einzelfalls berücksichtigen. Eine übermäßige Inanspruchnahme der Behörde durch zahlreiche Datenschutzbeschwerden kann ein Indiz für exzessive Anfragen sein, wenn die Datenschutzbeschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen.

Der Insasse behauptete zahlreiche Rechtsverletzungen, die zwar individuelle Elemente enthielten, jedoch legte er nicht offen, woraus er den unrechtmäßigen Umgang, die Fälschungen oder Manipulationen ableitete. In einer Gesamtwürdigung aller Umstände ist die Annahme einer Missbrauchsabsicht begründet. Der Insasse gab nicht konkret an, welche Datenschutzverletzungen er welchen Verantwortlichen vorwirft. Die behaupteten Datenschutzverstöße sind als bloße Mutmaßungen zu qualifizieren. Die DSB durfte die Behandlung der Datenschutzbeschwerden daher wegen Exzessivität iSd Art 57 Abs 4 DSGVO ablehnen.

BVwG 31.03.2025, W258 2134678-1

Verhandlungsprotokoll, Datenweitergabe innerhalb der Organisationsstruktur

·      Eine Patientin führte gegen eine Krankenanstalt wegen datenschutzrechtlichen Verstößen mehrere Verfahren vor der DSB und dem BVwG, weil Mitarbeiter der Krankenanstalt unbefugt auf ihre Gesundheitsdaten zugegriffen haben sollen. Die Krankenanstalt leitete die Korrespondenzen und Verfahrensinhalte zur weiteren Bearbeitung an den Verwaltungsdirektor weiter, welcher diese wiederum an seine Sekretärin und den Datenschutzbeauftragten weiterleitete. Zudem leitete der Verwaltungsdirektor das Verhandlungsprotokoll einer öffentlichen Verhandlung an die dort befragten Zeugen weiter, damit sie ihre Zeugenaussagen prüfen konnten.

Die Patientin erachtete sich in ihrem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB ein. Darin brachte sie vor, dass der Verwaltungsdirektor ausschließlich für die Wirtschaftsführung zuständig sei und keine datenschutzrechtlichen Verwaltungs- oder Gerichtsverfahren bearbeiten oder führen dürfe. Sie beantragte die Feststellung einer Rechtsverletzung und weitere Maßnahmen, wie die Untersagung der Datenverwendung und Sanktionen. Nachdem die DSB die Datenschutzbeschwerde abwies, richtete die Patientin eine erfolglose Bescheidbeschwerde an das BVwG. In weiterer Folge brachte die Patientin eine Revision an den VwGH ein. Der VwGH hob das Erkenntnis des BVwG auf, weil die Patientin Tatsachenfragen aufgeworfen hatte, die einer Erörterung in einer mündlichen Verhandlung bedurft hätten. Daran anschließend fand eine mündliche Verhandlung vor dem BVwG statt und der Bescheidbeschwerde der Patientin im zweiten Rechtsgang wurde teilweise Folge gegeben.

Das BVwG hat erwogen: Nach Feststellung des VwGH ist die Rechtslage zum Zeitpunkt der jeweiligen Vorgänge maßgeblich. Es ist daher die Rechtslage vor Inkrafttreten der DSGVO anzuwenden. Für die verfahrensgegenständlichen Vorgänge galt somit das DSG 2000.

Die Krankenanstalt ist als juristische Person auf natürliche Personen zur Wahrnehmung ihrer Aufgaben angewiesen. Sie bestimmt, wen sie für die Erfüllung ihrer Aufgaben beizieht, sofern keine gesetzlichen oder organisationsrechtlichen Einschränkungen bestehen. Die Aufgaben und Kompetenzen des Verwaltungsdirektors waren ua im Tiroler Krankenanstaltengesetz (Tir KAG), sowie in der Anstaltsordnung des Krankenhauses geregelt. Der Verwaltungsdirektor war gemäß § 16 Tir KAG für die wirtschaftlichen, administrativen, technischen und personellen Angelegenheiten der Krankenanstalt verantwortlich. Als Teil der Anstaltsleistung war der Verwaltungsdirektor damit betraut, Beschwerden zu überprüfen, Maßnahmen zur Abstellung von Unzukömmlichkeiten einzuleiten und für die Einhaltung gesetzlicher Bestimmungen zu sorgen.

Die Bearbeitung datenschutzrechtlicher Verwaltungs- und Gerichtsverfahren fiel somit in den Aufgabenbereich des Verwaltungsdirektors. Die Einbindung der Sekretärin zur administrativen Unterstützung und des Datenschutzbeauftragten zur fachlichen Beratung war zulässig und erforderlich. Auch die Befassung der in den Verfahren involvierten Ärzte war unbedenklich, weil es für eine ordnungsgemäße Verfahrensführung notwendig ist, die betroffenen Ärzte über die gegen sie erhobenen Vorwürfe zu informieren und anzuhören.

Durch die Weiterleitung des vollständigen Protokolls an die Zeugen wurde jedoch eine Rechtsverletzung verwirklicht, weil dies über das erforderliche Maß hinausging und gegen den Grundsatz der Datenminimierung iSd § 6 Abs 1 Z 3 DSG 2000 verstieß. Die Weitergabe hätte sich auf die jeweils relevanten Teile beschränken müssen, ohne die Aussage aller Zeugen und das Vorbringen der Patientin zu enthalten.

·      Die Führung von Personalakten der Richter des OGH ist der Justizverwaltung zuzuordnen, die von der Präsidentin des OGH erledigt wird. Personalakten unterliegen grundsätzlich der Auskunftspflicht nach dem AuskunftspflichtG. In den Personalakten sind etwaige absolvierte Schulungen der Richter auch enthalten. Die Richter des OGH haben jedoch ein datenschutzrechtliches Geheimhaltungsinteresse an Informationen über ihre Ausbildung. Die Geheimhaltung der Inhalte von Personalakten hat in der Rechtsordnung einen besonders hohen Stellenwert. Das Interesse des Auskunftswerbers, Informationen über die Ausbildung der OGH-Richter zu erhalten, um diese in einem EGMR-Verfahren vorlegen zu können, überwiegt nicht (BVwG 31.03.2025, W258 2245052-1).

·      Eine E-Mail-Adresse ist ein personenbezogenes Datum. Für die Ausübung des Auskunftsrechts müssen keine Voraussetzungen erfüllt sein. Eine Ausnahme von der Verpflichtung zur Auskunftserteilung betreffend Informationen, über die der Betroffene verfügt, sieht Art 15 DSGVO nicht vor (BVwG 27.03.2025, W254 2297150-1).

·      In einer Datenschutzbeschwerde ist die Feststellung einer konkreten Rechtsverletzung zu begehren. Enthält eine Datenschutzbeschwerde kein Feststellungsbegehren, ist sie von der DSB zurückzuweisen. Die dagegen gerichtete Bescheidbeschwerde ist vom BVwG abzuweisen (BVwG 02.04.2025, W291 2307872-1).

·      Die DSB hat über Datenschutzbeschwerden grundsätzlich innerhalb von sechs Monaten zu entscheiden. Die Zeit während eines Kohärenzverfahrens wird in diese Entscheidungsfrist jedoch nicht eingerechnet. Bei einer "grenzüberschreitenden Verarbeitung" ist eine Säumnisbeschwerde daher vor Abschluss des Kohärenzverfahrens mangels Säumnis der DSB zurückzuweisen. Daran ändert es auch nichts, wenn das Kohärenzverfahren noch gar nicht eingeleitet wurde, weil der DSB zur Einleitung des Kohärenzverfahrens kein Ermessen zukommt. Das Kohärenzverfahren wird daher schon bei Vorliegen der gesetzlichen Voraussetzungen und somit beim Einbringen der Datenschutzbeschwerde automatisch in Gang gesetzt (BVwG 21.03.2025, W292 2307654-1).

·      In einem Säumnisbeschwerdeverfahren kann das BVwG der DSB auftragen, den versäumten Bescheid unter Zugrundelegung der vom BVwG festgelegten Rechtsanschauung innerhalb von acht Wochen nachzuholen. Weicht die DSB im daraufhin erlassenen Bescheid von den Vorgaben des BVwG ab, hat das BVwG in der Sache zu entscheiden. Entspricht im Laufe eines solchen Verfahrens der Verantwortliche dem Auskunftsersuchen iSd § 24 Abs 6 DSG, kann das Verfahren daher nicht mit Beschluss in Folge Klaglosstellung eingestellt werden, sondern die Datenschutzbeschwerde ist abzuweisen (BVwG 17.03.2025, W292 2281684-1).

EU-Rechtsakte

Omnibus IV Simplification Package

DSGVO, Digitalisierung

·      Die Europäische Kommission möchte mit dem sog Omnibus-Paket die Bürokratie für Unternehmen abbauen. Am 21.05.2025 wurde das Omnibus IV Paket veröffentlicht. In diesem Paket enthalten sind ua (i) "Proposal for a Regulation of the european parliament and of the council amending Regulations (EU) 2016/679, (EU) 2016/1036, (EU) 2016/1037, (EU) 2017/1129, (EU) 2023/1542 and (EU) 2024/573 as regards the extension of certain mitigating measures available for small and medium sized enterprises to small mid-cap enterprises and further simplification measures", COM(2025) 501 final; (ii) "Proposal for a Directive of the european parliament and of the council amending Directives 2014/65/EU and (EU) 2022/2557 as regards the extension of certain mitigating measures available for small and medium sized enterprises to small mid-cap enterprises and further simplifying measures", COM(2025) 502 final; (iii) "Proposal for a Directive of the european parliament and of the council amending Directives 2000/14/EC, 2011/65/EU, 2013/53/EU, 2014/29/EU, 2014/30/EU, 2014/31/EU, 2014/32/EU, 2014/33/EU, 2014/34/EU, 2014/35/EU, 2014/53/EU, 2014/68/EU and 2014/90/EU of the European Parliament and of the Council as regards digitalisation and common specifications", COM(2025) 503 final; und (iv) "Proposal for a Regulation of the european parliament and of the council amending Regulations (EU) No 765/2008, (EU) 2016/424, (EU) 2016/425, (EU) 2016/426, (EU) 2023/1230, (EU) 2023/1542 and (EU) 2024/1781 as regards digitalisation and common specifications", COM(2025) 504 final.

Mit den ersten beiden Gesetzesentwürfen führt die Kommission den neuen Begriff der "small mid-cap enterprises" in die dort genannten Rechtsakte ein, der auch größere Unternehmen als der bisherige Begriff der KMUs erfassen soll. Ebenso wie KMUs soll diese neue Unternehmenskategorie von den Bürokratieabbaumaßnahmen des Omnibus IV profitieren. Der Bürokratieabbau betrifft neben der DSGVO ua auch die MiFID und die CER-Richtlinien, mit welchen die Märkte für Finanzinstrumente reguliert und die Resilienz kritischer Einrichtungen gestärkt wird. Mit den weiteren zwei Gesetzesentwürfen sollen eine Reihe von näher bezeichneten Richtlinien und Verordnungen durch die Einführung elektronischer Formate modernisiert und der Digitalisierung angepasst werden.

In die DSGVO sollen neue Legaldefinitionen bzw Verweise auf Legaldefinitionen zu KMUs und "small mid-cap enterprises" eingefügt werden. Zudem soll die Pflicht ein Verarbeitungsverzeichnis zu führen, auch für Unternehmen und Organisationen mit weniger als 750 Mitarbeitern entfallen, sofern mit der Verarbeitungstätigkeit voraussichtlich kein hohes Risiko iSd Art 35 DSGVO verwirklicht wird.

 

Datenschutzmonitor 12.06.2025

 

Rechtsprechung des EGMR

·      Die Weigerung einer Gefängnisbehörde, die Briefe eines Häftlings zu versenden, ist ein Eingriff in das Recht auf Korrespondenz gemäß Art 8 EMRK. Grundsätzlich kann es zulässig sein, die Briefe eines Häftlings, der wegen Mitgliedschaft in einer Terrororganisation verurteilt wurde, zurückzuhalten. Wird jedoch nur ein Absatz des Briefs für bedenklich erachtet, kann damit die Zurückhaltung des gesamten Briefs des Häftlings an seine Verlobte nicht gerechtfertigt werden (EGMR 03.06.2025, 9389/19, Uygun/Türkei).

Rechtsprechung des EuGH

·      Nach dem bulgarischen Recht haben Anwälte unabhängig von der Parteistellung Zugang zu gerichtlichen Akten. Ein Anwalt begehrte Einsicht in einen Akt, in dem sein Mandant keine Parteistellung hatte. Die Anwälte der Verfahrensparteien hatten keine Einwände gegen die Gewährung der Akteneinsicht. Das Gericht hatte jedoch Zweifel, ob die bulgarische Regelung mit dem Datenschutzrecht vereinbar ist und stellte dem EuGH entsprechende Fragen. Der EuGH wies das Vorabentscheidungsersuchen wegen Unzuständigkeit zurück, weil die gestellten Fragen nicht die Lösung des vor dem Gericht anhängigen Rechtsstreits, sondern den Antrag auf Akteneinsicht betrafen. Über den Antrag auf Akteneinsicht wird in einem Verwaltungsverfahren entschieden, ein Vorabentscheidungsersuchen an den EuGH ist erst zulässig, wenn über ein Rechtsmittel gegen die Verwaltungsentscheidung auf Akteneinsicht abzusprechen ist (EuGH 05.06.2025, C-541/24, Naltov).

·      Die Europäische Kommission leitete gegen Ungarn ein Vertragsverletzungsverfahren wegen nationalen Rechtsvorschriften gegen "pädophile Straftäter" und zum "Schutz von Kindern" vor LGBTI-Inhalten ein. Die Generalanwältin schlägt dem EuGH vor, sechs Verstöße Ungarns gegen EU-Primär- und Sekundärrecht festzustellen. Zum Verstoß gegen die DSGVO hat die Generalanwältin erwogen: Der Schutz Minderjähriger ist ein öffentliches Interesse von höchster Bedeutung. Strafregisterdaten sind jedoch höchstsensible Daten und könnten zu Stigmatisierung führen. Das ungarische Gesetz ist nicht ausreichend klar und präzise hinsichtlich der Kategorien von Personen, die auf das Strafregister zugreifen dürfen, und enthält keine hinreichenden Garantien zum Schutz der Betroffenen (EuGH Schlussanträge 05.06.2025, C-769/22, Kommission/Ungarn).

 

NACHTRAG

·      Dem FIFA-Spielervermittlerreglement (FFAR) unterworfene Vermittler haben Detailinformationen zu Kundenverträgen, Vergütungen und ihrer Mitwirkung auf eine von der FIFA betriebene Plattform hochzuladen. Diese Datenverarbeitung könnte (zumindest teilweise) auf die Wahrung berechtigter Interessen gestützt werden, wenn über diese berechtigten Interessen informiert wurde. Die von der FIFA geltend gemachten berechtigten Interessen, (i) Begrenzung von Interessenkonflikten, (ii) Verhinderung missbräuchlicher Praktiken, (iii) Überwachung und Durchsetzung des FFAR sind berechtigte Interessen. Ob die Transparenz ein berechtigtes Interesse ist, hängt vom Zweck der Transparenz ab. Das nationale Gericht hat zu prüfen, ob der gesamte Umfang der erhobenen Daten für die Wahrung der berechtigten Interessen erforderlich ist und ob die Interessen der Betroffenen überwiegen, insb ob die Betroffenen einer unzumutbaren Belastung ausgesetzt werden (EuGH Schlussanträge 15.05.2025, C-209/23, RRC Sports).

Rechtsprechung des VwGH

VwGH 27.03.2025, Ro 2022/04/0023

Mitarbeiter, Rollenverteilung, Übergangsbestimmung, Beschwerdegegner

·      Ein Betroffener erhob am 07.10.2019 Datenschutzbeschwerde gegen eine Stadtgemeinde. Er brachte vor, dass seine im Zentralen Melderegister (ZMR) gespeicherten Daten im Jahr 2016 mindestens dreimal von Bediensteten der Stadtgemeinde aus persönlichem Interesse und in eigener Verantwortung abgefragt wurden. Die DSB wies die Datenschutzbeschwerde mit der Begründung ab, dass die Bediensteten als "Auftraggeber" im Sinne des DSG 2000 anzusehen sind. Der Betroffene erhob Bescheidbeschwerde an das BVwG, das diese abwies. Der VwGH wies die daraufhin erhobene Revision ebenfalls ab.

Der VwGH hat erwogen: Die maßgebliche Rechtslage ergibt sich aufgrund der Übergangsbestimmung des § 69 Abs 5 DSG aus dem (aktuellen) DSG und der DSGVO. Der Begriff des Verantwortlichen für eine Datenverarbeitung entspricht inhaltlich der Vorgängerbestimmung aus dem DSG 2000 ("Auftraggeber").

Aus dem MeldeG ergibt sich keine Verantwortlicheneigenschaft der Stadtgemeinde. Die Bediensteten verwendeten zwar die von der Stadtgemeinde eingerichtete technische Abfragemöglichkeit, das bedeutet aber nur, dass die Mittel der Stadtgemeinde genutzt wurden. Die Entscheidung über die Nutzung dieses Mittels und des Zwecks der ZMR-Abfrage wurde jedoch von den Bediensteten getroffen, weshalb diese als Verantwortliche anzusehen sind. Da die Stadtgemeinde in keiner Weise in diese Entscheidung eingebunden war, ist sie auch nicht "Gemeinsam Verantwortliche" iSd Art 26 DSGVO.

Zu beachten ist, dass die Stadtgemeinde die ZMR-Daten nicht selbst gespeichert hat. Hätten die Bediensteten auf Daten zugegriffen, die die Stadtgemeinde speichert, hätte dies eine Verantwortlicheneigenschaft der Stadtgemeinde begründen können, weil die Speicherung eine Verarbeitungstätigkeit ist.

Die Datenschutzbeschwerde war ausdrücklich und unmissverständlich gegen die Stadtgemeinde gerichtet. Ein Austausch der Person des Verantwortlichen im verwaltungsgerichtlichen Verfahren kommt nicht in Betracht. Die Revision war daher als unbegründet abzuweisen.

VwGH 30.04.2025, Ro 2021/04/0005

Übergangsbestimmung, Löschungsersuchen, Informationspflicht

·      Ein Betroffener brachte im April 2018 bei der DSB eine Datenschutzbeschwerde ein, weil eine Kreditauskunftei seinem Ersuchen auf Datenlöschung nicht nachkam. Die DSB gab der Datenschutzbeschwerde statt, weil der Betroffene anlässlich der Eintragung seiner Daten bei der Kreditauskunftei nicht nachweislich informiert wurde. Die DSGVO finde Anwendung, weil die Löschung der Daten bis zum Verfahrensabschluss erfolgen könne. Die Kreditauskunftei erhob dagegen erfolgreiche Bescheidbeschwerde an das BVwG, das den Bescheid der DSB dahingehend abänderte, dass die Datenschutzbeschwerde des Betroffenen abgewiesen wird. Die unterlassene Vorabinformation an den Betroffenen führe zu keiner Datenschutzverletzung, die eine Löschungsverpflichtung nach sich ziehe. Gegen das Erkenntnis des BVwG erhob die DSB (erfolglos) Amtsrevision an den VwGH.

Der VwGH hat erwogen: Zu beurteilen ist ein Sachverhalt aus dem Jahr 2017. Nach der Rechtsprechung des VwGH bezieht sich der Beschwerdegegenstand hinsichtlich des Auskunftsrechts auf die durch ein bestimmtes Auskunftsersuchen begründete Auskunftspflicht und deren Nichterfüllung oder unvollständige Erfüllung. Nichts anderes kann für ein Löschungsersuchen gelten. Demnach ist die Frage, ob die Kreditauskunftei gegen ihre Informationspflicht verstoßen hat, am Maßstab der zum damaligen Zeitpunkt geltenden Rechtslage zu beurteilen. Somit findet die DSGVO keine Anwendung.

VwGH 30.04.2025, Ro 2021/04/0024

Videoüberwachung, Geldbuße, Kumulationsprinzip

·      Ein Lokalbetreiber, in dessen Lokal illegale Glücksspielgeräte betrieben wurden, installierte eine Videoüberwachungsanlage, mit der ua ein angrenzender Gehsteig und ein öffentlicher Parkplatz erfasst wurden. Die Daten nutzte der Lokalbetreiber zur Identifizierung und Kategorisierung von Personen ("Finanzpolizei" und "Spieler"). Die Videoüberwachung war nicht gekennzeichnet. Die Aufnahmen wurden mindestens 18 Tage lang gespeichert. Die DSB verhängte wegen der Videoüberwachung, der Verarbeitung der Bilddaten und der Speicherdauer eine Geldstrafe iHv EUR 3.000 zuzüglich EUR 300 Verfahrenskostenbeitrag. Das BVwG bestätigte das Straferkenntnis der DSB. Aufgrund der ordentlichen Revision des Betreibers setzte der VwGH die Geldstrafe auf EUR 1.500 und den Verfahrenskostenbeitrag auf EUR 150 herab.

Der VwGH hat erwogen: Der Spruch eines Straferkenntnisses muss so gefasst sein, dass die Subsumtion der als erwiesen angenommenen Tat unter die verletzte Verwaltungsvorschrift eindeutig und vollständig erfolgt, also aus der Tathandlung auf das Vorliegen der bestimmten Übertretung geschlossen werden kann. Die Beschreibung von Gehsteig und Parkplatz war ausreichend präzise, weil ausgeführt wurde, dass sich diese unmittelbar neben dem Objekt befanden und es darauf ankam, dass sich die Videoüberwachungsanlage auf öffentlichen Raum erstreckt. Zwar sind im Spruch sämtliche Tatbestandselemente zu umschreiben, es schadet aber nicht, wenn die im Spruch angeführte "unverhältnismäßig lange Speicherdauer" in der Begründung durch die ziffernmäßige Angabe von 18 Tagen präzisiert wird.

Geldbußen nach der DSGVO sind Verwaltungsstrafen. Das VStG findet auf die Verhängung von Geldbußen gemäß Art 83 DSGVO insoweit Anwendung, als die DSGVO nicht speziellere Regelungen vorsieht. Die verhängte Gesamtstrafe verstößt nicht gegen das Kumulationsprinzip des § 22 VStG. Nach den Gesetzesmaterialien zum DSG ist bei der Verhängung von Geldbußen zwar grundsätzlich das VStG anzuwenden, im Fall der spezielleren Regelung des Art 83 Abs 3 DSGVO geht diese jedoch aufgrund des Anwendungsvorrangs des Unionsrechts dem in § 22 VStG normierten Kumulationsprinzip vor.

Die Gesamtverfahrensdauer von fünf Jahren war unangemessen lang iSd Art 6 Abs 1 EMRK, weil diese nicht der Sphäre des Lokalbetreibers zuzurechnen oder einer ungewöhnlichen Komplexität und Schwierigkeit der Rechtssache geschuldet war. Dieser Umstand ist gemäß § 19 VStG iVm § 34 Abs 2 StGB als strafmildernd zu bewerten, sodass die verhängte Geldstrafe herabzusetzen war.

VwGH 15.04.2025, Ra 2021/04/0094

Anwaltsgeheimnis, Auskunft

·      Ein Betroffener begehrte von einem Rechtsanwalt Auskunft über seine personenbezogenen Daten, welche dieser in seiner Funktion als Rechtsvertreter einer Gemeinde verarbeitete, mit der sich der Betroffene im Rechtsstreit befand. Unter Berufung auf seine berufliche Verschwiegenheitspflicht erteilte der Rechtsanwalt keine Auskunft. Weiters verwies er darauf, dass die Daten und Schriftstücke dem Betroffenen bekannt sind. Der Betroffene brachte Datenschutzbeschwerde bei der DSB ein. Diese gab dem Betroffenen teilweise recht, weil der Rechtsanwalt zumindest eine Auskunft über die Stammdaten hätte erteilen müssen. Beide Verfahrensparteien erhoben Bescheidbeschwerde an das BVwG. Das BVwG wies beide Bescheidbeschwerden ab.

Der Rechtsanwalt richtete eine außerordentliche Revision an den VwGH, weil der Normenkonflikt zwischen den Regelungen der RAO einerseits und der DSGVO sowie des DSG andererseits höchstgerichtlich noch nicht geklärt sei. Weiters gäbe es von den Standesvertretungen der österreichischen Rechtsanwälte keine Vorgaben. Diese Rechtsunsicherheit träfe alle österreichischen Rechtsanwälte, weil möglicherweise Gegner eines Mandanten Auskunft über personenbezogene Daten verlangen könnten. Eine konkrete Begründung, warum die Stammdaten nicht beauskunftet wurden, brachte der Anwalt nicht vor. Der VwGH wies die außerordentliche Revision zurück.

Der VwGH hat erwogen: Unter Berufung auf ihre Verschwiegenheitspflicht können Rechtsanwälte die Auskunft an Betroffene nach der DSGVO und dem DSG einschränken, soweit dies zum Schutz der Partei, der Rechte und Freiheiten anderer Personen oder zur Durchsetzung zivilrechtlicher Ansprüche erforderlich ist. Die Verschwiegenheitspflicht von Rechtsanwälten gemäß § 9 Abs 4 RAO kann nur punktuell und unter klar definierten Voraussetzungen die Betroffenenrechte nach der DSGVO einschränken. Eine Einschränkung muss dabei für alle Daten gesondert begründet werden und kann nicht mit einem pauschalen Verweis auf Verschwiegenheitsverpflichtungen erfolgen. Im vorliegenden Fall habe der Rechtsanwalt nicht dargelegt, inwiefern die Auskunftserteilung über die Stammdaten tatsächlich seine Verschwiegenheitspflicht verletzen würde.

·      Nach § 19a BStMG darf die ASFINAG zur Feststellung der ordnungsgemäßen Entrichtung der Maut und zur Verfolgung von Mautprellerei automatische Überwachung einsetzen. Die DSB brachte in ihrer Amtsrevision vor, dass für die Aufklärung des Verdachts auf Mautprellerei keine Datenspeicherung zulässig war. In der Zwischenzeit wurde § 19a BStMG dahingehend klarstellend novelliert, dass die ASFINAG auch beim Verdacht auf Mautprellerei die erhobenen Daten (insbesondere Bilddaten) verarbeiten darf. Da die revisionsgegenständliche Regelung außer Kraft getreten ist und nur einen kleinen potenziellen Personenkreis betraf, ist die Revision nicht zulässig (VwGH 15.04.2025, Ro 2021/04/0012).

·      Eine Gesellschaft, die auf die Abwicklung des Forderungskaufs aus Fluggastrechten, Verstößen gegen die DSGVO und Online-Glücksspiel spezialisiert ist, greift, sofern sie die erworbenen Forderungen bloß im eigenen Namen durchsetzt, noch nicht in die den Rechtsanwälten vorbehaltenen Befugnisse ein (VwGH 06.05.2025, Ra 2024/07/0121).

·      Die Aufwendungen für eine Datenschutzbeschwerde sind, sofern die Rechtsdurchsetzung vorrangig den Bereich der persönlichen Lebensführung betrifft, keine Werbungskosten. Sie können daher in einer Arbeitnehmerveranlagung nicht als Werbungskosten geltend gemacht werden (VwGH 24.04.2025, Ra 2023/15/0105).

Rechtsprechung der Justiz

·      Lehnt der Netzbenutzer den Austausch eines "eichfälligen" Zählers gegen ein intelligentes Messgerät ("Smart Meter") ab, darf der Netzbetreiber keine Stromabschaltung androhen. Dem Netzbetreiber steht es aber offen, gerichtliche Hilfe bei der Durchsetzung seines Interesses auf Tausch des Stromzählers in Anspruch zu nehmen (OGH 30.04.2025, 5Ob35/25w).

·      Ein Antrag auf Erlass einer einstweiligen Verfügung zur Sicherung von Daten als Beweismittel greift in Grundrechte ein und ist unverhältnismäßig, wenn mit einem auf Herausgabe der Daten gerichteten Sicherungsantrag dasselbe Ziel erreicht werden kann. Bestehen keine hinreichenden Anhaltspunkte dafür, dass eine Partei Beweismittel vernichten oder unterdrücken wird, kann dieser Partei die potenzielle Beweismittelvernichtung nicht unterstellt werden. Denn ein Rechtsstaat hat grundsätzlich von der Normtreue der Normunterworfenen auszugehen (OLG Linz 13.05.2025, 4R64/25x).

·      Einen Auskunftsanspruch hat nur die Betroffene, deren personenbezogene Daten verarbeitet wurden. Es genügt ein formloses Ersuchen, das schriftlich, elektronisch und auch mündlich gestellt werden kann. Der Verantwortliche hat die Ausübung der Betroffenenrechte zu erleichtern ("Erleichterungsgrundsatz"). Die Kopie eines gültigen Nachweises über die Änderung des Namens darf zur Identifizierung des Betroffenen nicht verlangt werden (OLG Linz 14.05.2025, 3R58/25g).

Rechtsprechung des BVwG

BVwG 27.01.2025, W605 2248297-1

Grundbuch, informationeller Mehrwert, konkrete Empfänger, Dateninhalt, Akteneinsicht

·      Ein Unternehmen betreibt eine kostenpflichtige Web-Applikation, in der öffentlich zugängliche Informationen aus dem Grundbuch eingespeist werden. Ein Betroffener, der ein Auskunftsersuchen an das Unternehmen stellte, erachtete die erteilte Auskunft mangels konkreter Empfänger und mangels Informationen über geeignete Garantien bei Drittlandsübermittlungen für unvollständig. Er erhob Datenschutzbeschwerde bei der DSB wegen Verletzung in seinen Rechten auf Auskunft, Information, Geheimhaltung und später auch wegen Verletzung im Recht auf Einschränkung der Datenverarbeitung. Die DSB wies die Datenschutzbeschwerde hinsichtlich der behaupteten Verletzungen in den Rechten auf Auskunft, Geheimhaltung und Einschränkung der Verarbeitung ab, wobei sie in Hinblick auf das Auskunftsrecht, über die Frage, ob konkrete Empfänger zu beauskunften sind, explizit nicht absprach. Hinsichtlich der behaupteten Verletzung im Recht auf Information gab die DSB der Datenschutzbeschwerde statt und trug dem Unternehmen auf, dem Betroffenen eine entsprechende Information zu erteilen. Das BVwG gab der Bescheidbeschwerde des Betroffenen teilweise statt.

Das BVwG hat erwogen: Die Bestimmungen des Art 15 Abs 1 und des Art 15 Abs 1 lit c DSGVO sind zusammen zu lesen, sodass ein Recht auf Auskunft über die konkret an die Empfänger übermittelten Daten besteht. Da die DSB die Fragen zu den konkreten Empfängern und zum Inhalt der an die Empfänger übermittelten Daten im fortgesetzten Verfahren mit Bescheid erledigt hat, sind diese jedoch nicht vom gegenständlichen Verfahren umfasst.

Bei Übermittlungen in Drittländer unter Verwendung geeigneter Garantien nach Art 46 DSGVO hat der Verantwortliche die betroffene Person zu unterrichten. Da die DSB mit der Frage der konkreten Empfänger bis zur Vorabentscheidung durch den EuGH zugewartet hat, durfte sie nicht davon ausgehen, dass keine Übermittlung personenbezogener Daten an ein Drittland erfolgt wäre. Dem Betroffenen ist daher zu Unrecht eine Unterrichtung über die geeigneten Garantien gemäß Art 46 DSGVO verweigert worden.

Eine mangelnde Schutzwürdigkeit iSd § 1 Abs 1 DSG ist nur bei bloßer Reproduktion von "allgemein zugänglichen Daten" ohne Generierung neuer Information anzunehmen. Da die abgefragten Grundbuchsdaten neu kombiniert und dargestellt werden und somit ein informationeller Mehrwert generiert wird, ist von einer neuen Datenverwendung auszugehen, deren Zulässigkeit nach dem DSG und der DSGVO zu prüfen ist. Da die DSB eine Verletzung im Recht auf Information gemäß Art 14 Abs 1 lit d DSGVO feststellte, liegt auch eine Verletzung des Transparenzgebots iSd Art 5 Abs 1 lit a DSGVO vor. Selbst bei Vorliegen eines berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO ergibt sich aus der Verletzung dieses Grundsatzes eine Verletzung des Betroffenen im Recht auf Geheimhaltung gemäß § 1 DSG iVm Art 5 Abs 1 lit a DSGVO.

Da die Verarbeitung auch gegen den Grundsatz von Treu und Glauben gemäß Art 5 Abs 1 lit a DSGVO verstieß, stand dem Betroffenen ein Löschungsanspruch zu und die Verarbeitung hätte gemäß Art 18 Abs 1 DSGVO eingeschränkt werden müssen.

Auch wenn unzweifelhaft Betriebs- und Geschäftsgeheimnisse eine Ausnahme von der Akteneinsicht nach § 17 Abs 3 AVG begründen können, bedarf es bei der Verweigerung der Akteneinsicht einer genauen und nachvollziehbaren Begründung, weil die Verweigerung der Akteneinsicht die rechtlichen Möglichkeiten der Partei wesentlich einschränkt. Der pauschale Verweis auf Betriebs- und Geschäftsgeheimnisse reicht nicht aus. Da dem Betroffenen im Rahmen des verwaltungsgerichtlichen Verfahrens Akteneinsicht eingeräumt wurde, wurde ein infolge der Verweigerung der Akteneinsicht vorliegender Verfahrensmangel geheilt.

BVwG 03.04.2025, W176 2259543-1

Adressverlag, Kreditauskunftei, Bonitätsbewertung

·      Ein Betroffener erhob Datenschutzbeschwerde gegen die Übermittlung seiner Daten durch einen Adressverlag. Der Adressverlag übermittelte den Namen, das Geburtsdatum und die Adresse des Betroffenen an eine Kreditauskunftei, die diese Daten für Bonitätsbewertungen nutzte. Der Betroffene hatte dieser Zweckänderung nie zugestimmt. Aufgrund der Datenschutzbeschwerde des Betroffenen stellte die DSB fest, dass der Adressverlag gegen den Grundsatz der Zweckbindung verstoßen hat. Ein ebenfalls begehrtes Verarbeitungsverbot ordnete die DSB nicht an, weil Art 58 DSGVO einem Betroffenen darauf kein subjektives Recht einräume. Gegen diese Entscheidung erhoben der Betroffene und der Adressverlag jeweils erfolglose Bescheidbeschwerden an das BVwG.

Das BVwG hat erwogen: Der Vertrag zwischen dem Adressverlag und der Kreditauskunftei ermächtigte die Kreditauskunftei zur Datenverarbeitung zu "sonstigen Zwecken". Der Adressverlag hätte daher von einer Verarbeitung zur Bonitätsbewertung ausgehen müssen. Personenbezogene Daten, welche ursprünglich zu Marketingzwecken erhoben wurden, dürfen an eine Kreditauskunftei nicht übermittelt werden, außer es kann davon ausgegangen werden, dass sie nur für Marketingzwecke verwendet werden. Eine Datenverarbeitung zu Marketingzwecken ist mit der Weiterverarbeitung für eine Bonitätsbewertung unvereinbar.

Entspricht eine Datenverarbeitung nicht den Grundsätzen nach Art 5 DSGVO, kann die DSB nach Art 57 und 58 DSGVO tätig werden. Dabei hat die DSB für ein angemessenes Schutzniveau für den Betroffenen zu sorgen. Es ist aber Sache der DSB, das geeignete Mittel zu wählen, um Abhilfe zu schaffen. Das Verbot einer Verarbeitung ist eine belastende Maßnahme, weshalb die DSB vor dem Verbot weniger eingriffsintensive Maßnahmen prüfen muss. Die DSB ist auch nicht verpflichtet, eine Maßnahme zu erlassen, wenn diese nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen. Betroffene haben kein subjektives Recht auf das Anordnen eines Verarbeitungsverbots. Anm: Im oben zitierten Urteil des OLG Linz (13.05.2025, 4R64/25x) geht das Zivilgericht davon aus, dass in einem Rechtsstaat von der Normtreue der Normunterworfenen auszugehen ist. Das BVwG nimmt offenbar die gegenteilige Position ein. Denn die Verwendung von Marketingdaten für Bonitätsbewertungen ist gesetzlich ausdrücklich untersagt (§ 151 GewO). Dennoch hätte der Adressverlag der Kreditauskunftei die rechtswidrige Verwendung zu unterstellen gehabt.

·      Die DSB ist für die Aufsicht über die von den Gerichten in Ausübung ihrer justiziellen Tätigkeit ausgeübten Datenverarbeitungen nicht zuständig. Die Gerichtsvollzieher sind Exekutivorgane, die bei einer Vollstreckung nach der EO als "richterliche Hilfsorgane" auftreten und "abgeleitete richterliche Akte" setzen. Ihre Tätigkeit ist daher der Gerichtsbarkeit zuzuordnen (BVwG 21.05.2024, W605 2232133-1).

·      Unabhängig vom Zeitpunkt der Kenntnisnahme ist eine Datenschutzbeschwerde längstens innerhalb von drei Jahren, nachdem das Ereignis stattgefunden hat, einzubringen. Dh, selbst wenn die Datenschutzbeschwerde ab Kenntnisnahme innerhalb von einem Jahr eingebracht wird (subjektive Präklusivfrist), ist das Recht auf Einbringen einer Datenschutzbeschwerde erloschen, wenn die absolute bzw objektive Präklusivfrist von drei Jahren bereits abgelaufen ist (BVwG 21.05.2024, W605 2287853-1).

·      Die Erkenntnisse des BVwG sind in anonymisierter Form im RIS zu veröffentlichen. Die Anonymisierung ist Gegenstand der Rechtsprechung, weshalb für Datenschutzbeschwerden nicht die DSB, sondern das BVwG zuständig ist. Unterlässt das BVwG die Anonymisierung, erfolgt eine Verletzung im Recht auf Geheimhaltung, die durch nachträgliche Anonymisierung nicht rückwirkend beseitigt werden kann. Dem Beschwerdeführer sind die Kosten der Eingabegebühr sowie der pauschalierte Schriftsatzaufwand zu ersetzen (BVwG 04.03.2024, W605 2274353-1).

·      Die E-Mail ist keine zulässige Form der elektronischen Einbringung beim BVwG (§ 1 Abs 1 letzter Satz BVwG-EVV). Ein mit E-Mail eingebrachter Schriftsatz entfaltet keine Rechtswirkungen, weshalb kein Verbesserungsauftrag zu erteilen ist. Ein per E-Mail eingebrachter Schriftsatz gilt als nicht eingebracht und ist daher zurückzuweisen (BVwG 20.02.2024, W605 2286285-1).

·      Gemäß § 24d Abs 2 Z 5 GTelG dürfen im zentralen Impfregister gespeicherte Daten für das Krisenmanagement verarbeitet werden. Das Krisenmanagement umfasst das Ausbruchsmanagement und die Pharmakovigilanz. Zum Zeitpunkt der Abfrage des Impfregisters gab es keine Rechtsgrundlage, die das Versenden eines Impferinnerungsschreibens zur dritten Corona-Schutzimpfung gerechtfertigt hätte. Ebenso wenig war der Zugriff auf den Patientenindex zur Adressermittlung berechtigt (BVwG 23.05.2024, W298 2261880-1).

·      Deckt der Spruch des Bescheids der DSB den Beschwerdeinhalt vollinhaltlich ab, liegt keine Säumnis hinsichtlich eines Teilinhalts der Datenschutzbeschwerde vor. Ein Anspruch auf die Feststellung von separaten Rechtsverletzungen betreffend Teilhandlungen besteht nicht. Die Säumnisbeschwerde ist daher abzuweisen. Ein Abspruch über Schadenersatz oder einen Anschluss als (strafrechtlicher) Privatbeteiligter ist im datenschutzrechtlichen Verwaltungsverfahren nicht vorgesehen (BVwG 14.04.2025, W137 2297606-1).

·      Der rechtlich relevante Sachverhalt ist von der DSB von Amts wegen vollständig zu ermitteln. Die DSB darf sich über erhebliche Behauptungen von Parteien nicht ohne Ermittlungen hinwegsetzen (BVwG 21.05.2024, W605 2286028-1).

·      Steht die federführende Aufsichtsbehörde noch nicht fest, regelt § 24 Abs 10 Z 2 DSG lediglich eine Hemmung des Fristenlaufs, enthält aber keine Grundlage für eine Verfahrensaussetzung. Gegenstand des Beschwerdeverfahrens vor dem BVwG ist nur die Rechtsmäßigkeit der bescheidmäßigen Aussetzung durch die DSB (BVwG 21.05.2024, W605 2278491-1).

·      Die DSB überschreitet die "Sache" des Verfahrens, wenn sie eine Datenschutzbeschwerde einseitig abändert. Die Änderung einer eindeutig bestimmten Partei ist nicht zulässig. Erlässt die DSB ihren Bescheid gegen einen Beschwerdegegner, der von der Datenschutzbeschwerde nicht umfasst war, ist dieser Bescheid ersatzlos zu beheben (BVwG 09.07.2024, W258 2272449-1).

Rechtsprechung der DSB

·      Bringt ein Verantwortlicher eine Sicherheitsverletzungs-Meldung ("Data Breach"-Meldung) iSd Art 33 DSGVO bei der DSB ein, hat er an einem daraufhin eingeleiteten Sicherheitsverletzungs-Verfahren mitzuwirken. Bei Verweigerung der Mitwirkung wird über den Verantwortlichen eine Geldbuße verhängt. Das Sicherheitsverletzungs-Verfahren kann unabhängig von der Verhängung der Geldbuße fortgesetzt werden. Wirkt der Verantwortliche nach erneuter Aufforderung zur Rechtfertigung erneut nicht mit, wird für die mangelnde Mitwirkung im Zeitraum nach dem ersten Straferkenntnis eine weitere Geldbuße verhängt (DSB 07.10.2024, 2024-0.671.673). Anm: Die Verletzung der Mitwirkungspflicht ist ein Dauerdelikt durch Unterlassung. Zwar sind die Geldbußen für zwei unterschiedliche Zeiträume verhängt worden. Das Dauerdelikt ist jedoch – anders als das fortgesetzte Delikt (auch tatbestandliche Handlungseinheit genannt) – eine einzige Tat. Die Vereinbarkeit der zweiten Geldbuße mit dem Verbot der Doppelbestrafung erscheint daher fraglich.

 

Leitlinien des EDSA

·      Nach Durchführen einer öffentlichen Konsultation veröffentlichte der EDSA am 05.06.2025 die finalen "Guidelines 02/2024 on Article 48 GDPR2". Gemäß Art 48 DSGVO dürfen Urteile bzw Entscheidungen von Gerichten und Verwaltungsbehörden eines Drittlands nur dann anerkannt werden, wenn sie auf eine internationale Übereinkunft gestützt sind. Die Leitlinien enthalten Empfehlungen an Verantwortliche und Auftragsverarbeiter, wie mit Anfragen von Gerichten und Verwaltungsbehörden aus Drittstaaten umzugehen ist. Anm: Die erste Version dieser Leitlinien wurde vor der öffentlichen Konsultation veröffentlicht. Eine Zusammenfassung der ersten Version finden Sie im Datenschutzmonitor vom 18.12.2024.

 

 

Datenschutzmonitor 18.06.2025

 

Rechtsprechung des EGMR

EGMR 12.06.2025, 33037/22, TH/Tschechien

Geschlechtseintrag, Personenstand, körperliche Unversehrtheit

·      Nach tschechischem Recht ist eine rechtliche Anerkennung des Geschlechts nur nach einer geschlechtsangleichenden Operation samt Sterilisation zulässig. Eine nicht-binäre Person, die bei ihrer Geburt im Personenstandsregister als "männlich" registriert wurde, beantragte mehrfach die Änderung des Geschlechtseintrags in ihrem Personalausweis auf "weiblich". Sie unterzog sich hormonellen und ästhetischen Behandlungen, wollte jedoch aus gesundheitlichen Gründen keine irreversible geschlechtsangleichende Operation einschließlich Sterilisation. Die zuständige Behörde lehnte ihre Anträge ab. Die tschechischen Gerichte wiesen ihre anschließende Klage unter Verweis auf die geltende Rechtslage sowie das Interesse an verlässlichen Personenstandsdaten im Rahmen eines binären Geschlechtersystems ab. Eine Verfassungsbeschwerde blieb erfolglos, sodass die nicht-binäre Person den EGMR anrief.

Der EGMR hat erwogen: Das Recht auf Privatleben nach Art 8 EMRK umfasst die Geschlechtsidentität als Bestandteil der persönlichen Identität. Dieses Recht gilt für alle Menschen, auch für solche, die keine geschlechtsangleichenden Maßnahmen durchführen lassen.

Staaten müssen rasche, transparente und zugängliche Verfahren zur Änderung des eingetragenen Geschlechts für Transpersonen bereitstellen. Aufgrund der besonderen Bedeutung von Geschlechtsidentität und persönlicher Autonomie ist der staatliche Ermessensspielraum bei der Umsetzung dieser positiven Verpflichtungen besonders eng. Die Sicherung der Zuverlässigkeit und Konsistenz von Personenstandsdaten sowie das Interesse an der Rechtssicherheit sind legitime Gemeinwohlinteressen, die strenge Verfahren rechtfertigen können. Eine gesetzliche Regelung, die die Anerkennung der Geschlechtsidentität von Transpersonen von einer Operation mit Sterilisation abhängig macht, ist jedoch eine Bedingung, die die Ausübung des Rechts auf Achtung des Privatlebens an den Verzicht auf die körperliche Unversehrtheit knüpft. Die betroffene Person steht vor dem unauflösbaren Dilemma, entweder die körperliche Unversehrtheit aufzugeben oder auf die Anerkennung der eigenen Geschlechtsidentität zu verzichten. Die innerstaatlichen Behörden haben das erforderliche ausgewogene Verhältnis zwischen Allgemeininteresse und den Rechten des Einzelnen nicht gewahrt, sodass eine Verletzung des Art 8 EMRK vorliegt. Anm: Im vergangenen Jahr hat auch das tschechische Verfassungsgericht entschieden, dass eine Änderung des Geschlechtseintrags künftig ohne Sterilisation und chirurgische geschlechtsangleichende Maßnahmen möglich sein muss. Eine Gesetzesreform zum Verfahren der Geschlechtsanerkennung scheint zwar im Gange zu sein, ein entsprechendes Gesetz wurde aber noch nicht verabschiedet.

Rechtsprechung des VwGH

VwGH 30.04.2025, Ra 2021/04/0118

Meldedaten, Bürgerbeteiligung, Übergangsbestimmung

·      Die Stadt Wels führte im Jahr 2016 eine Bürgerumfrage durch. Hierfür wurden Meldedaten aus dem zentralen Melderegister (ZMR) abgefragt, um den teilnahmeberechtigten Personen ein Informationsschreiben samt persönlichem Zugangscode postalisch zuzusenden. Dagegen erhob ein Betroffener Datenschutzbeschwerde. Er brachte vor, dass die Verwendung seiner Meldedaten einer gesetzlichen Zweckbindung unterliege. Die Datenverwendung zum Zweck der Bürgerumfrage sei keine "gesetzlich übertragene Aufgabe" iSd § 8 Abs 3 Z 1 DSG 2000 und somit unzulässig gewesen. Die DSB gab der Datenschutzbeschwerde statt. Der Magistrat der Stadt Wels erhob daraufhin Bescheidbeschwerde an das BVwG, das diese abwies. Gegen das Erkenntnis des BVwG erhob der Magistrat (erfolgreich) Revision an den VwGH.

Der VwGH hat erwogen: Zu beurteilen ist ein Sachverhalt aus dem Jahr 2016, weshalb die alte Rechtslage des DSG 2000 anzuwenden ist. Gemäß § 7 Abs 1 DSG 2000 durften personenbezogene Daten nur verarbeitet werden, soweit Zweck und Inhalt der Datenverarbeitung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Verantwortlichen gedeckt waren und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzten.

Das postalisch versendete Informationsschreiben fand seine gesetzliche Grundlage in § 70 des Statuts der Stadt Wels 1992, wonach die Stadt ihre Einwohner über bestimmte Vorhaben zu informieren hat. Die Verwendung der Meldedaten iZm dem Informationsschreiben war erforderlich und das gelindeste zur Verfügung stehende Mittel. Eine Datenverarbeitung kann nämlich auch dann erforderlich sein, wenn damit die im öffentlichen Interesse stehenden Aufgaben des Verantwortlichen effizient(er) erfüllt werden können. Durch die Versendung des Informationsschreibens samt persönlichem Zugangscode wurde eine einfache Teilnahme an der Bürgerumfrage ermöglicht und dadurch eine möglichst hohe Partizipation der Bevölkerung erreicht. Die Datenverarbeitung war daher rechtmäßig.

·      Gemäß § 47 Abs 2a KFG ist Privatpersonen, die ein rechtliches Interesse glaubhaft machen, aus der Zulassungsevidenz eine Auskunft über Name und Anschrift der KFZ-Zulassungsbesitzer zu erteilen. Diese Auskunft ist nicht nur natürlichen Personen, sondern auch juristischen Personen zu erteilen. Das rechtliche Interesse kann ein subjektiv öffentliches Recht sein oder aus dem Privatrecht erfließen. Das Bestehen des rechtlichen Interesses ist jedoch zu belegen. Auf bloße Behauptungen kann das rechtliche Interesse nicht gestützt werden. Zudem muss ein Zusammenhang mit einem bestimmten Kraftfahrzeug und dessen Verwendung bestehen (VwGH 29.04.2025, Ra 2024/11/0150; 29.04.2025, Ra 2024/11/0151).

Rechtsprechung der Justiz

LG Innsbruck 19.06.2024, 350Jv184/25a

Dienste der Informationsgesellschaft, Herkunftslandprinzip, Zuständigkeit

·      Drei Polizeibeamte beantragten beim LG Innsbruck die Betreiberin einer Internetplattform mit Sitz in Irland zu verpflichten, ihnen die Identität (Name, Geburtsdatum, Post- und E-Mail-Adresse) der Person bekanntzugeben, die auf der Plattform ein Video hochgeladen hatte. Auf dem Video konnten die Polizeibeamten während einer Amtshandlung deutlich erkannt werden. Sie argumentierten, das Video sei ohne ihre Zustimmung aufgenommen und veröffentlicht worden, es verletze ihre Persönlichkeitsrechte, insb den Bildnisschutz nach § 78 UrhG, sowie ihre Datenschutzrechte. Die Plattformbetreiberin lehnte ein zuvor an sie gerichtetes Auskunftsersuchen ab. Das LG Innsbruck wies den Antrag wegen internationaler Unzuständigkeit zurück.

Das LG Innsbruck hat erwogen: Gemäß Art 7 Abs 2 EuGVVO kann eine Person, die einen Wohnsitz im Hoheitsgebiet eines Mitgliedstaats hat, vor dem Gericht des Ortes eines anderen Mitgliedstaats, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht, geklagt werden. Dies aber nur, wenn eine unerlaubte Handlung oder Ansprüche aus einer solchen Handlung den Gegenstand des Verfahrens bilden. Ein Auskunftsanspruch gegen einen Dienstanbieter nach § 13 Abs 3 ECG (vormals quasi wortgleich § 18 Abs 4 ECG) ist kein Anspruch aus unerlaubter Handlung. Dies gilt auch, wenn der Auskunftswerber behauptet, kreditschädigenden Äußerungen ausgesetzt worden zu sein. Die internationale Zuständigkeit österreichischer Gerichte ist daher nicht gegeben. Nach dem Herkunftslandprinzip (§ 20 ECG, Art 3 RL 2000/31/EG) ist auf die Betreiberin irisches Recht anzuwenden.

Gemäß § 22 Abs 1 ECG kann ein Gericht oder eine Verwaltungsbehörde im Rahmen seiner bzw ihrer gesetzlichen Befugnisse abweichend vom Herkunftslandprinzip Maßnahmen ergreifen, die den freien Verkehr der Dienste der Informationsgesellschaft aus einem anderen Mitgliedsstaat einschränken. Solche Maßnahmen müssen jedoch zum Schutz eines der in § 22 Abs 2 ECG genannten Rechtsgüter – wie etwa den Schutz der Menschenwürde – erforderlich sein. Die behauptete schädigende Handlung (das Hochladen des Videos) wurde von einem Dritten begangen.

Das irische Recht kennt keine mit § 18 Abs 4 ECG vergleichbare Auskunftspflicht. Das Video zeigt die Polizeibeamten zwar erkennbar, jedoch ausschließlich bei einer korrekt durchgeführten Amtshandlung. Eine Verletzung der Menschenwürde oder ein besonders intensiver Eingriff in die Persönlichkeitssphäre (wie etwa durch Erfüllung eines Tatbestands von § 1330 ABGB, § 152 StGB oder § 78 UrhG) liegt nicht vor. Die Voraussetzungen für eine Ausnahme vom Herkunftslandprinzip sind deshalb nicht erfüllt.

Dienstanbieter sind grundsätzlich nicht für von Dritten hochgeladene Inhalte verantwortlich, solange sie keine tatsächliche Kenntnis von einer Rechtsverletzung haben bzw nach Kenntniserlangung unverzüglich tätig werden. Im vorliegenden Fall lag keine offensichtliche Rechtsverletzung vor, die eine Auskunftspflicht begründen könnte.

·      Lehnt der Netzbenutzer den Austausch eines "eichfälligen" Zählers gegen ein intelligentes Messgerät ("Smart Meter") ab, darf der Netzbetreiber keine Stromabschaltung androhen. Dem Netzbetreiber steht es aber offen, gerichtliche Hilfe bei der Durchsetzung seines Interesses auf Tausch des Stromzählers in Anspruch zu nehmen. Die vom Rekursgericht erlassene einstweilige Verfügung zugunsten des Netzbenutzers wird bestätigt. Sie wird jedoch ungültig, wenn der Netzbenutzer beim Erstgericht keine Sicherheitsleistung iHv EUR 10.000 erlegt (OGH 13.05.2025, 1Ob27/25i; 14.05.2025, 5Ob23/25f; 21.05.2025, 7Ob34/25p; 22.05.2025, 4Ob11/25h; 22.05.2025, 4Ob61/25m).

·      Ein Auskunftsersuchen darf darauf abzielen, Beweismaterial für eine spätere Prozessführung zu beschaffen. Der Einwand des Rechtsmissbrauchs schlägt daher nicht durch. Eine nähere Prüfung des Motivs des Auskunftswerbers ist nicht erforderlich. Daten aus einer gemeinsamen Geschäftsbeziehung können kein Geschäftsgeheimnis des Verantwortlichen sein (OLG Wien 27.03.2025, 33R49/25f).

Rechtsprechung des BVwG

·      Entscheidet die DSB über eine Datenschutzbeschwerde zweimal, ist der spätere Bescheid ersatzlos zu beheben (ne bis in idem), weil der DSB für die neuerliche Entscheidung keine Kompetenz zukommt (BVwG 09.07.2024, W258 2261773-1).

·      Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen. Es besteht eine erhöhte Mitwirkungspflicht, wenn es um Umstände geht, die in der persönlichen Sphäre der Parteien liegen (BVwG 09.04.2025, W287 2272807-1; 22.04.2025, W287 2271841-1).

·      Wird ein Antrag auf Akteneinsicht durch einen Bevollmächtigten gestellt, ist die Vollmacht schriftlich vorzulegen. Maßgeblich für die Schriftlichkeit ist, dass die Vollmachtsurkunde eigenhändig unterschrieben oder qualifiziert signiert ist. Eine per Telefax eingebrachte Vollmachtsurkunde genügt nicht (BVwG 29.04.2025, W254 2252989-2).

·      Erhebt ein Betroffener eine Datenschutzbeschwerde an die DSB, hat die DSB den Betroffenen innerhalb von drei Monaten über den Stand oder das Ergebnis des Verfahrens zu unterrichten. Über Säumnisbeschwerden wegen Verletzung der Unterrichtungspflicht entscheidet das BVwG. Die Säumnisbeschwerde ist jedoch zurückzuweisen, wenn der Betroffene über den Stand des Verfahrens und das Ergebnis der Ermittlung tatsächlich informiert worden ist. Eine Feststellung der Verletzung der Unterrichtungspflicht in der Vergangenheit kommt zudem nicht in Betracht (BVwG 24.04.2025, W298 2308675-1).

·      Die Zurückziehung einer Bescheidbeschwerde führt zum Verlust des Erledigungsanspruchs. Geht der Erledigungsanspruch verloren, ist das Verfahren einzustellen (BVwG 07.04.2025, W252 2297618-1; 23.04.2025, W605 2281980-1). Anm: Das Erkenntnis des Senats W605 weicht von der ständigen Rechtsprechung des BVwG ab, weil – statt mit Beschluss – mit Erkenntnis entschieden wurde.

Rechtsprechung des BFG

·      Gemäß § 57 Abs 2 GSpG ist eine Glücksspielabgabe für Online-Glücksspiel zu entrichten, an dem die Teilnahme vom Inland aus erfolgt. Das Tatbestandsmerkmal "Teilnahme vom Inland" kann aus eigener Wahrnehmung des Glücksspielanbieters ohne entsprechende Ermittlungen nicht erhoben werden. Die Teilnahme vom Inland ist daher anhand von Indizien wie "inländische Registrierungsadresse", "inländische IP-Adresse" oder "Wohnsitzadresse" zu beurteilen. Die Kumulation der – gleichwertigen – Indizien der Registrierungsadresse und der IP-Adresse wird nicht gefordert. Mit dem Indiz der IP-Adresse kann dem Indiz der Registrierungsadresse auch nicht entgegengetreten werden. Daher besteht kein Erfordernis, die IP-Adresse zu ermitteln (BFG 14.05.2025, RV/7100831/2020).


Rechtsprechung der LVwG

LVwG NÖ 07.05.2025, LVwG-AV-1103/001-2024

KFZ, Zulassungsevidenz, Pressefreiheit, Art 6 Abs 1 lit e DSGVO

·      Ein Journalist begehrte Auskunft von der LPD NÖ über den Zulassungsbesitzer eines KFZ. Er begründete sein Auskunftsinteresse mit Recherchen zu möglichen Verstößen gegen das Unvereinbarkeits- und Transparenzgesetz sowie das Parteiengesetz iZm der Nutzung von Dienstfahrzeugen durch Politiker. Die LPD NÖ lehnte die Auskunftsanträge ab. Privatpersonen können zwar nach § 47 Abs 2a KFG Auskunft zu einem Kennzeichen verlangen, müssen jedoch ein rechtliches Interesse an der Auskunft nachweisen. Bei der Auskunft zu journalistischen Zwecken handelt es sich um kein im KFG genanntes rechtliches Interesse. Nach Ansicht des Journalisten müsse die Bestimmung des KFG iSd Art 20 Abs 4 B-VG verfassungskonform ausgelegt werden. Darüber hinaus müsse auch das AuskunftspflichtG beachtet werden. Gegen das Erkenntnis erhob der Journalist erfolglose Bescheidbeschwerde an das LVwG.

Das LVwG hat erwogen: Die Kraftfahrbehörde darf personenbezogene Daten gemäß § 47 Abs 2a KFG aus der Zulassungsevidenz bei Glaubhaftmachung eines rechtlichen Interesses an eine Privatperson herausgeben. Das rechtliche Interesse muss im konkreten Einzelfall begründet werden. Ein allgemeines Berufen auf ein journalistisches oder öffentliches Interesse reicht nicht aus. Bei der Zulassungsevidenz handelt es sich anders als beim Grundbuch um kein öffentliches Register. Die Auskunft kann nicht auf das Auskunftspflichtgesetz gestützt werden, weil dieses nur subsidiär zur Anwendung kommt. Wenn in einem Gesetz schon eine Auskunftspflicht geregelt ist, sind diese Regelungen bei der Auskunft zu beachten. Da die Bestimmung des § 47 KFG die Auskunft abschließend regelt, ist das AuskunftspflichtG nicht anzuwenden.

Eine Bestimmung ist, wenn sie als Rechtsgrundlage iSd Art 6 Abs 1 lit e iVm Abs 3 lit b DSGVO herangezogen wird, unionsrechtskonform auszulegen. Eine Behörde hat vor Herausgabe personenbezogener Daten die Rechte der Betroffenen und die Grundsätze für die Verarbeitung iSd Art 5 Abs 1 DSGVO sicherzustellen. Eine allgemein auf die Pressefreiheit gestützte Herausgabe von staatlich verwalteten Daten, die lediglich den Zulassungsbesitzer betreffen, würde die Rechte des betroffenen Zulassungsbesitzers nicht in ausreichendem Maße schützen.

Rechtsprechung der DSB

DSB 18.04.2025, 2025-0.303.076

Schengener Informationssystem, Löschung

·      Ein Asylwerber begehrte vom Bundesamt für Fremdenwesen und Asyl die Löschung eines Eintrags im Schengener Informationssystem (SIS), weil er bereits das Land verlassen habe und nun in Portugal wohne. Die portugiesischen Behörden hätten ihm einen Aufenthaltstitel und eine Arbeitserlaubnis in Aussicht gestellt, sofern er nicht mehr im SIS aufscheint. Das Bundesamt lehnte die Löschung ab. Die Löschung dürfe nur erfolgen, wenn die für die Eintragsentscheidung zuständige Behörde die Entscheidung, aufgrund derer der Eintrag gemacht wurde, zurücknimmt, für nichtig erklärt oder wenn ein Fremder den Schengenraum nachweislich verlassen hat. Aufgrund der Ablehnung fühlte sich der Asylwerber in seinem Recht auf Löschung verletzt und brachte erfolglose Datenschutzbeschwerde bei der DSB ein.

Die DSB hat erwogen: In Art 14 Abs 1 SIS Rückkehr VO sind die Möglichkeiten der Löschung von Einträgen angeführt. Die Voraussetzungen für die Löschung sind entweder die Rücknahme der Entscheidung der zuständigen Behörde oder ein Nachweis des Verlassens des Schengenraums. Wenn einem Asylwerber durch einen anderen Mitgliedstaat eine Aufenthaltsbewilligung oder ein Visum für einen längeren Aufenthalt gewährt wird, hat dieser den eintragenden Staat zu informieren. Der Zweck der Eintragung (Speicherung) im SIS gemäß Art 3 Abs 1 SIS-VO liegt darin, eine Überprüfung zu ermöglichen, ob der Rückkehrverpflichtung nachgekommen wurde und um die Vollstreckung der Rückkehrentscheidung zu unterstützen.

Die Datenverarbeitung im SIS ist rechtmäßig und es besteht kein Löschgrund iSd Art 6 und Art 8 bis Art 12 sowie Art 14 Abs 1 erster Satz SIS Rückkehr VO, weswegen keine Verletzung im Recht auf Löschung vorliegt.


·      Verantwortliche und Auftragsverarbeiter haben auf Anfrage mit der DSB zusammenzuarbeiten (Mitwirkungspflicht). Diese Mitwirkungspflicht ist strafbewehrt. Kommt der Verantwortliche seiner Mitwirkungspflicht nicht nach, verwirklicht er den objektiven Tatbestand. Der Verantwortliche verweigerte systematisch die Mitwirkung an Verfahren der DSB. Gegen ihn wurden deshalb bereits mehrere Geldbußen verhängt. Der Mitwirkungsverstoß erfolgte somit vorsätzlich. Die einschlägigen Verstöße waren zudem erschwerend zu berücksichtigen, weshalb die konkret verhängte Strafe iHv EUR 16.000 tat- und schuldangemessen ist (DSB 03.06.2025, 2025-0.177.424).

EU-Rechtsakte

·      Am 10.06.2025 wurden folgende drei delegierte Verordnungen zur Ergänzung der "VO (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte […]" (MiCAR) kundgemacht: Die (i) "Delegierte Verordnung (EU) 2025/1140 der Kommission vom 27. Februar 2025 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der über sämtliche Kryptowerte-Dienstleistungen, Tätigkeiten, Aufträge und Geschäfte zu führenden Aufzeichnungen", ABl L 2025/1140; (ii) "Delegierte Verordnung (EU) 2025/1141 der Kommission vom 27. Februar 2025 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Präzisierung der Anforderungen an Strategien und Verfahren zu Interessenkonflikten für Emittenten vermögenswertereferenzierter Token", ABl L 2025/1141; und (iii) "Delegierte Verordnung (EU) 2025/1142 der Kommission vom 27. Februar 2025 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Präzisierung der Anforderungen an Strategien und Verfahren zu Interessenkonflikten für Anbieter von Kryptowerte-Dienstleistungen und der Einzelheiten und Methoden für den Inhalt der Offenlegung von Interessenkonflikten", ABl L 2025/1142. In diesen drei delegierten Verordnungen werden zur Ergänzung der MiCAR technische Regulierungsstandards zu Aufzeichnungspflichten und Interessenkonflikten festgelegt. Die Aufzeichnungspflichten umfassen sowohl Aufzeichnungsmodalitäten als auch Aufbewahrungspflichten.

·      Am 06.06.2025 ist der "Cyber Blueprint", eine Empfehlung des Rates, angenommen worden. Ziel dieser Blaupause ist die Schaffung eines unionsweiten Rahmens für das Cybersicherheitskrisenmanagement bei großangelegten Cybersicherheitsvorfällen. Beschrieben werden Kooperationsmechanismen zwischen den verschiedenen involvierten Akteuren.

Nationale Rechtsakte

·      Am 12.06.2025 wurde das "Oberösterreichische Informationstechnologien-Einsatz-Gesetz" (Oö ITEG), LGBl 2025/46, kundgemacht. Ziel ist die Förderung des Landtags, des Landesrechnungshofs, des LVwG sowie der Behörden und Dienststellen des Landes Oberösterreich, der oö Gemeinden und Gemeindeverbände sowie der sonstigen oö Körperschaften des öffentlichen Rechts bei der digitalen Transformation, dem Einsatz von künstlicher Intelligenz sowie bei automatisierten Entscheidungen. Insb soll die Beteiligung an KI-Reallaboren gefördert werden. Zudem dürfen Entscheidungen, die die genannten Einrichtungen als Träger von Privatrechten treffen, auf automatisierte Entscheidungen gestützt werden.


 

Datenschutzmonitor 25.06.2025

 

Rechtsprechung des EuGH

·      Verpflichtete der EU-Geldwäscherichtlinie, wie Glücksspielanbieter, haben, wenn sie einer Gruppe angehören, gruppenweite Datenschutzstrategien sowie Strategien und Verfahren für den Informationsaustausch einzurichten. Ziel ist ua, eine wiederholte Feststellung der Identität von Kunden zu vermeiden. Die Mitgliedstaaten sind verpflichtet, innerhalb einer Gruppe einen Informationsaustausch zuzulassen (EuGH 19.06.2025, C-509/23, Laimz).

·      Den Angehörigen reglementierter Berufe, wie des Berufs der Apotheker, darf nicht jede Online-Werbung verboten werden. Die berufsrechtlichen Regeln dürfen zwar Inhalt und Form der kommerziellen Kommunikation eingrenzen, sie dürfen Online-Werbung jedoch nicht verbieten (EuGH 19.06.2025, C-200/24, Kommission/Polen (Publicité pour les pharmacies)).

Rechtsprechung der Jusitz

·      Lehnt der Netzbenutzer den Austausch eines "eichfälligen" Zählers gegen ein intelligentes Messgerät ("Smart Meter") ab, darf der Netzbetreiber keine Stromabschaltung androhen. Dem Netzbetreiber steht es aber offen, gerichtliche Hilfe bei der Durchsetzung seines Interesses auf Tausch des Stromzählers in Anspruch zu nehmen. Die vom Rekursgericht erlassene einstweilige Verfügung zugunsten des Netzbenutzers wird bestätigt. Sie wird jedoch ungültig, wenn der Netzbenutzer beim Erstgericht keine Sicherheitsleistung iHv EUR 10.000 erlegt (OGH 22.05.2025, 4Ob28/25h; 26.05.2025, 8Ob11/25p; 27.05.2025, 9Ob22/25p; 27.05.2025, 9Ob26/25a; 27.05.2025, 9Ob7/25g; 27.05.2025, 9Ob9/25a).

Rechtsprechung des BVwG

BVwG 24.04.2025, W298 2310614-1

Zuständigkeit, justizielle Tätigkeit, Notar, Gerichtskommissär

·      Ein potenzieller Erbe verlangte Akteneinsicht von dem mit der Verlassenschaftsabwicklung betrauten Notar. Nachdem dieser die Akteneinsicht verweigerte, brachte der Erbe Datenschutzbeschwerde wegen Nichterteilen der Auskunft bei der DSB ein. Als Erbe stünde ihm auch ohne Erbantrittserklärung ein Recht auf Akteneinsicht zu, weshalb er gemäß Art 15 DSGVO Einsicht zu den entsprechenden Verfahrensdaten verlange. Die DSB wies die Datenschutzbeschwerde ab. Ein Auskunftsersuchen müsse ein Mindestmaß an Inhalt aufweisen, um die Geltendmachung eines Betroffenenrechts zu erkennen. Der Erbe habe dem Notar gegenüber aber ausschließlich die Akteneinsicht begehrt und keine Auskunft nach Art 15 DSGVO verlangt.

Dagegen erhob der Erbe Bescheidbeschwerde an das BVwG. Mit einem Begehren auf Akteneinsicht sei zwangsläufig auch ein Auskunftsersuchen verbunden. Das BVwG wies die Bescheidbeschwerde ab und änderte den Spruch des Bescheids der DSB dahingehend ab, dass die Datenschutzbeschwerde zurückgewiesen wird.

Das BVwG hat erwogen: Die DSB ist für Beschwerden über die Verweigerung der Erfüllung von Betroffenenrechten im Rahmen der Ausübung von justizieller Tätigkeit eines Gerichts oder gerichtlichen Organs unzuständig. Die justizielle Tätigkeit ist ein unionsrechtlicher Begriff, der im österreichischen Rechtsverständnis teilweise die Akte der Gerichtsbarkeit und auch der Justizverwaltung umfasst. Im Verlassenschaftsverfahren wird der Notar ex lege gemäß § 1 Abs 2 NO iVm § 1 Abs 1 und § 2 Abs 1 GKG als Gerichtskommissär tätig. Funktional betrachtet handelt es sich bei dem Notar in dieser Rolle um ein gerichtliches bzw hoheitliches Organ. Datenverarbeitungen in diesem Zusammenhang fallen unter den Begriff der "justiziellen Tätigkeit" gemäß Art 55 Abs 3 DSGVO. Somit ist die DSB für die datenschutzrechtliche Kontrolle der Tätigkeiten des Notars als Gerichtskommissär unzuständig. Eine datenschutzrechtliche Kontrolle dieser Tätigkeit durch die DSB ist ein unzulässiger Eingriff in die richterliche Unabhängigkeit, weil sie geeignet ist, gerichtliche Entscheidungen zumindest mittelbar zu beeinflussen.

Die Kontrolle von Datenschutzverletzungen im Rahmen justizieller Tätigkeit ist gemäß § 85 Abs 1 und 2 GOG ausschließlich den ordentlichen Gerichten vorbehalten. Für die Entscheidung über eine Beschwerde ist das im Instanzenzug übergeordnete Gericht zuständig. Da es sich bei Verlassenschaftsverfahren gemäß § 104a JN um Außerstreitsachen handelt, ist in diesem Fall das örtlich zuständige Landesgericht zuständig.

BVwG 11.06.2025, W211 2308914-1

Videoüberwachung, Transparenz, Geldbuße

·      Ein Unternehmen beauftragte eine Auftragsverarbeiterin mit der Errichtung eines videobasierten Personenzählsystems, um Besuchermengen zu ermitteln. Hierfür wurden 27 Videokameras im öffentlichen Raum einer Stadt montiert, wobei keine Kennzeichnung erfolgte. In Folge wurde die Personenzählung zu einer Frequenzmessung umgebaut. Die Kameras nahmen in Echtzeit auf und generierten digitales Bildmaterial, das an ein Computersystem eines externen Technologieunternehmens weitergeleitet und dort durch spezielle Software in Echtzeit analysiert und in Textdaten umgewandelt wurde. Die Bilddaten wurden dabei nach maximal 50 Millisekunden im Arbeitsspeicher gelöscht, eine Speicherung des Bildmaterials erfolgte nicht. Die Livebilder konnten von der Auftragsverarbeiterin und dem Technologieunternehmen betrachtet werden, der Zugriff war jedoch beschränkt, weil zunächst ein Port freigeschalten werden musste. Zudem wurden solche Zugriffe protokolliert. Die durch die Besucherstromanalyse bzw Frequenzanalyse gewonnenen Daten sollten der Planung, Organisation und Durchführung von Events und Marketingmaßnahmen dienen. Die DSB verhängte eine Geldbuße iHv EUR 19.200. Daraufhin erhob das Unternehmen eine erfolglose Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Videoüberwachung durch das Unternehmen ist eine Verarbeitung personenbezogener Daten. Marketinginteressen können grundsätzlich ein berechtigtes Interesse iSd Art 6 DSGVO sein, jedoch war die Aufzeichnung durch 27 Kameras über 24 Stunden am Tag unverhältnismäßig und überschritt den erforderlichen Umfang. Dem Unternehmen standen weniger eingriffsintensive Alternativen zur Verfügung, wie zB analoge Zählsysteme. Zudem wurden die Kameras nicht gekennzeichnet. Damit handelt es sich jedenfalls um eine exzessive und unverhältnismäßige Datenverarbeitung. Das Geheimhaltungsinteresse der Betroffenen überwiegt das Marketinginteresse des Unternehmens.

ISd Transparenzgrundsatzes muss gemäß Art 13 und 14 DSGVO für Betroffene erkennbar sein, dass personenbezogene Daten verarbeitet werden, welche Daten verarbeitet werden, für welche Zwecke sie verarbeitet werden und durch wen sie verarbeitet werden. Diese Informationen müssen gemäß Art 12 DSGVO präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache erteilt werden. Bei Videokameras kann etwa in einem ersten Schritt durch eine Beschilderung auf die Datenverarbeitung hingewiesen werden. Während die wichtigsten Informationen in einem Warnhinweis dargestellt werden sollten, können notwendige weitere Informationen in einem zweiten Schritt mit anderen Mitteln zur Verfügung gestellt werden. Das Unternehmen hat es unterlassen, auf die durchgeführte Datenverarbeitung hinzuweisen. Damit hat es den Betroffenen erschwert, ihre Rechte iSd Art 15 DSGVO auszuüben.

Für die Strafbarkeit einer juristischen Person genügt ein Verschulden in Form von Vorsatz oder Fahrlässigkeit. Das Unternehmen beschäftigte sich nur oberflächlich mit datenschutzrechtlichen Fragen und handelte dabei leicht fahrlässig.

Die Geldstrafe ist nach Art 83 DSGVO zu bemessen, sie muss wirksam, verhältnismäßig und abschreckend sein. Das Unternehmen ist ein Unternehmen der kleinsten Kategorie, der Schweregrad des Verstoßes ist leicht, aber es liegt ein gravierender Eingriff in die Grundrechte auf Datenschutz und Privatsphäre einer großen Zahl von Betroffenen über einen langen Zeitraum vor.

Strafmildernd zu berücksichtigen ist, dass keine früheren Verstöße des Unternehmens gegen die DSGVO vorlagen und das Unternehmen im Verfahren kooperativ mitgewirkt hat. Die Geldstrafe ist von EUR 19.200 auf EUR 7.000 zu reduzieren. Anm: Das Erkenntnis des BVwG im vorangegangenen amtswegigen Prüfverfahren kann im Datenschutzmonitor vom 21.05.2025 nachgelesen werden.

·      Gemäß § 73 Abs 1 AVG sind Behörden verpflichtet, über Parteienanträge ohne unnötigen Aufschub, spätestens aber sechs Monate nach deren Einlangen, zu entscheiden. Laut § 24 Abs 10 Z 2 DSG ist die Zeit während eines Kohärenzverfahrens gemäß Art 56, 60 und 63 DSGVO in die Entscheidungsfrist des § 73 AVG nicht einzurechnen. Die Frist ist während der federführenden Zuständigkeit der ausländischen Aufsichtsbehörde gehemmt. Das Verfahren über eine Datenschutzbeschwerde iZm grenzüberschreitender Datenverarbeitung besteht aus drei Phasen: Zuerst bestimmen die beteiligten Aufsichtsbehörden ihre jeweilige Rolle nach Art 56 DSGVO. Danach führt die federführende Aufsichtsbehörde das Kohärenzverfahren nach Art 60 DSGVO durch und fasst einen verbindlichen Beschluss. Im letzten Schritt erlässt die Aufsichtsbehörde, bei der die Datenschutzbeschwerde eingebracht wurde, den Bescheid hinsichtlich abweisender oder ablehnender Spruchpunkte (BVwG 06.05.2025, W254 2309877-1).

·      Erscheint die Rechtsverfolgung oder Rechtsverteidigung aussichtslos, ist keine Verfahrenshilfe zu bewilligen. Da die DSB für die datenschutzrechtliche Kontrolle von justizieller Tätigkeit, die in der gerichtskommissarischen Betrauung eines öffentlichen Notars liegt, unzuständig ist, erscheint die Rechtsverfolgung aussichtslos und ist die Verfahrenshilfe nicht zu bewilligen (BVwG 16.04.2025, W298 2310614-1).

EU-Rechtsakte

·      Am 16.06.2025 erzielten der Rat und das Europäische Parlament eine vorläufige Einigung über den Entwurf der neuen Verfahrensverordnung zur DSGVO, COM(2023) 348 final. Mit dieser Verordnung soll die Zulässigkeit grenzüberschreitender Datenschutzbeschwerden harmonisiert werden. Vereinbart wurden ua Fristen und Mechanismen im Kohärenzverfahren (Pressemitteilung des Rates; Pressemitteilung des EP).

·      Am 18.06.2025 veröffentlichte die Europäische Kommission (EK) eine Pressmitteilung, in der sie mitteilte, von AliExpress angebotene Verpflichtungen zur Einhaltung des Gesetzes über digitale Dienste (DSA) zu akzeptieren, und gleichzeitig Verstöße von AliExpress hinsichtlich der Verbreitung illegaler Produkte festgestellt zu haben. Durch die von AliExpress angebotenen und verbindlich gemachten Verpflichtungen hofft die Kommission, ua die Transparenz der Plattform betreffend Werbe- und Empfehlungssystem zu erhöhen (EK Pressemitteilung 18.06.2025, IP/25/1551).

Vorschau EuGH-Rechtsprechung

·      Am 26.06.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-514/24, Magyar Telekom, stattfinden. Gegenstand des Verfahrens ist die rechtliche Qualifikation von (i) Urteilen des EuGH, (ii) Leitlinien des Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) und (iii) Entscheidungen nationaler Regulierungsbehörden iZm dem Europäischen Kodex für die elektronische Kommunikation (EKEK).

·      Am 02.07.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-484/24, NTH Haustechnik, stattfinden. Gegenstand des Verfahrens sind ua die Vereinbarkeit einzelner Bestimmungen der deutschen ZPO mit der DSGVO und die Verwertung rechtswidrig erlangter Beweismittel. Damit einher gehen Fragestellungen zu den Art 5, 6, 9 und 17 DSGVO.

·      Am 03.07.2025 werden die Schlussanträge in der Rs C-291/24, Steiermärkische Bank und Sparkasse, veröffentlicht. Gegenstand des Verfahrens ist die verwaltungsstrafrechtliche Haftung nach dem FM-GwG. Anm: Die Rechtssache betrifft zwar das FM-GwG, ist für das Datenschutzrecht aber relevant, weil es um eine mit Art 83 DSGVO vergleichbare Haftungsregelung und um Verjährungsfristen im Anwendungsbereich des Unionsrechts geht.

·      Am 10.07.2025 wird das Urteil des EuGH in der Rs C-367/24, Telekom România, veröffentlicht. Der EuGH wird über den offenen Internetzugang und die Nutzung von Videostreamingdiensten entscheiden.

·      Am 16.07.2025 wird das Urteil des EuG in der Rs T-183/23, Ballmann/EDSA, veröffentlicht. Das EuG wird entscheiden, ob der EDSA gegen das Recht auf Akteneinsicht verstoßen hat, indem er einer Verfahrensbeteiligten keinen Zugang zum verbindlichen Beschluss 3/2022 gegen Meta gewährte.