you are being redirected

You will be redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH: www.schoenherr.eu

31 March 2025
newsletter

Datenschutzmonitor März 2025

Find relevant Austrian and European data protection case law from March 2025 in this newsletter (in German).

>> Registrieren Sie sich hier, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<

 

Die Datenschutzmonitor Jahresausgabe 2024 finden Sie hier.

Datenschutzmonitor 05.03.2025

 

Rechtsprechung des EuGH

EuGH 25.02.2025, C-233/23, Alphabet

Missbrauch einer beherrschenden Stellung, Interoperabilität

·      Google, eine Tochtergesellschaft von Alphabet, entwickelte das Betriebssystem Android OS und die digitale Plattform Android Auto. Ein italienisches Unternehmen führte eine App ein, die verschiedene Funktionen für das Aufladen von Elektrofahrzeugen bietet und ersuchte Google, die Interoperabilität der App mit Android Auto zu gewährleisten. Google lehnte dies "aus Sicherheitsgründen" und der "Notwendigkeit einer rationalen Zuweisung von Ressourcen" ab. Der Anbieter der App wandte sich an die italienische Wettbewerbsbehörde AGCM, die feststellte, dass Google gegen Art 102 AEUV (missbräuchliche Ausnutzung einer beherrschenden Stellung auf dem Binnenmarkt) verstoßen hatte. Google legte gegen diese Entscheidung Rechtsmittel ein.

Das vorlegende Gericht fragte den EuGH, (i) ob ein Unternehmen verpflichtet ist, seine Erzeugnisse anzupassen oder neu zu entwickeln, um anderen Zugang zu gewähren, und (ii) ob es dabei die Marktanforderungen und Bedürfnisse des ersuchenden Unternehmens berücksichtigen muss, sowie ob (iii) der Zugang zu einem Erzeugnis für die Ausübung einer bestimmten Tätigkeit auf einem benachbarten Markt unerlässlich ist und (iv) ob missbräuchliches Verhalten angenommen werden kann, wenn das ersuchende Unternehmen und seine Wettbewerber trotz fehlenden Zugangs auf dem Markt tätig bleiben und wachsen.

Der EuGH hat erwogen: Art 102 AEUV verbietet die missbräuchliche Ausnutzung einer beherrschenden Stellung auf dem Binnenmarkt. Ein Missbrauch liegt vor, wenn ein Unternehmen in beherrschender Stellung den Zugang zu einer Infrastruktur verweigert, die für die Ausübung der Tätigkeit eines Wettbewerbers unerlässlich ist und keinen tatsächlichen oder potenziellen Ersatz hat. Google entwickelte Android Auto nicht ausschließlich für eigene Zwecke, sondern ermöglichte Drittunternehmen den Zugang. Daher ist die Voraussetzung der Unerlässlichkeit nicht anwendbar. Der Umstand, dass das Unternehmen und seine Wettbewerber auf dem Markt tätig blieben und ihre Stellung ausbauten, obwohl sie die Interoperabilität nicht nutzen konnten, bedeutet nicht, dass die Weigerung keine wettbewerbswidrigen Auswirkungen haben konnte. Es ist zu prüfen, ob das Verhalten von Google geeignet war, die Aufrechterhaltung oder Entwicklung des Wettbewerbs zu behindern. Google kann sich als objektive Rechtfertigung für die Weigerung darauf berufen, dass es zum Zeitpunkt des Ersuchens kein Template gab, das die Interoperabilität gewährleistete, wenn die Interoperabilität die Integrität oder Sicherheit der Plattform gefährden würde oder aus technischen Gründen unmöglich wäre. Ist dies nicht der Fall, ist Google verpflichtet, ein solches Template innerhalb eines angemessenen Zeitraums und gegebenenfalls gegen eine angemessene finanzielle Gegenleistung zu entwickeln. Eine genaue Definition des sachlich und räumlich relevanten Marktes ist nicht erforderlich.

EuGH 27.02.2025, C-203/22, Dun & Bradstreet

Automatisierte Entscheidungsfindung, Profiling, Auskunftsrecht, Geschäftsgeheimnis

·      Ein Mobilfunkanbieter verweigerte einer Betroffenen den Vertragsabschluss bzw -verlängerung, weil sie laut einem Bonitätsscore, den der Mobilfunkanbieter von Dun & Bradstreet (D&B) erhielt, nicht kreditwürdig gewesen sein soll. Die DSB trug D&B aufgrund der Datenschutzbeschwerde der Betroffenen auf, aussagekräftige Informationen über die "involvierte Logik" zu übermitteln. D&B beschwerte sich beim BVwG und berief sich ua auf das Vorliegen eines Geschäftsgeheimnisses. Das BVwG entschied, dass die von D&B erteilte Auskunft nicht ausreichte, um die Betroffene in die Lage zu versetzen, nachzuvollziehen, wie ihr Bonitätsscore prognostiziert wurde. Nachdem das Erkenntnis rechtskräftig und vollstreckbar wurde, beantragte die Betroffene beim Magistrat der Stadt Wien die Vollstreckung des Erkenntnisses, dh die Ergänzung der Auskunft. Obwohl D&B nach Erlass des Erkenntnisses keine weitere Auskunft erteilt hatte, wurde dieser Vollstreckungsantrag mit der Begründung abgewiesen, dass D&B ihrer Auskunftspflicht bereits ausreichend nachgekommen sei. Die Betroffene erhob Bescheidbeschwerde an das LVwG Wien, das den EuGH um Vorabentscheidung ersuchte.

Der EuGH hat erwogen: Aus Art 15 Abs 1 lit h DSGVO ergibt sich ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung. Die Wortfolge "aussagekräftige Informationen über die involvierte Logik" einer automatisierten Entscheidungsfindung umfasst alle maßgeblichen Informationen zum Verfahren und zu den Grundsätzen der automatisierten Verarbeitung zwecks Erreichen eines bestimmten Ergebnisses. Die zu erteilende Information soll der Betroffenen insbesondere ermöglichen, die ihr nach Art 22 Abs 3 DSGVO zustehenden Rechte auf Darlegung ihres eigenen Standpunkts und auf Anfechtung der Entscheidung auszuüben.

Um zu gewährleisten, dass die Betroffene in die Lage versetzt wird, die ihr vom Verantwortlichen übermittelten Informationen in vollem Umfang zu verstehen, sind sie in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Die DSGVO verlangt keine ausführliche Erläuterung der verwendeten Algorithmen oder die Offenlegung des gesamten Algorithmus. Die Übermittlung einer komplexen mathematischen Formel und die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung sind keine ausreichend präzisen und verständlichen Erläuterungen. Der Verantwortliche sollte einfache Möglichkeiten finden, die Betroffene über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw Kriterien zu informieren. Beim Profiling könnte es ausreichend transparent und nachvollziehbar sein, darzulegen, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.

Die gemäß Art 15 Abs 1 lit h DSGVO zu erteilenden Informationen können zu einer Beeinträchtigung der Rechte und Freiheiten anderer Personen führen, insbesondere, wenn sie durch die DSGVO geschützte personenbezogene Daten Dritter oder ein Geschäftsgeheimnis enthalten. Diesfalls sind diese Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des Auskunftsrechts zu ermitteln.

Die Anwendung einer nationalen Bestimmung wie § 4 Abs 6 DSG, die das Auskunftsrecht der betroffenen Person grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis gefährden würde, steht im Widerspruch zu Art 15 DSGVO. Die Abwägung der einander gegenüberstehenden Rechte und Interessen muss auf Einzelfallbasis erfolgen. Anm: Geradezu in einem Nebensatz erklärt der EuGH die Bestimmung des § 4 Abs 6 DSG für unionsrechtswidrig. Spannend an diesem Fall ist, dass er bereits die Vollstreckung eines Erkenntnisses des BVwG betrifft. Die erstinstanzliche Vollstreckungsbehörde verweigerte die Vollstreckung mit dem Einwand, dass der Spruch des Erkenntnisses viel zu unpräzise sei. Die zweite Instanz holte zunächst ein technisches Gutachten ein und stellte dann unzählige Fragen an den EuGH. Nach dem Urteil des EuGH bleibt weiterhin unklar, was tatsächlich zu beauskunften ist (zB: "Der Verantwortliche sollte einfache Möglichkeiten finden").

EuGH 27.02.2025, C-638/23, Amt der Tiroler Landesregierung

Rollenverteilung per Gesetz, öffentliche Stelle

·      Das Amt der Tiroler Landesregierung (Amt) versendete im Rahmen von Maßnahmen zur Bekämpfung der Covid-19-Pandemie Impferinnerungsschreiben an alle im Land Tirol wohnhaften volljährigen Personen, die noch nicht gegen das Virus geimpft waren. Zur Ermittlung der Adressaten beauftragte das Amt zwei private Unternehmen, die die Daten des zentralen Impfregisters mit jenen des Patientenindex abglichen. Einer der Adressaten reichte daraufhin eine Datenschutzbeschwerde bei der DSB ein, weil er die Verarbeitung seiner personenbezogenen Daten für unrechtmäßig hielt. Die DSB stellte fest, dass das Amt für das Impfregister und den Patientenindex nicht zugriffsberechtigt und die Verarbeitung daher rechtswidrig war. Das Amt erhob eine Bescheidbeschwerde an das BVwG, welche abgewiesen wurde. Daraufhin erhob das Amt Revision an den VwGH, der den EuGH fragte, ob das Amt durch die Bestimmung des § 2 Abs 1 lit a Tiroler Datenverarbeitungsgesetz ("TDVG") als "Verantwortlicher" iSd Art 4 Z 7 DSGVO gilt, obwohl es keine juristische Person ist und nur als Hilfsapparat des Landeshauptmanns an der Verarbeitung beteiligt war und keine Rechtspersönlichkeit und Rechtsfähigkeit hat.

Der EuGH hat erwogen: Der Begriff des Verantwortlichen iSd Art 4 Z 7 DSGVO umfasst natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Nationale Regelungen können Verantwortliche festlegen, wenn die Zwecke und Mittel der Verarbeitung durch das nationale Recht vorgegeben sind. Die weite Definition des Begriffs "Verantwortlicher" soll einen wirksamen und umfassenden Schutz der Betroffenen gewährleisten.

Die Feststellung, ob eine Person oder Einrichtung als Verantwortliche einzustufen ist, erfordert die Prüfung, ob diese allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet oder ob ihre Rolle als Verantwortliche durch das nationale Recht vorgegeben ist. Eine Stelle kann auch dann als Verantwortliche eingestuft werden, wenn sie keine Rechtspersönlichkeit besitzt, solange sie über eine gewisse Entscheidungs- und Handlungsfähigkeit bei der Verarbeitung personenbezogener Daten verfügt. Die Verantwortliche muss die rechtlichen Verpflichtungen erfüllen können, die die DSGVO auferlegt, unabhängig davon, ob die Stelle Rechtspersönlichkeit und eine eigene Rechtsfähigkeit hat. Die unmittelbare Benennung einer Stelle als Verantwortliche ist rechtswirksam, wenn die nationale Regelung den Umfang der Verarbeitung personenbezogener Daten vorgibt. Es ist jedoch nicht erforderlich, dass der Gesetzgeber alle Verarbeitungsvorgänge abschließend aufzählt. Eine nationale Regelung, die eine Stelle als Verantwortliche benennt, ist mit Art 4 Z 7 DSGVO vereinbar, wenn diese Regelung explizit oder implizit den Umfang der Verarbeitung personenbezogener Daten vorgibt.

Eine nach nationalem Recht als Verantwortliche benannte Stelle muss nicht selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, um als Verantwortliche Anfragen beantworten zu müssen, die Betroffenen aufgrund ihrer Rechte aus der DSGVO an sie richten. Die Rechtswirksamkeit einer unmittelbaren Benennung wird nicht dadurch berührt, dass die benannte Stelle keine Kontrolle über die personenbezogenen Daten ausübt, die sie zu verarbeiten hat. Daher steht Art 4 Z 7 DSGVO einer nationalen Regelung, in der als Verantwortliche ein Hilfsapparat der Verwaltung benannt ist, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, nicht entgegen, sofern diese Stelle die Pflichten eines Verantwortlichen erfüllen kann und die nationale Regelung den Umfang der Verarbeitung personenbezogener Daten vorgibt, für die diese Stelle verantwortlich ist.

EuGH Schlussanträge 27.02.2025, C-57/23, Policejní presidium

Biometrische und genetische Daten, DSRL-PJ, Recht der Mitgliedstaaten

·      In einem Ermittlungsverfahren wurden von einer Verdächtigen genetische Daten durch einen Mundhöhlenabstrich erhoben. Das geltende tschechische Recht erlaubte diese Maßnahme bei Personen, die einer Vorsatztat beschuldigt oder verdächtigt wurden, unabhängig von der Strafhöhe. Eine Höchstspeicherdauer der erhobenen Daten war nicht festgelegt. Das vorlegende Gericht fragte den EuGH, (i) ob die in der Richtlinie 2016/680 (DSRL-PJ) festgelegten Anforderungen eine undifferenzierte Erhebung biometrischer und genetischer Daten erlauben, (ii) ob für die Speicherung eine feste zeitliche Beschränkung vorgesehen sein muss und (iii) ob Rechtsprechung nationaler Verwaltungsgerichte als "Recht der Mitgliedstaaten" zu verstehen ist.

Der Generalanwalt hat erwogen: Die Kriterien für die Bewertung der Erforderlichkeit einer Datenverarbeitung nach Art 10 der DSRL-PJ sind die Art und Schwere der mutmaßlichen Straftat, die besonderen Umstände der Straftat, der Zusammenhang der Tat mit laufenden Verfahren sowie die Vorstrafen oder das individuelle Profil der Betroffenen. Eine Regelung, welche die Erhebung biometrischer und genetischer Daten aller Personen erlaubt, die beschuldigt oder verdächtigt werden, eine vorsätzliche Straftat begangen zu haben, ist unzulässig, wenn keine Einzelfallprüfung der unbedingten Erforderlichkeit der Datenverarbeitung vorgesehen ist.

Nach der DSRL-PJ sind keine fest definierten Löschfristen erforderlich, eine periodische Überprüfung der Notwendigkeit der Speicherung von Daten reicht aus. Zusätzlich zu der periodischen Überprüfung brauchen Betroffene das Recht, Auskunft über die Dauer, oder die Kriterien für die Festlegung der Dauer der Datenspeicherung zu erhalten, um ihre Betroffenenrechte ausüben zu können. Für die Speicherung biometrischer und genetischer Daten müssen Bestimmungen klare und deutliche Zwecke enthalten, um die Zweckerreichung und damit den Löschzeitpunkt ableiten zu können. Kriterien zur Beurteilung der Speicherdauer sind die Art und Schwere des Sachverhalts, die verstrichene Zeit, die verbleibende gesetzliche Aufbewahrungsfrist, die Höhe des Risikos weiterer Straftaten, der Kontext der Straftat, ein Zusammenhang mit anderen laufenden Verfahren oder die Vorgeschichte und das Profil der Betroffenen.

Rechtsprechung von Mitgliedstaaten ist, wenn sie zugänglich, vorhersehbar und konstant ist sowie hinreichende materielle Charakteristika aufweist, als "Recht der Mitgliedstaaten" iSd DSRL-PJ zu sehen. Dennoch reicht auch eine Rechtsprechung, die eine ständige Verwaltungspraxis bestätigt, nicht aus, um an die Stelle einer allgemein geltenden Vorschrift zu treten. Denn bei der Verarbeitung besonders sensibler Daten müssen hinreichend strenge Garantien in einem verbindlichen und in der Anwendung vorhersehbaren Rechtsakt, der im Bereich der Verarbeitung dieser Daten maßgebend ist, festgelegt sein. Anm: Der Generalanwalt spricht bei biometrischen und genetischen Daten von einer besonderen Sensibilität. Sollte der EuGH sich dieser Ansicht anschließen, entsteht eine Rangordnung zwischen den sensiblen Datenkategorien.

Rechtsprechung der Justiz

·      Der Tatverdacht zum Vorwurf des Überlassens von Suchtgift stützte sich nicht auf die Auswertung der SKY ECC-Chatprotokolle (Auswertung eines Mobiltelefons), sondern auf belastende Angaben der Suchtmittelabnehmer und die Sicherstellung von Suchtgift. Da somit bereits ein dringender Verdacht auf erheblichen Suchtgifthandel bestand, fehlte es der Grundrechtsbeschwerde an einer hinreichenden Begründung für einen Beweisverwertungsmangel und einer Verletzung des Grundrechts auf persönliche Freiheit lag nicht vor. Mit der Behauptung einer Verletzung der Grundrechte auf ein faires Verfahren gemäß Art 6 EMRK und auf Schutz der Privatsphäre gemäß Art 8 EMRK durch die Verwertung von SKY ECC-Chats wird keine Garantie des Grundrechts auf persönliche Freiheit gemäß Art 5 EMRK thematisiert und solcherart der Anfechtungsrahmen einer Grundrechtsbeschwerde verlassen (OGH 18.02.2025, 14Os11/25m).

Rechtsprechung des BVwG

BVwG 28.01.2025, W108 2286343-1

Identifikationsregister, e-Card, Auskunft, Verantwortliche

·      Einer Betroffenen wurde eine neue e-Card mit aufgebrachtem Lichtbild zugesandt. Die Polizei führte während eines Verwaltungsstrafverfahrens eine Abfrage des Lichtbilds des Reisepasses der Betroffen durch. Beide Abfragen erfolgten aus dem Identifikationsregister ("IDR"), das von den Passbehörden als Gemeinsam Verantwortliche betrieben wird. Die Betroffene stellte ein Auskunftsersuchen an die zuständige Passbehörde. In der erteilten Auskunft schienen weder der Hauptverband der Sozialversicherungsträger noch die Polizei als Empfänger auf.

Die Betroffene erachtete sich in ihrem Recht auf Auskunft verletzt und brachte gegen die zuständige Passbehörde eine Datenschutzbeschwerde bei der DSB ein. Diese gab der Datenschutzbeschwerde teilweise (aber aus anderen Gründen) statt und stellte ua fest, dass die Passbehörde nur unvollständige Auskunft über konkret verarbeitete (Stamm-)Daten erteilt hat. Im Übrigen wurde die Datenschutzbeschwerde abgewiesen. Dagegen erhob die Betroffene (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Passbehörden stellen nur die Infrastruktur zur Verfügung, um Abfragen aus dem IDR zu ermöglichen. Die Sicherheitsbehörden und der Dachverband der österreichischen Sozialversicherungsträger sind selbständige Verantwortliche. Sie haben eine automatische Zugriffsmöglichkeit auf Daten des IDR, die an keine Zustimmung und keinen Verarbeitungsvorgang innerhalb der Passbehörde geknüpft ist. Eine gemeinsame Verantwortlichkeit mit den Passbehörden besteht nicht. Vielmehr hatten Bedienstete der Sicherheitsbehörden bzw Mitarbeiter des Dachverbands der Sozialversicherungsträger für ihre jeweilige Behörde gewisse Abfragen aus dem IDR hinsichtlich des Lichtbilds der Betroffenen zu tätigen. Mangels Verantwortlicheneigenschaft der zuständigen Passbehörde war die erteilte Auskunft in dieser Hinsicht nicht mangelhaft.

·      Entspricht ein Verantwortlicher im Laufe des Verfahrens vor dem BVwG einem Löschungsersuchen, wird der Betroffene dadurch klaglos gestellt und ist das Verfahren einzustellen. Ein Recht auf Feststellung einer Rechtsverletzung in der Vergangenheit besteht nicht. Dem Betroffenen ist auch kein subjektives öffentliches Recht eingeräumt, ein allgemeines rechtliches Interesse durchzusetzen (BVwG 31.01.2025, W258 2247059-1).

·      Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 28.01.2025, W252 2271493-1; W252 2271450-1).

·      Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 29.01.2025, W171 2262672-1; W171 2262379-1).

 


Datenschutzmonitor 12.03.2025

 

Rechtsprechung der Justiz

OGH 29.01.2025, 12Os79/24w

Sicherstellung personenbezogener Daten, Einspruch nach § 106 StPO

·      Die Zentrale Staatsanwaltschaft zur Verfolgung von Wirtschaftsstrafsachen und Korruption (WKStA) führte ein Ermittlungsverfahren wegen verschiedener Straftaten gegen zwei Amtsträger. Die WKStA richtete eine Sicherstellungsanordnung an das Bundesamt für Korruptionsbekämpfung (BAK) und ordnete die Sicherstellung folgender Gegenstände an: Innerhalb eines näher umschriebenen Zeitraums die E-Mail-Postfächer, eOffice-Dokumente, sonstige Co-Working-Spaces sowie Laufwerke samt Backups und Sicherungskopien sämtlicher Mitarbeiter des Bundeskanzleramtes (BKA) in den Bereichen Öffentlichkeitsarbeit, Informationstätigkeit und Kabinett des Bundeskanzlers.

Die Republik Österreich, vertreten durch die Finanzprokuratur, erhob Einspruch gemäß § 106 Abs 1 StPO und beantragte die Aufhebung der Sicherheitsanordnung, ua weil eine Vielzahl privater und sensibler Daten betroffen wären. Das LG für Strafsachen Wien wies den Einspruch ab. Das OLG Wien gab der dagegen erhobenen Beschwerde zwar keine Folge, erklärte den Einspruch aber grundsätzlich für zulässig. Daraufhin erhob die Generalprokuratur eine (erfolglose) Nichtigkeitsbeschwerde zur Wahrung des Gesetzes an den OGH.

Der OGH hat erwogen: Der Begriff des "subjektiven Rechts" iSd hier relevanten § 106 Abs 1 Z 2 StPO stellt auf eine Kontrolle von Grundrechten und darauf ab, dass der Einspruchswerber sich selbst unmittelbar in einem subjektiven Recht verletzt erachtet.

Im Hoheitsvollzug sind staatliche Organe keine Grundrechtsträger, sondern allein grundrechtsverpflichtet. Der Bund kann aber nach Art 17 B-VG (Privatwirtschaftsverwaltung) Träger von Privatrechten sein, womit ihm auch als Rechtsunterworfenen die Ausübung von subjektiven Rechten zur Kontrolle von Grundrechten zustehen kann.

Die Vorinstanzen haben keine Aussage darüber getroffen, in Erfüllung welcher staatlicher Aufgabe das BKA oder der Bund den Gewahrsam an den von der Sicherstellungsanordnung umfassten Daten begründet haben. Die Generalprokuratur machte jedoch keine entsprechenden Feststellungs- oder Begründungsmängel geltend, daher ist kein Gesetzesverstoß bei der Annahme der Zulässigkeit des vorliegenden Einspruchs auszumachen.

·      Richtet ein Rechtsanwalt für seinen Mandanten ein Auskunftsersuchen an einen Verantwortlichen, reicht eine elektronisch signierte Vollmacht gemeinsam mit einer Kopie des Personalausweises des Mandaten als Identitätsnachweis aus. Für den Abschluss eines Bevollmächtigungsvertrags gelten keine besonderen Formvorschriften, sodass die Vorlage einer vom Mandanten handschriftlich mit Tinte unterfertigten Vollmacht nicht gefordert werden darf (OLG Graz 19.12.2024, 2R192/24h).

Rechtsprechung des BVwG

BVwG 05.02.2025, W291 2298821-1

Geldbuße, veröffentlichte Gesundheitsdaten, Rechtsanspruch, Weiterverarbeitung

·      Eine Patientin verfasste eine negative Rezension über einen Facharztbesuch auf Google, in der sie auch ihr Krankheitsbild offenlegte. In seiner Antwort veröffentlichte der Facharzt zusätzlich die Diagnose der Patientin ("Reizung eines Sehnenansatzes"). Die DSB sah darin einen Verstoß gegen Art 9 Abs 1 DSGVO sowie gegen die Grundsätze der Verarbeitung gemäß Art 5 Abs 1 lit a, b und c DSGVO. Sie verhängte eine Geldstrafe iHv EUR 4.000. Daraufhin erhob der Facharzt (eine der Höhe nach teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Information betreffend die medizinische Diagnose der Patientin ist ein Gesundheitsdatum iSd Art 4 Z 15 DSGVO.

Eine auf Google veröffentlichte Rezension erfüllt die geforderte Öffentlichkeit iSd Ausnahmetatbestands nach Art 9 Abs 2 lit e DSGVO. Der Schutz besonderer Kategorien personenbezogener Daten iSd Art 9 Abs 2 lit e DSGVO entfällt nur dann, wenn die Betroffene das sensible Datum (offensichtlich) selbst veröffentlicht hat. Der Ausnahmetatbestand iSd Art 9 Abs 2 lit f DSGVO setzt voraus, dass ein rechtlicher Konflikt bereits besteht. Dieser Ausnahmetatbestand greift somit nur, soweit sich die Datenverarbeitung auf von der Betroffenen veröffentlichte Daten bezieht. Der Facharzt ergänzte jedoch die von der Patientin selbst veröffentlichten Gesundheitsdaten um weitere Informationen (die Diagnose) und generierte dadurch einen informationellen Mehrwert.

Die Verarbeitung kann, solang die Möglichkeit einer abstrakten rechtlichen Auseinandersetzung bloß abstrakt besteht, auch nicht auf Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gestützt werden (Art 9 Abs 2 lit f DSGVO).

Da der Facharzt die Diagnose der Patientin im Rahmen seiner ärztlichen Tätigkeit erstellte und die Daten nur dafür erhoben wurden, verstieß er gegen den Grundsatz der Zweckbindung (Art 5 Abs 1 lit b DSGVO). Zudem lag keine konkrete, kohärente oder ausreichend enge Verbindung zwischen dem ursprünglichen Zweck der Datenerhebung und der Weiterverarbeitung der Daten vor. Weiters war es für die Patientin nicht vorhersehbar, dass der Facharzt Daten zu ihrer medizinischen Diagnose als Reaktion auf ihre Google-Rezension veröffentlichen wird. Darüber hinaus verstieß die Veröffentlichung gegen den Grundsatz der Datenminimierung nach Art 5 Abs 1 lit c DSGVO, weil es dem Facharzt möglich gewesen wäre, seine Sichtweise auch ohne die Preisgabe der Diagnose darzulegen.

Die Geldstrafe war dennoch auf EUR 3.000 herabzusetzen, weil gegen den Facharzt keine einschlägigen Vorstrafen vorlagen, der Facharzt seine Antwort gelöscht hatte und seine persönlichen Verhältnisse zu berücksichtigen waren.

BVwG 30.01.2025, W101 2248744-1

Berechtigtes Interesse, Identifizierbarkeit, Grundbuch

·      Eine Marktgemeinde und zwei Anrainer der Gemeinde führten aufgrund einer Meinungsverschiedenheit ein Zivilverfahren vor dem Bezirksgericht ("BG"), wobei einer der Anrainer auf einer mit dem Bürgermeister konkurrierenden Parteiliste stand. Die Marktgemeinde veröffentlichte in Folge ein Anwaltsschreiben und den Beschluss des BG auf ihrer Website unter der Rubrik "Amtstafel". Diese Dokumente enthielten die Namen, Geburtsdaten, Anschriften und Grundstücksnummern der Anrainer. Nachdem die Anrainer die Löschung ihrer Daten forderten, schwärzte die Marktgemeinde die Namen, Geburtsdaten und Anschriften, veröffentlichte die Dokumente jedoch weiterhin unter der Rubrik "Aktuelles" mit sichtbaren Grundstücksnummern. Da sich die Anrainer dadurch in ihrem Recht auf Geheimhaltung verletzt sahen, brachten sie eine Datenschutzbeschwerde bei der DSB ein, die eine Verletzung des Rechts auf Geheimhaltung durch die Marktgemeinde feststellte. Die Bescheidbeschwerde der Marktgemeinde an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Die Veröffentlichung bzw Offenlegung von Daten im Internet auf einer frei aufrufbaren Website ist eine Datenverarbeitung iSd Art 4 Z 2 DSGVO. Die Marktgemeinde ist Verantwortliche iSd Art 4 Z 7 DSGVO, weil sie über die Mittel und Zwecke der Verarbeitung entschieden hat.

Eine Verarbeitung personenbezogener Daten kann etwa zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten zulässig sein (Art 6 Abs 1 lit f DSGVO). Die Verarbeitung muss aber erforderlich sein und sich auf das absolut Notwendige beschränken.

Die Marktgemeinde verfolgte ein berechtigtes Interesse an der Information der Öffentlichkeit bzw der Gemeindebewohner über Ereignisse eines Verfahrens im Zusammenhang mit der Gemeinde. Die Marktgemeinde hätte ihr Ziel jedoch auch mit einer von vornherein vollständig geschwärzten Version der Dokumente erreichen können.

Auch die Veröffentlichung der Dokumente mit geschwärzten Namen, Geburtsdaten und Anschriften, aber sichtbaren Grundstücksnummern, verletzt das Recht auf Geheimhaltung der Anrainer. Denn eine Person ist identifizierbar, wenn die Information dieser Person zugeordnet werden kann, sobald sie mit weiteren Informationen verknüpft wird. Der Begriff "Informationen" ist weit zu verstehen. Auch sachliche Informationen, wie Vermögens- und Eigentumsverhältnisse werden davon umfasst. Eine Abfrage des Grundbuchs ist einfach und kostengünstig möglich, wodurch die Identifizierung der Anrainer durch die Grundstücksnummern erleichtert wird. Die Grundstücksnummern im Beschluss des BG wurden mit einem Schreiben einer Rechtsanwaltskanzlei kombiniert und waren personenbezogene Daten. Die Marktgemeinde hat zwar ein berechtigtes Interesse, jedoch war die ungeschwärzte Veröffentlichung nicht erforderlich.

BVwG 30.01.2025, W101 2248650-1

Berechtigtes Interesse, Erforderlichkeit

·      Ein Anrainer brachte eine Klage wegen einer Meinungsverschiedenheit gegen seine Marktgemeinde beim BG ein. Die Marktgemeinde veröffentlichte in Folge den Beschluss des BG samt Namen, Geburtsdatum und Anschrift des Anrainers auf ihrer Website jeweils unter der Rubrik "Aktuelles" und "Gemeindezeitung". Der Anrainer erhob daraufhin eine Datenschutzbeschwerde bei der DSB. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob die Marktgemeinde eine (teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Gegenstand eines Verwaltungsverfahrens wird inhaltlich grundsätzlich durch die Begründung des Antrags festgelegt, mit dem das Verwaltungsverfahren eingeleitet wird. Da der Sachverhalt hinsichtlich der Veröffentlichung unter der Rubrik "Aktuelles" bereits teilweise Gegenstand eines anderen bei der DSB anhängigen Verwaltungsverfahrens war (siehe oben: BVwG 30.01.2025, W101 2248744-1), hätte die DSB über diesen Sachverhalt nicht absprechen dürfen. Der Bescheid der DSB war daher in diesem Umfang aufzuheben.

Die Marktgemeinde verfolgte ein berechtigtes Interesse an der Information der Öffentlichkeit bzw der Gemeindebewohner über Ereignisse im Zusammenhang mit der Gemeinde. Die Kandidatur des Anrainers kann jedoch nicht bereits als Betreten der politischen Bühne gewertet werden. Es fehlt zudem am notwendigen Bekanntheitsgrad.

Vor diesem Hintergrund ergeben sich keine Gründe, welche die Anwendung eines veränderten Maßstabs an das Interesse des Anrainers betreffend die Geheimhaltung seiner personenbezogenen Daten rechtfertigen würde. Da die Marktgemeinde ihr Ziel auch ohne die namentliche Nennung des Anrainers hätte erreichen können, war die Veröffentlichung des Namens nicht erforderlich. Die Veröffentlichung des Namens, Geburtsdatums und der Adresse des Anrainers auf der Website der Marktgemeinde war daher rechtswidrig.

Rechtsprechung der LVwG

·      Die Mitglieder einer Wassergenossenschaft haben das Recht, die anderen Genossenschaftsmitglieder zu kennen. Die Herausgabe personenbezogener Daten eines Genossenschafters an einen anderen Genossenschafter ist vom Erlaubnistatbestand des Art 6 Abs 1 lit b DSGVO (Verpflichtung zur Vertragserfüllung) gedeckt. Daher hat eine Wassergenossenschaft ihren Mitgliedern Einsicht in das Mitgliederverzeichnis samt Adressen, einbezogener Liegenschaften und Stimmrechten zu gewähren (LVwG Tirol 20.02.2025, LVwG-2024/44/2718-6).

EU-Rechtsakte

·      Am 05.03.2025 wurde die "VO (EU) 2025/327 des Europäischen Parlaments und des Rates vom 11. Februar 2025 über den europäischen Gesundheitsdatenraum sowie zur Änderung der Richtlinie 2011/24/EU und der Verordnung (EU) 2024/2847", ABl L 2025/327, kundgemacht. Diese VO präzisiert ua die in der DSGVO festgelegten Rechte natürlicher Personen bei der Primär- und Sekundärnutzung ihrer personenbezogenen elektronischen Gesundheitsdaten. Ziel der VO ist, den Zugang natürlicher Personen zu ihren personenbezogenen elektronischen Gesundheitsdaten zu verbessern.

Nationale Rechtsakte

·      Am 28.02.2025 wurde die "Änderung der Verordnung über den elektronischen Rechtsverkehr (ERV 2021)", BGBl II 2025/27, kundgemacht. Die Änderungen der ERV betreffen etwa Grundbuchsverfahren und die E-ID.

·      Am 03.03.2025 wurde "die Transparenzdatenbank-Abfrageverordnung 2025", BGBl II 2025/41, kundgemacht. Geregelt werden darin die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensible Daten") in der Transparenzdatenbank.

 


 

Datenschutzmonitor 19.03.2025

 

Rechtsprechung des EuGH

EuGH 13.03.2025, C-247/23, Deldits

Berichtigung, öffentliches Register, Geschlechtseintrag, Transidentität, Nachweis

·     Ein iranischer Staatsangehöriger erhielt in Ungarn die Flüchtlingseigenschaft zuerkannt. In den ärztlichen Attesten, die er zur Stützung seines Antrags vorgelegt hatte, wurde bescheinigt, dass er als Frau geboren wurde, aber eine männliche Geschlechtsidentität hat. Dennoch wurde der Asylberechtigte im Flüchtlingsregister als Frau eingetragen. Im Jahr 2022 beantragte der Asylberechtigte bei der zuständigen Ausländerbehörde gemäß Art 16 DSGVO die Berichtigung seines Geschlechtseintrags sowie die Änderung seines Vornamens im Flüchtlingsregister. Die Behörde lehnte den Antrag ab, weil der Asylberechtigte keine geschlechtsangleichende Operation nachweisen konnte. Das vorlegende Gericht stellte dem EuGH mehrere Fragen iZm der Auslegung von Art 16 DSGVO, ua zur Notwendigkeit eines Nachweises für den Berichtigungsantrag und zur Anforderung einer geschlechtsangleichenden Operation.

Der EuGH hat erwogen: Gemäß Art 16 DSGVO hat der Betroffene das Recht, von dem Verantwortlichen unverzüglich die Berichtigung ihn betreffender unrichtiger personenbezogener Daten zu verlangen. Weiters ist auch der Grundsatz der Datenrichtigkeit (Art 5 Abs 1 lit d DSGVO) zu beachten, wonach die verarbeiteten Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Die Richtigkeit und Vollständigkeit personenbezogener Daten sind nach dem Zweck zu beurteilen, für den die Daten erhoben wurden.

Da Ungarn bereits im Asylverfahren anerkannt hatte, dass der Betroffene eine transgeschlechtliche Person ist, war die im Flüchtlingsregister enthaltene Angabe zur Geschlechtsidentität bereits zum Zeitpunkt ihrer Eintragung unrichtig. Ein Mitgliedstaat kann sich nicht auf spezifische, auf der Grundlage von Art 6 Abs 2 und 3 DSGVO erlassene nationale Bestimmungen berufen, um das Recht auf Berichtigung zu verweigern. Diese Bestimmungen dienen nur dazu, die Anwendung der Vorschriften der DSGVO genauer festzulegen, nicht aber dazu, von ihnen abzuweichen.

Ein Mitgliedstaat kann das Recht auf Berichtigung auch nicht mit der Begründung verweigern, dass es in seinem nationalen Recht kein Verfahren zur rechtlichen Anerkennung von Transidentität gibt. Somit ist eine nationale Regelung, die einer transgeschlechtlichen Person wegen fehlender Anerkennung ihrer Geschlechtsidentität den Zugang zu einem unionsrechtlich geschützten Anspruch verwehrt, mit dem Unionsrecht unvereinbar. Folglich ist Art 16 DSGVO dahingehend auszulegen, dass eine nationale Behörde, die ein öffentliches Register führt, personenbezogene Daten zur Geschlechtsidentität berichtigen muss.

Der Betroffene kann verpflichtet sein, Nachweise vorzulegen, die vernünftigerweise verlangt werden können, um die Unrichtigkeit der Daten festzustellen. Ein Mitgliedstaat darf das Recht auf Berichtigung jedoch nur unter Beachtung von Art 23 DSGVO beschränken.

Eine Verwaltungspraxis, wonach eine transgeschlechtliche Person ihr Recht auf Berichtigung der Geschlechtsidentität in einem öffentlichen Register nur ausüben kann, wenn sie eine geschlechtsangleichende Operation nachweist, ist mit Art 16 DSGVO unvereinbar. Darüber hinaus beeinträchtigt eine solche Verwaltungspraxis den Wesensgehalt der Grundrechte auf Unversehrtheit (Art 3 der EU-Grundrechtecharta; GRC) und auf Achtung des Privatlebens (Art 7 GRC). Nach der Rsp des EGMR darf die Anerkennung der Geschlechtsidentität einer transgeschlechtlichen Person nicht davon abhängig gemacht werden, dass sich diese Person entgegen ihrem Wunsch einer Operation unterzieht.

Rechtsprechung des VwGH

VwGH 10.12.2024, Ro 2021/04/0022

Suchmaschine, Unterlassungsanspruch Löschung, De-Indexierung, Informationsfreiheit

·     Ein ehemaliger österreichischer Dienstnehmer eines international führenden Investmentbanking- und Wertpapierhandelsunternehmens in London wurde beschuldigt, eine Frau vergewaltigt zu haben. Er wurde jedoch im Strafverfahren von allen Vorwürfen freigesprochen. Mehrere Medien im Vereinigten Königreich berichteten über den Vorwurf und das Strafverfahren unter Nennung seines vollen Namens. Die Berichte erschienen auch in der Ergebnisliste einer Suchmaschine, die von einer Suchmaschinenbetreiberin mit Sitz in den USA betrieben wird. Der Dienstnehmer erhob bei der DSB eine Datenschutzbeschwerde gegen diese Suchmaschinenbetreiberin und zwei ihrer Tochtergesellschaften wegen Verletzung seines Rechts auf Löschung gemäß Art 17 DSGVO und seines Rechts auf Geheimhaltung gemäß § 1 DSG. Er beantragte unter anderem die Entfernung der Suchergebnisse und die Unterlassung der neuerlichen Indexierung dieser und sinngleicher Inhalte. Nachdem die DSB die Datenschutzbeschwerde abwies, erhob der Dienstnehmer eine (erfolglose) Bescheidbeschwerde beim BVwG. Die gegen das Erkenntnis des BVwG gerichtete Revision des Dienstnehmers war teilweise erfolgreich.

Der VwGH hat erwogen: Das Recht auf Löschung umfasst das Recht auf dauerhafte Löschung, dh das Recht, dass die gelöschten bzw zu löschenden Daten, solange deren Verarbeitung eine Verletzung des Schutzes personenbezogener Daten darstellt, gelöscht bleiben.

Die bloße Löschung unrechtmäßig verarbeiteter Daten beseitigt die Rechtsverletzung nicht vollständig, wenn die Gefahr besteht, dass die Daten erneut vom Verantwortlichen unrechtmäßig verarbeitet werden. Einem Betroffenen steht daher bei Vorliegen von Wiederholungsgefahr neben dem Löschungsanspruch auch ein Unterlassungsanspruch zu. Da vom BVwG nicht klar festgestellt wurde, ob die URL trotz zwischenzeitiger Auslistung in Zukunft wieder online gestellt und in weiterer Folge die ausgelisteten Suchergebnisse wieder gelistet werden könnten, wurde das Unterlassungsbegehren aufgrund eines sekundären Feststellungmangels fälschlich abgewiesen.

Das Recht auf Vergessenwerden gemäß Art 17 Abs 3 lit a DSGVO kann eingeschränkt werden, wenn die neuerliche Indexierung bereits ausgelisteter Suchergebnisse unter anderem zur Ausübung des Rechts auf Informationsfreiheit iSd Art 11 GRC erforderlich ist. Es bedarf einer Abwägung zwischen den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten einerseits und dem Recht auf Informationsfreiheit andererseits unter Berücksichtigung der Umstände des Einzelfalls. Dabei sind einige wesentliche Kriterien wie etwa der Beitrag zu einer Debatte von allgemeinem Interesse und der Bekanntheitsgrad der Betroffenen zu beachten. Insbesondere dann, wenn die Betroffene im öffentlichen Leben eine Rolle spielt, muss sie ein höheres Maß an Toleranz aufbringen, weil sie in diesem Fall zwangsläufig und bewusst im Blick der Öffentlichkeit steht.

Im Rahmen der Interessenabwägung ist zu beachten, dass der Dienstnehmer von dem Vorwurf des sexuellen Missbrauchs rechtskräftig freigesprochen wurde und bereits erhebliche wirtschaftliche und soziale Nachteile nicht auszuschließen sind. Da der Dienstnehmer erst durch die Berichterstattung über das gegen ihn anhängige Strafverfahren einer breiten Öffentlichkeit bekannt wurde, ist seine berufliche und soziale Stellung im Rahmen der Interessenabwägung daher besonders zu berücksichtigen.

Die DSB hat bei Feststellung einer Verletzung des Schutzes personenbezogener Daten geeignete, erforderliche und verhältnismäßige Abhilfemaßnahmen zu ergreifen. Dazu werden in Art 58 Abs 2 DSGVO verschiedene Abhilfebefugnisse aufgezählt. Der Betroffenen steht jedoch kein subjektives Recht auf eine bestimmte Abhilfemaßnahme zu. Die DSB hat unter Berücksichtigung aller Umstände des Einzelfalls das geeignete Mittel zu wählen. Der Dienstnehmer hat neben dem Recht auf Löschung also kein Recht auf Ergreifen einer bestimmten Abhilfemaßnahme.

Während 18 der 24 URL von der Suchmaschinenbetreiberin gelöscht wurden, weigerte sich die Suchmaschinenbetreiberin, sechs weitere URL auszulisten. Diese wurden ohne Einschreiten der Suchmaschinenbetreiberin ausgelistet, weil die Quellseiten offline gegangen sind, weshalb diese URL jederzeit wieder indexiert werden könnten. Der Dienstnehmer kann daher trotz Löschung seiner unrechtmäßig verarbeiteten Daten weiterhin die Feststellung der Rechtsverletzung begehren, weil die bloße Löschung die Rechtsverletzung nicht vollständig beseitigt und Wiederholungsgefahr besteht

Rechtsprechung der Justiz

OGH 18.02.2025, 6Ob102/24d

Vorabentscheidungsersuchen, Verantwortliche, Datenherkunft, Schadenersatz, Amtshaftung

·     Ein Volksschulleiter ("Schulleiter") organisiert Fortbildungsprogramme für seine Lehrer, für die von der Pädagogischen Hochschule ua Prozessbegleiter zur Verfügung gestellt werden. In einem mündlichen Gespräch erkundigte sich der Schulleiter bei einem Lehrer über den von der Pädagogischen Hochschule vorgeschlagenen Prozessbegleiter. Daraufhin äußerte er seinen beruflichen E-Mail-Zugang Bedenken. Über das Gespräch wurde kein Aktenvermerk oder sonst ein Dokument angelegt. Der Prozessbegleiter erfuhr vom Inhalt der E-Mail und forderte den Schulleiter auf, ihm Auskunft zu erteilen und eine Kopie der verarbeiteten personenbezogenen Daten zu übersenden. Der Schulleiter teilte ihm mit, dass er nie dessen personenbezogene Daten besessen oder weitergegeben habe, er habe lediglich seine Bedenken zur Besetzung der Prozessbegleitung geäußert. Der Prozessbegleiter klagte auf Auskunftserteilung, Herausgabe einer Kopie der Daten und Zahlung von immateriellem Schadenersatz.

Der OGH beschloss das Verfahren auszusetzen und dem EuGH mehrere Fragen zur Vorabentscheidung vorzulegen, die (i) den Begriff des Verantwortlichen, (ii) das Auskunftsrecht zur Datenherkunft sowie (iii) den immateriellen Schadenersatz betreffen.

Der OGH hat erwogen: Eine juristische Person, Einrichtung, Behörde oder andere Stelle kann letztlich nur durch das Handeln der für sie tätigen natürlichen Personen agieren. Der Wortlaut von Art 4 Z 7 DSGVO lässt offen, ob eine natürliche Person, die nicht im eigenen Interesse, sondern im Interesse der Organisation handelt, als Verantwortlicher anzusehen ist, oder ob die Haftung als Verantwortlicher stets die Organisation trifft. Denkbar wäre auch eine Haftung der Organisation und der natürlichen Person nebeneinander.

Unklar ist, wie weit der Begriff des Art 15 Abs 1 lit g DSGVO "alle verfügbaren Informationen" reicht. Die in der E-Mail enthaltenen Daten könnten als vom Schulleiter stammend gelten oder auch meinungsbildende Parameter erfassen. Es ist daher die Reichweite der Einbeziehung von Umständen und Einflüssen auf die Meinungsbildung des Äußernden zu klären. Dabei ist auch die Frage zu lösen, ob bereits Vorgänge, die eine bloße "Vorstufe" für die spätere Datenverarbeitung bilden, unter die Transparenzpflicht fallen.

Mit der Auskunft über den mündlichen "Informanten" werden auch dessen Rechte und Freiheiten berührt. Fraglich ist, ob bei der Abwägung zwischen den Interessen des Informanten und des Betroffenen den Umständen des Gesprächs Bedeutung zukäme (zB Vertraulichkeit des Gesprächs, Autoritätsverhältnis zwischen den Gesprächspartnern). Das Ziel eines hohen Schutzniveaus für personenbezogene Daten könnte dafür sprechen, auch Informationsquellen einer rufschädigenden Aussage offenzulegen – unabhängig davon, ob diese Person wusste, dass ihre Äußerung verarbeitet wird.

Zu klären ist auch, ob ein Verstoß gegen die Auskunftspflicht nach Art 15 DSGVO allein einen Schadenersatzanspruch nach Art 82 DSGVO begründet. Dagegen spricht, dass die Auskunftspflicht nicht zwingend mit einer Datenverarbeitung verknüpft ist und auch Negativauskünfte umfasst. Eine verspätete oder widersprüchliche Auskunft könnte jedoch Zweifel an der Rechtmäßigkeit einer Datenverarbeitung hervorrufen. Aufgrund des Ziels eines hohen Schutzniveaus könnte eine verspätete, widersprüchliche oder nicht erteilte Auskunft selbst eine DSGVO-widrige Datenverarbeitung (anlässlich der Auskunftserteilung) darstellen.

Die direkte Inanspruchnahme des Schulleiters ist nach nationalem Recht ausgeschlossen. Der Geschädigte müsste Amtshaftungsansprüche bei den in § 1 AHG genannten Rechtsträgern geltend mache. Da Art 82 Abs 2 DSGVO die Haftung des Verantwortlichen vorsieht, stellt sich die Frage, ob die nationalen Bestimmungen des AHG insoweit wegen Unionsrechtswidrigkeit unangewendet bleiben müssen.

·     Der Kläger begehrte immateriellen Schadenersatz. Der OGH setzte das Verfahren bis zur Entscheidung des EuGH in mehreren Vorabentscheidungsverfahren aus. Der EuGH hat in diesen Vorabentscheidungsverfahren entschieden, daher war das Verfahren fortzusetzen. Der Kläger begehrte jedoch ua Schadenersatz wegen der unvollständigen Beantwortung seines Auskunftsersuchens. Die Frage, ob eine Verletzung des Rechts auf Auskunft einen Schadenersatz begründet, ist Gegenstand des parallel beim EuGH gerade neu eingeleiteten Vorabentscheidungsverfahrens zu 6 Ob 102/24d. Das Verfahren hat daher bis zur Entscheidung des EuGH in diesem neuen Vorabentscheidungsverfahren ausgesetzt zu bleiben (OGH 18.02.2025, 6Ob137/24a).

·     Die Höhe von bestimmtenDifferenzgeschäften zu Grunde liegenden – Hebeln sind personenbezogene Daten. Dies auch dann, wenn die Hebel bei hunderten Kunden und tausenden Trades gleich hoch sein können. Daten, die für sich alleine keine "personenbezogenen" Daten sind, können zu personenbezogenen Daten werden, wenn sie sich in der Sphäre einer Person befinden, die bei vernünftiger Betrachtung über die Mittel verfügt, um sie einer bestimmten Person zuzuordnen (OLG Innsbruck 08.01.2025, 4R136/24t). Anm: Das OLG Innsbruck unterscheidet – leider in schon gewohnter Tradition der österreichischen Rechtsprechung – nicht zwischen der "Information über eine Person" und der "Identifizierbarkeit einer Person". Der Begriff des Personenbezugs wird – unnötig und zu Lasten der Verantwortlichen –nochmals erweitert. In der bisherigen Rechtsprechung hat die bloße Möglichkeit der Zuordnung für den Personenbezug nicht ausgereicht und wurde sogar ausdrücklich verneint.

·     Wurde eine Vollmachtsurkunde entgegen der Anmerkung "handschriftlich" elektronisch unterzeichnet und weicht diese Unterschrift maßgeblich von jener auf dem Ausweis des Klägers ab, sind Zweifel an der Vollmachterteilung iSd Art 12 Abs 6 DSGVO begründet. Durch Verweigerung der Auskunftserteilung wird daher keine Veranlassung zur Klagsführung gegeben, sodass die Kostenersatzpflicht nach § 45 ZPO greift. Erst gegenüber dem Gericht kann sich ein Rechtsanwalt gemäß § 8 RAO auf die ihm erteilte Vollmacht berufen. Anerkennt daraufhin der beklagte Verantwortliche den Auskunftsanspruch, hat der Kläger die Prozesskosten zu tragen (OLG Linz 05.03.2025, 2R32/25a).

Rechtsprechung der LVwG

·     Gegen Verletzungen des Datenschutzrechts besteht der Rechtsschutz bei der DSB und gegen Entscheidungen der DSB beim BVwG. Das LVwG NÖ ist unzuständig (LVwG NÖ 01.12.2023, LVwG-M-55/001/2022).

EU-Rechtsakte

·     Am 14.03.2025 wurde die "Delegierte Verordnung (EU) 2025/416 der Kommission vom 29. November 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des Inhalts und des Formats von Auftragsbuchaufzeichnungen für Anbieter von Kryptowerte-Dienstleistungen, die eine Handelsplattform für Kryptowerte betreiben", ABl L 2025/416, kundgemacht. In dieser DelgiertenVO werden Regulierungsstandards festgelegt, die Anbieter von Kryptowerte-Dienstleistungen, die eine Handelsplattform für Kryptowerte betreiben, bei Auftragsbuchaufzeichnungen einzuhalten haben.

·     Am 14.03.2025 wurde die "Delegierte Verordnung (EU) 2025/417 der Kommission vom 28. November 2024 zur Ergänzung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Präzisierung der Art der Darstellung von Daten zur Transparenz durch Anbieter von Kryptowerte-Dienstleistungen, die eine Handelsplattform für Kryptowerte betreiben", ABl L 2025/417, kundgemacht. In dieser DelgiertenVO werden für Anbieter von Kryptowerte-Dienstleistungen, die eine Handelsplattform für Kryptowerte betreiben, Transparenzvorschriften festlegt.

·     Am 13.03.2025 veröffentlichte die Europäische Kommission, die Entwürfe der "Commission Implementing Regulation on the technical description of the categories of important and critical products with digital elements pursuant to Regulation (EU) 2024/2847 of the European Parliament and of the Council" samt Anhängen zur Konsultation. Mit dieser DurchführungsVO bzw in ihren Anhängen werden die technischen Spezifikationen der in den Anhängen III und IV der Cyberresilienz-Verordnung aufgelisteten "Wichtigen Produkte mit Digitalen Elementen" und "Kritischen Produkte mit Digitalen Elementen" umschrieben. Rückmeldungen sind bis (einschließlich) 15.04.2025 möglich.

 

Datenschutzmonitor 26.03.2025

 

Rechtsprechung des EuGH

EuGH Schlussanträge 20.03.2025, C-655/23, Quirin Privatbank

Unterlassungsanspruch, Wiederholungsgefahr, Schadenersatz

·     Ein Bewerber bewarb sich über Xing bei einer Bank. Eine Mitarbeiterin der Bank versendete im Rahmen dieses Bewerbungsprozesses eine Nachricht an eine dritte, nicht an diesem Bewerbungsprozess beteiligte Person. Diese leitete die Nachricht an den Bewerber weiter, der daraufhin die Unterlassung der unrechtmäßigen Datenverarbeitung und immateriellen Schadenersatz von der Bank forderte.

Der Generalanwalt hat erwogen: Ein Unterlassungsanspruch des Betroffenen bei unrechtmäßiger Verarbeitung seiner Daten lässt sich bei Wiederholungsgefahr aus Art 5 Abs 1 lit a und Art 6 Abs 1 iVm Art 79 Abs 1 DSGVO ableiten. Das Recht des Betroffenen auf Rechtmäßigkeit der Datenverarbeitung besteht, obwohl es in Kapitel III der DSGVO (Rechte der betroffenen Person) nicht ausdrücklich erwähnt ist, weil dieses Recht vorausgesetzt wird.

Das Recht, eine wiederholte unrechtmäßige Verarbeitung zu unterlassen, ist mit einem gerichtlichen Reaktionsmechanismus gekoppelt, auf den in Art 79 DSGVO Bezug genommen wird. Es spricht nichts dagegen, dass die Klage auch den Anspruch auf Verurteilung des Verantwortlichen zur Unterlassung einer wiederholten unrechtmäßigen Verarbeitung umfasst.

Art 17 und 18 DSGVO begründen kein eigenständiges Recht, vom Verantwortlichen die Unterlassung einer wiederholten rechtswidrigen Verarbeitung zu verlangen. Befolgt der Verantwortliche die Anweisung zur Löschung, stehen ihm die Daten nicht mehr zur Verfügung und er kann sie tatsächlich nicht mehr verarbeiten. Auch die Einschränkung der Verarbeitung bietet keinen ausreichenden Schutz, weil nur die Löschung vorübergehend ausgesetzt, nicht aber eine künftige unrechtmäßige Verarbeitung verhindert wird.

Es ist Sache der nationalen Rechtsordnung, unter Beachtung der Grundsätze der Äquivalenz und der Effektivität, die Voraussetzungen für die Erhebung einer gegen den für die Verarbeitung personenbezogener Daten Verantwortlichen gerichteten Unterlassungsklage zu regeln. Es spricht nichts dagegen, den Nachweis der Wiederholungsgefahr zu verlangen oder eine (widerlegbare) Vermutung einer solchen Gefahr, die sich aus einem bereits begangenen Verstoß ergibt, aufzustellen.

Durch eine Unterlassungsverfügung wird der immaterielle Schaden nicht ausgeglichen. Bei der Schadensbemessung kann ein Unterlassungsanspruch daher nicht anspruchsmindernd berücksichtigt werden.

 

Rechtsprechung des VfGH

VfGH 25.02.2025, G160/2024

NRWO, Wahlkarte, Identitätsdiebstahl, Identitätsprüfung

·     Eine Antragstellerin begehrte in Form eines Individualantrags beim VfGH die Aufhebung von Teilen des § 39 Abs 1 der Nationalrats-Wahlordnung ("NRWO") aufgrund von Verfassungswidrigkeit. Die angefochtene Bestimmung regelt die Ausstellung von Wahlkarten. Die Antragstellerin begründete ihre verfassungsrechtlichen Bedenken – kurz zusammengefasst – dahingehend, dass die angefochtene Bestimmung ihren Ausschluss von der Stimmabgabe bei der Nationalratswahl bewirkt habe, weil ein unbefugter Dritter "in ihrem Namen" eine Wahlkarte beantragt habe, die ihr nicht zugestellt wurde. § 39 Abs 1 NRWO könne einen solchen "Identitätsdiebstahl" nicht effektiv unterbinden, weil das darin geregelte Prozedere der Antragsbearbeitung von Wahlkarten niederschwellig und formlos konzipiert sei.

Der VfGH hat erwogen: Die von der Antragstellerin angefochtene Bestimmung regelt ausschließlich die Identitätsprüfung bei der Ausstellung der Wahlkarte. Die Zustellung der beantragten Wahlkarte ist hingegen in § 39 Abs 4 bis 8 NRWO geregelt. Erst aus § 70 Abs 1 und 2 NRWO ergibt sich schließlich, dass eine Person, für die eine Wahlkarte ausgestellt wurde, im Wahllokal die Wahlkarte vorzuweisen oder der Wahlbehörde zu übergeben hat, andernfalls diese Person zur Stimmabgabe nicht berechtigt ist. Das Aufhebungsbegehren umfasste allerdings ausschließlich § 39 Abs 1 NRWO, sodass der Antrag als zu eng gefasst vom VfGH zurückzuweisen war. Anm: Nach ständiger Rechtsprechung des VfGH hat der Antragsteller eines Individualantrags all jene Normen anzufechten, die für die Beurteilung einer allfälligen Verfassungswidrigkeit der Rechtslage eine untrennbare Einheit bilden. Der Anfechtungsumfang der in Prüfung gezogenen Norm darf bei sonstiger Unzulässigkeit des Prüfungsantrags nicht zu eng gewählt werden. Bei der Prüfung dieser Zulässigkeitsanforderungen legt der VfGH einen strengen Maßstab an.

·     Sind beim VfGH eine erhebliche Anzahl von Verfahren über Beschwerden iSd § 86a Abs 1 VfGG anhängig, in denen gleichartige Rechtsfragen zu lösen sind, oder besteht Grund zur Annahme, dass eine erhebliche Anzahl solcher Erkenntnisbeschwerden eingebracht werden wird, kann der VfGH ein Massenverfahren einleiten. Wirkung des Massenverfahrens ist, dass sämtliche Verfahren ausgesetzt werden, bis die Rechtsfrage vom VfGH in einem "Hauptverfahren" gelöst wird. Beim VfGH sind bereits 18 Erkenntnisbeschwerden eingelangt, die sich gegen die Verfassungsmäßigkeit der Rechtsvorschriften des ORF-Beitrags-Gesetzes 2024 richten und es ist mit einer erheblichen Anzahl weiterer solcher Erkenntnisbeschwerden zu rechnen. In den Erkenntnisbeschwerden wird ua ein Verstoß gegen das Grundrecht auf Datenschutz gemäß § 1 DSG geltend gemacht (VfGH 11.03.2025, E4624/2024).

Rechtsprechung der Justiz

·     Die DSGVO gibt zur Ausübung der Betroffenenrechte keine konkrete Form der Identifizierung vor. Ein elektronisches Auskunftsersuchen muss nicht zwingend mit einer qualifizierten elektronischen Signatur versehen sein. Nur wenn der Verantwortliche Zweifel hat, kann er nach Art 12 Abs 6 DSGVO weitere Informationen zur Identifizierung des Antragstellers einfordern (OLG Linz 13.03.2025, 6R29/25i).

Rechtsprechung des BVwG

BVwG 28.01.2025, W108 2274731-1

Gesichtserkennungsplattform, Verarbeitungsverbot, Abhilfemaßnahme, Antragsrecht

·     Ein Plattformbetreiber ohne Sitz in der EU betrieb eine Gesichtserkennungsplattform, deren Nutzer online gefundene Bilder mit Fotos von Personen abgleichen konnten. Nach einem Auskunftsersuchen erlangte ein Nutzer Kenntnis über die Verarbeitung seiner Bilder auf der Plattform. Er brachte eine Datenschutzbeschwerde bei der DSB gegen den Plattformbetreiber ein. Zusätzlich beantragte der Nutzer die Anordnung eines Verarbeitungsverbots seiner personenbezogenen Daten innerhalb der EU. Die DSB gab der Datenschutzbeschwerde statt und ordnete als Abhilfemaßnahme die Löschung der Daten des Betroffenen an. Der Antrag auf Verbot der Verarbeitung wurde zurückgewiesen. Gegen diese Zurückweisung erhob der Nutzer erfolgreich Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Hat die DSB eine Datenschutzbeschwerde zurückgewiesen, ist "Sache" des Beschwerdeverfahrens nur die Frage der Rechtmäßigkeit der Zurückweisung.

Einer betroffenen Person kommt nach der DSGVO kein subjektives Recht zu, die Verhängung eines generellen Verarbeitungsverbots zu beantragen. Die Behörde hat lediglich die Verpflichtung, in geeigneter Weise mit Abhilfemaßnahmen zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen.

Da kein subjektives Recht auf eine (bestimmte) Abhilfemaßnahme besteht, gibt es diesbezüglich auch kein Antragsrecht. Ein dennoch gestellter Antrag ist mangels Antragslegitimation zurückzuweisen.

Der von einer Partei unzulässig gestellte Antrag auf Verhängung einer bestimmten Maßnahme ist von der Behörde jedoch inhaltlich dahingehend zu prüfen, ob das Ergreifen einer in der DSGVO vorgesehenen Abhilfemaßnahme unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen. Die durchgeführte Prüfung des Antrags unterliegt anschließend der vollen inhaltlichen Überprüfung durch ein Gericht.

Die verabsäumte inhaltliche Prüfung und Ermessensausübung der DSB konnte vom BVwG weder saniert noch nachgeholt werden, weshalb der DSB die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufgetragen wird. Anm: Das Zusammenspiel zwischen innerstaatlichem Recht und Unionsrecht entfaltet seltsame Blüten. Denn nach innerstaatlichem Recht setzt eine Zurückweisung gerade keine inhaltliche Prüfung voraus. Ebenso überrascht, dass trotz fehlenden Antragsrechts ein Recht auf das Erheben eines Rechtsmittels besteht.

BVwG 20.02.2025, W287 2306632-1

Nichterteilung der Auskunft, unvollständige Auskunft, Säumnisbeschwerde

·     Ein Auskunftswerber richtete ein Auskunftsersuchen an einen Verantwortlichen. Dieser teilte ihm mit, dass seine Daten als Reaktion auf das Auskunftsersuchen irrtümlich gelöscht wurden. Eine Auskunft erteilte der Verantwortliche nicht. Der Auskunftswerber erhob Datenschutzbeschwerde. Der Verantwortliche erteilte daraufhin Auskunft über die (noch) verarbeiteten personenbezogenen Daten des Auskunftswerbers. Die DSB betrachtete die Datenschutzbeschwerde als erledigt, der Betroffene bestand jedoch weiterhin auf die Erteilung einer vollständigen bzw mangelfreien Auskunft. Der Betroffene erhob eine Säumnisbeschwerde an das BVwG.

Die DSB stellte das ursprüngliche Verfahren wegen Nichterteilung der Auskunft formlos ein und protokollierte die Säumnisbeschwerde als neue Datenschutzbeschwerde. Das BVwG wies die Säumnisbeschwerde ab.

Das BVwG hat erwogen: Gemäß § 13 Abs 8 AVG kann der verfahrenseinleitende Antrag (= Datenschutzbeschwerde) in jeder Lage des Verfahrens geändert werden, sofern die Sache ihrem Wesen nach nicht geändert und die sachliche und örtliche Zuständigkeit nicht berührt werden.

Da sich der Auskunftswerber im Laufe des Verfahrens nicht mehr wegen der Nichterteilung, sondern wegen der mangelhaften bzw unvollständigen Erteilung der Auskunft als beschwert erachtete, war nun auch eine inhaltliche Prüfung der Auskunft erforderlich. Deshalb war von der Zurückziehung der ursprünglichen Datenschutzbeschwerde bei gleichzeitiger Einbringung einer neuen Datenschutzbeschwerde auszugehen. Die Säumnisbeschwerde war zurückzuweisen, weil die Zulässigkeit einer Säumnisbeschwerde die Säumnis der DSB und somit die Verpflichtung, über den bei ihr eingebrachten Antrag mittels Bescheid zu entscheiden, voraussetzt (Entscheidungspflicht). Das Verfahren wegen der Nichterteilung der Auskunft war jedoch formlos einzustellen. Deshalb verletzte die DSB ihre Entscheidungspflicht nicht.

BVwG 05.02.2025, W298 2292389-1

Bundespräsident, Amtsverschwiegenheit, Datenschutz

·     Ein Nationalratsabgeordneter (Parteimitglied) stellte ein Auskunftsbegehren an das Bürgerservice der Präsidentschaftskanzlei (§§ 2 und 3 AuskunftspflichtG). Gegenstand des Begehrens war insbesondere die Frage, welche Kosten im Zusammenhang mit den Festspielbesuchen des Bundespräsidenten und seiner Begleitung angefallen waren. Das Parteimitglied erachtete die Beantwortung seiner Anfrage für unvollständig. Mit Bescheid ergänzte der Bundespräsident seine Antwort. Dennoch hielt das Parteimitglied die erteilte Auskunft für nicht gesetzeskonform. Der Bundespräsident hielt fest, dass soweit die Auskunftserteilung zu einem Sicherheitsrisiko für den Bundespräsidenten, seiner Gemahlin oder von Mitarbeitenden führen kann, die Informationsweitergabe zwingend zu unterbleiben hat. Das Parteimitglied sei überdies kein "public watchdog". Die vom Parteimitglied erhobene Bescheidbeschwerde an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Gemäß § 1 Abs 1 AuskunftspflichtG haben die Organe des Bundes "über Angelegenheiten ihres Wirkungsbereiches" Auskünfte zu erteilen. Der Begriff "Auskunft" umfasst die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens.

Aus Art 10 Abs 1 EMRK resultiert keine Verpflichtung des Staates, den Zugang zu Informationen zu gewährleisten oder selbst Informationen bereitzustellen. Unter bestimmten Voraussetzungen ist jedoch ein Recht auf Zugang zu Informationen gewährleistet. Dies ist der Fall, wenn ua der Zugang für die Ausübung der Meinungsäußerungsfreiheit maßgeblich ist. Zum Beispiel, wenn Grundrechtsträger in der Funktion als "public watchdog" im öffentlichen Interesse tätig werden.

Auskünfte sind grundsätzlich zu geben, soweit eine gesetzliche Verschwiegenheitspflicht dem nicht entgegensteht (§ 1 Abs 1 AuskunftspflichtG). Sie sind insoweit zu erteilen, als dadurch die Besorgung der übrigen Aufgaben eines Organes nicht wesentlich beeinträchtigt wird. Auskunft ist weiters dann nicht zu erteilen, wenn sie offenkundig mutwillig begehrt wird (§ 1 Abs 2 AuskunftspflichtG).

Zur Beurteilung, ob ein subjektiver Auskunftsanspruch gegenüber dem Rechtsträger besteht, ist der Zweck des Auskunftsersuchens relevant. Wenn das Parteimitglied sein Auskunftsersuchen mit seiner parlamentarischen Kontrollpflicht begründet, kann daraus kein weitergehendes Recht auf Zugang zu Informationen iSd AuskunftspflichtG abgeleitet werden. Selbst die Privilegierung als "public watchdog" würde keine Informationspflichten begründen, soweit Geheimhaltungspflichten entgegenstehen.

Die Verpflichtung zur Auskunftserteilung kann durch andere verfassungsrechtliche Vorschriften (insb Art 20 Abs 3 B-VG und § 1 DSG) und auf Grundlage der in Art 20 Abs 4 B-VG enthaltenen Ermächtigung auch durch einfachgesetzliche Regelungen (zB datenschutzrechtlichen Geheimhaltungspflichten) beschränkt sein. Betreffend die Amtsverschwiegenheit sind die Interessen der Gebietskörperschaft und der Parteien zu berücksichtigen.

Eine genaue Auflistung der für einzelne Personen angefallenen Reisekosten ist nicht notwendig. Für die begehrte Auskunft müssten Daten von Dritten erhoben, verarbeitet und übermittelt werden, ohne dass ein entsprechender Verarbeitungsgrund vorliegt. Auch wenn die Begleitpersonen in der Auflistung nicht namentlich genannt sind, könnten vereinzelt dennoch Rückschlüsse auf diese gezogen werden. Ebenso würde die genaue Auskunft über die Auswahl der Transportmittel Rückschlüsse auf personenbezogene Daten einzelner Mitarbeiter des Bundespräsidenten und seiner Ehegattin zulassen. Weiters könnte dies die Sicherheit des Bundespräsidenten gefährden. Dies gilt auch in Bezug auf die Unterbringungskosten.

BVwG 11.02.2025, W256 2247121-1

Bauverfahren, Interessenabwägung, Datenaustausch aufgrund von Rechtsansprüchen

·     Der Betroffene beauftragte eine Baufirma mit der Errichtung eines Doppelwohnhauses. Ein Nachbar des Betroffenen erhob wiederholt Einsprüche gegen dieses Vorhaben, was zu einem langwierigen Prozess führte. Gleichzeitig führte der Betroffene ein Verfahren wegen fehlerhafter Bauausführungen gegen die Baufirma. Im Zuge der Korrespondenzen bezüglich der Verfahren drohte die Baufirma dem Betroffenen an, den gesamten Mailverkehr und darin enthaltene Informationen zur Bauausführung an den Nachbarn weiterzugeben, falls der Betroffene die ausstehenden Zahlungen nicht leisten sollte.

Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB, welche diese abwies, weil die Datenübermittlung nicht festgestellt werden konnte. Der Betroffene richtete eine Bescheidbeschwerde an das BVwG und behauptete, dass der Nachbar E-Mails erhalten habe, die ausschließlich zwischen ihm und der Baufirma ausgetauscht wurden. Diese E-Mails enthielten Informationen, die der Nachbar in dem anhängigen Bewilligungsverfahren des Bauvorhabens verwendet hat.

Das BVwG hat entschieden: Gemäß § 1 Abs 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Eine Beschränkung des Grundrechts auf Datenschutz ist gemäß § 1 Abs 2 DSG zulässig, wenn die Datenverarbeitung rechtmäßig ist und in der gelindesten, zum Ziel führenden Art vorgenommen wird. Eine Konkretisierung der Anforderungen einer rechtmäßigen Datenverarbeitung sieht Art 6 DSGVO vor.

Gemäß Art 6 Abs 1 lit f und Art 9 Abs 2 lit f DSGVO ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen sind ein berechtigtes Interesse, das eine Verarbeitung von Daten legitimiert.

Zum Zeitpunkt der Datenübermittlung gab es einerseits zwischen dem Betroffenen und der Baufirma und andererseits zwischen dem Betroffenen und dem Nachbarn jeweils ein anhängiges Verfahren. Der Datenaustausch erfolgte im direkten Zusammenhang mit diesen beiden Rechtsstreitigkeiten zur Verteidigung und Geltendmachung von Rechtsansprüchen der Baufirma und des Nachbarn. Die Baufirma hat ein berechtigtes Interesse, sich gegen zivilgerichtliche Vorwürfe zu verteidigen und dazu Unterstützung bei Dritten einzuholen. Auch der Nachbar hat ein berechtigtes Interesse, Informationen über die Einhaltung von Bauvorschriften zu erhalten, um Rechtsansprüche im Bewilligungsverfahren geltend zu machen. Die Interessenabwägung iSd Art 6 Abs 1 lit f DSGVO führt sohin zum Ergebnis, dass die Interessen des Betroffenen an der Vertraulichkeit seiner Daten die berechtigten Interessen der Baufirma und des Nachbarn nicht überwiegen. Die Übermittlung der Daten an den Nachbarn war daher rechtmäßig.

·     Die Verarbeitung von Kontaktdaten potenzieller Arbeitnehmer zum Zweck der Anbahnung eines Dienstverhältnisses kann im Rahmen der Arbeitskräfteüberlassung ein berechtigtes Interesse im Sinne von Art 6 Abs 1 lit f DSGVO sein. Die Übermittlung von Werbung durch Telefonanruf bedarf jedoch ausnahmslos nach § 174 Abs 1 TKG 2021 einer vorherigen Einwilligung. Die Voraussetzungen für eine gültig abgegebene Einwilligung ergeben sich aus Art 7 DSGVO. Nach Abgabe einer Widerspruchserklärung iSd Art 21 DSGVO ist jegliche Verarbeitung personenbezogener Daten zum Zweck der Kontaktaufnahme mit dem Betroffenen, gleich ob auf elektronischem oder anderem Wege, gemäß Art 21 Abs 2 und 3 DSGVO unzulässig (BVwG 03.02.2025, W292 2285781-1).

·     Werden während des laufenden Verfahrens die verfahrensgegenständlichen Insolvenzdaten gelöscht, ist das Verfahren einzustellen. Ein subjektives Recht auf die rückwirkende Feststellung einer zwischenzeitlich vom Verantwortlichen beseitigten Verletzung im Recht auf Löschung gewährt weder das DSG noch die DSGVO. Wurde vor der DSB die Feststellung der Verletzung des Rechts auf Löschung begehrt, darf die DSB die Verletzung anderer Rechte nicht feststellen (BVwG 03.02.2025, W292 2285575-1).

·     Wird während des laufenden Verfahrens dem Berichtigungsersuchen durch Löschung des Eintrags "Teilweise Tilgung" in der Warnliste der Banken des "KSV 1870" entsprochen, ist das Verfahren einzustellen. Durch Wegfall des Rechtsschutzinteresses wird der Betroffene materiell klaglos gestellt (BVwG 26.02.2025, W101 2250871-1).

·     Der Betroffene hat mehrere Verfahren vor der DSB geführt, obwohl er über keine Vertretungsvollmacht für den Minderjährigen verfügte, für den er die Datenschutzbeschwerden eingebracht hat. Da der Betroffene weiterhin über keine Vertretungsbefugnis verfügt, war sein Wiederaufnahmeantrag zurückzuweisen (BVwG 19.02.2025, W137 2305838-1).

·     Verfügt ein Antragsteller über entsprechende Fähigkeiten im Verkehr mit Behörden und ist er in der Lage, seine Rechte selbst wahrzunehmen, ist in Verfahren vor den Verwaltungsgerichten (hier das BVwG) kein Verfahrenshelfer beizugeben. Bringt ein Betroffener eine Datenschutzbeschwerde und eine Säumnisbeschwerde ein, ist davon auszugehen, dass er in der Lage ist, seine Rechte selbst wahrzunehmen, sodass der Antrag auf Verfahrenshilfe abzuweisen ist. Denn anders als Zivilgerichte hat das BVwG die Beweise von Amts wegen zu erheben und den Gang des Verfahrens zu bestimmen (BVwG 11.02.2025, W256 2293315-2).

Rechtsprechung des BFG

·     Spenden sind nur dann als Sonderausgaben zu berücksichtigen, wenn dem Spendenempfänger Vor- und Zuname und das Geburtsdatum des Leistenden bekannt gegeben werden und der Spendenempfänger der Abgabenbehörde das verschlüsselte bereichsspezifische Personenkennzeichen ("bPK") für Steuern und Abgaben des Leistenden und den Gesamtbetrag aller Spenden übermittelt. Datenschutzrechtliche Bedenken gegen diese Regelung bestehen nicht (BFG 19.02.2025, RV/5100235/2024).

 

EU-Rechtsakte

·     Am 20.03.2025 wurde die "Durchführungsverordnung (EU) 2025/512 der Kommission vom 13. März 2025 über technische Modalitäten für die Entwicklung, Wartung und Nutzung elektronischer Systeme für den Austausch und die Speicherung von Informationen gemäß der Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates", ABl L 2025/512, kundgemacht. Mit dieser auf den EU-Zollkodex gestützten DurchführungsVO werden technische Modalitäten für nach den zollrechtlichen Vorschriften erforderlichen Austausch von Informationen in zentralen Systemen festgelegt. Ua soll auf Data Mining gesetzt werden. Unter Data Mining ist nach dieser DurchführungsVO die Analyse großer Datenmengen in digitaler Form durch Analysetechniken zur Generierung von Informationen, die Muster, Trends und Korrelationen umfassen, um Risiken zu mindern und eine fundierte Entscheidungsfindung auf der Grundlage menschlicher Eingriffe zu ermöglichen, zu verstehen. Anm: Die DurchführungsVO (EU) 2025/512 sieht somit den Einsatz künstlicher Intelligenz vor.