Schönherr Digitalrechtsmonitor

Aus der Rechtsprechung des EuG:

·       EU-Organe müssen ihre Unterlagen willkürfrei und nachvollziehbar erstellen und aufbewahren, um das Recht auf Dokumentenzugang zu gewährleisten. Ein vorläufiger Rechtsschutz gegen die Löschung von Dokumenten wird jedoch verwehrt, wenn die Gefahr der Löschung rein hypothetisch ist (EuG 20.01.2026, T-784/25 R, Wölken). Anm: Dieses Urteil ist zwar nicht einschlägig, aber auch nach dem IFG ist anzunehmen, dass Unterlagen willkürfrei und in vorhersehbarer Art und Weise zu erstellen und aufzubewahren sind. Dies ergibt sich schon aus dem Sachlichkeitsgebot.

·       Trägt das BVwG dem Verantwortlichen auf, die Auskunft vollständig zu erteilen, ist der dagegen gerichteten Revision auf Antrag die aufschiebende Wirkung zuzuerkennen. Denn der Vollzug der angefochtenen Entscheidung könnte bei Erfolg der Revision nicht mehr rückgängig gemacht werden (VwGH 20.11.2025, Ra 2025/04/0168; 28.11.2025, Ra 2024/04/0412). Anm: Der VwGH verweist auf einen unveröffentlichten Beschluss des VfGH vom 09.07.2025, E1924/2025, in dem der VfGH die aufschiebende Wirkung ebenso zuerkannt haben soll.

·       Stellt das BVwG eine Verletzung des Zweckbindungsgrundsatzes (Geheimhaltungsrecht) fest, ist der dagegen gerichteten Revision auf Antrag keine aufschiebende Wirkung zuzuerkennen (VwGH 26.11.2025, Ra 2025/04/0142).

·       Nach dem AuskunftspflichtG ist eine Behörde zu keinen umfangreichen Ausarbeitungen verhalten. Auskunft ist nur über gesichertes Wissen zu erteilen. In den Begriff der "Information" sind auch die Modalitäten der begehrten Auskunftserteilung, zB das begehrte Erstellen einer Tabelle, einzubeziehen. Auf das Erzeugen neuer Informationen besteht kein Anspruch. Unerheblich ist, wie umfangreich das Erstellen einer Information ist (VwGH 16.12.2025, Ra 2024/07/0164).

OLG Innsbruck 12.11.2025, 3R109/23p

Weiterleitung interner Kommunikation, Unterlassung, Schadenersatz, Rettungsaufwand

·       Ein Miteigentümer wandte sich mehrfach mit seiner persönlichen und beruflichen E-Mail-Adresse wegen behaupteter Baumängel an die Hausverwaltung und ersuchte diese, den Bauträger zu informieren. Der Standortleiter der Hausverwaltung leitete daraufhin die gesamte E-Mail-Korrespondenz – einschließlich Fotos und interner Kommunikation (insb Rechtsansichten und Wertungen des Miteigentümers) – an den Bauträger weiter. Der Miteigentümer erachtete sich in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde an die DSB. Noch bevor das Verfahren vor der DSB abgeschlossen war, klagte er den Standortleiter und die Hausverwaltung auf Unterlassung und Schadenersatz vor dem zuständigen Landesgericht. Das Landesgericht wies die Klage ab. Das OLG Innsbruck gab der Berufung des Miteigentümers hinsichtlich des Unterlassungsbegehrens bezüglich der Weiterleitung der internen Kommunikation statt, wies jedoch die übrigen Ansprüche ab.

Das OLG Innsbruck hat erwogen: Das aus § 16 ABGB fließende Recht auf Wahrung der Geheimsphäre schützt die Privatheit der Person, ihre nicht für die Öffentlichkeit bestimmten Äußerungen und die Geheimhaltung personenbezogener Daten.

Die Weiterleitung von E-Mails ist nur bei Vorliegen einer Rechtsgrundlage nach Art 6 Abs 1 DSGVO rechtmäßig. Die Aufforderung, alle relevanten Unterlagen an die Hausverwaltung weiterzuleiten, ist als freiwillige, deutliche und unmissverständliche Einwilligung iSd Art 4 Z 11 DSGVO zu verstehen und muss gemäß § 69 Abs 9 DSG nicht jedes Mal wiederholt werden, wenn sie den Bedingungen der DSGVO entspricht. Da der Miteigentümer mit dem Bauträger in einem Vertragsverhältnis steht und Mängel über Gewährleistungsansprüche geltend machen kann, besteht eine rechtliche Grundlage nach Art 6 Abs 1 lit b DSGVO, die Fotos an den Bauträger zu übermitteln. Eine Datenschutzverletzung hinsichtlich der Weiterleitung von Name, beruflicher E-Mail-Adresse, sonstiger beruflicher Informationen und Fotos liegt daher nicht vor.

Die Weiterleitung der in der internen Kommunikation enthaltenen Rechtsansichten war jedoch nicht erforderlich, um dem Bauträger die Mängel mitzuteilen. Die Hausverwaltung hätte eine eigene E-Mail mit den notwendigen Informationen verfassen können. Mangels Erforderlichkeit kommen daher weder Art 6 Abs 1 lit b DSGVO noch Art 6 Abs 1 lit f DSGVO als Rechtfertigungsgrund in Betracht. Auch Art 6 Abs 1 lit c DSGVO greift nicht, weil die Hausverwaltung keine bestehende öffentlich-rechtliche Verpflichtung behauptete. Die Weiterleitung dieser internen Kommunikation war daher eine Datenschutzverletzung.

Ansprüche aus der DSGVO oder dem DSG stehen nur gegen den Verantwortlichen zu, der für Verstöße haftet. Der Standortleiter ist Angestellter der Hausverwaltung und somit ihr Erfüllungsgehilfe. Eine deliktische Haftung des Standortleiters scheidet daher aus.

Dem Unterlassungsanspruch war wegen Wiederholungsgefahr stattzugeben, weil es auch künftig zur Klärung vergangener Sachverhalte zu weiterem E-Mail-Verkehr kommen kann und ein Verfahren vor dem BVwG anhängig ist. Da die Hausverwaltung die Datenschutzverletzung abstritt, ist nicht von einem Wegfall der Wiederholungsgefahr auszugehen.

Nach Art 82 Abs 1 DSGVO und § 29 Abs 1 DSG sind materielle und immaterielle Schäden ersatzfähig. Der materielle Schaden umfasst jede durch Rechtsverletzung entstandene Vermögensminderung beim Geschädigten. Kosten eines Verwaltungsverfahrens sind im Ausnahmefall als Rettungsaufwand ersatzfähig. Der Miteigentümer hätte die Klage auch ohne Einschaltung der DSB beim Landesgericht einbringen können. Die Feststellung der Datenschutzverletzung war im Verfahren vor der DSB dafür nicht notwendig. Das Verfahren vor der DSB diente daher nicht der Abwendung einer Gefahr, weshalb kein Rettungsaufwand zu ersetzen ist.

Die bloße Behauptung, durch die Datenschutzverletzung angeprangert oder bloßgestellt zu werden, beschreibt kein negatives Gefühl und begründet daher keinen immateriellen Schadenersatzanspruch. Anm: Die Klarstellung des OLG Innsbruck zum Rettungsaufwand hat große praktische Relevanz, weil immer öfter Ersatz für die Kosten des Verfahrens vor der DSB verlangt wird, obwohl laut ausdrücklichem Gesetzeswortlaut kein Ersatz zusteht.

BVwG 22.09.2025, W101 2274658-1

Observation, Mandatsumfang, berechtigtes Interesse

·       Ein Detektiv wurde von einer Vermieterin beauftragt, die Wohnverhältnisse, den Hauptmieter und andere Bewohner einer Wohnung an einer konkreten Observationsadresse zu ermitteln, um ein Aufkündigungsverfahren nach dem MRG vorzubereiten. Der Detektiv fertigte dabei Fotos der Stieftochter des an der Observationsadresse hauptwohnsitzgemeldeten Stiefvaters an. Drei Aufnahmen zeigten sie beim Joggen an ihrer eigenen Wohn-adresse, drei weitere in der Wohnung an der Observationsadresse. Den Recherchen- und Observationsbericht verwendete die Vermieterin im Aufkündigungsverfahren gegen den Stiefvater. Die Stieftochter erachtete sich in ihrem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde gegen den Detektiv. Die DSB gab der Beschwerde teilweise statt und stellte fest, dass die Fotos beim Joggen rechtswidrig waren, während die Aufnahmen an der Observationsadresse vom Mandat gedeckt seien. Der Detektiv erhob (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Gemäß Art 6 Abs 1 lit f DSGVO ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen überwiegen. Das berechtigte Interesse des Detektivs besteht in der Ausübung seines Berufs und darin, das Mandat für seine Auftraggeberin zu erfüllen. Dieses umfasste jedoch ausschließlich den Auftrag, Beweiserhebung zur Feststellung der Wohnverhältnisse des Hauptmieters sowie etwaiger anderer Personen an der Observationsadresse vorzunehmen. Für andere Adressen bestand nur der vage Auftrag, "geeignete" Ermittlungsschritte zu setzen. Zudem enthielt das Mandat die Beschränkung, nur auftragsrelevante Daten unter Wahrung der Betroffenenrechte zu verarbeiten.

Die Datenverarbeitung hinsichtlich der Stieftochter war im Hinblick auf das Mandat nicht erforderlich, weil die Vermieterin kein miet- oder vertragsrechtliches Verhältnis zu dieser hat. Es fehlt daher der notwendige Zusammenhang zum Ziel der Vermieterin. Die Feststellung der Wohnverhältnisse einer zusätzlichen Person an einer anderen Adresse ist für das Aufkündigungsverfahren nicht notwendig.

Die Datenverarbeitung ist auch zur Identifizierung von Zeugen gemäß § 129 Abs 1 Z 3 GewO nicht gerechtfertigt. Das berechtigte Interesse muss zum Zeitpunkt der Datenverarbeitung bereits entstanden und vorhanden sein und darf nicht bloß hypothetisch sein. Da die Fotos angefertigt wurden, bevor der Detektiv die Stieftochter erstmals an der Observationsadresse antraf, besteht nur ein hypothetisches Interesse an ihrer Zeugeneigenschaft. Zudem ergibt sich ihre Identität bereits aus einem Gespräch zwischen Detektiv und Stieftochter, womit eine allfällige Nennung bzw Eruierung einer ladungsfähigen Adresse der Stieftochter auch ohne die angefertigten Lichtbilder jedenfalls möglich gewesen wäre.

Aus der Ausübung des Gewerbes des Berufsdetektivs gemäß § 129 Abs 1 GewO ergibt sich keine Erforderlichkeit der verfahrensgegenständlichen Datenverarbeitung. Die Datenverarbeitung konnte daher nicht auf Art 6 Abs 1 lit f iVm Art 5 Abs 1 lit c DSGVO gestützt werden und sind auch keine anderen Rechtsgrundlagen ersichtlich.

BVwG 06.10.2025, W292 2275750-1

AMS, medizinisches Gutachten, Dokumentenkopie

·       Ein Betroffener beantragte die Gewährung einer Berufsunfähigkeitspension bei der Pensionsversicherungsanstalt (PVA). In diesem Zusammenhang wurden zwei medizinische Gutachten erstellt, die ua an das Arbeitsmarktservice (AMS) übermittelt wurden. Der Betroffene richtete ein Auskunftsersuchen an das AMS und verlangte die vollständige Übermittlung sämtlicher beim AMS gespeicherter und verarbeiteter personenbezogener Daten sowie Informationen über die Empfänger dieser Daten. Das AMS erteilte eine rund 100 Seiten umfassende Auskunft, die jedoch keine Angaben zu konkreten Empfängern oder Urkundenkopien enthielt. Der Betroffene erachtete sich in seinen Rechten auf Geheimhaltung, Löschung und Auskunft verletzt und erhob Datenschutzbeschwerde bei der DSB. Die DSB wies die Datenschutzbeschwerde hinsichtlich des Rechts auf Geheimhaltung und Löschung ab, gab der Datenschutzbeschwerde jedoch hinsichtlich der Verletzung im Recht auf Auskunft statt. Gegen diesen Bescheid erhoben sowohl der Betroffene als auch das AMS Bescheidbeschwerde an das BVwG, wobei nur die Bescheidbeschwerde des AMS erfolgreich war.

Das BVwG hat erwogen: Das AMS ist eine staatliche Behörde iSd § 1 Abs 2 DSG und als Verantwortliche des öffentlichen Bereichs verpflichtet, die Datenermittlung und -verwendung in der gelindesten, zum Ziel führenden Art vorzunehmen. Eine rechtmäßige Verarbeitung erfordert die Einhaltung der Grundsätze des Art 5 Abs 1 DSGVO und eine Rechtsgrundlage nach Art 6 Abs 1 DSGVO. Die verarbeiteten Informationen sind Gesundheitsdaten iSd Art 9 Abs 1 DSGVO, deren Verarbeitung grundsätzlich verboten ist, es sei denn, es greift ein Ausnahmetatbestand des Art 9 Abs 2 DSGVO.

Das AMS ist gemäß § 1 Abs 1 AlVG berechtigt, ärztliche Gutachten einzuholen, um die Arbeitsfähigkeit einer Person zu überprüfen. Zudem sieht § 459h Abs 2 ASGV ausdrücklich die Übermittlung medizinischer Gutachten durch die PVA an das AMS vor. Es lagen daher qualifizierte Rechtsgrundlagen für die Datenverarbeitung vor. Die in den Gutachten enthaltenen Informationen waren auch erforderlich, um dem AMS die Beurteilung der Arbeitsfähigkeit des Betroffenen und damit die Wahrnehmung seiner gesetzlichen Aufgaben zu ermöglichen. Die Übermittlung der vollständigen Gutachten war nicht überschießend, weil eine bloß teilweise Übermittlung die sachgerechte Aufgabenwahrnehmung nicht gewährleistet hätte. Die Anforderung, Speicherung und weitere Verwendung der Gutachten waren daher rechtmäßig.

Eine Übermittlung von Dokumentenkopien ist nur dann geboten, wenn sie für die wirksame Ausübung der Betroffenenrechte unerlässlich ist. Da dem Betroffenen sowohl die Existenz als auch der Umfang der Gutachten bekannt waren, konnte er seine DSGVO-Rechte auch ohne Übermittlung von Kopien wirksam ausüben. Eine Verpflichtung zur Herausgabe von Dokumentenkopien besteht daher nicht.

·       Die Haushaltsausnahme nach Art 2 Abs 2 lit c DSGVO greift nicht, wenn ein Ehemann auf den passwortgeschützten E-Mail-Account seiner Ehefrau zugreift, E-Mails abfotografiert, speichert und löscht und ausgewählte Inhalte anschließend im Scheidungsverfahren offenlegt, weil durch die Verwendung im gerichtlichen Verfahren der persönlich-familiäre Bereich überschritten wird. Eine Rechtfertigung nach Art 6 Abs 1 lit f DSGVO scheidet mangels Erforderlichkeit aus, wenn ein Beweisnotstand nicht ausreichend dargelegt wird. Die mündliche Weitergabe einzelner Vermögensinformationen an Bekannte im Rahmen ausschließlich privater Kommunikation fällt hingegen unter die Haushaltsausnahme und unterliegt nicht § 1 DSG (BVwG 23.10.2025, W605 2252724-1).

·       Eine Datenschutzbeschwerde gemäß § 24 DSG ist auch bei vor dem 25.05.2018 begonnenen Datenverarbeitungen zulässig, wenn diese als Dauerzustand – wie eine weiterhin gespeicherte Audioaufzeichnung – im zeitlichen Anwendungsbereich der DSGVO fortbestehen. Die Haushaltsausnahme gemäß Art 2 Abs 2 lit c DSGVO greift nicht, wenn die Datenverarbeitung im beruflichen oder wirtschaftlichen Kontext erfolgt, etwa bei einer Audioaufzeichnung während einer beruflich veranlassten Schulung im Rahmen eines strafrechtlichen Ermittlungsverfahrens nach § 112 StPO. Bei der Interessenabwägung nach Art 6 Abs 1 lit f DSGVO ist zu prüfen, ob die Datenverarbeitung auf das absolut Notwendige beschränkt ist und ob gleichwertige Alternativen (etwa handschriftliche Notizen oder spätere Rückfragen) zur Verfügung stehen. Eine präventive Beweissicherung für hypothetische und zum Zeitpunkt der Erhebung ungewisse zukünftige Ansprüche ist kein berechtigtes Interesse, das eine heimliche Audioaufzeichnung ohne Einwilligung der betroffenen Person rechtfertigt (BVwG 05.11.2025, W101 2249245-1).

·       Die Bestimmung des § 750 Abs 1a und 2 ASVG ermächtigte den Dachverband der Sozialversicherungen zum einmaligen Abgleich von Versichertendaten mit dem zentralen Impfregister sowie zur Adressermittlung über den Patientenindex zum gesetzlich festgelegten Informationszweck. Die auf dieser Grundlage erfolgte Zustellung von Informationsschreiben über das Risiko einer Covid-19-Erkrankung und die Möglichkeit einer kostenlosen Schutzimpfung an krankenversicherte Personen und deren anspruchsberechtigte Angehörige war daher rechtmäßig (BVwG 12.11.2025, W108 2259304-1).

·       Rechtspraktikanten haben Anspruch auf mündliche Auskunft über den wesentlichen Inhalt ihrer Beurteilungen, nicht jedoch auf Einsicht in den Bewertungsbogen oder Personalakt. Eine behauptete Verletzung datenschutzrechtlicher Auskunftsrechte ist im Wege einer Datenschutzbeschwerde bei der DSB geltend zu machen, deren Zuständigkeit nicht ausgeschlossen ist, weil es sich bei einem Akteneinsichtsantrag im Rahmen der Gerichtspraxis nicht um eine justizielle Tätigkeit, sondern um Justizverwaltung handelt. Die Ablehnung oder Nichterledigung eines Auskunftsersuchens durch einen Verantwortlichen des öffentlichen Bereichs iSd § 26 Abs 1 DSG ist zudem kein individueller Hoheitsakt. Art 8 EMRK begründet kein generelles Auskunftsrecht, sondern verpflichtet den Staat, ein wirksames und zugängliches Verfahren bereitzustellen, das der betroffenen Person Zugang zu allen relevanten und geeigneten Informationen für spezifische Zwecke verschafft. Ein solches wirksames und zugängliches Verfahren ist durch Art 51 DSGVO und § 24 DSG vorgesehen, in deren Rahmen die DSB erkennt. Art 7 und 8 GRC vermitteln keine eigenständigen Rechte, sondern sind im Lichte der durch die DSGVO verankerten Betroffenenrechte zu lesen (BVwG 10.11.2025, W605 2313139-1).

·       Die Gesetzgebung und Vollziehung auf den Gebieten des Schulwesens und Erziehungswesens in den Angelegenheiten der Schülerheime ist Bundessache. Die Grundsätze der Angelegenheiten der äußeren Organisation der öffentlichen Pflichtschulen ist ebenso Bundessache. Die Erlassung der Ausführungsgesetze sowie die Vollziehung dieser Materie ist jedoch Landessache. Die Bildungsdirektion hat als sogenannte "Mischbehörde" sowohl die Sachen des Bundes als auch des Landes zu vollziehen. In der eine Volksschule betreffenden Angelegenheit, auf die sich das Informationsbegehren bezog, ist sie als Landesbehörde in einer Landessache tätig geworden. Die erhobene Bescheidbeschwerde fällt sohin in die Zuständigkeit eines LVwG. Das BVwG ist unzuständig (BVwG 15.01.2026, W101 2331727-1).

·       Interessen der informationspflichtigen Stellen selbst können unter den Tatbestand "überwiegendes berechtigtes Interesse eines anderen" fallen. Bilanzdaten sind als Geschäftsgeheimnisse geschützt, wenn sie geheim sind und an der Nichtoffenlegung ein berechtigtes Interesse besteht. Begründet eine private Informationspflichtige ihr Geheimhaltungsinteresse mit der Abwehr einer Beeinträchtigung der Wettbewerbsfähigkeit, genügt es, wenn eine entsprechende Beeinträchtigung eintreten könnte. Die Erheblichkeit eines drohenden Schadens ist ab einem Betrag iHv EUR 100.000 anzunehmen. Der Informationspflicht unterliegen Aufzeichnungen über gesichertes Wissen. Über noch nicht abgeschlossene Kalkulationen ist keine Information geschuldet (LVwG NÖ 19.01.2026, LVwG-AV-1404/001-2025).

·       Beharrt der Informationswerber auf die Entscheidung des unzuständigen Organs, hat dieses Organ das Informationsbegehren – nicht weiterzuleiten, sondern – zurückzuweisen. Die Zuständigkeit zur Entscheidung über Bescheidbeschwerden nach dem IFG ergibt sich unmittelbar aus Art 131 B-VG. Demnach obliegt sie dem BVwG, soweit über eine Angelegenheit zu entscheiden ist, die in unmittelbarer Bundesverwaltung vollzogen wird (LVwG NÖ 07.01.2026, LVwG-AV-9/002-2026).

·       Ein Informationsbegehren nach dem IFG ist offenbar missbräuchlich, wenn die begehrte Information – etwa die Telefonnummer eines Landtagsabgeordneten – bereits öffentlich zugänglich ist und der Antragsteller sie ohne Weiteres selbst hätte finden können, insb wenn ihm die konkreten Links zum Abruf der Information bereits mitgeteilt wurden. Missbräuchliche Informationsbegehren oder solche, die die Tätigkeit des Organs wesentlich und unverhältnismäßig beeinträchtigen würden, sind gemäß § 9 Abs 3 IFG unzulässig. Gegen Personen, die offenbar mutwillig die Tätigkeit der Behörde in Anspruch nehmen oder sich in schriftlichen Eingaben einer beleidigenden Schreibweise bedienen, kann gemäß § 34 Abs 3 bzw § 35 AVG eine Ordnungs- bzw Mutwillensstrafe bis EUR 726 verhängt werden (LVwG Tirol 12.01.2026, LVwG-2025/48/3168-4).

·       Das informationspflichtige Organ darf gegen einen Informationswerber, der sich in schriftlichen Eingaben einer beleidigenden Schreibweise bedient, eine Ordnungsstrafe verhängen. Eine Schreibweise ist beleidigend, wenn sie objektiv die Anstandspflicht verletzt. Weder ist eine Beleidigungsabsicht erforderlich, noch kann die beleidigende Schreibweise durch das Verhalten des Organs gerechtfertigt oder entschuldigt werden (LVwG Tirol 12.01.2026, LVwG-2025/48/3167-4).

·       Ein Berichtigungsantrag gemäß § 42 Abs 3 Personenstandsgesetz (PStG 2013) kann nur von der Person gestellt werden, auf die sich die Eintragung im Zentralen Personenstandsregister bezieht, weil das Recht auf Berichtigung ein höchstpersönliches Recht des Betroffenen ist. Ein nicht obsorgeberechtigter Vater ist weder gesetzlich zur Vertretung des Kindes befugt noch selbst als Betroffener anzusehen und daher nicht legitimiert, Berichtigungen von Personenstandsregistereintragungen seines Kindes im eigenen oder im Namen des Kindes zu beantragen. Ein derartiger Antrag ist zurückzuweisen (LVwG Wien 30.12.2025, VGW-101/042/16032/2025).

·       Die bloße Angabe, welche Datenarten "grundsätzlich einfließen könnten", ist keine aussagekräftige Information über die involvierte Logik und Tragweite iSd Art 15 Abs 1 lit h DSGVO. Eine Kreditauskunftei hat zumindest darzulegen, anhand welcher konkreten personenbezogenen Daten und nach welchen mathematisch-statistischen Prinzipien der Scoring-Wert berechnet wird und wie einzelne Eingabedaten das Ergebnis der Berechnung beeinflussen. Eine bloße tabellarische Auflistung von Datenfeldern erfüllt nicht das Recht auf Erhalt einer vollständigen Kopie aller verarbeiteten personenbezogenen Daten (DSB 14.10.2025, 2025-0.328.963).

·       Eine Datenschutzbeschwerde ist missbräuchlich bzw offenkundig unbegründet, wenn sie nicht der Geltendmachung von Rechten nach der DSGVO bzw dem DSG dient, sondern ausschließlich dazu eingesetzt wird, gegen einen Mitbewerber vorzugehen. Dies insbesondere dann, wenn die Datenschutzbeschwerde in zeitlicher Nähe zu einem schwelenden wirtschaftlichen Konflikt erhoben und trotz bereits erfolgter Abweisung in einem früheren Verfahren unter einem neuen Titel nochmals eingebracht wurde und der einzige Zweck in der Verwicklung des Konkurrenten in Verfahren vor der DSB zu liegen scheint. Lässt sich der Beschwerdeführer von der Vorschreibung einer Gebühr nicht davon abhalten, weitere Datenschutzbeschwerden einzubringen, ist die Behandlung der Beschwerde abzulehnen (DSB 09.10.2025, 2025-0.648.891).

·       Die Sperre eines Benutzerkontos durch die Plattformbetreiberin unterliegt weder der DSGVO noch dem DSG, sondern ist in Art 17 DSA geregelt. Ein bloß äußerlicher Verweis auf Datenschutzrecht begründet keinen Prüfauftrag der DSB, zumal für die Behandlung von Beschwerden nach dem DSA die KommAustria als nationaler Koordinator zuständig ist. Art 15 bis 22 DSGVO sind antragsbedürftige Rechte, sodass eine Datenschutzbeschwerde mangels vorherigen Antrags an den Verantwortlichen abzuweisen ist, weil das Fehlen einer Erfolgsvoraussetzung kein verbesserungsfähiger Mangel iSd § 13 Abs 3 AVG ist (DSB 27.11.2025, 2025-0.943.903).

·       Am 21.01.2026 wurde der Vorschlag für einen Digital Networks Act (DNA), COM(2026) 16 final, veröffentlicht. Mit dem DNA wird der Rechtsrahmen für das europäische Telekommunikationsrecht weiter harmonisiert. Bereits mit dem europäischen Kodex für die elektronische Kommunikation (EKEK, RL 2018/1972) wurden mehrere EU-Rechtsakte zum Telekommunikationsrecht zusammengefasst. Der DNA soll weitere Rechtsakte zusammenführen. Ua wird der EKEK aufgehoben und die E-Privacy-RL 2002/58/EC angepasst. Die wesentlichste Änderung wird aber dadurch bewirkt, dass der DNA als VO erlassen und sohin in den Mitgliedstaaten unmittelbar gelten wird. Der Kommissionsvorschlag enthält 416 Erwägungsgründe und 210 Artikel. Als Frist für die Anwendbarkeit des DNA sind ab dessen Rechtskraft nur sechs Monate vorgesehen.

·       Am 20.01.2026 wurde der Vorschlag für ein EU Cybersecurity Act 2 (ECA 2), COM(2026) 11 final, veröffentlicht. Mit dem ECA 2 werden der Cybersecurity Act (EU) 2019/881 aufgehoben und die organisatorischen Fähigkeiten der EU im Hinblick auf das sich rasant weiterentwickelnde Bedrohungsszenario durch Cyberkriminalität neu aufgestellt.

·       Am 15.01.2026 hat der EDSA ein Dokument mit Kooperations- und Verfahrensregeln für die Annahme und Genehmigung von Standarddatenschutzklauseln angenommen. Gemäß Art 46 Abs 2 lit d sowie Art 46 Abs 3 lit a DSGVO können Datentransfers in Drittländer auf Standarddatenschutzklauseln gestützt werden, die von den Datenschutz-Aufsichtsbehörden angenommen oder genehmigt wurden. Für die Annahme und Genehmigung solcher Standarddatenschutzklauseln wurde in diesem Dokument ein Verfahren festgelegt.

·       Am 20.01.2026 wurde die "Verordnung des Bundesministers für Bildung, mit der die IKT-Schulverordnung, die Zeugnisformularverordnung und die Externistenprüfungsverordnung geändert werden", BGBl II 2026/14, kundgemacht. Mit diesem Gesetz werden ua die Rechtsgrundlagen der Datenverarbeitungssysteme der Schulen novelliert. Weiters werden die Vorgaben an die Endgeräteverwaltung (Mobile Device Management) dahingehend erweitert, dass in digitale Endgeräte, die an Schüler ausgegeben werden, eine Kinderschutzfunktionalität zu integrieren ist.

·       Am 29.01.2026 wird das Urteil des EuGH in der Rs C-291/24, Steiermärkische Bank und Sparkasse, verkündet. Der EuGH wird ua darüber entscheiden, ob seine DSGVO-Rechtsprechung zu Geldbußen gegen juristische Personen auf Geldstrafen wegen Verstößen gegen die 4. Geldwäsche-RL übertragen werden darf. Anm: Die Zusammenfassung der Schlussanträge können Sie im Datenschutzmonitor 27/2025 vom 09.07.2025 nachlesen.

·       Am 29.01.2026 wird vor dem EuGH die mündliche Verhandlung in der Rs C-164/25, Telekom Slovenije, stattfinden. Gegenstand des Verfahrens sind Maßnahmen zur Reduzierung der Kosten des Ausbaus von Hochgeschwindigkeits-Telekommunikationsnetzen.

·       Am 10.02.2026 wird das Urteil des EuGH in der Rs C-97/23 P, WhatsApp Ireland/Comité européen de la protection des données, verkündet. Gegenstand des Verfahrens ist die Zulässigkeit von Nichtigkeitsklagen gegen verbindliche Beschlüsse des EDSA. Anm: Die Zusammenfassung der Schlussanträge können Sie im Datenschutzmonitor 13/2025 vom 03.04.2025 nachlesen.

·       Am 12.02.2026 werden die Schlussanträge in der Rs C-829/24, Kommission/Ungarn (Protection contre l’ingérence politique étrangère), veröffentlicht. Die Kommission hat gegen Ungarn ein Vertragsverletzungsverfahren eingeleitet, weil Ungarn mit dem Erlassen eines Gesetzes "über den Schutz der nationalen Souveränität" gegen das Unionsrecht verstoßen habe. Ua unterwerfe das Gesetz Unionsbürger und -einrichtungen der Ausübung hoheitlicher Befugnisse, die gegen Datenschutzvorschriften verstießen. Anm: Mit Beschluss vom 12.02.2025, C-829/24, hat der Präsident des EuGH diese Rechtssache dem beim EuGH vorgesehenen beschleunigten Verfahren unterworfen. Eine wesentliche Beschleunigung ist nicht zu erkennen.

·       Am 25.02.2026 werden die Urteile des EuG in den Rs T-1180/23, BW/Europol und Eurojust (Sky ECC I) und T-167/24, DG/Europol und Eurojust (Sky ECC II), verkündet. Im Verfahren zu Sky ECC I beantragt der Kläger, dass die Handlungen von Europol und Eurojust, die zur Verarbeitung der Daten des Kryptokommunikationsdienstes "Sky ECC" führten, für nichtig erklärt werden und ihm ein Schadenersatz iHv EUR 50.000 zugesprochen wird. Der Kläger des Verfahrens Sky ECC II verlangt Schadenersatz iHv EUR 15.000. Anm: Die Auswertungen der Daten des Dienstes Sky ECC beschäftigen auch die österreichischen Strafgerichte, wobei insb die Frage des Verwertungsverbots diskutiert wird.

·       Am 25.02.2026 wird das Urteil des EuG in der Rs T-433/24, Batchelor/Kommission, verkündet. Gegenstand des Verfahrens sind ua das Recht auf Dokumentenzugang sowie die Benennung als Torwächter nach dem Digital Markets Act (DMA).

·       Am 26.02.2026 werden die Schlussanträge in den Rs C-496/23 P, Meta Platforms Ireland/Kommission (Facebook Marketplace) und C-497/23 P, Meta Platforms Ireland/Kommission (Facebook Data), veröffentlicht. Gegenstand der Verfahren sind kartellrechtliche Auskunftsverlangen der Kommission zu Facebook Marketplace und den datenbezogenen Praktiken des sozialen Netzwerks Facebook.

·       Am 26.02.2026 werden die Schlussanträge in der Rs C-120/25, Payback, veröffentlicht. Gegenstand des Verfahrens ist, ob eine Person, die bei einem Online-Gewinnspiel einen Fernseher als Gewinn auslobt, ein "Händler" ist.

·       Am 26.02.2026 werden die Schlussanträge in der Rs C-234/25, Sky Österreich Fernsehen, veröffentlicht. Gegenstand des Verfahrens ist, ob über einen Server angebotene Streamingdienste, die "live" oder "on demand" erreicht werden können, "digitale Inhalte" sind.

EuGH SA 15.01.2026, C-788/24, Anne Frank Fonds

Website, Geo-Blocking, VPN, Stand der Technik

·         Der Anne Frank Fonds klagte die Anne Frank Stichting, die Königliche Niederländische Akademie der Wissenschaften und den Verein für Forschung und Erschließung historischer Texte (als Website-Betreiber) wegen deren Online-Bereitstellung der Anne Frank Tagebuchmanuskripte. In den Niederlanden erstreckt sich der urheberrechtliche Schutz der Tagebücher noch bis zum Jahr 2037, während er in anderen Ländern aufgrund national unterschiedlicher Urheberrechte bereits erloschen ist. Die Betreiber richteten die Seite nur auf Staaten aus, in denen die Tagebücher aufgrund Zeitablaufs bereits gemeinfrei sind, setzten "state-of-the-art"-Geo-Blocking ein und verlangten eine Herkunftsbestätigung der Nutzer, um den Aufenthalt der abrufenden Nutzer feststellen zu können. Nutzer konnten die Sperre jedoch mittels VPN umgehen. Die untergeordneten Gerichte nahmen angemessene Maßnahmen der Betreiber zum Schutz der Urheberrechte an. Das vorlegende Gericht fragte den EuGH zur Auslegung des Begriffs "öffentlichen Wiedergabe" iSd Art 3 Abs 1 RL 2001/29/EG (Urheberrechts-RL) und zur Wirksamkeit von Geo-Blocking trotz möglicher Umgehungen sowie zur Verantwortlichkeit des Website-Betreibers bzw von VPN-Diensten.

Der Generalanwalt hat erwogen: Eine Online-Veröffentlichung ist ein "Akt der Wiedergabe" iSd Art 3 Abs 1 Urheberrechts-RL und erreicht ein "Publikum", ohne dass dazu eine gezielte Adressierung eines bestimmten Mitgliedstaats vorliegen muss. Die Auslegung des Begriffs "öffentliche Wiedergabe" erfolgt weit und anhand komplementärer Kriterien. Die Adressierung des Publikums eines bestimmten Landes ist aber keine Voraussetzung, um in diesem Land eine "öffentliche Wiedergabe" anzunehmen.

Wirksame Geo-Blocking-Maßnahmen, gegebenenfalls flankiert durch nicht-technische Abschreckungs- oder Hinweismaßnahmen, führen dazu, dass im gesperrten Gebiet keine "öffentliche Wiedergabe" durch den Betreiber vorliegt, auch wenn Umgehungen technisch möglich sind. Die territoriale Struktur des Urheberrechts bleibt gewahrt und eine bloße Umgehung durch Nutzer begründet keine weltweite öffentliche Wiedergabe durch den Betreiber. Beurteilungsmaßstab ist die Effektivität der Maßnahmen nach dem Stand der Technik unter regelmäßiger Überprüfung der Wirksamkeit. Nur bewusst ineffektive Schutzvorkehrungen ändern diese Zurechnung und lassen Schutzmaßnahmen als ungeeignet erscheinen.

Die Sprachwahl der Website, eine generische Domain oder weitergehende "Closed-Model"-Alternativen können die Annahme einer Wiedergabe im gesperrten Gebiet nicht tragen. VPN-Dienste führen keinen eigenen Akt der "öffentlichen Wiedergabe" durch, außer sie fördern aktiv die rechtswidrige Nutzung von geschützten Inhalten. Anm: Das Urteil betrifft zwar das Urheberrecht, könnte aber weitergehende Auswirkungen entfalten, weil der EuGH sich mit grundlegenden Fragen, wie der Ausrichtung einer Website und Geoblocking, auseinandersetzt.

·         Der unionsrechtliche Effektivitätsgrundsatz steht einer nationalrechtlichen Regelung, die von einem Antragsteller verlangt, seinen tatsächlichen Namen, seine aktuelle physische Adresse und andere relevante Kontaktdaten anzuführen, nicht entgegen. Das Erfordernis, den tatsächlichen Namen und die aktuelle Adresse zu übermitteln, erschwert die Ausübung des Rechts auf Zugang zu Umweltinformationen nicht übermäßig. Die Überprüfung, ob der Antrag tatsächlich von einer natürlichen oder juristischen Person stammt, ist zulässig. Ein anonymer Antrag darf daher zurückgewiesen werden (EuGH 15.01.2026, C-129/24, Coillte Cuideachta). Anm: Dieses Urteil des EuGH ist zwar nicht einschlägig. Die darin angestellten Überlegungen könnten aber auf anonyme Informationsbegehren nach dem IFG übertragen und – entgegen der herrschenden Ansicht – für ihre Unzulässigkeit ins Treffen geführt werden.

·         Nach außergerichtlicher Einigung der Parteien zog der Single Resolution Board (SRB) sein Rechtsmittel zurück. Die Rechtssache war daher aus dem Register zu streichen (EuG 19.12.2025, T-557/20 RENV, EDPB/SRB). Anm: Diese Rechtssache war im zweiten Rechtsgang beim EuG. Der EuGH hat die relevanten Rechtsfragen, insb zum Personenbezug, bereits im Urteil vom 04.09.2025, C-413/23 P, EDSB/SRB beantwortet. Die Zusammenfassung dieses Urteils finden Sie im Datenschutzmonitor 36/2025 vom 10.09.2025.

·         Eine personenstandsrechtliche Regelung, die Menschen mit Transidentität dazu zwingen würde, sich entsprechend ihrer genetisch und/oder anatomisch bzw hormonell eindeutigen Geschlechtszuweisung im Personenstandsrecht, insb im Zentralen Personenstandsregister (ZPR), als "männlich" oder "weiblich" zu deklarieren, stünde mit den Anforderungen des Art 8 EMRK nicht im Einklang. Die einschlägigen personenstandsrechtlichen Regelungen sind daher verfassungskonform so zu verstehen, dass sie transidente Personen nicht dazu zwingen, ihr Geschlecht als männlich oder weiblich anzugeben (VfGH 18.12.2025, E1297/2025).

·         Eine Regelung, die im Interesse des geregelten Geschäftsverkehrs zur regelmäßigen Vorlage des Jahresabschlusses verpflichtet und an die Unterlassung der Vorlage eine Zwangsstrafe knüpft, ist verfassungsrechtlich unbedenklich. Die Zwangsstrafe nach § 283 UGB hat keinen Strafcharakter und darf bei Nichterfüllung der Verpflichtung wiederholt verhängt werden (VfGH 16.12.2025, G183/2025; 16.12.2025, G184/2025).

·         Für Zwecke des automatischen Informationsaustausches von Informationen über Finanzkonten gemäß dem Gemeinsamen Meldestandard-Gesetz (GMSG) besteht keine Verpflichtung zur Wahrung des Bankgeheimnisses. Informationen, die von teilnehmenden Staaten im Rahmen des automatischen Informationsaustausches nach dem GMSG eingehen, werden vom Bundesminister für Finanzen an die zuständige Abgabenbehörde weitergeleitet (VwGH 10.12.2025, Ro 2023/04/0021).

BVwG 11.12.2025, W292 2326797-1

IFG, Entscheidungsfindung

·         Ein Informationswerber beantragte beim Verfassungsdienst im Bundeskanzleramt (BKA) die Übermittlung einer Stellungnahme zur geplanten Gegenverrechnung der Familienbeihilfe mit der Sozialhilfe. Das BKA versagte den Informationszugang mit Bescheid und stellte fest, dass dem Antragsteller kein Recht auf Zugang zu dieser Information zukomme. Begründend führte es aus, dass die begehrte Stellungnahme der Vorbereitung politischer und gesetzgeberischer Entscheidungen diene und ihre Offenlegung geeignet wäre, sich negativ auf die unbeeinträchtigte Entscheidungsfindung iSd § 6 Abs 1 Z 5 IFG auszuwirken. Der Informationswerber erhob daraufhin (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Stellungnahme ist eine Information im Wirkungs- bzw Geschäftsbereich eines Bundesorgans iSd § 1 Z 1 IFG. Art 22a Abs 2 B‑VG begrenzt den Informationszugang, sofern Geheimhaltung zur Vorbereitung einer Entscheidung erforderlich ist. § 6 Abs 1 Z 5 IFG konkretisiert den Geheimhaltungsgrund und schützt die rechtmäßige Willensbildung und deren unmittelbare Vorbereitung. Maßgeblich für die Geheimhaltung ist insbesondere, ob das Bekanntwerden der Information geeignet wäre, den Entscheidungsfindungsprozess nachteilig zu beeinflussen. Der Schutzzweck umfasst sowohl die Sicherung des Erfolgs behördlichen Tätigwerdens als auch die Wahrung der Vertraulichkeit interner Beratungen.

Die begehrte Stellungnahme steht in unmittelbarem Zusammenhang mit der Vorbereitung politischer Entscheidungen und dient der Beratung jener Organe, die mit der Ausarbeitung sozialhilferechtlicher Gesetzentwürfe betraut sind. Eine vorzeitige Offenlegung wäre geeignet, eine unabhängige und ungestörte Entscheidungsfindung zu beeinträchtigen, indem sie die Entscheidungsorgane unter externen Rechtfertigungsdruck setzt und die ergebnisoffene Entwicklung unterschiedlicher Handlungsoptionen erschwert.

Das vom Informationswerber geltend gemachte Interesse, die Information zur Vorbereitung einer allfälligen Stellungnahme zu einer bevorstehenden Gesetzesänderung zu benötigen, überwiegt nicht das Interesse des BKA. Ein überwiegendes öffentliches Interesse an einer vorzeitigen Veröffentlichung ist nicht ersichtlich. Zudem steht es dem Informationswerber offen, sich mit veröffentlichten Gesetzesanträgen und
-vorlagen auseinanderzusetzen. Da dem Informationswerber auch keine besondere Rolle als watchdog zukommt, würde eine Herausgabe der Information an ihn die Öffentlichkeit nicht in abwägungsrelevanter Weise erreichen.

·         Trifft eine Verwaltungsbehörde eine Beschwerdevorentscheidung, tritt diese an die Stelle des mit der Bescheidbeschwerde bekämpften Ausgangsbescheids. Eine Beschwerdevorentscheidung, die den Ausgangsbescheid im Spruch bestätigt und nur in der Begründung davon abweicht, ist zulässig, wenn mit der Begründung tatsächlichen Mängeln des Ermittlungsverfahrens begegnet wird. Die Auskunftserteilung nach dem (ehemaligen) AuskunftspflichtG durfte nicht pauschal verweigert werden, wenn Auskunft über eine Mehrzahl von Verwaltungsvorgängen begehrt wurde (BVwG 14.01.2025, W256 2282190-1).

·         Die Zurückziehung der Datenschutzbeschwerde bewirkt nachträglich den Wegfall der Zuständigkeit der DSB. Der angefochtene Bescheid der DSB ist daher ersatzlos zu beheben (BVwG 11.11.2025, W256 2232894-1).

LVwG Tirol 07.01.2026, LVwG-2025/48/2834-6

IFG, Geschäfts- und Betriebsgeheimnis, Wettbewerbsnachteil, Verhandlungspouvoir

·         Ein Informationswerber verlangte von einer privaten Informationspflichtigen, die zu 100% im Eigentum eines Bundeslandes steht, die Herausgabe von Talschaftsverträgen und ähnlichen Vereinbarungen über Entschädigungszahlungen an Gemeinden und andere Körperschaften für die Wassernutzung. Die Informationspflichtige übermittelte ihm zehn Verträge, schwärzte jedoch aus datenschutzrechtlichen Gründen die Namen der für die Gemeinden Unterfertigenden sowie den pauschalen Basiswert pro MWh und den Verteilungsschlüssel zwischen den Gemeinden aufgrund von Geschäfts- und Betriebsgeheimnissen und zum Schutz ihrer Wettbewerbsfähigkeit. Der Informationswerber beantragte daraufhin beim LVwG Tirol die Entscheidung der Streitigkeit nach § 14 IFG, weil die geschwärzten Verträge ohne Zahlen und Prozentwerte inhaltslos seien. Die Namen der Gemeindevertreter waren von diesem Antrag nicht mehr umfasst. Das LVwG Tirol gab dem Antrag des Informationswerbers statt.

Das LVwG Tirol hat erwogen: Die private Informationspflichtige ist als 100%-iges Landesunternehmen nach § 14 Abs 1 IFG grundsätzlich informationspflichtig, soweit die Informationen nicht in sinngemäßer Anwendung des § 6 IFG oder zur Wahrung der Wettbewerbsfähigkeit zurückgehalten werden dürfen.

Der pauschale Basiswert pro MWh basiert auf internen Berechnungen der Informationspflichtigen und variiert je nach Kraftwerkstandort. Er ist mit dem jährlich unterschiedlichen Hydraulitätsfaktor zu multiplizieren und gibt keine konkrete Kalkulation wieder. Dementsprechend kann sich die Informationspflichtige auf kein Geschäfts- und Betriebsgeheimnis iSd § 6 Abs 1 Z 7 lit b iVm § 13 Abs 2 IFG berufen. Die Entschädigungen für die Beeinträchtigung von Gemeindegut müssen für die Gemeinden kalkulierbar sein. Ein überwiegendes Interesse der Informationspflichtigen an der Geheimhaltung der Basiswerte ist nicht erkennbar.

Auch der Verteilungsschlüssel, der die prozentuelle Aufteilung der Entschädigung auf die Gemeinden festlegt, ist nicht geheimhaltungsbedürftig, weil die Verhältnisse aus den entsprechenden Entschädigungsleistungen errechnet werden könnten. Zudem hängt er vom jeweiligen Kraftwerkstandort und der Beeinträchtigung der Gemeinde ab, sodass er nicht als Referenz für eventuelle weitere Standorte herangezogen werden kann. Ein überwiegendes Interesse an der Geheimhaltung liegt nicht vor, weil sich die Schlüssel aus den öffentlichen Gemeindebudgets ergeben.

Auch ein zu schützendes Verhandlungspouvoir ist nicht erkennbar. Die Entschädigungszahlungen werden erst nach der wasserrechtlichen Genehmigung festgelegt, sind weitgehend nicht verhandelbar und können daher nicht als Wettbewerbsvorteil für andere Energieunternehmen wirken. Andere Energieunternehmen haben keinerlei Möglichkeit, an dem bestehenden Standort ein Wasserkraftwerk zu betreiben. Sie erlangen auch keinen Wettbewerbsvorteil durch die Kenntnis der Entschädigungsbeträge, weil diese in den Haushalten der Gemeinden ohnehin öffentlich zu machen sind. Der privaten Informationspflichtigen entsteht durch deren Offenlegung daher kein Wettbewerbsnachteil.

Da der Informationswerber um Übermittlung der Verträge ersucht hat, waren ihm die Verträge – mit Ausnahme der Informationen zu den Gemeindevertretern –, ungeschwärzt zu übermitteln.

·         Das IFG findet gemäß § 16 IFG keine Anwendung, soweit in anderen Bundes- oder Landesgesetzen besondere Informationszugangsregelungen – so zB gemäß § 53 NÖ Gemeindeordnung zum Protokoll von Gemeinderatssitzungen – bestehen oder besondere öffentliche elektronische Register eingerichtet sind. Ein Auskunftsanspruch nach dem IFG besteht nicht, wenn die begehrte Information bei der Behörde nicht vorhanden ist. Die Revision wird zugelassen, weil Rechtsprechung des VwGH fehlt, ob aus dem IFG der Ausschluss des innergemeindlichen Instanzenzugs resultiert (LVwG NÖ 07.01.2026, LVwG-AV-1463/001-2025).

DSB 12.09.2024, 2024-0.652.702

NISG, CERT, nic.at, Domains

·         Das nationale Computer-Notfallteam ist nach dem NISG bei der CERT.at GmbH ("CERT") eingerichtet. CERT führt Routinescans von .at-Domains auf Sicherheitslücken durch, hierfür stellt die nic.at GmbH ("nic") der CERT eine Liste aller .at-Domains ohne Inhaberdaten bereit. Ein Domaininhaber, der seine Domain 2002 als natürliche Person registriert hatte, sah sich durch den vermeintlichen Zugriff der CERT mittels Whois-Datenbank auf seine personenbezogenen Daten ohne Einwilligung, die regelmäßigen Scans von .at-Domains und den Zugriff trotz eines zugesagten Opt-out in seinem Recht auf Geheimhaltung verletzt. Er erhob (erfolglose) Datenschutzbeschwerde an die DSB.

Die DSB hat erwogen: Der Anwendungsbereich des Datenschutzrechts ist bei einer Verarbeitung personenbezogener Daten eröffnet. Wenn eine Domain selbst keinen Rückschluss auf eine Person ermöglicht, handelt es sich bei ihr nicht um ein personenbezogenes Datum.

Der Zugriff der CERT durch eine Whois-Datenbank auf den Namen eines Domainbetreibers kann eine Verarbeitung von personenbezogenen Daten sein. Seit Inkrafttreten der DSGVO werden Domaininhaberdaten natürlicher Personen im Whois nur mehr auf ausdrücklichen Wunsch des Inhabers veröffentlicht. Beschränkungen des Rechts auf Geheimhaltung sind zulässig, (i) wenn die Verwendung personenbezogener Daten im lebenswichtigen Interesse des Betroffenen oder (ii) mit seiner Zustimmung erfolgt, (iii) bei überwiegenden berechtigten Interessen eines anderen oder (iv) bei Vorhandensein einer qualifizierten gesetzlichen Grundlage. Nach Art 6 Abs 1 lit c DSGVO ist eine Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Das bei der CERT eingerichtete nationale Computer-Notfallteam unterstützt die nic bei der Gewährleistung der Sicherheit von Netz- und Informationssystemen nach § 14 Abs 1 NISG. Eine der gesetzlichen Aufgaben des nationalen Computer-Notfallteams ist die Beobachtung und Analyse von Risiken, Vorfällen oder Sicherheitsvorfällen. Die CERT ist zur Aufgabenerfüllung nach § 9 Abs 2 bis 4 NISG ermächtigt, als Verantwortlicher auch personenbezogene Daten zu verarbeiten. Ein Zugriff auf personenbezogene Daten durch die CERT mittels Whois-Abfrage ist im Rahmen des NISG gerechtfertigt.

Die nic ist als Betreiber wesentlicher Dienste ermächtigt, der CERT als nationalem Computer-Notfallteam zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen bestimmte personenbezogene Daten, Identitätsdaten und technische Daten von Personen, die mit einer Meldung zu einem Risiko, Vorfall oder Sicherheitsvorfall in Zusammenhang stehen, wie insbesondere Opfer und Angreifer, zu übermitteln.

DSB 18.11.2025, 2025-0.902.556

Medienprivileg, Meinungsfreiheit, öffentliche Person

·         Ein Bürgerjournalist missachtete im Rahmen eines Weihnachtsmarkts ein bestehendes Fahrverbot, woraufhin der Bürgermeister Anzeige erstattete. Der Bürgerjournalist veröffentlichte in Folge Auszüge dieser gegen ihn gerichteten Anzeige auf einer Online-Plattform. Dabei waren der Name, das Geburtsdatum und die private Wohnadresse des Bürgermeisters ersichtlich. Die Veröffentlichung wurde vom Bürgerjournalisten mit kritischen Kommentaren versehen. Er gab an, die Öffentlichkeit über das Vorgehen des Bürgermeisters gegenüber Medienvertretern informieren zu wollen. Die Beiträge wurden kurz nach ihrer Veröffentlichung wieder entfernt. Nach Einbringung einer Datenschutzbeschwerde durch den Bürgermeister stellte die DSB fest, dass der Bürgerjournalist diesen durch die Veröffentlichung des Geburtsdatums und der Wohnadresse in seinem Recht auf Geheimhaltung gemäß § 1 Abs 1 DSG verletzt hatte. In der Folge wurde gegen den Bürgerjournalisten ein Verwaltungsstrafverfahren eingeleitet und eine Geldstrafe iHv EUR 80 verhängt.

Die DSB hat erwogen: Die veröffentlichten Daten sind zweifelsfrei personenbezogene Daten einer identifizierbaren Person iSd Art 4 Z 1 DSGVO. Das Posten dieser Daten ist eine Verarbeitung gemäß Art 4 Z 2 DSGVO. Eine rechtmäßige Verarbeitung setzt sowohl die Einhaltung der Grundsätze des Art 5 Abs 1 DSGVO als auch das Vorliegen einer Rechtsgrundlage nach Art 6 Abs 1 DSGVO voraus.

Das sogenannte Medienprivileg in § 9 DSG soll das Recht auf Schutz personenbezogener Daten mit der Meinungs- und Informationsfreiheit in Einklang bringen und erlaubt unter bestimmten Voraussetzungen eine Verarbeitung zur Wahrung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO.

Der Bürgerjournalist verfolgte zwar ein berechtigtes Interesse in Form der Ausübung der Meinungsäußerungsfreiheit nach Art 10 EMRK. Die Veröffentlichungen des Geburtsdatums und der privaten Wohnadresse des Bürgermeisters auf einer Online-Plattform waren jedoch zur Erreichung dieses Zwecks nicht erforderlich. Auch wenn es sich beim Bürgermeister um eine Person des öffentlichen Lebens handelt, was grundsätzlich ein höheres Maß an Kritik erlaubt, stand hier nicht die Kritik an seiner Rolle als Bürgermeister im Vordergrund. Vielmehr rückten seine privaten und schutzwürdigen Informationen in den Fokus.

Die Unbescholtenheit des Bürgerjournalisten sowie sein Mitwirken am Verfahren und seine gezeigte Reue waren als strafmildernd zu berücksichtigen.

·         Die Speicherung von Bonitätsdaten in der Datenbank einer Kreditauskunftei (hier: Eintrag über ein mangels Kostendeckung nicht eröffnetes Insolvenzverfahren) ist grundsätzlich zur Wahrung berechtigter Interessen nach Art 6 Abs 1 lit f DSGVO zulässig, unterliegt jedoch einer Interessenabwägung. Der österreichische Gesetzgeber hat diese Abwägung in § 256 Abs 4 IO bereits vorweggenommen, wonach die Einsicht in derartige Eintragungen drei Jahre nach der Eintragung nicht mehr zu gewähren ist. Überschreitet die Speicherdauer bei einer Kreditauskunftei diesen Zeitraum und ist der Eintrag auch aus der staatlichen Insolvenzdatei bereits gelöscht, ist die Weiterverarbeitung unverhältnismäßig und daher rechtswidrig. Die Kapitaladäquanzverordnung kann als Rechtsgrundlage für eine längere Speicherung nicht herangezogen werden, weil diese nur für Kreditinstitute, nicht aber für Kreditauskunfteien gilt (DSB 16.10.2024, 2024-0.743.880).

·         Am 22.01.2026 wird vor dem EuGH die mündliche Verhandlung in der Rs C-205/25, Bayerisches Landesamt für Datenschutzaufsicht, stattfinden. Gegenstand des Verfahrens ist die Frage, ob eine Datenschutz-Aufsichtsbehörde gemäß Art 15 DSGVO Auskunft aus Akten von vor ihr geführten Datenschutzbeschwerdeverfahren erteilen muss und – falls ja – ob diese Auskunftspflicht durch nationales Recht beschränkt werden kann.

·         Am 29.01.2026 wird das Urteil des EuGH in der Rs C-291/24, Steiermärkische Bank und Sparkasse, verkündet. Der EuGH wird ua darüber entscheiden, ob seine DSGVO-Rechtsprechung zu Geldbußen gegen juristische Personen auf Geldstrafen wegen Verstößen gegen die 4. Geldwäsche-RL übertragen werden darf. Anm: Die Zusammenfassung der Schlussanträge können Sie im Datenschutzmonitor 27/2025 vom 09.07.2025 nachlesen.

·         Am 29.01.2026 wird vor dem EuGH die mündliche Verhandlung in der Rs C-164/25, Telekom Slovenije, stattfinden. Gegenstand des Verfahrens sind Maßnahmen zur #7a1932uzierung der Kosten des Ausbaus von Hochgeschwindigkeits-Telekommunikationsnetzen.

·         Am 10.02.2026 wird das Urteil des EuGH in der Rs C-97/23 P, WhatsApp Ireland/Comité européen de la protection des données, verkündet. Gegenstand des Verfahrens ist die Zulässigkeit von Nichtigkeitsklagen gegen verbindliche Beschlüsse des EDSA. Anm: Die Zusammenfassung der Schlussanträge können Sie im Datenschutzmonitor 13/2025 vom 03.04.2025 nachlesen.

·         Am 12.02.2026 werden die Schlussanträge in der Rs C-829/24, Kommission/ Ungarn (Protection contre l’ingérence politique étrangère), veröffentlicht. Die Kommission hat gegen Ungarn ein Vertragsverletzungsverfahren eingeleitet, weil Ungarn mit dem Erlassen eines Gesetzes "über den Schutz der nationalen Souveränität" gegen das Unionsrecht verstoßen habe. Ua unterwerfe das Gesetz Unionsbürger und -einrichtungen der Ausübung hoheitlicher Befugnisse, die gegen Datenschutzvorschriften verstießen. Anm: Mit Beschluss vom 12.02.2025, C-829/24, hat der Präsident des EuGH diese Rechtssache dem beim EuGH vorgesehenen beschleunigten Verfahren unterworfen. Eine wesentliche Beschleunigung ist nicht zu erkennen.

EGMR 08.01.2026, 40607/19 und 34583/20, Ferrieri, Bonassisa/Italien

Kontodatenzugriff, wirksamer Rechtsbehelf

·         Die italienischen Steuerbehörden griffen auf die Kontodaten zweier italienischer Staatsbürger zu, um Steuerverfahren vorzubereiten. Die Genehmigungen für diese Zugriffe waren nicht anfechtbar und mussten nicht begründet werden. Ein unmittelbarer Rechtsbehelf gegen die Genehmigungen war nicht vorgesehen. Als innerstaatliche Kontrollmöglichkeiten standen lediglich (i) die mittelbare Prüfung durch die Steuergerichte im Rahmen der Anfechtung eines späteren Steuerbescheids, (ii) die Anrufung der Zivilgerichte sowie (iii) die Einschaltung einer steuerrechtlichen Ombudsstelle zur Verfügung, wodurch keine zeitnahe, unabhängige und verbindliche Überprüfung des Datenzugriffs möglich war. Die Staatsbürger erachteten sich wegen unzureichendem Rechtsschutz in ihrem Recht auf Achtung des Privat- und Familienlebens gemäß Art 8 EMRK verletzt und wandten sich (erfolgreich) an den EGMR. Dieser ordnete aufgrund des systemischen Charakters der Verletzung von Art 8 EMRK allgemeine Maßnahmen nach Art 46 EMRK an.

Der EGMR hat erwogen: Damit Maßnahmen dem Erfordernis "gesetzlich vorgesehen" nach Art 8 Abs 2 EMRK entsprechen, muss ua (i) eine Grundlage im innerstaatlichen Recht bestehen, (ii) dieses innerstaatliche Recht muss für die Betroffenen zugänglich sein, (iii) es muss die Betroffenen in die Lage versetzen, die Folgen des innerstaatlichen Rechts vorherzusehen. Zu beachten sind nicht nur Gesetze, sondern auch untergeordnete Rechtsakte wie Verordnungen und Judikatur.

Es muss eine rechtliche Schutzmöglichkeit vor willkürlichen Eingriffen der öffentlichen Gewalt bestehen. Unbeschränktes behördliches Ermessen widerspricht der Rechtsstaatlichkeit.

Eine Vorabinformation vor dem Zugriff auf Bankdaten durch die Steuerbehörde ist nicht erforderlich, da dies eine effiziente Besteuerung gefährden würde.

Ein wirksamer Rechtsbehelf fehlt jedoch, wenn Maßnahmen nicht begründet werden müssen und Unregelmäßigkeiten bei fehlender Autorisierung nicht zur Ungültigkeit führen. War ein Rechtsbehelf gegen eine Maßnahme noch nie erfolgreich, fehlt es an einem wirksamen Rechtsschutz. Ein Rechtsbehelf, der erst nach Erlass eines Steuerbescheids, möglicherweise erst Jahre später zur Verfügung steht, ist zu ungewiss und nicht ausreichend zeitnah. Ohne Begründungspflicht können Gerichte nicht wirksam kontrollieren. Ein Rechtsbehelf vor Zivilgerichten genügt dann nicht den Anforderungen des Art 8 EMRK. Auch eine Beschwerde bei einer Ombudsstelle, die nur Empfehlungen aussprechen kann und keine verbindlichen Entscheidungen trifft, ist kein wirksamer Rechtsbehelf nach Art 8 EMRK.

Da die Feststellung der Rechtsverletzung einen hinreichenden Ausgleich für den erlittenen immateriellen Schaden bietet, ist kein Schadenersatz zuzusprechen.

EGMR 08.01.2026, 7557/23, Tafzi El Hadri, El Idrissi Mouch/Spanien

Medienberichterstattung, Interessenabwägung

·         Zwei Sozialpädagogen eines Jugendwohnzentrums in Barcelona wurden in einem Artikel einer nationalen Zeitung namentlich beschuldigt, die betreuten Jugendlichen mit islamistischen Fundamentalismus zu indoktrinieren. Ein von der Einrichtungsleitung eingeleitetes Disziplinarverfahren wurde eingestellt. Die Sozialpädagogen erhoben zivilrechtliche Klage wegen Rufschädigung gegen die Zeitung. Nach erfolglosem Ausschöpfen des Rechtswegs wandten sie sich wegen Verletzung ihres Rechts auf Achtung des Privatlebens gemäß Art 8 EMRK (erfolglos) an den EGMR.

Der EGMR hat erwogen: Art 8 EMRK umfasst den Schutz des eigenen Rufs. Der Artikel nannte die Sozialpädagogen namentlich und enthielt Angaben zu ihrer religiösen Zugehörigkeit. Diese Informationen standen einer breiten Öffentlichkeit zur Verfügung und beeinflussten das Privatleben der Sozialpädagogen erheblich. Den Staat trifft eine positive Verpflichtung, das Privatleben vor Eingriffen durch Dritte zu schützen. Dabei muss ein faires Gleichgewicht zwischen den konkurrierenden Interessen – dem Recht auf Achtung des Privatlebens und dem Recht auf freie Meinungsäußerung – hergestellt werden.

Der Artikel enthielt keine beleidigenden oder persönlich diffamierenden Angriffe. Die Äußerungen des Journalisten waren zwar zugespitzt, enthielten jedoch keinen Aufruf zu Gewalt oder Hass. Inhaltlich befasste sich der Artikel mit der besonderen Verwundbarkeit ausländischer Minderjähriger sowie mit Risiken für Integration und Radikalisierung. Dabei handelt es sich um Fragen von erheblichem öffentlichem Interesse. Die bloße Behauptung religiöser Indoktrination begründet noch keinen Vorwurf verwerflichen Verhaltens. Insbesondere wurde den Sozialpädagogen keine Gewalttätigkeit oder Unterstützung des Terrorismus unterstellt. Der Journalist stützte sich zudem auf verlässliche offizielle Quellen und versuchte, eine Stellungnahme des Wohnzentrums einzuholen.

Die Sozialpädagogen konnten nicht darlegen, dass der Artikel ihre berufliche Stellung nachhaltig beeinträchtigt hätte. Sie waren nach der Veröffentlichung des Artikels weiterhin im Wohnzentrum tätig und hatten die Unterstützung ihres Arbeitgebers. Die spanischen Gerichte nahmen daher die gebotene Interessenabwägung vor und erfüllten ihre positive Verpflichtung aus Art 8 EMRK.

VfGH 10.12.2025, E2189/2025

WiEReG, Verfassungskonformität

·         Der wirtschaftliche Eigentümer einer international tätigen Unternehmensgruppe, der zugleich Mitglied des Stiftungsvorstands der an der Spitze der Unternehmensgruppe stehenden Privatstiftung ist, beantragte beim Bundesminister für Finanzen (BMF) eine Einschränkung der Einsicht in das Register der wirtschaftlichen Eigentümer nach § 10a WiEReG. Der Antrag wurde mit Bescheid abgewiesen, weil seine Stellung als wirtschaftlicher Eigentümer bereits aus anderen öffentlichen Registern, insb dem Firmenbuch, ersichtlich sei. Eine dagegen erhobene Bescheidbeschwerde an das BVwG blieb erfolglos. Daraufhin wandte sich der wirtschaftliche Eigentümer wegen der Verletzung verfassungsgesetzlicher Rechte und der Anwendung verfassungswidriger Normen an den VfGH. In der Zwischenzeit erklärte der EuGH das allgemeine öffentliche Einsichtsrecht für unvereinbar mit Art 7 und Art 8 GRC. Der VfGH hob das erste Erkenntnis des BVwG wegen der Anwendung einer verfassungswidrigen Norm auf und stellte im Gesetzesprüfungsverfahren die Verfassungswidrigkeit des § 10 Abs 1 Z 1 WiEReG idF BGBl 97/2023 fest. Nachdem das BVwG die Bescheidbeschwerde auch im zweiten Rechtsgang abwies, wandte sich der wirtschaftliche Eigentümer erneut (diesmal erfolglos) an den VfGH und behauptete die Verfassungswidrigkeit bestimmter Bestimmungen des WiEReG.

Der VfGH hat erwogen: Aufgrund der Anlassfallwirkung findet die aufgehobene Bestimmung des § 10 Abs 1 Z 1 WiEReG keine Anwendung und begrenzt den Einsichtsinhalt für Personen mit berechtigtem Interesse. Personen mit berechtigtem Interesse haben insb keinen Zugang zu Wohnadresse oder Geburtsort. Insoweit liegt kein unverhältnismäßiger Grundrechtseingriff vor.

Auch die Verpflichtung der Rechtsträger gemäß § 5 WiEReG, bestimmte Daten an die Statistik Austria als Auftragsverarbeiterin zu melden, sowie die in §§ 7 und 8 WiEReG vorgesehene Zusammenführung von Daten aus verschiedenen Quellen ist verfassungskonform. Dies dient der eindeutigen Identifizierung wirtschaftlicher Eigentümer sowie der Funktionsfähigkeit des Registers und ist angesichts der unionsrechtlichen Zielsetzung, der Bekämpfung von Geldwäsche und Terrorismusfinanzierung, verhältnismäßig.

Die Erfassung von Stiftern, bestimmten Begünstigten und Mitgliedern des Stiftungsvorstands als wirtschaftliche Eigentümer von Privatstiftungen gemäß § 2 Z 3 WiEReG hält sich im Gestaltungsspielraum des Gesetzgebers und verletzt den Gleichheitssatz nicht.

Ein schutzwürdiges Interesse des wirtschaftlichen Eigentümers an einer Einschränkung der Einsicht nach § 10a WiEReG besteht nicht, weil seine Daten als wirtschaftlicher Eigentümer bereits aus dem Firmenbuch ersichtlich sind.

·         Im Ausland – durch Auswertung der Server des Krypto-Messenger-Dienstes Sky ECC – gewonnene Beweisergebnisse unterliegen auch dann keinem Beweisverwertungsverbot im inländischen Strafverfahren, wenn die österreichische Staatsanwaltschaft bei einem vergleichbaren Sachverhalt verpflichtet gewesen wäre, deren Erhebung zu untersagen (OGH 16.12.2025, 11Os43/25w).

·         Ein schutzwürdiges Geheimhaltungsinteresse iSd § 63 DSG besteht hinsichtlich personenbezogener Daten, die nicht frei verfügbar sind und dem Übermittlungsempfänger nicht bereits zulässigerweise bekannt waren. Die Schädigungsabsicht muss nicht das einzige Motiv des Täters sein. § 63 DSG stellt die rechtswidrige Verarbeitung personenbezogener Daten unter den dort normierten Voraussetzungen unter Strafe – unabhängig von der Erfüllung des Tatbestands nach § 18 Abs 1 InfOG betreffend klassifizierte Informationen. Für die Strafbarkeit ist erforderlich, dass die personenbezogenen Informationen dem Täter ausschließlich kraft seines Amtes zugänglich wurden und dem Empfänger zum Tatzeitpunkt nicht bekannt waren. Zudem muss der zumindest bedingte Vorsatz des Täters sowohl die Weitergabe als auch deren Eignung zur Verletzung des öffentlichen Interesses an der Aufrechterhaltung der öffentlichen Sicherheit sowie des berechtigten privaten Interesses an der Geheimhaltung umfassen (OGH 09.12.2025, 14Os84/25x).

·         Eine Verletzung im Recht auf Akteneinsicht und des Rechts auf Datenauskunft nach Art 15 DSGVO im kriminalpolizeilichen Ermittlungsverfahren kann nicht mittels Einspruch wegen Rechtsverletzung nach § 106 StPO geltend gemacht werden, da selbstständige strafprozessuale Akte der Kriminalpolizei im Ermittlungsverfahren, die nicht auf einer staatsanwaltschaftlichen Anordnung beruhen, nicht der Kognitionsbefugnis der ordentlichen Gerichte unterliegen (OLG Innsbruck 12.11.2025, 11Bs48/25).

BVwG 20.10.2025, W108 2276075-1

Gesundheitsdaten, Mitarbeiter, Zurechnung, Polizeianfrage

·         Ein Patient befand sich wegen Substanzmissbrauchs in stationärer Behandlung einer Klinik. Ein Beamter der zuständigen Landespolizeidirektion (LPD) richtete eine informelle E-Mail-Anfrage an den Sicherheitsmanager der Klinik, um in Erfahrung zu bringen, ob der Patient aufgrund einer vermeintlichen Kokainüberdosis in Behandlung war. Der Sicherheitsmanager ersuchte die Leiterin des Patientenbeschwerdemanagements um Übermittlung der Patientenunterlagen und leitete in der Folge die Behandlungsunterlagen sowie einen Notfallbericht des Patienten an die LPD weiter. Im Rahmen eines Gerichtsverfahrens erlangte der Patient Kenntnis von der Weitergabe seiner Gesundheitsdaten. Daraufhin erhob er Datenschutzbeschwerde gegen die Klinik. Die DSB stellte eine Verletzung im Recht auf Geheimhaltung und die Verantwortlichkeit der Klinik fest. Dagegen erhob die Klinik (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Klinik ist gemäß § 63 Abs 3 Tiroler Krankenanstaltengesetz (Tir KAG) Verantwortliche iSd Art 4 Z 7 DSGVO. Das Fehlverhalten des Sicherheitsmanagers erfolgte im Rahmen seiner dienstlichen Aufgaben. Zwar beschaffte er die Patientendaten auf unüblichem Weg, dies jedoch iZm der Anfrage eines LPD-Beamten, deren Bearbeitung grundsätzlich in seinen Aufgabenbereich fällt. Er traf die Entscheidung über die eingesetzten Mittel der Datenübermittlung und deren Zweck nicht zu privaten Zwecken.

Die Klinik ist für die Datenverarbeitung durch ihre Bediensteten verantwortlich, auch wenn es sich um eine überschießende Datenverarbeitung handelt, da nicht jedes Fehlverhalten die Zurechnung unterbricht. Eine Unterbrechung der Zurechnung tritt vielmehr erst dann ein, wenn der Verantwortliche die Kontrolle über den regelwidrigen Verarbeitungsvorgang verliert, weil dieser sich außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle seiner Organisation entfaltet. Der Sicherheitsmanager übermittelte die Daten zwar rechtswidrig, aber ohne Verfolgung von Eigeninteressen im Rahmen seiner beruflichen Tätigkeit, sodass keine Durchbrechung des Verarbeitungszwecks vorlag.

Die Übermittlung hätte ein begründetes Ersuchen der LPD vorausgesetzt. Gemäß § 15 Abs 1 lit e Tir KAG hätte sich die Klinik vergewissern müssen, in welcher Sache die LPD Auskunft verlangt und für welche Entscheidung im öffentlichen Interesse sie die Daten benötigte. Mangels einer die Klinik treffenden rechtlichen Verpflichtung bzw mangels Wahrnehmung einer im erheblichen öffentlichen Interesse gelegenen Aufgabe war die Übermittlung und die dadurch bewirkte Offenlegung sensibler Daten datenschutzrechtlich nicht gerechtfertigt.

Die Datenverarbeitung war nicht erforderlich und verstieß gegen den Grundsatz der Datenminimierung. Der Klinik fehlten Informationen zur Beurteilung der Angelegenheit iSd § 15 Abs 1 lit e Tir KAG sowie des öffentlichen Interesses. Darüber hinaus wurden die vorgegebenen Arbeitsabläufe der Klinik nicht eingehalten und keine datenschutzkonforme Dokumentation der Datenübermittlung durchgeführt. Anm: Dieser Entscheidung kommt hohe Praxisrelevanz zu, da sie verdeutlicht, dass Anfragen der Polizei zur Herausgabe personenbezogener Daten nur dann entsprochen werden darf, wenn diese hinreichend begründet sind. Der Verantwortliche bleibt auch dann für die Einhaltung der DSGVO verantwortlich, wenn die Polizei anfragt.

·         Das Recht auf Berichtigung nach Art 16 DSGVO ist ein antragsbedürftiges Recht, das eine klare Antragstellung der Betroffenen an den Verantwortlichen voraussetzt. Bei der Auslegung von Prozesserklärungen kommt es auf deren objektiven Erklärungswert an. Beim Wunsch, geschlechtsneutral angesprochen zu werden, ist zwischen dem Wunsch nach einer Systemänderung (Einführung einer dritten Geschlechterangabe im Vertriebssystem) und einer individuellen Datenänderung zu unterscheiden. Eine Systemänderung führt nicht automatisch zur Berichtigung einzelner Datensätze. Mündliche Anreden und Lautsprecherdurchsagen fallen nicht unter den sachlichen Anwendungsbereich der DSGVO, weil diese nicht in einem Dateisystem gespeichert sind bzw keine personenbezogenen Daten der Betroffenen verarbeitet werden (BVwG 31.10.2025, W291 2298748-1).

·         Eine Prozesserklärung ist nach ihrem objektiven Erklärungswert auszulegen. Der Antragsteller berief sich bei Antragstellung im August 2025 ausdrücklich auf das IFG. Das IFG trat erst am 01.09.2025 in Kraft. Für ein zukünftiges Informationsbegehren bestand keine Rechtsgrundlage. Da der Antragsteller kein taugliches Informationsbegehren stellte, begann die Frist gemäß § 8 iVm § 13 Abs 1 IFG nie zu laufen. Der Antragsteller war somit auch nicht legitimiert, einen Antrag auf Entscheidung der Streitigkeit durch das BVwG zu stellen. Sein Antrag war daher zurückzuweisen (BVwG 12.11.2025, W291 2325007-1).

·         Der Einwand des Steuerpflichtigen, die Vorlage eines Sachverständigengutachtens zur Feststellung des Grades der Behinderung komme aus datenschutzrechtlichen Gründen nicht in Betracht, weil es höchstpersönliche und intime Details enthalte, entbindet ihn nicht von seiner Nachweispflicht für abgabenrechtliche Begünstigungen. Der Kausalzusammenhang zwischen Behinderung und geltend gemachten Krankheitskosten hätte auch durch Schwärzung jener Passagen, die den höchstpersönlichen und intimen Bereich betreffen, oder durch eine ärztliche Bestätigung mit ausdrücklichem Bezug auf das Behindertengutachten nachgewiesen werden können, ohne den höchstpersönlichen Bereich offenzulegen (BFG 10.12.2025, RV/4100308/2024).

·         Am 22.01.2026 wird vor dem EuGH die mündliche Verhandlung in der Rs C-205/25, Bayerisches Landesamt für Datenschutzaufsicht, stattfinden. Gegenstand des Verfahrens ist die Frage, ob eine Datenschutz-Aufsichtsbehörde gemäß Art 15 DSGVO Auskunft aus Akten von vor ihr geführten Datenschutzbeschwerdeverfahren erteilen muss und – falls ja – ob diese Auskunftspflicht durch nationales Recht beschränkt werden kann.

·         Am 29.01.2026 wird das Urteil des EuGH in der Rs C-291/24, Steiermärkische Bank und Sparkasse, verkündet. Der EuGH wird ua darüber entscheiden, ob seine DSGVO-Rechtsprechung zu Geldbußen gegen juristische Personen auf Geldstrafen wegen Verstößen gegen die 4. Geldwäsche-RL übertragen werden darf. Anm: Die Zusammenfassung der Schlussanträge können Sie im Datenschutzmonitor 27/2025 vom 09.07.2025 nachlesen.

·         Am 29.01.2026 wird vor dem EuGH die mündliche Verhandlung in der Rs C-164/25, Telekom Slovenije, stattfinden. Gegenstand des Verfahrens sind Maßnahmen zur Reduzierung der Kosten des Ausbaus von Hochgeschwindigkeits-Telekommunikationsnetzen.

·         Am 10.02.2026 wird das Urteil des EuGH in der Rs C-97/23 P, WhatsApp Ireland/Comité européen de la protection des données, verkündet. Gegenstand des Verfahrens ist die Zulässigkeit von Nichtigkeitsklagen gegen verbindliche Beschlüsse des EDSA. Anm: Die Zusammenfassung der Schlussanträge können Sie im Datenschutzmonitor 13/2025 vom 03.04.2025 nachlesen.

Aus der Rechtsprechung des VwGH:

·         Eine qualifizierte elektronische Signatur erfüllt das rechtliche Erfordernis einer eigenhändigen Unterschrift. Geht ein Verwaltungsgericht davon aus, dass eine elektronische Signatur die eigenhändige Unterschrift nicht ersetzen kann, so hat es Feststellungen zu treffen, aus denen hervorgeht, dass die gewählte digitale Signatur den Anforderungen an eine qualifizierte elektronische Signatur nicht entspricht (VwGH 01.12.2025, Ra 2023/02/0023).

Rechtsprechung der Justiz

OGH 25.11.2025, 4Ob100/25x

Kurzzeitvermietung, Plattform, ECG, DSA

·         In Wien weisen Bebauungspläne Wohnzonen aus, in denen die gewerbliche kurzfristige Vermietung grundsätzlich verboten ist, wenn sie die Dauer von 90 Tagen jährlich übersteigt. Eine irische Plattform betreibt eine Website, auf der Nutzer Wohnungen zur Kurzzeitmiete anbieten. Eine österreichische Vermittlerin vermietete Wohnungen außerhalb von Wohnzonen und klagte die Plattform primär auf Unterlassung (UWG) gesetzwidriger Wohnzonen-Angebote, wenn kein Nachweis der Nutzer darüber eingeholt wird, dass die Wohnung nicht in einer Wohnzone liegt. Im Eventualbegehren begehrte sie auch Auskunft über Namen und Adressen der Nutzer, die Angebote in Wohnzonen inserieren. Dieses Begehren stützte die Vermittlerin auf § 18 Abs 4 ECG aF und § 13 Abs 3 ECG. Das Erstgericht wies das Klagebegehren unter Hinweis auf das Hosting-Haftungsprivileg sowie einer Überschreitung bzw Unbestimmtheit des Auskunftsbegehrens gänzlich ab. Das Berufungsgericht bestätigte die Abweisung des Hauptbegehrens auf Unterlassung, gab dem Eventualbegehren aber statt. Gegen diese Entscheidung erhob die Plattform Revision, der der OGH stattgab und die Entscheidung des Erstgerichts wiederherstellte.

Der OGH hat erwogen: Ein Unterlassungsanspruch wegen Rechtsbruchs setzt einen Verstoß gegen eine bestimmte generelle Norm voraus. Eine solche Norm, die eine Pflicht zur Einholung von Nachweisen in "Nicht-Wohnzonen" statuiert, besteht nicht. § 16 ECG aF und Art 6 DSA regeln Haftungsprivilegien von Hosting-Providern, normieren jedoch keine Pflicht zur Vorabprüfung von Inhalten oder zur Nachweiserhebung. Da eine tragfähige Rechtsgrundlage fehlt, greift der UWG-Rechtsbruchtatbestand nicht. § 18 Abs 4 ECG aF und § 13 Abs 3 ECG gewähren Auskunft zu Namen und Adressen konkret bezeichneter Nutzer bei überwiegendem rechtlichen Interesse, bestimmtem rechtswidrigen Sachverhalt und Glaubhaftmachung der Erforderlichkeit. Zweck dieser Vorschriften ist die Erleichterung der Rechtsverfolgung bei Rechtsverletzungen unbekannter Nutzer. Der Anspruch richtet sich allerdings nur gegen konkrete Nutzer, die im Auskunftsbegehren bestimmt zu bezeichnen sind. Ein Begehren auf Bekanntgabe "aller Personen", die potenzielle Rechtsbrüche in Gegenwart und Zukunft verwirklichen, ist gesetzlich nicht gedeckt. Eine andere Rechtsgrundlage besteht nicht. Sowohl Haupt- als auch Eventualbegehren sind abzuweisen.

BVwG 27.10.2025, W137 2290323-1

AuskunftspflichtG, Datenschutz, juristische Person

·         Eine Antragstellerin ersuchte einen Bundesminister (BM) um Auskunft nach den §§ 1 und 3 Auskunftspflichtgesetz (AuskunftspflichtG) iZm Tankmotorschiffen. Sie fragte nach der Zulässigkeit des Einsatzes eines Tankmotorschiffs als Bunkerboot in Österreich, nach bestehenden Berechtigungen, nach den Haltern solcher Berechtigungen sowie nach einer allfälligen Anmeldung von Werksverkehr. Der BM erteilte in einem Erledigungsschreiben entsprechend Auskunft. Er führte jedoch auch aus, dass eine rechtliche Auslegung des Begriffs Werksverkehr nicht vom AuskunftspflichtG umfasst sei. Weitere Auskünfte seien gemäß Art 20 Abs 3 B-VG aufgrund berechtigter, überwiegender Interessen Dritter nicht zu erteilen. Nach dem Erledigungsschreiben des BM begehrte die Antragstellerin die Ausfertigung eines Bescheids gemäß § 4 AuskunftspflichtG. Der BM wies das Auskunftsbegehren teilweise ab. Daraufhin erhob die Antragstellerin (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Auskünfte iSd Auskunftspflichtgesetze haben stets Wissenserklärungen zum Gegenstand. Deren Inhalt sind ausschließlich solche Informationen, die zum Zeitpunkt der Anfrage der Verwaltung bereits bekannt sind und nicht erst beschafft werden müssen. Mit einem Auskunftsverweigerungsbescheid gemäß § 4 AuskunftspflichtG wird ausschließlich über die Frage abgesprochen, ob ein subjektives Recht des Auskunftswerbers auf Erteilung der begehrten Auskunft besteht. Die begehrte Auskunft selbst ist nicht Gegenstand des Bescheids.

Einer belangten Behörde kommt nach dem AuskunftspflichtG nicht die Funktion einer Rechtsberaterin zu. Weiters hat sie eine konkrete Überprüfung als Grundlage einer Auskunft über ein spezifisches Objekt in einem Auskunftspflichtverfahren nicht durchzuführen.

Sowohl die die Auskunftspflicht allenfalls einschränkende Bestimmung des Art 20 Abs 3 B-VG als auch § 1 DSG sehen eine Interessenabwägung vor. Die Auskunft zu einem bestimmten Schiff, deren Betreiberin und den dieser Betreiberin konkret erteilten Bewilligungen sind zweifelsfrei personenbezogene Daten einer juristischen Person. Es besteht ein legitimes Interesse der juristischen Person (des Dritten) an der Geheimhaltung der begehrten Information. Ebenso ergeben sich aufgrund der Amtsverschwiegenheit gemäß Art 20 Abs 3 B-VG überwiegende rechtliche und wirtschaftliche Interessen dieses Dritten.

Die besondere Schutzwürdigkeit personenbezogener Daten bei der Bezichtigung eines rechtswidrigen Verhaltens ist ebenso zu berücksichtigen wie das wirtschaftliche und rechtliche Interesse einer juristischen Person, nicht zu Unrecht durch eine Behörde mit geschäftsschädigenden Handlungen konfrontiert zu werden. Folglich liegen keine "überwiegenden berechtigten Interessen" der Antragstellerin vor.

·         Bei offenkundig unbegründeten oder exzessiven Datenschutzbeschwerden darf die DSB eine Gebühr verlangen oder sich weigern, tätig zu werden (Art 57 Abs 4 DSGVO). Der EuGH legt Art 57 Abs 4 DSGVO dahingehend aus, dass Anfragen nicht allein aufgrund ihrer Zahl als exzessiv eingestuft werden können. Vielmehr muss die DSB unter Berücksichtigung der einzelfallbezogenen Umstände das Vorliegen einer Missbrauchsabsicht des Betroffenen nachweisen. Eine Missbrauchsabsicht liegt vor, wenn Datenschutzbeschwerden eingebracht werden, ohne dass dies objektiv erforderlich ist, um die Rechte aus der DSGVO zu schützen. Der Betroffene ist in mehreren Verfahren den erteilten Mängelbehebungsaufträgen nicht nachgekommen, was darauf hindeutet, dass er kein ernsthaftes Interesse an der Führung der Verfahren hatte, sondern andere Ziele als die Durchsetzung der ihm aus der DSGVO zukommenden Rechte verfolgte. Vielmehr wollte der Betroffene eine Sanktionswirkung gegen den Verantwortlichen herbeiführen und seinen Unmut gegenüber diesem zum Ausdruck bringen. Da der Betroffene die Datenschutzbeschwerde ohne diese sachfremden Gründe nicht erhoben hätte, durfte die DSB die Behandlung wegen rechtsmissbräuchlicher und exzessiver Ausübung des Beschwerderechts iSd Art 57 Abs 4 DSGVO ablehnen (BVwG 31.10.2025, W291 2246873-1).

LVwG Tirol 22.12.2025, LVwG-2025/14/2712-9

IFG, Geschäfts- und Betriebsgeheimnisse, Geheimhaltungsklausel, Zuständigkeit des VwGH

·         Ein Sanitäter und Betriebsrat des Roten Kreuzes Tirol beantragte Informationen über die Rettungsdienstverträge zwischen dem Land Tirol und dem Roten Kreuz aus 2010 und 2020 samt Anhängen, Nebenabreden und Änderungen seit Errichtung. Mit Bescheid verweigerte die Tiroler Landesregierung (LReg) die Information unter Verweis auf Geschäfts- und Betriebsgeheimnisse. Der Betriebsrat erhob Bescheidbeschwerde an das LVwG Tirol. Dieses gab der Bescheidbeschwerde statt und verpflichtete das Land Tirol, beide Verträge ungeschwärzt innerhalb von zwei Wochen zugänglich zu machen.

Das LVwG hat erwogen: Die begehrten Verträge sind bei der Tiroler LReg physisch und elektronisch vorhanden und daher Informationen iSd § 2 Abs 1 IFG. Die interne Zuständigkeitsverteilung innerhalb der Landesverwaltung ist irrelevant, weil es allein auf das Vorhandensein der Informationen im Wirkungsbereich eines Landesorgans ankommt.

Zwar können dem Recht auf Zugang zu Informationen berechtigte Geheimhaltungsinteressen Dritter nach § 6 Abs 1 Z 7 lit b IFG entgegenstehen, diese Grundrechtskollision erfordert jedoch eine einzelfallbezogene Interessenabwägung.

Der Vertrag aus dem Jahr 2020 enthält zwar wirtschaftlich sensible Informationen und ist daher grundsätzlich geeignet, Geschäfts- oder Betriebsgeheimnisse des Roten Kreuz Tirol zu berühren. Dies allein rechtfertigt jedoch nicht die Verweigerung des Informationszugangs. Entscheidend ist vielmehr, dass es sich um langfristige Verträge mit einem Gesamtvolumen von mehreren hundert Millionen Euro handelt, die nahezu vollständig aus öffentlichen Mitteln finanziert werden und daher gemäß § 2 Abs 2 IFG von erheblichem allgemeinen Interesse sind. Zudem sind wesentliche Vertragsbestandteile durch das Tiroler Rettungsdienstgesetz 2009 gesetzlich determiniert. Vor diesem Hintergrund besteht ein öffentliches Interesse an der Überprüfbarkeit der Einhaltung gesetzlicher Vorgaben zur Organisation, Qualität und Finanzierung des Rettungsdienstes. Für Geheimhaltungsinteressen verbleibt in einem derart normativ vorgeprägten Vertragsverhältnis nur eingeschränkter Raum.

Auch der Zeitablauf seit Abschluss der Verträge schwächt das Geheimhaltungsinteresse. Geschäftsgeheimnisse, die mehrere Jahre alt sind, sind nicht mehr aktuell, sofern nicht konkret dargelegt wird, dass sie weiterhin wirtschaftlich bedeutend sind.

Dem Antragsteller als Betriebsrat kommt iZm der Ausübung der Meinungsäußerungsfreiheit nach Art 10 EMRK ein verstärktes Interesse am Zugang zu Informationen zu, die die Finanzierung und Ausgestaltung der Arbeitsbedingungen betreffen.

Die im Vertrag enthaltene Geheimhaltungsklausel steht einer Offenlegung nicht entgegen, weil sie nach ihrem eigenen Wortlaut dann nicht greift, wenn gesetzliche Offenlegungs- oder Auskunftspflichten bestehen.

Da wesentliche Vertragsunterlagen nicht vorgelegt wurden, konnten die behaupteten Wettbewerbsnachteile nicht nachvollzogen und kein überwiegendes Geheimhaltungsinteresse festgestellt werden. Insgesamt überwog daher das Recht des Antragstellers auf Zugang zu Informationen das Interesse des Roten Kreuz Tirol an der Geheimhaltung.

Die Revision wird zugelassen. Zu klären ist jedoch auch die Zuständigkeit des VwGH. Sollte der VwGH seine Rechtsprechung zum Grundrecht auf Versammlungsfreiheit auf das Grundrecht auf Informationszugang übertragen, würde dies zur ausschließlichen Zuständigkeit des VfGH und somit zum Ausschluss der Amtsrevision führen. Anm: Sollte der Zugang zum VwGH verwehrt werden, würde der Rechtsschutz für staatliche Organe weitgehend abgeschnitten werden, weil sie den VfGH nur ausnahmsweise werden anrufen dürfen. Da die staatlichen Organe durch die Entscheidungen der Verwaltungsgerichte zu Leistungen verpflichtet werden können, sollte ihnen ein Rechtsschutz zukommen.

DSB 09.08.2024, 2024-0.421.248

Dringlichkeitsverfahren, Zuständigkeit, Teilbescheid, subjektiver Anspruch

·         Ein Betroffener beantragte im Zuge einer Datenschutzbeschwerde ua einstweilige Maßnahmen im Dringlichkeitsverfahren nach Art 66 DSGVO gegen eine in Dublin ansässige Verantwortliche, weil angekündigte Änderungen der Datenschutzrichtlinie die Verarbeitung von Datensätzen von über 400 Mio Personen in der EU/EWR für KI-Zwecke ermöglichen sollten. Die DSB wies diesen Antrag mit Teilbescheid zurück.

Die DSB hat erwogen: Bei grenzüberschreitenden Verarbeitungen ist die Aufsichtsbehörde am Sitz der Hauptniederlassung eines Verantwortlichen federführend (hier: Irland), während die DSB als betroffene Aufsichtsbehörde agiert. Der Antrag richtete sich ausdrücklich an die DSB als betroffene Aufsichtsbehörde, daher hatte die DSB darüber nach Art 66 DSGVO (Dringlichkeitsverfahren) abzusprechen. Das Erlassen eines Teilbescheids war zulässig, weil über den Antrag auf einstweilige Maßnahmen gesondert entschieden werden kann, ohne das übrige Beschwerdeverfahren zu präjudizieren. Art 66 DSGVO verleiht Aufsichtsbehörden ein Ermessen ("Kann"-Bestimmung), im Ausnahmefall abweichend vom Kooperations- und Kohärenzverfahren vorläufige Maßnahmen zu setzen, begründet aber keinen subjektiven Anspruch des Betroffenen auf Erlass solcher Maßnahmen. Der EuGH hat klargestellt, dass die Wahl geeigneter Abhilfebefugnisse den Aufsichtsbehörden obliegt. Daraus folgt, dass Betroffene keinen Anspruch auf bestimmte Maßnahmen – auch nicht einstweilige – durchsetzen können. Zudem ist ein vorläufiges Verbot nach Art 58 Abs 2 lit f DSGVO iVm Art 66 Abs 1 DSGVO an eine gegenwärtige Verarbeitung geknüpft; bei bloß künftigen Vorhaben kommt nur eine Warnung nach Art 58 Abs 1 lit a DSGVO in Betracht. Anm: Mit der VO (EU) 2025/2518 zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO soll ua auch das Dringlichkeitsverfahren reformiert werden. Mehr Informationen über diese neue VO finden sie hier.

DSB 15.12.2025, 2025-0.395.497

Rechtsanwalt, Disziplinarverfahren, Dokumentenkopie

·         Ein Auskunftswerber richtete ein Auskunftsersuchen an eine Rechtsanwaltskammer ("RAK"), um Informationen über die Verarbeitung seiner personenbezogenen Daten im Schriftwechsel in einem Disziplinarverfahren zu erlangen. Der Auskunftswerber selbst war nicht Partei des Disziplinarverfahrens. Die RAK beantwortete das Ersuchen fristgerecht. Die explizit begehrten Auskünfte zur Kommunikation im Disziplinarverfahren wurden nicht übermittelt. Die RAK begründete dies mit der fehlenden Parteistellung und weil in der Kommunikation keine weiteren Daten des Auskunftswerbers enthalten waren. Der Auskunftswerber erachtete die Auskunft als unvollständig und erhob (erfolglos) Datenschutzbeschwerde an die DSB.

Die DSB hat erwogen: Der Gegenstand im antragsbedürftigen Verwaltungsverfahren wird durch den Parteiantrag bestimmt. Das Auskunftsrecht gibt einer Betroffenen die Möglichkeit, sich einer Datenverarbeitung durch einen Verantwortlichen bewusst zu werden und deren Rechtmäßigkeit zu prüfen. Das Auskunftsrecht ermöglicht der Betroffenen einen Einblick in das "Ob und Wie" einer Verarbeitung. Der Verantwortliche hat der Betroffenen eine Kopie der verarbeitungsgegenständlichen Daten zukommen zu lassen. Dieses Recht besteht nur so weit, als die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.

Das Recht auf Kopie bietet jedoch keinen Anspruch auf Herausgabe einer Kopie von Dokumenten, die personenbezogene Daten eines Auskunftswerbers enthalten. Der Zweck der Auskunft wird nicht dadurch vereitelt, wenn dem Auskunftswerber anstatt von Kopien von Dokumenten bloß Kopien der darin enthaltenen personenbezogenen Daten beauskunftet werden.

Im Gegensatz zu § 26 Abs 6 DSG 2000 besteht das Recht auf Auskunft nach Art 15 DSGVO nicht nur subsidiär, sofern keine anderen Einsichtsrechte bestehen. Es besteht jedoch nur bezüglich der personenbezogenen Daten des Auskunftswerbers. Eine vollständige Einsicht in Ergebnisse oder Entscheidungsgrundlagen von Verfahren wird durch das Auskunftsrecht nicht ermöglicht.

Das Disziplinarstatut für Rechtsanwälte und Rechtsanwaltsanwärter ("DSt") sieht einen sehr eingeschränkten Informationszugang zu Erkenntnissen vor. Mitteilungen an die Öffentlichkeit über den Verfahrenshergang sind nach § 79 DSt untersagt. Das Geheimhaltungsinteresse eines betroffenen Rechtsanwalts und der RAK überwiegt das Interesse an der Beauskunftung des Verfahrenshergangs und dem Erkenntnis des Disziplinarverfahrens.

·         Am 30.12.2025 wurde die "Richtlinie (EU) 2025/2647 des Europäischen Parlaments und des Rates vom 16. Dezember 2025 zur Änderung der Richtlinie 2013/11/EU über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Richtlinien (EU) 2015/2302, (EU) 2019/2161 und (EU) 2020/1828 nach der Einstellung der Europäischen Plattform für Online-Streitbeilegung", ABl L 2025/2647, kundgemacht. Mit dieser RL wird die RL über alternative Streitbeilegung in Verbraucherangelegenheiten, RL 2013/11/EU, dahingehend erweitert, dass sie nunmehr auch Drittlandunternehmer-Streitigkeiten erfasst und auch gilt, wenn die Bereitstellung digitaler Inhalte und die Erbringung digitaler Dienstleistungen im Gegenzug für die Zurverfügungstellung von personenbezogenen Daten erfolgt. Ziel der RL ist die Stärkung der alternativen Beilegung verbraucherrechtlicher Streitigkeiten. Anm: Bemerkenswert ist, dass in ErwGr 13 dieser RL die Zurverfügungstellung personenbezogener Daten ausdrücklich als "kein Entgelt" bezeichnet wird. Im diametralen Widerspruch dazu sieht ErwGr 16 des EKEK die Zurverfügungstellung personenbezogener Daten vom Konzept des Entgelts umfasst (OGH 25.06.2024, 4Ob102/23p Rz 55). Für das Verständnis personenbezogener Daten als Entgelt spricht auch ein rezentes Urteil des EuGH (EuGH 13.11.2025, C-654/23, Inteligo Media Rn 56).

·         Am 30.12.2025 wurde die Krypto-MPfG-Durchführungsverordnung, BGBl II 2025/331, kundgemacht. Mit dieser V legt der Bundesminister für Finanzen Verfahren für Nachweispflichten bei der Befreiung von der Meldung für Anbieter von Krypto-Dienstleistungen sowie zur Registrierung von Kryptowert-Betreibern fest.

·         Am 30.12.2025 wurde das Steiermärkische Digitalisierungsgesetz 2025 (StDigG 2025), LGBl 2025/125, kundgemacht. Mit diesem Gesetz sollen ua der elektronische Verkehr im Bereich der Landesverwaltung sowie die vollelektronische Verfahrensführung in durch Landesgesetz geregelte behördliche Verfahren ermöglicht und forciert werden.

·         Am 22.01.2026 wird vor dem EuGH die mündliche Verhandlung in der Rs C-205/25, Bayerisches Landesamt für Datenschutzaufsicht, stattfinden. Gegenstand des Verfahrens ist, ob eine Datenschutz-Aufsichtsbehörde aus Akten von vor ihr geführten Datenschutzbeschwerdeverfahren gemäß Art 15 DSGVO Auskunft erteilen muss und bejahendenfalls, ob diese Auskunftspflicht durch nationales Recht beschränkt werden kann.

VfGH 18.12.2025, G105/2025

Arzneimittel-Großhandel, juristische Person, Wirtschaftsdaten

·         Fünf Antragsteller, die als Arzneimittel-Vollgroßhändler täglich einen Großteil der österreichischen Apotheken beliefern, beantragten die Überprüfung der Verfassungsmäßigkeit des in §§ 4, 5 und § 6 Abs 3 Satz 2 MSVAG geregelten Monitoringsystems. Das neu eingeführte Monitoringsystem, das ab 01.01.2026 eine tägliche Übermittlung von Lager- und Bewegungsdaten zu Arzneispezialitäten und Wirkstoffen an den zuständigen Bundesminister, an das Bundesamt für Sicherheit im Gesundheitswesen (BASG) und den Dachverband der Sozialversicherungsträger (DVSV) vorsieht, würde ausschließlich die Antragsteller verpflichten. Damit würden die §§ 4 f MSVAG nachteilig in ihre Rechtssphäre, insb in die Grundrechte auf Achtung des Privatlebens gemäß Art 8 EMRK und auf Datenschutz gemäß § 1 DSG eingreifen. Die meldepflichtigen Daten würden zudem Betriebs- und Geschäftsgeheimnisse betreffen, weil sie die gesamte Organisation und Verwaltung der Lagerhaltung, der Wareneingänge und der Distribution offenlegen würden. Der VfGH wies den Individualantrag ab.

Der VfGH hat erwogen: Das Grundrecht auf Datenschutz nach § 1 DSG schützt auch Wirtschaftsdaten juristischer Personen. Ein staatlicher Eingriff bedarf einer gesetzlichen Grundlage, die einem in Art 8 Abs 2 EMRK genannten Zweck dient, hinreichend determiniert ist, sich auf das Erforderliche beschränkt und verhältnismäßig ausgestaltet ist. Das Monitoringsystem verfolgt mit der Sicherung der Gesundheitsversorgung sowie der gesundheitspolitischen Steuerung ein öffentliches Interesse iSd Art 8 Abs 2 EMRK. Aus den gesetzlichen Bestimmungen ergibt sich klar, wer, wann, welche Daten an welche Stellen zu übermitteln hat. Die Modalitäten der Datenverarbeitung sind daher ausreichend präzisiert. Zudem werden nur jene Daten erhoben, die zur Erreichung der gesetzlichen Ziele erforderlich sind.

Da die Daten weder veröffentlicht noch an private Dritte weitergegeben werden und strenge Geheimhaltungsverpflichtungen bestehen, ist das Geheimhaltungsinteresse der Antragsteller gewahrt. Auch die Übermittlung an den DVSV erweist sich als erforderlich und sachgerecht, weil diesem zentrale koordinierende Aufgaben im System der Arzneimittelversorgung zukommen und die Datennutzung der Wahrnehmung gesetzlicher Aufgaben im Kernbereich der Sozialversicherung dient. Im Ergebnis bestehen daher keine datenschutzrechtlichen Bedenken gegen das Monitoringsystem nach Art 8 EMRK und § 1 DSG.

VwGH 11.11.2025, Ro 2025/11/0002

Gesundheitsdiensteanbieter, eHVD, öffentliche Apotheke

·         Eine niederländische Gesellschaft mit Sitz in den Niederlanden, die dort eine Apotheke betreibt, beantragte die Eintragung in den österreichischen eHealth-Verzeichnisdienst (eHDV) als Gesundheitsdiensteanbieterin unter der Rolle einer "öffentlichen Apotheke". Die zuständige Bundesministerin wies den Antrag ab. Das BVwG wies die Bescheidbeschwerde der Apotheke ab. Daraufhin erhob die Apotheke ordentliche Revision an den VwGH, der diese abwies.

Der VwGH hat erwogen: Der eHVD ist ein zentrales Register zur eindeutigen Identifikation von Gesundheitsdiensteanbietern und deren Rollen bei der elektronischen Verarbeitung von Gesundheitsdaten. Gesundheitsdiensteanbieter sind gemäß § 2 Z 2 GTelG 2012 Verantwortliche oder Auftragsverarbeiter iSd DSGVO. Sie dürfen ihre Rolle nicht frei wählen, sondern nur jene Rollen verwenden, die in der GTelV 2013 festgelegt sind. Diese Rollen orientieren sich an österreichischen Rechtsvorschriften. Eine Zuordnung ausländischer Berufsrollen zu inländischen Rollen ist rechtlich nicht vorgesehen, vielmehr können neue oder zusätzliche Rollen durch Verordnung geschaffen werden.

Die niederländische Apotheke ist zwar in den Niederlanden zum Apothekenbetrieb berechtigt, verfügt jedoch über keine österreichische Konzession nach dem Apothekengesetz. Sie ist daher nicht unter der Rolle "öffentliche Apotheke" in den eHVD einzutragen.

Diese Auslegung verstößt nicht gegen Unionsrecht und beeinträchtigt weder die Niederlassungsfreiheit noch den grenzüberschreitenden Versandhandel. Die Apotheke wird nicht generell vom eHVD ausgeschlossen, sondern lediglich nicht unter der beantragten Rolle eingetragen. Eine Eintragung unter einer neu zu schaffenden oder zusätzlichen Rolle bleibt möglich.

·         Wird eine Gesellschaft aus dem Firmenbuch gelöscht, kann sie noch über Vermögen verfügen oder es kann noch ein Abwicklungsbedarf bestehen, der die Rechtssubjektivität der Gesellschaft begründet. Ein offenes datenschutzrechtliches Verfahren führt jedoch zu keinem Abwicklungsbedarf. Infolge des Untergangs der Rechtspersönlichkeit des Verantwortlichen als Revisionswerber ist die Revision für gegenstandslos zu erklären und das Verfahren einzustellen (VwGH 26.11.2025, Ra 2022/04/0157).

·         Der Revisionspunkt muss hinreichend klar die Geltendmachung des subjektiven Rechts des Verantwortlichen auf Abweisung der Datenschutzbeschwerde und auf Nichtfeststellung der Datenschutzverletzung erkennen lassen. Beantragt der Verantwortliche eine mündliche Verhandlung und steht der entscheidungswesentliche Sachverhalt nicht fest, ist eine mündliche Verhandlung durchzuführen (VwGH 25.11.2025, Ra 2023/04/0268).

·         Benennt der Betroffene in der Datenschutzbeschwerde unmissverständlich und unzweifelhaft eine bestimmte Person als Verantwortlichen, darf die DSB das Verfahren nicht gegen eine andere Person führen. Auch das BVwG darf die Person des Beschwerdegegners (= Verantwortlichen) nicht austauschen. Zur Bestimmung der Verantwortlichenstellung ist stets zu ermitteln, ob ein Handeln der Organisation oder den handelnden Bediensteten zuzuordnen ist (VwGH 19.11.2025, Ra 2025/04/0190).

·         Die Wiedereinsetzung in den vorigen Stand ist nur möglich, wenn der Antragsteller die Frist wegen eines unvorhergesehenen oder unabwendbaren Ereignisses versäumt hat. Die "Unvorhergesehenheit" kann noch gewahrt sein, wenn der Partei in Ansehung der Wahrung der Frist nur ein minderer Grad des Versehens, dh eine leichte Fahrlässigkeit, unterläuft. Dies gilt, wenn ein Fehler begangen wurde, den gelegentlich auch ein sorgfältiger Mensch macht. Bei einer rechtskundigen Partei oder wenn ein rechtskundiger Parteienvertreter einschreitet, ist ein strengerer Maßstab anzulegen als bei einer rechtsunkundigen Partei. Die Fristversäumnis bei der Erhebung eines Rechtsmittels infolge unrichtiger Rechtsbelehrung ist mit einer Fristversäumnis bei einem verfahrenseinleitenden Antrag nicht vergleichbar. Versäumt der Antragsteller die Frist, weil er die Datenschutzbeschwerde bei der unzuständigen DSB statt gemäß Art 130 Abs 2a B-VG beim zuständigen Präsidenten des BVwG eingebracht hat, ist keine Wiedereinsetzung in den vorigen Stand möglich (VwGH 26.11.2025, Ra 2023/04/0020).

·         Die Zulässigkeit der Vollstreckung einer Europäischen Ermittlungsanordnung (EAA) ist vom Gericht eigenständig zu prüfen und gegebenenfalls in sinngemäßer Anwendung des § 105 StPO zu bewilligen. Die gerichtliche Bewilligung der Beschlagnahme von Datenträgern und Daten zur Auswertung durch deutsche Behörden war jedoch mit einem Begründungsmangel behaftet, weil konkrete Angaben zu Datenkategorien, Dateninhalten und zum erfassten Zeitraum nach § 115f Abs 3 StPO fehlten. Nach § 55e EU-JZG hat die vollstreckende Behörde die nationalen Voraussetzungen der Ermittlungsmaßnahme einzuhalten, insb soweit diese dem Schutz von Grundrechten – hier dem Recht auf Achtung des Privat- und Familienlebens sowie dem Datenschutz – dienen. Die Bewilligung muss daher den Zugriff auf verdachtsrelevante Informationen durch eine hinreichende Bestimmung von Datenkategorien, Inhalten und Zeiträumen begrenzen. Der Beschluss wird im Umfang der gerichtlichen Bewilligung der Beschlagnahme der Datenträger und Daten zum Zweck der Auswertung durch die deutschen Behörden aufgehoben. Die Übermittlung von Datenträgern oder Originalsicherungen an den Ausstellungsstaat ist zulässig (OLG Wien 05.11.2025, 22Bs306/25y).

·         Der aus einer E-Mail hervorgehende Wunsch eines Betroffenen, die Korrektur der in seinem Profil verwendeten An#7a1932e zu erreichen, genügt zur Ausübung des Betroffenenrechts auf Berichtigung. Es kommt auf den objektiven Erklärungswert und nicht auf die Bezeichnung von Bestimmungen der DSGVO an (BVwG 17.10.2025, W252 2311432-1).

·         Wird eine Datenschutzbeschwerde, mit der die Feststellung einer behaupteten Verletzung des Rechts auf Löschung geltend gemacht wird, abgewiesen, kann der Bescheidbeschwerde keine – ausdrücklich beantragte – aufschiebende Wirkung gewährt werden. Denn Beschwerden gegen Bescheide, deren Inhalt nicht in die Wirklichkeit umgesetzt werden kann, kommt keine aufschiebende Wirkung zu (BVwG 04.11.2025, W605 2324043-1). Anm: Hier scheiterte die aufschiebende Wirkung bei der Bescheidbeschwerde, weil der Bescheid keine Wirkung entfaltete, die aufgeschoben hätte werden können.

·         Ein Verfahren kann ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die in einem – gleichzeitig anhängigen – Verfahren vor dem VwGH zu lösen ist. Beim BVwG sind zum selben Themenkomplex etwa 100 Bescheidbeschwerden anhängig. Damit liegt eine erhebliche Anzahl an Verfahren vor. Das gegenständliche Verfahren ist eines dieser Verfahren und daher auszusetzen (BVwG 05.11.2025, W258 2292731-1).

LVwG NÖ 16.12.2025, LVwG-AV-1158/001-2025

IFG, informationspflichtige Gesellschaft, Geheimhaltungsgründe

·         Eine im mittelbaren Alleineigentum des Landes Niederösterreich stehende Gesellschaft schloss mit einem Unternehmen einen Vertrag über die Umsetzung eines Projekts. Der Vertrag enthielt wechselseitige, finanziell sanktionierte Geheimhaltungspflichten für im Zuge der Vertragsabwicklung erlangte Informationen. Ein Journalist richtete ein Informationsbegehren an die Gesellschaft, das ua auf den Vertrag, den Projektfortschritt, die Anzahl der Beschäftigten und die Gesellschafter des Unternehmens abstellte. Die Gesellschaft verweigerte die Informationsgewährung. Daraufhin beantragte der Journalist gemäß § 14 IFG die Entscheidung der Streitigkeit durch das LVwG NÖ. Das LVwG NÖ entschied, dass die begehrten Informationen nicht zu erteilen sind.

Das LVwG NÖ hat erwogen: Für die Berechnung der Antragsfrist ist auf den Ablauf der Frist zur Informationserteilung abzustellen und nicht auf die Mitteilung über die Nichtgewährung der Information. Dies vermeidet Beweisfragen über den Zugang dieser Mitteilung.

Die Gesellschaft fällt zwar nicht unter die Ausnahme für börsennotierte Unternehmen, doch können deren Informationspflichten zur Bestimmung der Reichweite des Informationsrechts herangezogen werden. Demnach besteht eine Veröffentlichungspflicht für einzelne Verträge nur nach § 108 Abs 3 Z 3 AktG, wenn die Hauptversammlung über die Zustimmung zu einem Vertrag zu entscheiden hat. Diese Pflicht gilt also grundsätzlich nur gegenüber den Eigentümern. Anstelle der Übermittlung eines Vertragsentwurfs genügt die Bereitstellung des wesentlichen Inhalts. Außenstehende haben daher grundsätzlich keinen Anspruch auf Information über einzelne Verträge oder konkrete Projekte durch private Informationspflichtige.

An der Aufklärung geschäftlicher Verbindungen staatlicher Unternehmen kann zwar ein öffentliches Interesse bestehen, das nach Geschäftsgegenstand und ggf nach außenpolitischen Bezügen zu beurteilen ist. Da das Informationsbegehren an einen privaten Informationspflichtigen gestellt wurde und der Gegenstand des Informationsbegehrens nicht die Erfüllung öffentlicher Aufgaben betraf, gelangt Art 10 EMRK jedoch nicht zur Anwendung. Das öffentliche Interesse ist daher mit abgeschwächtem Gewicht zu berücksichtigen.

Die begehrte Information über die Mitarbeiteranzahl zu bestimmten Zeitpunkten an bestimmten Orten würde Rückschlüsse auf Personen ermöglichen und damit in deren Datenschutzrechte eingreifen. Zudem wären Rückschlüsse auf die Ressourcenzuordnung möglich, wodurch Geschäfts- und Betriebsgeheimnisse offengelegt und die Wettbewerbsfähigkeit beeinträchtigt würden. Gleiches gilt für Informationen zum Projektfortschritt.

Die Offenlegung des Vertrags würde die vertragliche Geheimhaltung verletzen, finanzielle Nachteile verursachen und Geschäfts- und Betriebsgeheimnisse offenbaren.

Informationen, die das Land NÖ betreffen, fallen nicht in den Geschäftsbereich der Gesellschaft. Ihre Offenlegung würde Geheimhaltungspflichten, Geschäftsgeheimnisse und personenbezogene Daten betreffen. Der Eingriff wiegt umso schwerer, als auch für die Berichterstattung nicht erforderliche Daten umfasst wären und dem Journalisten die wesentlichen Personen bereits bekannt sind.

Die begehrten Informationen über Gesellschafter und Hintergründe des Vertragspartners sind zwar grundsätzlich relevant für die Berichterstattung, unterliegen jedoch der vertraglichen Geheimhaltung und betreffen Geschäftsgeheimnisse sowie personenbezogene Daten. Da die gegen eine Informationserteilung sprechenden Interessen überwiegen, sind die begehrten Informationen nicht zu erteilen. Anm 1: Zur Berechnung der Antragsfrist auf Entscheidung der Streitigkeit ist eine Judikaturdivergenz zwischen dem LVwG NÖ und dem BVwG entstanden, denn das BVwG erachtete in seinem Erkenntnis vom 11.11.2025, W274 2323801-1, die Mitteilung über die Informationsnichtgewährung als fristauslösend. Wir haben im Schönherr Datenschutzmonitor 47/2025 vom 26.11.2025 berichtet.

Anm 2: Nähere Informationen zu den Geheimhaltungsgründen des IFG, insb iZm privaten Informationspflichtigen, finden Sie in der RDB (Paywall): Cudlik/Petschinka, Ausgewählte Fragen der Geheimhaltung im IFG, ecolex 2025, 847.

DSB 14.10.2025, 2025-0.823.962

Auskunft, heimliche Audioaufnahmen, Zivilverfahren, Datenkopie

·         Ein Nachbar verlangte im Zusammenhang mit einem zivilrechtlichen Verfahren betreffend Lärmemissionen Auskunft zu heimlich erstellten Audioaufnahmen, auf denen er stimmlich erkennbar ist. Die Nachbarin verweigerte die Auskunft mit der Begründung, dass ihr Interesse an der Herstellung der Tonbandaufnahmen überwiege und das Auskunftsrecht bereits durch die Akteneinsicht im Zivilverfahren "konsumiert" worden sei. Die DSB gab der Datenschutzbeschwerde statt und stellte eine Verletzung des Auskunftsrechts fest.

Die DSB hat erwogen: Stimmen- bzw Gesprächsaufnahmen sind idR personenbezogene Daten. Der Nachbar ist im Kontext des Zivilverfahrens sowie aufgrund namentlicher Nennungen auf den Tonaufnahmen identifizierbar. Das Auskunftsrecht besteht jedoch nur hinsichtlich der eigenen personenbezogenen Daten des Nachbarn, nicht für Tonsegmente, die ausschließlich seine Ehegattin oder Kinder betreffen. Eine Beschränkung des Auskunftsrechts nach Art 23 Abs 1 lit j DSGVO zur Sicherstellung der Durchsetzung zivilrechtlicher Ansprüche kommt in Österreich mangels entsprechender gesetzlicher Grundlage nicht in Betracht, sodass die bloße Berufung auf das laufende Zivilverfahren die Verweigerung der Auskunft nicht rechtfertigt. Die Möglichkeit der Akteneinsicht im Zivilverfahren "konsumiert" das datenschutzrechtliche Auskunftsrecht nicht, weil beide Rechte unterschiedlichen Zwecken dienen und nebeneinander bestehen.

Heimliche Tonaufnahmen sind aufgrund ihrer hohen Eingriffsintensität regelmäßig unzulässig, außer es wird ein "Beweisnotstand" geltend gemacht. Dies bedeutet im datenschutzrechtlichen Verfahren, dass hohe Anforderungen in Bezug auf die Erforderlichkeit erfüllt werden müssen. Zur Beweisführung gegen behauptete Lärmbelästigungen wäre die auf das Fußballspielen der Kinder beschränkte Aufnahme als gelinderes Mittel ausreichend gewesen. Die stimmliche Aufnahme des Nachbarn war hingegen überschießend, weshalb dessen Interesse an einer Auskunft die Geheimhaltungsinteressen der Nachbarin überwiegt.

Die Beauskunftung der Datenkopie ist eine Modalität der Auskunft, deren Form (etwa Auszüge oder Transkripte) der Verantwortlichen überlassen bleibt, solange eine originalgetreue und verständliche Reproduktion erfolgt.

DSB 06.08.2025, 2025-0.276.820

Leistungsauftrag, aufschiebende Wirkung, Geldbuße

·         Die DSB trug einer Website-Betreiberin auf, ihren Cookie-Banner innerhalb einer Frist von zehn Wochen so zu ändern, dass auf der ersten Ebene neben "Akzeptieren" eine optisch gleichwertige Option zum Schließen des Banners ohne Einwilligung angeboten wird. Die Betreiberin erhob Bescheidbeschwerde an das BVwG, das diese abwies. Die Betreiberin wandte sich sowohl an den VfGH als auch den VwGH. Der VfGH lehnte die Behandlung ab und trat die Rechtssache an den VwGH ab. Der VwGH wies die erhobene Revision zurück. Die Betreiberin kam dem Leistungsauftrag der DSB zwar nach, aber erst zehn Wochen nach dem Beschluss des VwGH. Die DSB verhängte wegen der nicht fristgerechten Befolgung ihrer Anweisung im Rahmen eines Verwaltungsstrafverfahrens eine Geldbuße iHv EUR 6.200 sowie EUR 620 Verfahrenskosten (10%), somit insgesamt EUR 6.820.

Die DSB hat erwogen: Die Betreiberin missachtete eine vollziehbare, verbindliche Anweisung der Aufsichtsbehörde gemäß Art 58 Abs 2 lit d DSGVO, indem sie den Cookie-Banner nicht entsprechend dem Leistungsspruchpunkt des Bescheids umsetzte. Bei solchen Anweisungen handelt es sich um vollstreckbare Verwaltungsakte mit Handlungsbefehl, die neben oder anstatt weiterer Abhilfemaßnahmen verhängt werden können.

Der Bescheidbeschwerde an das BVwG kam aufschiebende Wirkung zu. Die Erkenntnisbeschwerde an den VfGH und die Revision an den VwGH haben hingegen keine aufschiebende Wirkung. Die Leistungsfrist war daher ab Zustellung des abweisenden Erkenntnisses des BVwG zu berechnen. Die Nichtbefolgung des Leistungsauftrags nach Verstreichen dieser Leistungsfrist erfüllte den Tatbestand des Art 83 Abs 1 und 6 DSGVO iVm Art 58 Abs 2 lit d DSGVO.

Verschulden liegt bei Verstößen gegen die DSGVO bereits vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Für die Strafbemessung waren die EDSA-Leitlinien für Geldbußen sowie die wirtschaftliche Leistungsfähigkeit der Website-Betreiberin zu berücksichtigen. Achtung: Aufschiebende Wirkung kommt nur Bescheidbeschwerden automatisch zu. Mit der Erkenntnisbeschwerde an den VfGH und der Revision an den VwGH kann die aufschiebende Wirkung beantragt werden. Wird die aufschiebende Wirkung nicht beantragt oder nicht gewährt, wird das Erkenntnis des BVwG mit Zustellung (!) rechtskräftig und beginnt daher mit der Zustellung auch die Leistungsfrist zu laufen.

Anm: Seit dem hier verfahrensgegenständlichen Beschluss des VwGH hat der EuGH der ePrivacyRL gegenüber der DSGVO den Vorrang eingeräumt. Es erscheint daher fraglich, ob die DSB für die Erlassung des Leistungsauftrags zuständig war.

·         Das Grundrecht auf Datenschutz gemäß Art 8 GRC sowie Art 16 AEUV und nach der DSGVO ist auf den Schutz natürlicher Personen beschränkt. Eine Ausnahme für juristische Personen besteht nur, wenn der Name einer natürlichen Person in der Firma der juristischen Person aufscheint. Den Mitgliedstaaten steht es offen, den durch die DSGVO gewährten Schutz auf juristische Personen auszudehnen. Das DSG enthält jedoch keine entsprechende Bestimmung. Juristische Personen sind daher nur durch § 1 DSG geschützt. Eine auf die DSGVO gestützte Datenschutzbeschwerde einer juristischen Person ist zurückzuweisen (DSB 08.10.2025, 2025-0.620.443).

·         Die Verarbeitung personenbezogener Daten für den Vertrieb und den Verbrauch von Antibiotika im Veterinärbereich ist rechtmäßig. Die behauptete – von der gesetzlichen Ermächtigung nicht gedeckte – Datenweitergabe konnte nicht festgestellt werden. Bei der Nichtfeststellbarkeit einer Tatsache ist von ihrem Nichtvorliegen auszugehen. Ein allgemeines Vorbringen, das aus Mutmaßungen besteht, läuft zudem auf einen unzulässigen Erkundungsbeweis hinaus (DSB 30.09.2025, 2025-0.783.392).

·         Am 23.12.2025 wurden der (i) "Durchführungsbeschluss (EU) 2025/2571 der Kommission vom 19. Dezember 2025 zur Änderung des Durchführungsbeschlusses (EU) 2021/1773 der Kommission gemäß der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich", ABl L 2025/2571; sowie (ii) "Durchführungsbeschluss (EU) 2025/2574 der Kommission vom 19. Dezember 2025 zur Änderung des Durchführungsbeschlusses (EU) 2021/1772 der Kommission gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich", ABl L 2025/2574, veröffentlicht. Diese Durchführungsbeschlüsse verlängern die Geltungsdauer der für das Vereinigte Königreich geltenden Angemessenheitsbeschlüsse vom 27.12.2025 bis zum 27.12.2031. Anm: Zu begrüßen ist, dass die Geltungsdauer der Angemessenheitsbeschlüsse nicht erneut um sechs Monate, sondern um sechs Jahre verlängert wurde. Das stärkt die Rechtssicherheit.

·         Am 23.12.2025 wurde der Entwurf der "Commission Implementing Regulation … setting out detailed arrangements for the provision of a common data structure, standardised metadata, standardised authentication and common application programming interface for the European repository for online political advertisements in accordance with Regulation (EU) 2024/900 of the European Parliament and of the Council", Ares(2025)11556145, veröffentlicht. Diese DurchführungsVO legt Standards fest, um die Aufnahme politischer Anzeigen iSd TTPW-VO (EU) 2024/900 ins europäische Archiv zu erleichtern.

·         Am 23.12.2025 wurde das "Bundesgesetz, mit dem das Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2026 – NISG 2026) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden", BGBl I 2025/94, kundgemacht. Das neue NISG 2026 setzt die NIS-2-RL (EU) 2022/2555 ins innerstaatliche Recht um und führt die VO (EU) 2021/887 zum Europäischen Kompetenzzentrum im Bereich der Cybersicherheit durch. Das NISG 2026 wird am 01.10.2026 in Kraft treten. Das TKG 2021 und das GTelG 2012 wurden an das NISG 2026 angepasst. Anm: Nähere Informationen zum NISG 2026 finden Sie im Legal Insight Österreich: NISG 2026 – Alles, was Sie wissen müssen.

·         Am 23.12.2025 wurde eine Änderung des Gesundheitstelematikgesetzes 2012, BGBl L 2025/93, kundgemacht. Die Änderung betrifft eine Aufbewahrungsfrist, die von zehn auf dreißig Jahre verlängert wird.

·         Am 22.01.2026 wird vor dem EuGH die mündliche Verhandlung in der Rs C-205/25, Bayerisches Landesamt für Datenschutzaufsicht, stattfinden. Gegenstand des Verfahrens ist, ob eine Datenschutz-Aufsichtsbehörde aus Akten von vor ihr geführten Datenschutzbeschwerdeverfahren gemäß Art 15 DSGVO Auskunft erteilen muss und bejahendenfalls, ob diese Auskunftspflicht durch nationales Recht beschränkt werden kann.

EGMR 18.12.2025, 37514/20, Černý/Tschechien

Anwaltskorrespondenz, Datenextraktion

·       Fünf Anwälte vertraten einen Mandanten in mehreren Strafverfahren. Bei einer Hausdurchsuchung stellte die Polizei das Smartphone und ein Tablet des Mandanten sicher. Die Geräte enthielten umfangreiche Kommunikation zwischen Mandant und Anwälten, darunter Schriftsatzentwürfe, Notizen zur Verteidigungsstrategie und weitere durch das Anwaltsgeheimnis geschützte Inhalte. Nachdem ein tschechisches Gericht die vollständige Auswertung der Geräte angeordnet hatte, nahmen die Behörden sämtliche extrahierten Daten in den Strafakt auf und machten sie den Mitbeschuldigten sowie der Staatsanwaltschaft zugänglich. Nach erfolglosem Ausschöpfen des Rechtswegs erhoben die Anwälte (erfolgreich) Beschwerde an den EGMR.

Der EGMR hat erwogen: Die aus den Geräten des Mandanten extrahierten und zur Gerichtsakte genommenen Daten enthielten privilegierte Kommunikation zwischen den Anwälten und ihrem Mandanten. Ein solcher Austausch genießt besonderen Schutz nach Art 8 EMRK. Die Anwälte durften berechtigterweise die Wahrung der Vertraulichkeit ihrer Kommunikation erwarten. Der Schutz der Anwaltskorrespondenz erstreckt sich auch auf elektronische Kommunikation auf den Geräten der Anwälte sowie des Mandanten. Die Aufnahme dieser Kommunikation in die Gerichtsakte ist ein Eingriff in das Recht der Anwälte auf Achtung ihres Privatlebens und ihrer Korrespondenz.

Die Vorschriften zur Extraktion von Daten aus beschlagnahmten elektronischen Geräten waren weder hinreichend klar noch vorhersehbar und enthielten keine ausreichenden Schutzmechanismen zum Schutz der Anwaltskorrespondenz. Das Gesetz erfüllt daher nicht die Anforderungen an einen "gesetzlich vorgesehenen" Eingriff iSd Art 8 Abs 2 EMRK.

Ein wirksamer Rechtsbehelf hätte eine Überprüfung der Rechtmäßigkeit sowie eine Anordnung zur Entfernung oder Vernichtung des geschützten Materials ermöglichen müssen. Da den Anwälten ein solcher Rechtsbehelf nicht zur Verfügung stand, lag auch eine Verletzung von Art 13 EMRK vor.

EuGH 18.12.2025, C-422/24, Storstockholms Lokaltrafik

Körperkamera, Informationspflicht, gestuftes Informationsverfahren

·       Ein öffentlicher Personenverkehrsdienstleister stattete seine Fahrkartenkontrolleure zur Verhinderung und Dokumentation von Drohungen und Gewalt gegen die Kontrolleure sowie zur Identitätsfeststellung der Fahrgäste mit Körperkameras aus. Die Kameras nahmen während der gesamten Schicht der Kontrolleure durchgehend Filme mit Bild und Ton auf. Das System löschte die Aufnahmen zwar nach zwei bzw einer Minute, die Kontrolleure konnten die Löschung jedoch in Situationen, in denen sie eine Strafgebühr erhoben, sowie in Bedrohungssituationen per Knopfdruck unterbrechen. Die schwedische Aufsichtsbehörde verhängte eine Geldbuße von über EUR 1,4 Mio, wovon knapp EUR 400.000 auf die mangelnde Information der Betroffenen entfielen. Das vorlegende Gericht fragte den EuGH, ob der Verantwortliche die Betroffenen beim Tragen einer Körperkamera gemäß Art 13 oder 14 DSGVO informieren muss.

Der EuGH hat erwogen: Bei der Auslegung des Unionsrechts sind nicht nur dessen Wortlaut, sondern auch dessen Kontext und Ziele zu berücksichtigen.

Der Verantwortliche muss die Information nach Art 13 DSGVO erteilen, wenn er personenbezogene Daten beim Betroffenen erhebt. Werden personenbezogene Daten bei einer anderen Person – als dem Betroffenen – erhoben, gelangt Art 14 DSGVO zur Anwendung. Eine besondere Handlung des Betroffenen setzt Art 13 DSGVO nicht voraus. Entscheidend ist die Handlung des Verantwortlichen, sodass es keine Rolle spielt, in welchem Maß der Betroffene aktiv wird.

Auch wenn der Verantwortliche personenbezogene Daten durch Beobachten, zB mit einer Kamera, beim Betroffenen erhebt, muss er Art 13 DSGVO anwenden. Denn er erlangt die Daten unmittelbar vom Betroffenen selbst.

Der Verantwortliche muss die Information über die Datenerhebung daher zum Zeitpunkt der Erhebung erteilen. Dies kann, wenn er personenbezogene Daten bei einer anderen Person erhebt, erschwert oder unmöglich sein. Deshalb sieht Art 14 DSGVO eine spätere Erfüllung der Informationspflicht durch den Verantwortlichen vor.

Der Verantwortliche darf die geschuldete Information nach Art 13 DSGVO in einem gestuften Verfahren erteilen. Dabei kann er die wichtigsten Informationen auf einem Hinweisschild anzeigen und die weiteren obligatorischen Informationen auf einer zweiten Ebene in geeigneter und vollständiger Weise an einem leicht zugänglichen Ort zur Verfügung stellen. Er kann die berechtigten Interessen des Verantwortlichen berücksichtigen. Anm 1: Fraglich ist, ob diese Rechtsprechung auf die Datenerhebung im Online-Umfeld übertragen werden kann. Denn auch etwa die IP-Adresse wird vom Betroffenen selbst erlangt. Da Art 13 DSGVO keine Information über die Kategorien der verarbeiteten personenbezogenen Daten anordnet, könnte sohin die Informationspflicht über das Erheben von IP-Adressen nach der DSGVO entfallen. Unberührt bliebe allerdings die Informationspflicht des § 165 Abs 3 TKG 2021. Anm 2: Zu beachten ist der Hinweis des EuGH auf die mögliche Berücksichtigung der berechtigten Interessen des Verantwortlichen.

·       Die Mitgliedstaaten müssen – unter den in der RL 2001/83/EG zur Schaffung eines Gemeinschaftskodexes für Humanarzneimittel vorgesehenen Bedingungen – den Online-Shops von Apotheken den Vertrieb nicht verschreibungspflichtiger Arzneimittel gestatten. Eine nationale Bestimmung, die den Online-Shops von Apotheken den Verkauf bestimmter nicht verschreibungspflichtiger Arzneimittel aus Gründen des Schutzes der öffentlichen Gesundheit verbietet, ist unionsrechtswidrig (EuGH SA, 18.12.2025, C-604/24, Farmakeio YZ & Sia).

·       Der Gesetzesprüfungsantrag auf Aufhebung von Bestimmungen bzw Wortfolgen des Wettbewerbsgesetzes (WettbG) wegen unzureichenden Schutzes vor der Sicherung und Auswertung personenbezogener elektronisch gesicherter Daten bei Hausdurchsuchungen durch die Bundeswettbewerbsbehörde wird als zu eng gefasst zurückgewiesen (VfGH 27.11.2025, G99/2025).

·       Die Zuständigkeit der DSB zum Verhängen von Geldbußen beruht auf Art 83 DSGVO. Für den nationalen Gesetzgeber besteht somit kein Umsetzungsspielraum (VfGH 09.12.2025, E335/2025).

OGH 26.11.2025, 6Ob141/24i

Google Fonts, Aufforderungsschreiben, Aussetzung

·       Eine Websitebesucherin rief nach Beratung durch ihren Anwalt mithilfe eines Programms, das im Hintergrund die Datenströme beim Surfen protokollierte, innerhalb kurzer Zeit tausende Websites auf, darunter auch die der betroffenen Websitebetreiberin. Aufgrund einer automatisierten Erkennung von Google Fonts richtete der Anwalt standardisierte Aufforderungsschreiben an die jeweiligen Websitebetreiber. Auch die betroffene Websitebetreiberin erhielt ein anwaltliches Schreiben, in dem der Anwalt die Übermittlung der IP-Adresse der Websitebesucherin an Google ohne deren Zustimmung als Datenschutzverstoß beanstandete und einen Vergleich über EUR 190 anbot. Insgesamt versandte der Anwalt rund 32.000 derartige Schreiben.

Der OGH hat erwogen: Da sich im Revisionsverfahren insbesondere Fragen zur Qualifikation dynamischer IP-Adressen als personenbezogene Daten iSd Art 4 Z 1 DSGVO sowie zum Einwand des Rechtsmissbrauchs iZm Ansprüchen auf immateriellen Schadenersatz gemäß Art 82 Abs 1 DSGVO und auf Auskunft gemäß Art 15 DSGVO stellen, wird das Verfahren bis zur Entscheidung des EuGH über mehrere Vorabentscheidungsersuchen ausgesetzt. Die Vorlagefragen betreffen insbesondere die Qualifikation dynamischer IP-Adressen als personenbezogene Daten, die mögliche Exzessivität von Auskunftsersuchen nach Art 15 DSGVO, den Anspruch auf immateriellen Schadenersatz bei bewusst und gezielt herbeigeführten Datenschutzverstößen sowie den Rechtsmissbrauchseinwand bei künstlicher Schaffung der Voraussetzungen für DSGVO-Ansprüche.

·       Das Klagebegehren muss inhaltlich hinreichend bestimmt sein, damit es zur Zwangsvollstreckung geeignet ist. Das rechtliche Interesse an einer Feststellungsklage ist trotz Möglichkeit einer Leistungsklage zu bejahen, wenn sie Klarheit über die Rechtsbeziehungen zwischen den Parteien schaffen kann. Ein Verantwortlicher darf eine Datenverarbeitung nur auf den Rechtfertigungstatbestand der Vertragserfüllung stützen, wenn sie objektiv unerlässlich ist. Davon nicht umfasst ist eine Datenverarbeitung, die für die Finanzierung der vertraglich geschuldeten Dienstleistung erforderlich ist. Das Auskunftsrecht ist ein einheitlicher Anspruch. Der Verantwortliche hat auch über solche Daten Auskunft zu erteilen, die aus einer Verarbeitung personenbezogener Daten resultieren (OGH 26.11.2025, 6Ob189/24y).

·       Der Auskunftsanspruch nach § 4 Abs 4 KontRegG ist ein höchstpersönliches Recht, das als spezialgesetzliche Ausformung des durch das Grundrecht auf Datenschutz garantierten Anspruchs auf Auskunft mit dem Tod der berechtigten Person erlischt und nicht auf die Verlassenschaft übergeht. Die rechtliche Unmöglichkeit der Einholung einer Kontenregisterauskunft für die Verstorbene durch die Verlassenschaft schließt jede Zumutbarkeit zusätzlicher Nachforschungen aus (OLG Wien 18.07.2025, 15R16/25w).

BVwG 24.07.2025, W129 2310165-1

Studierendendaten, private E-Mail-Adressen

·       Ein Referent der Studierendenvertretung der Universität für Weiterbildung Krems (ÖH-UWK) beantragte die Übermittlung aktueller Studierendendaten inkl privater E-Mail-Adressen. Die Universität übermittelte sämtliche Daten mit Ausnahme der privaten E-Mail-Adressen der Studierenden. Der Rektor wies den Antrag auf bescheidmäßige Erledigung der Nichtübermittlung ab, weil die Übermittlung der privaten E-Mail-Adressen nicht von § 13 Abs 4 HSG gedeckt sei und keine datenschutzrechtliche Rechtsgrundlage bestehe. Die ÖH-UWK erhob (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die ÖH-UWK ist zwar ermächtigt, elektronische Aussendungen an Studierende vorzunehmen. Dies ist ihr jedoch im Wege der Aussendung an die universitäre E-Mail-Adresse möglich. Private E-Mail-Adressen der Studierenden sind hierfür nicht zusätzlich nötig. Ein Anspruch darauf, dass Studierende Aussendungen tatsächlich lesen, besteht nicht. Dies gilt auch für private E-Mail-Adressen, deren Aktualität und Nutzung ebenfalls nicht gewährleistet ist. Weder § 10 Abs 3 Z 4 lit b BilDokG noch § 13 Abs 4 HSG verpflichten zur Übermittlung privater E-Mail-Adressen. Die universitäre E-Mail-Adresse ist als "studierenden-, studien- und studienbeitragsbezogenes Datum" vorrangig zu verwenden, da sie der Abwicklung aller studienrechtlichen Belange dient. Außerdem unterscheidet der Gesetzgeber bewusst zwischen "privater E-Mail-Adresse" (§ 18 Abs 6 Z 8 BilDokG) und anderen E-Mail-Adressen.

Zwar ist § 13 Abs 4 HSG grundsätzlich eine taugliche Rechtsgrundlage iSd Art 6 Abs 1 lit e DSGVO, doch fehlt es an der Erforderlichkeit der Übermittlung privater E-Mail-Adressen. Die Studierendenvertretung kann ihre Aufgaben auch über universitäre E-Mail-Adressen sowie andere Kommunikationswege (Plakate, Informationsmaterial, Online-Veröffentlichungen) erfüllen. Eine bessere Erreichbarkeit durch private E-Mail-Adressen ist nicht gegeben. Eine Übermittlung der privaten E-Mail-Adressen an die Studierendenvertretung würde daher gegen den Grundsatz der Datenminimierung gemäß Art 5 Abs 1 lit c DSGVO verstoßen.

LVwG Tirol 11.12.2025, LVwG-2025/21/2529-8

IFG, dienst- und disziplinarrechtliche Informationen, Datenschutz

·       Ein Informationswerber, der zuvor zwei Dienstaufsichtsbeschwerden gegen Bedienstete einer Bezirkshauptmannschaft beim Amt der Tiroler Landesregierung erhoben hatte, stellte einen Antrag auf Informationserteilung betreffend Verwaltungsmaßnahmen iZm diesen Beschwerden. Die Tiroler Landesregierung verweigerte die Informationserteilung aus datenschutzrechtlichen Gründen. Der Informationswerber erhob (erfolglos) Bescheidbeschwerde an das LVwG Tirol.

Das LVwG Tirol hat erwogen: Die begehrten Informationen sind personenbezogen, weil der Informationswerber mit seinem Vorwissen selbst bei geschwärzten Unterlagen Rückschlüsse auf die Betroffenen ziehen könnte. Dienst- und disziplinarrechtliche Informationen sind besonders schutzwürdig, weil ihre Veröffentlichung die berufliche Reputation und Privatsphäre der Bediensteten erheblich beeinträchtigen kann. Schon die Information über Einleitung oder Nichteinleitung von Disziplinarverfahren ist ein personenbezogenes Datum mit erhöhtem Vertraulichkeitsschutz.

Auch eine selektive oder teilweise Herausgabe unter Schwärzung vermag den Personenbezug aufgrund der detaillierten Sachkenntnis des Informationswerbers nicht zu neutralisieren. Zudem bilden disziplinar- und dienstrechtliche Unterlagen eine sachliche und verfahrensrechtliche Einheit. Eine isolierte Offenlegung würde Zusammenhänge verfälschen, interne Bewertungen offenbaren und die Funktionsfähigkeit sowie das Vertrauen in Aufsichts- und Disziplinarverfahren beeinträchtigen. Das Informationsfreiheitsrecht dient auch nicht dazu, eine Parteistellung in solchen Verfahren zu ersetzen. Eine Beteiligung Außenstehender ist gesetzlich nicht vorgesehen, weshalb kein subjektives Recht auf Einsicht in die Verfahrensführung besteht. Die landesrechtlichen Disziplinarvorschriften sehen überdies einen strengen Vertraulichkeitsschutz vor, der die Geheimhaltungsinteressen iSd § 6 Abs 1 Z 7 lit a IFG zusätzlich verstärkt.

Da das Geheimhaltungsinteresse der Bediensteten gegenüber dem Informationsinteresse des Informationswerbers überwiegt, war der Informationszugang zu versagen.

·       Eine Gesellschaft unter beherrschendem Einfluss des Landes Vorarlberg, die der Kontrolle des Landes-Rechnungshofes unterliegt, fällt grundsätzlich in den Anwendungsbereich des IFG. Sie ist jedoch gemäß § 13 IFG von der Informationspflicht ausgenommen, wenn sie Emittentin von an einem geregelten Markt notierten Wertpapieren (zB Anleihen) ist. Ihre Aktien müssen nicht börsennotiert sein, um sie als börsennotierte Gesellschaft iSd § 13 Abs 3 IFG zu qualifizieren (LVwG Vorarlberg 24.10.2025, LVwG-488-1/2025-R22). Anm: Nähere Informationen zu den Geheimhaltungsgründen des IFG insbesondere iZm privaten Informationspflichtigen finden Sie in der RDB (Paywall): Cudlik/Petschinka, Ausgewählte Fragen der Geheimhaltung im IFG, ecolex 2025, 847.

DSB 08.10.2025, 2025-0.794.213

Zuständigkeit, Rechtsschutz

·       Ein deutscher Nutzer gab an, dass Unbefugte unter Verwendung seiner E-Mail-Adresse auf einer niederländischen Online-Medicines-Plattform mehrere weitere Kundenkonten angelegt und Bestellungen durchgeführt hätten. Trotz geforderter und von der Plattform zugesicherter Löschung erhielt er weiterhin E-Mails zu den "falschen" Konten. Erst nach erneuter Aufforderung entfernte die Plattform mehrere Konten. Der Nutzer erhob Datenschutzbeschwerde bei der österreichischen DSB. Die DSB wies die Datenschutzbeschwerde mangels Zuständigkeit zurück.

Die DSB hat erwogen: Die Regelung des Art 77 DSGVO eröffnet das Beschwerderecht insbesondere am gewöhnlichen Aufenthaltsort, am Arbeitsplatz des Betroffenen oder am Ort des mutmaßlichen Verstoßes. Da der Nutzer in Deutschland wohnt, liegt auch der behauptete Verstoß in Deutschland. Die Verantwortliche hat ihren Sitz in den Niederlanden. Das Online-Angebot der Plattform (auch) unter einer österreichischen "at"-Top-Level-Domain allein begründet keinen ausreichenden Bezug zu Österreich, und auch sonst fehlt ein objektiver Konnex zu Österreich.

Die DSGVO sieht weder eine freie Behördenwahl noch Forum-Shopping ohne objektiven Bezug vor. Ziel der DSGVO ist es, den Rechtsschutz dort zu erleichtern, wo ein räumliches oder sprachliches Naheverhältnis besteht. Auch wenn die Datenschutzbeschwerde nicht bei einer Aufsichtsbehörde des Sitzes des Verantwortlichen eingebracht werden muss (wie unter der DS-RL 95/46/EG), ermöglicht Art 77 DSGVO nicht die Umgehung von Aufsichtsbehörden, zu denen ein objektiver Konnex besteht.

DSB 30.09.2025, 2025-0.757.551

Auskunft, Tracking-Pixel, Auftragsexzess

·       Ein Auskunftswerber richtete ein Auskunftsersuchen an ein Kurzentrum. Das Kurzentrum verarbeitete die Daten des Auskunftswerbers mit dessen Einwilligung zum Versand von Trainingsplänen. Für den Versand der Trainingspläne beauftragte das Kurzentrum einen IT-Dienstleister als Auftragsverarbeiter. Über den Auftrag des Versands der Trainingspläne hinaus sendete der IT-Dienstleister auch Tracking-Pixel. Das Kurzentrum erteilte eine Auskunft, informierte aber nicht über die Verarbeitung mittels Tracking-Pixel und verwies den Auskunftswerber an den IT-Dienstleister. Dieser wiederum verwies auf das Kurzentrum. Der Auskunftswerber erachtete die Auskunft als unvollständig und erhob gegen das Kurzentrum und den IT-Dienstleister Datenschutzbeschwerde bei der DSB. Die DSB wies die Beschwerde gegen das Kurzentrum ab, gab der Beschwerde gegen den IT-Dienstleister jedoch statt und trug diesem auf, die Auskunft zu erteilen.

Die DSB hat erwogen: Die datenschutzrechtliche Rollenverteilung bestimmt, wer die Datenschutzbestimmungen einhalten muss. Verantwortlicher ist, wer allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Wesentlich für die Rollenzuordnung ist die Entscheidung, personenbezogene Daten für eigene Zwecke zu verarbeiten. Ein Auftragsverarbeiter hingegen verarbeitet personenbezogene Daten im Auftrag eines Verantwortlichen. Die Einordnung hängt nicht vom Abschluss eines Auftragsverarbeitervertrags ab, sondern davon, ob die Begriffsdefinition des Art 4 Z 8 DSGVO erfüllt ist. Erteilt der Verantwortliche einem Auftragsverarbeiter nachträglich die Weisung, eine bestimmte Verarbeitung zu unterlassen, kann eine eigenverantwortliche Verarbeitung durch den Auftragsverarbeiter vorliegen. Das gilt insbesondere dann, wenn die Verarbeitung außerhalb des Auftrags liegt und der Auftragsverarbeiter selbst über den Zweck entscheidet.

Das Auskunftsersuchen bestimmt den Umfang der zu erteilenden Information und ist nach dem Maßstab für einseitige privatrechtliche Willenserklärungen auszulegen, also so, wie sie der Empfänger nach Wortlaut und Zweck objektiv verstehen konnte. Fragt ein Auskunftsersuchen ausdrücklich nach einem Tracking-Pixel, erwartet der Antragsteller eine konkrete Auskunft zu dieser Verarbeitung.

Da das Kurzentrum für die Verarbeitung mittels Tracking-Pixel nicht verantwortlich war, musste es darüber keine Auskunft erteilen. Verantwortlich ist der IT-Dienstleister, der das Tool einsetzt, sodass dieser Auskunft erteilen muss.

DSB 03.10.2025, 2025-0.677.597

Referenzdatenbank, Zweckbindung

·       Ein Unternehmen betrieb eine Referenzdatenbank mit beruflichen Informationen über Angehörige der Gesundheitsberufe, Gesundheitsorganisationen und weitere Stakeholder der Gesundheitsbranche. Darin verarbeitete es ua personenbezogene Daten eines Nationalratsabgeordneten, der Jurist und Präsident eines parteinahen Vereins war, jedoch keine Tätigkeit im Gesundheitsbereich ausübte. Das Unternehmen gab die Daten zudem an Unternehmen der Pharma- und Gesundheitsbranche weiter. Da sich der Nationalratsabgeordnete in seinem Recht auf Geheimhaltung verletzt erachtete, erhob er (erfolgreich) Datenschutzbeschwerde bei der DSB.

Die DSB hat erwogen: Nach dem Zweckbindungsgrundsatz müssen personenbezogene Daten für klar definierte und rechtmäßige Zwecke erhoben werden, die zum Zeitpunkt der Erhebung feststehen. Diese Zweckfestlegung begrenzt die Eingriffsmöglichkeiten des Verantwortlichen. Folglich ist das Unternehmen, auch wenn es eine Gewerbeberechtigung für Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO hält, dennoch an die von ihm selbst festgelegten Zwecke gebunden.

Die Qualifikation des Nationalratsabgeordneten als Stakeholder im Gesundheitsbereich ist nicht nachvollziehbar. Auch seine berufliche Qualifikation als Jurist rechtfertigt dies nicht. Die gesetzgeberische Tätigkeit im Gesundheitsbereich begründet allein keine Zuordnung aller Nationalratsabgeordneten als Gesundheitsstakeholder. Folglich waren die Erhebung, Speicherung und Weitergabe der personenbezogenen Daten für die vom Unternehmen verfolgten Zwecke nicht erforderlich und somit überschießend.

DSB 01.10.2025, 2025-0.757.155

Unternehmensserviceportal, veröffentlichte Daten, social watchdog

·       Ein Bundesamt beschaffte für einen Mitarbeiter einen ergonomischen Schreibtisch und veröffentlichte den vergebenen Auftrag im Unternehmensserviceportal unter Nennung von Vor- und Nachname des Mitarbeiters. Zudem wurde der Datensatz von einem Transparenzverein auf einer Vergabeplattform sowie von einer Ausschreibungsplattformbetreiberin auf einer entsprechenden Plattform veröffentlicht. Der Mitarbeiter fühlte sich in seinem Recht auf Geheimhaltung verletzt und erhob gegen den Transparenzverein und die Ausschreibungsplattformbetreiberin (erfolgreich) Datenschutzbeschwerde bei der DSB.

Die DSB hat erwogen: Transparenzverein und Ausschreibungsplattformbetreiberin unterliegen, anders als das Bundesamt, nicht dem Bundesvergabegesetz 2018. Zwar ist das Unternehmensserviceportal öffentlich, die dort veröffentlichten Daten unterliegen jedoch grundsätzlich einem Geheimhaltungsanspruch. Aus der zulässigen Veröffentlichung von Daten kann nicht generell abgeleitet werden, dass keine schutzwürdigen Geheimhaltungsinteressen bestehen; dies wäre mit europarechtlichen Vorgaben unvereinbar.

Die Tätigkeit als "social watchdog" zur Förderung von Transparenz in Politik und Verwaltung sowie die Vernetzung von Auftraggebern und Auftragnehmern sind grundsätzlich berechtigte Interessen. Allerdings verbietet der Grundsatz der Datenminimierung gemäß Art 5 Abs 1 lit c DSGVO nicht nur die Erhebung zweckfremder Daten, sondern auch die Erhebung von Daten, die für den konkreten Zweck nicht erforderlich sind. Kann der verfolgte legitime Zweck mit einem geringeren Maß an Datenerhebung, -verarbeitung oder -nutzung genauso gut verwirklicht werden, ist der beabsichtigte Umfang nicht auf das notwendige Maß beschränkt. Da der verfolgte Zweck auch ohne die Nennung des Vor- und Nachnamens des Mitarbeiters erreicht werden konnte, war deren Veröffentlichung nicht erforderlich. Die Datenverarbeitung war somit rechtswidrig.

·       Die Speicherung und Verarbeitung bonitätsrelevanter Daten in der "Warnliste der Banken" ist zum Zweck des Gläubigerschutzes und der Risikominimierung nach Art 6 Abs 1 lit f DSGVO iVm § 39 BWG rechtmäßig. Kreditinstitute sind dabei Verantwortliche iSd Art 4 Z 7 DSGVO. Auch nach einer im Jahr 2024 erfolgten bloß teilweisen Tilgung durfte die Speicherung fortdauern. Angesichts eines mehr als zwölfjährigen Zahlungsverzugs der Betroffenen war die weitere Verarbeitung noch erforderlich und verhältnismäßig. Ein behaupteter Verstoß gegen Informationspflichten führt für sich genommen nicht zur Unrechtmäßigkeit der Verarbeitung und begründet keinen Löschungsanspruch (DSB 05.12.2025, 2025-0.874.918). Anm: Die DSB ist in ihrer Rechtsprechung, ob ein Verstoß gegen Informationspflichten zur Unrechtmäßigkeit einer auf berechtigte Interessen gestützten Datenverarbeitung führt, uneinheitlich. Im Straferkenntnis vom 29.09.2025, 2025-0.682.666, vermeinte die DSB, dass die Datenverarbeitung bereits mangels Information nicht auf berechtigte Interessen gestützt werden kann (Schönherr Datenschutzmonitor 50/2025 vom 17.12.2025).

·       Am 17.12.2025 wurden die (i) "Durchführungsverordnung (EU) 2025/2527 der Kommission vom 16. Dezember 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Referenzstandards und Spezifikationen für qualifizierte Zertifikate für die Website-Authentifizierung", ABl L 2025/2527; (ii) "Durchführungsverordnung (EU) 2025/2530 der Kommission vom 16. Dezember 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Anforderungen an qualifizierte Vertrauensdiensteanbieter, die qualifizierte Vertrauensdienste erbringen", ABl L 2025/2530; (iii) "Durchführungsverordnung (EU) 2025/2531 der Kommission vom 16. Dezember 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Referenzstandards und Spezifikationen für qualifizierte elektronische Journale", ABl L 2025/2531; und (iv) "Durchführungsverordnung (EU) 2025/2532 der Kommission vom 16. Dezember 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Referenzstandards und Spezifikationen für qualifizierte elektronische Archivierungsdienste", ABl L 2025/2532, kundgemacht. Mit diesen vier Durchführungs-VOs werden Referenzstandards und Spezifikationen sowie Anforderungen an qualifizierte Vertrauensdiensteanbieter unter der eIDAS-VO festgelegt.

·       Am 18.12.2025 ist der Entwurf des "Netz- und Informationssystemsicherheitsgesetzes 2026" (NISG 2026) auch im Bundesrat mit Zweidrittelmehrheit beschlossen worden. Mit dem NISG 2026 wird die NIS-2-RL (EU) 2022/2555 ins innerstaatliche Recht umgesetzt. Als zuständige Behörde wird das Bundesamt für Cybersicherheit (Cybersicherheitsbehörde) benannt. Anm: Nähere Informationen finden Sie in unserem Legal Insight Österreich: NISG 2026 – Alles, was Sie wissen müssen.

·       Am 19.12.2025 wurde die Zweite Transparenzdatenbank-Abfrageverordnung 2025, BGBl II 2025/313, kundgemacht. Die VO regelt Leseberechtigungen in Leistungsangebote mit sensiblen Daten in der Transparenzdatenbank.

·       Am 22.01.2026 wird vor dem EuGH die mündliche Verhandlung in der Rs C-205/25, Bayerisches Landesamt für Datenschutzaufsicht, stattfinden. Gegenstand des Verfahrens ist die Frage, ob eine Datenschutz-Aufsichtsbehörde aus Akten von vor ihr geführten Datenschutzbeschwerdeverfahren gemäß Art 15 DSGVO Auskunft erteilen muss, und bejahendenfalls, ob diese Auskunftspflicht durch nationales Recht beschränkt werden kann.

EuGH SA 11.12.2025, C-684/24, Across Fiduciaria

AML/CFT, wirtschaftliche Eigentümer, Register

·         Mehrere italienische Treuhandgesellschaften klagten gegen Maßnahmen, die AML/CFT-Registerpflichten zu wirtschaftlichen Eigentümern sowie Zugangsrechte zu den Daten im Register für Personen mit "berechtigtem Interesse" auslösten. Der italienische Staatsrat legte dem EuGH Fragen zur Auslegung und Gültigkeit von Art 31 RL 2015/849 (idF RL 2018/843) vor Diese betrafen insb (i) die Reichweite der Begriffe, die zu Registerpflichten führen, (ii) die Zulässigkeit einer nationalen Definition des "berechtigten Interesses" zum Datenzugang im Hinblick auf Art  7 und 8 GRC, welche das Recht auf Achtung des Privat- und Familienlebens sowie den Schutz personenbezogener Daten gewährleisten, und (iii) den Rechtsschutz bei Ausnahmen vom Zugang.

Der Generalanwalt hat erwogen: Der Unionsgesetzgeber darf zur Sicherung der praktischen Wirksamkeit der Geldwäscheprävention einen offenen Begriff ("ähnliche Rechtsvereinbarungen") verwenden. Treuhandaufträge können ähnliche Rechtsvereinbarungen sein, wenn ihre Struktur oder Funktion dazu dient, Vermögenswerte im Namen einer anderen Person anzulegen und die wirtschaftliche Eigentümerstellung nach außen zu verdecken. Der Zugang für natürliche oder juristische Personen mit "berechtigtem Interesse" nach Art 31 Abs 4 lit c ist mit Art 7 und 8 GRC vereinbar. Die Richtlinie enthält eine abschließende Liste der offenzulegenden Mindestdaten (Name, Geburtsjahr und -monat, Wohnsitzland, Staatsangehörigkeit des wirtschaftlichen Eigentümers) und erlaubt eine grundrechtskonforme, am Ziel der AML/CFT ausgerichtete Auslegung. "Berechtigtes Interesse" kommt insb Presse, Zivilgesellschaft und wirtschaftlich Betroffenen zu. Nationale Präzisierungen sind grundsätzlich zulässig, verlangen aber eine einzelfallbezogene Abwägung unter Einbeziehung der Risiken für den wirtschaftlichen Eigentümer und die Wahrung der Verhältnismäßigkeit. Eine nichtgerichtliche Stelle darf Ausnahmen vom Zugang bei außergewöhnlichen Umständen prüfen, sofern ein wirksamer gerichtlicher Rechtsschutz einschließlich einstweiliger Anordnungen gewährleistet ist.

·         Die Digitalisierung des Energiesektors rechtfertigt die Einführung intelligenter Messsysteme. Die Verarbeitung personenbezogener Daten muss aber weiterhin unter Beachtung der DSGVO erfolgen. Die Bestimmung des Art 5 Abs 3 der ePrivacy-RL 2002/58 ist auf eine Smart-Meter-Datenübertragung nicht anzuwenden, wenn das Stromnetz nicht öffentlich ist und der Zähler nicht im Eigentum des Verbrauchers steht. Ein Stromnetz dient primär der Stromlieferung und ist kein elektronisches Kommunikationsnetz. Die Bestimmungen des Art 13 DSGVO sowie Art 7 und 8 GRC stehen der österreichischen Regelung (§ 84a Abs 1 ElWOG, § 1 Abs 6 IME-VO) zu Smart-Metern nicht entgegen, wonach für Endkunden lediglich die Konfiguration des Ableseintervalls ersichtlich sein muss und Netzbetreiber in begründeten Einzelfällen auch ohne Einwilligung auslesen dürfen, sofern der Verbraucher auch über diesen besonderen Zweck im Voraus informiert wird und die Daten nach Zweckerfüllung unverzüglich gelöscht werden (EuGH SA 11.12.2025, C-468/24, Netz Niederösterreich).

·         Für eine Vergleichbarkeit der zugrunde liegenden Fallkonstellationen kommt es nicht darauf an, ob die Verantwortlichen dem Grunde nach vergleichbare Tätigkeiten ausüben, sondern darauf, ob die jeweiligen Datenverarbeitungen vergleichbar sind (manuelle Eingabe eines Ausgangswertes gegenüber einer Berechnung mit automatisierter Entscheidungsfindung). Mit dem bloßen Hinweis auf fehlende Rechtsprechung des VwGH zu einer näher bezeichneten Verwaltungsvorschrift wird nicht dargelegt, welche konkret auf die Revisionssache bezogene grundsätzliche Rechtsfrage der VwGH erstmals zu lösen hätte. Mit einem nicht näher konkretisierten Zulässigkeitsvorbringen zu den Transparenzvorschriften des Art 12 DSGVO wird keine grundsätzliche Rechtsfrage aufgezeigt (VwGH 13.11.2025, Ra 2023/04/0271).

·         In einer Revision ist jenes subjektive Recht zu bezeichnen, in dem sich der Revisionswerber als verletzt erachtet (Revisionspunkt). Die verfehlte Bezeichnung der Revisionspunkte als Beschwerdepunkte schadet nicht. Wird jedoch nicht dargetan, in welchen subjektiven Rechten der Revisionswerber sich als verletzt erachtet, ist die Revision mangels tauglichen Revisionspunkts zurückzuweisen (VwGH 13.11.2025, Ra 2022/04/0115).

OLG Innsbruck 18.06.2025, 114Ds1/23f

Disziplinarverfahren, IKT-NV, Ansehen des öffentlichen Dienstes

·         Ein Richter betrachtete während seiner Dienstzeit mehrfach erotische Bilder und Videos auf seinem Dienst-PC und Laptop. Zusätzlich lud er über diese Geräte erotische Bilder auf einen privaten USB-Stick herunter. Da er die Bilder auch bei offener Zimmertür betrachtete, nahmen Gerichtspersonen und Rechtspraktikanten davon Kenntnis, worauf ein Disziplinarverfahren gegen den Richter beim OLG eingeleitet wurde. Das OLG Innsbruck sprach den Richter wegen der Verletzung seiner Dienstpflichten nach § 57 Abs 2 und 3 RStDG und eines Dienstvergehens nach § 101 Abs 1 RStDG schuldig. Es verhängte eine Geldstrafe von 150% des Brutto-Monatsbezugs (EUR 11.727,90) sowie EUR 500 Verfahrenskosten.

Das OLG Innsbruck hat erwogen: Die private Nutzung von Dienst-PC und Laptop ist nach der IKT-Nutzungsverordnung (IKT-NV) nur in eingeschränktem Ausmaß zulässig. Für private Zwecke dürfen vom Dienstgeber bereitgestellte Internetdienste nur dann verwendet werden, wenn damit eine Beeinträchtigung des Ansehens des öffentlichen Dienstes, eine negative Rechtsfolge beim Dienstgeber oder eine Verletzung eigener oder fremder Dienstpflichten ausgeschlossen ist.

Das Aufrufen und Abspeichern von pornografischen Inhalten ist geeignet, das Ansehen der Justiz zu gefährden. Es ist auch dann unzulässig, wenn die Inhalte auf nicht gesperrten Internetseiten verfügbar sind. Fremde Speichermedien – zB USB-Sticks – dürfen nur angeschlossen werden, wenn dies dienstlich erforderlich ist. Herunterladen, Betrachten und Speichern von Bildern mit erotischem und pornografischem Inhalt auf einem privaten USB-Stick hat nichts mit der Dienstverrichtung eines Richters zu tun.

Das Abspeichern einschlägiger Internetadressen (etwa in Favoriten/Ordnern) auf dem Dienstlaptop und das Speichern erotischer und pornografischer Bild- und Videodateien auf einem privaten USB-Stick verstößt gegen die IKT-NV sowie gegen die ressortspezifischen IKT/IT-Benutzungs- und Sicherheitsvorgaben und damit gegen dienstliche Anordnungen.

BVwG 29.07.2025, W605 2251236-1

Besitzstörung, Tonaufnahme, Beweisnotstand, Haushaltsausnahme

·         Ein Grundstückseigentümer installierte wegen langjähriger Nachbarschaftsstreitigkeiten Überwachungskameras mit Bewegungsmeldern auf seinem Grundstück. Die Videoaufzeichnung war auf das eigene Grundstück beschränkt, die Tonaufzeichnung erfasste jedoch auch den angrenzenden Bereich. Als die Nachbarin Laub auf sein Grundstück warf, kam es zu einem Streitgespräch, das mit Ton aufgezeichnet wurde, obwohl sich alle Beteiligten jeweils auf ihrem eigenen Grundstück aufhielten. Die Tonaufnahme wurde später in einem Besitzstörungsverfahren vor Gericht verwendet. Die Nachbarin erhob daraufhin Datenschutzbeschwerde bei der DSB, die dieser stattgab und feststellte, dass der Grundstückseigentümer die Nachbarin rechtswidrig akustisch überwacht habe, sowohl beim Streitgespräch als auch generell durch die Tonaufnahmen auf ihrem eigenen Grundstück. Dagegen erhob der Grundstückseigentümer (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Heimliche Tonaufnahmen ohne Einwilligung verletzen das aus § 16 ABGB abgeleitete "Recht am eigenen Wort" auch außerhalb der Grenzen des § 120 StGB. Bei einem kamerabasierten Videoüberwachungssystem mit Mikrofon und Bewegungsmelder liegt während des gesamten Betriebs ein automatisierter Verarbeitungsvorgang vor, unabhängig davon, wie oft tatsächlich aufgezeichnet wird.

Die Verwendung von Tonaufnahmen in einem Rechtsstreit aufgrund berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO ist nur in engen Ausnahmefällen zulässig, etwa bei Notwehr, Notstand oder zur Verfolgung überragender berechtigter Interessen. Ein rechtfertigender Beweisnotstand liegt nicht schon vor, weil eine Partei über ein besonders beweiskräftiges Beweismittel verfügen möchte. Vielmehr muss der Beweisführer nachweisen, dass sein Anspruch ohne die Tonaufnahme nicht durchsetzbar wäre und seine verfolgten Interessen höherwertig sind als die verletzte Privatsphäre des Gegners.

Es lag kein Beweisnotstand vor, weil sich das Besitzstörungsverfahren auf die Erörterung des letzten ruhigen Besitzstands und dessen Störung beschränkt. Dem Grundstückseigentümer standen andere Beweismittel zur Verfügung, insb seine eigene Aussage und die seiner Ehegattin als Zeugin. Dem stand lediglich das Bestreiten der Nachbarin gegenüber, die früher bereits ähnliche Störungen begangen hatte. Die Entscheidungsgründe zeigen zudem, dass die Besitzstörung wesentlich auf die glaubwürdigen Aussagen des Grundstückseigentümers und seiner Ehegattin gestützt werden konnte. Das bloße Bestreiten der Nachbarin begründete daher keinen Beweisnotstand. Eine bloß denkmögliche künftige Notstandssituation rechtfertigt die Überwachung nicht. Die Interessenabwägung muss ex ante erfolgen und darf nur die geringstmögliche Verletzung fremder Interessen zulassen. Die vom Grundstückseigentümer angeführten Vorfälle mögen zwar Videokameras erklären, rechtfertigen jedoch keine Tonaufnahmen von Gesprächen außerhalb seines Grundstücks.

Nach der Rechtsprechung des EuGH ist der Betrieb einer Videoüberwachungsanlage an einem Einfamilienhaus keine ausschließlich persönliche oder familiäre Tätigkeit, wenn auch Bereiche außerhalb des eigenen Grundstücks erfasst werden. Dies gilt auch für Anlagen mit Tonaufnahmefunktion. Entscheidend ist nicht, wo die Aufzeichnung ausgelöst wird, sondern dass der Aufnahmebereich über das eigene Grundstück hinausreicht und damit Gespräche auf dem Nachbargrundstück erfasst werden können. Ein berechtigtes Interesse, solche Gespräche aufzuzeichnen, ist nicht erkennbar. Die Datenverarbeitung geht über das erforderliche Maß hinaus. Das Geheimhaltungsinteresse der Nachbarin wiegt höher als das Interesse des Grundstückseigentümers.

·         Die Mitgliedstaaten sind nach Art 3 Abs 1 VO-SIS-Rückkehr dazu verpflichtet, eine erlassene Rückkehrentscheidung in das Schengener Informationssystem (SIS) einzutragen. Art 3 VO-SIS-Rückkehr legt einen klaren Zweck der Ausschreibung – nämlich die Unterstützung bei der Durchsetzung von gegen illegal aufhältigen Drittstaatsangehörigen erlassenen Rückkehrentscheidungen – fest. ISd Art 6 Abs 3 DSGVO bildet die VO-SIS-Rückkehr die Rechtsgrundlage für die Verarbeitung. Die Datenverarbeitung ist zur Erreichung dieses Zwecks in Hinblick auf die Identifizierung der Betroffenen im Raum der Schengener Mitgliedstaaten jedenfalls erforderlich. An der normierten Unterstützung zur Effektuierung erlassener Rückkehrentscheidungen gegen illegal aufhältige Drittstaatsangehörige besteht ein erhebliches öffentliches Interesse (BVwG 22.10.2025, W254 2316529-1).

·         Eine Datenübermittlung durch eine leitende Mitarbeiterin des Verantwortlichen zum Zweck der Personalverwaltung ist dem Verantwortlichen zuzurechnen. Für die Übermittlung von Gesundheitsdaten ist eine ausdrückliche Einwilligung erforderlich. Eine konkludente Einwilligung genügt nicht. Das Aushängen eines Laborbefunds im öffentlich zugänglichen Gang eines Amtshauses erfüllt nicht den Ausnahmetatbestand des Art 9 Abs 2 lit e DSGVO, wonach sensible Daten, die von der Betroffenen offensichtlich öffentlich gemacht wurden, verarbeitet werden dürfen. Denn die vom EuGH geforderte breite Öffentlichkeit liegt nicht vor (BVwG 20.10.2025, W258 2246973-1).

·         In einem gegen den Betroffenen geführten Besitzstörungsverfahren wurden als Beweismittel Lichtbilder vorgelegt. Die Lichtbilder wurden mit einer Handykamera angefertigt, nachdem ein "elektronischer Wachhund" durch einen Signalton über die Besitzstörung informierte. Bilddaten, die das KFZ des Betroffenen vor dem Schuppen an der betreffenden Liegenschaft zeigen, sind personenbezogene Daten des Betroffenen. Das anlassbezogene Erheben von Bilddaten, zB Fotografieren mit einem Handy zur Geltendmachung von gerichtlichen Rechtsbehelfen, ist jedoch zulässig. Ein die Persönlichkeitsrechte des ABGB einschränkender Überwachungsdruck kann im verwaltungsgerichtlichen Verfahren nicht geltend gemacht werden (BVwG 28.08.2025, W298 2280052-1).

·         Das BVwG wies die Bescheidbeschwerde des Betroffenen gegen den Bescheid der DSB mit Erkenntnis ab. Der Betroffene stellte fristgerecht einen Antrag auf Verfahrenshilfe zur Erhebung einer Revision an den VwGH. Auf einen Verbesserungsauftrag des BVwG reagierte er jedoch nicht. Der Verfahrenshilfeantrag wird daher zurückgewiesen (BVwG 23.10.2025, W274 2309030-2).

·         Der Beschuldigte hat gegen die DSGVO verstoßen, indem er über eine Dashcam ohne entsprechende Kennzeichnung samt vorheriger Mitteilung Aufzeichnungen angefertigt und gespeichert hat. Der Schutz des geparkten Fahrzeugs sowie die Dokumentation von Unfallhergängen sind zwar berechtigte Interessen, die Videoaufzeichnungen können aber schon deshalb nicht auf berechtigte Interessen gestützt werden, weil der Beschuldigte die Videoüberwachung nicht gekennzeichnet hat und somit die Betroffenen darüber nicht informierte. Ein Verschulden liegt bereits vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Die verhängte Geldstrafe iHv EUR 600 ist tat- und schuldangemessen (DSB 29.09.2025, 2025-0.682.666).

·         Die Verarbeitung personenbezogener Daten durch einen bestellten Insolvenzverwalter ist als justizielle Tätigkeit anzusehen. Die DSB ist zur Beurteilung solcher Datenverarbeitungen unzuständig (DSB 26.09.2025, 2025-0.117.456).

·         Rechtsanwälte sind datenschutzrechtliche Verantwortliche. Verfasst ein Rechtsanwalt einen Schriftsatz oder legt er Urkunden in einem Gerichtsverfahren vor, in denen personenbezogene Daten verarbeitet werden, ist der Rechtsanwalt – und nicht sein Mandant – als Verantwortlicher anzusehen. Wird der Mandant in der Datenschutzbeschwerde als Beschwerdegegner bezeichnet, darf die DSB den Beschwerdegegner von Amts wegen nicht austauschen (DSB 25.09.2025, 2025-0.432.701).

·         Eine Löschung von Ausschreibungen im Schengener Informationssystem (SIS) ist nur unter bestimmten Voraussetzungen geboten, ua wenn die zuständige Behörde die Entscheidung, aufgrund deren die Ausschreibung eingegeben wurde, zurückgenommen oder für nichtig erklärt hat. Erwächst die der Ausschreibung zugrundeliegende Rückkehrentscheidung in Rechtskraft und ist sie aufrecht, kommt keine Löschung in Betracht (DSB 29.09.2025, 2025-0.754.485).

·         Die österreichische Rechtsordnung anerkennt das Rechtsinstitut der "Verwirkung eines Rechts" nicht. Solange eine Forderung besteht, ist die zugrundeliegende Datenverarbeitung für den Gläubigerschutz sowie zur Risikominimierung gerechtfertigt. Für das Verhängen einer Strafe gemäß § 63 DSG ist die DSB nicht zuständig (DSB 29.09.2025, 2024-0.501.636).

·         Schreitet ein Rechtsanwalt für einen Auskunftswerber ein, genügt die Berufung auf die ihm erteilte Vollmacht (auch) gegenüber einem Verantwortlichen des privaten Bereichs. Die Vorlage der Vollmacht ist nicht erforderlich. Es ist kein Missbrauch des Auskunftsrechts, wenn ein Auskunftsersuchen nur deshalb gestellt wird, weil im Anschluss (möglicherweise) ein Gerichtsverfahren angestrebt werden wird. Das Auskunftsrecht ist ein antragsbedürftiges Recht. Stellt der Auskunftswerber kein Auskunftsersuchen an den Verantwortlichen, kann er in seinem Auskunftsrecht nicht verletzt sein (DSB 01.10.2025, 2025-0.765.344). Anm: Die Oberlandesgerichte verlangen die Vorlage einer Vollmacht, sofern der Rechtsanwalt gegenüber einem Verantwortlichen des privaten Bereichs einschreitet. Somit entsteht zwischen den Rechtsprechungen der OLGs und der DSB eine Judikaturdivergenz.

·         Am 12.12.2025 wurde die "Verordnung (EU) 2025/2518 des Europäischen Parlaments und des Rates vom 26. November 2025 zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679", ABl L 2025/2518, kundgemacht. In dieser VO werden Verfahrensvorschriften für die Durchführung von grenzüberschreitenden Verfahren festgelegt.

·         Am 12.12.2025 wurde das Zweite EU-Informationssysteme-Anpassungsgesetz, BGBl I 2025/87, kundgemacht. Mit dieser Sammelnovelle wird die Interoperabilität zwischen EU-Informationssystemen hergestellt und das Europäische Reiseinformationssystem (ETIAS) eingerichtet.

·         Am 12.12.2025 wurde die "Änderung des Allgemeinen Verwaltungsverfahrensgesetzes 1991", BGBl I 2025/82, kundgemacht. Mit diesem Gesetz wird das AVG-Großverfahren novelliert. Ua soll das Rechtsinformationssystem des Bundes (RIS) als einheitliche elektronische Kundmachungsplattform etabliert werden.

·         Am 18.12.2025 werden die Schlussanträge in der Rs C-604/24, Farmakeio YZ & Sia, veröffentlicht. Gegenstand des Verfahrens ist der Verkauf bestimmter Arzneimittel durch Online-Shops von Apotheken im Fernabsatz durch Dienste der Informationsgesellschaft.

·         Am 18.12.2025 wird das Urteil des EuGH in der Rs C-422/24, Storstockholms Lokaltrafik, veröffentlicht. Der EuGH wird entscheiden, ob die Informationspflichten gemäß Art 13 und 14 DSGVO für Aufnahmen einer am Körper getragenen Kamera gelten. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 31/2025 vom 06.08.2025 nachgelesen werden.

EuGH 02.12.2025, C‑492/23, Russmedia Digital/ Inform Media Press

DSA, Haftungsprivileg, Verantwortlicheneigenschaft

·         Ein Nutzer veröffentlichte auf einer rumänischen Online-Plattform eine Anzeige, in der sensible personenbezogene Daten einer Betroffenen verarbeitet wurden. Die Betroffene klagte ua auf immateriellen Schadenersatz gemäß Art 82 DSGVO. Dem EuGH wurden Fragen zum Verhältnis des Haftungsprivilegs des DSA zur Verantwortlicheneigenschaft der DSGVO vorgelegt.

Der EuGH hat erwogen: Der Betreiber einer Online-Plattform unterliegt als Vermittlungsdiensteanbieter dem DSA. Legt er die Parameter für die Verbreitung der Anzeigen anhand des Zielpublikums und der Einzelheiten der Veröffentlichung fest (zB Darstellung, Dauer, Rubriken, Ranking), wirkt er an der Festlegung der wesentlichen Mittel der Verarbeitung mit. Dadurch nimmt er maßgeblich Einfluss auf die weltweite Verbreitung dieser Daten. Verarbeitet er die Daten zudem für eigene Zwecke (zB Werbung und andere kommerzielle Zwecke), legt er auch den Zweck der Verarbeitung fest und ist daher (Mit-)Verantwortlicher für diese Datenverarbeitung. Ihm obliegt daher die Einhaltung der Grundsätze des Art 5 und der Art 24 f DSGVO.

Der Vermittlungsdiensteanbieter hat mittels geeigneter technischer und organisatorischer Maßnahmen (i) sicherzustellen, dass Anzeigen, die sensible Daten iSd Art 9 DSGVO enthalten, identifiziert werden und (ii) zu prüfen, ob der inserierende Nutzer zugleich jene Person ist, deren sensible Daten in der Anzeige enthalten sind. Ist dies nicht der Fall und kann der inserierende Nutzer keine Einwilligung der Betroffenen oder eine andere Rechtsgrundlage nachweisen, hat der Vermittlungsdiensteanbieter die Veröffentlichung der Anzeige zu verweigern. Außerdem hat er alle nach dem Stand der Technik verfügbaren technischen Maßnahmen in Betracht zu ziehen, um die Kopie und Replikation des Online-Inhalts zu blockieren. In einer solchen Konstellation kann sich der Vermittlungsdiensteanbieter nicht auf das Haftungsprivileg des DSA berufen.

·         Das Auskunftsrecht bezieht sich nicht auf Dokumente, sondern nur auf Daten, die in einem Dokument enthalten sind. Die Mitarbeiter eines Verantwortlichen sind keine Empfänger iSd Datenschutzrechts. Selbst wenn eine Auskunft über konkrete Mitarbeiter erforderlich ist, um dem Betroffenen die Ausübung seiner Datenschutzrechte zu ermöglichen, würde eine entsprechende Auskunft in die Rechte dieser Mitarbeiter eingreifen. Verantwortliche sind nicht verpflichtet, eine Protokollierung vorzusehen, die Informationen über die Identität der Mitarbeiter erfasst. Es gibt auch kein Betroffenenrecht auf die Wiederherstellung gelöschter Daten (EuG 03.12.2025, T-318/24, WS/Kommission).

·         Ist der Markt eines Mitgliedstaats angeblich von der Verwirklichung wettbewerbswidriger Verhaltensweisen betroffen, die darin bestehen, dass der Betreiber einer Online-Plattform, die auf alle in diesem Mitgliedstaat wohnenden Nutzer ausgerichtet ist, eine überhöhte Provision auf den Preis der auf dieser Plattform zum Verkauf angebotenen Apps und der in diesen Apps integrierten digitalen Produkte erhebt, ist das sachlich zuständige Gericht dieses Mitgliedstaats für die Entscheidung über Verbandsklagen zuständig (EuGH 02.12.2025, C-34/24, Stichting Right to Consumer Justice).

·         Eine Videoüberwachung des eigenen Grundstücks ist grundsätzlich zulässig, wenn keine Nutzungsrechte Dritter bestehen. Die Videoüberwachung des Servitutsbereichs kann nicht mit dem allgemeinen Interesse an der Kontrolle des Eigentums gerechtfertigt werden. Ein Eingriff in den höchstpersönlichen Lebensbereich ist einer Interessenabwägung regelmäßig nicht zugänglich. Dass der Servitutsberechtigte zur Kontrolle einer schonenden Ausübung der Dienstbarkeit mit Beobachtung durch den Eigentümer rechnen muss, kann eine Videoüberwachung aufgrund der unterschiedlichen Beobachtungsintensität nicht rechtfertigen und ist nicht unbedingt erforderlich. Ein berechtigtes Interesse an der Videoüberwachung zur persönlichen Sicherheit besteht nicht, wenn keine konkrete Bedrohung durch den Servitutsberechtigten vorliegt und verbale Konflikte vom Eigentümer ausgingen. Ein behauptetes Interesse an der Beobachtung von Wildtieren rechtfertigt die Videoüberwachung nicht, wenn der tatsächliche Zweck die Aufzeichnung des Servitutsberechtigten ist (OGH 11.11.2025, 1Ob155/25p).

BVwG 23.10.2025, W101 2268654-1

Auskunft, Beweislast, Geschäftsgeheimnis

·         Ein ehemaliger Mitarbeiter, der zugleich Kunde seines früheren Arbeitgebers war, richtete an diesen ein Auskunftsersuchen. Da die erteilte Auskunft kaum E-Mails, Termineinträge, Protokolle, Präsentationsunterlagen oder Organigramme enthielt, erachtete der ehemalige Mitarbeiter sie als unvollständig, sodass er Datenschutzbeschwerde bei der DSB erhob. Der ehemalige Arbeitgeber begründete die fehlenden Unterlagen mit dem Schutz von Betriebs- und Geschäftsgeheimnissen. Die DSB wies die Datenschutzbeschwerde ab. Dagegen erhob der ehemalige Mitarbeiter (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Gemäß Art 15 DSGVO hat jede betroffene Person das Recht zu erfahren, ob und welche personenbezogenen Daten verarbeitet werden. Die Auskunft bezieht sich auf den Zeitpunkt der Antragstellung, sodass bereits gelöschte Daten nicht zu beauskunften sind. Dem Betroffenen sind alle ihn direkt oder indirekt betreffenden personenbezogenen Daten mitzuteilen, unabhängig davon, ob und wie diese mit seinem Namen oder einem Kürzel verbunden sind.

Die Beweislast für die Verarbeitung personenbezogener Daten des Betroffenen durch den Verantwortlichen liegt beim Betroffenen. Wird die Unvollständigkeit der Auskunft eingewandt, muss im Beschwerdeverfahren konkret vorgebracht werden, warum dies so ist. Die bloße Vermutung oder hypothetische Argumentation einer unvollständigen Auskunft aufgrund eines unzureichenden Suchverfahrens genügt nicht. Bei der Beantwortung des Auskunftsersuchens trägt der Verantwortliche die Behauptungs- und Beweislast für die positive Erledigung.

Berührt eine Auskunft die Interessen Dritter, ist eine Interessenabwägung iSd Art 6 Abs 1 lit f bzw lit g DSGVO durchzuführen. Die Auskunft darf nur dann erteilt werden, wenn die Gründe für die Beauskunftung jene für die Geheimhaltung überwiegen. Das Durchsuchen aller Mitarbeiter-Mail-Postfächer nach Nachrichten oder Termineinträgen eines Betroffenen widerspricht einerseits dem Erforderlichkeitsgrundsatz des Art 5 DSGVO, andererseits überwiegt das Recht auf Geheimhaltung der betroffenen Mitarbeiter. Darüber hinaus sieht Art 15 Abs 3 DSGVO kein eigenständiges Recht auf Übermittlung einer Datenkopie vor und darf der Verantwortliche dem Antrag des Betroffenen nur insoweit entsprechen, als die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.

Ein Geschäftsgeheimnis, wie etwa Dokumente, die die Berechnung der Wirtschaftlichkeit eines Investitionsvorhabens beinhalten, ist eine Information, die geheim ist, weil sie weder allgemein bekannt noch ohne Weiteres zugänglich ist, von kommerziellem Wert ist und Gegenstand angemessener Geheimhaltungsmaßnahmen und daher nicht zu beauskunften ist.

BVwG 07.10.2025, W292 2285608-1

Auskunft, grenzüberschreitende Verarbeitung, Eizellenspende

·         Eine Minderjährige, die in einer tschechischen Kinderwunschklinik mit dem Samen ihres Vaters und einer anonymen Eizellenspende gezeugt wurde, richtete ein Auskunftsersuchen betreffend den Namen und die Anschrift der Eizellenspenderin an die Kinderwunschklinik. Die Kinderwunschklinik verweigerte die Offenlegung, woraufhin die Minderjährige – vertreten durch ihre Mutter – Datenschutzbeschwerde erhob. Die DSB leitete über das IMI-System ein Verfahren zur Bestimmung der federführenden Aufsichtsbehörde nach Art 56 DSGVO ein. Die tschechische Aufsichtsbehörde übermittelte der DSB einen abweisenden Beschlussentwurf, weil tschechisches Recht einer Beauskunftung der Identität von Samenspendern entgegensteht. Auch die DSB wies die Datenschutzbeschwerde ab. Dagegen erhob die Minderjährige eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Es liegt eine grenzüberschreitende Verarbeitung iSd Art 4 Z 23 lit b DSGVO vor, weil die Kinderwunschklinik in der EU niedergelassen ist und die Verarbeitung erhebliche Auswirkungen auf Betroffene in mehr als einem Mitgliedstaat haben kann, da potenzielle Kunden und Spender aus mehreren Mitgliedstaaten stammen können. Die Kinderwunschklinik hat ihren Sitz nur in einem Mitgliedstaat, dies spricht jedoch nicht automatisch gegen eine grenzüberschreitende Verarbeitung.

Die Zuständigkeit der federführenden Aufsichtsbehörde richtet sich nach der Hauptniederlassung des Verantwortlichen, sodass sich die federführende Zuständigkeit der tschechischen Aufsichtsbehörde ergab. Da die DSB keinen Einspruch gegen den Beschluss der tschechischen Aufsichtsbehörde erhob, trat Bindungswirkung ein. Ein effektiver Rechtsschutz bleibt jedoch gewahrt, weil die Minderjährige der DSB ihr Vorbringen erstatten konnte und der Bescheid im Inland bekämpfbar ist.

Angaben zur Eizellenspenderin sind keine personenbezogenen Daten der Minderjährigen. Die unionsrechtlichen Vorgaben zum Transplantationsrecht erlauben eine Ausgestaltung mit Anonymitätsprinzip. Die tschechischen Rechtsvorschriften setzen diese Vorgaben um, sodass die Anonymität der Eizellenspenderin aufrechtzuerhalten war. Auch der Hinweis auf genetische Nähe ändert daran nichts, weil keine zwei Personen identische genetische Daten aufweisen können. Die Minderjährige kann sich daher nicht auf Art 15 DSGVO stützen, um Informationen über eine dritte Person zu erhalten.

BVwG 23.10.2025, W176 2288880-1

Firmendaten, öffentlich zugängliche Daten, Interessenabwägung

·         Im Rahmen eines Inkassoverfahrens gegen einen Betroffenen legte das beauftragte Inkassobüro die Firmendaten eines Einzelunternehmers offen, dessen Geschäftsanschrift seiner Privatadresse entsprach. Der Betroffene erachtete sich dadurch in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde bei der DSB, die dieser stattgab. Das Inkassobüro erhob (erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Firmenbezeichnung eines eingetragenen Einzelunternehmens ist ein personenbezogenes Datum. Auch öffentlich zugängliche Daten fallen in den Anwendungsbereich der DSGVO. Einschränkungen des Geheimhaltungsanspruchs sind nur aufgrund einer einzelfallbezogenen Interessenabwägung möglich.

Eine Verarbeitung ist nach Art 6 Abs 1 lit f DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Die Forderungsbetreibung ist ein solches berechtigtes Interesse. Da unklar war, ob ein Privatgeschäft vorlag oder nicht, lag es aufgrund der Unterschiede zwischen einseitig und beidseitig unternehmensbezogenen Geschäften im berechtigten Interesse des Gläubigers, zu erfahren, dass an der Adresse des Betroffenen ein Einzelunternehmen betrieben wird. Die Offenlegung der Firmenbezeichnung durch das Inkassobüro diente dieser rechtlichen Einordnung und war angemessen, erforderlich und auf das notwendige Maß beschränkt. Zudem musste der Betroffene damit rechnen, dass bei Zahlungsverzug ein Inkassobüro eingeschaltet wird und dieses offenlegt, dass an der Rechnungsadresse ein Einzelunternehmen geführt wird.

Die Beeinträchtigung war überdies gering, weil die Angaben im Firmenbuch und auf der Webseite des Einzelunternehmens öffentlich zugänglich waren und somit eine geringere Schutzwürdigkeit aufwiesen. Ein bloß hypothetisches Risiko auf Rufschädigung begründet kein überwiegendes Geheimhaltungsinteresse. Da nur die Firmenbezeichnung offengelegt wurde, wurde der Grundsatz der Datenminimierung eingehalten. Die Verarbeitung war daher rechtmäßig.

·         Die Übermittlung personenbezogener Daten durch einen Rechtsanwalt im Rahmen einer außerordentlichen Revision an den VwGH ist nach Art 6 Abs 1 lit f DSGVO zulässig. Der Rechtsanwalt ist dabei Verantwortlicher iSd Art 4 Z 7 DSGVO. Die Erforderlichkeit ist weit auszulegen. Vorgebrachte Informationen sind nicht bereits deshalb überschießend, weil das Gericht sie für unerheblich erachtet oder sich auf andere Informationen stützt. Maßgeblich ist, dass der Verantwortliche vorab abstrakt einschätzen kann, ob die Daten dem Gericht dienlich sein können. Im Rahmen der gebotenen Interessenabwägung kommt dem Recht auf ein faires Verfahren und der effektiven Rechtsdurchsetzung besonderes Gewicht zu. Angesichts des hohen Gewichts des fairen Verfahrens und der anwaltlichen Verschwiegenheitspflicht überwiegt regelmäßig das Interesse an effektiver Rechtsdurchsetzung, sofern keine offensichtlich überschießende Datenübermittlung vorliegt (BVwG 25.09.2025, W252 2289069-1).

·         Eine auf Art 9 Abs 2 DSGVO gestützte Verarbeitung sensibler Daten ist nur dann rechtmäßig, wenn sie neben den Anforderungen des Art 9 Abs 2 DSGVO auch mindestens eine der in Art 6 Abs 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt. Die Verarbeitung besonderer Kategorien personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen ist rechtmäßig, wenn die Betroffene selbst eine Disziplinaranzeige samt Beweisurkunden bei der zuständigen Stelle einbringt und die Verarbeitung zur Beurteilung der Disziplinaranzeige erforderlich ist (BVwG 25.09.2025, W252 2292573-1).

·         Der Grundsatz der Datenrichtigkeit (Art 5 Abs 1 lit d und Abs 2 DSGVO) verpflichtet Verantwortliche, personenbezogene Daten "sachlich richtig und erforderlichenfalls auf dem neuesten Stand" zu halten. Sachlich richtig sind Daten, wenn sie der Realität entsprechen, wobei der Verarbeitungszweck den maßgeblichen Beurteilungsmaßstab bildet. Hinweisen auf eine mögliche Unrichtigkeit – etwa aufgrund eines Löschersuchens – muss nachgegangen werden. Aus dem Grundsatz der Datenrichtigkeit ergibt sich daher auch die Pflicht, angemessene technische und organisatorische Maßnahmen zu treffen, um die Datenrichtigkeit sicherzustellen. Umfang und Intensität dieser Maßnahmen richten sich nach dem Grundsatz der Verhältnismäßigkeit unter Berücksichtigung des Prüfungsaufwands, Verarbeitungszwecks und Verarbeitungsrisikos unrichtiger Daten für die Betroffene. Eine jederzeitige Datenrichtigkeit ist nicht erforderlich. Aus Gründen der praktischen Umsetzbarkeit sind Aktualisierungsfrequenz und Aufwand auf ein zumutbares Maß zu beschränken. Verarbeitet die Verantwortliche umfangreiche Datensätze zu (theoretisch) allen Einwohnern Österreichs, ist ihr die damit einhergehende Problematik von "Datenzwillingen" bekannt, sodass spätestens nach der erfolgten Anzeige der Betroffenen eine erweiterte Überprüfung hätte stattfinden müssen (BVwG 14.10.2025, W137 2236019-1).

·         Auf Tatsachenangaben beruhende Schlussfolgerungen eines Sachverständigen im Rahmen eines Gutachtens sind die subjektive Meinung eines Gutachters, deren Richtigkeit oder Unrichtigkeit sich einer Tatsachenüberprüfung entzieht und somit keiner Berichtigung iSd Art 16 DSGVO zugänglich ist. Die "Richtigstellung" einer gutachterlichen Meinung im Sinne einer Anpassung an eine andere, ebenso subjektive Meinung kann nicht Gegenstand einer auf Art 16 DSGVO gestützten Datenschutzbeschwerde sein (BVwG 06.10.2025, W256 2278150-1).

·         Das Speichern und Ordnen von E-Mails eines vom Dienst enthobenen Bundesheerobersts aufgrund einer dienstlichen Weisung fällt nicht in den Bereich der Wahrung der nationalen Sicherheit und unterliegt daher der DSGVO. Ein Beamter, der vorübergehend einer anderen Dienststelle zugeteilt ist, wird gemäß § 39 BDG nicht automatisch von seinen für die vorige Dienststelle ausgeführten Aufgaben entbunden. Dienstliche Aufgaben können mit einer Weisung nach § 43 BDG konkretisiert werden. Handelt ein Beamter auf Grundlage einer solchen Weisung, liegt keine rechtswidrige Offenlegung bzw kein rechtswidriger Zugriff vor und war die Datenverarbeitung rechtmäßig (BVwG 10.09.2025, W137 2297602-2).

·         Eine dienstlich veranlasste Datenschutzbelehrung ist als Weisung zu verstehen. Verbietet das in der Datenschutzbelehrung normierte "need-to-know-Prinzip" den Zugriff auf personenbezogene Daten in dienstlichen Datenbanken (wie PERSIS), rechtfertigt die Beweissicherung für eine vom Beamten selbst eingebrachte Beschwerde nicht den Zugriff, weil deren Bearbeitung nicht seine dienstliche Aufgabe war. Ein Rechtsirrtum ist nur dann rechtfertigend oder entschuldigend, wenn der Betreffende die Richtigkeit seiner Rechtsmeinung durch Nachfrage bei der Behörde überprüft hat. Unterlässt der Beamte diese Nachfrage trotz eindeutigen Wortlauts der Weisung, liegt grobe Fahrlässigkeit vor. Generalpräventiv ist eine strenge Bestrafung geboten, um allen Beamten vor Augen zu führen, dass der Zugriff auf dienstliche Datenbanken nicht für private Anliegen genutzt werden darf, auch nicht mit dem Einverständnis des von der Abfrage Betroffenen (BVwG 01.10.2025, W170 2314010-1).

·         Der Personenbezug setzt ein materielles Element voraus, also dass Angaben über einen Betroffenen gemacht werden. Die Tatsache, dass ein Arbeitnehmer anstelle eines Impfnachweises täglich einen negativen PCR-Test als Nachweis einer geringen epidemiologischen Gefahr vorlegt, lässt keine zwingenden Rückschlüsse auf dessen Impfstatus zu, wenn die Rechtsvorschriften die Bekanntgabe einer Impfung nicht zwingend vorschreiben, sondern als gleichwertige Möglichkeit eines Nachweises vorsehen. Eine (indirekte) Offenlegung und damit eine Verletzung im Recht auf Geheimhaltung liegt nicht vor (BVwG 05.09.2025, W256 2255025-1).

·         Die Erlassung eines Mandatsbescheids gemäß § 22 Abs 4 DSG iVm § 57 Abs 1 AVG zur Untersagung der Weiterführung einer Datenverarbeitung setzt eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen voraus (Gefahr im Verzug). Eine solche liegt nicht vor, wenn die behaupteten Datenschutzverletzungen zum Zeitpunkt der Antragstellung bereits mehrere Monate zurückliegen und keine konkreten Anhaltspunkte für eine gegenwärtige oder künftige Gefährdung bestehen. Das Vorliegen der Gefahr im Verzug muss mit einzelfallbezogenen Tatsachen begründet werden. Reine Spekulationen, hypothetische Erwägungen, allgemeine Besorgnis hinsichtlich zukünftiger oder lediglich auf Alltagserfahrung gestützte, fallunabhängige Vermutungen genügen nicht (BVwG 04.09.2025, W252 2287329-1).

·         Dem Beschwerdeführer wurde eine Mutwillensstrafe von EUR 700 auferlegt, weil er seit 2018 insgesamt 341 Datenschutzbeschwerden bei der DSB eingereicht hatte und im konkreten Verfahren eine 137-seitige Datenschutzbeschwerde sowie im Rahmen seiner Bescheidbeschwerde 76 Schriftsätze samt Beilagen vorlegte. Durch diese überwiegend unstrukturierten, grund- und aussichtslosen Eingaben wurde das BVwG wiederholt belastet. Sein Antrag, das BVwG möge die DSB verpflichten, ihm eine detaillierte Aufstellung aller protokollierten Verfahren zu übermitteln, zeigt, dass der Beschwerdeführer aus bloßer Freude an der Behelligung des Gerichts und damit mutwillig handelt, zumal die Aussichtslosigkeit weiterer Eingaben für jedermann erkennbar ist. Sein Verhalten ist daher als offenkundig rechtsmissbräuchlich zu werten (BVwG 16.09.2025, W292 2273455-1).

·         Ein Antrag, medizinische Gutachten und Dokumente vollständig von der Akteneinsicht auszunehmen, ist überschießend, wenn diese das zentrale Element des Ordnungsstrafverfahrens bilden. Datenschutzrechtlich sensible, aber für den Verfahrensgegenstand irrelevante Passagen (zB Vorgeschichte oder Anamnese) sind im Rahmen einer Interessenabwägung ohnehin durch das Gericht von der Akteneinsicht auszunehmen (BVwG 07.10.2025, W137 2307782-1).

·         Die Erlassung eines antragsbedürftigen Bescheids nach § 4 AuskunftspflichtG von Amts wegen ohne einen eindeutigen diesbezüglichen Antrag belastet den Bescheid mit Rechtswidrigkeit. Das AuskunftspflichtG ist nicht geeignet, um eine Akteneinsicht nach § 17 AVG durchzusetzen, weil die Auskunftserteilung nach dem Auskunftspflichtgesetz nicht die Gewährung der im AVG geregelten Akteneinsicht bedeutet (BVwG 08.09.2025, W605 2309836-1).

LVwG Vorarlberg 09.10.2025, LVwG-352-2/2025-R12

Informationsbegehren, public watchdog, politische Meinung, Standort

·         Ein Journalist beantragte per E-Mail die Übermittlung der gemäß § 1c Abs 2 Parteienförderungsgesetz (PFG) zu führenden PDF-Dateien mit den genauen Standorten der Wahlplakate für die Vorarlberger Landtagswahl 2024. Die Landespressestelle Vorarlberg lehnte dies aus Datenschutzgründen ab. Nach dem Antrag des Journalisten auf bescheidmäßige Erledigung lehnte die Vorarlberger Landesregierung das Auskunftsbegehren mittels Bescheid ab. Der Journalist erhob (erfolglos) Bescheidbeschwerde an das LVwG Vorarlberg und berief sich auf Art 10 EMRK sowie seine Rolle als public watchdog. Die Vorarlberger Landesregierung hielt dem entgegen, dass die Standortdaten personenbezogen seien und Rückschlüsse auf politische Meinungen der Grundstückseigentümer zuließen, womit besondere Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO betroffen seien.

Das LVwG hat erwogen: Die Standorte von Wahlplakaten und die darin enthaltenen Adressen sind personenbezogene Daten. Sie fallen zudem unter besondere Kategorien personenbezogener Daten iSd Art 9 DSGVO, weil sich daraus politische Meinungen der Grundstückseigentümer ableiten lassen. Bereits die Möglichkeit einer ableitbaren politischen Meinung genügt für diese Einstufung. Die Lebenserfahrung spricht für eine Zustimmung zur Plakataufstellung nur bei zumindest positiver politischer Affinität.

Eine Weitergabe dieser Daten bedarf einer Rechtfertigung. Die in Art 9 Abs 2 DSGVO normierten Ausnahmen greifen jedoch nicht. Die Daten sind nicht offensichtlich öffentlich gemacht iSd Art 9 Abs 2 lit e DSGVO, weil die Grundstückseigentümer weder die Plakate selbst aufgestellt noch die PDF-Dateien iSd § 1c Abs 2 PFG erstellt und an die Landesregierung übermittelt haben. Bloße Sichtbarkeit im öffentlichen Raum begründet keine Öffentlichmachung iSd DSGVO. Auch ein erhebliches öffentliches Interesse iSd Art 9 Abs 2 lit g DSGVO liegt nicht vor, weil das Auskunftsgesetz keine hinreichend bestimmte gesetzliche Grundlage für die Verarbeitung besonderer Kategorien bietet.

Für den Zugang zu Informationen nach Art 10 EMRK sind der Zweck der Anfrage, die Art der begehrten Information, die Rolle des Antragstellers sowie die Verfügbarkeit der Information maßgeblich. Zwar erfüllt der Journalist die Rolle eines public watchdog. Das öffentliche Interesse an den konkreten Standortdaten überwiegt aber nicht das Datenschutzinteresse der Grundstückseigentümer. Die bestehenden Kontrollmechanismen nach dem PFG sichern das öffentliche Interesse bereits ausreichend ab.

Auch eine Teilbeantwortung scheidet aus, weil der Behörde die Zuordnung der gemeldeten 2.700 Adressen zu natürlichen oder juristischen Personen nicht vorliegt und eine entsprechende Erhebung die Erfüllung übriger Aufgaben wesentlich beeinträchtigen würde.

·         Die Bürgermeisterin einer Gemeinde ist sowohl im eigenen als auch im übertragenen Wirkungsbereich ein informationspflichtiges Organ iSd IFG. Der innergemeindliche Instanzenzug im eigenen Wirkungsbereich der Gemeinde ist im Anwendungsbereich des IFG ausgeschlossen. Eine Information iSd IFG ist jedoch nur eine Aufzeichnung, die in irgendeiner (beliebigen) Form gespeichert wird. In mündlicher Form durch persönliche Gespräche oder Telefonate eingeholte Rechtsauskünfte sind keine Informationen iSd IFG (LVwG Kärnten 13.11.2025, KLVwG-1828/5/2025). Anm: Nähere Informationen zu den Geheimhaltungsgründen des IFG insb iZm privaten Informationspflichtigen finden Sie in der RDB (Paywall): Cudlik/Petschinka, Ausgewählte Fragen der Geheimhaltung im IFG, ecolex 2025, 847.

·         Eine E-Mail betreffend eine Studie über bestimmte Altlasten fällt in den Wirkungsbereich der Bürgermeisterin der Gemeinde. Eine solche E-Mail ist grundsätzlich eine Information iSd IFG. Ist die E-Mail jedoch nicht mehr vorhanden, weil sie gelöscht wurde, kann die Information dennoch nicht erteilt werden (LVwG Kärnten 06.11.2025, KLVwG-1830/5/2025). Anm: Ist eine Information nicht (mehr) vorhanden, ist im Datenschutzrecht eine Negativauskunft zu erteilen.

DSB 25.09.2025, 2025-0.355.103

Automatisierte Entscheidung, Scoring, Auskunftei, Energieversorger

·         Ein Energieversorger lehnte einen Online-Antrag auf Energielieferung wenige Minuten nach einer automatisierten Bonitätsabfrage bei einer Auskunftei ab. Grundlage der Entscheidung war ein von der Auskunftei automatisiert berechneter Score. Der Betroffene erhob daraufhin Datenschutzbeschwerde, ua wegen einer unzulässigen automatisierten Entscheidung nach Art 22 DSGVO, unzureichender Informationen nach Art 13 und  14 DSGVO sowie mangelhafter Auskünfte nach Art 15 DSGVO. Die DSB gab der Datenschutzbeschwerde gegen die Auskunftei überwiegend statt, gegen das Energieunternehmen hingegen nur teilweise.

Die DSB hat erwogen: Der Score wurde von der Auskunftei vollständig automatisiert berechnet und war maßgebliche Grundlage für die Ablehnungsentscheidung des Energieversorgers. Der gesamte Ablehnungsprozess beim Energieversorger erfolgte ohne menschliches Zutun. Art 22 Abs 1 DSGVO ist daher sowohl auf die Score-Erstellung durch die Auskunftei als auch auf die darauf gestützte Entscheidung des Energieversorgers anwendbar.

Die Datenverarbeitung durch den Energieversorger war gemäß Art 22 Abs 2 lit a DSGVO rechtmäßig, weil die Bonitätsprüfung zur Entscheidung über den Vertragsabschluss angesichts monatlich tausender Anträge erforderlich ist. Zudem standen dem Betroffenen die nach Art 22 Abs 3 DSGVO vorgesehenen Garantien (menschliche Überprüfung, eigene Stellungnahme) faktisch offen. Eine Verletzung des Art 22 DSGVO durch den Energieversorger lag daher nicht vor. Bei der Auskunftei hingegen lag kein Ausnahmetatbestand des Art 22 Abs 2 DSGVO vor. Die automatisierte Berechnung und Übermittlung des Score-Wertes war daher eine unzulässige automatisierte Entscheidung.

Beide Unternehmen verletzten die erforderlichen Informationspflichten. Weder die Auskunftei noch der Energieversorger informierten den Betroffenen in ihren Datenschutzerklärungen über das Bestehen einer automatisierten Entscheidungsfindung sowie über die involvierte Logik, Tragweite und angestrebten Auswirkungen.

·         Werden personenbezogene Daten zur Wahrung berechtigter Interessen veröffentlicht, ist auch dann, wenn das berechtigte Interesse vorliegt, zu prüfen, ob die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich ist. Der Beschuldigte hat die gegen ihn eingebrachte Privatanzeige eines Bürgermeisters veröffentlicht. Der Bürgermeister einer Gemeinde ist eine Person des öffentlichen Lebens, weshalb ihm gegenüber ein höheres Maß an (sachlicher) Kritik erlaubt ist. Die Veröffentlichung der privaten Wohnadresse sowie des Geburtsdatums des Bürgermeisters war dennoch objektiv nicht erforderlich. Ein Verschulden liegt bereits dann vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Dem Beschuldigten musste klar sein, dass es einschlägige Datenschutzvorschriften gibt, denn über die DSGVO wurde bei deren Wirksamwerden im Jahr 2018 breit in der Öffentlichkeit informiert und diskutiert. Die verhängte Geldstrafe iHv EUR 80 erscheint im Lichte des verwirklichten Tatunwerts iVm dem Einkommen und Vermögen des Beschuldigten tat- und schuldangemessen (DSB 18.11.2025, 2025-0.902.556).

·         Rechtsanwälte sind Verantwortliche iSd DSGVO. Das Erheben personenbezogener Daten des Mandanten beim Betreiber einer Website und die anschließende Offenlegung dieser Daten in einem zivilgerichtlichen Verfahren ist eine Aneinanderreihung von Verarbeitungsvorgängen. Diese Verarbeitungsvorgänge sind separat zu prüfen. Die Datenerhebung ist zur Überprüfung der konkret verarbeiteten Daten auch dann berechtigt, wenn sich herausstellt, dass die vermeintlich widerrechtliche Verwendung des Namens und der Adresse des Mandanten tatsächlich durch eine Person erfolgte, die denselben Namen wie der Mandant hat. Im zivilgerichtlichen Verfahren durften die Daten zur Geltendmachung von Rechtsansprüchen des Mandanten offengelegt werden (DSB 24.09.2025, 2025-0.533.437).

·         Zum Schutz des Eigentums, der Gesundheit und des Lebens einer unter Erwachsenenschutz gestellten Person wurde eine Videotürklingel mit Aufnahme- und Speicherfunktion installiert. Der Schutz der genannten Rechtsgüter ist ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO. Die Datenverarbeitung war aber nicht in dem Umfang erforderlich, dass der Zugangsbereich zum Haus und somit sämtliche Nachbarn sowie die Wohnungstür der Betroffenen mitaufgezeichnet werden mussten. Als gelinderes Mittel hätte ein "digitaler Spion" mit Echtzeitüberwachung ohne Aufnahme und Speicherung von Bilddaten angebracht werden dürfen (DSB 24.09.2025, 2025-0.757.118).

·         Das Versenden einer E-Mail infolge eines Typos an die falsche E-Mail-Adresse ist eine Verletzung des Grundrechts auf Geheimhaltung, weil die Daten des Betroffenen unrechtmäßig offengelegt werden. Auf ein etwaiges Verschulden kommt es nicht an (DSB 23.09.2025, 2025-0.746.088).

·         Kann eine Person anhand ihres Vornamens und Benutzernamens von Teilnehmern eines Livestreams identifiziert werden, sind diese Informationen als personenbezogene Daten zu qualifizieren. Durch die Veröffentlichung im Livestream werden diese Daten offengelegt (DSB 19.09.2025, 2025-0.470.791).

·         Erhebt ein Verantwortlicher irrtümlich personenbezogene Daten für den Zweck eines Newsletter-Versands, ist die Datenverarbeitung rechtswidrig. Aus der Rechtswidrigkeit der innereuropäischen Verarbeitung resultiert auch die Rechtswidrigkeit der Übermittlung der personenbezogenen Daten ins Drittland (USA) (DSB 31.07.2024, 2023-0.521.417).

·         Am 02.12.2025 wurde der Entwurf der "Commission Implementing Regulation laying down rules for the application of Regulation (EU) 2024/1689 of the European Parliament and of the Council as regards the establishment, development, implementation, operation and supervision of AI regulatory sandboxes", Ares(2025)10569703, veröffentlicht. Mit dieser DurchführungsVO wird der Einsatz von KI-Reallaboren iSd der KI-VO näher geregelt.

·         Am 02.12.2025 wurde der Entwurf der "Commission Implementing Regulation laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards onboarding of users to the European Digital Identity Wallets by electronic identification means conforming to assurance level high or by electronic identification means conforming to assurance level substantial in conjunction with additional remote onboarding procedures where the combination meets the requirements of assurance level high", Ares(2025)10575642, veröffentlicht. Mit dieser DurchführungsVO werden Referenzstandards für die Einbindung der Nutzer in die europäische Brieftasche für die Digitale Identität iSd eIDAS-VO festgelegt.

·         Am 03.12.2025 nahm der EDSA den Entwurf der "Recommendations 2/2025 on the legal basis for requiring the creation of user accounts on e-commerce websites" an. Der EDSA empfiehlt, die Benutzung von e-commerce Websites als "Gast" mit wenigen Ausnahmen zu ermöglichen.

·         Am 04.12.2025 wurde das vorarlbergerische "Gesetz über eine Änderung des Gesetzes über landesspezifische Regelungen zum Datenschutz", LGBl 2025/73, kundgemacht. Mit dieser Novelle wird die Veröffentlichung von Förderdaten und ihre Abfrage in der Transparenzdatenbank geregelt.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-468/24, Netz Niederösterreich, veröffentlicht. Gegenstand des Verfahrens sind intelligente Messgeräte (Smart Meter) und die Frage, ob Stromnetze auch elektronische Kommunikationsnetze sein können.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-684/24, Across Fiduciaria, veröffentlicht. Gegenstand des Verfahrens sind der Zugang zu Informationen über wirtschaftliche Eigentümer und die Auslegung des unbestimmten Begriffs des berechtigten Interesses.

·         Am 18.12.2025 werden die Schlussanträge in der Rs C-604/24, Farmakeio YZ & Sia, veröffentlicht. Gegenstand des Verfahrens ist der Verkauf bestimmter Arzneimittel durch Online-Shops von Apotheken im Fernabsatz durch Dienste der Informationsgesellschaft.

·         Am 18.12.2025 wird das Urteil des EuGH in der Rs C-422/24, Storstockholms Lokaltrafik, veröffentlicht. Der EuGH wird entscheiden, ob die Informationspflichten gemäß Art 13 und 14 DSGVO für Aufnahmen einer am Körper getragenen Kamera gelten. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 31/2025 vom 06.08.2025 nachgelesen werden.

·         Die Regulierung des Glücksspiels ist in der Union nicht harmonisiert. Das Herkunftslandprinzip der E-Commerce-RL 2000/31/EG gilt deshalb nicht für das Angebot von Glücksspielen. Daran hat auch das Gesetz über digitale Dienste ("DSA") nichts geändert. Die Beschränkung von Werbung kann Teil der Politik eines Mitgliedstaats zur Regulierung von Glücksspiel sein. Die Tätigkeit einer Video-Sharing-Plattform ist aber weder das Angebot von Glücksspiel noch Werbung dafür. Eine Video-Sharing-Plattform fällt auch dann unter die Haftungsbefreiung für Hosting-Anbieter, wenn über die Plattform Glücksspielwerbung verbreitet wird, sofern sie nicht in die hochgeladenen Inhalte eingreift. Eine Vergütung für die Dienstleistung oder eine Anzeigeoptimierung schadet nicht (EuGH SA 27.11.2025, C-421/24, AGCOM).

VwGH 22.10.2025, Ra 2023/04/0075

Videoüberwachung, § 12 DSG, berechtigte Interessen, Datenminimierung, Verhältnismäßigkeit

·         Auf einer Liegenschaft in der Nähe einer Straßenbahnstation kam es vor, dass Passanten ihre Notdurft im Hauseingang, im Hof oder auf den Stiegen verrichteten. Es kam auch zu Sachbeschädigungen und einer Brandstiftung. Die Liegenschaftseigentümerin installierte daher ua eine funktionstüchtige Videokamera. Die Kamera war gekennzeichnet und wurde noch unter dem alten DSG 2000 registriert. Nach der Registrierung wurde der Aufnahmebereich jedoch geändert. Ein Mieter fühlte sich in seinem Geheimhaltungsrecht verletzt und brachte eine erfolgreiche Datenschutzbeschwerde ein. Das BVwG wies die Bescheidbeschwerde der Liegenschaftseigentümerin ab und führte ua aus, dass § 12 DSG mit der DSGVO unvereinbar sei und daher nicht zur Anwendung gelange. Über außerordentliche Revision der Liegenschaftseigentümerin hob der VwGH infolge Verletzung von Verfahrensvorschriften das Erkenntnis des BVwG auf.

Der VwGH hat erwogen: Die DSGVO ist eine EU-Verordnung (VO). Innerstaatliche Vorschriften, die die Tragweite einer VO beeinträchtigen, sind unionsrechtswidrig. Dennoch können Verordnungsbestimmungen für ihre Durchführung den Erlass von Maßnahmen durch die Mitgliedstaaten erfordern. Solche Durchführungsmaßnahmen sind zulässig, wenn sie die unmittelbare Anwendbarkeit der VO nicht vereiteln, deren unionsrechtliche Natur nicht verbergen und nur die Ausübung des durch die VO verliehenen Ermessens konkretisieren.

Grundsätzlich bestehen keine Bedenken dagegen, dass in innerstaatlichen Vorschriften bestimmte Interessen als berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO normiert werden. Es spricht auch nichts dagegen, den Schutz des Eigentums oder von Personen an bestimmten besonders gefährdeten Orten als (zulässiges) berechtigtes Interesse anzuerkennen. Mit der Regelung des § 12 Abs 2 Z 4 iVm Abs 3 Z 2 DSG (Videoüberwachung an bestimmten besonders gefährdeten Orten) hat der Gesetzgeber jedoch die Interessenabwägung auf gesetzlicher Ebene zugunsten einer zulässigen Bildverarbeitung vorweggenommen. Dadurch wird die Berücksichtigung der konkreten Umstände des Einzelfalls durch die DSB und das BVwG verhindert, weshalb diese Bestimmungen mit dem Unionsrecht unvereinbar sind und unangewendet zu bleiben haben.

Es fehlt allerdings eine nachvollziehbare Begründung des BVwG, weshalb es die Erforderlichkeit der Videoüberwachung zwar bejaht, aber gleichzeitig von einer Unverhältnismäßigkeit der Videoüberwachung ausgeht. Mit dem Grundsatz der Datenminimierung wird der Grundsatz der Verhältnismäßigkeit zum Ausdruck gebracht. Dieser ist gemeinsam mit der Voraussetzung der Erforderlichkeit der Datenverarbeitung zu prüfen. Diese Voraussetzung verlangt eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen, welche unter Berücksichtigung der spezifischen Umstände des Einzelfalls vorzunehmen ist.

Bei der Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen sind insb die vernünftigen Erwartungen der Betroffenen sowie der Umfang der fraglichen Verarbeitung und deren Auswirkungen auf diese Person zu berücksichtigen. Zu den konkreten Umständen der Videoüberwachung, die im Rahmen der Interessenabwägung zu berücksichtigen sind, zählen weiters der räumliche und zeitliche Umfang der Videoüberwachung, ob die Videoüberwachung auf bestimmte Bereiche begrenzt ist, die Form der Beobachtung, die Zugriffsbeschränkungen sowie die Speicherdauer.

Eine fortdauernde Videoüberwachung ist ein erheblicher Eingriff in das Geheimhaltungsrecht. Auch bei einer "fortdauernden Videoüberwachung" hat jedoch eine Auseinandersetzung mit den jeweiligen Umständen des Einzelfalls, ua mit dem Umfang der fraglichen Verarbeitung und deren Auswirkungen auf die Betroffenen, zu erfolgen. Zu beachten ist, dass die Videoaufnahmen nach drei Tagen automatisch gelöscht wurden. Zu prüfen wäre zudem gewesen, ob die überwiegende Mehrzahl der Mieter der Videoüberwachung zugestimmt hätte, was sie bei einer anderen Videokamera betreffend dieselbe Liegenschaft getan hat. Anm: Der VwGH hat § 12 Abs 2 Z 4 iVm Abs 3 Z 2 DSG für unionsrechtswidrig erklärt. Gleichzeitig sprach er erstmals aus, dass der nationale Gesetzgeber berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO festlegen darf, solange eine einzelfallbezogene Überprüfung möglich bleibt. Bemerkenswert ist die Klarstellung des VwGH, dass der Datenminimierungsgrundsatz den Verhältnismäßigkeitsgrundsatz zum Ausdruck bringt und gemeinsam mit der Erforderlichkeit zu prüfen ist. Zudem skizziert der VwGH einen Leitfaden für die Zulässigkeitsprüfung von Videoüberwachungen.

·         Die betriebliche Echtzeit-Videoüberwachung einer Verkaufsfläche und die gezielte Anfertigung einzelner Screenshots vom Livestream zur Beweissicherung der Pflichtverletzung einer Arbeitnehmerin sind bei vorheriger schriftlicher Information/Einwilligung und überwiegendem berechtigten Interesse nach Art 6 Abs 1 lit f DSGVO iVm § 12 DSG verhältnismäßig und zulässig. Mangels Verbreitung der Screenshots liegt auch keine Verletzung des Rechts am eigenen Bild nach § 78 UrhG vor (OLG Wien 25.09.2025, 7Ra17/25h).

·         Gemäß § 115f StPO ist die Beschlagnahme von Datenträgern und Daten zulässig, wenn sie aus Beweisgründen erforderlich erscheint und bestimmte Tatsachen die Annahme rechtfertigen, dass dadurch wesentliche Informationen zur Aufklärung einer Straftat ermittelt werden können. Eine Beschlagnahme darf daher nicht bloß zur Sicherheit oder zur Vorsicht erfolgen und nicht dazu dienen, erst einen Verdacht zu begründen. Ein solcher Eingriff berührt sowohl Art 8 EMRK als auch § 1 DSG und unterliegt daher einer strengen Verhältnismäßigkeitsprüfung. Entscheidend sind insbesondere die Schwere und Art der Straftat, die Intensität des Tatverdachts, die Art der betroffenen Daten, der Speicherort sowie der voraussichtliche Zeitraum der Auswertung. Die Beschlagnahme darf jeweils nur für jenen Zeitraum angeordnet und bewilligt werden, der zur Erreichung ihres Zwecks erforderlich ist. Liegen die Voraussetzungen für die Beschlagnahme nicht mehr vor, ist diese gemäß § 115f Abs 9 StPO gerichtlich aufzuheben (OLG Wien 07.10.2025, 20Bs245/25p; OLG Innsbruck 07.10.2025, 7Bs232/25p).

·         Hinsichtlich der Kosten der Beteiligten eines Verwaltungsverfahrens gilt, dass ein Kostenersatz zwischen den Beteiligten nur dann stattfindet, wenn die Verwaltungsvorschriften ausnahmsweise eine entsprechende Regelung enthalten (§ 74 AVG). Einen solchen Kostenersatz für Verfahrenskosten (insb Rechtsanwaltskosten) sehen weder die DSGVO noch das DSG vor. Unter bestimmten Voraussetzungen können die Kosten des Verwaltungsverfahrens jedoch als Schadenersatz im Zivilrechtsweg geltend gemacht werden. Der Einwand der Unzulässigkeit des Rechtswegs trifft daher nicht zu. Dies gilt etwa bei der Übertretung einer privatrechtlichen Vereinbarung oder wenn Kosten als Rettungsaufwand angefallen sind, um eine Gefahr abzuwenden. Ein Rettungsaufwand kann nur unvermeidbare Verfahrenshandlungen umfassen (OLG Wien 21.03.2024, 13R3/24t).

·         Ohne Zustimmung aller Parteien ist einem Dritten Akteneinsicht nur zu gewähren, soweit der Antragsteller ein rechtliches Interesse glaubhaft macht und keine überwiegenden Interessen (berechtigte Interessen eines anderen oder öffentliche Interessen nach Art 23 Abs 1 DSGVO) entgegenstehen. Ein rechtliches Interesse muss in der Rechtsordnung begründet und von ihr gebilligt sein. Es kann insb durch die Verfolgung von Ansprüchen begründet sein. Das ist gegeben, wenn die Rechtsposition des Antragstellers durch Kenntnis eines Sachverständigengutachtens günstig beeinflusst werden kann (OLG Innsbruck 05.06.2025, 2R65/25p).

BVwG 03.09.2025, W292 2248134-1

Exzess, Auslandsbezug, hohe Anzahl

·         Ein Student nutzte verschiedene Online-Dienste, legte dort zahlreiche Nutzerkonten an und gab dort seine personenbezogenen Daten bekannt. Anschließend stellte er zwischen Februar und August 2021 sechzehn Auskunfts- und Löschersuchen an verschiedene, überwiegend im Ausland ansässige Verantwortliche. Er begründete die Vielzahl seiner Ersuchen damit, wissen zu wollen, welche personenbezogenen Daten bei den unterschiedlichen Online-Diensten vorhanden sind. Die Online-Dienste beantworteten seine Auskunfts- oder Löschersuchen häufig erst nach Ablauf der Monatsfrist des Art 12 Abs 3 DSGVO. Der Student erhob ua bereits einen Tag nach Fristablauf Datenschutzbeschwerden an die DSB. Die DSB lehnte die Behandlung der Datenschutzbeschwerden gemäß Art 57 Abs 4 DSGVO ab. Der Student erhob dagegen erfolglos Bescheidbeschwerde an das BVwG. Der VwGH setzte das Verfahren bis zur Entscheidung des EuGH 09.01.2025, C-416/23 (Österreichische Datenschutzbehörde) aus und hob in weiterer Folge das Erkenntnis des BVwG wegen inhaltlicher Rechtswidrigkeit auf. Das BVwG wies die Bescheidbeschwerde des Studenten im zweiten Rechtsgang ab.

Das BVwG hat erwogen: Bei der Beurteilung, ob eine Unverhältnismäßigkeit bei der Antragstellung durch den Studenten vorliegt, spielt die Anzahl der gestellten Anträge eine gewichtige Rolle. Das Einbringen von sechzehn Datenschutzbeschwerden während eines Betrachtungszeitraums von nur rund sieben Monaten in ähnlich gelagerten Fällen mit Auslandsbezug kann als erhebliche Anzahl an anhängig gemachten Verfahren vor der DSB angesehen werden. Darüber hinaus kommen bei Verfahren, in welchen die datenschutzrechtlich Verantwortlichen außerhalb Österreichs ihre Hauptniederlassung haben, der DSB komplexe Aufgaben im Zuge des Kooperationsmechanismus nach Art 56 ff DSGVO zu. Dies erfordert einen weit überdurchschnittlichen Einsatz von zeitlichen und personellen Ressourcen auf Seiten der DSB.

Die Verfahrensführung des Studenten erfolgte, ohne dass dies objektiv erforderlich gewesen wäre, um seine aus der DSGVO erwachsenden Rechte zu schützen. Die Nichteinhaltung der Frist zur Beantwortung der Online-Dienste berührt den Studenten in verhältnismäßig geringem Ausmaß in seinen subjektiven Rechten. Dementsprechend ermöglicht § 24 Abs 6 DSG der DSB in Fallkonstellationen, in denen der Verantwortliche – wenn auch nach Verstreichen der Frist des Art 12 Abs 3 DSGVO – etwa einem Auskunfts- oder Löschersuchen entspricht, das behördliche Verfahren formlos einzustellen. Weiters hat der Student trotz entsprechender behördlicher Aufforderungen nicht mehr am Verfahren mitgewirkt.

Folglich war in Bezug auf die Datenschutzbeschwerden des Studenten Missbrauchsabsicht nach Art 57 Abs 4 DSGVO anzunehmen. Im Unionsrecht gilt der allgemeine Rechtsgrundsatz, dass Bürger sich nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen.

Da der Student von einem gewissen Maß an Aktivismus zur Gewinnung von Rsp bei der Führung von Datenschutzverfahren getrieben scheint, ist davon auszugehen, dass er auch einen allfälligen Kostenbescheid rechtlich bekämpfen würde. Vor diesem Hintergrund ist zunächst keine angemessene Gebühr für die Bearbeitung der exzessiven Datenschutzbeschwerden des Studenten zu verlangen, sondern die Behandlung dieser Datenschutzbeschwerden abzulehnen.

·         Bei offenkundig unbegründeten oder exzessiven Datenschutzbeschwerden darf die DSB eine Gebühr verlangen oder sich weigern, tätig zu werden (Art 57 Abs 4 DSGVO). Die Aufsichtsbehörde trägt die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Datenschutzbeschwerde. Der EuGH legt Art 57 Abs 4 DSGVO dahingehend aus, dass Anfragen nicht allein aufgrund ihrer Zahl als exzessiv eingestuft werden können. Die DSB muss unter Berücksichtigung der einzelfallbezogenen Umstände eine Missbrauchsabsicht des Betroffenen nachweisen. Eine Missbrauchsabsicht liegt vor, wenn jemand Datenschutzbeschwerden einreicht, ohne dass dies objektiv erforderlich ist, um die Rechte aus der DSGVO zu schützen. Eine Missbrauchsabsicht kann auch darin liegen, dass der Betroffene die Unrichtigkeit seines Rechtsstandpunkts kennen musste, weil er dieselbe Datenschutzbeschwerde bereits erfolglos erhoben hatte. Dem Betroffenen war bekannt, dass ihm hinsichtlich seines Sohnes kein Sorgerecht zukommt, ein Kontaktverbot besteht und bereits über eine Vielzahl seiner ähnlich gelagerten Datenschutzbeschwerden gegen ihn entschieden wurde. Der Betroffene musste sich der Unrichtigkeit seines Rechtsstandpunkts daher bewusst sein, weshalb die DSB die Behandlung der Datenschutzbeschwerde wegen rechtsmissbräuchlicher und exzessiver Ausübung des Beschwerderechts zu Recht abgelehnt hat (BVwG 29.09.2025, W292 2273455-1).

·         Anrufe zu Werbezwecken sind ohne vorherige Einwilligung des Nutzers unzulässig. Es gibt keine Ausnahme. Ein Nutzer kann eine Einwilligung durch ausdrückliche oder konkludente Willenserklärung erteilen. Eine konkludente Einwilligung setzt ein Verhalten voraus, das zweifelsfrei als Einwilligung zum Erhalt von Werbeanrufen verstanden werden kann. Ersucht ein Nutzer, der seine Einwilligung erteilt hat, um Unterlassung weiterer Anrufe, so ist dies als Widerruf der Einwilligung zu werten. Spätere Anrufe erfolgen ohne Einwilligung. Da die Strafdrohung für unerbetene Anrufe zu Werbezwecken EUR 50.000 übersteigt (§ 174 Abs 1 iVm § 188 Abs 6 Z 9 TKG), gilt die Fahrlässigkeitsvermutung des § 5 Abs 1 VStG nicht. Das Verschulden ist nachzuweisen. Der Beschuldigte hat jedoch ein wirksames Kontrollsystem einzurichten und Vorkehrungen für den Fall nichtregelkonformen Verhaltens der Mitarbeiter zu treffen (BVwG 24.09.2025, W295 2297643-1).

LVwG Wien 04.11.2025, VGW-113/032/16206/2025

IFG, ORF, Zuständigkeit

·         Ein Informationswerber beantragte beim Österreichischen Rundfunk (ORF) Informationen über Protokolle des Stiftungsrats aus September 2024 und die dort vorgelegten Dokumente. Zusätzlich fragte er, ob diese Informationen aus Sicht des ORF aus einer Verwaltungstätigkeit oder aus einer unternehmerischen Tätigkeit stammen und welche Verfahrensregeln aus Sicht des ORF zur Anwendung kommen. Der ORF verweigerte die Auskunft unter Hinweis auf Verschwiegenheitspflichten sowie Geschäfts- und Betriebsgeheimnisse. Daraufhin stellte der Informationswerber beim LVwG Wien den Antrag, gemäß § 14 Abs 8 IFG auszusprechen, dass ihm der ORF Zugang zu den begehrten Informationen gewähren muss.

Das LVwG hat erwogen: Bei Nichterteilung der Information durch eine Stiftung ist für den Rechtsschutz entweder das BVwG oder ein LVwG zuständig (§ 14 Abs 1 IFG). Gemäß § 14 Abs 1 Z 1 IFG ist das BVwG zuständig, wenn eine Stiftung unmittelbar von Bundesorganen oder von Personen geleitet wird, die von Bundesorganen bestellt werden. Der Gesetzeswortlaut lässt offen, ob eine mehrheitliche oder ausschließliche Bestellung durch Bundesorgane erforderlich ist oder ob jede Beteiligung an der Verwaltung durch von Bundesorganen bestellte Personen(gemeinschaften) ausreicht.

Die Geschäfte des ORF werden gemäß § 19 Abs 1 ORF-G vom Stiftungsrat, Generaldirektor und Publikumsrat besorgt. Die gesetzlichen Bestellungsmodalitäten der §§ 20 ff ORF-G zeigen, dass der ORF nicht ausschließlich oder mehrheitlich von durch Bundesorgane bestellten Personen(gemeinschaften) verwaltet wird, diese jedoch eine maßgebliche Rolle spielen.

Weder die Erläuterungen noch der Wortlaut des § 14 Abs 1 Z 1 IFG verlangen für die Zuständigkeit des BVwG eine qualifizierte Mehrheit von durch Bundesorgane bestellten Personen. Vielmehr ist allgemein von einer Verwaltung durch von Bundesorganen bestellte Personen(gemeinschaften) die Rede, die auch gegeben ist, wenn eine Stiftung nicht mehrheitlich von durch Bundesorgane bestellten Personen(gemeinschaften) verwaltet wird. Dafür spricht auch die systematische Unterscheidung zwischen Stiftungen, Fonds oder Anstalten einerseits und Unternehmungen andererseits. Bei Unternehmungen ist die Zuständigkeit des BVwG ausdrücklich auf solche beschränkt, an denen der Bund eine Beherrschung in einem bestimmten qualifizierten Ausmaß ausübt, während für Stiftungen, Fonds oder Anstalten keine solche Einschränkung vorgenommen wurde, sondern allgemein auf eine (nicht näher qualifizierte) Verwaltung durch von Bundesorganen bestellte Personen(gemeinschaften) abgestellt wird.

Es wird daher davon ausgegangen, dass § 14 Abs 1 Z 1 IFG jegliche Stiftungen erfasst, in denen die Verwaltung durch von Bundesorganen bestellte Personen(gemeinschaften) geführt wird, auch wenn diese die Stiftung nicht allein oder mehrheitlich verwalten. Nach diesem Verständnis ist das BVwG für die Entscheidung über die Nicht-erteilung von Informationen durch den ORF zuständig. Anm: Nähere Informationen zu den Geheimhaltungsgründen des IFG insb iZm privaten Informationspflichtigen finden Sie in der RDB (Paywall): Cudlik/Petschinka, Ausgewählte Fragen der Geheimhaltung im IFG, ecolex 2025, 847.

·         Die Fristverlängerung ist zur Wahrung des Anhörungsrechts eines anderen iSd § 10 IFG zulässig. Dem klaren Wortlaut des § 8 Abs 2 IFG ist nicht zu entnehmen, dass zusätzlich zum Hinweis auf das Anhörungsrecht gemäß § 10 IFG weitere besondere Gründe für die Fristverlängerung anzuführen sind. Zweck der Bestimmung ist es, den Informationswerber darüber in Kenntnis zu setzen, aus welchen Gründen die Informationserteilung noch nicht erfolgt ist. Es genügt daher, den besonderen Grund kurz zu umreißen oder auf die erforderliche Anhörung gemäß § 10 IFG hinzuweisen (LVwG Wien 16.10.2025, VGW-113/027/15142/2025).

DSB 17.09.2025, 2025-0.677.482

Plattform, Auskunft, Namensidentität

·         Ein Nutzerprofil auf einer Plattform für Kleinanzeigen enthielt den Namen und die (frühere) Anschrift eines Nutzers. Ein namensgleicher Betroffener teilte der Plattform mit, dass er nicht registriert ist und ein Inserat mit seinen Daten missbräuchlich veröffentlicht wurde. Nach abweisender Antwort der Plattform stellte er ein Auskunftsersuchen ua unter Angabe seiner Wohnanschrift, die mit der im Profil hinterlegten Adresse übereinstimmte. Die Plattform prüfte die Zuordnung des Inserats und der Nutzerdaten und erteilte dem Vertreter des Betroffenen Auskunft zum betreffenden Nutzerprofil. Der Nutzer erhob Datenschutzbeschwerde wegen Verletzung des Rechts auf Geheimhaltung, die von der DSB abgewiesen wurde.

Die DSB hat erwogen: Der Nutzer hat sein Profil 2020 angelegt. Seine hinterlegte Anschrift war seit Juni 2023 nicht mehr aktuell. Die im Profil hinterlegte Adresse war zum Zeitpunkt des Auskunftsersuchens dem namensgleichen Betroffenen zuzuordnen.

Die Datenverarbeitung zur Auskunftserteilung beruht auf der Erfüllung einer rechtlichen Verpflichtung nach Art 6 Abs 1 lit c, 12 Abs 3 und Art 15 DSGVO, die den Verantwortlichen verpflichten, Auskunftsersuchen fristgerecht zu bearbeiten. Es ist ein wirksames Auskunftsersuchen gestellt worden. Die Identität des Betroffenen war durch Vorlage einer Ausweiskopie und Adressübereinstimmung hinreichend belegt. Daten, die im Zuge eines Identitätsdiebstahls erhoben wurden, verbleiben dennoch personenbezogene Daten des Opfers, was einschlägige EDSA-Leitlinien bestätigen (EDSA Leitlinien 01/2020, Rz 104, 107). Die Plattform durfte anhand der Aktenlage von der rechtswidrigen Verwendung der Daten des Betroffenen durch den Nutzer ausgehen und Auskunft erteilen. Eine vorherige Kontaktaufnahme mit dem Nutzer war nicht geboten. Die Auskunftserteilung war erforderlich und verhältnismäßig, eine zweckwidrige Weiterverwendung der Daten des Nutzers ist nicht erfolgt.

DSB 11.09.2025, 2023-0.643.180

Rollenverteilung, Übermaßverbot, behördeninterne Datenweitergabe, Förderung

·         Die Obfrau eines Tierschutzvereins beantragte beim Amt der Stmk Landesregierung eine Förderung für ein Projekt. Die zuständige Sachbearbeiterin fragte im Zuge der Amtshilfe gemäß Art 22 B-VG bei der zuständigen Bezirkshauptmannschaft (BH) nach, ob verwaltungsstrafrechtliche Verstöße nach dem Tierschutzgesetz von der Obfrau anhängig sind oder Strafen verhängt wurden. Die BH übermittelte daraufhin einen Auszug der verhängten Verwaltungstrafen. Die Obfrau erachtete diese Datenübermittlung als unzulässig, zumal nicht sie Förderwerberin ist, sondern der von ihr vertretene Verein und die Förderrichtlinie, die der Datenübermittlung zugrunde lag, nicht veröffentlicht war. Sie brachte Datenschutzbeschwerde wegen der Verletzung ihres Rechts auf Geheimhaltung gegen zwei Mitarbeiter der BH bei der DSB ein. Die DSB wies die Datenschutzbeschwerde ab.

Die DSB hat erwogen: Die Verarbeitung personenbezogener Daten durch eine natürliche Person bei der Ausübung ihrer beruflichen Tätigkeit wird dem Arbeitgeber als Verantwortlichen zugerechnet. Einzelne Mitarbeiter sind nur für die Verarbeitung verantwortlich, wenn sie aus reinem privaten Interesse oder persönlichen Motiven handeln.

Das Übermaßverbot beschränkt die Zuständigkeit der DSB auf die Prüfung der denkmöglichen Zulässigkeit von Datenermittlungen durch eine Verwaltungsbehörde im Verwaltungsverfahren.

Eine vorgesetzte Verwaltungsbehörde kann nach Art 20 Abs 1 B-VG Weisungen an untergeordnete Organe erteilen. Dafür braucht es keine gesonderte gesetzliche Grundlage. Die Weisung kann formfrei, somit auch mündlich, schriftlich oder schlüssig erfolgen. Eine nicht veröffentlichte Förderrichtlinie kann so eine Weisung sein. Untergeordnete Verwaltungsorgane haben sich an eine entsprechende Weisung zu halten. Die Förderrichtlinie stellt auf Förderwerber oder handlungsbefugte Organe von Förderwerbern ab. Somit ist auch die Obfrau des Tierschutzvereins umfasst. Eine behördeninterne Datenweitergabe ist zudem keine Offenlegung iSd DSGVO.

Die Information über verwaltungsstrafrechtliche Vormerkungen ist iZm der Vergabe von Förderungen nach dem TierschutzG von Relevanz. Nach der Förderrichtlinie darf keine Förderung ausbezahlt werden, wenn eine Verwaltungsübertretung nach § 38 TierschutzG vorliegt. Nach Art 6 Abs 1 lit e DSGVO ist die Verarbeitung von personenbezogenen Daten rechtmäßig, wenn diese für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich ist. Die Förderungsvergabe ist eine Aufgabe im öffentlichen Interesse.

·         Bei einer Videoüberwachung zum Schutz des Eigentums im privaten Bereich ist eine Einbeziehung öffentlicher Flächen im Ausmaß von maximal 50 cm zulässig, wenn der Schutzzweck der Videoüberwachung sonst nicht erfüllt werden kann. Ist ein Privatgrund eindeutig als solcher gekennzeichnet und begibt sich der Kfz-Fahrer zum Wenden dennoch in diesen Bereich (Besitzstörung), ist die Videoüberwachung angemessen. Der Fahrer, der bewusst ein Verbot ignorierte, kann sich auch nicht darauf berufen, dass er sein Verhalten nicht gesetzt hätte, wenn er von der – gut sichtbaren – Videoüberwachung informiert worden wäre (DSB 12.09.2025, 2024-0.739.833).

·         Das Schreiben des Betroffenen war ein Auskunftsersuchen, gelangte in den Machtbereich des Verantwortlichen und wurde verspätet beantwortet. Unerheblich ist die unrichtige interne Zuordnung des Auskunftsersuchens. Es gibt jedoch kein subjektives Recht auf Feststellung der verspäteten Erteilung einer Auskunft. Verarbeitet der Verantwortliche zum Zeitpunkt des Einlangens des Auskunftsersuchens keine personenbezogenen Daten zu einer Person, ist eine Negativauskunft zu erteilen. Die im Auskunftsersuchen und im Identitätsnachweis erhaltenen Daten sind vom Auskunftsrecht (noch) nicht umfasst, weil sie zum maßgeblichen Zeitpunkt noch nicht verarbeitet wurden. Über bereits gelöschte Daten besteht keine inhaltliche Auskunftspflicht. Ebenso wenig besteht eine Verpflichtung zum Speichern von Löschprotokollen. Über mündlich "vorhandene" Daten ist keine Auskunft geschuldet. Das Auskunftsrecht ist auch kein allgemeines Fragerecht (DSB 17.09.2025, 2025-0.502.649).

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-468/24, Netz Niederösterreich, veröffentlicht. Gegenstand des Verfahrens sind intelligente Messgeräte (Smart Meter) und die Frage, ob Stromnetze auch elektronische Kommunikationsnetze sein können.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-684/24, Across Fiduciaria, veröffentlicht. Gegenstand des Verfahrens sind der Zugang zu Informationen über wirtschaftliche Eigentümer und die Auslegung des unbestimmten Begriffs des berechtigten Interesses.

·         Am 18.12.2025 werden die Schlussanträge in der Rs C-604/24, Farmakeio YZ & Sia, veröffentlicht. Gegenstand des Verfahrens ist der Verkauf bestimmter Arzneimittel durch Online-Shops von Apotheken im Fernabsatz durch Dienste der Informationsgesellschaft.

·         Am 18.12.2025 wird das Urteil des EuGH in der Rs C-422/24, Storstockholms Lokaltrafik, veröffentlicht. Der EuGH wird entscheiden, ob die Informationspflichten gemäß Art 13 und 14 DSGVO für Aufnahmen einer am Körper getragenen Kamera gelten. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 31/2025 vom 06.08.2025 nachgelesen werden.

EGMR 18.11.2025, 50756/17, Stanev and Bulgarian Helsinki Committee v Bulgaria

Informationszugang, NGO, Watchdog-Funktion

·         Ein Forscher des Bulgarischen Helsinki-Komitees (BHK) richtete im Februar 2016 ein Informationsbegehren an den Generalstaatsanwalt zu etwaigen Ermittlungen wegen zweier Todesfälle von Migranten an der bulgarisch-türkischen Grenze im Jahr 2015. Er ersuchte um Angaben zu Ermittlungseinleitungen, Stadium, Aktenzeichen, zuständigen Staatsanwälten, möglichen Anklagen und etwaigen Anklageschriften. Der Stellvertreter des Generalstaatsanwalts lehnte die Auskunft ab und verwies auf das strafprozessuale Sonderregime für Ermittlungsakten. Nach Ausschöpfung des nationalen Rechtswegs wandte sich der Forscher ua wegen der Verletzung von Art 10 EMRK erfolgreich an den EGMR.

Der EGMR hat erwogen: Der Zugang zu amtlichen Informationen fällt unter die durch Art 10 EMRK geschützte Informationsfreiheit, wenn er für die Ausübung dieser Freiheit entscheidend ist. Maßgeblich sind dabei der Zweck der Anfrage, die Art der begehrten Information, die Rolle des Antragstellers sowie die Verfügbarkeit der Information.

Die Anfrage diente der Erstellung des Jahresberichts einer anerkannten Menschenrechts-NGO über staatliche Reaktionen auf Berichte zu Todesfällen von Migranten an den Grenzen. Die Informationen betrafen die Frage, ob die Strafverfolgungsbehörden auf Medienberichte über Todesfälle von Migranten reagiert hatten. Themen wie Einwanderung und der Schutz des Lebens von Migranten gehören zum Kernbereich des öffentlichen Interesses. Der Antragsteller handelte als Forscher einer etablierten und anerkannten Menschenrechtsorganisation, der eine Watchdog-Funktion zukommt.

Die angefragten Informationen waren in den Systemen der Staatsanwaltschaft vorhanden. Die Anfrage enthielt konkrete Angaben zu Zeit, Ort, Herkunft der Gruppe, Anzahl der Betroffenen und den relevanten Ereignissen. Eine Auskunft über das Bestehen und den Stand etwaiger Ermittlungen hätte daher ohne Weiteres erteilt werden können.

Die Ablehnung des Informationszugangs ist ein Eingriff in die durch Art 10 EMRK geschützte Informationsfreiheit. Die Behörden beriefen sich auf die strafprozessuale Geheimhaltung und besondere Regeln der Akteneinsicht, nahmen jedoch keine einzelfallbezogene Abwägung vor. Die Begründung blieb abstrakt. Eine pauschale Berufung auf das Ermittlungsgeheimnis ohne Berücksichtigung des Stadiums und Inhalts der Anfrage genügt nicht. Die Anfrage betraf lediglich die Existenz und das Stadium möglicher Ermittlungen, nicht den Zugang zu spezifischen Akteninhalten. Besteht keine laufende Ermittlung oder ist diese bereits abgeschlossen, entfällt typischerweise die Gefahr einer Beeinträchtigung. Einschränkungen des Informationszugangs dürfen nicht dazu führen, dass die Watchdog-Funktion von NGOs leerläuft. Die Ablehnung ohne sachlich tragfähige und hinreichende Begründung verletzte daher Art 10 EMRK.

EuGH 20.11.2025, C 57/23, Policejní prezidium und génétiques

Biometrische Identifizierungsmaßnahmen, Strafverfahren, Datenspeicherung

·         Im Rahmen eines Strafverfahrens unterzog die tschechische Polizei einen Betroffenen trotz dessen Widerspruchs Identifizierungsmaßnahmen. Ihm wurden Fingerabdrücke abgenommen und ein Wangenabstrich zur Erstellung eines genetischen Profils durchgeführt. Zudem wurden Fotos und eine Personenbeschreibung angefertigt, die in polizeiliche Datenbanken aufgenommen wurden. Dem EuGH wurden Fragen zur Zulässigkeit der Erhebung biometrischer und genetischer Daten von Verdächtigen und Beschuldigten sowie zu den Speicherfristen sensibler Daten vorgelegt.

Der EuGH hat erwogen: Die Erhebung, Speicherung und Löschung biometrischer und genetischer Daten ist eine Verarbeitung personenbezogener Daten iSd RL 2016/680 (DSRL-PJ) und bedarf einer rechtmäßigen Grundlage. Die Mitgliedstaaten müssen in ihrem nationalen Recht Ziele und Zwecke der Verarbeitung sowie die Art der Daten klar festlegen. Als besonders sensible Daten unterliegen biometrische und genetische Daten erhöhten Schutzanforderungen.

Nach Art 6 DSRL-PJ ist grundsätzlich zwischen verschiedenen Kategorien betroffener Personen zu unterscheiden. Eine einheitliche Behandlung von Verdächtigen und Beschuldigten ist jedoch zulässig, wenn die Verarbeitungszwecke keine Differenzierung erfordern. Die Mitgliedstaaten müssen den Grundsatz der Datenminimierung beachten und geeignete Garantien zum Schutz der Betroffenenrechte sicherstellen.

Die Verarbeitung muss unbedingt erforderlich sein und setzt daher eine einzelfallbezogene Prüfung voraus. Dabei sind insbesondere die Art und Schwere der mutmaßlichen Straftat, die Umstände des Einzelfalls, Bezüge zu anderen Verfahren, Vorstrafen sowie das individuelle Profil der betroffenen Person zu berücksichtigen.

Eine schematische oder systematische Datenerhebung ohne tragfähige Einzelfallgründe verstößt gegen Unionsrecht. Auch bei wirtschaftsrechtlichen Straftaten kann die Datenerhebung erforderlich sein. Nationale Vorschriften dürfen daher die Erhebung biometrischer und genetischer Daten von Verdächtigen und Beschuldigten zulassen.

Gemäß Art 4 DSRL-PJ dürfen personenbezogene Daten nicht länger gespeichert werden, als dies für die Verarbeitungszwecke erforderlich ist. Die Festlegung angemessener Speicherfristen obliegt den Mitgliedstaaten. Eine starre Höchstspeicherfrist ist nicht zwingend erforderlich, sofern regelmäßige und wirksame Überprüfungen die fortdauernde Notwendigkeit sicherstellen. Sind die gespeicherten Daten nicht mehr erforderlich, sind sie zu löschen.

EuG 19.11.2025, T 367/23 R, Amazon EU/Kommission

Amazon, DSA, VLOP

·         Amazon EU ("Amazon") hat die Entscheidung der EU-Kommission C (2023) 2746 angefochten, durch die der "Amazon Store" als sehr große Online-Plattform ("VLOP") iSd DSA eingestuft wurde. Beantragt wurde die Nichtigerklärung der Einstufung wegen Nichtanwendbarkeit des Art 33 Abs 1 DSA, hilfsweise die Nichtigerklärung der auf Art 38 und 39 DSA beruhenden Pflichten, jeweils unter Berufung auf die GRC ua wegen des vermeintlichen Verstoßes gegen die unternehmerische Freiheit, die Freiheit des Eigentums, den Schutz des Privatlebens und personenbezogener Daten sowie Gleichbehandlung. Das EuG wies die Klage ab.

Das EuG hat erwogen: Die Bestimmung des Art 33 Abs 1 DSA greift zwar in die unternehmerische Freiheit ein, jedoch beruht dieser Eingriff auf einem Gesetz, wahrt den Wesensgehalt und erscheint im Bereich des Verbraucher- und Systemrisikomanagements nicht offensichtlich unangemessen. VLOPs verursachen systemische Risiken iSd Art 34 Abs 1 DSA. Online-Marktplätze können illegale Inhalte verbreiten, Grundrechtsbeeinträchtigungen auslösen und Verbraucherinteressen in erheblichem Umfang berühren. Der Schwellenwert für die Einstufung als VLOP (45 Mio aktive Nutzer pro Monat) ist geeignet, da qualitative Alternativkriterien oder engere Pflichten weniger wirksam wären und die Umsetzung, Rechtssicherheit und Aufsicht erschweren würden.

Die Regelung des Art 38 DSA für Empfehlungssysteme fördert ein hohes Verbraucherschutzniveau. Die Bestimmung des Art 39 DSA (zusätzliche Transparenz der Online-Werbung) mindert systemische Risiken, ohne die Veröffentlichung erfolgssensibler oder personenbezogener Daten zu erzwingen und führt nicht zu einer beachtlichen Abwanderung von Werbekunden. Die Regelung des Art 40 DSA für Datenzugang und Kontrolle enthält Schutzmechanismen für Vertraulichkeit und Geschäftsgeheimnisse unter Sicherung der Verhältnismäßigkeit durch digitale Koordinatoren und geprüfte Forschende. Unzulässige Eingriffe in das Eigentum liegen nicht vor. Wenngleich diese Pflichten mit Kosten verbunden sind, begründen sie vornehmlich administrative Lasten.

Die Differenzierung des DSA nach Reichweite und Plattformtyp ist sachgerecht. Die Eingriffe in die Meinungs- und Informationsfreiheit durch Art 38 DSA erscheinen verhältnismäßig, insbesondere da Anbieter einer nicht-profilbasierten Variante weiterhin Profiling-Möglichkeiten behalten. Eingriffe in den Schutz des Privatlebens durch Art 39 und Art 40 DSA beschränken sich auf das Notwendige und sind zulässig.

·         Gemäß Art 72 der RL (EU) 2018/1972 (Europäischer Kodex für die elektronische Kommunikation; EKEK) darf eine nationale Regulierungsbehörde einem Telekommunikationsunternehmen mit beträchtlicher Marktmacht die Verpflichtung auferlegen, Zugang zu baulichen Anlagen zu gewähren, auch wenn diese Anlagen keinen Teil des relevanten Marktes bilden. Sie muss jedoch prüfen, ob die Auferlegung dieser Zugangsverpflichtung für das Erreichen der verfolgten Ziele notwendig und verhältnismäßig ist (EuGH 20.11.2025, C-327/24, Lolach).

·         Verweigert ein EU-Organ den Zugang zu Dokumenten, hat es das zu schützende Interesse, das konkret und tatsächlich beeinträchtigt werden könnte, darzutun. Beschließt ein Organ, bestimmte Daten offenzulegen, werden diese nicht nur demjenigen, der den Zugang beantragt hat, sondern auch der Öffentlichkeit zugänglich. Die bezifferten Ergebnisse eines Arzneimitteltests sind sensible Geschäftsgeheimnisse mit realem wirtschaftlichen Wert, deren Offenlegung konkurrierenden pharmazeutischen Unternehmen ermöglichen könnte, konkrete Vorteile zu ziehen. Behauptet ein Antragsteller ein überwiegendes öffentliches Interesse am Zugang zu bestimmten Dokumenten, hat er die konkreten Umstände, die dieses überwiegende öffentliche Interesse begründen, anzuführen (EuG 19.11.2025, T-623/22, SD/EMA).

·         Anlässlich der Veröffentlichung personenbezogener Daten eines Spenders auf der Website des Rechnungshofs beantragte das BVwG die Aufhebung einer Wortfolge in § 6 Abs 3 PartG zur Veröffentlichung von Spendenangaben. Ein Gesetzesprüfungsantrag nach § 62 Abs 1 VfGG ist jedoch unzulässig, wenn die angefochtene Wortfolge dem Rechtsbestand nicht angehört oder nicht eindeutig und genau erkennbar ist, ob und bejahendenfalls welche Wortfolge bekämpft werden soll (VfGH 11.09.2025, G48/2025).

OLG Innsbruck 01.10.2025, 4R117/25z

Auskunft, Selbstbedienungstools, Datenkopie

·         Der Nutzer eines Onlineservices richtete per Post ein Auskunftsersuchen an die Betreiberin des Dienstes und legte eine Ausweiskopie bei. Die Betreiberin reagierte nicht, weil sie postalische Auskunftsersuchen mit Ausweiskopie grundsätzlich nicht bearbeitet, weil diese ihrer Ansicht nach nicht geeignet sind, die Identität des Inhabers eines Online-Kontos festzustellen. Stattdessen stellt sie ein Online-Datenexport-Tool zur Verfügung. Der Nutzer brachte beim zuständigen LG eine Auskunftsklage ein. Erst nach Klageerhebung nutzte er das Datenexport-Tool und erhielt eine Kopie seiner Daten in verschiedenen Dateiformaten. Das LG gab der Klage teilweise statt, weil es die Auskunft weiterhin für unvollständig erachtete. Dagegen erhob die Betreiberin eine (teilweise erfolgreiche) Berufung an das OLG Innsbruck. Das OLG Innsbruck änderte den Spruch des Urteils aber nur geringfügig zugunsten der Betreiberin ab.

Das OLG hat erwogen: Die DSGVO schreibt keine bestimmte Form für Auskunftsersuchen vor. Verantwortliche dürfen betroffene Personen zwar auf Selbstbedienungstools verweisen, müssen aber auch Anträge über andere Kanäle bearbeiten. Nur Anträge, die an völlig willkürliche oder offensichtlich falsche Adressen gerichtet sind, müssen nicht beantwortet werden. Ein an den Firmensitz gerichtetes Auskunftsersuchen ist daher zu beantworten.

Eine Ausweiskopie reicht im Onlinebereich meist nicht zur Legitimation aus. Eine Auskunft darf aber nicht gänzlich unbeantwortet bleiben, weil Zweifel an der Identität des Auskunftswerbers bestehen. Vielmehr muss der Verantwortliche gemäß Art 12 Abs 6 DSGVO zusätzliche Informationen anfordern. Spätestens innerhalb eines Monats nach Einlangen des Auskunftsersuchens ist der Betroffene über die Gründe, weshalb der Verantwortliche nicht tätig wird, sowie über Beschwerderechte oder gerichtliche Rechtsbehelfe zu informieren.

Wiederholte Auskunftsersuchen und anschließende Klagen sind nicht rechtsmissbräuchlich. Wurde der Dienst über längere Zeit aktiv genutzt, ist nicht davon auszugehen, dass ein Online-Konto ausschließlich zum Zweck der Geltendmachung von Schadenersatzforderungen eröffnet wurde.

Das Auskunftsrecht nach der DSGVO umfasst drei Komponenten: (i) die Bestätigung, ob personenbezogene Daten verarbeitet werden, (ii) die Auskunft über diese Daten und (iii) die Informationen über die Verarbeitung nach Art 15 Abs 1 und 2 DSGVO. Datenkopien können den Auskunftsanspruch vollständig erfüllen, wenn diese transparent sind. Eine bloße Kopie umfangreicher Datenbestände erfüllt das Erfordernis nicht. Transparenz kann durch strukturierte Zusammenstellungen hergestellt werden. Bei Datenübermittlungen in Drittländer sind die einschlägigen geeigneten Garantien mitzuteilen. Allgemeine Rahmenhinweise genügen nicht.

Die Auskunft hat in einem gängigen elektronischen Format zu erfolgen, das auf durchschnittlich ausgestatteten Endgeräten geöffnet werden kann. Der Verantwortliche muss bei der Auskunft konkret auf die Datenverarbeitung des jeweiligen Auskunftswerbers eingehen. Allgemeine Erläuterungen ersetzen keine auf den Betroffenen zugeschnittene Auskunft.

·         Hat der Kläger den Gesamtschaden bereits einbringlich gemacht, sind damit auch allfällige Schäden nach dem UrhG und Ansprüche nach der DSGVO abgedeckt, weil auch diese dem Begriff "Gesamtschaden" zu unterstellen sind (OLG Wien 24.10.2025, 13R149/25i).

·         Entscheidet ein Verwaltungsgericht über den Informationszugang nach dem IFG, hat es, wenn es zu diesem Ergebnis kommt, einen Leistungsauftrag auf Informationsgewährung zu erteilen. Wird die Information während des verwaltungsgerichtlichen Verfahrens erteilt, ist das Verfahren wegen Gegenstandslosigkeit einzustellen. Für die allfällige nachträgliche Feststellung der Rechtswidrigkeit des Verhaltens des Informationspflichtigen verbleibt kein Raum (BVwG 10.11.2025, W176 2322793-1).

·         Verweigert ein privater Informationspflichtiger nach dem IFG die Erteilung der begehrten Information, kann innerhalb einer Frist von vier Wochen ein Antrag auf Entscheidung der Streitigkeit an das Verwaltungsgericht gestellt werden. Fristauslösend ist der Erhalt der Mitteilung über die Informationsnichtgewährung. Ein nach Ablauf dieser Frist gestellter Antrag auf Streitentscheidung durch das BVwG ist als verspätet zurückzuweisen (BVwG 11.11.2025, W274 2323801-1).

·         Ein Löschungsanspruch nach Art 17 Abs 1 DSGVO ist aufgrund der Ausnahme des Art 17 Abs 3 lit b DSGVO ausgeschlossen, wenn die Verarbeitung zur Erfüllung einer unionsrechtlichen Pflicht bzw zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Die Verarbeitung stützt sich dann auf Art 6 Abs 1 lit c und e iVm Art 6 Abs 3 DSGVO. Ausschreibungen zur Rückkehr im Schengener Informationssystem (SIS) sind gemäß Art 3 VO (EU) 2018/1860 (SIS-Rückkehr-VO) verpflichtend einzugeben. Eine Löschung kommt nur in den ausdrücklich geregelten Fällen der Art 9 und 14 dieser Verordnung in Betracht. Mangels Ausreise- oder Nichtigkeitstatbestands (Art 14 SIS‑Rückkehr‑VO) und mangels Unterrichtung Österreichs durch Portugal über die (beabsichtigte) Erteilung eines Aufenthaltstitels (Art 9 Abs 2 SIS‑Rückkehr‑VO) lagen keine Löschungsgründe vor. Auch die Verarbeitung biometrischer Daten ist aus Gründen eines erheblichen öffentlichen Interesses nach Art 9 Abs 2 lit g DSGVO zulässig (BVwG 25.09.2025, W252 2315664-1).

·         Das Recht auf Berichtigung nach der DSGVO bezieht sich ausschließlich auf die Berichtigung eigener Daten. Ein Antrag auf Berichtigung von Daten, die eine andere Person betreffen, ist unzulässig (LVwG Tirol 11.11.2025, LVwG-2025/46/2168-3).

DSB 09.09.2025, 2025-0.243.414

Löschbegehren, berechtigtes Interesse, Online-Auftritt

·         Ein ehemaliger Mitarbeiter ersuchte seine ehemalige Arbeitgeberin um Löschung von im Online-Auftritt enthaltenen Fotos, auf denen er abgelichtet war. Die ehemalige Arbeitgeberin lehnte das Löschersuchen ab, weil es sich bei dem ehemaligen Mitarbeiter um einen Projektmanager handelte und ein berechtigtes Interesse an der Verwendung der Fotos bestehe. Der ehemalige Mitarbeiter erachtete sich im Recht auf Löschung verletzt und erhob Datenschutzbeschwerde bei der DSB. Diese stellte eine Verletzung im Recht auf Löschung fest und ordnete die Löschung an.

Die DSB hat erwogen: Verlangt ein Mitarbeiter nach Beendigung des Beschäftigungsverhältnisses die Löschung seiner personenbezogenen Daten, gilt eine zuvor erteilte Einwilligung zu diesem Zeitpunkt als widerrufen.

Um eine Datenverarbeitung auf ein berechtigtes Interesse zu stützen, müssen drei kumulative Voraussetzungen erfüllt sein: (i) die Wahrnehmung eines berechtigten Interesses des Verantwortlichen, (ii) die Erforderlichkeit der Verarbeitung zur Verwirklichung des Interesses und (iii) das Nichtüberwiegen der Grundrechte und Grundfreiheiten der betroffenen Person. Bei der Erforderlichkeitsprüfung ist zu beurteilen, ob das Interesse an der Verarbeitung nicht in zumutbarer Weise mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Person eingreifen. Einem auf Online-Marketing spezialisierten Unternehmen ist es zumutbar, Inhalte zu ersetzen, bei denen keine personenbezogenen Daten eines ehemaligen Mitarbeiters verarbeitet werden, oder einen entgeltlichen Nutzungsvertrag mit diesem abzuschließen.

Da das Beschäftigungsverhältnis beendet war und der Mitarbeiter bereits die Löschung verlangt hatte, war die Weiterverarbeitung der Inhalte vernünftigerweise nicht zu erwarten. Das wirtschaftliche Interesse des Online-Marketing-Unternehmens überwiegt nicht das Interesse eines ehemaligen Mitarbeiters, der einer weiteren Verarbeitung ausdrücklich widersprochen hat. Dies gilt insbesondere, wenn die Inhalte öffentlich einsehbar und somit einer potenziell unbegrenzten Zahl von Personen zugänglich sind. Zudem würde der ehemalige Mitarbeiter noch immer mit dem Unternehmen in Verbindung gebracht, obwohl er nicht mehr dort tätig ist.

DSB 08.10.2025, 2025-0.477.534

Microsoft 365 Education, Rollenverteilung, Auskunft, Löschung

·         Der Bundesminister für Bildung, Wissenschaft und Forschung (BMBWF) stellt Bundesschulen Cloud-Dienste privater Anbieter für den IT-gestützten Unterricht zur Verfügung. Ein Gymnasium implementierte Microsoft 365 Education, wodurch eine Schülerin eine schulische E-Mail-Adresse samt Cloud-Speicher erhielt. Bei der Nutzung setzte Microsoft Cookies für Werbe-, Analyse- und betriebliche Zwecke. Weder die Schülerin noch ihr obsorgeberechtigter Vater wurden über den Einsatz der Cookies und die Datenverwendung durch Microsoft für eigene Zwecke informiert. Eine Einwilligung lag nicht vor. Die Schülerin stellte – vertreten durch ihren Vater – Auskunftsersuchen an Microsoft und das Gymnasium. Da ihr weder Auskunft noch Information erteilt wurde, erhob sie (erfolgreich) Datenschutzbeschwerde bei der DSB.

Die DSB hat erwogen: Das BilDokG 2020 iVm der IKT-Schulverordnung benennt die Schulleitung des Gymnasiums und den BMBWF im Zusammenhang mit der Bereitstellung von IT-Systemen und Diensten jeweils als Verantwortliche für die Einhaltung unterschiedlicher Aspekte der DSGVO. In unionsrechtskonformer Auslegung dieser Bestimmungen sind die Schulleitung und der BMBWF für den Einsatz von Microsoft Education 365 gemeinsam Verantwortliche iSd Art 26 DSGVO.

Unbeschadet ihrer Rolle als Auftragsverarbeiterin für die bloße Bereitstellung einer technischen Lösung verarbeitet Microsoft personenbezogene Daten aus Eigeninteresse für bestimmte eigene Geschäftstätigkeiten. Da Microsoft maßgeblich an der Entwicklung von Microsoft 365 Education beteiligt ist und dadurch Einfluss auf die technischen und organisatorischen Spezifikationen nimmt, ist sie Verantwortliche iSd Art 4 Z 7 DSGVO.

Das Gymnasium bzw der BMBWF stellten der Schülerin lediglich grundsätzliche Informationen über den Einsatz von Microsoft 365 Education zur Verfügung, sodass von einer unvollständigen Auskunft ausgegangen werden kann. Das Gymnasium und der BMBWF können sich nicht auf fehlenden Datenzugang berufen, weil Microsoft gemäß Art 26 Abs 1 DSGVO verpflichtet ist, sie bei der Erfüllung der Betroffenenrechte zu unterstützen. Selbst unter der Annahme, dass es sich bei Microsoft um eine Auftragsverarbeiterin handelt, ergibt sich eine Unterstützungspflicht aus Art 28 Abs 3 lit e DSGVO. Die Unvollständigkeit betrifft jedoch ausschließlich den Umstand, dass nicht dargelegt wurde, in welchem Umfang personenbezogene Daten im Rahmen des Einsatzes von Microsoft 365 Education an Microsoft übermittelt wurden. Die Verantwortlichkeit der Schulleitung und des BMBWF erstreckt sich hingegen nicht auf jene Datenverarbeitungen, die Microsoft nach Erhalt der Daten für eigene Zwecke vornimmt.

Auch die durch Microsoft erteilte Auskunft war unvollständig, weil unklar blieb, welche Daten aufgrund welcher Rechtsgrundlage an Microsoft übermittelt wurden, weshalb in den Protokolldaten Drittanbieter aufschienen, und was unter Begriffen wie "interne Berichterstattung", "Geschäftsmodellierung", "Betrugsbekämpfung" etc zu verstehen ist. Da bei einer Minderjährigen die sprachlichen Anforderungen höher anzusetzen sind, genügt der Abstraktionsgrad den Anforderungen nach Art 12 Abs 1 DSGVO an sprachliche Klarheit und inhaltliche Präzision nicht.

Die bloße Bereitstellung von Microsoft 365 Education zu schulischen Zwecken ist datenschutzrechtlich nicht zu beanstanden. Rechtswidrig ist jedoch der Einsatz nicht notwendiger Tracking-Cookies ohne Einwilligung, sodass die Löschung nach Art 17 Abs 1 lit d DSGVO geboten ist.

DSB 11.11.2025, 2025-0.758.101

Bewerberdaten, Strafregisterauszug, Löschung

·         Im Rahmen eines Bewerbungsprozesses übermittelte eine Bewerberin einen Strafregisterauszug an ein Unternehmen, um dieses zu informieren, dass ein Eintrag wegen schweren Betrugs besteht. Die HR-Spezialistin des Unternehmens informierte das Management per E-Mail über den Strafregisterauszug und bat um Entscheidung, ob die Einstellung wie geplant erfolgen soll oder nicht. Nachdem die Bewerberin eine Absage hinsichtlich des anvisierten Anstellungsverhältnisses erhielt, forderte sie die Löschung ihrer personenbezogenen Daten. Das Unternehmen löschte die mit der Bewerbung in Verbindung stehenden Daten mit Ausnahme der E-Mail an das Management. Die Bewerberin erachtete sich in ihrem Recht auf Löschung und Geheimhaltung verletzt und erhob Datenschutzbeschwerde bei der DSB. Diese stellte eine Verletzung im Recht auf Löschung fest und trug dem Unternehmen die Löschung der E-Mail auf, verneinte aber eine Verletzung im Recht auf Geheimhaltung.

Die DSB hat erwogen: Gemäß Art 17 Abs 3 lit e DSGVO sind personenbezogene Daten nicht zu löschen, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In zeitlicher Hinsicht greift dieser Ausnahmetatbestand erst, wenn die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereits stattfindet oder sicher bevorsteht. Die bloß abstrakte Möglichkeit rechtlicher Auseinandersetzungen reicht nicht aus. Da der Verantwortliche nicht dargelegt hat, welche konkreten zukünftigen Verfahren auf welcher Grundlage anhängig gemacht werden könnten und inwiefern durch derartige Verfahren eine Notwendigkeit zur weiteren Speicherung der personenbezogenen Daten begründet wird, liegen die Voraussetzungen des Art 17 Abs 3 lit e DSGVO nicht vor.

Aufgrund der Öffnungsklausel des Art 10 DSGVO übernahm der österreichische Gesetzgeber in § 4 Abs 3 DSG eine Regelung zur Verarbeitung strafrechtlich relevanter Daten durch Private. Diese Bestimmung erlaubt die Verarbeitung solcher Daten, wenn dies zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nach Art 6 Abs 1 lit f DSGVO erforderlich ist und die Interessen der betroffenen Person gewahrt bleiben. Das Unternehmen hatte ein berechtigtes Interesse daran zu prüfen, ob die Verurteilung der Bewerberin wegen schweren Betrugs ein Einstellungshindernis ist und diese Information an die zuständigen Entscheidungsträger weiterzuleiten. Die Datenverarbeitung war für die Prüfung und interne Diskussion erforderlich. Da die Bewerberin den Eintrag im Strafregister selbst mitgeteilt hatte, war die Datenverarbeitung auch vorhersehbar. Die Interessenabwägung fällt zugunsten des Unternehmens aus, sodass keine Verletzung im Recht auf Geheimhaltung vorliegt.

·         Bei einer Wahrunterstellung wird das Sachverhaltsvorbringen einer Partei nicht als tatsächlich gegeben festgestellt, sondern geprüft, ob der behauptete Rechtsanspruch bei hypothetischer Richtigkeit begründet wäre. Wenn nicht, entfällt die Ermittlung und Feststellung der Richtigkeit des Sachverhalts, weil die Tatsachen rechtlich nicht maßgeblich iSd § 37 AVG sind. Die Datenschutzbeschwerde einer juristischen Person wegen Verletzung im Recht auf Information ist zurückzuweisen, da diese nicht in den Schutzbereich der DSGVO fällt und § 1 Abs 3 DSG keine Art 13 DSGVO entsprechenden Informationsrechte vorsieht. Obwohl juristische Personen dem Schutzbereich des § 1 DSG unterliegen und nach § 24 DSG beschwerdelegitimiert sein können, ist eine Verletzung ihres Geheimhaltungsrechts durch Videoüberwachung mangels tatsächlicher Erfassungs- und damit Datenverarbeitungsmöglichkeit denkunmöglich. Daten natürlicher Personen, die der juristischen Person zugerechnet werden, sind nicht ipso facto Daten der juristischen Person, da die Rechte nach der DSGVO und dem DSG höchstpersönlich sind (DSB 17.09.2025, 2025-0.746.087).

·         Im Rahmen eines vorvertraglichen Verhältnisses gemäß Art 6 Abs 1 lit b DSGVO im geschäftlichen Verkehr zwischen Unternehmen ist das Erforderlichkeitskriterium für die Datenverarbeitung erfüllt, wenn unter Beachtung der Grundsätze des Art 5 DSGVO eine Handlungsoption gewählt wird, die bei objektiver Betrachtung für keinen der am vorvertraglichen Verhältnis Beteiligten unüblich und überraschend sein musste. Die Weiterleitung einer Produktanfrage samt Kontaktdaten an ein lieferberechtigtes Vertriebsunternehmen ist eine zulässige vorvertragliche Maßnahme, wenn der Zweck des vorvertraglichen Verhältnisses die Erwirkung der Lieferung eines Produkts ist und die Weiterleitung weder den Grundsatz der Rechtmäßigkeit noch jenen der Zweckbindung oder der Datenminimierung verletzt (DSB 22.09.2025, 2025-0.742.062).

·         Am 19.11.2025 wurden die Vorschläge der Europäischen Kommission für (i) einen "Digital Omnibus", COM(2025) 837 final, (ii) einen "Digital Omnibus on AI", COM(2025) 836 final und (iii) die Schaffung eines "European Business Wallets", COM(2025) 838 final, veröffentlicht. Die Verordnungsentwürfe sollen ua die Einhaltung der DSGVO, der KI-VO und des Data Acts vereinfachen. Anm: Nähere Informationen finden Sie in unserem Legal Insight European Commission presents "Digital Omnibus" package.

·         Am 20.11.2025 ist die Regierungsvorlage zum Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) im Nationalrat eingelangt. Mit dem NISG 2026 wird die NIS-2-RL (EU) 2022/2555 ins innerstaatliche Recht umgesetzt. Als zuständige Behörde wird das Bundesamt für Cybersicherheit (Cybersicherheitsbehörde) benannt. Anm: Nähere Informationen finden Sie in unserem Legal Insight Österreich: NISG 2026 – Alles, was Sie wissen müssen.

·         Am 26.11.2025 werden die mündlichen Verhandlungen vor dem EuGH in den Rs C-496/23 P und C-497/23 P, jeweils Meta Platforms Ireland/Kommission, stattfinden. Gegenstand der Verfahren sind kartellrechtliche Auskunftsverlangen der Kommission zu Facebook Marketplace und dem sozialen Netzwerk Facebook.

·         Am 27.11.2025 werden die Schlussanträge in der Rs C-421/24, AGCOM (Jeux d’argent en ligne), veröffentlicht. Gegenstand des Verfahrens ist die Haftung von Hostingprovidern (konkret Google Ireland) nach der E-Commerce-RL 2000/31/EG für Online-Werbung betreffend Glücksspiel und Wetten.

·         Am 02.12.2025 wird das Urteil des EuGH in der Rs C-492/23, Russmedia, veröffentlicht. Der EuGH wird über die Haftung und datenschutzrechtliche Rolle von Betreibern von Online-Marktplätzen entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 6/2025 vom 12.02.2025 nachgelesen werden.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-468/24, Netz Niederösterreich, veröffentlicht. Gegenstand des Verfahrens sind intelligente Messgeräte (Smart Meter) und die Frage, ob Stromnetze auch elektronische Kommunikationsnetze sein können.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-684/24, Across Fiduciaria, veröffentlicht. Gegenstand des Verfahrens sind der Zugang zu Informationen über wirtschaftliche Eigentümer und die Auslegung des unbestimmten Begriffs des berechtigten Interesses.

·         Am 18.12.2025 werden die Schlussanträge in der Rs C-604/24, Farmakeio YZ & Sia, veröffentlicht. Gegenstand des Verfahrens ist der Verkauf bestimmter Arzneimittel durch Online-Shops von Apotheken im Fernabsatz durch Dienste der Informationsgesellschaft.

·         Am 18.12.2025 wird das Urteil des EuGH in der Rs C-422/24, Storstockholms Lokaltrafik, veröffentlicht. Der EuGH wird entscheiden, ob die Informationspflichten gemäß Art 13 und 14 DSGVO für Aufnahmen einer am Körper getragenen Kamera gelten. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 31/2025 vom 06.08.2025 nachgelesen werden.

Überwachung, Drohung, Privatleben

·         Ein armenischer Staatsbürger, der Mitglied der Oppositionspartei in Armenien war, wurde vom Nationalen Sicherheitsdienst Armeniens (NSS) mit der Aufforderung zur Zusammenarbeit kontaktiert. Bei einem persönlichen Treffen sprach der NSS-Agent Drohungen gegenüber dem Mitglied aus, nachdem dieser die Zusammenarbeit verweigerte. Das Mitglied zeichnete das Gespräch heimlich auf und erstattete in der Folge eine Strafanzeige beim Generalstaatsanwalt. Nachdem dieser ein Strafverfahren ablehnte, ging das Mitglied dagegen vor, bis das Kassationsgericht eine erneute Prüfung verlangte. Auch im zweiten Anlauf lehnte der Generalstaatsanwalt die Einleitung eines Strafverfahrens mit der Begründung, es liege keine Straftat vor, ab. Eine Zusammenarbeit des NSS mit Einzelpersonen sei gesetzlich vorgesehen, um etwa Straftaten zu verhindern oder aufzudecken und somit die nationale Sicherheit zu schützen. Nach erfolglosem Ausschöpfen des Rechtswegs wandte sich das Mitglied wegen der Verletzung seines Rechts auf Achtung des Privatlebens (erfolgreich) an den EGMR.

Der EGMR hat erwogen: Die Äußerungen des Agenten betreffend angeblich vorhandene belastende Informationen über das Mitglied, dessen Angehörigen und seine Partei geben Anlass zur Annahme, dass die NSS eine beträchtliche Menge personenbezogener Daten erhoben hat. Diese Daten standen der NSS auch später noch zur Verfügung, was auch für eine Speicherung der Daten spricht. Die Speicherung von Informationen über das Privatleben einer Person durch eine Behörde ist ein Eingriff in das Grundrecht auf Privatleben iSd Art 8 EMRK, unabhängig von einer späteren Nutzung der Daten.

Der Begriff des Privatlebens umfasst auch die physische und psychische Integrität einer Person sowie deren persönliche Autonomie. Die im Gespräch geäußerten Drohungen waren schwerwiegend, weil sie geeignet waren, begründete Angst, Besorgnis und ein Gefühl der Unsicherheit hervorzurufen, was sich auf die psychische Integrität und das Wohlbefinden des Mitglieds auswirkte. Sie waren auch geeignet, die persönliche Autonomie des Mitglieds betreffend seine Laufbahn, öffentliche oder politische Tätigkeit und seinen Wohnort zu beeinträchtigen. Dies zeigt sich auch am späteren Umzug des Betroffenen in die Niederlande, wo ihm Asyl gewährt wurde. Zudem wiegen die Drohungen besonders schwer, weil sie von einem Agenten des staatlichen Sicherheitsdienstes ausgingen.

Ein Eingriff ins Privatleben kann gerechtfertigt sein, wenn er im Einklang mit dem Gesetz steht, ein legitimes Ziel verfolgt und erforderlich ist. Das Vorbringen der Regierung, die Speicherung solle einer möglichen Zusammenarbeit zum Schutz der nationalen Sicherheit dienen überzeugt jedoch nicht. Das nationale Recht erlaubte nur eine freiwillige Zusammenarbeit mit Einzelpersonen. Der Versuch, das Mitglied durch Druck zu einer Zusammenarbeit zu bewegen, widerspricht diesem Erfordernis. Ebenso widerspricht der Einsatz von Zwang und Drohungen rechtsstaatlichen Grundsätzen.

·         Die Betreiberin eines Online-Mediums erhob E‑Mail-Adressen beim Erstellen eines kostenlosen Kontos für ein optionales Vollabo und verwendete die E-Mail-Adressen auch für den Versand eines Newsletters. Die rumänische Datenschutz-Aufsichtsbehörde verhängte eine Geldbuße wegen fehlender Einwilligungen und zweckwidriger Weiterverarbeitung der E-Mail-Adressen. Das vorlegende Gericht stellte dem EuGH Fragen zur Auslegung von Art 13 der RL 2002/58/EG (ePrivacyRL) sowie zu den Art 6, 83 und 95 DSGVO.

Der EuGH hat erwogen: Ein Newsletter, der individuell im Posteingang erscheint und mit dem ein kommerzielles Ziel verfolgt wird, ist Direktwerbung. Die E‑Mail-Adressen der Nutzer werden iZm dem Verkauf einer Dienstleistung erhoben und verarbeitet. Das kostenlose Konto für das Abo ist Teil eines entgeltlichen Angebots (Kauf einer Dienstleistung und indirekte Vergütung über den Preis des Vollabonnements).

Nach der Ausnahmeregel des Art 13 Abs 2 ePrivacyRL kann die Zusendung von werblichen elektronischen Nachrichten an eigene Kunden bei der Bewerbung ähnlicher Produkte zulässig sein. Diese Regelung greift, sofern ein Opt-out des Empfängers bei der Erhebung und in jeder Nachricht klar, gebührenfrei und problemlos möglich ist. Die Rechtmäßigkeit der Verarbeitung folgt aus Art 13 Abs 2 ePrivacyRL iVm Art 95 DSGVO. Eine Prüfung nach Art 6 Abs 1 DSGVO entfällt, weil Art 13 Abs 2 der ePrivacy-RL als spezielle Regelung die Rechtmäßigkeit der Verarbeitung für Direktwerbung per E-Mail abschließend regelt und Art 95 DSGVO zusätzliche Pflichten der DSGVO in diesem Bereich ausschließt. Anm: Diesem Urteil könnte erhebliche praktische Relevanz zukommen. Denn die DSB geht in ständiger Rechtsprechung von ihrer Zuständigkeit für die Beurteilung der Rechtmäßigkeit von E-Mail-Werbung aus. Dies ist schon aufgrund der Rechtsprechung des VfGH zum Grundrecht auf den gesetzlichen Richter kritisch zu sehen, weil das Fernmeldebüro diese Kompetenz ebenso für sich beansprucht. Ist eine Prüfung nach der DSGVO nicht (mehr) erforderlich, weil Art 13 Abs 2 ePrivacy als lex specialis vorgeht, erscheint die Zuständigkeit der DSB auch aus diesem Grund nicht gegeben. Dies müsste zudem auch für das Erheben von Cookies gelten.

Aus der Rechtsprechung des VwGH:

·         Die DSB stellte eine Verletzung des Geheimhaltungsrechts fest, weil der Verantwortliche auf seine E-Mail an den Betroffenen 37 weitere Empfänger in "Cc" setzte und damit Namen und Telefonnummer des Betroffenen offenlegte. Das BVwG wies die Bescheidbeschwerde des Verantwortlichen ab, ließ aber die Revision zu, weil Rechtsprechung des VwGH zum Grundsatz der Datenminimierung fehle. Das bloße Fehlen von Rechtsprechung des VwGH führt nicht automatisch zur Zulässigkeit der Revision. Da in der Zulässigkeitsbegründung der Revision keine konkrete Rechtsfrage, die der VwGH noch nicht beantwortet hat, dargelegt wurde, war die Revision zurückzuweisen (VwGH 17.10.2025, Ro 2022/04/0015).

BVwG 07.10.2025, W137 2310624-1

Unterhalt, Universität, ECTS, Verfahrensgesetze

·         Ein Vater brachte beim Bezirksgericht einen Antrag auf Einstellung der Alimentzahlung ein. Um das zielstrebige Betreiben eines Studiums seiner Tochter nachzuweisen, ersuchte das Gericht die Universität um Übermittlung des Studienerfolgs (ECTS-Punkte). Die Universität übermittelte Studienerfolgsnachweise samt den Namen der Prüfer, ECTS-Punkte, Typ und Benotung an das Gericht. Dieses leitete die Unterlagen an den Vater weiter. Die Tochter erachtete die Übermittlung der Studienbestätigung in dieser Form als überschießend, weil das Bezirksgericht lediglich eine Übermittlung eines Nachweises über die seit Studienbeginn absolvierten ECTS-Punkte anforderte. Da im Unterhaltsverfahren bloß festzustellen sei, ob zielstrebig studiert werde, seien zusätzliche Daten irrelevant. Durch die erfolgte Offenlegung sah sie ihr Recht auf Geheimhaltung verletzt und brachte Datenschutzbeschwerde bei der DSB ein. Gegen den abweisenden Bescheid der DSB erhob sie eine erfolglose Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Universitäten sind staatliche Behörden iSd § 1 Abs 2 DSG. Sie sind bei der Vollziehung der Studienvorschriften gemäß § 51 Abs 1 UG im Rahmen der Hoheitsverwaltung tätig. Der Begriff "Behörde" ist nach § 1 Abs 2 DSG im funktionellen Sinn zu verstehen. Darunter sind alle Stellen erfasst, die dem Legalitätsprinzip des B-VG unterliegen. Bei der Beschränkung des Geheimhaltungsanspruchs aus § 1 DSG sind auch die DSGVO und die in Art 5 DSGVO verankerten Grundsätze zur Auslegung heranzuziehen. Damit eine Verarbeitung rechtmäßig ist, muss ein Rechtfertigungsgrund nach Art 6 Abs 1 DSGVO kumulativ zu den in Art 5 Abs 1 DSGVO geregelten Grundsätzen vorliegen. Nach Art 6 Abs 1 lit c DSGVO ist die Verarbeitung von Daten rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Eine den Verfahrensgesetzen entsprechende Verwendung von Daten ist aus datenschutzrechtlicher Sicht zulässig.

Behördliche Eingriffe in das Grundrecht auf Datenschutz nach § 1 DSG sind wegen einer rechtlichen Verpflichtung erlaubt, wenn sie durch gesetzliche Grundlagen hinreichend bestimmt und verhältnismäßig sind. Die gesetzlichen Grundlagen müssen nach Art 8 Abs 2 EMRK notwendig und ausreichend präzise sein. Für jedermann muss vorhersehbar sein, unter welchen Voraussetzungen die Ermittlung oder Verwendung von personenbezogenen Daten für die Verwaltungsaufgabe erlaubt ist. Das UG enthält mit § 46 Abs 6 UG 2002 eine solche Rechtsgrundlage. Diese beschränkt die Datenübermittlung auf ein Minimum.

Als Maßstab zur Beurteilung der Erforderlichkeit der Datenübermittlung sind die konkrete Wortwahl sowie der Zweck des gerichtlichen Aufforderungsschreibens heranzuziehen. Ob ein Studium zielstrebig verfolgt wird, ist in Zusammenschau mit den erzielten Noten, absolvierten Lehrveranstaltungen, bestandenen Prüfungen oder der Art der Lehrveranstaltung zu prüfen. Nur anhand von übermittelten ECTS kann nicht nachgeprüft werden, ob Lehrveranstaltungen ohne Prüfungen oder ohne Bezug zum Studium besucht oder Fachprüfungen vermieden werden. Die Übermittlung durch die Universität war für die Zweckerreichung notwendig.

·         Den Betroffenen kommt gemäß Art 78 Abs 2 DSGVO das Recht auf Erheben einer Untätigkeitsklage zu, wenn die DSB eine Datenschutzbeschwerde nicht bearbeitet, die Datenschutzbeschwerde nicht an die zuständige Aufsichtsbehörde weiterleitet oder den Betroffenen nicht über den Stand oder das Ergebnis der Datenschutzbeschwerde unterrichtet. Bei einem grenzüberschreitenden Sachverhalt ist gemäß Art 56 DSGVO die federführende Aufsichtsbehörde zuständig, welche sich nach dem Ort der Hauptniederlassung des Verantwortlichen richtet (Kohärenzverfahren). Da die DSB die Datenschutzbeschwerde an die deutsche Aufsichtsbehörde weitergeleitet und den Betroffenen darüber informiert hat, war die Säumnisbeschwerde zurückzuweisen. Die deutsche Aufsichtsbehörde unterliegt nicht der Zuständigkeit des BVwG, daher war auch die gegen sie gerichtete Säumnisbeschwerde zurückzuweisen (BVwG 07.08.2025, W605 2311036-1).

·         In einem mit einer Datenschutzbeschwerde eingeleiteten Verfahren können Gegenstand des Verfahrens vor der DSB nur jene Rechtsverletzungen sein, die in der Datenschutzbeschwerde geltend gemacht werden. Der Betroffene hat keine Rechtsverletzung im Recht auf Löschung bzw Widerspruch betreffend Score-Werte geltend gemacht. Jene Spruchpunkte, in denen die DSB dennoch über die Score-Werte entschieden hat, waren daher ersatzlos zu beheben. Die Zurückziehung der Datenschutzbeschwerde im Verfahren vor dem BVwG bewirkt nachträglich die Unzuständigkeit der DSB und damit die Rechtswidrigkeit des Bescheids. Die Mitteilung des anwaltlich vertretenen Betroffenen, dass er aufgrund der zwischenzeitlich erfolgten Löschung nicht mehr beschwert ist, wird als Zurückziehung der Datenschutzbeschwerde gewertet. Der Bescheid der DSB ist daher ersatzlos zu beheben (BVwG 05.09.2025, W256 2294340-1).

·         Hat der Antragsteller eines Verfahrenshilfeantrags ein Nettoeinkommen iHv EUR 1.000 und demgegenüber monatliche Verbindlichkeiten iHv EUR 350, aber keine Unterhaltspflichten, ist ihm die Übernahme der einmaligen Kosten der Eingabegebühr iHv EUR 30 und des Verfahrenshilfeantrags iHv EUR 15 zumutbar. Ergeben sich im Verfahren nur einfache und keine komplexen Sachverhalts- und Rechtsfragen, ist dem Antragsteller auch kein Rechtsanwalt beizugeben. Der Verfahrenshilfeantrag ist daher abzuweisen (BVwG 26.09.2025, W292 2315583-1). Anm: Inzwischen sind die Kosten der Eingabegebühr auf EUR 50 und des Verfahrenshilfeantrags auf EUR 25 angehoben worden. An der Beurteilung des BVwG hätten diese Gebühren aber vermutlich nichts geändert.

·         Wird eine Datenschutzbeschwerde zurückgewiesen, darf das BVwG nur über die Rechtmäßigkeit der Zurückweisung entscheiden. Ein Verbesserungsauftrag gemäß § 13 Abs 3 AVG ist nur dann gesetzmäßig, wenn der angenommene Mangel tatsächlich vorliegt. Die DSB darf bei der Prüfung der Datenschutzbeschwerde die vorgelegten Unterlagen (Beweismittel) nicht übergehen und sich nur auf die Darstellung des Sachverhalts und der Rechtswidrigkeit in der Datenschutzbeschwerde beschränken. Der Verbesserungsauftrag wurde von der DSB nicht zu Recht erteilt, weshalb der Zurückweisungsbescheid ersatzlos zu beheben ist (BVwG 29.09.2025, W171 2316231-1).

·         Wird eine Datenschutzbeschwerde zurückgewiesen, darf das BVwG nur über die Rechtmäßigkeit der Zurückweisung entscheiden. Widersprechen sich die Angaben zum Zeitpunkt des behaupteten Datenschutzverstoßes in der Datenschutzbeschwerde und den vorgelegten Beweismitteln, ist der Verbesserungsauftrag berechtigt, weil dieser Zeitpunkt für die Beurteilung der Rechtzeitigkeit der Datenschutzbeschwerde erforderlich ist. Wird dem Verbesserungsauftrag nicht entsprochen, ist die Datenschutzbeschwerde zurückzuweisen. Eine Verbesserung des Mangels mit der Bescheidbeschwerde an das BVwG ist ausgeschlossen (BVwG 07.10.2025, W137 2312914-1).

·         Ein Verfahren kann ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die in einem – gleichzeitig anhängigen – Verfahren vor dem VwGH zu lösen ist. Beim BVwG sind zum selben Themenkomplex etwa 100 Bescheidbeschwerden anhängig. Damit liegt eine erhebliche Anzahl an Verfahren vor. Das gegenständliche Verfahren ist eines dieser Verfahren und daher auszusetzen (BVwG 07.10.2025, W256 2285652-1; 07.10.2025, W256 2284218-1).

DSB 29.07.2025, 2024-0.368.729

Wirtschaftsdaten, Abfall- und Umweltinformationen

·         Ein Lebensmittelhändler meldete gemäß § 11a Abfallwirtschaftsgesetz (AWG) gesetzlich bestimmte Lebensmitteldaten über das EDM-Portal an den Bundesminister für Umweltschutz (BMU). Der BMU veröffentlichte mit der Anzahl der Verkaufsflächen, der Gesamtmasse der unentgeltlich weitergegebenen Lebensmittel (Spenden) und der Gesamtmasse der Lebensmittel, die als Abfall weitergegeben wurden (Abfall), auch den Namen des als Einzelunternehmer tätigen Lebensmittelhändlers. Der Lebensmittelhändler behauptete in seiner Datenschutzbeschwerde, wegen der gemeinsamen Veröffentlichung der Lebensmitteldaten mit seinem Namen in seinem Recht auf Geheimhaltung verletzt worden zu sein. Dies ua deshalb, weil bei der Registrierung im EDM-Portal nicht über die spätere namentliche Veröffentlichung informiert worden sei. Der BMU verwies zur Zulässigkeit der Veröffentlichung neben dem AWG auch auf das Umweltinformationsgesetz (UIG), weil die gemeldeten Daten auch als Umweltinformationen zu qualifizieren seien. Die DSB wies die Datenschutzbeschwerde ab.

Die DSB hat erwogen: Als Einzelunternehmer ist der Lebensmittelhändler eine natürliche Person. Er hat Anspruch auf Geheimhaltung seiner personenbezogenen Daten. Wirtschaftsdaten sind personenbezogene Daten. Die Veröffentlichung von Daten auf einer Website ist eine Datenverarbeitung.

Als hoheitliche Verwaltung ist zu verstehen, wenn Verwaltungsorgane mit Imperium, dh mit Befehls- und Zwangsgewalt, handeln. Bei einem Verstoß gegen § 11a AWG ist eine Verwaltungsstrafe vorgesehen. Die Veröffentlichung der Lebensmitteldaten auf der EDM-Plattform ist somit als eine hoheitliche Maßnahme anzusehen.

Eine Datenverarbeitung ist ua dann zulässig, wenn sie zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Die Vermeidung der Lebensmittelverschwendung und der Umweltschutz liegen zweifellos im öffentlichen Interesse. Die Bestimmung des § 11a AWG dient dazu, einen Anreiz für Lebensmittelhändler zu schaffen, weniger Abfall weiterzugeben und den Umweltschutz zu priorisieren. Dieser Anreiz hat offenbar gewirkt, denn der Lebensmittelhändler meldet stets höhere Spenden- als Abfallmengen. Die Veröffentlichung war vorhersehbar, weil der BMU über die gemeldeten Daten einen Bericht zu veröffentlichen hat. Der BMU ist zudem eine informationspflichtige Stelle nach dem UIG, weshalb ihn eine proaktive Veröffentlichungspflicht für bestimmte Umweltinformationen trifft.

Ein Betriebs- oder Geschäftsgeheimnis liegt nicht vor, weil entgegen den Ausführungen des Lebensmittelhändlers aus der unspezifischen Gesamtmenge der Spenden und Abfälle kein Rückschluss auf Verluste des Lebensmittelhändlers möglich ist.

Das Recht der Öffentlichkeit auf Empfang von Informationen zu Lebensmittelverschwendung und Umweltschutz überwiegt die Geheimhaltungsinteressen des Lebensmittelhändlers, denn seine Daten werden gemeinsam mit den Daten anderer Lebensmittelhändler veröffentlicht, wodurch eine "Prangerwirkung" ausgeschlossen wird. Gelindere Mittel stehen nicht zur Verfügung, weil die Angabe des Namens des Lebensmittelhändlers erforderlich ist, um über den Umgang mit Abfall durch Lebensmittelhändler zu informieren.

DSB 04.09.2025, 2025-0.178.139

Beschäftigtendaten, Dienst-PC, Rechtsverteidigung

·         Ein Luftfahrtunternehmen wertete aufgrund von Hinweisen aus der Belegschaft den Dienst-PC eines Mitarbeiters aus und entdeckte dabei auch private Dateien, die teils besondere Kategorien personenbezogener Daten waren (ua Intimfotos, ein politisches Satirebild, private Korrespondenz, Zahlungsbelege). Die Dateien waren nicht als "privat" gekennzeichnet. Das Unternehmen legte Auszüge als Beweismittel in einer vom Mitarbeiter eingebrachten Kündigungsanfechtung vor. Der Mitarbeiter erhob Datenschutzbeschwerde an die DSB wegen Verletzung des Rechts auf Geheimhaltung, Information und Löschung. Die DSB wies die Beschwerde ab.

Die DSB hat erwogen: Die Einsichtnahme und Auswertung des Dienst-PCs war aufgrund eines begründeten Verdachts von Dienstpflichtverletzungen sowie zur Sicherung des Betriebsfortgangs gerechtfertigt. Die Verarbeitung durfte auf die Wahrung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO und – hinsichtlich der besonderen Datenkategorien (Intimaufnahmen, politische Meinung) – auf die Verteidigung von Rechtsansprüchen gemäß Art 9 Abs 2 lit f DSGVO gestützt werden.

Maßgeblich ist, dass der Mitarbeiter die Daten selbst auf dem Dienstgerät gespeichert hatte, die Ordner nicht als privat gekennzeichnet waren und im arbeitsgerichtlichen Verfahren vernünftigerweise mit einer Auswertung des Dienst-PCs zu rechnen war. Die arbeitsrechtliche Treuepflicht (§ 1153 ABGB) verstärkt die Vorhersehbarkeit. Ein gelinderes Mittel als die PC-Auswertung stand nicht zur Verfügung. Die Heranziehung von Zeugen war kein gleich geeignetes Ersatzmittel. Die Vorlage der Daten an das Gericht war ebenfalls von Art 6 Abs 1 lit f und Art 9 Abs 2 lit f DSGVO gedeckt.

Ein Verstoß gegen Informationspflichten (Art 13 und 14 DSGVO) erfolgte nicht, denn der Mitarbeiter verfügte bereits vor der gegenständlichen Auswertung über die erforderlichen Informationen über die Verarbeitung. Er hatte die Daten selbst am Dienst-PC gespeichert und musste im Kontext der Kündigungsanfechtung mit der Verarbeitung rechnen. Das Löschungsersuchen (Art 17 Abs 1 DSGVO) durfte aufgrund der Ausnahme des Art 17 Abs 3 lit e DSGVO abgelehnt werden, solange die Daten zur Rechtsverteidigung im anhängigen arbeitsgerichtlichen Verfahren erforderlich waren bzw sind. Anm: Praxisrelevanz hat diese Entscheidung für Arbeitgeber, weil die Grenzen interner Untersuchungen beleuchtet werden.

DSB 07.11.2025, 2025-0.911.653

Grundbuch, Akquise, berechtigte Interessen

·         Eine Immobilientreuhänderin ermittelte aus dem Grundbuch den Namen und die Anschrift einer vermeintlichen Erbin und verwendete diese für ein einmaliges postalisches Akquisitionsschreiben zum Kauf der Liegenschaft. Tatsächlich war die vermeintliche Erbin jedoch nicht Eigentümerin, sondern die Liegenschaft war Teil eines Verlassenschaftsverfahrens. Die vermeintliche Erbin erachtete sich in ihrem Recht auf Geheimhaltung verletzt und erhob (erfolgreich) Datenschutzbeschwerde bei der DSB.

Die DSB hat erwogen: Dass es sich beim Grundbuch um ein öffentliches Register handelt, bedeutet nicht, dass die darin enthaltenen Daten allgemein verfügbare Daten iSd § 1 Abs 1 DSG sind. Die generelle Annahme des Nichtvorliegens einer Verletzung schutzwürdiger Geheimhaltungsinteressen für zulässigerweise veröffentlichte Daten ist mit der DSGVO nicht vereinbar.

Werden zulässigerweise veröffentlichte Daten nicht bloß reproduziert, sondern ein neues Element mit diesen Daten verknüpft – etwa die Verwendung der Daten zur möglichen Akquise – ist diese Verknüpfung eine Verarbeitung iSd Art 4 Z 2 DSGVO, die eines Erlaubnistatbestands nach Art 6, 9 oder 10 DSGVO bedarf.

In Betracht kommt die Rechtsgrundlage der überwiegenden berechtigten Interessen nach Art 6 Abs 1 lit f DSGVO. Da die personenbezogenen Daten im Grundbuch öffentlich zugänglich sind, ist von einer geringeren Schutzwürdigkeit auszugehen. Die Immobilientreuhänderin hat ein wirtschaftliches Interesse am Immobilienerwerb. Demgegenüber hat die vermeintliche Erbin ein Geheimhaltungsinteresse, nicht für Anfragen zu einem möglichen Grundstücksverkauf kontaktiert zu werden.

Bei einer bloß einmaligen Anfrage können die Interessen der Immobilientreuhänderin grundsätzlich überwiegen. Der Zweck der Verarbeitung erschöpft sich jedoch in der Kontaktaufnahme mit einer verfügungsberechtigten Eigentümerin. Da die vermeintliche Erbin keine Verfügungsbefugnis hat, kommt sie als Adressatin eines solchen Schreibens nicht in Betracht. Dass ihre Daten in einem Einantwortungsbeschluss aufscheinen, ändert daran nichts.

Es fehlt an der unbedingten Erforderlichkeit der Datenverarbeitung und damit zur Verwirklichung des von der Immobilientreuhänderin wahrgenommenen Interesses. Da das Geheimhaltungsinteresse der vermeintlichen Erbin überwiegt, liegt eine Verletzung im Recht auf Geheimhaltung vor.

·         Die Speicherung strafverfahrensbezogener Daten im Namensverzeichnis der Justiz nach endgültigem Rücktritt von der Verfolgung erfordert eine fortdauernde gesetzliche Grundlage und eine Interessenabwägung. § 75 StPO normiert Höchstfristen für die Speicherung personenbezogener Daten im Namensverzeichnis. Eine Löschung vor Ablauf dieser Fristen ist im Einzelfall geboten, wenn die Interessen des Betroffenen an der Löschung die öffentlichen Interessen an der Weiterspeicherung überwiegen. Fehlt es an einer solchen Interessenabwägung oder hält die Weiterspeicherung einer Interessenabwägung nicht stand, mangelt es der Verarbeitung an einer gesetzlichen Grundlage iSd § 38 DSG (DSB 05.11.2025, 2024-0.869.675).

·         Die DSB ist für die Behandlung von Datenschutzbeschwerden gegen Staatsanwaltschaften (StA) zuständig. Die StA schickte einen Brief an das Opfer eines bereits beendeten Strafverfahrens. Das Opfer wurde in jenem Strafverfahren von einer Opferschutzeinrichtung vertreten. Der StA war nicht bekannt, dass die angeführte Adresse jene der Opferschutzeinrichtung ist, weshalb sie den Brief an die Opferschutzeinrichtung, die zur Vertretung nicht mehr bevollmächtigt war, versandte. Der Bestimmung des § 1 Abs 1 DSG liegt ein "materieller", dh "relativer Geheimhaltungsbegriff" zugrunde. Die Beurteilung der Schutzwürdigkeit des Interesses erfolgt unter Berücksichtigung aller konkreten Umstände des Einzelfalls nach einem objektiven Maßstab. Der Grundsatz der Datenrichtigkeit würde überspannt, wenn ohne Anhaltspunkte für die Unrichtigkeit der Zustelladresse zu überprüfen wäre, ob eine aktenkundige Zustelladresse aktuell ist (DSB 09.09.2025, 2023-0.346.325). Anm: Zur Gewährleistung der Datenrichtigkeit stellen Adressverlage und Direktmarketingunternehmen Produkte zur Verfügung, die einen Adressabgleich vor dem Versenden von Briefen ermöglichen. Die Nutzung solcher Produkte erfolgt jedoch zur Wahrung berechtigter Interessen (oder als Auftragsverarbeitung), worauf sich Behörden nicht stützen dürfen.

·         An der Telefonnummer und der Wohnadresse besteht ein Geheimhaltungsinteresse, weil diese personenbezogenen Daten nicht allgemein zugänglich sind. Die ordnungsgemäße Abwicklung zweier Kaufverträge ist ein berechtigtes Interesse. Die Weitergabe der Telefonnummer und der Wohnadresse an einen Geschäftspartner war erforderlich, weil der Verantwortliche die Daten des Betroffenen erst nach mehreren fehlgeschlagenen telefonischen Kontaktaufnahmen weitergegeben hat. Die Datenweitergabe war auch zweckmäßig, weshalb die Geheimhaltungsinteressen des Betroffenen nicht überwogen (DSB 03.09.2025, 2025-0.699.488).

·         Eine Videoüberwachung kann gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich eine zulässige Verarbeitung personenbezogener Daten sein, wenn sie der Wahrung berechtigter Interessen dient. Das Interesse am Schutz des Eigentums und am Schutz der körperlichen und psychischen Integrität sind solche Interessen. Eine kontinuierliche Videoüberwachung, die auch den öffentlichen Raum und zufällig dort vorbeikommende Fußgänger und Nachbarn erfasst, ist jedoch nicht erforderlich und verletzt den Grundsatz der Datenminimierung. Dem Eigentümer des Grundstücks standen auch alternative, weniger weitreichende Maßnahmen zum Schutz seines Eigentums zur Verfügung. So wäre etwa ein eingeschränkter Aufnahmebereich und die auf die Öffnungszeiten des Lokals beschränkte Aufnahme, oder gar die Aufnahme mit einem Mobiltelefon bei einem unangemessenen Verhalten des Nachbarn ausreichend, um dieses gegebenenfalls vor Gericht nachweisen zu können (DSB 10.09.2025, 2025-0.607.071).

·         Vorgesetzte sind gemäß § 109 Abs 1 BDG iVm § 280 Abs 1 und 2 BDG bei begründetem Verdacht zur Erstattung von Disziplinaranzeigen und damit verbundenen personenbezogenen Datenverarbeitungen befugt. Die Verarbeitung personenbezogener Daten muss jedoch entsprechend der Erforderlichkeit und dem Grundsatz der Datenminimierung erfolgen. Die Verwendung von Daten ist erheblich, wenn sie für die Erreichung des festgelegten Zwecks geeignet und erforderlich ist. Die namentliche Nennung der Kinder eines Bediensteten im Rahmen einer Disziplinaranzeige ist nicht erforderlich. Selbst wenn der Bedienstete angehalten wäre, die persönlichen Verhältnisse des Bediensteten festzustellen, hätte er zu einem gelinderen Mittel greifen können, indem er die Anzahl der Kinder samt deren Alter angibt, ohne diese namentlich zu nennen (DSB 07.11.2025, 2025-0.910.735).

·         Vor- und Nachname sind personenbezogene Daten. Ist eine Online-Terminreservierung nur möglich, wenn gleichzeitig eine Einwilligung erteilt wird, dass der Name des Reservierenden am Bildschirm im Wartebereich bei Aufrufen angezeigt wird, liegt keine Einwilligung iSd DSGVO vor. Der Anforderung der Freiwilligkeit wird nämlich nicht entsprochen. Ist der Verantwortliche eine Einrichtung im öffentlichen Interesse, kann für die Inanspruchnahme einer staatlichen Leistung keine Einwilligung verlangt werden (Kopplungsverbot). Das Aufrufsystem im Wartebereich ist in anonymisierter Form, zB durch die Verwendung eines Nummernsystems, zu realisieren (DSB 03.09.2025, 2024-0.739.846).

·         Am 11.11.2025 wurde der "Beschluss (EU) 2025/2307 des Rates vom 13. Oktober 2025 über die Unterzeichnung – im Namen der Europäischen Union – des Übereinkommens der Vereinten Nationen gegen Cyberkriminalität; Stärkung der internationalen Zusammenarbeit bei der Bekämpfung bestimmter mithilfe von Informations- und Kommunikationstechnologiesystemen begangener Straftaten und bei der Weitergabe von Beweismitteln in elektronischer Form für schwere Straftaten", ABl L 2025/2307, kundgemacht. Mit der United Nations Convention against Cybercrime sollen der Kampf gegen Cyberkriminalität und die internationale Kooperation auf diesem Gebiet gestärkt werden.

·         Am 19.11.2025 wird das Urteil des EuG in der Rs T-367/23, Amazon EU/Kommission, veröffentlicht. Das EuG wird über die Benennung von Amazon Store als sehr große Online-Plattform iSd VO (EU) 2022/2065 (DSA) entscheiden.

·         Am 20.11.2025 wird das Urteil des EuGH in der Rs C-57/23, Policejní prezidium und génétiques, veröffentlicht. Der EuGH wird über die Verarbeitung von DNA-Profilen entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 9/2025 vom 05.03.2025 nachgelesen werden.

·         Am 20.11.2025 wird das Urteil des EuGH in der Rs C-327/24, Lolach, veröffentlicht. Der EuGH wird über eine Zugangsverpflichtung gestützt auf die RL (EU) 2018/1972 (Europäischer Kodex für die elektronische Kommunikation) entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 20/2025 vom 21.05.2025 nachgelesen werden.

·         Am 27.11.2025 werden die Schlussanträge in der Rs C-421/24, AGCOM (Jeux d’argent en ligne), veröffentlicht. Gegenstand des Verfahrens ist die Haftung von Hostingprovidern (konkret Google Ireland) nach der E-Commerce-RL 2000/31/EG für Online-Werbung betreffend Glücksspiel und Wetten.

·         Am 02.12.2025 wird das Urteil des EuGH in der Rs C-492/23, Russmedia, veröffentlicht. Der EuGH wird über die Haftung und die datenschutzrechtliche Rolle der Betreiber von Online-Marktplätzen entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 6/2025 vom 12.02.2025 nachgelesen werden.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-468/24, Netz Niederösterreich, veröffentlicht. Gegenstand des Verfahrens sind intelligente Messgeräte (Smart Meter) und die Frage, ob Stromnetze auch elektronische Kommunikationsnetze sein können.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-684/24, Across Fiduciaria, veröffentlicht. Gegenstand des Verfahrens sind der Zugang zu Informationen über wirtschaftliche Eigentümer und die Auslegung des unbestimmten Begriffs des berechtigten Interesses.

·         Am 18.12.2025 werden die Schlussanträge in der Rs C-604/24, Farmakeio YZ & Sia, veröffentlicht. Gegenstand des Verfahrens ist der Verkauf bestimmter Arzneimittel durch Online-Shops von Apotheken im Fernabsatz durch Dienste der Informationsgesellschaft.

EGMR 06.11.2025, 46704/16, Guyvan/Ukraine

Personenbezogene Daten, Kommunikationsüberwachung, Arbeitsplatz

·         Ein ukrainischer Arbeitnehmer nutzte sein Mobiltelefon sowohl beruflich als auch privat, wobei der Arbeitgeber die Kosten für die berufliche Nutzung, insb für Auslandsroaming während Dienstreisen, übernahm. Nachdem auf den Rechnungen internationale Roaminggebühren auftauchten, obwohl sich der Arbeitnehmer nach eigenen Angaben am Arbeitsplatz befunden hatte, leitete der Arbeitgeber interne Ermittlungen ein und forderte vom Mobilfunkanbieter detaillierte Verbindungsdaten an. Da der Arbeitgeber ihm keine Auskunft über die vom Mobilfunkanbieter erhaltenen Informationen erteilte, erhob der Arbeitnehmer Klage. Die Klage wurde abgewiesen, weil der Arbeitgeber als Inhaber der Telefonnummer berechtigt sei, diese Informationen einzuholen. Auch die höheren Instanzen bestätigten diese Auffassung und sahen in den angeforderten Informationen keine personenbezogenen Daten des Arbeitnehmers. Daraufhin wandte sich der Arbeitnehmer wegen der Verletzung seines Rechts auf Achtung des Privatlebens gemäß Art 8 EMRK (erfolgreich) an den EGMR.

Der EGMR hat erwogen: Das "Privatleben" umfasst auch Interaktionen im beruflichen Umfeld sowie über den Aufenthaltsort einer Person zu einem bestimmten Zeitpunkt. Informationen über (i) Roamingdienste, (ii) den Standort und (iii) die Mitteilungsempfänger sind personenbezogene Daten des Arbeitnehmers.

Zwar handelte es sich bei der Überwachung der Kommunikation um keinen staatlichen Eingriff, sondern einen Eingriff durch einen privaten Arbeitgeber. Art 8 EMRK verpflichtet den Staat jedoch, den Schutz des Privatlebens auch im Verhältnis zwischen Privaten zu gewährleisten ("obligation to protect"). IZm der Überwachung der Kommunikation am Arbeitsplatz sind bestimmte Kriterien wie die Unterrichtung des Arbeitnehmers, Umfang und Intensität der Überwachung, berechtigte Gründe des Arbeitgebers, weniger eingriffsintensive Alternativen, Folgen für den Arbeitnehmer sowie angemessene Garantien gegen Willkür zu berücksichtigen.

Zwar war der Arbeitgeber berechtigt, Informationen zur Kostenübernahme einzuholen, jedoch verfolgten seine Anträge auch den Zweck, den Aufenthaltsort des Arbeitnehmers zu bestimmten Zeiten zu ermitteln. Die erhobenen Daten – etwa Telefonnummern und Länder – waren dafür nicht erforderlich und griffen in die Privatsphäre des Arbeitnehmers ein. Da die nationalen Gerichte nicht prüften, ob die Datenerhebung gerechtfertigt war, wurde dem Arbeitnehmer der staatliche Schutz durch ein Gericht verweigert. Anm: Der EGMR schließt an seine Rechtsprechung in der Rs Bărbulescu an. Dieses Urteil sollte insb von Arbeit- und Dienstgebern beachtet werden.

·         Die Überwachung der nicht geschützten Korrespondenz eines Häftlings durch eine Justizanstalt ist zulässig, wenn sie in Einklang mit den einschlägigen Gesetzen erfolgt und weder unzumutbar noch willkürlich ist (EGMR 06.11.2025, 37639/19, AV/Schweiz).

·         Mit Urteil vom 08.01.2025, T-354/22, Bindl/Kommission, hat das EuG der Klage eines Betroffenen teilweise stattgegeben und ua eine rechtswidrige Datenübermittlung aufgrund der Heranziehung von Meta Platforms Ireland (Meta Ireland) durch die Europäische Kommission (Kommission) festgestellt sowie einen Schadenersatz wegen eines immateriellen Schadens zugesprochen. Nachdem der Betroffene und die Kommission jeweils Rechtsmittel an den EuGH erhoben hatten, beantragte Meta Ireland, als Streithelferin zugelassen zu werden. Meta Ireland wird als Streithelferin zugelassen, weil der Ausgang des Rechtsmittels geeignet ist, ihre Rechtsstellung zu ändern und Meta Ireland daher ein berechtigtes Interesse daran hat, dass dem Rechtsmittel der Kommission stattgegeben wird (EuGH 29.10.2025, C-206/25 P, Kommission/Bindl).

·         Ob der klaren rechtlichen Anordnung des Art 7 DSGVO zu den Bedingungen für eine Einwilligung im Einzelfall entsprochen wird, ist anhand der konkreten Umstände zu prüfen. Eine im Einzelfall vorgenommene rechtliche Beurteilung kann nur dann die Zulässigkeit einer Revision begründen, wenn dies wegen einer krassen Fehlbeurteilung der einzelfallbezogenen Umstände durch das Verwaltungsgericht aus Gründen der Rechtssicherheit geboten ist. Die Sache des Bescheides begrenzt den Prüfungsumfang und damit die Kognitionsbefugnis des BVwG (VwGH 29.09.2025, Ro 2023/04/0045).

·         Das bloße Vorbringen, es fehle an Judikatur des VwGH zu Videoüberwachungen iZm der DSGVO und dem DSG, ohne eine konkrete Rechtsfrage zu relevieren, begründet keine Rechtsfrage grundsätzlicher Bedeutung (VwGH 29.09.2025, Ra 2023/04/0246).

·         Eine Verarbeitung muss unter einen der in Art 6 Abs 1 DSGVO vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können. Demgegenüber führt nicht jede Verletzung der Informationspflicht per se zur Unrechtmäßigkeit einer Datenverarbeitung und damit zu einer Verletzung im Recht auf Geheimhaltung (VwGH 08.10.2025, Ra 2023/04/0117).

·         Soweit sich ein Revisionsrekurs gegen die Veröffentlichung von Namen und Geburtsdaten der Gesellschafter einer GmbH im Firmenbuch richtet, besteht kein Zusammenhang zu den Offenlegungspflichten der §§ 277 ff UGB. Die Rechtmäßigkeit der Offenlegung personenbezogener Daten natürlicher Personen in einem öffentlich zugänglichen Handelsregister ist von den nationalen Gerichten anhand der Rechtfertigungsgründe des Art 6 Abs 1 lit c und/oder lit e DSGVO zu beurteilen (OGH 16.10.2025, 6Ob230/24b).

·         Ein Online-"Shitstorm" stellt schadenersatzrechtlich einen einheitlichen immateriellen Gesamtschaden dar. Wurde dieser Gesamtschaden bereits ausgeglichen (insb durch geleistete Zahlungen), besteht kein erneuter Schadenersatzanspruch aufgrund von Art 82 DSGVO oder anderen gesetzlichen Bestimmungen (OLG Wien 10.06.2025, 15R74/25z).

·         Die Veröffentlichung eines Bildnisses in Verbindung mit einem Begleittext, der einen Prominenten als fremdbestimmt, leicht manipulierbar und geschäftsunfähig erscheinen lässt, verletzt berechtigte Interessen iSd § 78 UrhG. Bei Berührung des höchstpersönlichen Lebensbereichs überwiegt das Persönlichkeitsschutzinteresse und begründet einen Unterlassungsanspruch sowie Anspruch auf immateriellen Schadenersatz (OLG Wien 27.08.2025, 15R35/25i).

BVwG 28.08.2025, W137 2311069-1

Schengener Informationssystem, Asylantrag, Löschbegehren

·         Ein Inder begehrte die Löschung seiner im Schengener Informationssystem (SIS) gespeicherten Ausschreibung, die auf einer rechtskräftigen Rückkehrentscheidung beruhte. Die DSB wies die auf Löschung gerichtete Datenschutzbeschwerde ab. Gegen diesen Bescheid erhob der Inder (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten im SIS basiert auf Art 6 Abs 1 lit c und lit e DSGVO sowie der VO (EU) 2018/1860 (SIS Rückkehr VO). Gemäß Art 3 SIS Rückkehr VO ist die Eingabe einer Ausschreibung zur Unterstützung der Vollstreckung von Rückkehrentscheidungen verpflichtend. Ein Löschungsanspruch nach Art 17 DSGVO besteht nicht, weil Art 17 Abs 3 lit b DSGVO die Löschung ausschließt, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist.

Die SIS Rückkehr VO regelt Löschungstatbestände abschließend. Nach Art 14 SIS Rückkehr VO sind Daten nur dann zu löschen, wenn die zugrunde liegende Entscheidung zurückgenommen oder für nichtig erklärt wurde oder der Betroffene die Ausreise aus der EU nachweist. Auch eine Unterrichtung durch einen anderen Mitgliedstaat über die beabsichtigte bzw erfolgte Erteilung eines Aufenthaltstitels iSd Art 9 Abs 2 SIS Rückkehr VO ist nicht erfolgt.

Die Datenverarbeitung (einschließlich besonderer Kategorien von Daten) ist im Lichte von Art 9 Abs 2 lit g DSGVO durch ein erhebliches öffentliches Interesse an der Durchsetzung rechtskräftiger Entscheidungen und einem geordneten Fremdenwesen gerechtfertigt. Die Schutzmechanismen der SIS Regelungen gewährleisten die Wahrung des Grundrechts auf Datenschutz.

·         Ein Verfahren kann ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die in einem – gleichzeitig anhängigen – Verfahren vor dem VwGH zu lösen ist. Beim BVwG sind zum selben Themenkomplex etwa 100 Bescheidbeschwerden anhängig. Damit liegt eine erhebliche Anzahl an Verfahren vor. Das gegenständliche Verfahren ist eines dieser Verfahren und daher auszusetzen (BVwG 26.09.2025, W256 2284167-1).

DSB 05.09.2025, 2025-0.712.691

Auskunft, Marktortprinzip

·         Ein Rechtsanwalt richtete im Auftrag eines Spielers ein Auskunftsersuchen an ein in Curaçao ansässiges Online-Glücksspielunternehmen. Da dieses nur Anfragen des Spielers selbst akzeptierte, stellte der Spieler ein entsprechendes Auskunftsersuchen. Dennoch blieb das Auskunftsersuchen unbeantwortet, sodass der Rechtsanwalt Datenschutzbeschwerde bei der DSB einbrachte. Trotz entsprechender Aufforderung erstattete das Glücksspielunternehmen kein Vorbringen und wirkte im Beschwerdeverfahren auch in sonstiger Weise nicht mit. Die DSB gab der Datenschutzbeschwerde statt, stellte eine Verletzung im Recht auf Auskunft fest und trug dem Glücksspielunternehmen auf, binnen vier Wochen eine Auskunft zu erteilen.

Die DSB hat erwogen: Die DSGVO findet auf Curaçao als niederländisches Überseegebiet nicht ohne Weiteres Anwendung, weil es über eine eigene datenschutzrechtliche Gesetzgebung verfügt und daher als Drittstaat gilt. Gemäß Art 3 Abs 2 lit a DSGVO findet die DSGVO jedoch auf die Verarbeitung personenbezogener Daten von in der EU befindlichen betroffenen Personen durch einen nicht in der EU niedergelassenen Verantwortlichen Anwendung, wenn die Datenverarbeitung mit dem Angebot von Waren und Dienstleistungen für die betroffene Person in Verbindung steht ("Marktortprinzip"). Dabei ist unerheblich, ob die Betroffenen tatsächlich Zahlungen leisten.

Der Begriff "Dienstleistung" ist weit auszulegen. Ob Dienstleistungen auf Personen in der EU ausgerichtet sind, ergibt sich aus einer Gesamtbetrachtung, bei der die Sprache einer Webseite, die Endung der Top-Level-Domain-Adresse und die Erleichterung des Zugangs zur Website zu berücksichtigen sind. Hat der Verantwortliche keine Hauptniederlassung im EWR, ist die DSB für Datenschutzbeschwerden zuständig.

Einer Behörde steht es im Rahmen ihrer freien Beweiswürdigung offen, aus der mangelnden Mitwirkung einer Verfahrenspartei im Ermittlungsverfahren für diese Partei negative Schlüsse zu ziehen. Dem Spieler die Erteilung jeglicher Auskunft zu verwehren, steht in diametralem Widerspruch zur DSGVO, wonach eine Betroffene ihr Auskunftsrecht problemlos wahrnehmen können soll.

·         Seit dem 12.11.2025 ist der Gigabit Infrastructure Act (GIA, VO (EU) 2024/1309) in den Mitgliedstaaten unmittelbar anzuwenden. Geregelt werden darin Genehmigungsverfahren für den Ausbau von Glasfaser-Telekommunikationsnetzen. Anm: Mehr Informationen erhalten Sie im Beitrag unserer Kollegen Christian Holzer und Simon Ferk: Schneller Telekom-Ausbau dank Gigabit Infrastructure Act?

·         Am 05.11.2025 wurde die "Berichtigung der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste)", ABl L 2025/90880, kundgemacht. Die Berichtigung des DSA ist redaktioneller Art.

·         Am 31.10.2025 wurde das strafrechtliche EU-Anpassungsgesetz 2025, BGBl I 2025/65, kundgemacht. Mit dieser Sammelnovelle wird insb die VO (EU) 2019/816 "zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen …" ins innerstaatliche Recht durchgeführt. Novelliert werden ua das StrafregisterG, das TilgungsG, das Auslieferungs- und RechtshilfeG und das StaatsanwaltschaftsG. Geregelt werden ua die Abnahme und Verarbeitung von Fingerabdrücken im Strafregister sowie die Einholung von Strafregisterauskünften aus anderen EU-Mitgliedstaaten und dem Vereinigten Königreich.

·         Am 03.11.2025 wurde "das Bundesgesetz, mit dem das Gesundheitstelematikgesetz 2012 und das Allgemeine Sozialversicherungsgesetz geändert werden", BGBl I 2025/71, kundgemacht. Mit der Novelle werden Rechtsgrundlagen für grenzüberschreitende Gesundheitsanwendungen geschaffen (MyHealth@EU, EU-Rezept, EU-Patientenkurzakte).

·         Am 13.11.2025 wird das Urteil des EuGH in der Rs C-654/23, Inteligo Media, veröffentlicht. Der EuGH wird über die Zulässigkeit der Verwendung elektronischer Post (insb E-Mail) für die Zwecke der Direktwerbung entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 13/2025 vom 03.04.2025 nachgelesen werden.

·         Am 19.11.2025 wird das Urteil des EuG in der Rs T-367/23, Amazon EU/Kommission, veröffentlicht. Das EuG wird über die Benennung von Amazon Store als sehr große Online-Plattform iSd VO (EU) 2022/2065 (DSA) entscheiden.

·         Am 20.11.2025 wird das Urteil des EuGH in der Rs C-57/23, Policejní prezidium und génétiques, veröffentlicht. Der EuGH wird über die Verarbeitung von DNA-Profilen entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 9/2025 vom 05.03.2025 nachgelesen werden.

·         Am 20.11.2025 wird das Urteil des EuGH in der Rs C-327/24, Lolach, veröffentlicht. Der EuGH wird über eine Zugangsverpflichtung gestützt auf die RL (EU) 2018/1972 (Europäischer Kodex für die elektronische Kommunikation) entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 20/2025 vom 21.05.2025 nachgelesen werden.

·         Am 27.11.2025 werden die Schlussanträge in der Rs C-421/24, AGCOM (Jeux d’argent en ligne), veröffentlicht. Gegenstand des Verfahrens ist die Haftung von Hostingprovidern (konkret Google Ireland) nach der E-Commerce-RL 2000/31/EG für Online-Werbung betreffend Glücksspiel und Wetten.

·         Am 02.12.2025 wird das Urteil des EuGH in der Rs C-492/23, Russmedia, veröffentlicht. Der EuGH wird über die Haftung und die datenschutzrechtliche Rolle der Betreiber von Online-Marktplätzen entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 6/2025 vom 12.02.2025 nachgelesen werden.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-468/24, Netz Niederösterreich, veröffentlicht. Gegenstand des Verfahrens sind intelligente Messgeräte (Smart Meter) und die Frage, ob Stromnetze auch elektronische Kommunikationsnetze sein können.

·         Am 11.12.2025 werden die Schlussanträge in der Rs C-684/24, Across Fiduciaria, veröffentlicht. Gegenstand des Verfahrens sind der Zugang zu Informationen über wirtschaftliche Eigentümer und die Auslegung des unbestimmten Begriffs des berechtigten Interesses.

EuG 29.10.2025, T-590/23, De Capitani

Dokumentenzugang, Entscheidungsprozess

·         Ein ehemaliger Politiker beantragte beim Rat der EU Zugang zu Arbeitsdokumenten des Generalsekretariats aus laufenden Gesetzgebungsverfahren zum Migrations- und Asylpaket. Der Rat verweigerte ihm mit Beschluss den Zugang unter Verweis auf den Schutz des Entscheidungsprozesses nach Art 4 Abs 3 der VO (EG) 1049/2001. Der Rat begründete seinen Beschluss mit der Sensibilität des Bereichs, dem vorläufigen Charakter der Dokumente und der möglichen Schwächung der Verhandlungsposition. Der ehemalige Politiker erhob Nichtigkeitsklage gegen den Beschluss und die "fortdauernde explizite Entscheidung" des Rats, legislative Dokumente, zu denen Zugang gewährt wurde, nicht im Ratsregister zu veröffentlichen. Nach Klageerhebung wurden die Gesetzgebungsverfahren abgeschlossen und die Arbeitsdokumente als öffentlich eingestuft.

Das EuG hat erwogen: Das Recht auf Zugang zu Dokumenten der Organe, Einrichtungen und sonstigen Stellen der Union kann durch Verordnung eingeschränkt werden. Art 15 Abs 3 AEUV sieht zwar den Grundsatz der Offenheit legislativer Dokumente, nicht aber deren ausnahmslose Veröffentlichung vor. Unionsorgane können daher nach Art 4 Abs 3 der VO (EG) 1049/2001 den Zugang zu bestimmten legislativen Dokumenten verweigern, wobei die Ausnahmen eng auszulegen sind.

Die Ausnahmebestimmung des Art 4 Abs 3 der VO (EG) 1049/2001 erfordert den Nachweis, dass der Zugang den Entscheidungsprozess konkret und ernstlich beeinträchtigen würde, und diese Gefahr absehbar und nicht rein hypothetisch ist. Eine ernstliche Beeinträchtigung liegt vor, wenn sich die Verbreitung der Dokumente wesentlich auf den Entscheidungsprozess auswirkt. Die Organe müssen keine Beweise für das Vorliegen einer solchen Gefahr vorlegen. Es genügt, dass der Beschluss objektive Gründe darlegt, die zeigen, dass die Gefahr einer Beeinträchtigung des Entscheidungsprozesses absehbar ist.

Der vorläufige Charakter der Erörterungen über den Gesetzgebungsvorschlag und der Umstand, dass noch kein Konsens erzielt wurde, können für sich genommen nicht belegen, dass die Verbreitung dieser Dokumente eine ernstliche Beeinträchtigung des Entscheidungsprozesses zur Folge gehabt hätte. Auch der technische Charakter eines Dokuments ist kein relevantes Kriterium.

Die Rechtfertigungsgründe sind allgemein und abstrakt. Die nunmehr öffentlichen Dokumente zeigen, dass der Rat ihren Inhalt und den besonderen Kontext der Gesetzgebungsvorschläge näher hätte beschreiben können, ohne dadurch konkrete Standpunkte einzelner Mitgliedstaaten preiszugeben. Greifbare Beweise, dass der Zugang die Zusammenarbeit zwischen den Mitgliedstaaten beeinträchtigt hätte, wurden nicht vorgelegt, sodass die behauptete Gefahr hypothetisch erscheint.

Aus der Rechtsprechung des EuGH:

·         Die vor der nationalen Wettbewerbsbehörde oder dem für Kartellsachen zuständigen nationalen Gericht abgegebenen Kronzeugenerklärungen und Vergleichsausführungen dürfen einer Staatsanwaltschaft (StA) im Rahmen eines Amtshilfemechanismus nur übermittelt werden, sofern ein solcher Mechanismus den Schutz der Kronzeugenerklärung und der Vergleichsausführungen nicht beeinträchtigt. Beschuldigten des Verfahrens vor der StA ist zur Ausübung ihrer Verteidigungsrechte Zugang zu diesen Dokumenten zu gewähren. Nichtbeschuldigten Beteiligten des strafrechtlichen Ermittlungsverfahrens, die als Geschädigte Schadenersatzklage erheben wollen, ist der Zugang zu Kronzeugenerklärungen und Vergleichsausführungen hingegen zu verwehren (EuGH 30.10.2025, C-2/23, FL und KM Baugesellschaft).

Aus der Rechtsprechung des VfGH:

·         Der VfGH hat mit Erkenntnis vom 07.10.2025, G 26/2025, ausgesprochen, dass der ehemalige § 21 Abs 5 BilDokG verfassungswidrig war. Die Aufhebung eines Gesetzes wirkt auf den Anlassfall zurück. Das BVwG wandte bei Erlassung des angefochtenen Erkenntnisses diese als verfassungswidrig erkannte Gesetzesbestimmung an. Es ist daher nicht ausgeschlossen, dass diese Gesetzesanwendung für die Rechtsstellung des Beschwerdeführers nachteilig war. Der Beschwerdeführer wurde somit wegen Anwendung eines verfassungswidrigen Gesetzes in seinen Rechten verletzt (VfGH 07.10.2025, E599/2025). Anm: Die Zusammenfassung des Erkenntnisses vom 07.10.2025, G 26/2025 kann im Schönherr Datenschutzmonitor 43/2025 vom 29.10.2025 nachgelesen werden.

·         Die Ausdehnung des Tatzeitraums durch das Verwaltungsgericht ist keine (grundsätzlich zulässige) Präzisierung der rechtlichen Grundlage der Bestrafung. Sie ist eine unzulässige Erweiterung des Tatvorwurfs. Die Bestimmung des Höchstbetrags ist von der Bemessung der Geldstrafe zu unterscheiden. Die Strafbemessung ist eine Ermessensentscheidung, die unter Bedachtnahme auf die in Art 83 Abs 1 DSGVO genannten Voraussetzungen (wirksam, verhältnismäßig und abschreckend) vorzunehmen ist. Dabei sind auch die in Art 83 Abs 2 DSGVO sowie in § 19 VStG festgelegten Kriterien und bei zu bestrafenden Unternehmen iSd Art 101 und 102 AEUV deren Größe zu berücksichtigen. Da sich die Wortfolge "seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres" eines Unternehmens iSd Art 101 und 102 AEUV in Art 83 Abs 4 bis 6 DSGVO nur auf die Bestimmung des dynamischen Strafrahmens bezieht, ist bei der Strafzumessung auf die tatsächliche oder materielle Leistungsfähigkeit des Unternehmens abzustellen (VwGH 29.09.2025, Ra 2025/04/0089).

·         Gemäß Art 130 Abs 2a B-VG erkennen die Verwaltungsgerichte (VwG) selbst über Beschwerden von Personen, die sich durch das jeweilige VwG in ihren Datenschutzrechten als verletzt erachteten. Für Beschwerden an das LVwG Tirol ist eine subjektive einjährige Beschwerdefrist vorgesehen (§ 12a Abs 3 TLVwGG). Diese Beschwerdefrist ist eine verfahrensrechtliche Präklusivfrist, weshalb das Postlaufprivileg nach § 33 Abs 3 AVG anzuwenden ist. Maßgeblich sind die gesetzessystematische Einordnung, die Orientierung an § 24 Abs 4 DSG sowie die Materialien, aus denen hervorgeht, dass es sich um eine verfahrensrechtliche Präklusivfrist handelt. Eine am letzten Tag der Frist zur Post gegebene Beschwerde ist daher fristwahrend (VwGH 24.09.2025, Ra 2024/04/0322). Anm: Aus diesem Erkenntnis des VwGH geht implizit hervor, dass auch die Präklusivfristen nach dem DSG verfahrensrechtliche Fristen sind.

·         Informationen über den Wissens- bzw Ausbildungsstand einer Person sind personenbezogene Daten iSd § 1 Abs 1 DSG. Stellt ein Betroffener ein Auskunftsbegehren an das Gericht, in dem er um Mitteilung ersucht, ob bestimmte Richter eine Schulung abgeschlossen haben, muss eine Interessenabwägung durchgeführt werden. Der Geheimhaltungsanspruch gilt nur bei einem schutzwürdigen Interesse der betroffenen Richter; überwiegende berechtigte Interessen eines anderen lassen die Geheimhaltung zurücktreten. Da das VwG keine ausreichende konkrete inhaltliche Feststellung zum schutzwürdigen Interesse getroffen hat, war das Erkenntnis aufzuheben. Aufgrund der ex-tunc-Wirkung des aufhebenden Erkenntnisses durch den VwGH ist von einem am 01.09.2025 anhängigen Verfahren auszugehen. Mit Blick auf die Übergangsbestimmung des Art 151 Abs 68 letzter Satz B-VG ist nicht das Informationsfreiheitsgesetz, sondern das Auskunftspflichtgesetz anzuwenden (VwGH 09.10.2025, Ra 2025/03/0087).

Aus der Rechtsprechung der Justiz:

·         Beauftragt eine Betroffene einen Rechtsanwalt mit der Durchsetzung ihres Auskunftsrechts, muss ein Verantwortlicher des privaten Bereichs die Identität der Betroffenen und die Vollmacht prüfen. Weitere Informationen zur Bestätigung der Identität dürfen nicht generell, sondern nur bei begründeten Zweifeln an der Identität verlangt werden. Eine Ausweiskopie ist ein geeigneter Identitätsnachweis. Der Bevollmächtigungsvertrag ist an keine speziellen Formerfordernisse geknüpft. Teilt der Verantwortliche lediglich mit, keine elektronischen Vollmachten zu akzeptieren, ohne Zweifel an der Echtheit der Unterschrift zu äußern, ist für die Betroffene nicht ersichtlich, ob berechtigterweise weitere Nachweise zur Erfüllung des Auskunftsersuchens verlangt werden. Da der Verantwortliche die allenfalls bestehenden Zweifel iSd Art 12 Abs 6 DSGVO nicht einzelfallbezogen dargelegt hat, wurde die Klageerhebung durch den Verantwortlichen veranlasst (OLG Wien 11.02.2025, 3R5/25i).

BVwG 11.09.2025, W258 2241500-1

Staatsanwaltschaft, StPO, Akteneinsicht

·         In einem einheitlich geführten Ermittlungsverfahren wurde gegen die Erstbeschuldigte wegen versuchten Raubs zum Nachteil des Zweitbeschuldigten und wegen schwerer Körperverletzung zum Nachteil eines Dritten ermittelt. Gegen den Zweitbeschuldigten wurde wegen Körperverletzung zum Nachteil der Erstbeschuldigten ermittelt. Zur Feststellung der Verletzungsfolgen des Dritten ließ die Staatsanwaltschaft (StA) ein medizinisches Gutachten erstellen. Bei der Akteneinsicht legte die StA dem Zweitbeschuldigten dieses Gutachten offen. Durch die Offenlegung des Gutachtens sah sich die Erstbeschuldigte in ihrem Recht auf Geheimhaltung verletzt und erhob erfolgreich Datenschutzbeschwerde bei der DSB. Dagegen erhob die StA erfolgreiche Bescheidbeschwerde an das BVwG, welches den Spruch der DSB in eine Abweisung abänderte.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten im Rahmen strafprozessualer Ermittlungsverfahren fällt in den Anwendungsbereich der DSRL-PJ. Gerichte sind nach § 31 Abs 1 zweiter Satz DSG im Rahmen ihrer justiziellen Tätigkeit von der Aufsichtszuständigkeit der DSB ausgenommen. Staatsanwaltschaften sind aber keine unabhängigen Justizbehörden und unterliegen der Aufsichtszuständigkeit der DSB.

Die Einschränkung des Rechts auf Geheimhaltung personenbezogener Daten kann zur Wahrung überwiegenden berechtigter Interessen zulässig sein. Im Fall von Eingriffen durch staatliche Behörden darf dies nur durch Gesetz erfolgen. Eingriffstatbestände in das Grundrecht auf Datenschutz sind für die Aufklärung und Verfolgung von Straftaten in einem strafrechtlichen Ermittlungsverfahren durch die StA im dritten Hauptstück des DSG geregelt. Die Regelungen über die Akteneinsicht aus der StPO gehen dem dritten Hauptstück des DSG als lex specialis vor.

Ein Beschuldigter kann gemäß § 51 Abs 1 erster Satz StPO Einsicht in die vorliegenden Ergebnisse des Ermittlungs- und des Hauptverfahrens nehmen. Dieses nach Art 6 EMRK verfassungsrechtlich geschützte Recht kann nur in den in § 51 Abs 2 StPO genannten Ausnahmefällen beschränkt werden. Die StPO sieht vor, die Akteneinsicht betreffend Opfer, Privatbeteiligte oder Privatankläger zur Wahrung ihrer Interessen zu beschränken. Im Verhältnis zu einem Mitbeschuldigten sieht die StPO keine derartige Interessenabwägung vor.

Da das Gutachten zumindest abstrakt zur Feststellung der Glaubwürdigkeit, zur Feststellung des Tathergangs und zur Verteidigung des Zweitbeschuldigten beizutragen geeignet war, war die Akteneinsicht zu gewähren.

BVwG 04.09.2025, W258 2232927-1

Kohärenzverfahren, Dringlichkeitsverfahren, Wiederaufnahme

·         Eine Nutzerin sah sich durch die Verarbeitung ihrer personenbezogenen Daten durch ein in Irland ansässiges soziales Netzwerk in ihrem Recht auf Geheimhaltung verletzt. Die der Nutzung des Netzwerks vorgelagerten Datenschutzrichtlinien und Nutzungsbedingungen enthielten ihrer Ansicht nach unzulässige Einwilligungen zur Datenverwendung. Im Jahr 2018 brachte die Nutzerin eine Datenschutzbeschwerde bei der DSB ein. Die DSB setzte das Verfahren mit Bescheid bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses aus. Sie begründete dies damit, dass eine grenzüberschreitende Verarbeitung vorliege und die irische Datenschutzbehörde (Data Protection Commission, DPC) als federführende Aufsichtsbehörde zuständig sei. Im Jahr 2020 beantragte die Nutzerin die Wiederaufnahme des ausgesetzten Verfahrens. Sie führte aus, die DPC habe in ihrem Ermittlungsbericht (inquiry report) erklärt, bestimmte Teile ihrer Datenschutzbeschwerde nicht zu behandeln. Daher müsse die DSB das Verfahren in diesen Punkten fortführen und selbst eine Entscheidung erlassen. In eventu beantragte sie, die DSB solle die DPC um Amtshilfe ersuchen oder ein Dringlichkeitsverfahren einleiten.

Die DSB wies die Anträge der Nutzerin auf Wiederaufnahme des ausgesetzten Verfahrens und Fällung einer meritorischen Entscheidung zurück. Den Eventualantrag auf Amtshilfeersuchen gemäß Art 61 Abs 1 DSGVO wies die DSB ab. Dagegen erhob die Nutzerin (erfolglos) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Ein Antrag auf Wiederaufnahme setzt gemäß § 69 AVG voraus, dass das wiederaufzunehmende Verfahren "durch Bescheid abgeschlossen" worden ist. Der Nutzerin steht kein Recht zu, die Fortführung eines ohnehin fortzuführenden Verfahrens zu beantragen.

Für grenzüberschreitende Verarbeitungen sieht Art 56 DSGVO grundsätzlich die Zuständigkeit der "federführenden Aufsichtsbehörde" vor. Dies ist die Aufsichtsbehörde der Hauptniederlassung des Verantwortlichen. Ausgenommen von diesem Grundsatz sind "lokale Fälle", bei denen die nicht federführende Aufsichtsbehörde zuständig ist, wenn die Datenschutzbeschwerde nur eine Niederlassung oder Betroffene ihres Mitgliedstaats betrifft und die federführende Behörde den Fall nicht an sich zieht. Ausgenommen sind auch Fälle, in denen eine Aufsichtsbehörde im Dringlichkeitsverfahren nach Art 66 DSGVO bei außergewöhnlichen Umständen sofort einstweilige Maßnahmen treffen kann, wenn dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten Betroffener besteht.

Es liegt eine grenzüberschreitende Verarbeitung vor, für die die irische Aufsichtsbehörde als Aufsichtsbehörde der in Irland gelegenen Hauptniederlassung des Verantwortlichen die zuständige federführende Aufsichtsbehörde ist. Die Ausnahme des Art 56 Abs 2 bis 5 DSGVO gelangt nicht zur Anwendung, weil weder nur Personen in Österreich betroffen sind noch die Verarbeitung nur mit einer Niederlassung in Österreich in Zusammenhang steht. Die Ausnahme des Art 66 Abs 1 DSGVO kommt nicht zur Anwendung, weil die DSB kein Dringlichkeitsverfahren eingeleitet hat. Die DSB war daher nicht dafür zuständig, eine meritorische Entscheidung zu treffen.

Für einen selbständigen Abspruch über die allfällige Ablehnung eines Teils einer Datenschutzbeschwerde durch die federführende Aufsichtsbehörde gibt es keine rechtliche Grundlage. Die DSB darf gemäß Art 60 DSGVO erst dann einen Bescheid erlassen, wenn ein für sie verbindlicher Beschlussentwurf iSd Art 60 DSGVO vorliegt. Ein Ermittlungsbericht (inquiry report), der nur als Grundlage für einen Beschlussentwurf durch die federführende Aufsichtsbehörde dienen soll, kann die DSB weder binden noch sie zur Erlassung eines Bescheids verpflichten.

Gemäß Art 61 Abs 1 DSGVO übermitteln die Aufsichtsbehörden einander maßgebliche Informationen und gewähren einander Amtshilfe und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die DSGVO und die nationale Rechtsordnung räumen Betroffenen kein subjektives öffentliches Recht darauf ein, dass die DSB andere Behörden um Amtshilfe ersucht oder auf eine bestimmte Art mit der federführenden Aufsichtsbehörde zusammenarbeitet. Die Ausgestaltung dieser Zusammenarbeit liegt im Ermessen der DSB.

BVwG 15.09.2025, W258 2242162-1

Video, Treu und Glauben, Transparenz

·         Eine Betroffene erachtete sich in ihrem Recht auf Geheimhaltung dadurch verletzt, dass ihr Nachbar eine Wildkamera installiert habe, um die damit angefertigten Aufnahmen ihrem ehemaligen Lebensgefährten zuzusenden. Sie erhob Datenschutzbeschwerde an die DSB. Diese gab der Datenschutzbeschwerde statt. Die hiergegen vom Nachbarn an das BVwG erhobene Bescheidbeschwerde blieb erfolglos.

Das BVwG hat erwogen: Der Nachbar hat von der Betroffenen Lichtbilder erstellt, indem er, ohne ihre Zustimmung, einen der Betroffenen zugeordneten Garagenplatz betreten und dort eine Kamera versteckt hat. Im Anschluss hat er die Lichtbilder an einen Dritten weitergegeben.

Weder die Erhebung noch die Weitergabe der Daten entsprachen dem, womit die Betroffene im Lichte der gesamten Rechtsordnung rechnen musste. Die Erhebung und Weitergabe der Daten verstieß daher gegen den Grundsatz der Verarbeitung nach "Treu und Glauben" nach Art 5 Abs 1 zweiter Fall DSGVO.

Aufgrund der verdeckten Aufnahme von Bilddaten war der Betroffenen auch nicht bewusst, dass und in welchem Umfang sie betreffende personenbezogene Daten verarbeitet werden. Die Datenerhebung und Datenweitergabe verstieß daher auch gegen den Transparenzgrundsatz. Im Ergebnis waren die Erstellung und Weitergabe der Lichtbilder rechtswidrig.

·         Bei der Zuweisung der Verantwortung ist bevorzugt das jeweilige Unternehmen oder die Stelle als Verantwortliche zu betrachten und nicht die bestimmte (für die Organisation handelnde) Person innerhalb des Unternehmens oder der Stelle. Das Unternehmen oder die Stelle trägt letztlich die Verantwortung für die Datenverarbeitung. Sofern natürliche Personen jedoch Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs ihrer Organisation verarbeiten, können sie selbst Verantwortliche werden. Die Frage der Verantwortlichenstellung ist unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalles zu beurteilen. Um zu klären, ob eine Person als Verantwortliche (bzw allenfalls als gemeinsam Verantwortliche gemäß Art 26 Abs 1 DSGVO) angesehen werden kann, ist zu prüfen, ob sie unter Berücksichtigung der besonderen Umstände des Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss genommen hat. Dabei ist auch zu beurteilen, ob sie allenfalls gemeinsam mit anderen die Zwecke und die Mittel zur fraglichen Verarbeitung festgelegt hat. Es kommt daher darauf an, welche natürliche oder juristische Person jeweils die Entscheidung sowohl über den Zweck – das "warum" – als auch über die Mittel – "auf welche Weise" – in Bezug auf die konkrete Handlung getroffen hat (BVwG 02.09.2025, W256 2250819-1).

·         Bei offenkundig unbegründeten oder exzessiven Datenschutzbeschwerden darf die DSB eine Gebühr verlangen oder sich weigern, tätig zu werden (Art 57 Abs 4 DSGVO). Die Aufsichtsbehörde trägt die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Datenschutzbeschwerde. Der EuGH legt Art 57 Abs 4 DSGVO dahingehend aus, dass Anfragen nicht allein aufgrund ihrer Anzahl als exzessiv eingestuft werden können. Die DSB muss unter Berücksichtigung der einzelfallbezogenen Umstände das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Eine Missbrauchsabsicht liegt vor, wenn Datenschutzbeschwerden eingereicht werden, ohne dass dies objektiv erforderlich ist, um die Rechte aus der DSGVO zu schützen. Da der Betroffene die Datenschutzbeschwerde als Vergeltungsmaßnahme nutzte, um seine Feindseligkeit gegenüber Personen und Behörden auszuleben, durfte die DSB die Behandlung der Datenschutzbeschwerden wegen rechtsmissbräuchlicher und exzessiver Ausübung des Beschwerderechts iSd Art 57 Abs 4 DSGVO ablehnen (BVwG 26.08.2025, W252 2307842-1).

·         Die Betroffenenrechte gemäß Art 15 bis Art 22 DSGVO sind antragsbedürftige Rechte. Die Geltendmachung setzt zunächst einen entsprechenden Antrag an den Verantwortlichen voraus. Da der Betroffene keinen Antrag auf Einschränkung der Verarbeitung seiner personenbezogenen Daten an den Verantwortlichen gestellt hatte, konnte er nicht in seinem Recht iSd Art 18 DSGVO verletzt werden. Das BVwG ist in seiner Entscheidung auf die Sache des angefochtenen Bescheids beschränkt, weshalb eine Prüfung darüberhinausgehender datenschutzrechtlicher Rechtsverletzungen nicht zulässig war (BVwG 19.08.2025, W292 2314174-1).

DSB 04.09.2025, 2025-0.699.550

Data Breach, Mitarbeiter, Strafbemessung

·         Eine Werbeagentur betrieb als Verantwortliche neben ihrer Hauptdomain eine ungesicherte Subdomain-Website als Development-Server, über die unbefugte Dritte auf Kundendaten (ua Name, E‑Mail, Geburtsdatum, Telefonnummer) zugreifen konnten. Ein erster Hinweis im Januar 2025 wurde von einer Mitarbeiterin als Spam eingestuft und nicht eskaliert, worauf am 16.02.2025 ein weiterer Hinweis eines IT‑Vereins erfolgte, der in Kopie an die DSB gesendet wurde. Die Agentur schloss noch am selben Tag die Sicherheitslücke und dokumentierte den Vorfall intern, erstattete aber keine Meldung an die DSB. Die DSB leitete daraufhin ein amtswegiges Prüfverfahren ein, und verhängte mittels Straferkenntnis eine Geldbuße iHv EUR 870 (zzgl Verfahrenskosten) wegen Verstoßes gegen Art 33 Abs 1 DSGVO.

Die DSB hat erwogen: Art 33 DSGVO verpflichtet im Falle eines Datensicherheitsvorfalls (Data Breach) zur unverzüglichen Meldung binnen 72 Stunden an die zuständige Aufsichtsbehörde. Eine Ausnahme davon liegt nur vor, wenn kein Risiko für Rechte und Freiheiten natürlicher Personen besteht. Die Drittanzeige eines Hinweisgebers ersetzt nicht die Verantwortlichenmeldung. Nur die Meldung der Verantwortlichen einschließlich der Darstellung der Abhilfemaßnahmen ermöglicht der Aufsichtsbehörde eine ordnungsgemäße Aufgabenwahrnehmung.

Das Fehlverhalten der Mitarbeiterin wird der Agentur zugerechnet. Ab dem Zeitpunkt der ersten Verständigung hatte die Agentur "Kenntnis" von dem Vorfall iSd Art 33 Abs 1 DSGVO. Die Agentur hat fahrlässig gehandelt, weil der Ersthinweis ignoriert wurde und weiters irrtümlich angenommen wurde, dass eine in Kopie an die DSB gesandte Drittmail für eine Meldung iSd Art 33 DSGVO genügt. Die Bußgeldbemessung war anhand der Unternehmensgröße nach den EDSA‑Leitlinien durchzuführen. Mildernde Umstände waren zu berücksichtigen (Unbescholtenheit, Mitwirkung, nachträgliche Kooperation). Die Geldbuße iHv EUR 870 Euro erweist sich als tat‑ und schuldangemessen, wirksam, verhältnismäßig und abschreckend.

·         Am 28.10.2025 wurde die "Delegierte Verordnung (EU) 2025/1871 der Kommission vom 23. Juli 2025 zur Änderung der Verordnung (EU) 2015/758 des Europäischen Parlaments und des Rates hinsichtlich der Normen für eCalls und zur Änderung der Delegierten Verordnung (EU) 2017/79 hinsichtlich der technischen Anforderungen und Prüfverfahren für die Genehmigung von Kraftfahrzeugen, die mit auf dem 112-Notruf basierenden bordeigenen eCall-Systemen ausgerüstet sind", ABl L 2025/1871, kundgemacht. Mit dieser DelegiertenVO werden Prüfverfahren betreffend eCall-Systeme iSd eCallVO (EU) 2015/758 für neue Fahrzeugtypen festgelegt.

·         Am 28.10.2025 wurden die (i) "Durchführungsverordnung (EU) 2025/2160 der Kommission vom 27. Oktober 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Referenzstandards, Spezifikationen und Verfahren für das Management der Risiken bei der Erbringung nichtqualifizierter Vertrauensdienste", ABl L 2025/2160; und (ii) "Durchführungsverordnung (EU) 2025/2162 der Kommission vom 27. Oktober 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Akkreditierung von Konformitätsbewertungsstellen, die qualifizierte Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste bewerten, den Konformitätsbewertungsbericht und das Konformitätsbewertungssystem", ABl L 2025/2162, kundgemacht. Mit diesen zwei Durchführungs-VOs werden Referenzstandards und Spezifikationen sowie die Akkreditierung von Konformitätsbewertungsstellen unter der eIDAS-VO festgelegt.

·         Am 11.11.2025 wird vor dem EuGH die mündliche Verhandlung in der Rs C-354/24, Elisa Eesti, stattfinden. Gegenstand des Verfahrens ist die Vereinbarkeit nationaler Vorschriften, die zur Gewährleistung der nationalen Sicherheit eine Genehmigung für die Verwendung von Hard- und Software in einem Kommunikationsnetz vorsehen, mit der RL (EU) 2018/1972 (europäischer Kodex für die elektronische Kommunikation).

·         Am 13.11.2025 wird das Urteil des EuGH in der Rs C-654/23, Inteligo Media, veröffentlicht. Der EuGH wird über die Zulässigkeit der Verwendung elektronischer Post (insb E-Mail) für die Zwecke der Direktwerbung entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 13/2025 vom 03.04.2025 nachgelesen werden.

·         Am 19.11.2025 wird das Urteil des EuG in der Rs T-367/23, Amazon EU/Kommission, veröffentlicht. Das EuG wird über die Benennung von Amazon Store als sehr große Online-Plattform iSd VO (EU) 2022/2065 (DSA) entscheiden.

·         Am 20.11.2025 wird das Urteil des EuGH in der Rs C-57/23, Policejní prezidium und génétiques, veröffentlicht. Der EuGH wird über die Verarbeitung von DNA-Profilen entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 9/2025 vom 05.03.2025 nachgelesen werden.

·         Am 20.11.2025 wird das Urteil des EuGH in der Rs C-327/24, Lolach, veröffentlicht. Der EuGH wird über eine Zugangsverpflichtung gestützt auf die RL (EU) 2018/1972 (europäischen Kodex für die elektronische Kommunikation) entscheiden. Anm: Die Zusammenfassung der Schlussanträge kann im Schönherr Datenschutzmonitor 20/2025 vom 21.05.2025 nachgelesen werden.

·         Am 27.11.2025 werden die Schlussanträge in der Rs C-421/24, AGCOM (Jeux d’argent en ligne), veröffentlicht. Gegenstand des Verfahrens ist die Haftung von Hostingprovidern (konkret Google Ireland) nach der E-Commerce-RL 2000/31/EG für Online-Werbung betreffend Glücksspiel und Wetten.