you are being redirected

You will be redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH : www.schoenherr.eu

Schönherr Datenschutzmonitor

Willkommen zu unserem wöchentlichen Datenschutz-Update. Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen. Erfasst wird die relevante Rechtsprechung in Österreich und auf europäischer Ebene. Neben der kurzen Zusammenfassung der einzelnen Entscheidungen zeigt der Datenschutzmonitor die Entwicklung von Rechtsprechungslinien auf.

>> Registrieren Sie sich, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<

 

Updates im
Jänner 2024 | Februar 2024 | März 2024 | April 2024 | Mai 2024 | Juni 2024 | Juli 2024

 

Datenschutzrechts-Update 17.07.2024

 

Rechtsprechung des EuGH

EuGH 11.07.2024, C-757/22, Meta

Beim Aufruf des "App-Zentrums" von Meta wurden die Nutzer darüber informiert, dass sie durch die Nutzung bestimmter Spieleanwendungen das Sammeln und Veröffentlichen persönlicher Daten gestatten und sie den AGB und der Datenschutzpolitik zustimmen. Der Bundesverband der Verbraucherzentralen und Verbraucherverbände hielt diese Hinweise ua mangels wirksamer Einwilligung für unlauter und erhob eine Unterlassungsklage. Der EuGH äußerte sich zur Frage, ob ein Verband eine Verletzung der Rechte einer betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO geltend macht, wenn die Klage darauf gestützt wird, dass der Verantwortliche seine Informationspflichten verletzt hat.

Der EuGH hat erwogen: Die Informationspflicht des Verantwortlichen gegenüber der von der Datenverarbeitung betroffenen Person ist logische Folge des Informationsrechts, das dieser Person durch Art 12 und 13 DSGVO zuerkannt wird. Dieses Recht gehört damit zu den Rechten, auf welche die in Art 80 Abs 2 DSGVO vorgesehenen Verbandsklagen gestützt werden sollen.

Die Erhebung einer auf Art 80 Abs 2 DSGVO gestützten Verbandsklage impliziert, dass es anlässlich der Verarbeitung personenbezogener Daten zu einer Verletzung der Rechte einer betroffenen Person aus den Datenschutzvorschriften der DSGVO kommt. Die Gültigkeit einer datenschutzrechtlichen Einwilligung hängt davon ab, ob die betroffene Person zuvor Informationen über alle Umstände im Zusammenhang mit der Datenverarbeitung hat, auf die sie nach Art 12 und 13 DSGVO Anspruch hat. Diese Informationen ermöglichen es ihr, die Einwilligung in voller Kenntnis der Sachlage zu geben. Eine Verletzung des Informationsrechts könnte der Erteilung einer Einwilligung in informierter Weise entgegenstehen und somit die Datenverarbeitung rechtswidrig machen.

Eine Verletzung des Informationsrechts verstößt gegen die in Art 5 DSGVO festgelegten Anforderungen und ist daher als Verstoß gegen die Rechte der betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO anzusehen.

EuGH 11.07.2024, C-461/22, MK

Ein Schutzbedürftiger ersuchte seinen ehemaligen Erwachsenenvertreter, einen Anwalt aus seinem persönlichen Umfeld, um Auskunft über jene personenbezogenen Daten, die der Anwalt im Zuge der Wahrnehmung seiner Aufgaben als Erwachsenenvertreter verarbeitet hatte.

Das vorlegende Gericht fragte den EuGH, ob ein gesetzlich bestellter Erwachsenenvertreter, der diese Tätigkeit berufsmäßig ausübt, Verantwortlicher gemäß Art 4 Z 7 DSGVO ist und demzufolge zur Auskunft verpflichtet ist.

Der EuGH hat erwogen: Laut ErwGr 18 und Art 2 Abs 2 lit c DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten, die durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ohne Bezug zu beruflichen oder wirtschaftlichen Tätigkeiten vorgenommen werden. Der Umstand, dass der Erwachsenenvertreter aus dem persönlichen Umfeld des Schutzbefohlenen stammte, ändert aber nichts daran, dass der Vertreter seine Aufgaben im Rahmen der Erwachsenenvertretung in Ausübung seiner anwaltlichen Tätigkeiten berufsmäßig wahrgenommen hat. Zwar handelt ein Erwachsenenvertreter nach den Vorschriften des deutschen Betreuungsrechts im Namen und auf Rechnung des Vertretenen, doch handelt es sich bei einem ehemaligen Erwachsenenvertreter um eine dritte Person.

Daraus folgt, dass ein ehemaliger Erwachsenenvertreter, der seine Aufgaben in Bezug auf eine unter seine Betreuung gestellte Person berufsmäßig wahrgenommen hat, als Verantwortlicher gemäß Art 4 Z 7 DSGVO einzustufen ist und sämtliche Bestimmungen der DSGVO, darunter auch die Auskunftspflicht gemäß Art 15 DSGVO, zu beachten hat.

EuGH Schlussanträge 11.07.2024, C-394/23, Mousse

Ein Verband erhob Klage gegen ein Transportunternehmen, weil dieses bei der Online-Buchung von Fahrscheinen die Angabe der Anrededaten "Herr" oder "Frau" von seinen Kunden verlangte. Der Generalanwalt äußerte sich zur Auslegung von Art 5 Abs 1 lit c sowie Art 6 Abs 1 lit b und c DSGVO.

Der Generalanwalt hat erwogen: Die systematische Verarbeitung von Anrededaten ist für die Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen nicht erforderlich, wenn sie der personalisierten geschäftlichen Kommunikation oder geschlechtsspezifischen Anpassung von Beförderungsleistungen dient. Hauptgegenstand des Vertrags ist die Bereitstellung eines Fahrscheins und die Beförderung der Kunden. Die Kommunikation mit dem Kunden ist zwar integraler Bestandteil des Beförderungsvertrags, die Verarbeitung der Anrededaten ist aber nicht erforderlich, weil personalisierte Kommunikation auch ohne Anrededaten möglich ist. Für spezielle Anpassungen der Beförderungsdienstleistung (zB Reservierung eines Nachtzugwagons für Frauen oder Unterstützung von Personen mit eingeschränkter Mobilität) sind nicht Anrede- sondern Geschlechtsdaten erforderlich. Dieses Ziel kann auch erreicht werden, indem diese Daten nur in besonderen Fällen und nicht bei allen Fahrscheinkäufen erhoben werden.

Das Transportunternehmen hat die betroffenen Personen zum Zeitpunkt der Datenerhebung nicht über die verfolgten berechtigten Interessen informiert. Aus der Nichteinhaltung der Informationspflicht resultiert die Rechtswidrigkeit der Verarbeitung der Anrededaten. Ohne Information über die berechtigten Interessen kann die Verarbeitung der Anrededaten auch nicht als erforderlich angesehen werden. Selbst wenn das berechtigte Interesse der personalisierten Kundenkommunikation mitgeteilt worden wäre, wäre die Verarbeitung der Anrededaten nicht erforderlich, weil die Kommunikation auch ohne diese Daten möglich ist. Kunden können vernünftigerweise nicht absehen, dass ihre Anrededaten zur Kommunikation aufgrund eines Fahrscheinerwerbs verarbeitet werden.

Die Verarbeitung von Anrededaten könnte die Grundrechte oder -freiheiten betroffener Personen beeinträchtigen, weil sie zu einer Diskriminierung aufgrund des Geschlechts führen könnte. Dies gilt insb bei Transgender-Personen oder Personen mit Staatsangehörigkeit eines Staates, der das neutrale Geschlecht anerkennt. Das berechtigte Interesse an der Kommunikation mit dem Kunden überwiegt daher nicht die Interessen oder die Grundrechte oder -freiheiten der betroffenen Person.

Das Bestehen eines Widerspruchsrechts ist für die Beurteilung der Erforderlichkeit bei einer Verarbeitung nach Art 6 Abs 1 lit f DSGVO irrelevant, weil es eine rechtmäßige Verarbeitung voraussetzt. Es kann erst ausgeübt werden, wenn die rechtmäßige Verarbeitung bereits erfolgt ist, um diese zu unterbinden. Eine andere Auslegung würde die Rechtmäßigkeitsgründe des Art 6 DSGVO ausweiten. Das Schutzniveau der betroffenen Personen hinge davon ab, dass diese der Datenverarbeitung widersprechen.

Rechtsprechung des VwGH

Eine Zurückverweisung an die DSB zur Durchführung notwendiger Ermittlungen gemäß § 28 Abs 3 VwGVG ist nur bei besonders gravierenden Ermittlungslücken gerechtfertigt. Wenn die DSB auf Grundlage ihrer Ermittlungsergebnisse bereits Feststellungen getroffen hat und ergänzende Ermittlungen ohne Schwierigkeiten vom Verwaltungsgericht durchgeführt werden können, ist eine Zurückverweisung nicht erforderlich. Im Interesse der Verfahrensbeschleunigung und der angemessenen Verfahrensdauer haben Verwaltungsgerichte erforderliche ergänzende Ermittlungen selbst vorzunehmen (VwGH 13.06.2024, Ra 2023/04/0259).

Rechtsprechung des BVwG

BVwG 27.03.2024, W214 2243436-1

Ein Unternehmen betrieb ein branchenübergreifendes Kundenbindungsprogramm, für das zur Rechtfertigung der Verarbeitung Einwilligungen physisch über ein Anmeldeformular und über eine Website eingeholt wurden. Um die Rechtmäßigkeit der Vorgehensweise zu prüfen, leitete die DSB ein amtswegiges Prüfverfahren ein. Da die Einwilligungen nicht der DSGVO entsprachen, verhängte die DSB im darauffolgenden Strafverfahren eine Geldstrafe iHv EUR 1,2 Mio (zuzüglich EUR 120.000 Verfahrenskostenbeitrag). Dagegen erhob das Unternehmen Bescheidbeschwerde an das BVwG, welches die Strafe auf EUR 700.000 (zuzüglich EUR 70.000 Verfahrenskostenbeitrag) herabsetzte und den Bescheid teilweise abänderte.

Das BVwG hat erwogen: Das Selbstbezichtigungsverbot des Art 90 Abs 2 B-VG und Art 6 EMRK gilt in Verwaltungsstrafverfahren nach der DSGVO jedenfalls nicht für juristische Personen. Beweisergebnisse, die in einem vorgelagerten Administrativverfahren unter strafbewehrter Mitwirkungspflicht erlangt wurden, dürfen im nachgelagerten Verwaltungsstrafverfahren verwertet werden.

Bei der Beurteilung der Gültigkeit einer Einwilligung ist maßgeblich, wie eine durchschnittliche einwilligende Person, die über keine juristischen oder technischen Kenntnisse verfügt und sich der Einwilligung mit durchschnittlicher Aufmerksamkeit widmet, diese versteht. Eine datenschutzrechtliche Erklärung, die zwar fettgedruckt ist, jedoch am Ende eines physischen Anmeldeformulars unter einem Unterschriftsfeld platziert wurde, ist irreführend. Eine bei einem Onlineformular missverständlich beschriftete Schaltfläche ist dabei irreführend und intransparent. Durch die intransparente Vorgehensweise entsprechen die Einwilligungen nicht den Erfordernissen iSd Art 7 DSGVO. Eine darauf gestützte Datenverarbeitung ist rechtswidrig.

Bei Profiling iSd DSGVO handelt es sich um einen erheblichen Eingriff in die Grundrechte von Betroffenen. Das Interesse Betroffener, keinem Profiling unterworfen zu werden, überwiegt das Interesse eines Unternehmens, ohne Einwilligung Daten zur interessensgerichteten Werbung verarbeiten zu dürfen.

Geschäftsführer trifft eine Erkundigungspflicht hinsichtlich einschlägiger Bestimmungen vor Beginn einer Datenverarbeitung. Zur Wirksamkeit eines internen Kontrollsystems muss dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen.

Für die Bemessung der Höhe einer Strafe nach der DSGVO liegt eine Unternehmensgruppe vor, wenn eine Muttergesellschaft einen entscheidenden Einfluss auf ein Tochterunternehmen ausübt.

Werden personenbezogene Daten (i) schuldhaft unrechtmäßig verarbeitet, (ii) betrifft die Verarbeitung das gesamte Bundesgebiet, (iii) stellt die Verarbeitung eine zentrale Tätigkeit des Verantwortlichen dar und (iv) sind eine große Anzahl natürlicher Personen von der Verarbeitung über einen Zeitraum von zwei Jahren betroffen, liegt bei einem fahrlässigen Verstoß gegen die DSGVO für die Strafbemessung ein mittlerer bis hoher Schweregrad vor. Anm: Das BVwG verwehrt datenschutzrechtlich Verantwortlichen, insb wenn sie juristische Personen sind, den Schutz vor Zwang zur Selbstbezichtigung.

BVwG 07.06.2024, W256 2246230-1

Ein Unternehmen hat von Mai 2019 bis Januar 2021 personenbezogene Daten für personalisierte Werbung, basierend auf Einwilligungserklärungen, die mittels Flyer und Webseite eingeholt wurden, erhoben. Die DSB leitete ein amtswegiges Prüfverfahren ein, in dem sie die Einwilligungserklärungen für ungültig erklärte. Im anschließenden Verwaltungsstrafverfahren verhängte die DSB eine Geldstrafe iHv EUR 2 Mio. Das Unternehmen erhob dagegen Bescheidbeschwerde an das BVwG, das die Geldbuße auf EUR 500.000 herabsetzte.

Das BVwG hat erwogen: Ergebnisse des amtswegigen Prüfverfahrens können in ein Verwaltungsstrafverfahren einbezogen werden. Das Recht, sich selbst nicht einer strafbaren Handlung bezichtigen zu müssen, kommt einer juristischen Person nicht zu. Die Einwilligungserklärungen entsprechen nicht den Anforderungen des Art 7 Abs 2 DSGVO, weil sie nicht klar und verständlich gestaltet, und damit nicht freiwillig waren. Die Einwilligungserklärung muss optisch und sprachlich transparent ausgestaltet sein, insb wenn sie verschiedene Sachverhalte betrifft. Das Unternehmen hat den Gesamteindruck vermittelt, dass es sich eigentlich um eine Unterschrift für die Teilnahme am Kundenbindungsprogramm und nicht um eine Einwilligung zum Profiling handelt.

Die Verarbeitung kann nicht auf Art 6 Abs 1 lit f oder Art 6 Abs 4 DSGVO gestützt werden, weil die betroffenen Personen nicht mit einer solchen Verarbeitung rechnen mussten. Das Unternehmen hat fahrlässig gehandelt, weil den Geschäftsführern und/oder dem Datenschutzbeauftragten die Rechtswidrigkeit der Einwilligungserklärungen hätte auffallen müssen. Die Geldbuße ist jedoch zu hoch angesetzt, weil die Verhältnismäßigkeit und die wirtschaftliche Leistungsfähigkeit des Unternehmens sowie mildernde Umstände zu berücksichtigen sind.

Die Revision an den VwGH ist zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage von grundsätzlicher Bedeutung abhängt, insb zu Art 7 DSGVO und zum entschuldbaren Verbotsirrtum im Anwendungsbereich der DSGVO.

Die mündliche Weitergabe personenbezogener Daten fällt nicht in den sachlichen Anwendungsbereich der DSGVO, ist aber anhand des Maßstabs des § 1 DSG zu prüfen. Eine Information über den stationären Aufenthalt einer Patientin ist ein Gesundheitsdatum iSd Art 4 Z 15 DSGVO. Die allgemeine Verfügbarkeit von Daten schließt die Verletzung eines Geheimhaltungsinteresses iSd § 1 DSG ausdrücklich aus. Daten, die nur einem begrenzten Personenkreis offengelegt werden, sind jedoch nicht allgemein verfügbar (BVwG 12.06.2024, W211 2281442-1). Beachte: Fällt eine Datenverarbeitung in den Anwendungsbereich der DSGVO, sind auch allgemein verfügbare Daten geschützt.

Über die Beschwerde einer Sportlerin gegen eine Entscheidung der Unabhängigen Dopingkontrolleinrichtung (NADA) legte die Unabhängige Schiedskommission (USK) mehrere Fragen hinsichtlich der Vereinbarkeit von Anti-Doping-Regelungen mit der DSGVO dem EuGH vor. Der EuGH wies die Fragen der USK mit Urteil vom 05.2024, C‑115/22, NADA, zurück, weil die USK kein Gericht iSd Art 267 AEUV ist. Das BVwG setzte ein bei ihm anhängiges Verfahren bis zur Entscheidung des EuGH aus. Nunmehr hat das BVwG das bei ihm anhängige Verfahren fortgesetzt und als Gericht iSd Art 267 AEUV dem EuGH die Fragen der USK nochmals vorgelegt. Den Fragen der USK stellt das BVwG jedoch eine weitere Frage voran, die die Schlussanträge der Generalanwältin reflektieren. Die Generalanwältin hinterfragte, ob die Durchführung des Anti-Doping-Rechts in den Anwendungsbereich des Unionsrechts und somit in jenen der DSGVO fällt (BVwG 28.06.2024, W108 2250401-1).

Von einem unvertretenen juristischen Laien kann die rechtliche Einordnung und Anführung der korrekten Norm nicht erwartet werden (BVwG 17.06.2024, W287 2285759-1).

Entsteht nach Ansicht des Beschuldigten aufgrund der Zusammenstellung personenbezogener Daten eine inhaltliche Irreführung, kann er Fehlannahmen durch Vorbringen im Einklang mit der Strafprozessordnung richtigstellen. Ein Recht auf Vervollständigung seiner Daten im Ermittlungsakt kommt ihm nicht zu (BVwG 12.06.2024, W605 2280077-1).

Wird das Recht auf Löschung geltend gemacht, kann eine Verantwortliche bis zum Abschluss des Verfahrens vor der DSB die behauptete Rechtsverletzung nachträglich beseitigen, indem sie den Anträgen des Betroffenen entspricht (§ 24 Abs 6 DSG). Diese Bestimmung ist sinngemäß auch im Verfahren beim BVwG anzuwenden (§ 17 VwGVG). Bei materieller Klaglosstellung wegen Wegfalls des Rechtsschutzinteresses ist das Verfahren einzustellen (BVwG 20.06.2024, W211 2225136-1).

Die DSB kann eine Verletzung des Grundrechts auf Geheimhaltung nur ex post betrachtet feststellen, weshalb eine Datenschutzbeschwerde über eine möglicherweise in der Zukunft eintretende Verletzung bereits aus diesem Grund abzuweisen ist (BVwG 27.05.2024, W137 2288754-1).

EU-Rechtsakte

Vorschau EuGH-Rechtsprechung

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

Datenschutzrechts-Update 10.07.2024

 

Rechtsprechung des VwGH

VwGH 06.06.2024, Ra 2022/04/0008

Die Teilnehmerin einer Gruppe zur Stressbewältigung erachtete sich in ihrem Recht auf Geheimhaltung verletzt, weil die Betreiberin der Gruppe Chatverläufe an den Ex-Freund der Teilnehmerin weitergeleitet haben soll. Die DSB gab der Datenschutzbeschwerde der Teilnehmerin statt. Der von der Betreiberin der Gruppe erhobenen Bescheidbeschwerde gab das BVwG insofern statt, als es den Bescheid behob und die Angelegenheit zur Verfahrensergänzung und Erlassung eines neuen Bescheids an die DSB zurückverwies. Aufgrund der dagegen erhobenen außerordentlichen Amtsrevision der DSB behob der VwGH den Zurückverweisungsbeschluss des BVwG wegen Rechtswidrigkeit des Inhalts.

Der VwGH hat erwogen: Die nach § 28 Abs 3 Satz 2 VwGVG bestehende Zurückverweisungsmöglichkeit stellt eine Ausnahme von der grundsätzlichen meritorischen Entscheidungszuständigkeit der Verwaltungsgerichte dar. Das BVwG wich insofern von der stRsp des VwGH ab, als die Voraussetzungen für eine Aufhebung und Zurückverweisung der Angelegenheit an die DSB mangels gravierender Ermittlungslücken nicht vorlagen. Eine Zurückverweisung ist regelmäßig nur dann zulässig, wenn die Verwaltungsbehörde jegliche erforderliche Ermittlungstätigkeit unterlassen hat, die zur Ermittlung des maßgebenden Sachverhalts gesetzten Ermittlungsschritte völlig ungeeignet waren oder von der Verwaltungsbehörde bloß ansatzweise ermittelt wurde. Solche – einen Zurückweisungsbeschluss rechtfertigende – Mängel haften dem Ermittlungsverfahren nicht an. Das BVwG hätte die von ihm als notwendig angesehenen ergänzenden Ermittlungsschritte – etwa im Rahmen einer mündlichen Verhandlung – nachholen können.

Die DSB hat den Ex-Freund der Teilnehmerin als Zeugen einvernommen. Auf Grundlage dieser Ermittlungsergebnisse hat die DSB – nach Einräumung des Parteiengehörs – Sachverhaltsfeststellungen getroffen und diese ihrer Entscheidung zugrunde gelegt. Zu beurteilen, ob die Beweiswürdigung der DSB im Zusammenhang mit der Weiterleitung der Chats ggf verfehlt war, gehört zu den zentralen Aufgaben des BVwG.

Ebenso wenig kann die Frage, ob die Haushaltsausnahme nach Art 2 Abs 2 lit c DSGVO anzuwenden gewesen wäre, eine Zurückverweisung rechtfertigen. Diese Rechtsfrage hat das BVwG selbst zu beantworten.

Die DSB hat von sich aus den vollständigen und wahren entscheidungsrelevanten Sachverhalt durch Aufnahme aller nötigen Beweise festzustellen. Wenn die DSB jegliche erforderliche Ermittlungstätigkeit unterlässt, nur völlig ungeeignete Ermittlungsschritte setzt oder bloß ansatzweise ermittelt, darf das BVwG das Verfahren an die DSB zurückverweisen (VwGH 06.06.2024, Ra 2023/04/0280).

Die Zurückziehung einer Datenschutzbeschwerde nach Entscheidung durch das BVwG und somit nach Eintritt der Rechtskraft ist nicht mehr möglich (VwGH 06.06.2024, Ra 2023/04/0004; Ra 2023/04/0006).

Rechtsprechung des BVwG

BVwG 23.04.2024, W292 2248672-1

Eine Kreditauskunftei übermittelte Informationen zur Bonität eines Betroffenen in Form eines Scoring-Wertes an einen Energieversorger, wobei sie dem Betroffenen eine "mittlere" Bonität zuschrieb, obwohl keine sachlich begründenden Informationen hierfür vorlagen. Aufgrund dieses Bonitätsscores verweigerte der Energieversorger einen Vertragsabschluss mit dem Betroffenen. Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB und machte mehrere Verletzungen seiner Rechte durch die Kreditauskunftei geltend, insbesondere das Recht auf Auskunft, das Recht auf Datenrichtigkeit, das Prinzip der Verarbeitung nach Treu und Glauben und das Recht, keiner automatisierten Entscheidung unterworfen zu werden.

Die DSB stellte fest, dass die Kreditauskunftei gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben verstoßen hatte, weil die Berechnung ohne Vorhandensein von konkreten Zahlungserfahrungsdaten zur Person des Betroffenen durchgeführt wurde. Zudem sah die DSB einen Verstoß gegen den Grundsatz der Transparenz vorliegen, weil die Kreditauskunftei es unterlassen hatte, verständlich darzustellen, ob sie die personenbezogenen Daten auch zu anderen Zwecken als zur Ausübung des Gewerbes der Kreditauskunftei verarbeite. Der Betroffene wurde nach Ansicht der DSB auch in seinem Recht auf Geheimhaltung und Auskunft verletzt, weil seine personenbezogenen Daten unrechtmäßig verarbeitet wurden und die Kreditauskunftei ihm keine Auskunft gemäß Art 15 Abs 1 lit h DSGVO erteilt hatte. Die gegen diesen Bescheid erhobene Bescheidbeschwerde der Kreditauskunftei war zum Teil erfolgreich.

Das BVwG hat erwogen: Die Kreditauskunftei hat bei der Berechnung des Bonitätsscores eine automatisierte Entscheidungsfindung iSd Art 22 DSGVO durchgeführt, weil sie einen auf personenbezogene Daten gestützten Wahrscheinlichkeitswert in Bezug auf die Fähigkeit der Betroffenen, künftige Zahlungsverpflichtungen zu erfüllen, automatisiert erstellt hat und der Energieversorger aufgrund dessen den Vertragsabschluss verweigert hat. Damit hat die automatisierte Entscheidungsfindung den Energieversorger maßgeblich geleitet und rechtliche Wirkung für den Betroffenen entfaltet bzw ihn in ähnlicher Weise erheblich beeinträchtigt.

Es waren keine Ausnahmetatbestände iSd Art 22 Abs 2 DSGVO erfüllt. Auch den weitergehenden Informationspflichten nach Art 13 Abs 2 lit f und Art 14 Abs 2 lit g DSGVO ist die Kreditauskunftei nicht nachgekommen, weil sie dem Betroffenen keine Informationen über die involvierte Logik sowie Tragweite und die angestrebten Auswirkungen der Verarbeitung zur Verfügung gestellt hat. Es war aus den Bonitätsauszügen auch nicht ersichtlich, dass der darin enthaltene Bonitätsscore ohne Zahlungserfahrungsdaten berechnet wurde. Die Kreditauskunftei verstieß somit gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben.

Der Ausspruch der DSB, wonach die Kreditauskunftei gegen den Grundsatz der Transparenz verstoßen hat, war aufzuheben, weil dieser Verstoß von der Datenschutzbeschwerde nicht umfasst war und die Kreditauskunftei in ihrer zuvor ergangenen Stellungnahme klar angegeben hatte, zu welchen Zwecken sie die Daten verarbeitet. Auch eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG wurde in der Datenschutzbeschwerde nicht geltend gemacht, weshalb auch der hierzu ergangene Spruchpunkt des Bescheides der DSB ersatzlos zu beheben war.

Die Kreditauskunftei vertrat die Ansicht, dass sie keine automatisierte Entscheidungsfindung durchführe, weshalb kein Anspruch des Betroffenen auf Auskunft bestehe. Damit ist sie dem Auskunftsersuchen des Betroffenen bis zum Abschluss des Verfahrens nicht vollständig nachgekommen und hat ihn in seinem Recht auf Auskunft gemäß Art 15 DSGVO verletzt. Das Argument der Kreditauskunftei, dass die verlangten Informationen zum Bonitätsscore Geschäftsgeheimnisse sind, schließt den Auskunftsanspruch nicht absolut aus. Dennoch müssen Informationen über die Berechnung des Bonitätsscores zumindest grundlegend bereitgestellt werden, ohne dass hierbei Geschäftsgeheimnisse preisgegeben werden müssen.

BVwG 28.05.2024, W176 2249328-1

Eine Muttergesellschaft ist Alleingesellschafterin einer Tochtergesellschaft, die ein Kundenbindungsprogramm betreibt. In der Konzeptionsphase legte der Vorstand der Muttergesellschaft die Strategie für ein Multipartner-System fest, das die Tochtergesellschaft durch das Kundenbindungsprogramm ohne Involvierung der Muttergesellschaft umsetzte. In Folge eines amtswegigen Prüfverfahrens leitete die DSB ein Verwaltungsstrafverfahren gegen die beiden Gesellschaften als gemeinsame Verantwortliche ein. Die gemeinsame Verantwortlichkeit wurde damit begründet, dass die Muttergesellschaft die strategische Entscheidung traf, ein Multipartner-Kundenbindungsprogramm einzurichten, die Tochtergesellschaft zu gründen und diese finanziell und personell zu unterstützten. Den Gesellschaften wurde vorgeworfen, dass die Einwilligungsformulare für die Datenverarbeitung zu Zwecken des Profiling nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung entsprechen würden und die Datenverarbeitung daher auf keinen Erlaubnistatbestand des Art 6 Abs 1 DSGVO gestützt werden könne. Der Muttergesellschaft wurde eine Geldbuße iHv EUR 8 Mio und ein Verfahrenskostenbeitrag von EUR 800.000 auferlegt. Das BVwG hat das Straferkenntnis behoben und das Verwaltungsstrafverfahren eingestellt.

Das BVwG hat erwogen: Die gemeinsame Verantwortlichkeit erfordert ein kooperatives Zusammenwirken zweier Akteure. Ein solches ist nicht erkennbar, weil die Muttergesellschaft seit Abschluss der Konzeptionsphase nicht mehr in die maßgeblichen Vorgänge involviert war und sie keinen Einfluss auf konkrete Datenverarbeitungszwecke und -mittel nehmen konnte.

Die Muttergesellschaft ist nicht Verantwortliche für die Datenverarbeitung, weil sich ihre Tätigkeit auf die strategische Festlegung eines Multipartner-Kundenbindungsprogramms und der Gründung der Tochtergesellschaft in der Konzeptionsphase beschränkte. Ab der Aufnahme des operativen Geschäftsbetriebs hat sie keine Leitungs- und Kontrolltätigkeiten in Bezug auf die Tochtergesellschaft vorgenommen oder veranlasst. Es fehlt eine gewollte und bewusste Zusammenarbeit der Beteiligten, die wesentlichen Entscheidungen über Zwecke und Mittel der Datenverarbeitung zu treffen, sodass keine gemeinsame Verantwortlichkeit vorliegt.

BVwG 28.06.2023, W214 2245388-1

Eine Bürgerin fühlte sich von dem Bundesminister für Digitalisierung und Wirtschaftsstandort als Stammzahlenregisterbehörde (Stammzahlenregisterbehörde) in ihrem Recht auf Geheimhaltung und Löschung verletzt, weil personenbezogene Daten zu ihrer Person im Ergänzungsregister für sonstige Betroffene (ERsB) eingetragen wurden und ihrem Löschersuchen nicht nachgekommen wurde. Die Eintragung war ihrer Ansicht nach nicht notwendig, weil ihre Daten schon im Zentralen Melderegister (ZMR) erfasst waren und sie keine unternehmerische Tätigkeit ausübt. Die Datenschutzbeschwerde blieb erfolglos. Die gegen den Bescheid der DSB erhobene Bescheidbeschwerde der Bürgerin hatte Erfolg.

Das BVwG hat erwogen: Die Stammzahlenregisterbehörde führt neben dem Ergänzungsregister für natürliche Personen (ERnP) auch das ERsB für alle anderen Betroffenen.

Die Bürgerin wurde als Einzelunternehmerin ins ERsB eingetragen, weil die Stammzahlenbehörde von einem weiten Unternehmensbegriff ausgeht, der natürliche Personen, Personengesellschaften, Personengemeinschaften und Personenvereinigungen, die unternehmerisch tätig sind, umfasst.

Die Bürgerin bezog zwar für eine Tätigkeit Funktionsgebühren, die gemäß § 29 Z 4 EStG als sonstige Einkunft zu den außerbetrieblichen Einkunftsarten aus nicht selbständiger Arbeit zählen. Eine unternehmerische Tätigkeit entfaltete sie jedoch nicht. Die Eintragung der Bürgerin ins ERsB erfolgte daher zu Unrecht.

BVwG 03.06.2024, W292 2282284-1

Die Ordinationsassistentin einer Fachärztin für Psychiatrie und psychotherapeutische Medizin versendete eine Terminerinnerung versehentlich mittels Gruppentextnachricht an 27 Patienten. Dadurch legte sie personenbezogene Daten, einschließlich Gesundheitsdaten der Patienten, für alle Empfänger offen. Die DSB verhängte eine Geldbuße iHv EUR 6.000 und einen Verfahrenskostenbeitrag von EUR 600. Das BVwG gab der Bescheidbeschwerde der Fachärztin teilweise statt und senkte die Geldbuße auf EUR 4.000 und den Verfahrenskostenbeitrag auf EUR 400 herab.

Das BVwG hat erwogen: Die Telefonnummern der Patienten sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Die Information über die Inanspruchnahme des Dienstleistungsangebots der Fachärztin durch die Patienten ist als Gesundheitsdatum iSd Art 4 Z 15 DSGVO zu qualifizieren. Diese Daten lassen zumindest indirekt auf eine psychische Erkrankung der Empfänger schließen. Die Fachärztin hat die unbefugte Offenlegung der Daten nicht unverzüglich und innerhalb von 72 Stunden der DSB gemeldet (Art 33 Abs 1 DSGVO).

Die Informationen aus der Gruppen-Textnachricht können zu physischen, materiellen oder immateriellen Schäden für die Patienten führen. Darüber hinaus erfordern Gesundheitsdaten ein besonderes Maß an Sorgfalt. Diese Informationen unterliegen einem besonderen Geheimhaltungsinteresse. Es ist die Pflicht der Fachärztin, ihre Mitarbeiter ausreichend zu schulen und für die Einhaltung der datenschutzrechtlichen Vorgaben zu sorgen. Die Fachärztin ergriff keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit. Weiters führte die Fachärztin auch kein Verzeichnis über ihre Verarbeitungstätigkeiten (Art 30 DSGVO).

Nach Art 83 Abs 1 DSGVO müssen Aufsichtsbehörden sicherstellen, dass Geldbußen wirksam, verhältnismäßig und abschreckend sind. Bei der Bemessung sind Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens und die Kategorie der betroffenen Daten zu berücksichtigen. Die Verknüpfung der offengelegten Telefonnummern mit namentlich identifizierbaren Personen ist mit einem gewissen Aufwand verbunden, was eine geringfügige Minderung der Schwere des Eingriffs und eine Reduktion der Geldbuße rechtfertigt. Für Terminerinnerungen per SMS muss eine ausdrückliche Einwilligung der Patienten gemäß Art 9 Abs 2 lit a DSGVO vorliegen. Die Fachärztin war sich dieser Vorgaben nicht bewusst und setzte keine sichere technische Lösung ein. Diese Handlungen und Unterlassungen sind als grob fahrlässiges Verhalten zu qualifizieren. Mildernd wirken die fahrlässige Begehung, die Unbescholtenheit, die Mitwirkung im Ermittlungsverfahren, die Anpassung der technischen Einstellungen und die nachträgliche Erstellung eines Verarbeitungsverzeichnisses.

BVwG 06.06.2024, W108 2280859-1

Nachdem das E-Mail-Postfach eines Arztes und des von ihm geführten Labors kompromittiert wurde, gelangte eine Excel-Liste mit tausenden PCR-Test-Ergebnissen und personenbezogenen Daten an zwei Medienunternehmen. Nachdem die Medienunternehmen über die geleakten Ergebnisse berichteten, beantragte das Labor die Löschung der E-Mail und nach Ablehnung durch die Medienunternehmen stellten der Arzt und das Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht vollständig nachkamen. Vor diesem Hintergrund brachten der Arzt und das Labor Datenschutzbeschwerden bei der DSB ein. Der Arzt behauptete eine Verletzung in seinem Recht auf Auskunft und das Labor in seinem Recht auf Löschung, Geheimhaltung und Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie gemäß § 9 DSG dem Medienprivileg unterliegen würden und den Arzt und das Labor nicht in ihren Rechten verletzt hätten. Die DSB wies die Datenschutzbeschwerden zunächst mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin der Arzt und das Labor Bescheidbeschwerden an das BVwG richteten. Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein, welches zur Aufhebung des § 9 Abs 1 DSG wegen Verfassungswidrigkeit führte. In weiterer Folge entschied die DSB, dass keine Verletzung des Rechts auf Löschung vorlag und stellte fest, dass die Medienunternehmen gewisse Informationen aufgrund des § 31 Abs 1 MedienG nicht zu beauskunften hatten, hinsichtlich anderer Informationen jedoch den Arzt und das Labor in ihren Rechten auf Auskunft verletzt haben. Daraufhin erhoben sowohl die Medienunternehmen als auch der Arzt und das Labor Bescheidbeschwerden an das BVwG. Das BVwG wies sämtliche Bescheidbeschwerden ab.

Das BVwG hat erwogen: Der Begriff "personenbezogene Daten" ist weit zu verstehen. Auch wenn die Excel-Liste personenbezogene Daten Dritter enthielt, war die Medienberichterstattung mit dem Arzt und dem Labor verknüpft. Daher wurden auch personenbezogene Daten des Arztes und des Labors verarbeitet. Das Labor ist, entgegen der Annahme der Medienunternehmen, als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre.

Das Interesse des Arztes und des Labors auf Auskunft überwog dem Geheimhaltungsinteresse der Medienunternehmen jedoch nicht, weil eine Berufung auf das Redaktionsgeheimnis auch außerhalb des § 31 Abs 1 MedienG möglich ist. Dies gilt vor allem mit Blick auf Art 10 EMRK, weil Informanten die Medien nicht unterstützen könnten, wenn kein Schutz journalistischer Quellen im Rahmen der Pressefreiheit garantiert wäre. Da den Medien in ihrer Rolle als "public watchdog" eine wichtige Kontroll- und Aufklärungsfunktion zukommt, muss ein dringendes Erfordernis des öffentlichen Interesses vorliegen, um in den Schutz journalistischer Quellen einzugreifen. Ein solches Interesse besteht hier nicht.

Unter "Stammdaten", die von den Medienunternehmen zu beauskunften sind, fallen persönliche Angaben wie Namen, Adresse, Geburtsdatum, Sozialversicherungsnummer und Kontaktdaten, nicht jedoch das gesamte journalistische Recherchematerial. Das Redaktionsgeheimnis wird durch das Offenlegen dieser Daten nicht verletzt.

Da dem Grundrecht auf Datenschutz unmittelbare Horizontal- bzw Drittwirkung zukommt, können auch Private verpflichtet sein. Das Untätigbleiben der Medienunternehmen mit der Begründung, dass juristischen Personen kein Auskunftsrecht zukommt, war rechtswidrig, weil die Betroffenenrechte gemäß Art 12 f DSGVO analog auf juristische Personen anzuwenden sind.

Das Erleichterungsgebot gemäß Art 12 Abs 2 DSGVO ist eine Strafnorm. Ein Verstoß dagegen kann gemäß Art 83 Abs 5 lit b DSGVO mit einer Geldbuße geahndet werden. Der Verantwortliche hat jedoch nur leicht fahrlässig gehandelt, weshalb die Strafe von EUR 9,5 Mio auf EUR 500.000 herabzusetzen war (BVwG 18.04.2024, W137 2248575-1).

Die DSB ist berechtigt, die Herausgabe personenbezogener Daten eines Beschwerdeführers vom Verantwortlichen zu verlangen, wenn die angeforderten Daten für das Erheben des maßgeblichen Sachverhalts erforderlich sein können. Der Verantwortliche hat dem Auftrag der DSB auf Herausgabe der Daten im Rahmen seiner Mitwirkungspflicht gemäß Art 31 DSGVO zu entsprechen (BVwG 13.05.2024, W101 2249293-1).

Wird in einem Einspruch gegen eine Strafverfügung nur die Herabsetzung der Strafe beantragt, tritt Teilrechtskraft hinsichtlich des Schuldspruchs ein (BVwG 06.05.2024, W108 2281246-1).

Krankheitsrisiken sind Gesundheitsdaten. Daher ist das Datum "Impfstatus" als Gesundheitsdatum iSd Art 9 Abs 1 DSGVO zu qualifizieren (BVwG 11.07.2023, W214 2257639-1).

Kommt dem Wiederaufnahmewerber mangels Obsorge keine Vertretungsbefugnis für seinen minderjährigen Sohn zu, fehlt ihm die Legitimation zur Erhebung eines Antrags auf Wiederaufnahme (BVwG 12.06.2024, W211 2267466-2; W211 2280883-2).

Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheides und damit (nachträglich) dessen Rechtswidrigkeit. Das BVwG hat daher den bekämpften Bescheid (ersatzlos) zu beheben (BVwG 06.06.2024, W287 2268623-1).

Rechtsakte

Der EuGH hat mit Urteil vom 16.01.2024, C-33/22, Österreichische Datenschutzbehörde, die Zuständigkeit der DSB für Datenverarbeitungstätigkeiten der Gesetzgebungsorgane bejaht, weil keine andere Aufsichtsbehörde für die Überwachung der entsprechenden Datenverarbeitungstätigkeiten eingerichtet war.

Der Gesetzgeber hat am 04.07.2024 mit einem Gesetzgebungspaket reagiert (BGBl I 2024/68; BGBl I 2024/70; BGBl I 2024/71). Es sind ua das Bundes-Verfassungsgesetz (B-VG), das DSG, das Informationsordnungsgesetz, das Rechnungshofgesetz und das Volksanwaltschaftsgesetz novelliert worden.

Mit dem Gesetzgebungspaket wird insb ein "Parlamentarisches Datenschutzkomitee" eingerichtet, das neben der DSB als nationale Aufsichtsbehörde fungieren wird. Das Parlamentarische Datenschutzkomitee wird für Datenschutzbeschwerden gegen den Nationalrat, den Bundesrat, den Rechnungshof, die Volksanwaltschaft sowie die obersten Organe des Nationalrats, des Bundesrats, des Rechnungshofs sowie der Volksanwaltschaft zuständig sein.

Durch Landesverfassungsgesetz kann die Zuständigkeit des Parlamentarischen Datenschutzkomitees auf die Datenverarbeitungstätigkeiten

Am 07.2024 wurde das Bundesgesetz zur Einrichtung einer nationalen Behörde für die Cybersicherheitszertifizierung (Cybersicherheitszertifizierungs-Gesetz, CSZG, BGBl I 2024/78), mit dem eine nationale Behörde für die Cybersicherheitszertifizierung eingerichtet wurde, kundgemacht.

Vorschau EuGH-Rechtsprechung

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuGH in der Rs C-461/22, MK (Curateur professionnel), veröffentlicht. Geklärt wird, ob ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter) bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

Datenschutzrechts-Update 03.07.2024

 

Rechtsprechung des EGMR

EGMR 25.06.2024, 23215/21, Vlaisavljevikj/Nordmazedonien

Der Betroffene machte bei der zuständigen nationalen Behörde (Direktion für den Schutz personenbezogener Daten) eine Datenschutzbeschwerde geltend und brachte vor, durch einen Wärmelieferanten in seinem Recht auf Schutz seiner personenbezogenen Daten verletzt worden zu sein. Dieser soll dem Betroffenen Rechnungen geschickt haben, obwohl in seiner Wohnung keine Heizungen installiert waren und er keinen Vertrag mit dem Wärmelieferanten abgeschlossen hatte. Der Wärmelieferant stütze sich auf das nationale Energiegesetz und brachte vor, die Verarbeitung sei rechtmäßig gewesen, weil er die Daten vom vorherigen Versorger erhalten hatte und berechtigt sei, die Daten zu verarbeiten, um Zahlungen einzuziehen. Die Direktion wies die Datenschutzbeschwerde ab und argumentierte dies mit dem berechtigten Interesse des Wärmelieferanten, die Wärmemenge in Rechnung zu stellen und erachtete die Verarbeitung als rechtmäßig iSd Energiegesetzes.

Der Betroffene ging gegen die Entscheidung der Direktion beim Verwaltungsgericht vor und hielt fest, dass die herangezogene Bestimmung auf seinen Fall nicht anzuwenden sei, weil dies bloß für Wärmeverbraucher anzuwenden wäre. Er habe aber nie einen Vertrag geschlossen, daher sei bereits der frühere Versorger unrechtmäßig an seine Daten gelangt. Nachdem das Verwaltungsgericht dem Betroffenen Recht gab, hob das Oberverwaltungsgericht dieses Urteil wieder auf und argumentierte im Wesentlichen wie die Direktion. Der Betroffene machte nunmehr eine Verletzung des Art 8 EMRK vor dem EGMR geltend, weil die inländischen Behörden es versäumt hätten, ihn vor der rechtswidrigen Erhebung und Verwendung seiner personenbezogenen Daten zu schützen. Die nordmazedonische Regierung trug vor, dass der Betroffene die sechsmonatige Frist zur Antragstellung nicht eingehalten und den innerstaatlichen Rechtsweg nicht ausgeschöpft habe.

Der EGMR hat erwogen: Da der Betroffene nicht die zugrundeliegenden Bestimmungen selbst als verfassungsrechtlich bedenklich hielt, sondern vielmehr die Versäumnis der Behörden und somit die Anwendung des Gesetzes auf seinen Fall rügte, war keine Verfassungsbeschwerde durch den Betroffenen erforderlich. Zudem kann die Klage nicht wegen der Nichteinhaltung der sechsmonatigen Frist abgewiesen werden, weil das Abwarten des Betroffenen auf die endgültige Erledigung seiner verwaltungsrechtlichen Beschwerde angemessen war, bevor er eine Beschwerde beim EGMR eingereicht hat. Es steht jedenfalls fest, dass der Wärmelieferant die personenbezogenen Daten des Betroffenen verarbeitet hat. Dass die Daten im Grundbuch eingetragen und somit auf der Website des Grundbuchamts öffentlich zugänglich und abrufbar waren ändert nichts daran, dass die Daten dem Schutz von Art 8 EMRK unterliegen. Der Wärmelieferant war nicht berechtigt, die Daten des Betroffenen zu verarbeiten und hat ihn in seinen Rechten nach Art 8 EMRK verletzt.

Der nordmazedonische Staat hat eine positive Verpflichtung zur Gewährleistung des Rechts des Betroffenen auf Achtung des Privatlebens. Die Wärmeversorger sind durch das Energiegesetz zwar berechtigt, Daten zu verarbeiten, um das ordnungsgemäße Funktionieren des Wärmeversorgungssystems als Angelegenheit des öffentlichen Interesses zu gewährleisten. Der Betroffene machte jedoch geltend, dass er nie einen Vertrag mit einem Wärmelieferanten abgeschlossen hatte, worauf weder die Direktion noch das Oberverwaltungsgericht eingegangen sind. Damit wurde der Kern des vom Betroffenen geltend gemachten Anspruchs nie wirklich geprüft, weil es an einer umfassenden Prüfung der Frage gefehlt hat, ob die Speicherung und Verwendung der Daten in Ermangelung eines vertraglichen Verhältnisses zwischen dem Betroffenen und dem Wärmelieferanten dem legitimen Ziel des Energiegesetzes entsprachen. Vor diesem Hintergrund haben die nationalen Gerichte das Recht des Betroffenen auf Achtung seines Privatlebens nicht wirksam geschützt. Es liegt eine Verletzung des Art 8 EMRK vor. Achtung: Die Beschwerdefrist an den EGMR ist in der Zwischenzeit auf vier Monate herabgesetzt worden!

Rechtsprechung des VwGH

VwGH 17.05.2024, Ro 2022/04/0026

Die auf einer Bewertungsplattform für Reisen gelisteten Betreiber eines Hotels forderten die Löschung aller ihrer personenbezogenen Daten einschließlich der Bewertungen. Die Bewertungsplattformbetreiberin ist diesem Löschersuchen nicht nachgekommen, weil die Datenverarbeitung im berechtigten Interesse der Plattform und ihrer Nutzer liege und durch die Meinungsäußerungsfreiheit und das Informationsinteresse der Öffentlichkeit geschützt sei. Die DSB und das BVwG wiesen die Beschwerden der Hotelbetreiber mangels Rechtswidrigkeit der Datenverarbeitung ab. Der VwGH wies die ordentliche Revision ab.

Der VwGH hat erwogen: Die Wahrnehmung des Rechts auf Meinungs- und Informationsfreiheit kann ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Dementsprechend sieht Art 17 Abs 3 lit a DSGVO eine Ausnahme vom Recht auf Löschung vor, soweit die Datenverarbeitung zur Ausübung dieser Rechte erforderlich ist. Die Bewertungsplattform ermöglicht Meinungsäußerungen und strukturierte Suchen, was der Ausübung der Meinungsäußerungsfreiheit dient. Daher ist die damit verbundene Datenverarbeitung zur Wahrung eines berechtigten Interesses erforderlich. Dass die Daten nur für einen kleinen Teil der Öffentlichkeit relevant sind, ändert nichts an dem grundsätzlichen Vorliegen eines berechtigten Interesses, kann aber bei der Interessenabwägung berücksichtigt werden.

Die Bewertungen betreffen die Erbringung von Dienstleistungen gegenüber Dritten und damit ein Verhalten in der Öffentlichkeit. Die verarbeiteten Daten fallen daher in die Sozialsphäre der Hotelbetreiber, die einen geringeren Schutz als der Kernbereich der Privatsphäre (zB Daten zum Sexualleben) genießt. Der bloße Umstand, dass sich die Eingriffsintensität einer Datenverarbeitung durch die Änderung maßgeblicher Umstände (zB Betriebsübergabe) in Zukunft ändern kann, führt für sich genommen nicht dazu, dass eine solche Datenverarbeitung von vornherein nicht der Sozial- bzw Berufssphäre zuzurechnen wäre.

Wer Dienstleistungen öffentlich anbietet, muss mit Beobachtung und Kritik rechnen und die Bewertungsplattform auf unberechtigte Kritik prüfen. Dies ist auch zumutbar, weil die Bewertungsplattform es ermöglicht, per E-Mail über neue Bewertungen informiert zu werden und zu Kommentaren Stellung zu nehmen. Die Bewertungsplattformbetreiberin hat hinreichende Maßnahmen ergriffen, um missbräuchliche Verwendungen durch Nutzer einzuschränken bzw den Betroffenen zu ermöglichen, sich gegen Kommentare zu wehren. Da die Datenverarbeitung rechtmäßig ist, besteht kein Löschungsanspruch der Hotelbetreiber.

VwGH 28.05.2024, Ro 2021/04/0034

Eine Kreditauskunftei hatte zu einem Geschäftsführer einer GmbH unter anderem einen Hinweis über dessen Insolvenz in ihrer Wirtschaftsdatenbank gespeichert. Nach Abschluss des Insolvenzverfahrens erhob der Geschäftsführer Datenschutzbeschwerde und begehrte die Löschung des Eintrags. Die DSB wies die Datenschutzbeschwerde ab, wogegen der Geschäftsführer Bescheidbeschwerde erhob. Das BVwG gab der Bescheidbeschwerde statt und trug der Kreditauskunftei die Löschung des Eintrags auf. Die Kreditauskunftei erhob Revision beim VwGH, der diese zurückwies.

Der VwGH hat erwogen: Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach Art 6 Abs 1 lit f DSGVO verlangt eine fallbezogene Interessenabwägung zwischen den Interessen der Kreditauskunftei und den Interessen, Grundrechten und Grundfreiheiten des Geschäftsführers. Das BVwG hat die Interessenabwägung anhand der konkreten Umstände des Einzelfalls und der Rechtsprechung des EuGH vorgenommen. Die Insolvenz des Geschäftsführers der GmbH ist nicht bonitätsrelevant für die Gesellschaft, weil sie weder ein Ausschlussgrund für die Bestellung noch ein zwingender Grund für seine Abberufung ist. Die Haftung des Geschäftsführers gegenüber Dritten ist deliktischer Natur und mit der Haftbarkeit von Dienstnehmern vergleichbar. Die Verarbeitung der Insolvenzdaten des Geschäftsführers durch die Kreditauskunftei ist daher nicht zur Wahrung ihrer berechtigten Interessen oder der ihrer Kunden erforderlich. Auch überwiegt das Interesse des Geschäftsführers an der Löschung des Eintrags, weil dieser die Gefahr einer Missinterpretation seiner Bonität und seiner organschaftlichen Verpflichtungen mit sich bringt. Die Revision zeigt keine grundsätzliche Rechtsfrage auf, die eine Korrektur der Interessenabwägung des BVwG erfordert.

Die in der Marketingbranche als Sinus-Geo-Milieus bekannten anonymen statistischen Wahrscheinlichkeitswerte verwandeln sich in personenbezogene Daten, wenn sie einer natürlichen Person zugeordnet werden. Gleichzeitig gehen aus ihnen die weltanschaulichen Überzeugungen der Person hervor, der sie zugeordnet werden (irrelevant ist, dass diese Person beim Berechnen der Sinus-Geo-Milieus nicht einmal bekannt ist). Das Einhalten genehmigter Verhaltensregeln kann eine rechtswidrige Datenverarbeitung nicht rechtfertigen (VwGH 17.05.2024, Ra 2023/04/0005).

Rechtsprechung des BVwG

BVwG 03.06.2024, W211 2273051-1

Ein Richter des Landesgerichts für Strafsachen (LG) übermittelte aufgrund eines Ersuchens gemäß § 360 ASVG Verfahrens- und Gerichtsakten an die GKK (nunmehr ÖGK), die PVA und das Sozialministerium zur straf- und regressrechtlichen Verfolgung. Der Beschuldigte fühlte sich von der Vorgehensweise in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde bei der DSB gegen den Richter und das LG. Die DSB wies die Datenschutzbeschwerde gegen den Richter ab und gegen das LG zurück. Aufgrund der weit auszulegenden justiziellen Tätigkeit sei die DSB nicht zuständig. Dagegen erhob der Beschuldigte (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Richter ist als Rechtsprechungsorgan dem LG zuzuordnen. Die Eigenschaft eines datenschutzrechtlich Verantwortlichen kommt ihm nicht zu. Im Bereich der Gerichtsbarkeit (justizielle Tätigkeiten) kommt dabei dem jeweils verfahrensführenden Gericht die Eigenschaft als für die Verarbeitung Verantwortlichen in Betracht, wenn Verfahrensbestimmungen die konkrete gerichtliche Zuständigkeit anordnen. Da sich der Richter mit der Datenübermittlung innerhalb der Verfahrensordnung bewegte, kommt die Eigenschaft als Verantwortlicher dem LG zu.

Im Falle der Zurückweisung einer Datenschutzbeschwerde durch die DSB ist Sache des Beschwerdeverfahrens lediglich die Frage deren Rechtmäßigkeit. Hinsichtlich der Datenschutzbeschwerde gegen das LG ist die in Art 55 Abs 3 DSGVO genannte "justizielle Tätigkeit" weit zu verstehen. Diese ist nicht ausschließlich auf die Erlassung von Entscheidungen in konkreten Rechtssachen beschränkt. Auch die Datenübermittlung iS § 360 ASVG fällt unter die justizielle Tätigkeit eines Gerichts. Die DSB war für die Datenschutzbeschwerde daher nicht zuständig.

Für die Rüge einer Datenschutzverletzung durch ein Gericht in Ausübung der justiziellen Tätigkeit steht dem Beschuldigten der Rechtschutzbehelf des § 85 GOG zur Verfügung.

Der Empfänger eines "Impferinnerungsschreibens" hat seine Datenschutzbeschwerde gegen den falschen Verantwortlichen gerichtet. Richtet sich eine Datenschutzbeschwerde unzweifelhaft gegen eine bestimmte Person oder Stelle, welche die Datenverarbeitung nicht zu verantworten hat, dann ist die Datenschutzbeschwerde abzuweisen. Überdies konnte das Versenden des "Impferinnerungsschreibens" auf § 750 Abs 1a und 2 ASVG gestützt werden (BVwG 03.06.2024, W211 2263700-1).

Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung beim Zugriff auf den Patientenindex sowie auf das zentrale Impfregister für den Versand von COVID-Impferinnerungsschreiben ist beim VwGH anhängig. Zudem liegen dem BVwG etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage vor. Aus Gründen der Prozessökonomie gilt es, die gleiche Rechtsfrage nicht nebeneinander in mehreren Verfahren zu erörterten. Um das Verfahren zu vereinfachen und die Parteien vor unnötigen Revisionen beim VwGH zu schützen, wird das Verfahren ausgesetzt (BVwG 03.06.2024, W211 2262341-1).

Säumnisbeschwerden sind bei der belangten Behörde einzubringen, sofern das Verwaltungsverfahren noch bei dieser anhängig ist. Wenn die belangte Behörde bereits einen (negativen) Bescheid erlassen hat, liegt faktisch keine Säumnis vor (BVwG 05.06.2024, W252 2288636-1).

Rechtsakte

Am 06.2024 wurde das "Bundesgesetz, mit dem das Datenschutzgesetz geändert wird" kundgemacht (BGBl I 2024/62). Mit dieser Novelle wird das sogenannte Medienprivileg (§ 9 DSG) neugefasst, weil der VfGH den alten § 9 DSG als verfassungswidrig aufgehoben hat. Darüber hinaus enthält die DSG-Novelle redaktionelle Anpassungen.

Vorschau EuGH-Rechtsprechung

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuGH in der Rs C-461/22, MK (Curateur professionnel), veröffentlicht. Geklärt wird, ob ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter) bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

 

 

 

Datenschutzrechts-Update 26.06.2024

 

Rechtsprechung des EGMR

EGMR 20.06.2024, 8826/20, Namazli/Azerbaijan

Ein aserbaidschanischer Häftling wurde von seinem Rechtsanwalt besucht und sie berieten sich über ein vor dem EGMR anhängiges Verfahren. Der Rechtsanwalt wurde sowohl beim Betreten als auch beim Verlassen des Gefängnisgebäudes vom Gefängnispersonal durchsucht. Dabei stellte das Gefängnispersonal die schriftliche Kopie einer Stellungnahme sicher, die der Rechtsanwalt für seinen Mandanten vorbereitet hatte, um diese anschließend beim EGMR einzubringen. Das Schriftstück wurde dem Gefängnisdirektor vorgelegt, der daraufhin die Beschlagnahme anordnete. Ein Protokoll über die Beschlagnahme wurde nicht angefertigt.

In seiner Beschwerde an den EGMR behauptete der Rechtsanwalt, dass er wegen der Beschlagnahme von Unterlagen, die unter den Schutz des Anwaltsgeheimnisses fallen, in seinen Rechten gemäß Art 8 EMRK verletzt wurde. Der EGMR stellte eine Verletzung des Art 8 EMRK in Bezug auf die Beschlagnahme des anwaltlichen Schriftstücks fest und sprach dem Rechtsanwalt eine Entschädigung iHv EUR 4.500 zu.

Der EGMR hat erwogen: Die Beschlagnahme von Schriftstücken, die dem Anwaltsgeheimnis unterliegen, ist ein Eingriff in die Rechte gemäß Art 8 EMRK, der nur dann zulässig ist, wenn er gesetzlich vorgesehen ist, einem legitimen Zweck dient und in einer demokratischen Gesellschaft notwendig ist.

Das aserbaidschanische Strafvollzugsgesetz legt fest, dass ein Anwalt gegen Vorlage seines Personalausweises ein Gefängnis betreten darf. Gleichzeitig ermächtigt das Strafvollzugsgesetz das Gefängnispersonal, die Besitztümer von ein- und ausgehenden Personen zu kontrollieren, ohne dabei zwischen den verschiedenen Personenkategorien zu unterscheiden. Ferner enthielten die aserbaidschanischen Regelungen keine Vorschriften darüber, wie die Leibesvisitation durchzuführen ist.

Die Durchsuchung einer Person ist ein schwerwiegender Eingriff in die Rechte nach Art 8 EMRK und bedarf daher einer besonders präzisen gesetzlichen Grundlage. Klare und detaillierte Vorschriften zum Schutz gegen möglichen Missbrauch oder Willkür sind unerlässlich.

Die anlasslose Einsichtnahme in anwaltliche Schriftstücke ist mit dem durch Art 8 EMRK garantierten Schutz des Anwaltsgeheimnisses unvereinbar.

Rechtsprechung des EuGH

EuGH 20.06.2024, C-182/22 und C-189/22, Scalable Capital

Die Kläger hatten bei Scalable Capital, einer Gesellschaft deutschen Rechts, die eine Trading-App betreibt, einen Account eröffnet und dazu bestimmte personenbezogene Daten hinterlegt. Im Jahr 2020 wurden diese Daten von unbekannten Dritten abgegriffen, ohne dass bisher ein Identitätsdiebstahl oder -betrug festgestellt wurde. Die Kläger klagten auf Ersatz des immateriellen Schadens, der ihnen durch den Diebstahl ihrer personenbezogenen Daten entstanden ist.

Der EuGH hat erwogen: Eine auf Art 82 DSGVO gestützte Entschädigung in Geld soll es ermöglichen, den erlittenen Schaden in vollem Umfang auszugleichen, sodass diese Bestimmung eine ausschließliche Ausgleichsfunktion, keine Abschreckungs- oder Straffunktion hat.

Art 82 DSGVO verlangt nicht, dass die Schwere des Verschuldens bei der Bemessung der Höhe des Schadenersatzes berücksichtigt wird. Damit die finanzielle Entschädigung vollständig und wirksam ist, ist der Betrag jedoch so festzulegen, dass er den konkret aufgrund des DSGVO-Verstoßes erlittenen Schaden in vollem Umfang ausgleicht. Dieser Grundsatz des vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden könnte durch die Annahme, dass eine Körperverletzung von Natur aus schwerer wiegt als ein immaterieller Schaden, in Frage gestellt werden.

Bei fehlender Schwere des Schadens kann ein Gericht diesen ausgleichen, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.

Der Diebstahl personenbezogener Daten stellt für sich genommen keinen Identitätsdiebstahl oder -betrug dar. Der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens kann aber nicht auf Fälle beschränkt werden, in denen nachgewiesen wird, dass er anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat.

EuGH 20.06.2024, C-590/22, PS (Adresse erronée)

Zwei Mandanten einer deutschen Steuerberatungskanzlei teilten dieser ihre neue Postanschrift mit. Aufgrund eines Fehlers der Kanzlei wurde die Steuererklärung aber an die alte Adresse der Mandanten verschickt und von den neuen Bewohnern an dieser Adresse geöffnet. Die Mandanten erhoben daraufhin Klage gegen die Kanzlei und begehrten Schadenersatz zur Wiedergutmachung des immateriellen Schadens, der ihnen durch die Weitergabe ihrer personenbezogenen Daten an Dritte entstanden sein soll. Das vorlegende Gericht legte dem EuGH mehrere Fragen zu den Voraussetzungen und zur Bemessung des Schadenersatzanspruchs nach Art 82 DSGVO vor.

Der EuGH hat erwogen: Ein Verstoß gegen die DSGVO reicht für sich genommen nicht aus, um einen Anspruch auf Schadenersatz nach Art 82 Abs 1 DSGVO zu begründen. Die Betroffenen müssen auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen. Dieser Schaden muss jedoch keinen bestimmten Schweregrad erreichen. Bereits die Befürchtung, dass Daten an Dritte weitergegeben wurden, kann zur Begründung eines Schadenersatzanspruchs reichen, wenn die Befürchtung und ihre negativen Folgen ordnungsgemäß nachgewiesen wurden. Ein Nachweis der tatsächlichen Datenweitergabe ist nicht erforderlich.

Die Kriterien zur Festlegung von Geldbußen (Art 83 DSGVO) sind nicht zur Bemessung von Schadenersatz heranzuziehen. Ebenso wenig zu berücksichtigen sind nationale Vorschriften, die zwar ebenfalls personenbezogene Daten schützen sollen, aber die DSGVO nicht präzisieren.

Rechtsprechung der Zivilgerichte

OGH 15.05.2024, 6Ob70/24y

Der Mieter einer Wohnung versuchte im alkoholisierten Zustand sein Auto vor seiner Wohnung zu parken, wobei er über die Parkplatzbegrenzungen hinausfuhr und sein Auto dabei beschädigte. Da der Mieter in seiner Unfallmeldung an seinen Kaskoversicherer behauptete, der Unfall sei aufgrund einer plötzlich vor sein Auto laufenden Katze passiert, erhielt er zunächst eine Deckungszusage. Im Zuge einer Nachschau vor Ort fielen dem Mitarbeiter der Versicherung die vom Vermieter am Gebäude installierten Videoüberwachungskameras auf. Der Vermieter übermittelte dem Versicherer auf Anfrage die Videoaufnahmen des Unfalls, woraufhin die Versicherung die Deckung für die Reparaturkosten nun ablehnte. Der Mieter brachte daraufhin eine Klage gegen seinen Vermieter ein und begehrte die Zahlung der Reparaturkosten aus dem Titel des Schadenersatzes gemäß Art 82 DSGVO. Nach abweisenden Urteilen durch die Erst- und Berufungsgerichte brachte der Mieter eine Revision beim OGH ein.

Der OGH hat erwogen: Nach Art 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Nach § 29 DSG sind für Schadenersatzansprüche die allgemeinen Bestimmungen des bürgerlichen Rechts anwendbar. Der Mieter stützte seine Schadenersatzklage darauf, dass der Vermieter durch eine unzulässige Datenverarbeitung die Deckung der Reparaturkosten durch den Versicherer verhindert hätte.

Der Mieter versucht eine vom Versicherer zu Recht verweigerte Versicherungsleistung im Zuge einer Schadenersatzklage geltend zu machen. Dies liegt außerhalb des Schutzzweckes des Art 82 DSGVO. Auch im Lichte des Effektivitätsgebots ändert sich das Ergebnis nicht, weil eine versuchte Erschleichung einer Versicherungsleistung erfolgt ist. Die abweisenden Urteile der Vorinstanzen sind aufgrund des mangelnden Rechtswidrigkeitszusammenhangs zu bestätigen, weil der vom Mieter geltend gemachte Schadenersatzanspruch nicht vom Schutzzweck des Art 82 DSGVO umfasst ist.

Die Auskunftsverpflichtung besteht auch dann, wenn das Auskunftsersuchen aus einem datenschutzfremden Zweck gestellt wird. Dient das Auskunftsersuchen der Beschaffung von Beweismitteln für eine Rückforderungsklage, ist das weder rechtsmissbräuchlich noch schikanös. Die Auskunft ist zu erteilen (OLG Wien 10.06.2024, 14R48/24t).

Rechtsprechung des BVwG

BVwG 24.05.2024, W271 2269889-1

Ein Hauseigentümer erhielt von einer von ihm beauftragen Hausverwaltung eine Willkommensmail mit diversen Anhängen, darunter auch Angebote von Drittanbietern. Der Hauseigentümer wertete die E-Mail als unerlaubte Werbung und zeigte die Hausverwaltung beim Fernmeldebüro an. Die Hausverwaltung brachte vor, dass sie mit der E-Mail nicht werben wollte und dass der Hauseigentümer bei einem von ihm selbst organisierten Treffen der Zusendung einer solchen E-Mail nicht widersprochen hat. Das Fernmeldebüro verhängte aufgrund der Verletzung von § 174 Abs 3 TKG 2021 eine Strafe. Die Bescheidbeschwerde der Hausverwaltung an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Die Zusendung elektronischer Post zu Zwecken der Direktwerbung ist ohne vorherige Einwilligung des Empfängers gemäß § 174 Abs 3 TKG 2021 unzulässig.

Nicht nur die in der E-Mail selbst enthaltenen Informationen, sondern auch die in den Anhängen enthaltenen Informationen sind dabei erfasst. Für die Einordnung als Werbung ist es irrelevant, ob es sich um Informationen zu eigenen oder fremden Produkten handelt. Der Begriff der Werbung ist weit gefasst und umfasst auch Äußerungen, die für eine bestimmte Idee werben oder dafür Argumente liefern.

Das TKG enthält keine Erfordernisse, die eine Einwilligung erfüllen muss. Insofern ist auf die allgemeinen datenschutzrechtlichen Bestimmungen zurückzugreifen. Die Willensbekundung kann sowohl ausdrücklich als auch konkludent erfolgen. Entscheidend für die konkludente Willensbekundung ist, ob ein bestimmtes Verhalten unzweifelhaft als Einwilligung in den Erhalt von Werbung verstanden werden kann. Die bloße Eintragung von Kontaktinformationen in Listen oder Websites ist keine konkludente Einwilligung. Auch nicht die Nichtbeanstandung bereits erhaltener Werbesendungen. Die Anwesenheit bei einer Versammlung oder das Fehlen eines ausdrücklichen Widerspruchs zur Übermittlung von Werbung kann deshalb keine Einwilligung nach dem TKG sein, unabhängig davon, ob es sich um eine Privatperson oder einen Unternehmer handelt.

Ob es sich bei dem Adressaten und Empfänger der E-Mail um eine Firma oder Privatperson, einen Verbraucher oder Unternehmer handelt, ist für die gesetzliche Bestimmung des § 174 Abs 3 TKG 2021 unerheblich.

Bei der Zusammenstellung einer Zusendung ist die der Bedeutung der Sache gebührende Sorgfalt aufzubringen. Dabei muss ein gut funktionierendes Kontrollsystem eingerichtet sein, um die Zusendung von Werbeinhalten ohne Einwilligung zu verhindern. Durch das Nichtvorliegen eines solchen Systems handelte die Hausverwaltung zumindest fahrlässig.

BVwG 23.05.2024, W298 2284122-1

Die Unterstützerin eines Initiativantrags iSd § 6 NÖ STRÖG brachte eine Datenschutzbeschwerde bei der DSB ein, weil sie sich vom Bürgermeister in ihrem Recht auf Geheimhaltung für verletzt erachtete. Die Unterstützerin brachte vor, dass sie vom Bürgermeister zwei Schreiben erhalten hatte, eines mit Werbung der ÖVP NÖ und eines mit einer Verständigung über das Ergebnis der Behandlung des Initiativantrags. Der Bürgermeister hatte die Adressdaten der Unterstützerin aus dem Initiativantrag entnommen, den sie unterschrieben hatte. Hinsichtlich der Werbung erstattete der Datenschutzbeauftragte der ÖVP NÖ eine Stellungnahme und führte aus, dass das Schreiben von der ÖVP NÖ stammte und diese daher Verantwortliche sei. Die Daten seien rechtmäßig aus dem Wählerregister entnommen worden.

Hinsichtlich des Ergebnisses des Initiativantrags nahm der Magistratsdirektor Stellung und führte aus, dass der Bürgermeister dazu verpflichtet sei, den Zustellungsbevollmächtigten über das Ergebnis zu unterrichten, und dieser in Folge die Unterstützer zu benachrichtigen hat. Da sich dies in der Praxis jedoch als schwierig bzw unmöglich erwiesen hat, wäre § 8 Abs 4 NÖ STRÖG so auszulegen, dass die Unterstützer konkludent mit der Unterzeichnung des Initiativantrags auch in die Verständigung vom Ergebnis einwilligen würden. Die DSB gab der Datenschutzbeschwerde statt und stellte eine Verletzung des Rechts auf Geheimhaltung der Unterstützerin durch den Bürgermeister fest, welcher in Folge eine (erfolglose) Bescheidbeschwerde erhob.

Das BVwG hat erwogen: Der Bürgermeister hat als staatliche Behörde iSd § 1 Abs 2 DSG gehandelt und personenbezogene Daten der Unterstützerin verarbeitet. Für einen behördlichen Eingriff in das Grundrecht auf Datenschutz ist eine gesetzliche Grundlage erforderlich, die hinreichend determiniert ist und der Eingriff muss verhältnismäßig sein. Der Bürgermeister berief sich auf § 8 Abs 4 NÖ STRÖG, wonach er den Zustellungsbevollmächtigten des Initiativantrags vom Ergebnis der Behandlung zu verständigen hat. Diese Bestimmung erlaubt jedoch nicht die Verständigung aller Unterstützer durch den Bürgermeister, sondern verpflichtet den Zustellungsbevollmächtigten dazu. Die Verarbeitung kann daher nicht auf § 8 Abs 4 NÖ STÖG gestützt werden. Auch eine konkludente Einwilligung der Unterstützerin in die Verarbeitung ihrer personenbezogenen Daten konnte nicht angenommen werden, weil sie diese nicht in informierter Weise und unmissverständlich abgegeben hatte. Hierfür hätte sie mit einer eindeutig bestätigenden Handlung einwilligen müssen, was gerade nicht geschehen ist.

Der sachliche Anwendungsbereich der DSGVO ist gemäß Art 2 Abs 1 DSGVO auch für die nichtautomatisierte Verarbeitung personenbezogener Daten eröffnet, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Werden physische Kopien von Beilagen, die personenbezogene Daten enthalten, manuell an Teilnehmer einer Sitzung übergeben, ist der sachliche Anwendungsbereich der DSGVO eröffnet, wenn die Beilagen in einem Dateisystem abgespeichert werden (BVwG 13.05.2024, W101 2216385-1).

Anbieter von Kommunikationsdiensten sind, sofern eine befugte Behörde (Gericht, Staatsanwaltschaft, Kriminalpolizei) ein Auskunftsbegehren betreffend die Übermittlung von Kundendaten stellt, unter anderem gemäß § 181 Abs 9 TKG 2021 verpflichtet, die entsprechenden Auskünfte zu erteilen (BVwG 17.04.2024, W108 2271999-2).

Das Beschwerdeverfahren wird bis zur Entscheidung des EuGH, ob Betroffene ein subjektives Recht auf das Ergreifen bestimmter Maßnahmen durch die Aufsichtsbehörde haben, ausgesetzt (BVwG 12.04.2024, W108 2274731-1).

Das Beschwerdeverfahren wird bis zur Klärung der Frage durch den EuGH, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung dem Betroffenen gemäß Art 15 Abs 1 lit h DSGVO zur Verfügung zu stellen sind, ausgesetzt (BVwG 26.04.2024, W256 2253364-1).

Wird eine Datenverarbeitung nicht nachgewiesen, ist weder der Verantwortliche passiv- noch der Betroffene aktivlegitimiert (BVwG 22.05.2024, W298 2263508-1).

Zum Klären der Fragen, ob (i) eine Beschwerdeerhebung verfristet (präkludiert) ist und (ii) ein Auskunftsersuchen ordnungsgemäß beantwortet worden ist, ist das Bereitstellen eines Rechtsanwalts als Verfahrenshelfer mangels besondere rechtliche und technische Schwierigkeiten nicht erforderlich (BVwG 23.04.2024, W605 2289290-1).

Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren als gegenstandslos einzustellen (BVwG 29.05.2024, W101 2246818-1).

EU-Rechtsakte

Vorschau EuGH-Rechtsprechung

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

Datenschutzrechts-Update 19.06.2024

 

Rechtsprechung des EuGH

EuGH 13.06.2024, C-229/23, HYA ua II

Die bulgarische Staatsanwaltschaft (StA) stellte mehrere Anträge auf Telefonüberwachung betreffend vier Personen, die schwerer Straftaten verdächtigt wurden. Die Anträge der StA enthielten detaillierte individualisierte Begründungen. Genehmigt wurden die Anträge am Einreichungstag vom zuständigen Gericht mittels Textvorlage ohne individualisierte Begründung. Die Zulässigkeit dieser Vorgehensweise nach dem Unionsrecht wurde im Verfahren HYA ua I (EuGH 16.02.2023, C-349/21) bejaht. Das nun mit der Sache befasste Gericht stieß bei der Anwendung der vom EuGH festgehaltenen Grundsätze auf Schwierigkeiten. Gerichtliche Genehmigungen haben nach dem bulgarischen Recht ausdrücklich eine schriftliche Begründung zu enthalten, während nach dem Unionsrecht eine standardisierte gerichtliche Genehmigung in bestimmten Fällen ausreicht.

Vor diesem Hintergrund fragte das vorlegende Gericht den EuGH, ob nationale Rechtsvorschriften, die die ausdrückliche Angabe von schriftlichen Gründen in der gerichtlichen Genehmigung verlangen, unangewendet zu lassen sind.

Der EuGH hat erwogen: Das Urteil HYA ua I kann nicht dahin ausgelegt werden, dass damit ein Begründungsmodell entwickelt worden ist, welches die bulgarischen Behörden verpflichten würde, Bestimmungen des nationalen Rechts zur Genehmigung von Überwachungsmaßnahmen unangewendet zu lassen, weil sie mit dem Unionsrecht unvereinbar sind. Eine nationale Regelung, nach der gerichtliche Entscheidungen zur Genehmigung von Überwachungsmaßnahmen selbst eine ausdrückliche schriftliche Begründung enthalten müssen, entspricht den Anforderungen des Unionsrechts. Nationale Gerichte sind nicht verpflichtet, eine solche Regelung unangewendet zu lassen.

Die Anforderungen an eine ausreichende Begründung dürfen vom nationalen Recht nicht untergraben werden. Die Mitgliedstaaten sollen aber nicht von höheren nationalen Anforderungen abweichen, auch wenn dies das Unionsrecht zulassen würde.

EuGH Schlussanträge 13.06.2024, C-80/23, Ministerstvo na vatreshnite raboti

Über die Beschuldigte eines vorsätzlichen Verbrechens sollte eine Polizeiakte angelegt werden, die auch biometrische und genetische Daten erfassen sollte. Die Beschuldigte verweigerte die Zustimmung dazu, woraufhin die Polizei die zwangsweise Erstellung der Akte bei einem bulgarischen Gericht beantragte. Das Gericht hatte Zweifel an der Zulässigkeit und der Vereinbarkeit der entsprechenden bulgarischen Regelung mit den Anforderungen der Richtlinie 2016/680, insbesondere hinsichtlich der Verarbeitung sensibler Daten, und legte dem EuGH zwei Fragen zur Vorabentscheidung vor.

Der Generalanwalt hat erwogen: Die Richtlinie 2016/680 verlangt, dass die Verarbeitung besonderer Kategorien personenbezogener Daten nur in einer stark begrenzten Anzahl von Fällen als "unbedingt erforderlich", und damit zulässig, angesehen werden darf. Die Erforderlichkeit ist für den jeweils eindeutig festgelegten Zweck zu bestimmen. Die Prinzipien der Richtlinie (insb Datenminimierung) sind besonders streng zu prüfen.

Die bulgarische Regelung lässt keinen Raum für eine wirksame Beurteilung der "Erforderlichkeit" durch die zuständigen Behörden, sondern erst durch das überprüfende Gericht. Das führt zu einer diskriminierenden und generalisierten Erhebung der biometrischen und genetischen Daten der meisten beschuldigten Personen, unabhängig von der Art und Schwere der Straftat, der sie beschuldigt werden, und von den besonderen Umständen des Falles. Deshalb ist die bulgarische Regelung mit Art 10 der Richtlinie 2016/680 nicht vereinbar.

Rechtsprechung des OGH

OGH 26.04.2024, 6Ob210/23k

Ein Polizist wurde bei einer Demonstration fotografiert und gefilmt. Das Video wurde auf Facebook veröffentlicht. Der Polizist wurde nicht nur des Amtsmissbrauchs bezichtigt, sondern es wurde auch zur Weiterverbreitung aufgerufen, woraufhin ein Shitstorm losbrach. Tatsächlich war der Polizist nur Glied einer polizeilichen Absperrkette und an der behaupteten Amtshandlung überhaupt nicht beteiligt. Der Beklagte teilte das Bild des Polizisten samt herabsetzendem Text auf seinem Facebook-Profil ohne Prüfung auf den Wahrheitsgehalt. Der Polizist begehrte Ersatz für den immateriellen Schaden, den er aufgrund des Shitstorms erlitten hat. Der OGH sprach ihm EUR 3.000 zu.

Der OGH hat erwogen: Schadenersatz nach der DSGVO verlangt nicht nur einen schuldhaften Verstoß gegen die jeweiligen Rechtsvorschriften und den Eintritt eines Schadens, sondern auch einen Kausalzusammenhang zwischen Verstoß und eingetretenem Schaden.

Ein Shitstorm ist ein "Sturm der Entrüstung im virtuellen Raum" mit zum Teil beleidigenden Äußerungen gegen eine Person, der durch das Zusammenwirken vieler Menschen entsteht. Ein Einzelner kann einen Shitstorm nur lostreten oder daran teilnehmen, ihn aber nicht allein bewirken. Die Schlagkraft eines Shitstorms liegt in der öffentlichen Schmähung durch viele Personen, die vom Opfer als ungerechte Verurteilung durch die Allgemeinheit erlebt wird.

Jeder Teilnehmer an einem Shitstorm begeht durch das Teilen des Postings allein eine Datenschutz- und Bildnisschutzverletzung, die einen ideellen Schaden des Polizisten verursacht. Allerdings verursacht ein Shitstorm einen anderen Schaden, der zusätzliche Ängste auslöst, insbesondere über die Verbreitung und über zukünftige Anwürfe. Die Entwicklung des Schadens ist nicht linear, weil jede schädigende Handlung in Kombination mit dem Aufruf zur Weiterverbreitung ein weiteres Verbreiterungs- und damit Schadenspotenzial eröffnet. Die Schadensentwicklung ist damit potenziell exponentiell, sodass sich der Gesamtschaden nicht in begrenzt bewertbare Einzelschäden zerteilen lässt.

Die Unaufklärbarkeit der Verursachung eines bestimmten Schadens durch einen einzelnen Beitrag führt nicht zur Entlastung des einzelnen Täters. Der Geschädigte kann den Ersatz für den gesamten Schaden im Wege der Solidarhaftung auch nur von einem Schädiger verlangen, wenn er behauptet und belegt, Opfer eines Shitstorms (gewesen) zu sein. Die Schwierigkeit, andere Schädiger ausfindig zu machen und das Risiko der Uneinbringlichkeit ist von den Schädigern zu tragen. Die einzelnen Teilnehmer am Shitstorm haben die Schadensaufteilung im Regressweg untereinander vorzunehmen.

Der Schaden des Polizisten besteht in der (i) Schädigung des Rufs sowie (ii) empfindlichen Kränkung und der dadurch bewirkten Ängste und Sorgen. Die Bemessung des Schadens ist gemäß § 273 ZPO vorzunehmen. Der Polizist hat zwar bereits Zahlungen erhalten, dennoch erhält der Polizist beim Zuspruch von (weiteren) EUR 3.000 nicht mehr als EUR 5.000. Der gesamte Zahlungsanspruch ist unzweifelhaft berechtigt.

OGH 15.05.2024, 6Ob20/24w

Im Rahmen eines Pflegschaftsverfahrens erachtete sich eine Mutter in ihrem Recht auf Geheimhaltung verletzt und begehrte ggü dem Bund die Feststellung einer Datenschutzverletzung nach § 85 Gerichtsorganisationsgesetz (GOG). Das Erstgericht wies den Antrag teilweise zurück und teilweise ab. Hiergegen wandte sich die Mutter mittels Rekurs an den OGH. Mangels Vorliegens einer erheblichen Rechtsfrage wies der OGH den Antrag der Mutter zurück.

Der OGH hat erwogen: Die Zulässigkeit des Zugangs zum OGH setzt das Vorliegen einer erheblichen Rechtsfrage nach § 85 Abs 5 GOG voraus. Über eine Beschwerde wegen einer Verletzung im Grundrecht auf Datenschutz im Rahmen der justiziellen Tätigkeit ist grundsätzlich im Verfahren außer Streitsachen zu entscheiden. Während ein Antrag im Verfahren außer Streitsachen kein bestimmtes Begehren enthalten muss, stellt § 85 Abs 3 GOG höhere Anforderung an die Präzisierungspflicht eines Beschwerdeführers. Diesen Mindestinhalt in Form einer Angabe, worin die Mutter konkret eine Verletzung in ihrem Recht auf Geheimhaltung sieht, lässt ihr Antrag vermissen. Vielmehr erschöpfte sich das Vorbringen der Mutter in der Pauschalbehauptung, vertrauliche Unterlagen aus Gerichtsakten, die ihre Person betreffen, seien an verfahrensunbeteiligte Dritte weitergegeben worden.

Bereits das Erstgericht hielt fest, dass das Vorbringen der Mutter mangels Konkretisierung nicht überprüfbar sei. Nachdem die Mutter im Rahmen des Rekurses nicht dargelegt hat, warum diese Beurteilung unrichtig sein sollte – und lediglich auf "inkriminierte Handlungen/Vorgänge" verwiesen hat –, vermag das Rechtsmittel der Mutter keine erhebliche Rechtsfrage anzusprechen.

Die Bemessung des immateriellen Schadenersatzes erfolgt nicht im Wege der Rechnungslegung, sondern im Wege des § 273 ZPO (OGH 15.05.2024, 6Ob43/24b).

Rechtsprechung des BVwG

BVwG 23.05.2024, W298 2255416-1

Ein Berufsdetektiv hat im Zuge einer Observierung auch Bilder von der Lebensgefährtin der auftragsgemäß zu überwachenden Person (Zielperson) angefertigt, die Beschwerde bei der DSB erhob. Die DSB stellte einen Verstoß gegen das Recht auf Geheimhaltung fest. Der Detektiv erhob Bescheidbeschwerde an das BVwG, das diese abwies.

Das BVwG hat erwogen: Der Detektiv hat die personenbezogenen Bilddaten der Lebensgefährtin ohne Rechtfertigungsgrund verarbeitet. Die Lebensgefährtin war auf den Fotos zu erkennen und wurde auch bezeichnet (Zielperson 2). Die Lebensgefährtin war sohin zumindest identifizierbar, weshalb der Detektiv ihre personenbezogenen Daten verarbeitet hat. Der Detektiv hatte kein berechtigtes Interesse an der Verarbeitung dieser Daten, weil er damit seinen Auftrag, die eigentliche Zielperson zu observieren, überschritten hat. Die Beobachtung und das Fotografieren der Lebensgefährtin waren weder für die Ausübung seines Gewerbes als Berufsdetektiv noch für die Wahrung der Interessen seines Auftraggebers erforderlich. Zudem überwog das Geheimhaltungsinteresse der Lebensgefährtin.

BVwG 28.08.2023, W214 2226813-1

Ein Fluggast brachte eine Datenschutzbeschwerde bei der DSB ein, weil er sich durch den Bundesminister für Inneres (BMI) in seinem Recht auf Geheimhaltung verletzt sah. Der BMI soll seine personenbezogenen Daten auf Grundlage des PNR-Gesetzes für die Flüge zwischen Wien und Brüssel verarbeitet haben, ohne dass ein begründeter Verdacht vorlag. Da die Verarbeitung verdachtsunabhängig erfolgt sei, war nach Ansicht des Fluggastes keine taugliche Rechtsgrundlage gegeben. Die DSB hielt fest, dass die Verarbeitung ausdrücklich gesetzlich vorgesehen ist und bloß die im PNR-G vorgesehen Daten verarbeitet wurden. Zu prüfen, ob das PNR-G grundrechtskonform ist, obliege nicht der DSB. Die DSB wies die Datenschutzbeschwerde daher ab. Daraufhin erhob der Fluggast Bescheidbeschwerde an das BVwG. Das BVwG setzte das Verfahren bis zur Vorabentscheidung des EuGH vom 21.06.2022, C-817/19, Ligue des droits humains, aus und wies die Bescheidbeschwerde in weiterer Folge ab.

Das BVwG hat erwogen: Eine Verarbeitung personenbezogener Daten iSd 3. Hauptstücks des DSG ist erfolgt. Die verarbeitende Behörde ist eine zuständige Behörde iSd § 36 Abs 2 Z 7 DSG. Bei den verarbeitenden Fluggastdaten handelt es sich um personenbezogene Daten iSd § 36 Abs 2 Z 1 DSG. Nach dem 3. Hauptstück des DSG ist eine Verarbeitung rechtmäßig, soweit sie gesetzlich vorgesehen ist und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist. § 4 Abs 1 PNR-G enthält eine Ermächtigung für die beim BMI eingerichteten Fluggastdatenzentralstelle, die bei ihr eingelangten Fluggastdaten mit Daten aus Fahndungsevidenzen und sonstigen sicherheitspolizeilichen Datenverarbeitungen abzugleichen und das Ergebnis gemeinsam mit den Fluggastdaten zu verarbeiten, wenn dies der Vorbeugung oder Verfolgung von gerichtlich strafbaren Handlungen dient.

Bei Situationen und Ergebnissen, die zu einer erhöhten Gefährdungslage führen können, darf der BMI auf der Grundlage von § 2 Abs 5 PNR-G Verordnungen erlassen. Die auf dieser Grundlage erlassene Verordnung (die PNR-V) sah eine Erstreckung des PNR-G auf EU-Flüge für einen Zeitraum von sechs Monaten vor und wurde dreimal jeweils um sechs Monate verlängert.

Laut dem EuGH darf die Verarbeitung der Fluggastdaten nur dann auf die PNR-RL und somit auf die PNR-V gestützt werden, wenn der Mitgliedstaat zum Zeitpunkt der Verarbeitung mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert war. Da der BMI glaubhaft ausführte, dass zu dem Zeitpunkt aufgrund islamistisch motivierter Terroranschläge und des Anstiegs in der Jihadisten-Szene eine solche Bedrohung vorlag, war die Verarbeitung erforderlich und verhältnismäßig. Zudem war die PNR-V zeitlich befristet und somit ein auf das absolut Notwendige beschränkte Mittel zur Terrorismusbekämpfung.

Die Zurückweisung einer Datenschutzbeschwerde ist rechtmäßig, wenn (i) die Datenschutzbeschwerde mangelhaft und der Verbesserungsauftrag daher erforderlich war, (ii) der Verbesserungsauftrag den gesetzlichen Anforderungen entsprach und (iii) der Mangelbehebungsauftrag nicht befolgt wurde. Der Betroffene machte Verletzungen in den Rechten auf Berichtigung und Geheimhaltung geltend. Zur Geltendmachung der Verletzung im Recht auf Berichtigung hätte der Betroffene die Vorkorrespondenz mit dem Verantwortlichen, in der dieses Recht ausgeübt wurde, vorzulegen gehabt. Da der Betroffene auch nach erfolgtem Verbesserungsauftrag keine Vorkorrespondenz vorlegte, war die Zurückweisung der Datenschutzbeschwerde in diesem Punkt rechtmäßig. Hinsichtlich des Geheimhaltungsrechts war die Datenschutzbeschwerde jedoch nicht mangelhaft, weshalb der Zurückweisungsbescheid der DSB zu beheben war (BVwG 16.04.2024, W605 2285496-1).

Eine Datenschutzbeschwerde ist zurückzuweisen, wenn ihr Angaben (i) zum für verletzt erachteten Recht, (ii) zum Rechtsträger, dem die Rechtsverletzung zugerechnet wird, (iii) zur Rechtzeitigkeit sowie (iv) das Begehren, die Rechtsverletzung festzustellen, fehlen. Die DSB hat im Rahmen ihrer gesetzlichen Pflicht gehandelt, indem sie einen Verbesserungsauftrag erteilt hat (BVwG 10.04.2024, W605 2275708-1).

Das Informationsschreiben zur dritten Corona-Schutzimpfung war keine Maßnahme des Krisenmanagements gemäß § 24d Abs 2 Z 5 GTelG 2012, weshalb die Abfrage der Daten aus dem Impfregister nicht darauf gestützt werden konnte (BVwG 23.05.2024, W298 2261884-1).

Die Trägerin einer Pensionsversicherung darf Gutachten, die für die Gewährung einer Berufsunfähigkeitspension erstellt wurden, einschließlich der darin befindlichen Gesundheitsdaten, an das AMS übermitteln (BVwG 16.05.2024, W252 2276589-1).

Die DSB lehnte die Behandlung der Datenschutzbeschwerde als "exzessiv" iSd Art 57 Abs 4 DSGVO ab, weil der Betroffene innerhalb von zwei Jahren 42 Beschwerdeverfahren vor der DSB anstrengte. Der VwGH legte dem EuGH die Frage vor, wie der Begriff "exzessiv" iSd Art 57 Abs 4 DSGVO auszulegen ist. Bis zur Entscheidung des EuGH war das Verfahren daher auszusetzen (BVwG 15.05.2024, W108 2284624-2).

Die DSB lehnte die Behandlung der Datenschutzbeschwerde als "exzessiv" iSd Art 57 Abs 4 DSGVO ab, weil der Betroffene innerhalb von 50 Monaten 19 Datenschutzbeschwerden gegen die Einzelabrechnungen einer Immobilienkanzlei einbrachte. Der VwGH legte dem EuGH die Frage vor, wie der Begriff "exzessiv" iSd Art 57 Abs 4 DSGVO auszulegen ist. Bis zur Entscheidung des EuGH war das Verfahren daher auszusetzen (BVwG 10.04.2024, W605 2284124-1).

Rechtsprechung der DSB

DSB 06.10.2023, 2023-0.273.912

Nachdem das E-Mail-Postfach eines Arztes und des von ihm geführten Labors kompromittiert wurde, gelangte eine Excel-Liste mit tausenden COVID19-PCR-Test-Ergebnissen und personenbezogenen Daten an zwei Medienunternehmen. Nachdem die Medienunternehmen über die geleakten Ergebnisse berichteten, beantragte das Labor die Löschung der E-Mail und nach Ablehnung durch die Medienunternehmen stellten der Arzt und das Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht vollständig nachkamen. Vor diesem Hintergrund brachten der Arzt und das Labor Datenschutzbeschwerde bei der DSB ein. Der Arzt behauptete eine Verletzung in seinem Recht auf Auskunft und das Labor in seinem Recht auf Löschung, Geheimhaltung und Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie gemäß § 9 DSG dem Medienprivileg unterliegen würden und den Arzt und das Labor nicht in ihren Rechten verletzt hätten. Die DSB wies die Datenschutzbeschwerde mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin der Arzt und das Labor eine Bescheidbeschwerde beim BVwG einbrachten. Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein, welches zur Aufhebung des § 9 Abs 1 DSG wegen Verfassungswidrigkeit führte. Aufgrund der Anlassfallwirkung war § 9 Abs 1 DSG bereits vor dessen Außerkrafttreten am 01.07.2024 auf den vorliegenden Fall nicht anzuwenden.

Die DSB hat erwogen: Das Labor ist als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre. Nachdem das Medienunternehmen dem Löschersuchen nicht nachgekommen ist, hat das Labor seinen Antrag gewechselt und Auskunft darüber verlangt, welche Daten zu welchem Zweck verarbeitet werden und an wen diese übermittelt wurden. Damit bestand zum Zeitpunkt der Beschwerdeerhebung kein aufrechtes Löschungsersuchen, weshalb das Recht auf Löschung nicht verletzt wurde. Selbst bei einem aufrechten Löschungsersuchen würde gemäß Art 17 Abs 3 lit a DSGVO kein Löschungsrecht bestehen, soweit die Datenverarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Da die E-Mail das Kernelement der Medienberichterstattung war, würde dessen Löschung den Kerninhalt der Berichterstattung vernichten.

Im Hinblick auf die Auskunftsersuchen ist die Verweigerung dann gerechtfertigt, wenn die Geheimhaltungsinteressen der Medienunternehmen gegenüber dem Auskunftsinteresse des Arztes und des Labors überwiegen, wobei die Interessenabwägung für jede Datenart gesondert erfolgen muss. Eines der Medienunternehmen erteilte dem Arzt zwar eine Auskunft über seine Stammdaten. Über die im Zusammenhang mit der Medienberichterstattung verarbeiteten Daten erteilte das Medienunternehmen jedoch keine Auskunft, wodurch es den Arzt in seinem Recht auf Auskunft verletzt hat.

Die Herkunft personenbezogener Daten ist gemäß § 31 Abs 1 MedienG von Medienunternehmen nicht zu beauskunften, wenn die Daten die Person des Verfassers, Einsenders oder Gewährsmannes betreffen. Das Medienunternehmen hat die Auskunft darüber also zu Recht verweigert. Das zweite Medienunternehmen erteilte dem Arzt bloß Auskunft im Zusammenhang mit seiner Digital-Sat-Karte, nicht jedoch hinsichtlich der Medienberichterstattung und verletzte ihn somit ebenfalls in seinem Recht auf Auskunft.

Da das Labor an beide Medienunternehmen das gleiche Auskunftsersuchen gestellt hat, war eine einheitliche Vorgehensweise der Medienunternehmen hinsichtlich der Löschung der der Berichterstattung zugrundeliegenden Nachricht geboten. Der Austausch zwischen den Medienunternehmen über die an sie gerichteten Auskunftsersuchen lag im Schutzbereich der Meinungsäußerungs-/Informationsfreiheit. Das Recht der Medienunternehmen überwiegt dem Interesse des Labors auf Schutz seiner personenbezogenen Daten. Daher wurde das Labor durch den Informationsaustausch zwischen den Medienunternehmen in seinem Recht auf Geheimhaltung nicht verletzt.

Vorschau EuGH-Rechtsprechung

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

Datenschutzrechts-Update 12.06.2024

 

Rechtsprechung des EGMR

Der EGMR hatte sich mit Inhaltsdaten, die aus einem Mobiltelefon stammten, auseinanderzusetzen. Eine Anwältin händigte ihr Mobiltelefon "freiwillig" einem Untersuchungsrichter aus. Da das Mobiltelefon extensiv durchsucht wurde, stellte der EGMR neben einer Verletzung des Rechts auf Geheimhaltung der Korrespondenz und des Privatlebens auch eine Verletzung des Anwaltsgeheimnisses fest (EGMR 06.06.2024, 36559/19, Bersheda/Monaco).

Rechtsprechung des EuGH

EuGH Schlussanträge 06.06.2024, C-169/23, Masdi

Eine Betroffene erhielt von einer Regierungsbehörde ein Immunitätszertifikat für ihre Covid-19-Impfung. Einige darin enthaltene Daten (zB Seriennummer, Gültigkeitsdauer, QR-Code) wurden nicht bei der Person selbst erhoben oder von einer anderen Organisation erlangt, sondern von der Regierungsbehörde selbst erzeugt. Die Betroffene monierte, dass ihr kein Datenschutzhinweis bereitgestellt wurde. Die zuständige Aufsichtsbehörde wies ihre Beschwerde zurück, weil die Ausnahme nach Art 14 Abs 5 lit c DSGVO gelte, sodass die Verantwortliche nicht zur Informationserteilung verpflichtet gewesen sei. Das Rechtsmittelgericht gab der Klage der Betroffenen statt, weil die Daten von der Behörde selbst erzeugt wurden und die Ausnahme daher nicht greife. Das vorlegende Gericht befragte den EuGH zur Auslegung des Art 14 Abs 5 lit c DSGVO.

Der Generalanwalt hat erwogen: Art 14 Abs 5 lit c DSGVO enthält keine Einschränkung hinsichtlich einer bestimmten Art der Verarbeitung oder der Methode, mit der Verantwortliche die Daten erlangen. Diese Ausnahmeregelung gilt daher sowohl für Daten, die von anderen Einrichtungen stammen als auch für solche, die von Verantwortlichen selbst erzeugt wurden. Die durch die Mitgliedstaaten gewählten alternativen Unterrichtungswege für Betroffene müssen aber ebenso sicherstellen, dass diese Kontrolle über ihre Daten ausüben und ihre Rechte nach der DSGVO wahrnehmen können. Betroffene müssen daher wissen, von wem sie Informationen über die Verarbeitung ihrer Daten erhalten.

Aufsichtsbehörden sind zur Prüfung befugt, ob alle Voraussetzungen des Art 14 Abs 5 lit c DSGVO erfüllt sind. Insbesondere sind sie zur Prüfung der Frage berechtigt, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Sind die Voraussetzungen nicht erfüllt, darf die Aufsichtsbehörde Verantwortliche anweisen, der Betroffenen die in Art 14 Abs 1 bis 4 DSGVO genannten Informationen bereitzustellen. Eine solche Anweisung berührt nicht die Gültigkeit der Rechtsvorschrift, an die Verantwortliche gebunden sind.

Ist die Aufsichtsbehörde der Ansicht, dass die fragliche Rechtsvorschrift ungültig ist, kann sie ein nach nationalem Recht vorgesehenes Gerichtsverfahren anstrengen. Sieht die einschlägige Rechtsvorschrift keine geeigneten Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vor, ist die Aufsichtsbehörde befugt, der Legislative oder der Exekutive zu raten, die einschlägige Rechtsvorschrift zu ändern.

Der Begriff der "geeigneten Maßnahmen" ist im Licht des Transparenzgrundsatzes auszulegen. Unter der Ausnahmeregelung des Art 14 Abs 5 lit c DSGVO übernimmt das nationale Recht die Informationspflicht des Verantwortlichen. Es obliegt daher dem Gesetzgeber, je nach Kategorie der erlangten Daten und dem Kontext, in dem die Verarbeitung stattfindet, geeignete Maßnahmen zu bestimmen und dadurch für eine faire und transparente Verarbeitung zu sorgen.

Damit die Betroffene eine Risikoeinschätzung der Datenverarbeitung vornehmen kann, muss sie in der Lage sein, einfach nachlesen zu können, wer die Daten aus welchem Grund und auf welche Weise verarbeitet. Die Mitgliedstaaten können dabei spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen. Der nationale Gesetzgeber hat aber nicht die in Art 32 DSGVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit umzusetzen.

Rechtsprechung des BVwG

BVwG 02.09.2022, W292 2255476-1

Eine politisch aktive Bürgerin reichte im Rahmen der öffentlichen Auflage eines Stadtentwicklungsplans per E-Mail eine Stellungnahme ein. Diese Stellungnahme veröffentlichte sie auch selbst auf einer eigenen Homepage. Darin enthalten war ihr Name und ihre Privatadresse. Der Magistrat der Stadt veröffentlichte in Vorbereitung auf eine Gemeinderatsitzung auf der städtischen Internetseite einen Bericht, der die Stellungnahme der Bürgerin inklusive Name und Privatadresse enthielt. Durch die Veröffentlichung erachtete die sich Bürgerin in ihrem Recht auf Geheimhaltung verletzt und brachte Datenschutzbeschwerde bei der DSB ein. Die Stadt sah die Veröffentlichung als rechtmäßig an, weil es eine ausreichende Rechtsgrundlage für die Veröffentlichung gab. Zudem seien die Daten aufgrund der Veröffentlichung allgemein zugänglich, weswegen kein Geheimhaltungsinteresse der Bürgerin bestehe. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob der Magistrat der Stadt (erfolglose) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Das Grundrecht zum Schutz personenbezogener Daten ist in Art 8 der Europäischen Grundrechtecharta (GRC) geregelt. Der Anwendungsbereich knüpft an die Verarbeitung personenbezogener Daten an. Eine Ausnahme des Anwendungsbereichs betreffend "allgemein verfügbare Daten" kennt die GRC nicht. Das DSG sieht in § 1 DSG als zusätzliches Anwendungskriterium die Schutzwürdigkeit des Geheimhaltungsinteresses vor. Die DSGVO enthält dieses Kriterium jedoch nicht und es besteht auch keine Öffnungsklausel für eine solche Regelung. Die Ausnahmeregelung des § 1 DSG wird sohin aufgrund des Anwendungsvorrangs vom Unionsrecht verdrängt. Eine Veröffentlichung von Daten an einer anderen Stelle im Internet steht einem berechtigten Geheimhaltungsinteresse nicht entgegen.

Art 6 Abs 1 lit e DSGVO unterscheidet zwei Rechtfertigungstatbestände, zum einen eine Aufgabe im öffentlichen Interesse und zum anderen eine Aufgabe in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde. Die Verarbeitung muss in beiden Fällen zur Wahrnehmung der Aufgabe erforderlich sein. Die Erforderlichkeit ist dabei eng mit dem Grundsatz der Datenminimierung in Art 5 Abs 1 lit c DSGVO verbunden.

Die landesgesetzlichen Bestimmungen der §§ 24 Abs 4, Abs 6, Abs 26 NÖ STROG 2014 und § 24 Abs 9 NÖ ROG 2014 enthalten keinen gesetzlichen Auftrag oder eine Ermächtigung, anlässlich des Begutachtungsprozesses oder im Zuge der Vorbereitung von Gemeinderatssitzungen sowie der Durchführung von Gemeinderatssitzungen in Stellungnahmen enthaltene personenbezogene Daten zu veröffentlichen.

BVwG 19.04.2024, W287 2251990-1

Eine Wohnungseigentümerin richtete eine E-Mail an ihre Hausverwaltung, um Aufklärung über Ungereimtheiten bei Betriebskostenabrechnungen zu fordern. Die Hausverwaltung leitete diese E-Mail an das von ihr beauftragte Hausbetreuerunternehmen weiter, um eine Stellungnahme zu den bemängelten Rechnungen zu erhalten. Dadurch wurden dem Hausbetreuerunternehmen Name, E-Mail-Adresse und Inhalt der E-Mail der Wohnungseigentümerin offengelegt. Als die Wohnungseigentümerin von der Weiterleitung erfuhr, erhob sie Datenschutzbeschwerde bei der DSB, der die DSB stattgab. Die Bescheidbeschwerde der Hausverwaltung blieb erfolglos.

Das BVwG hat erwogen: Die Hausverwaltung übermittelte personenbezogene Daten der Wohnungseigentümerin (Name, E-Mail-Adresse und Inhalt der E-Mail) an das Hausbetreuungsunternehmen. Diese Daten sind eindeutig der Wohnungseigentümerin zuzuordnen und nicht allgemein verfügbar, weshalb sie ein schutzwürdiges Interesse an diesen Daten hat. Daran ändert auch die Tatsache nichts, dass dem Hausbetreuungsunternehmen Name und E-Mail-Adresse der Wohnungseigentümerin bereits vorher bekannt waren, zumal auch die spezifische Information über die Beanstandung der Abrechnung des Hausbetreuungsunternehmens offengelegt wurde.

Die Wohnungseigentümerin willigte in die Datenverarbeitung nicht ein. Die bloße Bitte, die Themen mit dem Hausbetreuungsunternehmen zu klären, ist keine Einwilligung. Auch eine allgemeine Datenschutzklausel im Wohnungseigentumsvertrag erfüllt nicht die spezifischen Anforderungen an eine Einwilligung. Zur Erfüllung vertraglicher Verpflichtungen war die Datenverarbeitung nicht notwendig, weil eine Klärung der Anliegen auch ohne Offenlegung der Identität erfolgen kann.

Die Hausverwaltung kann sich auch nicht auf ein allfälliges berechtigtes Interesse berufen, weil eine anonymisierte Klärung der Fragen möglich gewesen wäre. Zudem verfügte die Wohnungseigentümerin über die Kontaktdaten des Hausbetreuerunternehmens selbst. Sie hätte daher die Themen auf direktem (nicht anonymen) Weg mit dem Hausbetreuerunternehmen klären können, wenn sie das gewollt hätte.

BVwG 19.04.2024, W287 2276988-1

Ein Betroffener ersuchte um die Löschung seiner bonitätsrelevanten Daten aus der Bonitätsdatenbank einer Kreditauskunftei. Die Kreditauskunftei kam dem Ersuchen nicht nach. Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB und machte die Verletzung seiner Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch geltend. Die Kreditauskunftei bot dem Betroffenen an, die Daten bloß für interne buchhalterische Zwecke zu speichern und nicht mehr an Dritte weiterzugeben. Nachdem die siebenjährige abgabenrechtliche Aufbewahrungsfrist verstrichen war, löschte die Kreditauskunftei die bonitätsrelevanten Daten des Betroffenen gänzlich. Der Betroffene hielt an seiner Datenschutzbeschwerde jedoch weiterhin fest, weil die Löschung zu spät erfolgt sei. Die DSB wies die Datenschutzbeschwerde als unbegründet ab, woraufhin der Betroffene eine (erfolglose) Bescheidbeschwerde erhob.

Das BVwG hat erwogen: Das Recht auf Löschung umfasst kein Recht auf Feststellung vergangener, inzwischen behobener Rechtsverletzungen. Sobald die Löschung vom Verantwortlichen durchgeführt ist, hat der Betroffene sein Rechtsschutzziel erreicht. Die Kreditauskunftei ist dem Löschungsersuchen nachgekommen, womit der Betroffene im Entscheidungszeitpunkt durch die DSB in seinem Recht auf Löschung nicht mehr verletzt war. Die Möglichkeit, eine Schadenersatzklage vor den ordentlichen Gerichten einzubringen, wird dadurch nicht eingeschränkt, weil ein Feststellungsbescheid der DSB keine Voraussetzung für eine solche Klage ist.

Die Rechte auf Berichtigung, Einschränkung der Verarbeitung und Widerspruch sind antragsbedürftige Rechte. Da der Betroffene lediglich einen Antrag auf Löschung der ihn betreffenden bonitätsrelevanten Daten gestellt hat, wurde er in diesen Rechten nicht verletzt. Auch ergab sich keine Verpflichtung der Kreditauskunftei, die Daten von sich aus zu berichtigen.

Anm: In der verwaltungsrechtlichen Rechtsprechung wird zwischen "antragsbedürftigen Rechten" und solchen Rechten unterschieden, die ohne vorherigen Antrag an den Verantwortlichen ausgeübt werden dürfen. Damit ist gemeint, dass vor dem Erheben einer Datenschutzbeschwerde ein Ersuchen um Auskunft, Löschung, Berichtigung, Vervollständigung, Einschränkung der Verarbeitung an den Verantwortlichen zu stellen oder ein Widerspruch beim Verantwortlichen einzulegen ist. Bei den Rechten auf Geheimhaltung oder hinsichtlich der Verletzung der Informationspflicht kann antragsunabhängig (= ohne vorherige Kontaktaufnahme mit dem Verantwortlichen)  eine Datenschutzbeschwerde erhoben werden.

Die Zurückziehung einer Beschwerde wird mit dem Zeitpunkt ihres Einlangens wirksam. Ab diesem Zeitpunkt ist – mangels einer aufrechten Beschwerde – die Pflicht des BVwG zur Entscheidung weggefallen und das Beschwerdeverfahren ist einzustellen. Der Beschwerdeverzicht (bzw die Zurückziehung der Beschwerde) ist unwiderruflich, weil es eine einseitige, verbindliche Prozesshandlung ist (BVwG 12.04.2024, W605 2280854-1).

Die Zulässigkeit einer Säumnisbeschwerde setzt die Säumnis der vor dem Verwaltungsgericht belangten Behörde voraus, deren Entscheidungspflicht geltend gemacht wird, und somit die Verpflichtung dieser Behörde, über den bei ihr eingebrachten Antrag mittels Bescheid zu entscheiden. Fehlt es an der Säumnis der Behörde, so ist die Säumnisbeschwerde zurückzuweisen. Da zum Zeitpunkt des Einbringens der Säumnisbeschwerde die DSB bereits mit Bescheid über den Antrag der Betroffenen vollständig abgesprochen hat, kann der DSB nicht vorgeworfen werden, ihre Entscheidungspflicht verletzt zu haben (BVwG 22.12.2022, W292 2246171-1).

Rechtsprechung der DSB

DSB 01.09.2022, 2022-0.616.013

Ein Minderjähriger richtete ein Auskunftsersuchen an ein Unternehmen, das dessen Daten im Rahmen eines Kundenbindungsprogramms verarbeitete. Das Unternehmen erteilte dem Minderjährigen die Auskunft und teilte gleichzeitig mit, dass die Mitgliedschaft aufgekündigt wurde, weil er – entgegen den zugrundeliegenden Teilnahmebedingungen – noch nicht volljährig sei. Der Minderjährige erachtete sich in seinem Recht auf Auskunft verletzt und erhob (erfolglose) Datenschutzbeschwerde bei der DSB.

Die DSB hat erwogen: Das Recht auf Auskunft ist auf jene Daten beschränkt, die zum Zeitpunkt des Einlangens des Auskunftsersuchens tatsächlich verarbeitet werden. Ein Recht auf Verarbeitung personenbezogener Daten kann aus der DSGVO nicht abgeleitet werden. Die Grundlage jeder datenschutzrechtlichen Auskunftserteilung ist der Istzustand an gespeicherten Personendaten und verfügbaren Informationen über deren Verwendung, nicht ein wie immer gearteter Sollzustand.

Das Unternehmen hat die Daten des Minderjährigen nach Auskunftserteilung gelöscht, weil es der Ansicht war, dass dessen Registrierung mangels Volljährigkeit nicht wirksam erfolgt war. Das Vorbringen des Minderjährigen, wonach er mit Vollendung seines 14 Lebensjahres in die Verarbeitung seiner Daten wirksam einwilligen könne, war irrelevant, weil die Frage der Wirksamkeit der datenschutzrechtlichen Einwilligung keinen Einfluss auf die Frage der (zivilrechtlich zu beurteilenden) Gültigkeit eines Vertragsabschlusses hat. Die Prüfung der Frage, ob das Unternehmen berechtigt war, das Vertragsverhältnis mit dem Minderjährigen zu beenden, fällt nicht in die Zuständigkeit der Datenschutzbehörde, sondern in die Zuständigkeit der Zivilgerichte.

Das Unternehmen hat dem Minderjährigen gesetzmäßig Auskunft über die zu seiner Person verarbeiteten Daten erteilt. Die gleichzeitig erteilte Information, dass nun eine Löschung dieser Daten erfolgen werde, ist keine Verletzung des Auskunftsrechts des Minderjährigen gemäß Art 15 DSGVO.

DSB 16.12.2021, 2021-0.816.492

Eine Betroffene stellte per E-Mail ein Auskunftsersuchen gemäß § 44 DSG über polizeiliche Eintragungen an den Bundesminister für Inneres (BMI). Der E-Mail war auch eine Kopie ihres Reisepasses angehängt und sie gab an, die Auskunft per E-Mail erhalten zu wollen. Der BMI versuchte zunächst, die Auskunft an die (aus dem Antrag hervorgehende) Anschrift zuzustellen, was aufgrund der Ortsabwesenheit der Betroffenen scheiterte. Nach einer ZMR-Abfrage versuchte der BMI eine erneute Zustellung an die neue Wohnadresse der Betroffenen, welche aus gleichem Grund erfolglos blieb. Die Betroffene brachte Datenschutzbeschwerde bei der DSB ein.

In seiner Stellungnahme an die DSB hielt der BMI fest, dass er als Behörde bei Zustellungen nach dem ZustG vorgehen müsse. Demnach sei eine Zustellung aus besonders wichtigen Gründen nach § 21 ZustG bloß zu eigenen Handen mittels RSa-Brief oder gemäß § 28 Abs 3 ZustG elektronisch mit Zustellnachweis durch Zustellsysteme möglich, wobei E-Mails keine zulässige Zustellform sind. Dadurch soll vor allem vermieden werden, dass Ersatzempfänger Kenntnis von strafrechtsrelevanten Daten erlangen. Da die Betroffene ihre Identität mit keiner Bürgerkarte nachgewiesen hat, konnte die Zustellung nicht elektronisch erfolgen. Die DSB gab der Datenschutzbeschwerde statt, weil der BMI nicht alle ihm zur Verfügung stehenden Maßnahmen ausgeschöpft hatte, um die Auskunft zuzustellen. Daraufhin brachte der BMI eine Bescheidbeschwerde bei der DSB ein und führte darin aus, dass er die Auskunft durch Hinterlegung sehr wohl zugestellt hat. Zudem brachte der BMI vor, dass keine Feststellung darüber getroffen wurde, ob er die Auskunft per E-Mail zustellen müsse. Die DSB änderte den Spruch ihres (weiterhin) stattgebenden Bescheides mit einer Beschwerdevorentscheidung ab.

Die DSB hat erwogen: Der Verantwortliche hat die Auskunft grundsätzlich in derselben Form, in der er das Auskunftsersuchen erhalten hat, zu übermitteln.

Der Verantwortliche muss alle Anstrengungen unternehmen, damit die Auskunft der Betroffenen tatsächlich zukommt. Dem BMI ist zwar zuzustimmen, dass er eine Behörde ist und daher der Anwendung des AVG und des ZustG unterliegt. Das 3. Hauptstück des DSG ist jedoch eine lex specialis. Einschlägig ist daher § 42 Abs 4 DSG, welcher im Lichte des Art 12 der "Datenschutz-RL für den Bereich Inneres und Justiz" auszulegen ist. Die Auskunft ist demnach in derselben Form, in der das Ersuchen gestellt wurde, zu erteilen. Eine Abweichung hiervon bedarf einer Begründung. Das ZustG steht einer Zustellung per E-Mail nicht entgegen. Da es zwei Zustellversuche zu eigenen Handen der Betroffenen gegeben hat, lagen keine Zweifel an der Identität dieser vor, weshalb die Auskunft per E-Mail zu erfolgen gehabt hätte.

Vorschau EuGH-Rechtsprechung

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Datenschutzrechts-Update 05.06.2024

 

Rechtsprechung des EGMR

EGMR 28.05.2024, 72038/17, Pietrzak/Polen

Fünf polnische Staatsbürger wendeten sich gegen die nationale Gesetzgebung zur geheimen Überwachung von Kommunikationsdaten. Die Beschwerdeführer waren Rechtsanwälte, Menschenrechtsaktivisten und Journalisten, die befürchteten, dass ihre berufliche und private Kommunikation von den polnischen Behörden überwacht und gespeichert wurde, ohne dass sie davon Kenntnis hatten oder dagegen vorgehen konnten. Sie machten geltend, dass die polnischen Rechtsvorschriften zur Vorratsdatenspeicherung von Kommunikationsdaten unverhältnismäßig und unklar waren sowie einer unzureichenden Aufsicht unterlagen und daher gegen ihre Rechte gemäß Art 8 EMRK sowie gegen ihr Recht auf einen wirksamen Rechtsbehelf verstießen. Der EGMR stellte eine Verletzung der Rechte der Staatsbürger fest.

Der EGMR hat erwogen: Die Staatsbürger sind potenzielle Opfer einer Verletzung der EMRK, weil sie einer ständigen Gefahr einer geheimen Überwachung ihrer Kommunikation ausgesetzt sind, die sich aus der bloßen Existenz und Anwendung der angegriffenen Rechtsvorschriften ergibt, ohne dass die Staatsbürger dies nachweisen oder dagegen vorgehen könnten.

Die geheime Überwachung von Kommunikationsdaten ist ein Eingriff in die Rechte gemäß Art 8 EMRK, der nur dann zulässig ist, wenn er gesetzlich vorgesehen ist, einem legitimen Zweck dient und in einer demokratischen Gesellschaft notwendig ist.

Die polnischen Regelungen zur Vorratsdatenspeicherung von Kommunikationsdaten sind zwar gesetzlich vorgesehen, genügen jedoch nicht den Anforderungen, die der EGMR in seiner Rechtsprechung entwickelt hat, um einen angemessenen Schutz vor willkürlichen Eingriffen zu gewährleisten.

Nicht ausreichend klar und präzise geregelt sind etwa die Kategorien von Personen, die der geheimen Überwachung unterliegen können, die Art und der Umfang der zu erfassenden Daten, die Dauer sowie die Bedingungen der Speicherung. Weiters ist keine wirksame gerichtliche oder parlamentarische Kontrolle der Überwachungsmaßnahmen vorgesehen.

Die Staatsbürger hatten auch keinen wirksamen Rechtsbehelf iSd Art 13 EMRK, um die Rechtmäßigkeit der geheimen Überwachung ihrer Kommunikationen überprüfen zu lassen.

EGMR 23.05.2024, 2507/19, Contrada/Italien

Ein (ehemaliger) Polizeibeamter geriet in den Fokus umfangreicher Ermittlungen zum Mord an einem anderen Polizisten. Die Staatsanwaltschaft (StA) wollte Verbindungen zwischen den mutmaßlichen Tätern und mafiösen Strukturen aufdecken und ordnete die Überwachung von fünf Telefonleitungen an, die der Polizeibeamte genutzt hat. Obwohl er nicht als Verdächtiger galt, vermutete die StA, dass der Polizeibeamte als ehemaliger Vorgesetzter der verdächtigen Polizisten und aufgrund seiner Kontakte wertvolle Informationen besaß. Die Ermittlungen gründeten auf der Annahme, dass der ermordete Polizist Teil einer geheimen Einheit des italienischen Geheimdienstes war, die gegen die Mafia operierte und durch Korruption unterwandert worden war. Der Polizeibeamte stand unter Verdacht, Informationen zurückzuhalten und nicht kooperativ zu sein, was die Überwachung seiner Telefonate begründete. Zudem hatten die nationalen Gerichte ihn bereits zuvor wegen Unterstützung der mafiösen Organisation "Cosa Nostra" verurteilt. Der Polizeibeamte erfuhr erst durch einen Durchsuchungsbeschluss für seine Wohnung über die Abhörmaßnahmen.

In seiner Beschwerde an den EGMR behauptete der Polizeibeamte, wegen des Durchsuchungsbeschlusses und des Abhörens der Telefone in seinen Rechten gemäß Art 8 EMRK verletzt worden zu sein. Der EGMR stellte eine Verletzung des Art 8 EMRK in Bezug auf das Abhören der Telefone fest und sprach dem Polizeibeamten eine Entschädigung iHv EUR 9.000 zu.

Der EGMR hat erwogen: Nach italienischem Recht kann ein Durchsuchungsbefehl gerichtlich überprüft werden, sofern dabei eine Beschlagnahme von Gegenständen erfolgt. Der Polizeibeamte hätte die Durchsuchungsanordnung bekämpfen und beschlagnahmte Gegenstände zurückerhalten können. Der Polizeibeamte beantragte jedoch keine gerichtliche Überprüfung. Seine Beschwerde war daher hinsichtlich des Durchsuchungsbeschlusses unzulässig, weil er die innerstaatlichen Rechtsmittel nicht ausgeschöpft hat.

Das Abhören der Telefone verletzte jedoch den Polizisten in seiner Privatsphäre. Nach italienischem Recht müssen die Parteien eines Verfahrens nach Abschluss der Abhörmaßnahmen sofort informiert werden. Weiters muss ihnen Zugang zu den entsprechenden Aufnahmen und Transkripten sowie zu allen relevanten gerichtlichen Entscheidungen gewährt werden, damit sie die Rechtmäßigkeit dieser Maßnahmen anfechten können. Diese nachträgliche Benachrichtigung ist jedoch für Personen, deren Kommunikation abgehört wurde, die an den Verfahren aber nicht beteiligt waren, nicht vorgesehen. Folglich erhielt der Polizeibeamte keine Benachrichtigung über die Abhörmaßnahmen, weshalb er die Rechtmäßigkeit der Maßnahme nicht überprüfen lassen konnte.

Das italienische Recht bietet somit keine hinreichenden Garantien gegen Missbrauch für Personen, die abgehört werden, aber nicht verdächtigt oder angeklagt sind. Aufgrund dieser Mängel genügt das italienische Gesetz den Anforderungen des Art 8 EMRK nicht und ist auch nicht geeignet, die Beeinträchtigung auf das "in einer demokratischen Gesellschaft notwendige" Maß zu beschränken.

Rechtsprechung des EuGH

EuGH Schlussanträge 30.05.2024, C-200/23, Agentsia po vpisvaniyata

Der Gesellschaftsvertrag einer GmbH bulgarischen Rechts, der gesetzlich nicht erforderliche personenbezogene Daten einer Gesellschafterin enthielt, wurde ungeschwärzt im Handelsregister eingetragen und veröffentlicht. Die Gesellschafterin beantragte bei der für die Eintragung zuständigen Agentur die Löschung ihrer überschießenden personenbezogenen Daten im Gesellschaftsvertrag und erklärte, dass sie ihre Einwilligung widerruft, sofern die Datenverarbeitung auf einer solchen beruht.

Gemäß bulgarischem Recht ist dem Antrag auf Eintragung einer Gesellschaft in das Handelsregister das Original oder eine beglaubigte Kopie der offenzulegenden Urkunden, somit auch des Gesellschaftsvertrags, beizufügen. Die Agentur ersuchte daher die Gesellschafterin, ihr eine geschwärzte Kopie des Gesellschaftsvertrags vorzulegen, um ihrem Löschersuchen entsprechen zu können. Da die Gesellschafterin keine geschwärzte Kopie vorlegte, lehnte die Agentur ihr Löschersuchen ab.

Der Generalanwalt hat erwogen: Die Agentur ist für die Verarbeitung die alleinige Verantwortliche, weil das öffentliche Zugänglichmachen der personenbezogenen Daten im Handelsregister in Wahrnehmung der Aufgaben erfolgte, die ihr als mit der Führung des Registers betraute Stelle übertragen wurden. Irrelevant ist, dass die in den Urkunden enthaltenen personenbezogenen Daten vor ihrer Veröffentlichung nicht kontrolliert werden oder die Agentur diese Daten nicht ändern oder berichtigen kann.

Schwärzt der Eintragungspflichtige die gesetzlich nicht erforderlichen Informationen nicht, wird er dadurch nicht selbst für die Verarbeitung verantwortlich. Er hat auf die gesetzlich bestimmten Zwecke und Mittel der Datenverarbeitung bei der Agentur nämlich keinen Einfluss. Der Eintragungspflichtige legt mit der Erfüllung der Eintragungsformalitäten einen eigenen Zweck fest, der sich von den öffentlichen Zwecken unterscheidet, die von der Agentur verfolgt werden.

Die im bulgarischen Recht aufgestellte Vermutung der Einwilligung erfüllt die Voraussetzungen der DSGVO nicht, weil sie nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich, in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erteilt wird. Die Datenverarbeitung kann daher nicht auf die Einwilligung gestützt werden.

Die Datenverarbeitung kann auch nicht auf die Erfüllung einer rechtlichen Verpflichtung gestützt werden, weil die bloße Tatsache, dass die Agentur eine ihr ungeschwärzt übermittelte Urkunde veröffentlicht, nicht ausreicht, um eine rechtliche Verpflichtung zu begründen. Die Datenverarbeitung erfolgt auch nicht in Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt. Zwar wird die Datenverarbeitung anlässlich einer im öffentlichen Interesse liegenden Aufgabe durchgeführt, sie ist dafür aber nicht erforderlich. Die Offenlegung der Urkunden kann auch so erfolgen, dass personenbezogene Daten, deren öffentliches Zugänglichmachen nicht erforderlich ist, geschwärzt werden.

Um einen angemessenen Ausgleich zwischen den Interessen der betroffenen Person und den Interessen der Öffentlichkeit zu schaffen, müsste die Agentur die Befugnis haben, die Daten unverzüglich nach Eingang des Löschersuchens selbst in der öffentlich zugänglichen Kopie der Urkunde unkenntlich zu machen. Gleichzeitig sollte sie das Original dieser Urkunde aufbewahren und von der Gesellschaft verlangen, eine Änderung der Urkunde vorzulegen, aus der die Daten entfernt wurden, wobei diese Änderung ebenfalls im Register veröffentlicht werden sollte.

Rechtsprechung des BVwG

BVwG 29.04.2024, W176 2234682-1

Ein "Bürgerjournalist" filmte einen Jäger ohne dessen Wissen und Einverständnis bei der Jagd. Ein daraufhin vom Jäger gestelltes Auskunftsersuchen ließ der "Bürgerjournalist" unbeantwortet. Stattdessen rechtfertigte er die Anfertigung des Videomaterials damit, dass er den Vorgang einer Jagd zu journalistischen Zwecken dokumentieren wollte.

Das BVwG hat erwogen: Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber zu journalistischen Zwecken eines Medienunternehmens oder Mediendienstes finden gemäß § 9 Abs 1 DSG weite Teile der DSGVO keine Anwendung.

Zwar verfolgte der "Bürgerjournalist" mit der Anfertigung der Bildaufnahmen möglicherweise journalistische Zwecke, doch fand deren Verarbeitung nicht im Rahmen eines Medienunternehmens statt.

Dem Vorbringen des "Bürgerjournalisten", er sei ein "Ein-Personen-Medienunternehmen" kann nicht gefolgt werden. Nach der Rechtsprechung des OGH wird ein Medieninhaber erst dann zum Medienunternehmer iSd § 1 Abs 1 Z 6 MedienG, wenn er über den Zweck der bloß privaten Verbreitung von Inhalten hinaus ein Unternehmen – mit einem Mindestmaß an unternehmerischen Strukturen – betreibt, dessen Unternehmenszweck die inhaltliche Gestaltung einer redaktionell gestalteten Website ist.

Da der "Bürgerjournalist" die Fotos von seinem privaten Facebook-Account veröffentlichte und selbst angab, diese aus Eigeninteresse angefertigt zu haben, handelte er nicht als Medienunternehmer. Der "Bürgerjournalist" konnte die Nichterteilung der Auskunft deshalb nicht auf das Medienprivileg stützen.

Anm: Der VfGH hat § 9 Abs 1 DSG mit Erkenntnis vom 14.12.2022, G 287/2022, für verfassungswidrig erklärt und er hat für das Außerkrafttreten der Bestimmung eine Frist bestimmt (VfSlg 20590/2022). In der derzeitigen Form tritt § 9 Abs 1 DSG mit Ablauf des 30.06.2024 außer Kraft. Eine Novelle ist bereits auf dem Weg.

BVwG 12.04.2024, W108 2249366-1

Ein emeritierter Rechtsanwalt brachte bei der DSB eine Datenschutzbeschwerde gegen eine Rechtsanwaltskammer (RAK) ein. Er behauptete darin, die RAK habe ihm trotz mehrmaliger Auskunftsersuchen keine ausreichenden und gesetzesmäßigen Auskünfte erteilt. So wurde ihm etwa die gewünschte Korrespondenz zwischen ihm und der RAK nicht übermittelt und weiters gäbe es den Verdacht, dass unbefugte Mitarbeiter auf seine Daten zugreifen könnten. Außerdem hätte die RAK es unterlassen, seine Daten zu berichtigen, die RAK würde das Prinzip der Zweckbindung missachten und kein passendes Löschkonzept besitzen.

Die RAK hielt in einer Stellungnahme fest, dass der Rechtsanwalt mehrere Auskunftsersuchen mit gleichem Inhalt gestellt hatte, wobei das erste Ersuchen fristgerecht und vollständig beantwortet wurde. Mit dem zweiten Ersuchen verlangte der Rechtsanwalt im Grunde dieselben Auskünfte und eine postalische Übermittlung sämtlicher Korrespondenz der vergangenen 15 Jahre, was eine schikanöse Rechtsausübung sei, weil dies einen erheblichen Aufwand und monetären Schaden für die RAK verursachen würde.

Die DSB wies die Datenschutzbeschwerde als unbegründet ab, weil die RAK dem ersten Ersuchen entsprochen hatte und die ersuchten Auskünfte samt Kopie der geforderten Unterlagen übermittelt hatte. Auch hinsichtlich des Rechts auf Berichtigung und Geheimhaltung sah die DSB keinen Verstoß. Daraufhin erhob der Rechtsanwalt eine (erfolglose) Bescheidbeschwerde beim BVwG.

Der BVwG hat erwogen: Sämtliche Personen (zB Mitarbeiter) und Stellen, die unter der Aufsicht bzw Anweisung des Verantwortlichen eine Datenverarbeitung durchführen, sind ihm funktional zuzurechnen.

Die RAK ist gemäß § 23 Abs 7 RAO ermächtigt, personenbezogene Daten ihrer Mitglieder zu verarbeiten, soweit dies zur Wahrnehmung ihrer gesetzlichen Aufgaben notwendig ist. Die RAK konnte nachweisen, dass sie die Daten den Gesetzen entsprechend im bloß erforderlichen Umfang verarbeitet hat. Zudem wurde auch glaubhaft gemacht, dass die Mitarbeiter der RAK ihre Befugnisse nicht überschritten haben. Die Datenverarbeitung durch die RAK war somit rechtmäßig.

Mit dem Recht auf Auskunft wird dem Betroffenen ermöglicht, sich der Verarbeitung seiner Daten bewusst zu werden und deren Rechtmäßigkeit zu kontrollieren. Bei den vom Rechtsanwalt begehrten Dokumenten handelte es sich um E-Mails und Schreiben, die der Rechtsanwalt selbst regelmäßig (3 – 4 Schreiben pro Monat) an die RAK übermittelte. Eine postalische Zurverfügungstellung sämtlicher Korrespondenz war nicht unerlässlich, weil der Rechtsanwalt diese selbst an die RAK verschickte und damit über diese Schreiben verfügt hat.

In seinem Recht auf Berichtigung ist der Rechtsanwalt schon deshalb nicht verletzt, weil er keinen Berichtigungsantrag an die RAK gestellt hat, sondern bloß eine Verletzung dieses Rechts behauptete.

BVwG 12.04.2024, W108 2255217-1

Ein Arbeitssuchender brachte beim AMS ein Auskunftsersuchen über die zu seiner Person verarbeiteten Daten ein. Da die Auskunft zu seinen Daten zu spät erteilt wurde, brachte er Datenschutzbeschwerde bei der DSB ein. Im Laufe des Verfahrens wurde ihm vom AMS umfassende Auskunft über seine Daten erteilt. Der Arbeitssuchende erachtete die ihm erteilte Auskunft aber für unvollständig. Seiner Ansicht nach fehlten in der Auskunft unter anderem Informationen zur Ermittlung von Daten, die als Grundlage für einen Bescheid in einem Verwaltungsverfahren verwendet wurden. Weiters wurden keine Kopien der Aktenbestandteile iSd Art 15 Abs 3 DSGVO übermittelt. Die Datenschutzbeschwerde wurde mit Teilbescheid abgewiesen. Hinsichtlich der Frage der Aktenkopie gemäß Art 15 Abs 3 DSGVO wurde das Verfahren ausgesetzt. Gegen den Teilbescheid erhob der Arbeitssuchende erfolglose Bescheidbeschwerde an das BVwG, das auch über den ausgesetzten Verfahrensteil entschied.

Das BVwG hat erwogen: Das Recht auf Kopie gemäß Art 15 Abs 3 DSGVO ist kein eigenständiges subjektives öffentliches Recht eines Betroffenen. Über einen Verstoß gegen dieses Recht kann nicht gesondert abgesprochen werden. Die DSB hätte demnach das Verfahren nicht trennen dürfen. Das BVwG darf jedoch über den nicht behandelten Aspekt urteilen, weil die Beurteilung des Rechts auf Auskunft nach Art 15 Abs 1 DSGVO auch Rechtsverletzungen nach Abs 3 mitumfasst.

Mit dem Recht auf Auskunft wird der Zweck verfolgt, Betroffenen zu ermöglichen, sich der sie betreffenden Datenverarbeitungen bewusst zu werden. Eine Übermittlung von originalgetreuen Kopien, Auszügen aus Dokumenten, ganzer Dokumente oder Auszügen aus Datenbanken ist nur dann erforderlich, wenn die Zurverfügungstellung solcher Kopien unerlässlich ist, um die wirksame Ausübung der durch die DSGVO eingeräumten Rechte zu ermöglichen.

Die für die Erlassung eines Bescheids zugrundeliegenden Daten eines Ermittlungsverfahrens müssen im Rahmen des Auskunftsrechts nach Art 15 DSGVO beauskunftet werden. Das Recht auf Auskunft gemäß Art 15 DSGVO besteht neben dem Recht auf Akteneinsicht, ist aber auf die Daten des Auskunftswerbers beschränkt und ermöglicht keine vollständige Einsicht in die Ergebnisse des Ermittlungsverfahrens oder den Gang des Verfahrens. Das AVG sieht keine Einschränkung von Betroffenenrechten gemäß Art 23 DSGVO vor. Im AVG besteht dazu keine planwidrige Lücke, die durch Analogie geschlossen werden muss.

Beim Auskunftsrecht handelt es sich um ein subjektives Kontrollrecht, um den Ist-Zustand der verarbeiteten Daten feststellen zu können. Die vom AMS erteilte Auskunft war vollständig.

Wird die inhaltliche Behandlung einer Datenschutzbeschwerde wegen exzessiver Ausübung der Rechte iSd Art 57 Abs 4 DSGVO abgelehnt, ist in einem Wiederaufnahmeantrag darzutun, dass aufgrund neu hervorgekommener Tatsachen oder Beweismittel die Entscheidung des BVwG hinsichtlich dieser Ablehnung der inhaltlichen Behandlung der Datenschutzbeschwerde anders gelautet hätte (BVwG 18.04.2024, W137 2255503-2).

Ist die Löschung der Daten bereits erfolgt, ist ein von der DSB erteilter Löschungsauftrag nicht mehr durchführbar. Der entsprechende Spruchpunkt des angefochtenen Bescheids ist ersatzlos zu beheben (BVwG 17.04.2024, W298 2273385-1).

Eine Datenschutzbeschwerde ist innerhalb eines Jahres nach Kenntniserlangung vom beschwerenden Ereignis bei der DSB einzubringen. Andernfalls erlischt das Recht auf Beschwerdebehandlung und ist die Datenschutzbeschwerde zurückzuweisen (BVwG 17.04.2024, W298 2274023-1).

Rechtsprechung des BFG

Mit dem Register der wirtschaftlichen Eigentümer wird das Ziel verfolgt, die hinter Unternehmen und Vermögensmassen stehenden Eigentümer transparent und überprüfbar zu machen (BFG 12.04.2024, RV/4100104/2024).

Vorschau EuGH-Rechtsprechung

Am 06.06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

 

 

 

Datenschutzrechts-Update 29.05.2024

 

Rechtsprechung des VwGH

VwGH 22.04.2024, Ro 2022/04/0038

Der Betroffene erhob eine Datenschutzbeschwerde bei der DSB, weil er sich durch das Verhalten einer Kreditauskunftei in seinem Recht auf Geheimhaltung gemäß § 1 DSG und seinem Recht auf Löschung gemäß Art 17 DSGVO verletzt sah. Der Betroffene ersuchte um die Löschung seiner insolvenzbezogenen Daten aus der Bonitätsdatenbank der Kreditauskunftei. Die Kreditauskunftei kam diesem Ersuchen nicht nach. Die DSB wies die Datenschutzbeschwerde ab und begründete dies damit, dass die Datenverarbeitung durch die Kreditauskunftei dazu diene, den Unternehmen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko eingehen, Zugang zu diesen Daten zu ermöglichen. Die Löschung der Daten aus der Insolvenzdatei gemäß § 256 IO müsse keine Löschung aus der Bonitätsbank nach sich ziehen. Das BVwG wies die daraufhin erhobene Bescheidbeschwerde des Betroffenen ab und hielt fest, dass längere Speicherfristen im Falle von Insolvenzverfahren gerechtfertigt werden können. Zudem würde sich die höchstzulässige Speicherfrist nicht aus der IO ergeben. Der Betroffene brachte daraufhin eine (erfolgreiche) Revision beim VwGH ein.

Der VwGH hat erwogen: Unter Bezugnahme auf das Urteil des EuGH vom 07.12.203, C-26/22 und C-64/22, SCHUFA Holding, ist festzuhalten, dass die Speicherung personenbezogener Daten durch eine Kreditauskunftei nach der Löschung aus der Insolvenzdatei gemäß § 256 IO nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden kann. Aus diesem Grund war die Speicherung der Daten des Betroffenen betreffend seine Insolvenz nicht rechtmäßig. Die Löschung aus der Insolvenzdatei soll den Schuldner vor negativen Auswirkungen im Geschäftsverkehr schützen. Dieser Schutz kann nicht gewährleistet werden, wenn die Daten über die Insolvenz, welche die Bewertung der Kreditwürdigkeit des Schuldners negativ beeinflussen, durch eine Kreditauskunftei länger gespeichert werden. Vor diesem Hintergrund rechtfertigen die berechtigten Interessen der Kreditauskunftei die Verarbeitung der personenbezogenen Daten über die Insolvenz nicht. Die Annahme des BVwG, wonach sich die höchstzulässige Speicherfrist nicht aus § 256 IO ergäbe, trifft nicht zu. Das angefochtene Erkenntnis war daher aufzuheben.

Rechtsprechung des BVwG

BVwG 26.04.2024, W211 2281997-1

Ein Nutzer besuchte die Website eines Medienunternehmens und erhob danach Datenschutzbeschwerde bei der DSB, weil der Cookie-Banner so aufgebaut war, dass die Zustimmung zu mehreren Tracking-Cookies erteilt werden musste, um die Website öffnen zu können. Die DSB gab der Datenschutzbeschwerde statt und erteilte dem Medienunternehmen den Auftrag, den Cookie-Banner so abzuändern, dass eine gültige Einwilligung vorliegt. Das Medienunternehmen erhob Bescheidbeschwerde an das BVwG, das dieser stattgab.

Das BVwG hat erwogen: Das Medienprivileg des DSG (und damit der Ausschluss der DSGVO) kommt nicht zur Anwendung, weil die durch Cookies erhobenen Daten nicht journalistischen Zwecken dienen. Das Medienprivileg schützt das inhaltliche Tätigwerden der Presse und damit nur solche Tätigkeiten, die ausschließlich zum Ziel haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten.

Auch wenn der Nutzer nicht in Österreich wohnhaft ist, kann dennoch eine Datenschutzbeschwerde bei der DSB eingebracht werden. Anlassloses "forum shopping" ist zwar nicht möglich, Art 77 DSGVO erlaubt einem Betroffenen aber eine Datenschutzbeschwerde bei einer Aufsichtsbehörde einzureichen, zu der ein räumliches und/oder sprachliches Naheverhältnis iZm dem Beschwerdesachverhalt besteht.

Websitebetreiber dürfen als Gegenleistung für ihr Angebot das Entgelt in Form personenbezogener Daten verlangen, wenn ihnen keine marktbeherrschende Stellung zukommt. In der Rs C-252/21, Meta Platforms, wurde dem EuGH ein wettbewerbsrechtlich determiniertes Vorabentscheidungsersuchen gestellt. Aus diesem Urteil des EuGH kann daher nicht abgeleitet werden, dass die personenbezogenen Daten des Betroffenen zu keiner Hauptleistung eines Rechtsgeschäfts werden dürften, wenn dem Verantwortlichen keine marktbeherrschende Stellung zukommt.

Die Voraussetzungen festzulegen, unter denen Nutzer ihre Website besuchen dürfen, ist den Websitebetreibern zu überlassen. Den Websitebetreibern aufzuerlegen, dass sie ein echtes Alternativangebot, wie ein "Pay or Okay"-Modell zu schaffen haben, wäre ein ungerechtfertigter Eingriff in die Privatautonomie.

Da das Medienunternehmen keine marktbeherrschende Stellung innehat, keine lebensnotwendigen Güter verkauft und es zahlreiche Alternativen gibt, muss auch kein "Pay or Okay"-Modell verwirklicht werden. Werden personenbezogene Daten als Gegenleistung für eine Hauptleistung erhoben, ist darauf zwar explizit hinzuweisen. Das Medienunternehmen hat das jedoch durch ein Pop-Up Fenster getan. Die Einwilligung verstieß somit nicht gegen das Koppelungsverbot und sie wurde wirksam erteilt. Anm: Das BVwG bestätigt damit die datenschutzrechtliche Zulässigkeit von Online-Angeboten, die als Gegenleistung für personenbezogene Daten erbracht werden. Gleichzeitig stellt das BVwG klar, dass das Recht auf Datenschutz anderen Grundrechten nicht vorgeht. Voraussetzung der Rechtmäßigkeit der Verarbeitung ist aber der ausdrückliche Hinweis, dass personenbezogene Daten als Gegenleistung für das Online-Angebot erhoben werden.

BVwG 23.04.2024, W221 2281444-1

Ein Rechtsanwalt richtete ein Auskunftsersuchen an den Disziplinarrat einer Rechtsanwaltskammer (RAK) und begehrte Auskunft darüber, wer konkret, also welcher Mitarbeiter der RAK, ein ihn betreffendes Disziplinarerkenntnis an den Bundesminister für Justiz (BMJ) übersandt hat. Sein Ersuchen stützte der Rechtsanwalt neben Art 15 DSGVO auch auf das AuskunftspflichtG.

Die RAK verweigerte die Auskunftserteilung mit der Begründung, dass sie ihren Mitarbeitern zur gesetzlichen Verschwiegenheit verpflichtet ist. Gegen den Bescheid des Disziplinarrats der RAK erhob der Rechtsanwalt Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Im Hinblick darauf, dass Auskünfte nach dem AuskunftspflichtG auch personenbezogene Daten umfassen können, stellt die Bestimmung des § 1 Abs 1 AuskunftspflichtG einen Eingriff in das Grundrecht auf Datenschutz dar. Das Auskunftsbegehren des Rechtsanwalts betrifft den Namen eines Mitarbeiters der RAK und damit personenbezogene Daten. Die Erteilung der Auskunft wäre folglich mit einem Eingriff in das Recht des betroffenen Mitarbeiters auf Datenschutz verbunden gewesen. Für die Beurteilung der Rechtmäßigkeit der Auskunftsverweigerung war daher eine Abwägung des Geheimhaltungsinteresses des betroffenen Mitarbeiters mit dem Informations- und Auskunftsinteresse des Rechtsanwalts maßgebend. Da die Identität des betroffenen Mitarbeiters der RAK, der das Disziplinarerkenntnis für die RAK an den BMJ übermittelte, keinerlei Relevanz in Bezug auf die Information der Öffentlichkeit über die Amtsgeschäftsführung der RAK hat, war die begehrte Auskunft nicht von öffentlichem Interesse.

Soweit der Rechtsanwalt in seiner Bescheidbeschwerde klarstellte, dass sich sein Antrag vordergründig auf die Identität des Genehmigenden bezog, war darin eine Änderung des Antrags zu sehen, der im Rahmen des Beschwerdeverfahrens vor dem BVwG nicht berücksichtigt werden konnte. Denn "Sache" des Verfahrens vor dem BVwG war allein die Frage, ob die mit dem Auskunftsbegehren befasste RAK die Auskunft zu Recht oder zu Unrecht verweigert hat. Damit war eine Änderung jenes Auskunftsbegehrens, welches dem Auskunftsverweigerungsbescheid zu Grunde lag, im Beschwerdeverfahren nicht vereinbar.

BVwG 17.04.2024, W298 2277414-1

Gegen einen Beschuldigten wurde ein Ermittlungsverfahren wegen des Verdachts der gefährlichen Drohung und der versuchten Bestimmung zum Amtsmissbrauch geführt. In der Verfahrensautomation Justiz (VJ) wurden daher seine Vermögensdaten gespeichert. Der Beschuldigte richtete ein Löschersuchen an die sachlich und örtlich zuständige StA und behauptete, die Erhebung der Daten sei illegal erfolgt. Die DSB wies seine Datenschutzbeschwerde ab. Das BVwG bestätigte den Bescheid der DSB mit der Maßgabe, dass die Datenschutzbeschwerde wegen der Verarbeitung von Daten im VJ zurückgewiesen wird.

Das BVwG hat erwogen: Der Beschuldigte hat die behauptete Rechtswidrigkeit der Datenerhebung sowie die Unrichtigkeit der Daten nicht hinreichend konkretisiert, obwohl er dazu gemäß § 24 Abs 2 Z 4 DSG verpflichtet war. Zwar muss keine umfassende Schilderung des Beschwerdegrundes angegeben werden, der Antragsteller hat die ihn begünstigenden maßgeblichen Umstände aber in schlüssiger Weise zu behaupten und zu konkretisieren, um die DSB in die Lage zu versetzen, Erhebungen zur Frage durchzuführen, ob diese Behauptungen zutreffen. Eine etwaige Unmöglichkeit, die anspruchsbegründenden Tatsachen (positiv) festzustellen, geht zu Lasten des Antragstellers. Zur amtswegigen Ermittlung ist die DSB nur insoweit verhalten, als ein ausreichend konkretes, maßgebliches Vorbringen erstattet wurde. Sie ist nicht verpflichtet zu prüfen, ob irgendwelche denkbaren Verstöße vorliegen. Da es sich um keine gesetzwidrig ermittelten Daten handelt, besteht keine Verpflichtung, diese zu löschen.

Der Beschuldigte behauptete die Unrichtigkeit der über ihn verarbeiteten Daten, verlangte aber auch mehrfach die Schwärzung seiner Daten. Damit widersprach sich der beschuldigte, denn eine Schwärzung falscher Daten würde keinen Sinn ergeben. Infrage käme nur die Löschung oder Richtigstellung falscher Daten.

Verantwortlich für den VJ ist der Bundesminister für Justiz. Soweit der Beschuldigte eine Löschung aus dem VJ verlangt, ist dies zurückzuweisen, weil die StA mangels Verantwortlichkeit nicht passivlegitimiert ist.

BVwG 26.04.2024, W211 2261821-1

Ein Konsument erachtete sich wegen der behaupteten Verarbeitung seiner Daten für drei Produkte einer Kreditauskunftei, nämlich "Wirtschaftlichkeitsindex", "InfoPass für Mieter" sowie "PersonenProfile Consumer" in seinen Rechten verletzt. Aufgrund eines bereits anhängigen datenschutzrechtlichen Rechtsstreits und weiterer angedrohter Zivilrechtsverfahren beschränkte die Kreditauskunftei die Datenverarbeitung hinsichtlich der Daten des Konsumenten. Die Einschränkung der Verarbeitung führte zu Negativauskünften zum Namen des Konsumenten bei Anfragen zu diesen Produkten.

Nach Ansicht des Konsumenten waren die Negativauskünfte der Berichtigung gemäß Art 16 DSGVO zugänglich, weil sie ein falsches Bild über seine Bonität vermittelten. Sowohl die Datenschutzbeschwerde als auch die Bescheidbeschwerde des Konsumenten blieben erfolglos.

Das BVwG hat erwogen: Das Produkt "Wirtschaftlichkeitsindex" wird von der Kreditauskunftei nicht mehr angeboten. Die Produkte "InfoPass für Mieter" und "PersonenProfile Consumer" werden auf Anfrage im Einzelfall anhand der gespeicherten Daten über den Betroffenen erstellt/generiert. Aufgrund der Einschränkung der Datenverarbeitung durch die Kreditauskunftei wurden im Rahmen dieser Produkte keine Werte über den Konsumenten generiert.

Eine Einschränkung der Datenverarbeitung durch die Kreditauskunftei verstößt nicht gegen den Grundsatz der Verarbeitung nach Treu und Glauben und Transparenz, weil durch die Einschränkung der Verarbeitung kein datenschutzrechtlicher Verarbeitungsvorgang, auf den der Grundsatz anwendbar sein könnte, vorliegt. Eine Einschränkung der Datenverarbeitung durch die Kreditauskunftei führt für den Konsumenten zu keinem erheblichen Nachteil im Wirtschaftsleben.

Das Recht auf Berichtigung nach Art 16 DSGVO soll Betroffenen ermöglichen, unrichtige Daten, die rechtmäßig verarbeitet werden, richtigzustellen oder zu vervollständigen. Maßstab für die Datenrichtigkeit ist der Zweck der Datenverarbeitung. Ein Ersuchen auf Berichtigung muss eine Begründung enthalten, warum die Daten unrichtig sind und wie diese zu berichtigen sind. Eine Berichtigung ist nur dann durchzuführen, wenn die verarbeiteten personenbezogenen Daten isoliert betrachtet richtig sind, in der Gesamtheit aber eine objektiv falsche oder missverständliche Aussage treffen. Mit der Negativauskunft wird keine objektiv falsche oder missverständliche Aussage getroffen, eine gute oder schlechte Bonität wird dem Konsumenten nicht attestiert, vielmehr wird keine Aussage getroffen. Die erteilten Negativauskünfte sind keine unrichtigen Daten, die nach Art 16 DSGVO berichtigt werden müssen.

BVwG 15.04.2024, W211 2277264-1

In einem Mehrparteienhaushalt ist es vermehrt zu Einbrüchen, einer versuchten Vergewaltigung, einem Brandanschlag und zu zahlreichen Sachbeschädigungen gekommen. Die Eigentümergemeinschaft installierte für den Schutz der dortigen Bewohner eine Videoüberwachungsanlage bestehend aus fünf Kameras. Eine Mieterin erhob eine Datenschutzbeschwerde bei der DSB, in der sie vorbrachte, durch die installierten Kameras in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Die Kameras überwachten den gesamten Weg vom Eingang in das Mehrparteienhaus bis zur Wohnungstür der Mieterin. Eine der Kameras war so positioniert, dass sie bei geöffneter Wohnungstüre auch den privaten Wohnbereich der Mieterin erfasste. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob die Eigentümergemeinschaft (erfolglose) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Eine konkludente Einwilligung in die Verarbeitung von personenbezogenen Daten ist nach der DSGVO strengsten Bedingungen unterworfen. Eine solche eindeutige und bestätigende Handlung/Erklärung der Mieterin iSd Art 4 Z 11 DSGVO lag nicht vor. Die Mieterin willigte nicht freiwillig und ausdrücklich in die Datenverarbeitung durch die Videoüberwachungsanlage ein.

Der Eigentümergemeinschaft kann grundsätzlich im Rahmen ihrer Stellung nach dem WEG 2002 ein Interesse am Schutz des Hauses und der Bewohner vor strafrechtlich relevanten Sachverhalten nicht von vornherein abgesprochen werden. Jedoch müssen die angewandten Mittel erforderlich sein und der Grundsatz der Datenminimierung eingehalten werden. Die installierten Kameras erfassen nicht nur die Bewohner, sondern auch alle zufällig und rechtmäßig anwesenden Personen. In den letzten zehn Jahren sind keine gröberen Vorfälle mehr im Haus geschehen. Darüber hinaus übergab man die angefertigten Bildaufnahmen kein einziges Mal wegen zB eines Einbruchsversuchs an die Polizei. Folglich sind die getroffenen Maßnahmen nicht geeignet, um tatsächlich zB Einbruchsversuche gänzlich zu verhindern oder sinnvoll eine effektive Strafverfolgung zu begünstigen. Weiters schafft die Videoüberwachung, bei der die Bilddaten bei einem Bewohner zusammenlaufen, der auch Miteigentümer ist, einen Überwachungsdruck. Es stehen der Eigentümergemeinschaft gelindere Mittel zur Zielerreichung zur Verfügung, wie etwa die Adaptierung der Eingangstüren und eine Kameraattrappe zur Erzeugung eines Drucks für mögliche Täter. Die aktuell festgestellte Verarbeitungssituation wird jedenfalls dem Rechtfertigungstatbestand des Art 6 Abs 1 lit f DSGVO nicht gerecht. Die durch die Videoüberwachungsanlage im Mehrparteienhaus vorgenommene Verarbeitung der personenbezogenen Daten der Mieterin ist demnach nicht rechtmäßig.

Ein Recht auf Feststellung einer Rechtsverletzung in der Vergangenheit besteht nicht, wenn die Rechtsverletzung zum Zeitpunkt der Entscheidung nicht mehr besteht. Wird mit einer Datenschutzbeschwerde das Recht auf Löschung geltend gemacht, tritt durch Löschung der entsprechenden Daten materielle Klaglosstellung ein. Das Beschwerdeverfahren ist als gegenstandslos einzustellen (BVwG 22.01.2024, W101 2134867-1).

Rechtsprechung der DSB

DSB 06.08.2021, 2021-0.415.529

Ein Personalvermittlungsunternehmen schickte unaufgefordert eine SMS mit Jobangeboten an einen Arbeitssuchenden. Dieser verlangte von dem Unternehmen Auskunft über die Herkunft seiner Daten. Die Daten stammten vom AMS, wurde ihm telefonisch mitgeteilt. Daraufhin brachte er ein Löschersuchen bei dem Unternehmen ein. Auf das Löschersuchen reagierte das Unternehmen nicht, stattdessen schickte es dem Arbeitssuchenden erneut eine SMS mit Jobangeboten. Der Arbeitssuchende brachte Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde statt.

Die DSB hat erwogen: Ein datenschutzrechtlich Verantwortlicher benötigt zur Sicherung der Rechtmäßigkeit der Datenverarbeitung nicht nur einen Rechtfertigungsgrund gemäß Art 6 DSGVO, sondern muss auch die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art 5 Abs 1 DSGVO beachten und deren Einhaltung im Anlassfall gegenüber der DSB nachweisen.

Insbesondere müssen Daten auf transparente Weise verarbeitet werden. Für Betroffene soll Klarheit darüber bestehen, wie die sie betreffenden personenbezogenen Daten verarbeitet werden. Der Transparenzgrundsatz wird insbesondere durch die Informationspflicht gemäß Art 14 DSGVO umgesetzt. Diese Bestimmung kommt zur Anwendung, wenn die zu verarbeitenden Daten nicht beim Betroffenen selbst erhoben werden.

Das Unternehmen hat verabsäumt, den Arbeitssuchenden entsprechend Art 14 Abs 3 lit b DSGVO, spätestens zum Zeitpunkt der ersten SMS, Informationen über die Verarbeitung zukommen zu lassen. Durch die Nichteinhaltung des Transparenzgrundsatzes wurden die Daten bereits von Anfang an unrechtmäßig verarbeitet. Das Personalvermittlungsunternehmen ist folglich verpflichtet, die unrechtmäßig verarbeiteten Daten zu löschen.

Vorschau EuGH-Rechtsprechung

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

  • Am 06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 06.2024 wird das Urteil des EuGH in den verbundenen, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 06.2024 wird das Urteil des EuGH in der, verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Datenschutzrechts-Update 22.05.2024

 

Rechtsprechung des EuG

  • Ein Abgeordneter des Europäischen Parlaments (EP) wurde wegen mehrerer Straftaten verfolgt und nach Aufhebung seiner Immunität strafgerichtlich zu einer langjährigen Haftstrafe verurteilt. Auf sein Mandat im EP verzichtete der Abgeordnete auch nach seiner Verurteilung nicht. Drei Aktivisten bzw Journalisten beantragten Zugang zu Dokumenten des EP, ua über Bezüge und Vergütungen des Abgeordneten und Vergütungen seiner parlamentarischen Assistenten. Das EP verweigerte den Zugang zu diesen Dokumenten mit Verweis auf den Schutz personenbezogener Daten. Die Aktivisten legten Rechtsmittel beim EuG ein.

Das EuG hat erwogen: Gemäß Art 15 Abs 3 AEUV hat jeder Unionsbürger das Recht auf Zugang zu Dokumenten der Organe, Einrichtungen und sonstigen Stellen der Union. Laut Art 9 Abs 1 lit b der Datenschutzverordnung für die Organe, Einrichtungen und sonstigen Stellen der Union (VO (EU) 2018/1725) dürfen personenbezogene Daten an Empfänger, die keine Organe oder Einrichtungen der Union sind, nur übermittelt werden, wenn der Empfänger nachweist, dass die Datenübermittlung im öffentlichen Interesse liegt und der Verantwortliche nachweist, dass die Datenübermittlung verhältnismäßig ist. Die Übermittlung der beantragten Dokumente, die personenbezogene Daten enthalten, ist daher nur zulässig, wenn die Anforderungen der genannten Bestimmung eingehalten werden.

Der Sachverhalt ist außergewöhnlich, weil der Abgeordnete zu einer langjährigen Haftstrafe wegen schwerer Kriminalität verurteilt wurde, dennoch Abgeordneter des EP blieb, daher weiterhin Anspruch auf Bezüge und Vergütungen des EP hatte und diese auch bezogen hat. Das öffentliche Interesse am Zugang zu den entsprechenden Dokumenten des EP ist gegeben.

Das Recht auf Dokumentenzugang geht jedoch nicht so weit, dass Dokumente, die nicht existieren oder über die das EP nicht verfügt, herausgegeben werden müssten. Zudem sind die Bezüge von Abgeordneten öffentlich verfügbar, weshalb die Herausgabe entsprechender personenbezogener Unterlagen nicht erforderlich ist. Das EP hat den Antrag der Aktivisten daher teilweise zu Recht abgelehnt.

Die Dokumente über die Vergütung für Reisekosten und Taggelder sind jedoch herauszugeben, weil entsprechende Informationen öffentlich nicht verfügbar sind. Auch die Dokumente über die Vergütung der Reisekosten der parlamentarischen Assistenten sind herauszugeben, weil nicht ausgeschlossen werden kann, dass diese Dokumente Hinweise auf mögliche, wenn auch nur indirekte, Beteiligungen an Straftaten enthalten.

Rechtsprechung des VwGH

Die DSB hat im Verfahren über eine Datenschutzbeschwerde den Grundsatz der materiellen Wahrheit zu beachten. Für eine "partielle" Derogation dieses Grundsatzes ergeben sich aus der DSGVO keine Anhaltspunkte. Stützt die DSB ihre Entscheidung nur auf schriftliche Stellungnahmen ohne Einvernahme der Verfahrensparteien, ist die Auffassung des BVwG, wonach der Sachverhalt ergänzungsbedürftig geblieben ist, vertretbar (VwGH 19.04.2024, Ra 2022/04/0006).

Übermittelt die Staatsanwaltschaft (StA) Ermittlungsakte an das Straflandesgericht, hängt die Entscheidung des Strafrichters über das Recht des Beschuldigten auf Akteneinsicht und dessen allfällige Beschränkung nicht davon ab, ob die StA zuvor das Recht des Beschuldigten auf Akteneinsicht beschränkt hat. Die Beurteilung der Erforderlichkeit der Datenübermittlung unterliegt einer Einzelfallbetrachtung. Diese Beurteilung wurde vom BVwG richtig vorgenommen. Der Strafrichter hätte allerdings zu prüfen gehabt, ob Daten des Opfers und seiner Familienangehörigen unkenntlich zu machen und von der Akteneinsicht auszunehmen sind (VwGH 19.04.2024, Ra 2024/04/0303).

Rechtsprechung des BVwG

BVwG 30.04.2024, W252 2272830-1

Eine Richterin gewährte einem Anwalt Akteneinsicht in den Strafakt eines verurteilten Straftäters. Die Akteneinsicht erfolgte ohne Wissen und Zustimmung des Straftäters. Der Anwalt war vom Straftäter nicht bevollmächtigt. Durch die gewährte Akteneinsicht fühlte sich der Straftäter von der Richterin und dem Gericht in seinem Recht auf Geheimhaltung verletzt und brachte eine erfolglose Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde hinsichtlich der Richterin aufgrund mangelnder Verantwortlichkeit ab. Betreffend das Gericht wies die DSB die Datenschutzbeschwerde mangels Zuständigkeit für Datenverarbeitungen im Rahmen der justiziellen Tätigkeit zurück. Das BVwG änderte den Bescheid der DSB dahingehend ab, dass auch die Datenschutzbeschwerde des Straftäters gegen die Richterin zurückgewiesen wird.

Das BVwG hat erwogen: Die "Sache" des Beschwerdeverfahrens in einem Verfahren, bei dem es um die Zurückweisung einer Beschwerde durch die Vorinstanz geht, ist die Frage der Rechtmäßigkeit der Zurückweisung. Die Zurückweisung der Datenschutzbeschwerde durch die DSB betreffend das Gericht war daher rechtmäßig.

Für den Rechtsschutz im Bereich der justiziellen Tätigkeit der Strafgerichte sind ausschließlich die Gerichte zuständig. Die Gewährung von Akteneinsicht an eine am Verfahren nicht beteiligte Person ist der justiziellen Tätigkeit des Gerichts zuzurechnen. Die DSB war daher auch für die Datenschutzbeschwerde gegen die Richterin unzuständig, weshalb die Datenschutzbeschwerde mangels Zuständigkeit der DSB zurückzuweisen war.

Dem Straftäter steht es offen, sich mit einer Beschwerde gemäß §§ 85a iVm 85 GOG an das zuständige Gericht zu wenden oder einen Einspruch iSd § 106 StPO zu erheben.

BVwG 02.04.2024, W176 2266382-1

Ein Betroffener beschwerte sich bei einem Sprachprüfungsverein über die fehlende Qualifikation bestimmter Sprachprüfer. Der Verein leitete das Beschwerdeschreiben an eigene Mitarbeiter sowie an das Sprachenzentrum einer Universität, das Lizenznehmer des Vereins war, weiter. Der Betroffene erhob Datenschutzbeschwerde an die DSB, weil durch die Weiterleitung des Schreibens seine Identität als Urheber des Beschwerdeschreibens offengelegt wurde. Die DSB wies die Datenschutzbeschwerde ab und verweigerte dem Betroffenen die Akteneinsicht in die Lizenzvereinbarung zwischen dem Verein und der Universität. Das BVwG wies die Bescheidbeschwerde des Betroffenen ab und befand die Verweigerung der Akteneinsicht für rechtmäßig.

Das BVwG hat erwogen: Entgegen der in der Praxis üblichen Ausdrucksweise "überwiegende berechtigte Interessen" müssen die berechtigten Interessen des Verantwortlichen (oder eines Dritten) tatsächlich die Interessen (oder Grundrechte und Grundfreiheiten) des Betroffenen nicht überwiegen – es genügt ein Gleichgewicht der Interessen.

Der Sprachprüfungsverein und das Sprachenzentrum der Universität hatten ein berechtigtes Interesse an der Datenweiterleitung, weil das Sprachenzentrum das Recht hatte, zu den Vorwürfen Stellung zu nehmen. Das Sprachenzentrum war aufgrund der Lizenzvereinbarung auch verpflichtet, sich zum Vorwurf, bei ihr kämen unqualifizierte Prüfende zum Einsatz, zu äußern. Die Identität des Betroffenen war auch deshalb offenzulegen, um die kritisierten Institutionen und Personen in die Lage zu versetzen, gegebenenfalls wegen möglichen Persönlichkeits- und Rechtsverletzungen rechtliche Schritte gegen den Betroffenen einzuleiten.

Der Betroffene musste damit rechnen, dass sein Schreiben, einschließlich seiner personenbezogenen Daten an die kritisierten Personen und Institutionen weitergegeben wird. Um eine vertrauliche Behandlung seines Schreibens ersuchte er nicht.

Betriebs- und Geschäftsgeheimnisse dürfen von der Akteneinsicht ausgenommen werden. Hinsichtlich der Lizenzvereinbarung machte der Sprachprüfungsverein in plausibler Weise geltend, dass durch ihre Offenlegung vertragliche Geheimhaltungspflichten gegenüber den Lizenznehmern verletzt würden. Anm: Die Verweigerung der Akteneinsicht erfolgt durch Verfahrensanordnung (§ 17 Abs 4 AVG). Diese Verfahrensanordnung kann nur gemeinsam mit dem Bescheid beim BVwG bekämpft werden.

BVwG 12.04.2024, W108 2275368-1

Ein Kirchenmitglied erhielt aufgrund seines mehrjährigen Rückstandes beim Kirchenbeitrag die Mahnklage einer Diözese zugestellt. Die Klage wurde an eine Liegenschaftsadresse des Kirchenmitgliedes gesandt, an der er keinen Wohnsitz hatte. Daraufhin erhob das Mitglied eine Datenschutzbeschwerde bei der DSB und brachte vor, dass die Diözese bei der Ermittlung seiner Adresse sein Recht auf Geheimhaltung verletzt habe. Die Diözese führte in ihrer Stellungnahme aus, dass ihre Mahnabteilung aufgrund eines Zustellanstandes eine ZMR-Abfrage sowie eine Internetabfrage auf den öffentlich zugänglichen Seiten der WKO durchführte. Nachdem eine Zustellung der Mahnklage an die abgefragte Adresse erfolglos blieb, beantragte die Diözese beim Gericht die Zustellung an die Liegenschaftsadresse, weil diese in der Diözesanen Katholikendatei (DKD) als ehemaliger Hauptwohnsitz des Mitglieds und seiner Ehefrau erfasst war. Die DSB wies die Datenschutzbeschwerde ab. Eine darauffolgende Bescheidbeschwerde des Kirchenmitglieds blieb erfolglos.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie zur Wahrnehmung eines berechtigten Interesses erfolgt, erforderlich ist und das Recht der betroffenen Person nicht überwiegt. Zudem müssen die Grundätze des Art 5 DSGVO erfüllt sein. Das Interesse an der Datenverarbeitung ist weit zu verstehen. Darunter fallen sowohl rechtliche als auch wirtschaftliche und ideelle Interessen. Der EuGH hat in seinem Urteil vom 17.06.2021, C-597/19, M.I.C.M, erkannt, dass die ordnungsgemäße Forderungsbetreibung ein berechtigtes Interesse sein kann. Da das Kirchenmitglied seit geraumer Zeit im Rückstand mit seinen Kirchenbeiträgen war, hatte die Diözese ein berechtigtes Interesse an der Mahnklage. Nachdem die zuvor versuchte Zustellung an die im ZMR angegebene Wohnadresse erfolglos blieb, musste die Diözese dem Gericht gemäß § 75 ZPO eine andere Adresse angeben, an welche die Mahnklage zugestellt werden konnte. Die gegenständliche Verarbeitung der Adresse war daher für das Mahnklageverfahren notwendig und das gelindeste Mittel.

Nicht maßgeblich ist, aus welcher Quelle die Diözese die Information über den früheren Hauptwohnsitz des Mitglieds erhoben hat. Denn die Eigentumsverhältnisse an der Liegenschaft sind Informationen, die die Diözese für die Zustellung der Mahnklage jedenfalls rechtmäßig aus dem – öffentlich zugänglichen – Grundbuch hätte erheben dürfen.

Betrifft eine Datenschutzbeschwerde einen grenzüberschreitenden Sachverhalt, der nicht in die Alleinzuständigkeit der DSB fällt, darf das Verfahren – bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses – dennoch nicht mit Bescheid ausgesetzt werden (BVwG 17.04.2024, W298 2281864-1).

Die Rechtsfrage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung dem Betroffenen gemäß Art 15 Abs 1 lit h DSGVO zur Verfügung zu stellen sind, ist beim EuGH in der Rs C-203/22, Dun & Bradstreet Austria, anhängig. Bis zur Entscheidung des EuGH wird das Verfahren über das Auskunftsrecht auf Bonitätsscores ausgesetzt (BVwG 17.04.2024, W287 2253353-1).

Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung beim Zugriff auf den Patientenindex sowie auf das zentrale Impfregister zum Versenden von COVID-Impferinnerungsschreiben ist beim Verwaltungsgerichtshof anhängig. Beim BVwG sind etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage anhängig. Aus Gründen der Prozessökonomie ist zu vermeiden, dass die gleiche Rechtsfrage nebeneinander in mehreren Verfahren erörtert werden muss. Zur Vereinfachung des Verfahrens und zur Bewahrung der Parteien vor der Einbringung unnötiger Revisionen bei dem Verwaltungsgerichtshof wird das Verfahren ausgesetzt (BVwG 18.04.2024, W256 2273356-1).

Vorschau EuGH-Rechtsprechung

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insb die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS, verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Datenschutzrechts-Update 15.05.2024

 

Rechtsprechung des EuGH

EuGH 07.05.2024, C‑115/22, NADA

Eine Profisportlerin, die gegen Anti-Doping-Regeln verstoßen hat, wurde von der Österreichischen Anti-Doping-Rechtskommission (ÖADR) sanktioniert. Die Daten der Sportlerin wurden von der Unabhängigen Dopingkontrolleinrichtung (NADA) auf deren Website veröffentlicht. Die Sportlerin forderte eine Überprüfung des Beschlusses durch die Unabhängige Schiedskommission (USK), die die Konformität der Veröffentlichung mit der DSGVO hinterfragte und ein Vorabentscheidungsersuchen an den EuGH richtete. Der EuGH erklärte das Vorabentscheidungsersuchen der USK für unzulässig.

Der EuGH hat erwogen: Zur Anrufung des EuGH mit einem Vorabentscheidungsersuchen sind nur solche Stellen berechtigt, die als "Gericht" iSd Art 267 AEUV eingestuft werden können. Diese Einstufung setzt voraus, dass die Einrichtung (i) eine gesetzliche Grundlage hat, (ii) ständig eingerichtet ist, (iii) eine obligatorische Gerichtsbarkeit ausübt, (iv) über streitige Verfahren entscheidet, (v) Rechtsnormen anwendet und (vi) unabhängig ist.

Die USK ist durch ein (i) nationales Gesetz eingerichtet (§ 8 Anti-Doping-Bundesgesetz; ADBG), (ii) hat einen ständigen Charakter, (iii) übt eine obligatorische Gerichtsbarkeit aus, (iv) entscheidet über streitige Verfahren und (v) wendet Rechtsnormen an. Fraglich ist jedoch, ob die USK (vi) dem Unabhängigkeitskriterium genügt. Die Unabhängigkeit erfordert im Außenverhältnis, dass die Einrichtung ihre Funktion in völliger Autonomie ausübt, ohne Anweisungen zu erhalten und ohne dem Druck von Interventionen ausgesetzt zu sein.

Dies setzt die Unabsetzbarkeit der Mitglieder der Einrichtung voraus. Dh, dass die Richter im Amt bleiben dürfen, bis sie das obligatorische Ruhestandsalter erreicht haben oder ihre Amtszeit, sofern diese befristet ist, abgelaufen ist. Ausnahmen bedürfen legitimer und zwingender Gründe, wobei der Verhältnismäßigkeitsgrundsatz zu beachten ist. Der Grundsatz der Unabsetzbarkeit ist gewährleistet, wenn Mitglieder der Einrichtung nur nach ausdrücklichen gesetzlichen Vorschriften abberufen werden können, die über die allgemeinen Regeln des Verwaltungs- und Arbeitsrechts hinausgehende Garantien bieten.

Im Innenverhältnis erfordert die Unabhängigkeit die Unparteilichkeit der Einrichtung. Dh, dass die Zusammensetzung der Einrichtung, die Ernennung, die Amtsdauer und die Gründe für Enthaltung, Ablehnung und Abberufung ihrer Mitglieder es ermöglichen, bei den Rechtsunterworfenen jeden berechtigten Zweifel an der Unempfänglichkeit der genannten Stelle für Einflussnahmen von außen auszuschließen.

Die Mitglieder der USK sind in der Ausübung ihrer Funktion grundsätzlich unabhängig und unparteilich. Ihre Bestellung kann jedoch "aus wichtigen Gründen" widerrufen werden, ohne dass diese wichtigen Gründe näher definiert werden. Es gibt daher keine spezielle Vorschrift, die die Unabsetzbarkeit der Mitglieder der USK gewährleistet. Weiters ist für die Bestellung der Mitglieder des USK ein Bundesminister und somit ein Mitglied der Exekutive zuständig, ohne dass genaue Kriterien oder Garantien festgelegt wären. Die USK ist sohin nicht als "Gericht" iSd Art 267 AEUV einzustufen.

Rechtsprechung des BVwG

BVwG 02.04.2024, W176 2277128-1

Ein Richter des BVwG sah sich mit disziplinarrechtlichen Maßnahmen konfrontiert, nachdem sein Referent wegen Krankheit länger abwesend war. Während dieser Zeit stellte man Mängel in der Aktenführung und Verfahrensadministration des Referenten fest, was zu einer Überprüfung der offenen Arbeitsaufträge und einer Durchsuchung seines Büros führte. Daraufhin erstattete der Präsident des BVwG eine Disziplinaranzeige gegen den Referenten wegen Verstößen gegen Dienstpflichten und eine weitere Anzeige gegen den Richter selbst. Grundlage dieser Disziplinaranzeigen war ein Analysebericht, der insbesondere eine bildliche Darstellung des Arbeitsplatzes im Zeitpunkt des Beginns der durchgeführten Bestandsaufnahme, Angaben zur Anzahl der auf dem Arbeitsplatz vorgefundenen Unterlagen sowie eine nähere Berichterstattung enthielt.

Infolgedessen erhob der Richter eine Datenschutzbeschwerde gegen den Präsidenten des BVwG bei der DSB. Die DSB setzte das Verfahren zunächst aus, bis der EuGH in der Rs C-245/20, Autoriteit Persoonsgegevens, entschieden hat. Danach wies sie die Beschwerde des Richters ab. Gegen diesen Bescheid erhob der Richter Bescheidbeschwerde an das BVwG. Dieses wies die Bescheidbeschwerde hinsichtlich der Datenverarbeitungen iZm der erstatteten Disziplinaranzeige wegen Unzuständigkeit zurück und im Übrigen ab.

Das BVwG hat erwogen: Datenverarbeitungen, die sich auf den Richter oder seinen Referenten beziehen, sind rechtlich unterschiedlich zu bewerten. Die Ansicht der DSB und des Präsidenten des BVwG, dass keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO vorliegt, ist bzgl der Datenverarbeitungen betreffend die Disziplinaranzeige gegen den Richter unzutreffend.

Der EuGH beschränkt die Verarbeitungen von Daten durch Gerichte "im Rahmen ihrer justiziellen Tätigkeit" nicht auf solche, welche die Gerichte während der Bearbeitung konkreter Rechtssachen durchführen. Der Begriff "justizielle Tätigkeit" schließt auch Aufgaben ein, die möglicherweise nicht direkt mit einer gerichtlichen Entscheidung verbunden sind, aber die richterliche Unabhängigkeit beeinflussen können. Selbst scheinbar administrative Aufgaben können, wenn sie Ermessen beinhalten, Einfluss auf die Unabhängigkeit der Gerichte haben. Die disziplinarrechtlichen Schritte, die man gegen den Richter einleitete, sind als justizielle Tätigkeit anzusehen, weil sie geeignet sind, Einfluss auf die Kerntätigkeit des richterlichen Organs zu nehmen. Darüber hinaus ist ein Disziplinarverfahren gegen einen Richter des BVwG ein gerichtliches Verfahren vor dem BFG als Disziplinargericht und keine (bloße) Verwaltungstätigkeit bzw rein administrative Aufgabe. Es überwiegen die Gründe, die für das Vorliegen einer "justiziellen Tätigkeit" in Art 55 Abs 3 DSGVO sprechen. Folglich ist gemäß Art 130 Abs 2a B-VG iVm § 24a BVwGG iVm §§ 84 f GOG für Beschwerden wegen Datenschutzverletzungen das BVwG (in erster Instanz) zuständig.

Hinsichtlich des Referenten fand die Datenverarbeitung in Ausübung der Dienstaufsicht über den Referenten statt. Der Präsident des BVwG handelte somit gegen kein richterliches Organ und übte keine justizielle Tätigkeit aus. Weiters war der Präsident berechtigt und verpflichtet, potenziellen Dienstpflichtverletzungen nachzugehen. Die entsprechenden Datenverarbeitungen waren erforderlich und angemessen für das Disziplinarverfahren. Darüber hinaus ist die Datenschutzbehörde bzw das BVwG in einem datenschutzrechtlichen Verfahren nicht dazu berufen, eine allgemeine Rechtskontrolle über die Verfahrensführung anderer Behörden oder Gerichte auszuüben (Übermaßverbot).

 

Ist ein Vater für sein Kind nicht mehr obsorgeberechtigt, fehlt ihm auch die Antragslegitimation für die Erhebung eines Antrags auf Wiederaufnahme des Verfahrens (BVwG 03.04.2024, W221 2280884-2).

Im verwaltungsgerichtlichen Verfahren ist die Zurückziehung einer (Datenschutz-)Beschwerde zulässig und bis zur Entscheidung des Verwaltungsgerichts möglich. Die Zurückziehung einer Datenschutzbeschwerde führt zum Verlust des Erledigungsanspruchs. Geht der Erledigungsanspruch verloren, ist das Verfahren mit Beschluss einzustellen (BVwG 19.04.2024, W258 2252485-1).

Rechtsprechung der BDB

Die Liste der Jägerschaft der jeweiligen Bezirke ist eine offizielle Liste, die für jedermann einsehbar ist und nicht dem Amtsgeheimnis unterliegt. Die Jägerschaftsliste enthält die Namen der Jagdausübungsberechtigten (= Pächter) und der mit der Jagdaufsicht betrauten, vereidigten Behördenvertreter (BDB 04.07.2023, 2023-0.375.632).

Vorschau EuGH-Rechtsprechung

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Ab 5 lit c DSGVO.

Datenschutzrechts-Update 08.05.2024

 

Rechtsprechung des EuGH

EuGH 30.04.2024, C-470/21, La Quadrature du Net II

Der französischen Behörde für Urheberrechtsschutz im Internet (Hadopi) ist der Zugang zu Verbindungsdaten für im Internet begangene Urheberrechtsverstöße ohne vorherige Kontrolle durch einen Richter gestattet. Die Verstöße müssen keine "schweren Straftaten" sein. Der Verein La Quadrature du Net beantragte deshalb die Aufhebung der entsprechenden Rechtsvorschrift.

Das vorlegende Gericht fragte den EuGH, ob (i) zu IP-Adressen zugeordnete Identitätsdaten Verkehrs- oder Standortdaten sind und einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegen müssen, (ii) die ePrivacyRL nationalen Regelungen entgegensteht, die keine vorherige Kontrolle vorsieht und (iii) die Kontrolle automatisiert stattfinden darf.

Der EuGH hat erwogen: Der Hadopi werden erhobene IP-Adressen übermittelt, welche für die Verletzung von Urheberrechten oder verwandten Schutzrechten genutzt wurden. Auf Anfrage der Hadopi haben die Internetanbieter die IP-Adressen mit den Inhabern der Adressen abzugleichen und stellen der Hadopi eine Reihe personenbezogener Daten zur Verfügung. Dies dient dazu, dass die Hadopi gegen die Verletzungen Maßnahmen ergreifen und "Empfehlungen" (Warnungen) übersenden kann. IP-Adressen sind sowohl Verkehrsdaten iSd ePrivacyRL als auch personenbezogene Daten iSd DSGVO, unterscheiden sich jedoch von den anderen Kategorien der Verkehrsdaten, weil sie einen geringeren Sensibilitätsgrad aufweisen. Werden IP-Adressen nur zur Identifizierung einer Person verwendet, sind sie jedoch Identitätsdaten.

Eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen ist zulässig, wenn ausgeschlossen ist, dass diese Speicherung einen schweren Eingriff in das Privatleben der Betroffenen darstellt. Hierzu müssen die Mitgliedstaaten sichergehen, dass die Modalitäten der Vorratsspeicherung gewährleisten, dass jede Kombination der IP-Adresse mit anderen auf Vorrat gespeicherten Daten ausgeschlossen ist und keine Schlüsse auf das Privatleben der Personen gezogen werden können. Hierfür muss jede Kategorie von Daten völlig getrennt voneinander gespeichert werden und eine strikte Trennung zwischen den Kategorien stattfinden. Außerdem muss die Dauer der Speicherung auf das absolut notwendigste begrenzt werden und die Betroffenen müssen über wirksame Rechtsschutzgarantien verfügen. Der Zugang von Hadopi darf nur der Identifizierung von Personen dienen, die im Verdacht stehen eine Straftat begangen zu haben.

Eine vorherige Kontrolle des Zugangs durch ein Gericht oder eine unabhängige Verwaltungsstelle ist dann erforderlich, wenn die Behörde durch den Zugang genaue Schlüsse auf das Privatleben des Betroffenen ziehen und somit schwerwiegend in seine Grundrechte eingreifen könnte. Eine solche Kontrolle darf nicht vollständig automatisiert sein, weil die kontrollierende Stelle für einen Ausgleich zwischen den berechtigten Interessen im Rahmen der Kriminalitätsbekämpfung und dem Grundrecht auf Schutz personenbezogener Daten der Person, auf dessen Daten zugegriffen wird, zu sorgen hat. Zudem müssen die von den Behörden genutzten Datenverarbeitungssysteme regelmäßig von unabhängigen Stellen kontrolliert werden.

EuGH 30.04.2024, C-178/22, Procura della Repubblica presso il Tribunale di Bolzano

Ein italienisches Gesetz verpflichtet Gerichte, der Staatsanwaltschaft den Zugang zu Verkehrs- oder Standortdaten zur Verfolgung schwerer Straftaten zu genehmigen. Der italienische Gesetzgeber stufte Straftaten, die mit einer Freiheitsstrafe im Höchstmaß "von mindestens drei Jahren" bedroht sind, als schwere Straftaten ein.

Das vorlegende Gericht fragte den EuGH, ob dieses Gesetz mit Art 15 der ePrivacyRL vereinbar ist, weil durch das Abstellen auf die Schwelle von "drei Jahren Freiheitsstrafe" auch die Verfolgung von Straftaten erfasst ist, die nur eine begrenzt sozialschädliche Wirkung entfalten (zB Diebstähle von Mobiltelefonen oder Fahrrädern).

Der EuGH hat erwogen: Der Zugang zu Verkehrs- oder Standortdaten wie IMEI-Codes, Websiteaufrufe, Zeitpunkt und Dauer von Anrufen, gesendete und empfangene SMS/MMS ermöglicht genaue Rückschlüsse auf das Privatleben einer Person (zB Gewohnheiten des täglichen Lebens, Aufenthaltsorte oder soziale Beziehungen). Ein solcher Eingriff in die Privatsphäre kann nur durch die Ziele der Bekämpfung schwerer Straftaten oder der Verhütung ernsthafter Bedrohungen der öffentlichen Sicherheit gerechtfertigt werden.

Die Definition des Begriffs "schwere Straftaten" ist Sache der Mitgliedstaaten. Diese Definition muss aber den Anforderungen des Art 15 ePrivacyRL und der GRCh entsprechen. Eine Definition, wonach "schwere Straftaten" solche sind, für die die Freiheitsstrafe im Höchstmaß mindestens eine gesetzlich bestimmte Dauer beträgt, ist auf ein objektives Kriterium gestützt und steht damit im Einklang mit diesen Anforderungen. Das Fehlen der Bezugnahme auf eine anwendbare Mindeststrafe verstößt nicht zwangsläufig gegen den Grundsatz der Verhältnismäßigkeit. Die Gerichte müssen aber befugt sein, den Zugriff auf die Daten zu verweigern oder einzuschränken, wenn sie feststellen, dass es sich bei der betreffenden Tat offensichtlich um keine schwere Straftat handelt.

EuGH 30.04.2024, C-670/22, M.N. (EncroChat)

Französische Behörden installierten eine Trojaner-Software auf Kryptohandys von Personen im Bereich der Betäubungsmittelkriminalität, die den sogenannten "EncroChat"-Dienst nutzten, um Ende-zu-Ende verschlüsselte Telekommunikation zu betreiben, die mit herkömmlichen Ermittlungsmethoden nicht überwacht werden konnte. Betroffen waren ca 32.500 Nutzer in 122 Ländern, davon ca 4.600 in Deutschland. Die Generalstaatsanwaltschaft Frankfurt ersuchte daher die französischen Behörden mittels einer Europäischen Ermittlungsanordnung (EEA), die von ihnen erhobenen EncroChat-Daten zu erlangen, um diese in Strafverfahren verwenden zu können. Der EuGH präzisierte bestimmte, sich aus der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen ergebende Voraussetzungen für die Übermittlung und Verwendung von Beweismitteln.

Der EuGH hat erwogen: Eine EEA, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Staats befinden, in dem die EEA vollstreckt werden soll (Vollstreckungsstaat), muss nicht notwendigerweise von einem Richter erlassen werden. Sie kann von einem Staatsanwalt erlassen werden, wenn dieser in einem rein innerstaatlichen Verfahren dafür zuständig ist, die Übermittlung bereits erhobener Beweise anzuordnen.

Der Erlass einer solchen Anordnung unterliegt denselben materiell-rechtlichen Voraussetzungen, wie sie für die Übermittlung ähnlicher Beweismittel bei einem rein innerstaatlichen Sachverhalt gelten. Nicht erforderlich ist, dass er denselben materiell-rechtlichen Voraussetzungen unterliegt, wie sie für die Erhebung der Beweise gelten.

Die Infiltration von Endgeräten, die auf die Abschöpfung von Kommunikations-, Ver-kehrs- oder Standortdaten eines internetbasierten Kommunikationsdienstes abzielt, ist eine Überwachung des Telekommunikationsverkehrs. Der Mitgliedstaat, in dessen Hoheitsgebiet sich die Zielperson der Überwachung befindet, muss von dieser Überwachungsmethode unterrichtet werden. Sollte der überwachende Mitgliedstaat nicht in der Lage sein, die zuständige Behörde des zu unterrichtenden Mitgliedstaats zu ermitteln, kann die Unterrichtung an jede Behörde gerichtet werden, die der überwachende Mitgliedstaat für geeignet hält.

Die zuständige Behörde des Mitgliedstaats, in dem sich die Zielperson befindet, kann die Überwachung des Telekommunikationsverkehrs untersagen oder beenden, wenn die Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Auch kann sie der Behörde des überwachenden Mitgliedstaats mitteilen, dass das bereits gesammelte Material nicht oder nur unter den von ihr festzulegenden Bedingungen verwendet werden darf. Dies dient einerseits der Achtung der Souveränität des unterrichteten Mitgliedstaats, andererseits dem Schutz des Betroffenen.

Es muss ein nationaler Rechtsbehelf für Betroffene bestehen. Das nationale Strafgericht muss Beweismittel gegen die Zielperson unberücksichtigt lassen, wenn diese nicht in der Lage ist, sachgerecht zu ihnen Stellung zu nehmen und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Rechtsprechung des VwGH

VwGH 06.03.2024, Ro 2021/04/0027

Ein Betroffener beschwerte sich wegen unvollständiger Auskunftserteilung an die DSB, die seine Datenschutzbeschwerde abwies. Nachdem seine Bescheidbeschwerde vom BVwG abgewiesen wurde, richtete der Betroffene eine Revision an den VwGH. Der Revision wurde der Erfolg ebenso versagt.

Der VwGH hat erwogen: Das DSG sieht als Rechtsbehelf im Fall einer datenschutzrechtlichen Rechtsverletzung explizit einen Feststellungantrag im Rahmen der Beschwerde vor. Dieser ist gemäß § 24 Abs 5 DSG Folge zu geben, sofern sie sich als berechtigt erweist.

Kommt der Beschwerdegegner dem Leistungsbegehren (Auskunft, Richtigstellung, Löschung) nach, kommt die Feststellung einer Rechtsverletzung nicht mehr in Frage. Dem steht die DSGVO nicht entgegen, weil diese keine Feststellung einer Rechtsverletzung verlangt.

Es ist nicht ersichtlich, inwiefern es erforderlich wäre, dem Betroffenen eine Feststellung über eine bereits beseitigte Rechtsverletzung zuzugestehen. Wenn das Rechtsschutzbegehren darauf abzielt, eine bestimmte Leistung zu erhalten, die zum Entscheidungszeitpunkt erfüllt wurde, hat der Betroffene sein Rechtsschutzziel erreicht. Dies steht einem allfälligen Schadenersatzanspruch wegen der verspäteten Auskunftserteilung nicht entgegen, weil die Frage der Verspätung im Verfahren über das Ersuchen um Auskunftserteilung selbst nicht geklärt wird. Die Feststellung der Aufsichtsbehörde betreffend die verspätete Auskunftserteilung ist auch nicht Voraussetzung für eine Schadenersatzklage vor den Zivilgerichten. Ein Betroffener ist daher an der Verfolgung seiner Ansprüche nicht gehindert.

Eine "entscheidende Erleichterung" bei der Geltendmachung weiterer Ansprüche begründet kein rechtliches Interesse an einem Feststellungsbescheid.

Gemäß § 358 ASVG wird die unbedingte Anknüpfung an das "wahre" Geburtsdatum aufgegeben. Das biologische Geburtsdatum und das sozialversicherungsrechtliche Geburtsdatum sind unterschiedliche Datenkategorien. Die Regelung des § 358 ASVG ist eine zulässige Beschränkung gemäß Art 23 DSGVO, weshalb kein Recht auf Berichtigung besteht (VwGH 08.04.2024, Ra 2022/04/0056).

Bei einer im Einzelfall vorgenommenen Interessenabwägung ist die Revision an den VwGH nur dann zulässig, wenn das Ergebnis der Abwägung im angefochtenen Erkenntnis des BVwG in unvertretbarer Weise erzielt worden ist (VwGH 02.04.2024, Ro 2021/04/0018).

Einer Revision ist die aufschiebende Wirkung zuzuerkennen, wenn der Zuerkennung keine zwingenden öffentlichen Interessen entgegenstehen (VwGH 04.03.2024, Ra 2024/04/0010).

Rechtsprechung des BVwG

BVwG 09.11.2022, W292 2256548-1

Bei einer Häftlingsüberstellung verletzte ein Häftling eine Justizwachebeamtin. Die Justizanstalt erstattete Strafanzeige gegen den Häftling und legte der Anzeige Unterlagen der Justizwachebeamtin bei, die den Namen, die Kontaktdaten, die private Mobiltelefonnummer und Gesundheitsdaten enthielten. Die Staatsanwaltschaft (StA) prüfte nicht ob in den übermittelten Unterlagen personenbezogene Daten enthalten waren. Durch Akteneinsicht im Ermittlungsverfahren erlangte der Häftling Kenntnis über die Daten der Justizwachebeamtin. Infolgedessen drohte der Häftling der Justizwachebeamtin, sie an ihrem Wohnort aufzusuchen. Nach Einbringen des Strafantrags regte die StA bei dem zuständigen Richter die Schwärzung der Gesundheitsdaten im Akt an. Dieser Anregung folgte das Gericht nicht. Durch die Offenlegung der Daten durch die StA sah die Justizwachebeamtin sich in Ihrem Recht auf Geheimhaltung verletzt und erhob (erfolglose) Datenschutzbeschwerde bei der DSB. Gegen den Bescheid erhob sie Bescheidbeschwerde an das BVwG. Dieses hob die Entscheidung der DSB auf und stellte eine Verletzung des Rechts auf Geheimhaltung fest.

Das BVwG hat erwogen: Die StA ist datenschutzrechtlich für die Durchführung des Ermittlungsverfahrens verantwortlich. Sie hat zu jedem Zeitpunkt des Verfahrens die Grundsätze der Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit einzuhalten. Die Aufnahme der privaten Mobiltelefonnummer der Justizwachebeamtin in den Ermittlungsakt und die Übermittlung an den Haft- und Rechtsschutzrichter erfolgte unrechtmäßig. Die Verarbeitung der privaten Mobiltelefonnummer war zur Erfüllung der gesetzlichen Aufgaben der StA iSd § 74 StPO und der §§ 37 und 38 DSG nicht erforderlich.

Die Verarbeitung der weiteren Angaben der Justizwachebeamtin hat unter Wahrung des Geheimhaltungsinteresses und den Vorgaben des § 74 Abs 2 StPO zu erfolgen. Die StA hat Schritte zu unternehmen, um zu überprüfen, ob Unterlagen personenbezogene Daten enthalten, die für die Erfüllung ihrer Aufgaben nicht erforderlich sind. Auch hat die StA Maßnahmen zu ergreifen, um personenbezogene Daten vor unbeabsichtigter Weitergabe im Laufe eines Strafverfahrens zu schützen.

Das BVwG hat in einer bankenrechtlichen Angelegenheit dem EuGH zur Vorabentscheidung die Frage vorgelegt, ob die Regelung des § 35 FM-GwG, wonach juristische Personen nur unter bestimmten Voraussetzungen bestraft werden dürfen, mit Art 60 Abs 5 der 4. GeldwäscheRL vereinbar ist. Der Vorlagebeschluss ist ua darauf gestützt, dass die im Wesentlichen inhaltsgleiche Regelung des § 30 DSG infolge des EuGH Urteils in der Rs Deutsche Wohnen (C-870/21) nunmehr als unionrechtswidrig gilt (BVwG 25.04.2024, W148 2289668-1).

Rechtsprechung der DSB

DSB 26.01.2024, 2024-0.044.042

Eine Gemeinde beabsichtigte, ihr gesamtes Straßennetz mittels Panoramaaufnahmen zu dokumentieren, um eine umfassende Datenbasis für städtische Infrastrukturprojekte zu schaffen. Für die Durchführung des Projekts verhandelte sie mit dem Anbieter DataViewing. Vor Beginn des Projekts führte die Gemeinde eine Datenschutz-Folgenabschätzung (DSFA) durch. Diese ergab ein hohes Risiko für Betroffene, insbesondere wegen der Identifizierbarkeit von Personen und KFZ-Kennzeichen. Die angebotene Lizenzierung beinhaltete lediglich eine 95%ige Verpixelung. Eine vollständige Verpixelung hätte mehr gekostet. Die Gemeinde beantragte daher eine vorherige Konsultation bei der DSB (Art 36 DSGVO). Die DSB wies den Antrag zurück, weil die Voraussetzungen für die vorherige Konsultation gemäß Art 36 DSGVO mangels in der DSFA (dargelegtem) hohen Risikos nicht vorlagen.

Die DSB hat erwogen: Sind die entsprechenden Voraussetzungen erfüllt, ist die vorherige Konsultation keine Möglichkeit, sondern eine Verpflichtung des Verantwortlichen. Die Art 32, 35 und 36 DSGVO normieren ein dreistufiges System, wonach die Hürden für risikoreiche Verarbeitungen abhängig von der Höhe des Risikos und der Schwierigkeit, dieses Risiko einzudämmen, steigen.

Zum Zeitpunkt der Erstellung von Panoramabildern sind Personen und Kennzeichen identifizierbar, es werden somit personenbezogene Daten verarbeitet. Weite Teile des öffentlichen Straßennetzes im Gemeindegebiet zu erfassen, ist aufgrund des Verarbeitungsumfangs mit potenziell vielen Betroffenen mit einem hohen Risiko verbunden. Die Zweck-Mittel-Entscheidung über diese Datenerfassung trifft jedoch die DataViewing.

Die Gemeinde ist somit nicht die verantwortliche Stelle für diese Datenverarbeitung. Weiters haben Aufnahmen bereits stattgefunden. Schon alleine deshalb ist der Verarbeitungsvorgang einer vorherigen Konsultation nicht zugänglich.

DataViewing prüft nach Erfassen des Straßennetzes die einzelnen Aufnahmen und gibt sie erst in bearbeiteter Form an die Gemeinde weiter. Die Verpixelung verringert die Identifizierbarkeit und hat einen datenminimierenden Effekt. Für die Gemeinde als potenzielle Lizenznehmerin ist der Personenbezug nicht notwendig, daher erscheint dies auch als geeignete technische und organisatorische Maßnahme gemäß Art 25 und 32 DSGVO. Aufgrund der fehlenden Ganzkörperverpixelung wird jedoch die Identifizierbarkeit nicht gänzlich beseitigt. Zudem ist aufgrund möglicher technischer Gebrechen mit unzureichenden Verpixelungen zu rechnen.

Indem die Gemeinde, das von DataViewing prozessierte Bildmaterial über einen Webviewer zur Schaffung einer Geodateninfrastruktur abfragt, wird sie selbst zum Verantwortlichen iSd Art 4 Z 7 DSGVO. Das Restrisiko für diesen Verarbeitungsvorgang wurde von der Gemeinde jedoch als "niedrig" eingestuft. Ist das Risiko niedrig, liegen die Voraussetzungen für eine vorherige Konsultation laut der DSFA nicht vor. Eine über die DSFA hinausgehende Prüfung liegt nicht im Aufgabenbereich der DSB.

Das Konsultationsverfahren dient nicht der Beantwortung allgemeiner Fragestellungen hinsichtlich der Zulässigkeit von Verarbeitungstätigkeiten und noch weniger zur Beurteilung der Angemessenheit allfälliger Zusatzangebote (bzw der damit verbundenen Kosten). Im Übrigen kann auch ein (zulässiges) Konsultationsverfahren in keinem Fall "abschließende Rechtssicherheit" durch die DSB gewähren.

Rechtsprechung der BDB

BDB 18.04.2024, 2023-0.907.787

Ein Polizeibeamter hat während der Ausübung seines Dienstes mehrere Abfragen zu Personen und Kennzeichen durchgeführt, ohne diese entsprechend zu dokumentieren. Unter anderem Adressenabfragen von ehemaligen Kollegen, um diesen Einladungen zu einer Abschiedsfeier zu schicken und eine Kennzeichenabfrage vom Auto seines Sohnes, welcher sich nicht an sein neues Kennzeichen erinnern konnte.

Die BDB hat erwogen: Der Polizeibeamte hat insgesamt 26 Abfragen durchgeführt, wobei die von ihm angeführten Gründe teilweise nicht schlüssig und teilweise unzureichend waren. Er arbeitet seit acht Jahren in diesem Bereich und hat jährlich eine Datenschutzerklärung unterfertigt, in der auf die datenschutzrechtlichen Vorschriften hingewiesen wurde. Demnach dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke und zur Erfüllung einer Aufgabe verarbeitet werden. Bei den Abfragen betreffend seine Kollegen und seines Sohnes handelte es sich eindeutig um keine dienstlichen, sondern um private und somit ungerechtfertigte Abfragen. Aus diesem Grund hat der Polizeibeamte gegen näher bezeichnete Dienstanweisungen verstoßen, weshalb eine Geldbuße gegen ihn verhängt wurde.

Vorschau EuGH-Rechtsprechung

Am 05.2024 hat der EuGH in der Rs C-115/22, NADA, entschieden. Das Vorabentscheidungsersuchen wurde als unzulässig zurückgewiesen. Wir werden nächste Woche berichten.

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Ab 5 lit c DSGVO.

Datenschutzrechts-Update 03.05.2024

 

Rechtsprechung des EuGH

EuGH Schlussanträge 25.04.2024, C-446/21, Schrems (Communication de données au grand public)

Ein Facebook-Nutzer klagte Meta, weil seine personenbezogenen Daten, insbesondere zu seiner sexuellen Orientierung, für personalisierte Werbung verwendet wurden. Zwar hat er seine Homosexualität öffentlich erwähnt, aber nicht auf seinem Facebook-Profil angegeben. Außerdem hat der Nutzer es Meta nicht gestattet, bestimmte Profil-Informationen (zB Beziehungsstatus, Arbeitgeber, Beruf, Ausbildung) für personalisierte Werbung zu verwenden. Dennoch erhielt er regelmäßig Werbung, die sich an Homosexuelle richtete.

Das vorlegende Gericht zog zwei seiner ursprünglichen Fragen zurück, weil diese bereits Gegenstand eines anderen EuGH-Verfahrens waren. Zu klären blieb, ob personenbezogene Daten uneingeschränkt für personalisierte Werbung genutzt werden dürfen und ob die öffentliche Bekanntmachung sensibler Daten durch den Betroffenen die Verwendung dieser Daten für personalisierte Werbung erlaubt.

Der Generalanwalt hat erwogen: Der Grundsatz der Datenminimierung (Art 5 Abs 1 lit c DSGVO) steht der schrankenlosen Verarbeitung personenbezogener Daten nach Speicherdauer oder Art der Daten für die Zwecke personalisierter Werbung entgegen. Das vorlegende Gericht hat im Rahmen einer Einzelfallbeurteilung und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu prüfen, ob die Speicherdauer und die Art der verarbeiteten Daten für die personalisierte Werbung angemessen sind. Dem Gericht steht es dabei frei, zwischen "statischen" Daten (zB Alter, Geschlecht) und "verhaltensorientierten" Daten (zB Surfverhalten) sowie zwischen der Erhebung von Daten, die ein "aktives" Verhalten (zB Anklicken eines Like-Button) oder ein "passives" Verhalten (zB bloßer Besuch einer Website) betreffen, zu unterscheiden. Das vorlegende Gericht darf auch unterscheiden, ob die Daten innerhalb oder außerhalb der Facebook-Plattform erhoben werden. Dabei sind die jeweils zweitgenannten Unterscheidungen für den Betroffenen jeweils eingriffsintensiver. Zu berücksichtigen sind die vernünftigen Erwartungen des Betroffenen.

Gemäß Art 9 Abs 2 lit e DSGVO dürfen sensible Daten verarbeitet werden, wenn sie der Betroffene öffentlich bekannt gemacht hat. Dies erfordert die objektive Bedingung, dass die personenbezogenen Daten offensichtlich öffentlich gemacht wurden und die subjektive Bedingung, dass dies durch den Betroffenen geschah. Der Nutzer hat seine sexuelle Orientierung beiläufig im Rahmen einer Podiumsdiskussion offengelegt. Dies ist eine Handlung, mit der in voller Kenntnis der Sachlage sensible Daten offensichtlich öffentlich gemacht wurden. Aufgrund des offenen Charakters der live und dann als Streaming übertragenen Veranstaltung sowie des Interesses der Öffentlichkeit an dem dort behandelten Thema wurde ein unbestimmtes Publikum erreicht, das weit über das im Saal anwesende Publikum hinausgeht. Indem der Nutzer seine sexuelle Orientierung im Rahmen einer offenen und der Presse zugänglichen Veranstaltung offen erwähnte, hatte er zumindest das volle Bewusstsein, dieses Datum öffentlich zu machen. Die Anwendung des Art 9 Abs 2 lit e DSGVO hat aber lediglich zur Folge, dass der besondere Schutz durch den Betroffenen bewusst aufgehoben wird und die ursprünglich "geschützten" personenbezogenen Daten zu "gewöhnlichen" (dh nicht sensiblen) Daten werden. Die öffentliche Bekanntmachung allein bedeutet jedoch nicht, dass die Daten für die Zwecke der personalisierten Werbung verarbeitet werden dürfen.

EuGH Schlussanträge 25.04.2024, C-21/23, Lindenapotheke

Das vorlegende Gericht fragte den EuGH, ob (i) eine Apotheke, die Arzneimittel online verkauft, aufgrund eines Verstoßes gegen die DSGVO von einem Mitbewerber auf Unterlassung geklagt werden kann, und (ii) Daten, die bei der Online-Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln übermittelt werden, Gesundheitsdaten im Sinne der DSGVO sind.

Der Generalanwalt hat erwogen: Die DSGVO räumt nur natürlichen Personen Rechte ein. Unternehmen können sich aber inzident auf die Bestimmungen der DSGVO berufen, wenn sie eine Klage auf der Grundlage des nationalen Rechts erheben, wie etwa eine Unterlassungsklage wegen unlauteren Wettbewerbs. Eine solche Klage ist dann zulässig, wenn sie das in der DSGVO vorgesehene System von Rechtsbehelfen, die Ziele und die praktische Wirksamkeit der DSGVO nicht beeinträchtigt. Die Bestimmungen von Kapitel VIII der DSGVO stehen einer Klage eines Unternehmens aufgrund unlauteren Wettbewerbs, weil Mitbewerber gegen die materiellen Bestimmungen der DSGVO verstoßen haben, nicht entgegen.

Der Begriff der Gesundheitsdaten ist weit auszulegen und umfasst alle Daten, aus denen Informationen über den Gesundheitszustand eines Betroffenen hervorgehen. Diese Informationen müssen aber ein Mindestmaß an Gewissheit über den Gesundheitszustand bieten und nicht bloß hypothetisch oder ungenau sein. Der Kontext, in dem die Daten erhoben und verarbeitet werden, sowie die Identität des für die Verarbeitung Verantwortlichen ist zu berücksichtigen. Die Daten der Kunden einer Apotheke, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, sind keine Gesundheitsdaten, weil die bestellten Arzneimittel nicht auf die Behandlung eines bestimmten Krankheitszustands abstellen, sondern auch allgemein für Alltagsbeschwerden oder rein vorsorglich verwendet werden können. Es ist auch nicht sicher, dass die bestellende Person jene Person ist, die das Arzneimittel anwendet. Auch kann eine Person etwas bestellen, ohne genaue Angaben zu ihrer Identität zu machen.

Der Umstand, dass zur Identifizierung des Betroffenen zusätzliche Informationen erforderlich sind, vermag nicht auszuschließen, dass die fraglichen Daten als personenbezogene Daten qualifiziert werden können. Die Möglichkeit, die fraglichen Daten mit zusätzlichen Informationen zu kombinieren, muss jedoch ein Mittel sein, das nach allgemeinem Ermessen wahrscheinlich genutzt wird, um den Betroffenen zu identifizieren (EuGH 07.03.2024, C-479/22P, OC/Kommission). Anm: Dieses Urteil ist bereits am 07.03.2024 veröffentlicht worden.

Rechtsprechung des EuG

Der Zugang der Öffentlichkeit zu amtlichen Dokumenten gemäß VO (EG) 1049/2001 darf beschränkt werden, wenn der Aufwand zum Schwärzen personenbezogener Daten einen unverhältnismäßigen Verwaltungsaufwand verursachen und dadurch gegen den Grundsatz der ordnungsgemäßen Verwaltung verstoßen würde. (EuG 24.04.2024, T-205/22, Naass und Sea-Watch/Frontex).

Rechtsprechung des VwGH

VwGH 06.03.2024, Ro 2021/04/0030

Ein Betroffener stellte ein Auskunftsersuchen an eine Kreditauskunftei. Die erteilte Auskunft erachtete er für unvollständig. Der Betroffene erhob Datenschutzbeschwerde wegen Verletzungen in seinen Rechten auf Geheimhaltung und Auskunft sowie wegen Verletzungen der Informationspflicht nach Art 14 DSGVO, der Datenminimierungspflicht nach Art 5 DSGVO sowie der Datensicherungspflichten nach Art 25 DSGVO. Die DSB wies die Datenschutzbeschwerde teilweise ab und teilweise zurück. Das BVwG gab der Bescheidbeschwerde des Betroffenen teilweise statt. Die DSB und die Kreditauskunftei erhoben Revisionen gegen das Erkenntnis des BVwG, denen der VwGH teilweise stattgab.

Der VwGH hat erwogen: Die Feststellung einer Verletzung im Recht auf Auskunft ist im DSG ausdrücklich vorgesehen. Deshalb ist die Rechtsprechung zur Subsidiarität von Feststellungsbescheiden auf Datenschutzbeschwerden wegen Verletzung im Recht auf Auskunft nicht anzuwenden.

Die Kreditauskunftei hat den Betroffenen in seinem Recht auf Auskunft durch die fehlende Bekanntgabe der genauen Speicherdauer jedoch nicht verletzt, weil die Kreditauskunftei über die Kriterien für die Festlegung der Speicherdauer hinreichend präzise informiert hat. Darauf, ob die beauskunftete Speicherdauer mit dem Grundsatz der Speicherbegrenzung vereinbar ist, kommt es bei der Beurteilung der Auskunft nicht an.

Gemäß Art 77 DSGVO haben Betroffene das Recht auf Datenschutzbeschwerde, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Der Wortlaut des Art 77 DSGVO stellt somit nicht auf eine Verletzung in Rechten, sondern auf einen Verstoß der Datenverarbeitung gegen die DSGVO ab. Eine Datenschutzbeschwerde kann daher auf einen der Grundsätze des Art 5 Abs 1 DSGVO (zB Datenminimierung) gestützt werden.

Eine Verletzung im Recht auf Geheimhaltung ist nicht in jedem Fall automatisch auch ein Verstoß gegen die DSGVO. Umgekehrt ist nicht ausgeschlossen, dass in einer Datenschutzbeschwerde nach Art 77 DSGVO ein Verstoß gegen die DSGVO geltend gemacht wird, die keine Verletzung im Recht auf Geheimhaltung ist.

Die Informationspflicht nach Art 14 DSGVO unterscheidet sich von den Regelungen der Rechte auf Auskunft, Berichtigung und Löschung dadurch, dass sie von keinem Antrag des Betroffenen abhängt. Demnach gibt es keinen Leistungsantrag, dem der Verantwortliche entsprechen könnte. Die Rechtsverletzung liegt in der Unterlassung der (antraglos zu erfolgenden) Mitteilung. Die nachträgliche Beseitigung der Pflichtverletzung gemäß § 24 Abs 6 DSG ist nicht möglich.

Die Informationspflicht nach Art 14 DSGVO erfordert ein proaktives Handeln des Verantwortlichen. Die Bereitstellung einer Datenschutzerklärung auf der Homepage ist nicht ausreichend, wenn der Betroffene keine Kenntnis von der Datenverarbeitung hat. Die Kreditauskunftei hat ihre Informationspflicht nach Art 14 Abs 1 lit e DSGVO verletzt, weil sie den Betroffenen nicht aktiv informierte. Anm: Nach der bisherigen Rechtsprechung der DSB konnte eine Datenschutzbeschwerde nur auf die Verletzung subjektiver Rechte gestützt werden, wobei die Verletzung des Rechts auf Geheimhaltung aus Verletzungen unterschiedlichster Bestimmungen der DSGVO hergeleitet werden konnte. Nunmehr kann eine Datenschutzbeschwerde auf die Verletzung jeder Bestimmung der DSGVO gestützt werden.

Nach der bisherigen Rechtsprechung der DSB und des BVwG konnten Verströße gegen das Recht auf Information (Art 13 und 14 DSGVO) bis zum Ende des Verfahrens vor der DSB bzw des BVwG saniert werden. Das ist nun nicht mehr möglich, weshalb mit einer zunehmenden Zahl von Bescheiden wegen Verletzung der Informationspflicht zu rechnen ist.

VwGH 02.04.2024, Ro 2021/04/0008

Ein Betroffener richtete ein Auskunftsersuchen an eine Kreditauskunftei, die ihren Geschäftskunden Scorewerte in der Form von Ampelfarben zur Verfügung gestellt haben soll. Die Kreditauskunftei erteilte nach Ansicht des Betroffenen keine vollständige Auskunft. Die DSB und auch das BVwG stellten jeweils fest, dass die Kreditauskunftei den Betroffenen in seinem Auskunftsrecht teilweise verletzt hat. Das BVwG entschied jedoch, dass der Betroffene kein Recht auf Auskunft gemäß Art 15 Abs 1 lit h DSGVO habe, weil die Auskunftei keine automatisierte Entscheidung iSd Art 22 DSGVO treffe.

In der Zwischenzeit sprach der EuGH mit Urteil vom 07.12.2023, C-634/21, SCHUFA Holding (Scoring) aus, dass Profiling eine "automatisierte Entscheidung im Einzelfall" iSd Art 22 Abs 1 DSGVO ist, wenn das Ergebnis des Profiling für eine bestimmte – weitere – Entscheidung insofern maßgeblich ist, als das Handeln des Dritten von dem betreffenden Profiling bzw Scorewert maßgeblich geleitet wird, und so den Betroffenen erheblich beeinträchtigt. Der VwGH behob daher das Erkenntnis des BVwG im angefochtenen Spruchpunkt.

Der VwGH hat erwogen: Der Ansicht des BVwG zur Frage der Anwendbarkeit des Art 15 Abs 1 lit h DSGVO kann vor dem Hintergrund der Rechtsprechung des EuGH nicht gefolgt werden, weil der Umstand, dass der Verantwortliche das Ergebnis des Profiling (bloß) an eine dritte Person weitergibt, die darauf eine Entscheidung gründet, nichts daran ändert, dass das Profiling selbst eine automatisierte Entscheidung im Sinne des Art 22 Abs 1 DSGVO ist, sofern der sich aus dem Profiling ergebende Informationswert maßgeblich die von der dritten Person vorgenommene Entscheidung beeinflusst und derart dem Betroffenen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Das BVwG traf keine Feststellungen zum von der Kreditauskunftei als Bonitätsbeurteilung erstellten "Ampelwert", der wiederum von Kunden der Kreditauskunftei als Grundlage für den Abschluss von Verträgen herangezogen worden sein könnte. Aufgrund dieses sekundären Feststellungsmangels ist das Erkenntnis im angefochtenen Spruchpunkt zu beheben. Anm: Sowohl der Betroffene als auch die DSB haben gegen denselben Spruchpunkt des BVwG-Erkenntnisses Revisionen an den VwGH erhoben. Beide erstatteten Revisionsbeantwortungen auf die Revision des/der jeweils andere/n, obwohl die Revisionen dasselbe Ziel verfolgten. Der VwGH wies beide Revisionsbeantwortungen als unzulässig zurück, weil der Betroffene wie auch die DSB in Wirklichkeit ihre eigenen Revisionen weiter ausführten.

Über Datenschutzbeschwerden, die auf eine Verletzung im Recht auf Auskunft gerichtet sind, ist – auch wenn das Auskunftsersuchen vor Inkrafttreten der DSGVO gestellt wurde – die neue Rechtslage, dh Art 15 DSGVO, anzuwenden (VwGH 06.03.2024, Ro 2021/04/0037).

Rechtsprechung des BVwG

BVwG 27.03.2023, W214 2259197-1

Ein Fußgänger passierte ein geparktes und verriegeltes Fahrzeug. Über Nachschau durch das Fahrerfenster stellte der Fußgänger fest, dass der Halter des Fahrzeugs einen "Überwachungsmodus" aktiviert hatte, in dem die am Fahrzeug befestigten Kameras Bewegungen im Nahebereich des Fahrzeuges erkennen und aufzeichnen können. Die DSB wies die wegen Verletzung im Recht auf Geheimhaltung eingebrachte Datenschutzbeschwerde ab. Auch den Antrag des Fußgängers, eine Verletzung in seinen Informationsrechten durch den Fahrzeughalter festzustellen, wies die DSB ab.

Das BVwG hat erwogen: Der "Überwachungsmodus" ist eine Funktion zur Überwachung des Fahrzeugs gegen etwaige Einbrüche oder Diebstähle. Wenn diese Funktion aktiviert ist, bleiben die am Fahrzeug angebrachten Kameras und Sensoren eingeschaltet und bereit zur Aufzeichnung verdächtiger Aktivitäten rund um das Fahrzeug. Der Modus benötigt ein korrekt formatiertes USB-Laufwerk, das in den USB-Anschluss des Fahrzeugs eingesteckt ist, um Aufnahmen auf dem USB-Stick zu speichern und abzuspielen. Zum Zeitpunkt des Passierens des Fußgängers war zwar kein USB-Stick angeschlossen. Die fehlende Speicherung der Videosequenz ändert allerdings nichts daran, dass der Fußgänger von den Kameras erfasst und somit eine Datenverarbeitung durchgeführt wurde. Insofern trifft aufgrund der erfolgten Bildverarbeitung den Fahrzeughalter auch die Pflicht zur Information bei Erhebung personenbezogener Daten nach der DSGVO.

Das Gesetz sieht als Rechtsbehelf im Fall einer datenschutzrechtlichen Rechtsverletzung explizit einen Feststellungsantrag im Rahmen der Datenschutzbeschwerde vor, der gemäß § 24 Abs 5 DSG Folge zu geben ist, sofern sie sich als berechtigt erweist. Da die Informationspflichten im Zeitpunkt der Datenerhebung zu erfüllen sind, kommt es darauf an, ob es einem Verantwortlichen zu diesem Zeitpunkt grundsätzlich möglich ist, den Betroffenen zu kontaktieren und ihm die gebotenen Informationen zur Verfügung zu stellen. Dies ist prinzipiell der Fall, wenn der Betroffene selbst als unmittelbare Datenquelle dient, indem der Verantwortliche entweder seine Erscheinung oder sein Verhalten synchron wahrnimmt oder mit ihr in einen – auch asynchronen – persönlichen Kontakt tritt. Demgegenüber ist es irrelevant, ob der Betroffene aktiv an der Datenerhebung mitwirkt, sich ihr entziehen kann oder auch nur von ihr weiß. Da der Fahrzeughalter die entsprechenden Informationen im Zeitpunkt der Datenverarbeitung – während des Parkvorgangs – nicht zur Verfügung gestellt hatte, verletzte er die Informationspflicht.

BVwG 01.03.2024, W176 2249967-1

Ein Journalist begehrte beim AMS eine Auskunft nach dem AuskunftspflichtG, über die Unternehmen, die im Zuge der COVID-19-Pandemie Kurzarbeitsbeihilfen von mehr als 100.000 Euro erhalten haben, sowie Daten zu der Höhe der Beihilfen. Das AMS lehnte die Auskunftserteilung mit der Begründung ab, es handle sich bei den Daten der Unternehmen um Informationen, die dem Amtsgeheimnis und dem Datenschutz unterliegen. Gegen den Bescheid erhob der Journalist Bescheidbeschwerde an das BVwG. Das BVwG gab der Bescheidbeschwerde teilweise statt und verpflichtete das AMS, die Auskunft zu erteilen.

Das BVwG hat erwogen: Ob eine Auskunft nach dem AuskunftspflichtG erteilt werden muss, ist nach einer Interessenabwägung zu bestimmen. Bei der Abwägung ist das Recht auf Zugang zu Informationen (Art 10 EMRK) jenen Rechten gegenüberzustellen, die eine zulässige Verweigerung einer Auskunft erlauben. Die DSGVO kennt den Schutz personenbezogener Daten juristischer Personen, anders als das DSG, nicht. Angaben zu juristischen Personen können sich jedoch indirekt auf eine natürliche Person beziehen. Dies trifft beispielsweise auf Kapitalgesellschaften mit nur einem Gesellschafter zu. Dabei kann die Anwendbarkeit der DSGVO bei der Auskunftserteilung zu juristischen Personen nicht gänzlich ausgeschlossen werden.

Der Journalist hat ein berechtigtes Interesse an den begehrten Informationen, weil er über die Verwendung von öffentlichen Mitteln für die Bewältigung der COVID-19-Krise berichten will. Die Information ist für die journalistische Tätigkeit notwendig, um einen öffentlichen Diskurs über die Verteilung öffentlicher Mittel zur Bewältigung der COVID-19-Pandemie anzuregen. Die schutzwürdigen Interessen der Betroffenen überwiegen nicht, weil die angefragten Daten wirtschaftliche und unternehmensbezogene Daten sind, die keinen hohen Schutz nach dem Datenschutzrecht genießen. Zudem hat der Beschwerdeführer seine Anfrage auf die Unternehmen beschränkt, die mehr als 100.000 Euro an Kurzarbeitsbeihilfen erhalten haben, um einen unverhältnismäßigen Eingriff in die Rechte von natürlichen Personen, wie zum Beispiel Einzelunternehmer, zu vermeiden.

Bei der Auskunftserteilung werden die Daten zu einem anderen Zweck übermittelt als zu dem sie erhoben wurden. Es liegt aber kein inkompatibler Zweck für eine Weiterverarbeitung vor. Das AuskunftspflichtG ist zudem ein Eingriffsgesetz iSd Art 23 Abs 1 lit i DSGVO.

BVwG 05.10.2023, W292 2256176-1

Das AMS legte zur Auszahlung von Leistungen die Sozialversicherungsnummer eines Arbeitslosen offen. Der Arbeitslose erhob Datenschutzbeschwerde und machte geltend, dass die Sozialversicherungsnummer ein Gesundheitsdatum sei und dass seine Geheimhaltungsinteressen verletzt worden seien. Die DSB wies die Datenschutzbeschwerde ab und stützte sich dabei auf § 25 Abs 1 AMSG, wonach das AMS zur Verarbeitung der Sozialversicherungsnummer insoweit ermächtigt ist, als dies zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung ist. Gegen den Bescheid erhob der Arbeitslose (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verwendung der Sozialversicherungsnummer durch das AMS war rechtmäßig, weil die Verwendung auf einer qualifizierten gesetzlichen Grundlage beruhte (§ 25 AMSG). Die Sozialversicherungsnummer ist kein Gesundheitsdatum, weil sie sich weder auf die körperliche oder geistige Gesundheit einer natürlichen Person bezieht noch daraus Informationen über den Gesundheitszustand hervorgehen. Die Sozialversicherungsnummer wurde auch nicht zweckfremd oder überschießend verwendet, sondern lediglich als Identifikator im postalischen Benachrichtigungsvermerk angeführt. Das Vorbringen des Arbeitslosen, dass seine Sozialversicherungsnummer Dritten gegenüber offengelegt worden ist, war unsubstantiiert und nicht nachvollziehbar.

BVwG 05.04.2024, W287 2259607-1

Der Eigentümer eines Hauses fertigte eine Videoaufnahme an, in welcher seine Nachbarn und deren, auf der Zufahrt des Eigentümers abgestellte, Auto zu sehen waren. Im Video war auch eine "Drohung" von einem der Nachbarn zu hören, welche ca 30 Sekunden nach Beginn der Videoaufnahme fiel. Die Aufnahme wurde den Nachbarn von der Polizei zugestellt, weil der Eigentümer eine Anzeige wegen gefährlicher Drohung erstattete. Daraufhin erhoben die Nachbarn eine Datenschutzbeschwerde bei der DSB und brachten vor, durch die Aufnahme in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Der Eigentümer hielt in seiner Stellungnahme fest, dass die Aufnahme als Beweismittel im Rahmen einer Besitzstörungsklage und einer Anzeige bei der Polizeiinspektion dienen sollte. Die DSB gab der Datenschutzbeschwerde. Daraufhin erhob der Eigentümer eine (erfolglose) Bescheidbeschwerde an das BVwG.

Der BVwG hat erwogen: Die Nachbarn sind im Video erkennbar und wurden vom Eigentümer namentlich angesprochen, damit sind personenbezogene Daten verarbeitet worden. Da bei der Datenverarbeitung keine Einwilligung der Nachbarn vorlag, ist eine Interessenabwägung durchzuführen. Im Hinblick auf die Besitzstörung ist festzuhalten, dass eine mit Datum und Uhrzeit versehene Bildaufnahme ausreichend gewesen wäre. Eine Videoaufnahme zum Beweis einer gefährlichen Drohung kann grundsätzlich rechtmäßig sein, jedoch gab es zu Beginn der Videoaufnahme keine Drohungen seitens der Nachbarn, weshalb die Aufnahme nicht anlassbezogen zur Dokumentation einer Drohung erfolgte. Das Video begann bereits ca 30 Sekunden vor der "Drohung" und dauerte danach noch ca weitere 4 Minuten an. Damit war die Datenverarbeitung nicht auf das notwendigste Maß gemäß Art 5 Abs 1 lit c DSGVO beschränkt und unzulässig.

Das Verwaltungsgericht kann gegen Personen, die offenbar mutwillig die Tätigkeit der Behörde in Anspruch nehmen oder in der Absicht einer Verschleppung der Angelegenheit unrichtige Angaben machen, eine Mutwillensstrafe in der Höhe von bis zu EUR 726 verhängen. Wiederholte grund- und aussichtslose Eingaben sind als rechtsmissbräuchlich zu werten (BVwG 12.03.2024, W292 2256176-1).

Das Erheben einer Säumnisbeschwerde nach Erlassen des beantragten Bescheids ist zulässig. Eine Säumnisbeschwerde wird jedoch gegenstandlos, wenn die Verwaltungsbehörde den beantragten Bescheid erlassen hat (BVwG 08.04.2024, W108 2288735-1).

Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Betroffene den Anspruch nicht binnen eines Jahres ab Kenntnis vom beschwerenden Ereignis geltend macht. Die Weitergabe von Daten ist eine abgeschlossene Handlung, weshalb keine "fortgesetzte Schädigung" besteht (BVwG 05.04.2024, W211 2274025-1).

Die Frist zum Erheben einer Bescheidbeschwerde beträgt vier Wochen. Wird die Rechtsmittelfrist versäumt, ist die Bescheidbeschwerde als verspätet zurückzuweisen (BVwG 15.04.2024, W108 2287168-1).

Ein grenzüberschreitendes Verfahren liegt vor, wenn potenziell von der verfahrensgegenständlichen Verarbeitung in anderen Mitgliedstaaten Personen betroffen sein können. Das Verfahren darf zur Ermittlung der federführenden Aufsichtsbehörde formell jedoch nicht ausgesetzt werden (BVwG 02.04.2024, W176 2275060-1).

Das Verfahren vor der DSB darf zur Ermittlung der federführenden Aufsichtsbehörde formell nicht ausgesetzt werden. Denn § 24 Abs 10 Z 2 sieht keine Verfahrensaussetzung vor, sondern normiert nur eine Hemmung des Fristenlaufs, während das Kohärenzverfahren anhängig ist (BVwG 04.04.2024, W211 2280745-1; 04.2024, W211 2278962-1).

Rechtsprechung der DSB

DSB 17.01.2022, 2021-0.512.929

Die A1 übermittelte monatlich Daten des Personalakts eines Mitarbeiters an ihren Zentralausschuss (Zentralbetriebsrat). Weiters gewährte sie dem Zentralausschuss einen direkten Zugriff auf Teile des Personalverwaltungssystems SAP. Daraufhin brachte der Mitarbeiter Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde teilweise statt. Sie stellte eine Verletzung im Recht auf Geheimhaltung durch die monatliche Übermittlung der Daten fest.

Die DSB hat erwogen: Der Zentralausschuss ist ein gemäß §§ 9 iVm 21 PBVG bei der A1 eingerichtetes Personalvertretungsorgan. Bei der A1 sind mehrere Personalausschüsse und zahlreiche Vertrauenspersonenausschüsse etabliert. Adressat der Mitwirkungsrechte des § 89 ArbVG ist jedoch nur der jeweils zuständige Betriebsrat. § 73 PBVG sieht eine entsprechende Kompetenzabgrenzung der Personalvertretungsorgane vor. Gemäß § 73 Abs 1 PBVG sind primär die Personalausschüsse und sekundär der Vertrauenspersonenausschuss für die der Arbeitnehmerschaft gemäß § 72 PBVG zustehenden Befugnisse zuständig. Die dem Betriebsrat zustehenden Überwachungsbefugnisse fallen demnach in die Zuständigkeit der Personalausschüsse. Eine Zuständigkeit des Zentralausschusses ist hierfür im PBVG nicht vorgesehen. Darüber hinaus sieht § 89 ArbVG zwar Überwachungs- und Kontrollbefugnisse des Betriebsrats vor, jedoch wird darin keine Rechtsgrundlage für die proaktive und periodische Übermittlung von Mitarbeiterdaten durch den Betriebsinhaber normiert. Der Zentralausschuss hatte die Daten des Mitarbeiters in Ausübung seiner Befugnisse auch nicht aktiv angefordert. Folglich übermittelte A1 die personenbezogenen Daten des Mitarbeiters ohne qualifizierte gesetzliche Rechtsgrundlage und ohne berechtigtes Interesse an ein unzuständiges Personalvertretungsorgan.

Es erfolgte jedoch kein unrechtmäßiger Zugriff auf die Daten des Mitarbeiters im Personalverwaltungssystem SAP. Der Mitarbeiter behauptete auch keinen solchen Zugriff. Eine Verletzung des Grundrechts auf Geheimhaltung kann nur aus einer ex-post Betrachtung aufgrund der in der Datenschutzbeschwerde relevierten Umstände festgestellt werden. Verletzungen, die sich entweder noch nicht manifestiert haben oder nur möglicherweise auftreten könnten, dürfen nicht geltend gemacht werden.

Vorschau EuGH-Rechtsprechung

Am 04.2024 hat der EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, über den Zugang einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrter Verkehrs- oder Standortdaten entschieden. Wir werden nächste Woche berichten.

Am 04.2024 hat der EuGH in der Rs C-470/21, La Quadrature du Net II, über den Zugang zu IP-Adressen entschieden. Wir werden nächste Woche berichten.

Am 04.2024 hat der EuGH in der Rs C‑670/22, M.N. (EncroChat), über die Verarbeitung personenbezogener Daten in Zusammenhang mit der Europäische Ermittlungsanordnung entschieden. Wir werden nächste Woche berichten.

Am 05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

 

 

Datenschutzrechts-Update 24.04.2024

 

Rechtsprechung des BVwG

BVwG 26.03.2024, W137 2241630-1

Einem Kreditinstitut wurde von der DSB eine Geldbuße iHv EUR 4 Mio und ein Kostenbeitrag von EUR 400.000 auferlegt, weil eine Mitarbeiterin versehentlich eine E-Mail samt Excel-Liste verschickte, in der personenbezogene Bankdaten von ca 5970 Kunden enthalten waren. Dies erfolgte unter Verletzung interner Arbeitsanweisungen zur E-Mailkultur. Zuständig für die Verbreitung der Liste waren die Filialleiterin und die Mitarbeiterin, die den E-Mail-Versand durchführte. Das BVwG wies die Bescheidbeschwerde des Kreditinstituts mit der Maßgabe ab, dass die Geldbuße auf EUR 50.000 und der Kostenbeitrag auf EUR 5.000 herabgesetzt wird.

Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist. Eine Strafbarkeit gemäß Art 83 DSGVO erfordert Vorsatz oder Fahrlässigkeit, nicht aber eine Handlung oder die Kenntnis des Leitungsorgans. Die entsprechenden nationalen Regelungen des § 9 VStG und § 30 DSG sind daher nicht anzuwenden.

Unternehmen haften im Rahmen des Art 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten, sofern diese nicht im Exzess handeln. Ein allfälliger Exzess ist auszuschließen, weil die Mitarbeiterin die Datenverarbeitung im Rahmen ihres Arbeitsverhältnisses und im Interesse des Kreditinstituts durchführte. Die Verantwortung für die Konfiguration und Absicherung der Daten lag bei den Leitungsorganen des Kreditinstituts. Letzteres entscheidet allein und mit Entscheidungsgewalt über die wesentlichen Aspekte der Zwecke und Mittel der Verarbeitung, ua durch Weisungen, weshalb das Kreditinstitut Verantwortlicher gemäß Art 4 Z 7 DSGVO ist. Das Verwaltungsstrafverfahren wurde somit gegen die korrekte Beschuldigte geführt.

Insgesamt verstieß der Versand der E-Mails samt Anhang gegen Art 5 Abs 1 lit f und Art 32 DSGVO und erfüllte den Straftatbestand des Art 83 Abs 4 lit a DSGVO. "State of the art" wäre eine vollständig pseudonymisierte Kundendatei gewesen, die unabhängig von einer zusätzlichen Verschlüsselung bei Verlust keine Verbindung zu konkreten Personen durch Dritte ermöglicht. Indem das Kreditinstitut eine nicht vollständig pseudonymisierte Excel-Liste für Arbeitsprozesse zur Verfügung stellte, die technisch problemlos in eine Massen-E-Mail exportiert werden konnte, handelte es leicht fahrlässig. Dass ein solcher Export grundsätzlich untersagt war, steht der leichten Fahrlässigkeit nicht entgegen, weil eine unbeabsichtigte Offenlegung einer Datei, die regelmäßig in Arbeitsprozessen verwendet wird, als potenzielles Risiko nicht ausgeschlossen werden kann.

Für den Strafrahmen ist mangels Vorliegens einer wirtschaftlichen Einheit mit der Muttergesellschaft nur das Betriebsergebnis des Kreditinstituts als hundertprozentige Tochter heranzuziehen. Unabhängig von der Beteiligungshöhe der Muttergesellschaft ist eine wirtschaftliche Einheit nicht anzunehmen, wenn das Kreditinstitut eigenständig am Markt auftritt und selbstbestimmt handelt. Das Kreditinstitut ist mit einer eigenen Führungsebene bis hin zu einem Vorstand ausgestattet, ihr sind die relevanten Geschäftszweige selbst überlassen und es besteht ein gesondertes Filialnetz, das auch personell durch das Kreditinstitut selbst geführt wird. Zudem bewahren die einzelnen Tochtergesellschaften unabhängig von der Muttergesellschaft ein eigenständiges Auftreten auf dem Markt. Neben einem gemeinsamen Datenschutzbeauftragten im Bereich des Datenschutzes sind verantwortliche Beauftragte auf Filialebene installiert. Weiters war Auslöser des Verfahrens ein individueller Fehler auf Filialebene iVm einer nicht pseudonymisierten Datei, die ein eigenes Produkt des Kreditinstituts war und somit allein die Filialebene betraf.

Praxistipp: Auch für den internen Gebrauch bestimmte Excel-Dateien mit Kunden- oder Mitarbeiterdaten sollten nach Möglichkeit pseudonymisiert oder mit Passwort geschützt werden.

BVwG 11.03.2024, W252 2271937-1

Ein "Ungeimpfter" erhielt ein COVID-19-Impferinnerungsschreiben. In der Kopf- und Fußzeile des Schreibens waren die Logos mehrerer Körperschaften öffentlichen Rechts abgebildet. Der Ungeimpfte erhob eine auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den vermeintlichen Verantwortlichen. Die DSB leitete parallel ein amtswegiges Prüfverfahren ein und stellte die datenschutzrechtliche Verantwortlichkeit hinsichtlich eines anderen Verantwortlichen fest. Dieses Ermittlungsergebnis übertrug die DSB auf die Datenschutzbeschwerde des Ungeimpften. Die DSB stellte einen unrechtmäßigen Zugriff auf die Daten des Ungeimpften im zentralen Impfregister sowie im zentralen Patientenindex – durch den im amtswegigen Prüfverfahren identifizierten Verantwortlichen – fest. Der dagegen erhobenen Bescheidbeschwerde gab das BVwG statt.

Das BVwG hat erwogen: Eine Datenschutzbeschwerde kann grundsätzlich nur dann erfolgreich sein, wenn der bezeichnete Beschwerdegegner tatsächlich für die Datenverarbeitung verantwortlich ist. Dies gilt jedoch nur unter der Prämisse, dass die Bezeichnung des richtigen Beschwerdegegners zumutbar ist. Indem das Impferinnerungsschreiben von zwei verschiedenen Stellen unterfertigt wurde und die Logos von vier verschiedenen Krankenkassen enthielt, war dem Ungeimpften die korrekte Bezeichnung des Beschwerdegegners unzumutbar. Es oblag diesfalls der DSB, im Rahmen der Ermittlung der materiellen Wahrheit festzustellen, wer vom möglichen Personenkreis tatsächlich über Zweck und Mittel der Datenverarbeitung bestimmt hat. Die DSB hat jedoch die falsche Stelle als Beschwerdegegnerin und damit als Verantwortliche bestimmt. Dadurch führte die DSB das Verfahren gegen eine Stelle, die vom Rechtsschutzantrag des Ungeimpften nicht umfasst war. Aus diesem Grund war der Bescheid ersatzlos zu beheben.

Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata.

BVwG 24.01.2024, W176 2265906-1

Ein den Sozialversicherungsträgern zugehöriges Unternehmen durchsuchte auf Grund des Verdachts eines innerbetrieblichen Verstoßes gegen Verschwiegenheitspflichten, nach der Veröffentlichung vertraulicher Sitzungsprotokolle, sämtliche E-Mail-Konten und Postfächer seiner rund 6.000 Mitarbeiter auf Nachrichtenübermittlungen im Zeitraum vom 30.07.2020 bis 15.08.2020 an eine spezielle Domain. Dabei sind Protokolldaten des E-Mail-Systems ausgewertet worden, die Inhalte der einzelnen Mails wurden nicht ausgewertet.

Mitglieder des Betriebsrats des Unternehmens meinten, dass diese Kontrollmaßnahme gegen das Recht auf Geheimhaltung verstoßen hat. Die Ergebnisse der Recherche seien zu vernichten. Gegen das Vorgehen des Unternehmens brachten die Mitglieder des Betriebsrats, die selbst betroffen waren, Datenschutzbeschwerde bei der DSB ein. Das Unternehmen brachte vor, dass die Überwachungsmaßnahme datenschutzkonform an das Modell der stufenweisen Kontrollverdichtung angelehnt war und die Auswertung eine Vorbereitungshandlung für die Geltendmachung bzw Abwehr von Rechtsansprüchen gewesen ist. Auch bestünde ein Interesse des Unternehmens daran, die Rechtmäßigkeit der durch die Mitarbeiter stattfindende Verarbeitung personenbezogener Daten zu überprüfen. Die DSB gab der Datenschutzbeschwerde der Mitglieder des Betriebsrats statt und stellte eine Verletzung ihres Geheimhaltungsrechts fest. Der Antrag auf Vernichtung der Ergebnisse der Datenrecherche wurde zurückgewiesen. Gegen den Bescheid der DSB brachte das Unternehmen eine (erfolglose) Bescheidbeschwerde beim BVwG ein.

Das BVwG hat erwogen: Das Unternehmen war bei der Durchführung der Überwachungsmaßnahme nicht hoheitlich tätig, sondern handelte im Rahmen der Privatwirtschaftsverwaltung. Daher durfte das Unternehmen grundsätzlich zur Wahrung seiner berechtigten Interessen personenbezogene Daten verarbeiten (Art 6 Abs 1 lit f DSGVO). Das Unternehmen hatte ein berechtigtes Interesse an der Aufklärung einer möglichen Dienstpflichtverletzung durch seine Mitarbeiter und an der Wahrung von Geschäftsgeheimnissen. Die Verarbeitung der Daten von 6.000 Mitarbeitern war jedoch nicht erforderlich. Das Unternehmen hat keine Einschränkung auf bestimmte Personenkreise oder Zeiträume vorgenommen. Seine Vorgehensweise entsprach somit nicht dem Modell der stufenweisen Kontrollverdichtung.

Zudem war die Durchsuchung der Logfiles für den maßgeblichen Zeitraum technisch nicht mehr möglich. Die Kontrollmaßnahme war daher nicht geeignet, die Weiterleitung des Protokolls an die spezielle Domain aufzuspüren. Das Unternehmen hat somit gegen den Grundsatz der Datenminimierung verstoßen (Art 5 Abs 1 lit c DSGVO). Darüber hinaus hat das Unternehmen gegen die Betriebsvereinbarung verstoßen, indem sie die örtlichen Betriebsratskörperschaften in die geplante Datenverarbeitung nicht involviert hat. Die durchgeführte Kontrollmaßnahme war daher nicht rechtmäßig.

BVwG 09.01.2024, W211 2262321-1

Die Patientin einer medizinischen Anstalt, welche gleichzeitig Arbeitnehmerin der Anstalt war, erhob eine Datenschutzbeschwerde bei der DSB, weil verschiedene Personen unbefugt auf ihre im elektronischen Patientendokumentationssystem gespeicherten Daten zugegriffen haben sollen. Zudem brachte die Patientin eine Datenschutzbeschwerde gegen die DSB selbst ein und gab vor, dass diese im Verfahren unzulässigerweise Stellungnahmen von einer nicht berechtigten Person entgegennahm. Nachdem die DSB die gegen sie gerichtete Datenschutzbeschwerde abwies, brachte die Patientin eine erfolglose Bescheidbeschwerde und in weiterer Folge eine außerordentliche Revision beim BVwG ein. Die Leiterin der zuständigen Gerichtsabteilung des BVwG leitete die Revision im Verfahren gegen die DSB auch Dritten, nämlich dem Arbeitgeber der Patientin und dessen Rechtsvertreter, weiter. Daraufhin erhob die Patientin eine Beschwerde gemäß Art 130 Abs 2a B-VG gegen das BVwG, weil sie sich durch das Handeln der Leiterin in ihrem Geheimhaltungsrecht verletzt fühlte.

Das BVwG hat erwogen: Die Leiterin der Gerichtsabteilung ist ein Rechtssprechungsorgan des BVwG. Das BVwG handelte bei der Zustellung der außerordentlichen Revision in Ausübung seiner justiziellen Tätigkeit. Die Zustellung der Revision an den Arbeitgeber und dessen Rechtsvertreter erfolgte aufgrund eines fehlerhaften Eintrags in der elektronischen Verfahrensadministration des BVwG, der diesen fälschlicherweise als Verfahrenspartei führte. Die außerordentliche Revision enthielt personenbezogene Daten der Patientin, wie zB ihren Namen, ihre Adresse, sowie Gesundheitsdaten. Festzuhalten ist, dass die dem Arbeitgeber unzulässigerweise übermittelten Daten diesem bereits aus dem Dienstverhältnis und der Behandlung in seiner Anstalt bekannt waren. Dennoch ist die Zustellung eine datenschutzrechtliche Verarbeitung iSd Art 4 Z 2 DSGVO, die nicht durch eine Rechtsgrundlage nach Art 6 oder 9 DSGVO gerechtfertigt war. Die Patientin wurde daher in ihrem Recht auf Geheimhaltung verletzt, weshalb der Beschwerde stattzugeben war.

Anm: Das BVwG entscheidet über Beschwerden gemäß Art 130 Abs 2a B-VG in einem Richtersenat, der aus drei Berufsrichtern besteht.

BVwG 19.03.2024, W287 2239852-1

Ein Arbeitnehmer (AN) erhob Datenschutzbeschwerde bei der DSB und brachte darin vor, dass ihm sein Arbeitgeber (AG) unvollständig Auskunft über die ihn betreffenden personenbezogenen Daten erteilt hätte. Er brachte ua vor, dass die beantragten Daten für ein zivilgerichtliches Verfahren gegen seinen AG entscheidend wären. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte fest, dass der AG den AN in seinem Recht auf Auskunft verletzt hat. Ein Anspruch auf Herausgabe ganzer Dokumente hätte gemäß Art 15 Abs 3 DSGVO jedoch nicht bestanden und auch die Herausgabe von Unterlagen für zivilgerichtliche Verfahren sei von der DSGVO nicht gedeckt. Daraufhin erhob der AN eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSB trug dem AG in ihrem Bescheid auf, eine ergänzende Auskunft an den AN zu erteilen. Die in diesem Beschied festgestellte Unvollständigkeit der erteilten Auskunft ist nicht Gegenstand des Verfahrens vor dem BVwG.

Darüber hinaus stellte der AN bloß zwei eingeschränkte Auskunftsersuchen an den AG. Die Vollständigkeit der erteilten Auskunft ist anhand dieser Ersuchen zu beurteilen. Die vom AN vorgebrachte Unvollständigkeit zielt auf Daten ab, die nachweislich nicht im Personalakt gespeichert werden und nicht vom Auskunftsersuchen des AN umfasst sind. Vor diesem Hintergrund liegt keine Unvollständigkeit vor.

Ein Anspruch auf Erhalt einer Dokumentenkopie besteht nur, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Rechte zu ermöglichen. Neben dem Auskunftsrecht besteht kein zusätzliches Recht auf Kopien von Auszügen aus ganzen Dokumenten oder Datenbanken.

BVwG 22.03.2024, W287 2273049-1

Das Interesse des Vermächtnisnehmers, seine Rechte als Nachlassgläubiger zu sichern, überwiegt dem Geheimhaltungsinteresse des Alleinerben, sofern die Ausführungen des Vermächtnisnehmers abstrakt geeignet sind, seinen rechtlichen Standpunkt zu stützen. Daran ändert es auch nichts, wenn der beim Verlassenschaftsgericht ursprünglich gestellte Antrag wieder zurückgezogen wird. Zudem hielt das BVwG in dieser Entscheidung fest, dass Rechtsanwälte und Gerichtssachverständige datenschutzrechtlich Verantwortliche sind.

BVwG 19.03.2024, W287 2249380-1

Der Umfang der Auskunftserteilung wird durch den Zeitpunkt der Antragstellung bestimmt. Ist ein konkreter Auskunftsgegenstand vom Spruch des angefochtenen Bescheides nicht umfasst, ist dem BVwG ein Ausspruch über diesen – neu vorgebrachten – Auskunftsgegenstand verwehrt. Wird eine zunächst unvollständige Auskunft durch eine ergänzende Auskunft vervollständigt, ist der Auskunftswerber in seinem Auskunftsrecht nicht mehr verletzt. Ein Recht auf Feststellung vergangener und inzwischen behobener Rechtsverletzungen besteht nicht.

BVwG 25.03.2024, W150 2288580-2

Rechtsanwälte haben Schriftsätze – sofern beim Gericht eingerichtet – über eine spezielle Software, dem Elektronischen Rechtsverkehr (ERV), einzubringen. Die Einbringung eines Schriftsatzes mittels ERV entspricht im Gegensatz zu den unsicheren Übermittlungsformen von E-Mail und Fax den Anforderungen der Datensicherheit nach Art 32 DSGVO.

Anm: Diese Aussage des BVwG mag zutreffen. In seiner Gesamtheit ist der Beschluss des BVwG jedoch nicht nachvollziehbar. Das BVwG wirft einem Rechtsanwalt vor, kein ERV verwendet zu haben, obwohl beim BVwG für Rechtsanwälte ERV vorgeschrieben ist. Der Rechtsanwalt brachte sein Rechtsmittel jedoch (richtig) bei der erstinstanzlichen Verwaltungsbehörde ein, wo kein ERV eingerichtet war und daher auch nicht verwendet werden konnte.

BVwG 19.03.2024, W252 2271599-1

Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das Verwaltungsgericht hat in einem solchen Fall den Bescheid der DSB ersatzlos zu beheben.

Rechtsprechung des BFG

BFG 05.04.2024, RV/7100792/2023

Ein Bescheid bedarf gemäß § 96 Abs 2 BAO weder einer Unterschrift noch einer Beglaubigung, wenn er elektronisch ausgefertigt und mit einer Amtssignatur versehen ist. Das Anbringen einer DVR-Nummer ist im Jahr 2022 weder geboten noch möglich, weil die Datenverarbeitungsregister-Verordnung mit 24.05.2018 außer Kraft trat. Aus dem erfolgreichen Anbringen einer qualifizierten elektronischen Amtssignatur ist zu schließen, dass die Ausfertigung mittels automationsunterstützter Datenverarbeitung erstellt wurde und somit iSd § 96 Abs 2 BAO rechtlich in Existenz getreten ist.

Rechtsprechung der LVwG

LVwG NÖ 25.01.2024, LVwG-S-2489/001-2023

Nach dem Bundesstatistikgesetz kann jede (natürliche) Person zur Auskunft verpflichtet werden (Auskunftspflichtige). Wird für statistische Erhebungen eine Befragung der Auskunftspflichtigen angeordnet, sind die Auskunftspflichtigen zur Auskunftserteilung über jene Daten, die Erhebungsmerkmal der angeordneten statistischen Erhebung sind, verpflichtet. Wer die Auskunftserteilung verweigert, begeht eine Verwaltungsübertretung, die mit einer Geldstrafe bis zu EUR 2.180 zu bestrafen ist.

Rechtsprechung der DSB

DSB 05.11.2020, 2020-0.714.215

Das AMS übermittelte bei der Abwicklung der Leistungserbringung nach dem Arbeitslosenversicherungsgesetz der Bank eines Arbeitslosen ua dessen Sozialversicherungsnummer. In die Übermittlung seiner Sozialversicherungsnummer willigte der Arbeitslose nicht ein. Die DSB wies die wegen Verletzung im Recht auf Geheimhaltung eingebrachte Datenschutzbeschwerde ab.

Die DSB hat erwogen: Das AMS ist ein Dienstleistungsunternehmen des öffentlichen Rechts zur Durchführung der Arbeitsmarktpolitik des Bundes. Es handelt sich um eine staatliche Behörde iSd § 1 Abs 2 DSG. Die Sozialversicherungsnummer ist als personenbezogenes Datum zu qualifizieren, an dem grundsätzlich ein schutzwürdiges Geheimhaltungsinteresse besteht. Im Geschäfts- und Behördenverkehr dient die Sozialversicherungsnummer regelmäßig als Identifikator.

Behördliche Eingriffe in das Grundrecht auf Datenschutz dürfen nur auf Basis einer hinreichend determinierten Rechtsgrundlage erfolgen. Nach § 25 Abs 1 AMSG ist das AMS zur Verarbeitung der Sozialversicherungsnummer insoweit ermächtigt, als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung bildet. Die Abwicklung der Auszahlung aus der Arbeitslosenversicherung ist eine gesetzliche Aufgabe des AMS. Die Verwendung der Sozialversicherungsnummer bei Zahlungsanweisungen im Zusammenhang mit Leistungen aus der Arbeitslosenversicherung dient dem AMS zur ordnungsgemäßen und richtigen Zuordnung der Leistung zum jeweiligen Leistungsempfänger. Für den durchschnittlichen Arbeitslosen ist nachvollziehbar, dass das AMS Daten wie die Sozialversicherungsnummer zwangsläufig verarbeiten muss. Zudem kann es aufgrund des großen Arbeitsaufkommens auf Seiten des AMS zu Leistungsrücklaufverfahren kommen, die eine eindeutige Identifizierung der Leistungsempfänger – auch aus buchhalterischen Gründen – voraussetzen.

Da aus der Sozialversicherungsnummer keine Rückschlüsse auf den körperlichen oder geistigen Gesundheitszustand einer Person möglich sind, ist die Sozialversicherungsnummer kein Gesundheitsdatum und somit kein besonders schutzwürdiges Datum iSd Art 9 Abs 1 DSGVO.

Vorschau EuGH-Rechtsprechung

Am 25.04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 30.04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 30.04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

Am 07.05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzrechts-Update 17.04.2024

 

Rechtsprechung des EuGH

EuGH Schlussanträge 11.04.2024, C-768/21, Land Hessen

Der Kunde einer Bank erfuhr, dass eine Bankmitarbeiterin mehrmals unbefugt auf seine Daten zugegriffen hat. Daraufhin beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt. Die Mitarbeiterin gab die Daten des Kunden jedoch an keinen Dritten weiter und sie verwendete die Daten auch nicht zum Nachteil des Kunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Mitarbeiterin. Die Aufsichtsbehörde verneinte eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Das vorlegende Gericht fragte den EuGH, ob die Aufsichtsbehörde bei Feststellung einer Verletzung der Betroffenenrechte stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.

Der Generalanwalt hat erwogen: Aufsichtsbehörden sind verpflichtet, sich mit Beschwerden nach Art 77 DSGVO zu befassen und diese mit aller gebotenen Sorgfalt zu bearbeiten. Sofern eine Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten feststellt, ist sie aufgrund des Legalitätsprinzips verpflichtet, einzuschreiten und die am besten geeigneten Abhilfemaßnahmen zur Behebung des Verstoßes zu ermitteln. Hinsichtlich der Frage, wie die Aufsichtsbehörde in den konkreten Fällen zu handeln hat, kommt ihr ein Handlungsspielraum zu. Sie hat unter Berücksichtigung der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit die am besten geeigneten Abhilfemaßnahmen zu ermitteln. Der den Aufsichtsbehörden zuerkannte Ermessensspielraum umfasst aber auch die Möglichkeit, keine der in Art 58 Abs 2 DSGVO genannten Abhilfemaßnahmen zu ergreifen, wenn die besonderen Umstände im konkreten Einzelfall dies rechtfertigten. Etwa, wenn das Problem bereits gelöst oder bewältigt ist, oder wenn der Grad der Verwerflichkeit des Verhaltens des Verantwortlichen offensichtlich gering ist. Auch ist es möglich, dass geringfügige Verstöße durch andere, vom Verantwortlichen selbst ergriffene Maßnahmen behoben werden können. Betroffenen kommt im Hinblick auf Art 58 Abs 2 DSGVO kein subjektives Recht zu, bestimmte Maßnahmen zu verlangen. Das Verhängen einer Geldbuße ist nicht in allen Fällen zwingend erforderlich und kann bei geringfügigen Verstößen durch eine Verwarnung ersetzt werden. Das heißt, dass die Beschwerden stets zu prüfen sind, die Entscheidung der heranzuziehenden Abhilfemaßnahmen jedoch im Ermessen der Aufsichtsbehörde liegt.

EuGH 11.04.2023, C-741/21, juris

Ein Rechtsanwalt war Kunde der Rechtsdatenbank juris und erhielt trotz eingelegten Widerspruchs mehrfach Werbeschreiben von juris. Daher klagte er Schadenersatz für den Verlust der Kontrolle über seine Daten ein. Das vorlegende Gericht befragte den EuGH zum Begriff des immateriellen Schadens, zur Haftungsbefreiung des Verantwortlichen, zur Bemessung des Schadenersatzes und zur Berücksichtigung mehrfacher Verstöße gegen die DSGVO.

Der EuGH hat erwogen: Der bloße Verstoß gegen Bestimmungen der DSGVO ist kein Schaden. Ein Schaden setzt kumulativ voraus: (i) den tatsächlichen Eintritt eines Schadens, (ii) einen Verstoß gegen eine DSGVO-Bestimmung und (iii) einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Der Nachweis des DSGVO-Verstoßes und des dadurch entstandenen Schadens obliegt der betroffenen Person. Die Beweislast, dass kein Kausalzusammenhang zwischen Schaden und Pflichtverletzung besteht, trifft den Verantwortlichen.

Der Verantwortliche kann sich nicht dadurch von seiner Haftung befreien, dass er sich auf die Fahrlässigkeit oder das Fehlverhalten einer ihm unterstellten Person beruft. Der Verantwortliche hat sicherzustellen, dass ihm unterstellte Personen im Einklang mit seinen Weisungen Daten verarbeiten und hat sich zu vergewissern, dass seine Weisungen korrekt ausgeführt werden. Eine Haftungsbefreiung des Verantwortlichen kommt dann in Betracht, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der Verletzung der ihm obliegenden Datenschutzpflichten und dem der betroffenen Person entstandenen Schaden gibt. Der Nachweis allein, dass der Verantwortliche den ihm unterstellten Personen Weisungen erteilt hat, genügt für die Haftungsbefreiung nicht.

Rechtsprechung des BVwG

BVwG 20.02.2024, W211 2261811-1

Die langjährige Kundin einer Kreditkartenanbieterin informierte diese über eine Adressänderung und legte dabei einen anderen Reisepass eines EU-Mitgliedstaates vor, als sie noch bei der Beantragung der Kreditkarte vorgelegt hatte. Die Kreditkartenanbieterin forderte im Sinne ihrer Sorgfaltspflichten nach dem Finanzmarkt-Geldwäschegesetz (FM-GwG) die Einkommens-, Konto- und Steuerunterlagen der Kundin an und erklärte die Karte mangels Konnexes der Kundin zu Österreich für ungültig. Die Kundin erachtete sich in ihrem Recht auf Geheimhaltung verletzt. Die DSB gab der Datenschutzbeschwerde statt, weil es keine Hinweise oder Indizien gegeben hätte, wonach bei der Kundin ein Risiko im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung vorliegen würde und somit kein Anlass für eine Aktualisierung der Unterlagen zur Mittelherkunft bestanden hätte. Gegen diesen Bescheid erhob die Kreditkartenanbieterin Bescheidbeschwerde, der das BVwG stattgab.

Das BVwG hat erwogen: Die Datenverarbeitung nach dem FM-GwG zu Zwecken der Verhinderung von Geldwäsche und Terrorismusfinanzierung ist eine Angelegenheit des öffentlichen Interesses iSd Art 6 Abs 1 lit e DSGVO. Nach dem FM-GwG treffen die Kreditkartenanbieterin gegenüber ihren Kunden bestimmte Sorgfaltspflichten, die auch die Einholung und Überprüfung von Informationen über die Herkunft der eingesetzten Mittel umfassen. Diese Sorgfaltspflichten sind gemäß § 7 Abs 6 FM-GwG nicht nur auf neue, sondern risikoorientiert auch auf bestehende Kunden anzuwenden. Gemäß § 8 FM-GwG ist bei Kunden mit niedrigem Risiko eine anlassfallbezogene Datenaktualisierung ausreichend. Zur Einhaltung der Sorgfaltspflichten und der Einstufung von Kunden als Niedrigrisikokunden treffen die Kreditkartenanbieterin gegenüber der FMA bestimmte Nachweis- und Dokumentationspflichten, an deren Nichteinhaltung Verwaltungsstrafen geknüpft sind. Die Kreditkartenanbieterin steht somit in einem Spannungsverhältnis zwischen ihren Pflichten aus der Geldwäsche- und Terrorismusfinanzierungsprävention und sonstigen rechtlichen Pflichten, wie dem Datenschutz.

Die Durchführung der Datenaktualisierung in Bezug auf die Mittelherkunft durch Anforderung von Einkommens-, Konto- und Steuerunterlagen war verhältnismäßig, weil bei der Kundin seit Aufnahme der Geschäftsbeziehung keinerlei Datenaktualisierung vorgenommen wurde, sie mehrfach den Wohnsitz wechselte und bei der Bekanntgabe der Adressänderung einen anderen Reisepass als bei der Eröffnung der Geschäftsbeziehung vorlegte. Das Vorgehen der Kreditkartenanbieterin war daher nicht exzessiv.

Die Kreditkartenanbieterin kann sich auch nicht von ihren Verpflichtungen im Zusammenhang mit den durch sie vorgenommenen Transaktionen entziehen, indem sie auf die von einer anderen Bank für andere Dienstleistungen wahrzunehmenden Sorgfaltspflichten verweist, weil sie selbst dem FM-GwG unterliegt.

BVwG 18.01.2024, W137 2263970-1

Der Arbeitgeber eines Koches nutzte ein biometrisches System (Handvenenscanner) zur Erfassung der Arbeitszeit. Darüber hinaus wurde die Arbeitsstätte mit 29 Kameras überwacht und die Aufnahmen wurden länger als 72 Stunden gespeichert. Der Koch willigte beim Abschluss des Dienstvertrages in die Systemnutzung ein. Über die Widerrufmöglichkeit wurde er nicht informiert. Ein Betriebsrat war nicht eingerichtet. Der Koch erhob Datenschutzbeschwerde an die DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte eine Verletzung im Recht auf Geheimhaltung bezüglich des Handvenenscanners und zweier Videokameras fest. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Arbeitsgebers grundsätzlich ab, behob jedoch den Leistungsauftrag der DSB, wonach die Kameras zu kennzeichnen waren, weil der Arbeitgeber diesem Auftrag zwischenzeitlich entsprach.

Das BVwG hat erwogen: Die Verarbeitung sensibler Daten darf mit ausdrücklicher Einwilligung gemäß Art 9 Abs 2 lit a DSGVO erfolgen, eine konkludente (schlüssige) Einwilligung ist ausgeschlossen. Der Begriff "ausdrücklich" bezieht sich auf die Art und Weise, in der die Zustimmung der betroffenen Person ausgedrückt wird. Eine schriftliche Erklärung ist jedenfalls ausdrücklich. Das Koppelungsverbot dient dem Zweck, die freie Willensbetätigung der Betroffenen zu schützen. Faktisch erzwungene Einwilligungserteilungen sollen damit verhindert werden. Eine Einwilligung ist nicht freiwillig, wenn die betroffene Person keine andere Wahl hat, als der Datenverarbeitung zuzustimmen, um in den Genuss einer vertraglichen Leistung zu kommen. Hat die Betroffene keine wirkliche Wahl, fühlt sie sich zur Einwilligung gedrängt oder muss sie bei Verweigerung der Einwilligung negative Auswirkungen erdulden, ist die Einwilligung ungültig. Dies trifft im Beschäftigungskontext oft zu, weil ein Ungleichgewicht der Macht aufgrund der Abhängigkeit aus dem Dienstverhältnis gegeben ist.

Die §§ 12 und 13 DSG regeln speziell die Bildverarbeitung und sind grundsätzlich mangels unionsrechtlicher Grundlage nicht anzuwenden. Dies gilt für § 12 Abs 4 Z 2 DSG nicht, weil dessen Legitimität auf die spezifische Ermächtigung des Art 88 Abs 1 iVm Art 6 Abs 1 DSGVO gestützt werden kann. Nach § 12 Abs 4 Z 2 DSG ist die Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern unzulässig. Da die DSGVO keine speziellen Regelungen zu Bildaufnahmen vorsieht, ist diese Einschränkung zulässig, weil sich diese ausschließlich auf das Arbeitsrecht bezieht und nach Art 88 DSGVO für den Bereich des Arbeitsrechts eine Öffnungsklausel besteht. Die Kameras waren zwar nicht zu Kontrollzwecken der Arbeitnehmer installiert. Mit beiden zu beurteilenden Kameras war die Datenverarbeitung jedoch nicht erforderlich, weil weniger eingriffsintensive Maßnahmen hätten gesetzt werden können.

Das BVwG hat in seine Entscheidung alle Veränderungen bis zum Zeitpunkt der Erkenntniserlassung miteinzubeziehen und die neue Kennzeichnung der Videokameras auf Konformität nach Art 12 und 13 DSGVO zu prüfen. Ausreichend für die Informationserteilung einer Videoüberwachung ist eine Mehrebenen-Datenschutzerklärung. Auf der ersten Ebene erfolgt dabei ein Überblick über die Informationen, die zur Verfügung stehen und ein Verweis darauf, wo auf einer zweiten Ebene weitere Informationen zu finden sind. Demnach ist eine Information mit den essenziellen Informationen des Art 13 Abs 1 DSGVO (erste Ebene) in Kombination mit einem Piktogramm und einem QR-Code / einer Webadresse, welche zu umfassenderen Datenschutzinformationen (zweite Ebene) führt als Kennzeichnung für eine Kameraüberwachung ausreichend transparent.

BVwG 28.02.2024, W292 2235435-1

Ein Bürger stellte ein Auskunftsersuchen an den Österreichischen Presserat (Presserat). Der Presserat erteilte ihm die Auskunft, dass seine personenbezogenen Daten nicht nur wegen der von ihm eingebrachten Mitteilungen betreffend potenzielle Ethikverstöße verarbeitet wurden, sondern auch anlässlich einer von Dritten eingebrachten Mitteilung. Die Übermittlung dieser Mitteilung eines Dritten verweigerte der Presserat selbst in anonymisierter Form unter Berufung auf Betriebs- und Geschäftsgeheimnisse. Die auf eine Verletzung im Recht auf Auskunft gestützte Datenschutzbeschwerde wies die DSB ab. Auch die Bescheidbeschwerde des Bürgers hatte keinen Erfolg.

Das BVwG hat erwogen: Der Presserat ist eine als Verein eingerichtete Institution zur Förderung der Pressefreiheit sowie der redaktionellen Qualitätssicherung. In diesem Zusammenhang verfügt der Verein insbesondere über Kontrolleinrichtungen und Gremien, die bei Beschwerden von Betroffenen oder bei Mitteilungen von Lesern betreffend medienethisch relevante Sachverhalte tätig werden. Die Tätigkeit des Presserats unterliegt der DSGVO, weil es sich bei diesem weder um ein Medienunternehmen noch um einen Mediendienst handelt.

Der Presserat ist seinen Informationspflichten nach Art 14 DSGVO nachgekommen, obwohl der Ausnahmegrund des unverhältnismäßigen Aufwands der Verständigung einschlägig gewesen wäre. Eine Verständigung sämtlicher Personen, die in einer Mitteilung an den Presserat genannt werden, würde nicht nur einen unbewältigbaren Aufwand für den Presserat darstellen, sondern den geordneten Verfahrensablauf nach einer Presseratsmitteilung erschweren oder verunmöglichen.

Hinsichtlich der vom Bürger geforderten Übermittlung einer Kopie der Mitteilung eines Dritten an den Presserat wurde der Bürger transparent und verständlich darüber informiert, welche Daten, zu welchem Zweck und wie lange verarbeitet werden. Die Berufung auf Geschäfts- und Betriebsgeheimnisse war zwar unzulässig, weil ein Verein ideelle Zwecke verfolgt, womit die Verarbeitung der personenbezogenen Daten nicht in einem Geschäftsbetrieb erfolgt. Ein Anspruch auf Herausgabe von (auch anonymisierten) Mitteilungen von Dritten, mögen diese auch personenbezogene Daten des Auskunftswerbers enthalten, besteht jedoch nicht. Personen, die Mitteilungen bei möglichen Verstößen gegen den Ehrenkodex des Presserates an den Presserat richten, werden naturgemäß ein erhöhtes Interesse auf vertrauliche Behandlung ihrer Eingaben haben. Der Presserat kann seiner im öffentlichen Interesse gelegenen, staatlich geförderten Kontroll- und Aufklärungsfunktion nur dann uneingeschränkt und effektiv nachkommen, wenn Daten in Mitteilungen nicht an Dritte weitergegeben werden. Die Rechte Dritter können daher auch durch Anonymisierung nicht in ausreichendem Maße gewahrt werden, sodass der Presserat die Übermittlung der Kopie der Mitteilung zurecht verweigerte.

BVwG 18.03.2024, W211 2261881-1; BVwG 18.03.2024, W211 2261903-1; BVwG 19.03.2024, W211 2261795-1¸ BVwG 19.03.2024, W211 2262126-1

Ein Amt der Landesregierung (Amt) verschickte Corona-Impferinnerungsschreiben an "Ungeimpfte". Vier der Ungeimpften brachten Datenschutzbeschwerden bei der DSB ein und behaupteten, dass der Zugriff auf ihre Daten im zentralen Impfregister und im zentralen Patientenindex zur Versendung der personalisierten Schreiben unrechtmäßig war. Die DSB gab den Datenschutzbeschwerden statt. Die dagegen gerichteten Bescheidbeschwerden des Amtes hatten keinen Erfolg.

Das BVwG hat erwogen: Die Bestimmung des § 24d Abs 2 Z 5 GTelG erlaubt eine Datenverarbeitung der im Impfregister gespeicherten personenbezogenen Daten zum Zweck des Krisenmanagements im Rahmen des Ausbruchsmanagements von anzeigepflichtigen Krankheiten nur zur Unterstützung der hoheitlichen Aufgaben im Zusammenhang mit dem Epidemiegesetz. Im Zeitpunkt der Versendung der Schreiben gab es jedoch im Epidemiegesetz keine hoheitliche Aufgabe, die die vorliegende Datenverarbeitung hätte rechtfertigen können. Die entsprechende Regelung "Erinnerung an Auffrischungsimpfungen gegen COVID-19" in § 4g EpiG ist erst nach dem Versenden der Schreiben in Kraft getreten. Somit handelte es sich bei den Impferinnerungsschreiben um keine Maßnahmen iSd § 24d Abs 2 Z 5 GTelG und die Datenverarbeitungen verletzten das Recht auf Geheimhaltung der Ungeimpften. Der Zugriff auf die Daten im zentralen Impfregister gemäß § 24f Abs 4 Z 5 GTelG ist an den Zweck des Krisenmanagements gebunden. Daher war das Amt nicht berechtigt, auf diese Daten zuzugreifen. Daraus lässt sich auch ableiten, dass auf den Patientenindex gemäß § 4 Abs 3 GTelG keine Zugriffsberechtigung vorlag.

Wird ein Auskunftsersuchen über Aufzeichnungen mit einer Videokamera gestellt, darf die Auskunft verweigert werden, wenn der Zeitraum, in dem die Aufzeichnungen erfolgt sein sollen, nicht hinreichend präzise bezeichnet wird (Datum und Uhrzeit) und zur Identifizierung des Betroffenen eine große Datenmenge zu verarbeiten wäre. Werden zum Zeitpunkt des Einlangens des Auskunftsersuchens keine Daten über den Betroffenen (mehr) verarbeitet, wird mit einer Negativauskunft der Auskunftspflicht entsprochen (BVwG 12.02.2024, W176 2247266-1).

Anm: Dieses Erkenntnis enthält (obiter dicta) eine wesentliche Präzisierung, wie mit Auskunftsersuchen wegen Videoaufzeichnungen umzugehen ist. Gemeinsam mit der oben angeführten Entscheidung (BVwG 18.01.2024, W137 2263970-1) und einer rezenten Entscheidung der DSB (DSB 04.08.2023, 2023-0.159.938) entsteht ein zunehmend klares Bild, was beim Einsatz von Videoüberwachung zu beachten ist.

Art 15 Abs 3 DSGVO räumt den Betroffenen kein eigenständiges Recht auf Kopien von Auszügen aus Dokumenten oder Datenbanken ein. Zudem ist das Auskunftsrecht als ein sehr bedeutsames, aber nur vorgelagertes Recht zu verstehen, das die Ausübung weiterer Betroffenenrechte ermöglicht (BVwG 23.02.2024, W211 2262850-2).

Eine Datenverarbeitung im Einklang mit den anzuwendenden Verfahrensgesetzen ist zulässig. Die Verpflichtung zur Beschränkung der Akteneinsicht zum Schutz personenbezogener Daten trifft nicht die Staatsanwaltschaft, sondern das zuständige Strafgericht (BVwG 23.01.2024, W108 2250843-1).

Der Grundsatz der Rechenschaftspflicht erfordert, dass der Verantwortliche nachweisen ("und dokumentieren") muss, welche Informationen der Betroffene nach Art 13 und 14 DSGVO bereits hat, wie und wann er diese erhalten hat und dass seitdem keine Änderungen an den Informationen vorgenommen wurden, die sie veraltet bzw unrichtig machen würden. Mit der nachträglichen Erteilung der Informationen wird die Beschwer jedoch beseitigt (BVwG 13.02.2024, W221 2243696-1).

Eine grenzüberschreitende Datenverarbeitung liegt nur dann vor, wenn jemand von einer Datenverarbeitung betroffen ist und dies wahrscheinlich gewisse Auswirkungen von beträchtlichem Ausmaß auf diese Person hat. Die Aufsichtsbehörden haben jeweils im Einzelfall zu bestimmen, inwieweit erhebliche Auswirkungen gegeben sind (risikobasierter Ansatz). Der durchzuführenden Abwägung liegt somit eine Prognoseentscheidung zugrunde, weil ein (auch bloß möglicher) Nachteil auf Personen anderer Mitgliedsstaaten zu berücksichtigen ist (BVwG 14.03.2024, W137 2280743-1).

Ein Auskunftsersuchen, das darauf abzielt, trotz eines aufrechten Kontaktverbots eine Kontaktmöglichkeit zum minderjährigen Sohn zu erlangen, ist exzessiv (BVwG 21.02.2024, W137 2280882-1).

Die Namen von Mitarbeitern dürfen zum Schutz ihrer nachvollziehbaren und schutzwürdigen Interessen auch bei der Akteneinsicht geschwärzt werden, sofern die Offenlegung der Namen für die effektive Rechtsverfolgung nicht von Bedeutung ist (BVwG 04.03.2024, W211 2263780-1).

Bewerbungsunterlagen dürfen für sieben Monate aufbewahrt werden. Ist im Bewerbungsformular in eine dreijährige Evidenzhaltung einzuwilligen, kann dem Arbeitssuchenden nicht vorgeworfen werden, dass er seine Einwilligung verweigert und das Beschäftigungsverhältnis deshalb nicht zustande kommt (BVwG 15.03.2024, W269 2277315-1).

Nachdem einem Löschungsersuchen entsprochen wurde, ist einem Auskunftsersuchen mit einer (eingeschränkten) Negativauskunft zu entsprechen. Stehen zur Herkunft von Daten keine Informationen zur Verfügung, besteht dennoch keine nachträgliche Erhebungspflicht (BVwG 20.03.2024, W221 2257567-1).

Die Dienstbehörde darf zur Wahrnehmung der Dienstaufsicht im Büro eines Gerichtsreferenten Nachschau halten, handschriftlich Akten der Gerichtsabteilung erfassen und Lichtbilder vom Arbeitsplatz anfertigen. Daran ändert es auch nichts, wenn die Lichtbilder auf einem privaten Mobiltelefon gespeichert werden (BVwG 23.02.2024, W108 2278709-1).

Die Datenschutzbeschwerde ist der falsche Weg, um behauptete Verletzungen des Beamtendienstgesetzes geltend zu machen (BVwG 23.02.2024, W137 2277123-1).

Im Einklang mit der ständigen Rechtsprechung behob das BVwG den Bescheid der DSB, weil darin in einem amtswegigen Prüfverfahren eine Rechtsverletzung in einem selbständigen Spruchpunkt festgestellt wurde, obwohl es hierfür keine Rechtsgrundlage gibt (BVwG 22.03.2024, W211 2213604-1).

Rechtsprechung des BFG

Wer gegen einen Bescheid der DSB Bescheidbeschwerde an das BVwG erhebt, hat die Eingabegebühr iHv EUR 30 zu entrichten (BFG 19.03.2024, RV/7104071/2023).

Rechtsprechung der DSB

DSB 04.01.2024, 2023-0.592.319

Ein Fußballverband speicherte auf einer öffentlichen Webseite personenbezogene Daten zu Spielern, die in seiner Liga teilnahmen. Ein seit 2019 nicht mehr aktiver Spieler ersuchte 2020 um die Löschung seiner Daten. Der Fußballverband lehnte die Löschung aufgrund der Speicherung aus Statistikgründen ab. Der Spieler brachte Datenschutzbeschwerde bei der DSB ein. Die DSB gab ihm Recht und forderte den Verband zur Datenlöschung auf, welcher dieser nicht nachkam. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren gegen den Fußballverband ein.

Die DSB verhängte eine Geldstrafe in der Höhe von EUR 11.000 – zuzüglich EUR 1.100 Verfahrenskosten – gegen den Fußballverband, weil der Fußballverband (i) keine geeigneten technischen und organisatorischen Maßnahmen ergriff, um Spielerdaten gänzlich aus der Datenbank zu entfernen, (ii) dem Löschungsersuchen des Spielers nicht vollständig nachkam und (iii) die Anweisung der Datenschutzbehörde nicht befolgte, wodurch der Verband seine Rechenschafts- und Kooperationspflicht verletzte.

DSB 06.09.2023, 2022-0.858.901

In einer Mittelschule wurden in der Vergangenheit mehrmals Wertsachen des Lehrpersonals gestohlen. Zum Schutz vor (weiteren) Diebstählen, aber auch zum Schutz von Personen und vor Überfällen, installierte die Mittelschule in ihren Schulräumlichkeiten insgesamt vier Überwachungskameras. Die Videoüberwachung erfolgte sowohl während als auch außerhalb der Schulstunden. Die DSB leitete ein amtswegiges Prüfverfahren ein und stellte fest, dass die Bildverarbeitung entgegen Art 6 Abs 1 DSGVO nicht rechtmäßig erfolgte und trug der Mittelschule auf, die Videoüberwachung auf die Zeit außerhalb der Schulstunden zu begrenzen.

Die DSB hat erwogen: Bei der Mittelschule handelt es sich um eine öffentliche Pflichtschule. Verantwortliche für die gegenständliche Bildverarbeitung ist folglich eine öffentliche Stelle. Hinsichtlich der Beurteilung, ob die Videoüberwachung zu hoheitlichen Zwecken oder im Rahmen der Privatwirtschaftsverwaltung erfolgt, kommt es darauf an, ob die Videoüberwachung nur während der Nachtstunden oder auch während des Schulbetriebs erfolgt. Während des Schulbetriebs agiert die Schule als öffentliche Stelle im Rahmen der Hoheitsverwaltung. Zwar lagen im gegenständlichen Fall berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO (Eigentums- und Personenschutz) vor, doch bedarf es während des Schulbetriebes einer ausdrücklichen, hinreichend determinierten gesetzlichen Ermächtigung. Eine derartige gesetzliche Ermächtigung zur Videoüberwachung in Schulgebäuden lag weder mit § 51 Abs 3 Schulunterrichtsgesetz, wonach die Pausenaufsicht vom Lehrpersonal wahrzunehmen ist, noch mit einer anderen gesetzlichen Bestimmung vor. Eine durchgehende Videoüberwachung auf sämtlichen Gängen der Mittelschule stellt darüber hinaus nicht das gelindeste Mittel dar, zumal Kinder nach ErwGr 38 DSGVO einen besonderen Schutz ihrer personenbezogenen Daten genießen.

Die Videoüberwachung während der Nachtstunden, also außerhalb des Schulbetriebes, erfolgte hingegen zulässigerweise im Rahmen privatwirtschaftlichen Handelns und unterlag dem Hausrecht der Schule.

Vorschau EuGH-Rechtsprechung

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

Am 05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Datenschutzrechts-Update 10.04.2024

 

Rechtsprechung der DSB

DSB 18.12.2023, 2023-0.594.826

Die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) leitete eine interne Untersuchung wegen angeblicher sexueller Belästigung und Diskriminierung gegen einen Botschafter, der als Projektkoordinator für die OSZE tätig war, ein. In diese Untersuchung waren auch vier Mitarbeiter der OSZE involviert. Das Diensthandy des Botschafters wurde beschlagnahmt und forensisch ausgewertet, wobei auch gelöschte Inhalte wieder hergestellt wurden. Die ausgewertete Kommunikation zeigte kein belästigendes oder diskriminierendes Verhalten. Jedoch ergab der forensische Bericht, dass die wiederhergestellten Fotos ua Nacktheit und pornographische Inhalte enthielten. Deshalb leitete die OSZE ein weiteres Verfahren wegen Verletzung der OSCE-Codes of Conduct und anderer OSZE-Vorschriften gegen den Botschafter ein.

Das Diensthandy des Botschafters war in ein Privat- und ein Arbeitsprofil unterteilt. Aus dem Diensthandy wurden eine große Menge an Daten extrahiert, darunter auch Daten über die Intimsphäre des Botschafters und seiner Ehefrau sowie Gesundheitsdaten. Der Botschafter forderte die Löschung der erlangten Daten und Auskunft über die Empfänger dieser Daten. Die OSZE lehnte diese Anträge ab. Daraufhin erhoben der Botschafter und dessen Ehefrau eine Datenschutzbeschwerde bei der DSB gegen die OSZE sowie gegen die vier beteiligten Mitarbeiter der OSZE. Die DSB wies die Datenschutzbeschwerde hinsichtlich der vier Mitarbeiter ab und betreffend die OSZE zurück.

Die DSB hat erwogen:  Die vier Mitarbeiter handelten im Rahmen ihrer Tätigkeit für die OSZE. Ihr Verhalten ist der OSZE zuzurechnen. Eine Kompetenzüberschreitung der vier Mitarbeiter kam nicht hervor. Es ist daher von keiner datenschutzrechtlichen Verantwortlichkeit der vier als Beschwerdegegner benannten Mitarbeiter auszugehen. Verantwortliche ist nur die OSZE.

Die OSZE ist eine internationale Organisation mit Amtssitz in Wien. Eine Datenverarbeitung durch eine internationale Organisation mit Sitz in Wien fällt sachlich (Art 2 DSGVO) und räumlich (Art 3 DSGVO) in den Anwendungsbereich der DSGVO. Nach gefestigter Rechtsprechung europäischer Höchstgerichte genießen internationale Organisationen keine vollständige Immunität in ihrem Sitzstaat. Eine grundsätzliche Zuständigkeit der Gerichte und Verwaltungsbehörden des Sitzstaats besteht aber nur dann, wenn dies im Amtssitzabkommen vorgesehen oder zumindest nicht ausgeschlossen ist. Zudem hängt die Zuständigkeit dieser Gerichte und Behörden davon ab, ob bei der internationalen Organisation ein angemessener alternativer Rechtsweg eingerichtet ist.

Die internen Regelungen der OSZE zum Datenschutz sind zwar nicht vollständig mit der DSGVO vergleichbar, ermöglichen aber ein Beschwerderecht und Rechtsmittelschutz. Es liegen keine Anhaltspunkte vor, dass das Amtssitzabkommen offenkundig gegen Unionsrecht verstößt und somit nicht zur Anwendung gelangt. Die OSZE genießt daher aufgrund des Amtssitzabkommens (BGBl III 2018/84) und ihrer eigenständigen Regelungen zum Schutz personenbezogener Daten Immunität gegenüber Handlungen der DSB. Die OSZE kann vor der DSB nicht belangt werden, außer sie verzichtet auf die ihr eingeräumte Immunität.

Der Botschafter könnte gegebenenfalls durch die internen datenschutzrechtlichen Regelungen der OSZE in seinen verfassungsgesetzlich gewährleisteten Rechten verletzt worden sein. Für die Prüfung der Verfassungsmäßigkeit ist jedoch der VfGH und nicht die DSB zuständig.

DSB 09.01.2023, 2022-0.479.809

Ein österreichischer Künstler erstellte einen Wikipedia-Beitrag über sich selbst. Anschließend ist der Beitrag vom Künstler selbst, aber auch von anderen Wikipedia-Nutzern bearbeitet worden. Der Künstler war mit dem Beitrag in der auch von anderen Nutzern bearbeiteten Form nicht (mehr) einverstanden und ersuchte Wikimedia, die Betreiberin von Wikipedia, um Löschung des Beitrags. Wikimedia entsprach dem Ersuchen des Künstlers nicht und der Künstler durfte den Beitrag auch nicht in seinem Sinne vervollständigen. Deshalb brachte er Datenschutzbeschwerde bei der DSB ein, die die Datenschutzbeschwerde abwies.

Die DSB hat erwogen: Die Wikimedia hat ihren Sitz in den USA. Sie verfügt als Dachorganisation aber auch über 38 Vereine, von welchen sich mindestens einer in Österreich befindet. Auf diesen Verein ist die Domain wikipedia.at registriert und über diese Domain wird man automatisch auf die Domain de.wikipedia.org weitergeleitet. Der Wikipedia-Beitrag über den Künstler ist auf Deutsch veröffentlicht. Die DSGVO ist auf Datenverarbeitungen durch Wikimedia anzuwenden, weil Wikimedia Informationsdienstleistungen anbietet und diese auf den österreichischen Markt ausrichtet ("Marktortprinzip"). Die Unentgeltlichkeit spielt keine Rolle.

Wikimedia brachte vor, dass sie für die Verarbeitung der Daten des Beschwerdeführers nicht verantwortlich sei. Die Löschung von Wikipedia-Beiträgen werde von sog Administratoren, die aus dem Kreis der Wikipedia-Nutzer gewählt werden, durchgeführt. Für die Verantwortlicheneigenschaft ist es jedoch nicht erforderlich, dass der Verantwortliche selbst Daten verarbeitet oder auf Daten zugreift. Wikimedia verfügt über bestimmte Durchgriffsrechte und ist verantwortlich für Finanzierung, Öffentlichkeitsarbeit und diverse technische und rechtliche Aufgaben. Somit ist Wikimedia neben den Administratoren zumindest "Gemeinsam Verantwortliche".

Wikimedia ist kein Medienunternehmen. Weder hat Wikimedia einen Chefredakteur, einen Redaktionsausschuss, eine Verwaltungsstelle noch eine ähnliche Einrichtung. Wikimedia kontrolliert auch nicht, welche Beiträge von den Nutzern veröffentlicht werden. Auch eine redaktionelle Tätigkeit wird von Wikimedia nicht durchgeführt. Das Medienprivileg iSd § 9 Abs 1 DSG gelangt daher nicht zur Anwendung.

Der Wikipedia-Beitrag über den Künstler bedarf keiner Vervollständigung. Die Rechtspflicht des Verantwortlichen zur Vervollständigung besteht nur dann, wenn die hinzugefügten Informationen für den Verarbeitungsprozess tatsächlich relevant sind, um die objektive Richtigkeit der Daten zu gewährleisten. Über den Künstler ergibt sich kein unzutreffendes Bild, das durch Hinzufügen weiterer Daten korrigiert werden müsste.

Das Recht auf Löschung besteht nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Es ist eine Interessenabwägung iSd Art 6 Abs 1 lit f DSGVO zwischen dem Interesse auf Meinungsäußerungsfreiheit und dem Interesse des Künstlers auf Geheimhaltung seiner Daten durchzuführen.

Das Interesse von Wikimedia besteht darin, eine Online-Enzyklopädie zu betreiben. Das Interesse der Allgemeinheit besteht darin, diese unentgeltlich angebotene Informationsdienstleistung in Anspruch zu nehmen. Das Geheimhaltungsinteresse des Künstlers ist gering, weil er eine Person des öffentlichen Lebens ist und die im Wikipedia-Beitrag veröffentlichten Informationen auch an anderen Stellen öffentlich verfügbar sind. Der Tatbestand des Art 17 Abs 3 lit a DSGVO ist erfüllt, weshalb Wikimedia dem Löschungsersuchen des Künstlers zu Recht nicht entsprach.

Vorschau EuGH-Rechtsprechung

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen gemäß Art 58 Abs 2 DSGVO zu ergreifen.

Am 16.04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, durchgeführt. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.


Datenschutzrechts-Update 03.04.2024

Rechtsprechung des VwGH

VwGH 28.02.2024, Ro 2024/04/0001; VwGH 28.02.2024, Ro 2023/04/0032

Eine Kreditauskunftei erteilte zwei Betroffenen jeweils Auskunft ua über verschiedene Bonitätsscores. Beide Betroffene erhoben Datenschutzbeschwerde an die DSB. Die DSB gab beiden Datenschutzbeschwerden teilweise statt, weil die erteilten Auskünfte über die Bonitätsscores nach Ansicht der DSB den Vorgaben des Art 15 Abs 1 lit h DSGVO nicht entsprachen. Das BVwG gab den Bescheidbeschwerden der Kreditauskunftei statt, weil die erteilten Auskünfte nach Ansicht des BVwG – unabhängig davon, ob diese Bestimmung überhaupt anzuwenden ist – den Vorgaben des Art 15 Abs 1 lit h DSGVO entsprachen.

Gemäß Art 15 Abs 1 lit h DSGVO sind betreffend eine "automatisierte Entscheidungsfindung einschließlich Profiling" aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung zu erteilen. Der EuGH sprach aus, dass uU der von einer Kreditauskunftei errechnete Scorewert als automatisierte Entscheidungsfindung zu qualifizieren ist (EuGH 07.12.23, C-634/21, SCHUFA Holding (Scoring)). Der VwGH dürfte daher davon ausgehen, dass über die vor ihm verfahrensgegenständlichen Bonitätsscores eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO zu erteilen ist.

Über ein Vorabentscheidungsersuchen des LVwG Wien ist allerdings derzeit beim EuGH die Frage anhängig, welche inhaltlichen Erfordernisse eine Auskunft über Scorewerte erfüllen muss, damit die Auskunft als ausreichend "aussagekräftig" im Sinne des Art 15 Abs 1 lit h der DSGVO einzustufen ist (C-203/22, Dun & Bradstreet Austria).

Vor diesem Hintergrund setzte der VwGH beide bei ihm anhängigen Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus.

 

Rechtsprechung der Justiz

OLG Graz 12.02.2024, 9Bs274/23x

Die Staatsanwaltschaft Graz (StA) führte gegen hunderte Beschuldigte ein Ermittlungsverfahren wegen des Verdachts der Fälschung von Beweismitteln. Die Ermittlungsakten enthielten eine Patientenliste mit folgenden Daten: Name, Geburtsdatum, Adresse, E-Mail-Adresse und Bezahlungshinweise. Diese Liste konnte im Rahmen der Akteneinsicht von sämtlichen Mitbeschuldigten eingesehen werden. Zwei der Beschuldigten erachteten sich dadurch in ihrem Grundrecht auf Datenschutz verletzt und erhoben Einspruch wegen Rechtsverletzung. Das Landesgericht für Strafsachen Graz gab dem Einspruch nicht Folge. Der Beschwerde der beiden Einspruchswerber gegen diesen Beschluss wurde vom OLG Graz auch nicht Folge gegeben.

Das OLG Graz hat erwogen: Mittels Einspruch kann nicht nur die Verletzung ausdrücklich in der StPO eingeräumter Rechte geltend gemacht werden, sondern es fließen über § 5 Abs 1 StPO auch die Garantien der EMRK in die Bestimmung des § 106 Abs 1 StPO ein. Daher kann grundsätzlich auch wegen der Verletzung des Grundrechts auf Datenschutz Einspruch erhoben werden. Allerdings gilt das DSG bloß subsidiär gegenüber der StPO, die einen "generalisierend" wirkenden Vorrang gegenüber dem DSG hat. Nach § 74 StPO, der die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten normiert, ist nicht zu kritisieren, dass die in der Patientenliste enthaltenen Daten der Einspruchswerber von der StA zu den Akten genommen und verarbeitet wurden, weil dies zur Aufklärung von Straftaten zwingend erforderlich war. Da die Patientenliste keine hochsensiblen medizinischen Daten enthielt, wurde keine Rechtsverletzung bewirkt.

Zudem darf das verfassungsrechtlich gewährleistete Recht eines Beschuldigten, in sämtliche Ergebnisse des Ermittlungsverfahrens Einsicht zu nehmen, nur in den in § 51 Abs 1 StPO normierten Ausnahmefällen beschränkt werden, die nicht vorlagen. Im Verhältnis zu Mitbeschuldigten sieht das Gesetz in Bezug auf den Umfang der Akteneinsicht – anders als bei Opfern, Privatbeteiligten oder Privatanklägern – auch keine Interessenabwägung vor. Damit hatte die StA keine gesetzliche Grundlage dafür, die Patientenliste für Mitbeschuldigte von der Akteneinsicht auszunehmen. Durch die Gewährung der Akteneinsicht und die Weitergabe der Liste mit personenbezogenen Daten wurden die Einspruchswerber in ihren subjektiven Rechten nicht verletzt.

Rechtsprechung des BVwG

BVwG 21.02.2024, W137 2261065-1

Während der COVID-19-Pandemie wurden Impferinnerungsschreiben an nicht geimpfte Personen gesendet, was eine Vielzahl von Datenschutzbeschwerden bei der DSB zur Folge hatte. Ein Empfänger brachte Datenschutzbeschwerde ausdrücklich gegen eine Landesregierung ein. Die DSB änderte die Datenschutzbeschwerde jedoch nach einer Stellungnahme in einem Parallelverfahren, in welcher sich das Amt der Landesregierung (das Amt) als Verantwortlicher der Datenverarbeitung bezeichnete, dahingehend ab, dass sie das Verfahren nun gegen das Amt führte. In weiterer Folge gab die DSB der Datenschutzbeschwerde statt und begründete dies mit dem unrechtmäßigen Zugriff des Amtes auf die im Impfregister hinterlegten Daten. Gegen diesen Bescheid erhob das Amt eine Bescheidbeschwerde.

Das BVwG hat erwogen: Der Empfänger des Schreibens hatte in seiner Datenschutzbeschwerde ausdrücklich die Landesregierung als Beschwerdegegner benannt. Die DSB hingegen hat in ihrer Entscheidung jemand anderen, nämlich das Amt, als Beschwerdegegner angeführt und somit den falschen datenschutzrechtlichen Verantwortlichen herangezogen. Das Impferinnerungsschreiben wurde von der Landesregierung, der Ärztekammer sowie anderen Organen und diversen Sozialversicherungsträgern unterfertigt und enthielt keinerlei Hinweise auf das Amt. Wenn die DSB feststellt, dass der ursprünglich als Beschwerdegegner benannte nicht der Verantwortliche für die Datenverarbeitung ist, hat sie die Datenschutzbeschwerde abzuweisen. Da es der DSB nicht zusteht, den Parteiantrag einseitig abzuändern, hat sie durch die Änderung des Beschwerdegegners die "Sache" des Verwaltungsverfahrens überschritten. Auch eine Erklärung gegenüber dem Empfänger des Schreibens, dass das Verfahren gegen jemand anderen geführt wird, ändert daran nichts. Der Bescheid der DSB war daher ersatzlos zu beheben.

 

Rechtsprechung des BFG

Eine den Verfahrensgesetzen entsprechende Verwendung personenbezogener Daten, auch wenn es sich um Gesundheitsdaten handelt, ist grundsätzlich auch aus datenschutzrechtlicher Sicht zulässig (BFG 06.01.2024, RV/7100970/2023).

Rechtsprechung der LVwG

Das Recht auf Auskunft gemäß Art 15 DSGVO bezieht sich nicht auf Auskunftsrechte über Daten von Dritten. Für die Behandlung einer Beschwerde wegen Verarbeitung personenbezogener Daten ist zudem nicht der Magistrat der Stadt Wien, sondern die Datenschutzbehörde zuständig (LVwG Wien 23.02.2024, VGW-101/032/11502/2023).

Rechtsprechung der DSB

DSB 04.08.2023, 2023-0.159.938

Ein anonymer Hinweis informierte die DSB über ein Videoüberwachungssystem in der Wohnhausanlage einer gemeinnützigen Wohnbaugesellschaft. Daraufhin leitete die DSB ein amtswegiges Prüfverfahren ein. In der Vergangenheit hatten sich dort vermehrt Diebstähle und Sachbeschädigungen in ua Keller- und Fahrradräumlichkeiten ereignet. Zudem haben sich vermehrt hausfremde Personen in der Garage und im Stiegenhaus aufgehalten. Aufgrund dessen installierte die gemeinnützige Wohnbaugesellschaft zur Verbesserung der Sicherheit ein elektronisches Zugangssystem und eine Videoüberwachungsanlage mit 38 Videokameras, um Eigentum und Bewohner zu schützen. Die DSB stellte hinsichtlich 30 der Videokameras einen Verstoß gegen die DSGVO fest, trug der Wohnbaugesellschaft auf, den Aufnahmebereich zwei der Videokameras einzuschränken und untersagte die Datenverarbeitung mit den übrigen 28 (rechtswidrig betriebenen) Videokameras.

Die DSB hat erwogen: Eine Videoüberwachung in allgemeinen Teilen einer Liegenschaft ist als Maßnahme der außerordentlichen Verwaltung iSd § 29 Abs 1 WEG anzusehen. Daher könnte selbst bei faktischem Vorliegen eines Mehrheitsbeschlusses jeder der überstimmten Wohnungseigentümer die gerichtliche Aufhebung des Mehrheitsbeschlusses verlangen.

Als Erlaubnistatbestand kommen die Erfüllung eines Vertrages (Art 6 Abs 1 lit b DSGVO) sowie die berechtigten Interessen der Wohnbaugesellschaft, anderer Miteigentümer und Dritter (Art 6 Abs 1 lit f DSGVO) in Frage. Zwischen der Wohnbaugesellschaft und den Hausbewohnern besteht ein Bestandsvertragsverhältnis (Mietvertrag), die dauerhafte Videoüberwachung aller Bewohner bei jedem Betreten und Verlassen des Wohnobjekts ist dadurch jedoch nicht rechtfertigbar.

Die Videoüberwachung an öffentlich zugänglichen Orten zum Schutz von Personen und Eigentum ist gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich zulässig, sofern bereits Rechtsverletzungen stattgefunden haben oder ein hohes Gefährdungspotenzial besteht. Der EuGH sieht den Betrieb solcher Videoüberwachungssysteme zum Eigentumsschutz als berechtigtes Interesse an. Dennoch muss jede Datenverarbeitung, einschließlich Videoüberwachung, die Grundsätze des Art 5 Abs 1 DSGVO (ua Datenminimierung) erfüllen. Die Wohnbaugemeinschaft hat gemeinsam mit der Videoüberwachung ein elektronisches Zugangssystem eingebaut. Der Zweck, hausfremde Personen vom Wohnhaus fernzuhalten, wurde bereits durch dieses gelindere Mittel erreicht.

Zwei der Kameras dienten dem Zweck, den Diebstahl von Paket- und Briefsendungen zu verhindern. Hierfür genügt es jedoch, wenn die Aufnahmebereiche der Kameras auf die Abholstationen der Post eingeschränkt werden.

Soweit die Aufnahmebereiche der Kameras die Bereiche innerhalb der Müll-, Fahrrad- und Kinderwagenabstellräume erfassen, erfolgt die Videoüberwachung zur Verhinderung von Diebstählen und Sachbeschädigungen rechtmäßig, weil gelindere Mittel (zB Attrappen) nicht geeignet sind. Soweit die Kameras jedoch die vor diesen Räumen befindlichen Gangbereiche aufzeichnen, erfolgt die Datenverarbeitung rechtswidrig.

Die komplette Überwachung von Gemeinschaftsbereichen stellt einen unverhältnismäßig schweren Eingriff in das Grundrecht auf Geheimhaltung der Bewohner bzw deren Besucher dar. Das Interesse der Bewohner und ihrer Gäste, dass ihre personenbezogenen Daten nicht bei jedem Verlassen und Betreten der Wohnungen durch Bildaufnahmen aufgezeichnet werden, wiegt schwerer als das berechtigte Interesse der Wohnbaugesellschaft am Schutz ihres Eigentums. Folglich ist die Verarbeitung personenbezogener Daten durch jene Kameras, deren Aufnahmebereiche alle Personen beim Verlassen und Betreten des Wohnobjekts erfassen, durch das berechtigte Interesse der Wohnbaugesellschaft nicht gedeckt. Anm: Die Entscheidung ist für die Praxis ein guter Leitfaden, unter welchen Voraussetzungen die DSB den Einsatz von Videoüberwachung akzeptiert. Nach ständiger Rechtsprechung des VwGH hat die DSB keine Kompetenz, in einem von Amts wegen eingeleiteten Prüfverfahren einen Verstoß gegen die DSGVO festzustellen. Weshalb die DSB dies dennoch getan hat, ist nicht nachvollziehbar und wird auch nicht begründet.

DSB 08.09.2021, 2021-0.474.768

Die berufliche Stellung eines Mitarbeiters des Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT) wurde durch eine Aktenvorlage des Bundesministers für Inneres (BMI) an die Mitglieder des BVT-Untersuchungsausschusses offengelegt. Die Daten waren Teil eines als vertraulich klassifizierten Aktes. Der BVT-Mitarbeiter brachte Datenschutzbeschwerde bei der DSB ein. Die DSB stellte fest, dass der BMI durch Offenlegung der Daten gegenüber dem BVT-Untersuchungsausschuss das Recht des BVT-Mitarbeiters auf Geheimhaltung verletzte.

Die DSB hat erwogen: Art 53 Abs 3 letzter Satz B-VG normiert das Geheimhaltungsinteresse von "Quellen" und stellt somit eine Ausnahme von der sonst geltenden Vorlagepflicht an einen Untersuchungsausschuss dar. Daraus ergibt sich eine objektive Verpflichtung, die vom zuständigen Organ (hier: der BMI) einzuhalten ist. Ein subjektives Geheimhaltungsrecht des Betroffenen lässt sich aus dieser Bestimmung nicht ableiten. Werden personenbezogene Daten entgegen dieser Bestimmung vorgelegt, bewirkt diese objektive Rechtsverletzung eine Verletzung des verfassungsgesetzlich gewährleisteten und subjektiven Rechts auf Geheimhaltung gemäß § 1 DSG. Der Betroffene kann daher Datenschutzbeschwere erheben.

Beschränkungen des Grundrechts auf Datenschutz dürfen nur in der gelindesten, zum Ziel führenden Art vorgenommen werden. Der BMI bezweckte mit der Vorlage der Unterlagen den Nachweis von rational begründeten und frei von politischer Einflussnahme erfolgten personellen Maßnahmen bezüglich des BVT-Mitarbeiters. Der verfolgte Zweck hätte auch durch Übermittlung geschwärzter Akten erreicht werden können. Die ungeschwärzte Übermittlung der personenbezogenen Daten des BVT-Mitarbeiters verstieß daher gegen seine Geheimhaltungsinteressen.

Vorschau EuGH-Rechtsprechung

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen gemäß Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdiensten aufbewahrter Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

 

 

Datenschutzrechts-Update 27.03.2024

Rechtsprechung des EuGH

EuGH 21.03.2024, C-61/22, Landeshauptstadt Wiesbaden

Ein Unionsbürger beantragte bei der Stadt Wiesbaden die Ausstellung eines neuen Personalausweises und verlangte, dass hierfür seine Fingerabdrücke nicht aufgenommen werden sollten. Die Stadt Wiesbaden lehnte den Antrag ab und berief sich auf die VO 2019/1157, welche die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen vorsieht.

Das vorlegende Gericht fragte den EuGH, ob die VO 2019/1157 gegen höherrangiges Unionsrecht verstößt, weil (i) sie auf die falsche Primärrechtsgrundlage gestützt wurde, (ii) sie gegen Art 7 und Art 8 GRC verstößt und (iii) keine Datenschutz-Folgeabschätzung nach Art 35 DSGVO durchgeführt wurde. Der EuGH erklärte die VO für ungültig, weil sie auf einer falschen Primärrechtsgrundlage erlassen wurde, entschied aber, dass die Wirkung der VO für eine angemessene Frist aufrechtzuerhalten ist, damit die VO, gestützt auf die richtige Rechtsgrundlage, erneut erlassen werden kann. Die datenschutzrechtlichen Regelungen der VO wurden vom EuGH für rechtmäßig befunden.

Der EuGH hat erwogen: Bei einer Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten iSd Art 35 Abs 1 DSGVO durchführen. Die VO sieht jedoch lediglich vor, dass die Mitgliedstaaten bei der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen sollen. Art 35 DSGVO ist daher nicht anzuwenden.

Fingerabdrücke sind biometrische und somit sensible Daten. Die Aufnahme und anschließende Speicherung von Fingerabdrücken in Personalausweisen schränkt die Rechte nach Art 7 und 8 GRC ein. Eine solche Einschränkung ist jedoch zulässig, sofern sie gesetzlich vorgesehen ist, der Wesensgehalt der Rechte geachtet, der Grundsatz der Verhältnismäßigkeit gewahrt wird und ein dem Gemeinwohl dienendes Ziel verfolgt wird.

Die in Fingerabdrücken enthaltenen Informationen ermöglichen für sich genommen keinen Einblick in das Privat- und Familienleben der betroffenen Personen. Die Aufnahme der Fingerabdrücke dient zur Feststellung der Echtheit der Ausweise und zur zuverlässigen Identifizierung des Inhabers. Weiters trägt die Maßnahme auch zur Interoperabilität der Systeme der Mitgliedstaaten zur Überprüfung von Identitätsdokumenten bei und verhindert das Fälschungs- und Betrugsrisiko, was ein Ziel im öffentlichen Interesse ist. Dies liegt auch im Interesse der Unionsbürger, weil ihnen dadurch die Freizügigkeit innerhalb der Union erleichtert wird. Die Aufnahme der vollständigen Fingerabdrücke ist hierfür erforderlich, weil die Mitgliedstaaten unterschiedliche Technologien zur Überprüfung von Identitätsdokumenten verwenden. Eine Aufnahme bloß bestimmter charakteristischer Punkte bietet nicht dieselbe Sicherheit und kann nicht von allen, durch die Mitgliedstaaten angewandten, unterschiedlichen Systeme erkannt werden. Hinsichtlich der Schwere des Eingriffs ist anzumerken, dass die Fingerabdrücke lediglich im Speichermedium der Personalausweise gespeichert werden, wobei diese ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal aufgenommen werden dürfen. Weiters sind die Mitgliedstaaten dazu verpflichtet, die biometrischen Daten bei Abholung des Dokuments durch den Inhaber, spätestens aber nach 90 Tagen zu löschen und keine nationalen Datenbanken zu führen. Auch ist zu beachten, dass die Fingerabdrücke bloß sekundär herangezogen werden sollen, sofern nach einer Überprüfung anhand des Gesichtsbilds noch Zweifel an der Echtheit des Dokuments bzw der Identität des Inhabers bestehen. Vor dem Hintergrund der obigen Ausführungen ist die Einschränkung der Art 7 und 8 GRC verhältnismäßig.

Anm: Für die Praxis ist diese Entscheidung relevant, weil der EuGH eine umfassende Rechts- und Verhältnismäßigkeitsprüfung durchführt und anerkennt, dass bereits vorhandene Systeme dem Datenschutz nicht immer angepasst werden müssen.

 

Rechtsprechung des VwGH

VwGH 01.02.2024, Ro 2021/04/0013

Aufgrund einer Ermittlung wegen Amtsmissbrauchs führte die Staatsanwaltschaft (StA) eine Rufdatenerhebung bei einem Verdächtigen durch. Nach Abschluss übermittelte die StA die Ergebnisse an die "Telefonkontakte" des Verdächtigen. Sie übermittelte nicht nur die Tatsache der Rufdatenerhebung, sondern auch die staatsanwaltliche Anordnung samt Begründung. Diese Begründung beinhaltete die bisherigen Ermittlungsergebnisse (Schilderung der Verdachtslage). Der Verdächtige erhob daraufhin Datenschutzbeschwerde bei der DSB. Nach Auffassung der DSB bestand für die Offenlegung der bisherigen Ermittlungsergebnisse keine gesetzliche Grundlage, weshalb eine Verletzung im Recht auf Geheimhaltung vorlag. Gegen diesen Bescheid erhob die StA Bescheidbeschwerde an das BVwG. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH wies die Amtsrevision als unbegründet ab.

Der VwGH hat erwogen: Das BVwG rügte die mangelhafte Begründung des Bescheides und änderte ihn dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird. Das BVwG darf einer Bescheidbeschwerde aber nicht allein wegen einer unzureichenden Begründung des bekämpften Bescheides Folge geben, es hat die Datenschutzbeschwerde inhaltlich zu erledigen. Das BVwG hat seine Entscheidung jedoch nicht nur auf diese Rüge gestützt. Es hat die Abweisung der Datenschutzbeschwerde vorrangig damit begründet, dass die Regelungen der StPO den einschlägigen Bestimmungen im 3. Hauptstück des DSG vorgehen.

Der Umstand, dass die § 138 Abs 5 und § 139 Abs 2 StPO besondere Regelungen über Verständigungspflichten und Einsichtsrechte enthalten, kann dazu führen, dass bestimmte Informations- und Auskunftsrechte nach dem DSG unangewendet bleiben. Trotz dieser besonderen Reglungen müssen die allgemeinen Anforderungen der StPO und des DSG zur Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung beachtet werden. § 74 Abs 1 StPO erlaubt es der StA, während ihrer Aufgaben notwendige personenbezogene Daten zu verarbeiten und erklärt das DSG für subsidiär anwendbar. Die Zulässigkeitsvoraussetzungen nach dem DSG sind auch im Anwendungsbereich der StPO maßgeblich.

Gemäß § 138 Abs 5 StPO hat die StA nach Beendigung einer Ermittlungsmaßnahme ihre Anordnung den von der Durchführung der Ermittlungsmaßnahme Betroffenen unverzüglich zuzustellen. Auch wenn sich die Anordnung im Nachhinein (ex post) als rechtswidrig erweist, sind die Betroffenen von der Ermittlungsmaßnahme zu verständigen, denn die Verständigung der Betroffenen dient deren Interessen. Sie sollen von dem Eingriff erfahren, um ggf Rechtsmittel erheben zu können.

Rechtsprechung des OGH

OGH 21.02.2024, 6Ob236/23h

Ein Kläger erhob Klage gegen Medieninhaberinnen, die ihren Sitz nicht im Sprengel des Erstgerichts hatten, weil sein Bild samt Begleittext in einer Print- und Online-Ausgabe veröffentlicht wurde. Er begehrte beim Erstgericht, in dessen Sprengel er wohnte und arbeitete, die Beseitigung und Löschung des Bildes und Begleittexts sowie Schadenersatz. Das Erstgericht erklärte sich für örtlich unzuständig. Der OGH entschied im Revisionsrekursverfahren, dass das Erstgericht für die Klage gegen das Printmedium örtlich unzuständig ist, für jene gegen das Onlinemedium hingegen örtlich zuständig ist.

Der OGH hat erwogen: § 29 Abs 2 DSG normiert einen Wahlgerichtsstand. Klagen gegen Verantwortliche und Auftragsverarbeiter können entweder beim Landesgericht erhoben werden, das im Sprengel des gewöhnlichen Aufenthalts oder Sitzes des Klägers oder des Beklagten liegt. Das Medienprivileg des § 9 Abs 1 DSG, dessen Aufhebung erst mit 30.06.2024 in Kraft tritt, bewirkt jedoch, dass § 29 Abs 2 DSG keine Anwendung findet, wenn Daten für journalistische Zwecke verarbeitet werden. Die Geltung des Medienprivilegs kann im Zuständigkeitsstreit dazu führen, dass ein Kläger den Verantwortlichen oder Auftragsverarbeiter vor einem anderen Gericht als dem seines gewöhnlichen Aufenthalts zu klagen hat. Dies ist nicht unionsrechtswidrig. Betroffenen Personen steht dennoch ein wirksamer gerichtlicher Rechtsbehelf iSd Art 79 Abs 1 DSGVO offen, weil die örtliche Zuständigkeit durch § 28 JN gewährleistet wird. Aufgrund des (noch geltenden) Medienprivilegs kann der Kläger die Zuständigkeit des § 29 Abs 2 DSG jedoch nicht in Anspruch nehmen.

Entfällt die Anwendung des § 29 Abs 2 DSG, verbleibt für Ansprüche aus Persönlichkeitsrechtsverletzungen in einem elektronischen Kommunikationsnetz der Gerichtsstand des § 92b JN. Entscheidend ist, dass über einen einheitlichen Sachverhalt zu entscheiden ist, bei dem verschiedene Anspruchsgrundlagen das angestrebte Ergebnis tragen. Dann ist das angerufene Gericht zuständig, wenn es die Zuständigkeit auch nur hinsichtlich einer der konkurrierenden Normen besitzt. Dies gilt auch für die örtliche Zuständigkeit, denn der Kläger soll nicht gezwungen sein, auf Anspruchsgrundlagen zu verzichten, um einen gewünschten Gerichtsstand zu erreichen. Der Kläger verfolgt mit seiner Klage eine vermeintliche Verletzung seiner Persönlichkeitsrechte und leitet sämtliche Ansprüche aus der Veröffentlichung des Bildes mit Begleittext ab. Da der Kläger sämtliche Ansprüche denkmöglich auch auf sein Grundrecht auf Datenschutz und die DSGVO gestützt hat und über einen einheitlichen Sachverhalt zu entscheiden ist, wobei verschiedene Rechtsgründe das nach dem Urteilsbegehren angestrebte Ergebnis tragen könnten, genügt es, wenn die örtliche Zuständigkeit des angerufenen Gerichts in Ansehung dieses Rechtsgrundes vorliegt.

Rechtsprechung des BVwG

Im Einklang mit seiner ständigen Rechtsprechung sprach das BVwG aus, dass die Zurückziehung der Datenschutzbeschwerde, während das Verfahren beim BVwG anhängig ist, zum Wegfall der Zuständigkeit der DSB führt. Dadurch wird der Bescheid der DSB (nachträglich) rechtswidrig und ist von Amts wegen zu beheben (BVwG 27.02.2024, W221 2265528-2).

Rechtsprechung der LVwG

LVwG Burgenland 08.01.2024, E 263/07/2023.001/018

Der Lenker eines PKW wurde auf einer Landstraße von Polizeibeamten in einem Zivilfahrzeug zur Vorführung zum Strafantritt angehalten, weil der Lenker mit der Zahlung mehrerer rechtskräftig verhängter Geldstrafen säumig war. Die Polizeibeamten nahmen den Lenker mit auf die Polizeiwache, von wo er anschließend in das Polizeianhaltezentrum überstellt wurde. Da der Lenker an Diabetes litt, verschlechterte sich sein Gesundheitszustand. Er wurde zur Versorgung in das Landesklinikum und anschließend wieder ins Polizeianhaltezentrum gebracht. Dort wurde er aufgefordert, die vom Krankenhaus erstellen Befunde abzugeben. Der Lenker wendete ein, dass die darin enthaltenen Daten dem Datenschutz unterliegen, doch wurde dieser Einwand von den Polizeibeamten ignoriert. Am nächsten Tag beglich die Gattin des Lenkers die Geldstrafen und er kam frei. Gegen die erfolgte Ausübung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt erhob der Lenker Maßnahmenbeschwerde gemäß Art 132 Abs 2 B-VG iVm §§ 7 ff VwGVG an das LVwG Burgenland. In der Beschwerde behauptete er ua, durch das Vorgehen der Polizeibeamten in seinem Recht auf Geheimhaltung verletzt worden zu sein. Der Datenschutzverstoß ergab sich gemäß dem Lenker durch die Aufforderung, Behandlungsbefunde abzugeben, welche dann Eingang in den zu ihm angelegten Gesundheitsakt im Polizeianhaltezentrum gefunden haben. Die Maßnahmenbeschwerde wurde vom LVwG in diesem Punkt als unzulässig zurückgewiesen.

Das LVwG Burgenland hat erwogen: Durch die eindeutige Festlegung von Behördenzuständigkeiten in Art 83 Abs 2 B-VG kommt die Zuständigkeit zur Überprüfung von Datenanwendungen auf Entscheidung über Beschwerden von Personen, die behaupten, in ihrem Recht auf Geheimhaltung verletzt zu sein, ausschließlich der DSB zu. Dies hat auch schon der VwGH mit Erkenntnis vom 22.04.2015, Ra 2014/04/0046 entschieden. Der Lenker hätte die in der Maßnahmenbeschwerde erhobene Rüge der Datenschutzverletzung bei der DSB erheben müssen. Die Verletzung eines Datenschutzrechts kann nicht im Rahmen eines Maßnahmenbeschwerdeverfahrens geprüft werden. Das Ersuchen auf Übergabe der Befunde zur Vorlage an den Amtsarzt ist keine Zwangsmaßnahme, weshalb die Maßnahmenbeschwerde aus diesem Punkt schon unzulässig ist. Die Maßnahmenbeschwerde dient darüber hinaus dem Zweck, eine Lücke im Rechtsschutzsystem zu schließen. Mit dieser Beschwerde sollen keine Zweigleisigkeiten für die Verfolgung ein- und desselben Rechtes geschaffen werden. Eine Maßnahmenbeschwerde steht nur offen, soweit die Rechtmäßigkeit des in Beschwerde gezogenen Handelns nicht in einem Verwaltungsverfahren geklärt werden kann. Was in einem Verwaltungsverfahren ausgetragen werden kann, kann daher nicht Gegenstand einer Maßnahmenbeschwerde sein. Die Maßnahmenbeschwerde ist ein subsidiärer Rechtsbehelf, der unzulässig ist, wenn ein anderer Rechtsschutzweg wie eine Datenschutzbeschwerde an die DSB zur Verfügung steht.

Rechtsprechung der DSB

DSB 19.11.2021, 2020-0.591.897

Ein Bankkunde sah sich im Recht auf Geheimhaltung verletzt, weil die Bank ein Telefongespräch mit ihm aufgezeichnet hatte. Eine Option, die Aufzeichnung abzulehnen, gab es nicht. Die DSB gab der Beschwerde statt und stellte fest, dass die Bank den Kunden in seinem Recht auf Geheimhaltung verletzt hatte, indem sie das Gespräch ohne rechtmäßige Grundlage verarbeitet hatte.

Die DSB hat erwogen: Die Bank berief sich auf ihre gesetzlichen Pflichten nach dem Wertpapieraufsichtsgesetz (WAG) und dem Zahlungsdienstegesetz (ZaDiG), die eine Aufzeichnung von Telefongesprächen im Zusammenhang mit Wertpapiergeschäften und eine (nicht näher definierte) Nachweispflicht eines Zahlungsdienstleisters bei Zahlungsaufträgen vorsehen. Diese Pflichten kamen jedoch nicht zum Tragen, weil das Gespräch weder ein Wertpapiergeschäft noch einen Zahlungsauftrag zum Inhalt hatte, sondern lediglich eine Anfrage über die Durchführung einer Geldüberweisung. Die Bank hätte ihre Organisation so einzurichten gehabt, dass Telefongespräche, die unter eine Aufzeichnungspflicht fallen, von anderen Kundengesprächen getrennt geführt werden. Die Bank durfte die Aufzeichnung des Telefongesprächs auch nicht auf das berechtigte Interesse der Qualitätssicherung ihrer Dienstleistungen stützen, weil das Geheimhaltungsinteresse des Kunden überwog. Die Datenverarbeitung war daher unrechtmäßig.

Vorschau EuGH-Rechtsprechung

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Datenschutzrechts-Update 20.03.2024

Rechtsprechung des EuGH

EuGH 14.03.2024, C‑46/23, Ujpesti Polgarmesteri Hivatal

Eine Bezirksverwaltung wollte Stadtbewohner, die durch die COVID-19-Pandemie gefährdet waren und bestimmte Anforderungen erfüllten, finanziell unterstützen. Für die Prüfung der Anspruchsvoraussetzungen erhob die Bezirksverwaltung personenbezogene Daten (Identifizierungsdaten und Sozialversicherungsnummern) bei anderen staatlichen Stellen und fasste diese in einer Datenbank zusammen. Die nationale Aufsichtsbehörde leitete ein amtswegiges Prüfverfahren ein und trug der Bezirksverwaltung auf, die personenbezogenen Daten jener Stadtbewohner zu löschen, die zwar Anspruch auf die Unterstützung gehabt hätten, diese aber nicht beantragt hatten.

Das vorlegende Gericht fragte den EuGH, ob eine Aufsichtsbehörde ohne Löschungsersuchen der Betroffenen von Amts wegen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anordnen darf und bejahendenfalls, ob diese Befugnis davon abhängt, dass die Daten bei den Betroffenen selbst erhoben wurden oder nicht.

Der EuGH hat erwogen: Art 58 Abs 2 DSGVO unterscheidet zwischen Abhilfemaßnahmen, die von Amts wegen ausgeübt werden und solchen, die nur auf Antrag der Betroffenen hin ergriffen werden können. Ebenso wird in Art 17 DSGVO zwischen der Löschung der Daten auf Antrag der Betroffenen und der Löschung aufgrund des Bestehens einer dem Verantwortlichen obliegenden Verpflichtung unterschieden. Um sicherzustellen, dass Datenverarbeitungen im Einklang mit der DSGVO stehen, müssen Aufsichtsbehörden über wirksame Befugnisse verfügen. Übt eine Aufsichtsbehörde ihre Befugnisse aus, muss sie geeignete Maßnahmen erlassen können, um festgestellten Verstößen abzuhelfen, und zwar unabhängig davon, ob die betroffene Person zuvor einen Antrag auf Ausübung ihrer Rechte gestellt hat. Die Aufsichtsbehörden dürfen auch ohne Antrag eines Betroffenen die Löschung personenbezogener Daten anordnen. Untätig bleibenden Personen würde ansonsten der Schutz genommen werden, obwohl ihre personenbezogenen Daten unrechtmäßig verarbeitet werden.

Auf die Herkunft der Daten kommt es nicht an. Die Befugnis der Aufsichtsbehörde zur Anordnung der Löschung unrechtmäßig verarbeiteter Daten bezieht sich sowohl auf bei den Betroffenen erhobenen als auch aus einer anderen Quelle stammenden Daten.

Rechtsprechung VfGH

VfGH 12.03.2024, E3436/2023

Die Finanzmarktaufsichtsbehörde (FMA) veröffentlichte die Daten eines Unternehmens im Rahmen einer Investorenwarnung auf ihrer Webseite, weil das Unternehmen trotz fehlender Berechtigung den Anschein erweckte, konzessionspflichtige Wertpapierdienstleistungen zu erbringen. Nachdem das Unternehmen eine entsprechende inhaltliche Veränderung auf ihrer Webseite vornahm, indem es den "Footer" mit dem irreführenden Hinweis löschte, erhob es eine Datenschutzbeschwerde an die DSB. Darin brachte das Unternehmen vor, die FMA hätte die Investorenwarnung trotz der geänderten Sachlage nicht behoben und hätte das Unternehmen somit in ihrem Recht auf Löschung verletzt. Die DSB erklärte, dass das Unternehmen als juristische Person iSd § 24 DSG legitimiert sei, Datenschutzbeschwerde zu erheben und gab dieser statt, weil sich die Sachlage durch das Entfernen des "Footer" auf der Webseite geändert hatte. Die FMA habe demnach das Unternehmen in seinem Recht auf Löschung verletzt. Angesichts einer Bescheidbeschwerde der FMA beim BVwG hob dieses den Bescheid der DSB auf und führte aus, dass juristische Personen nicht von § 24 DSG erfasst seien und somit nicht aktiv legitimiert wären. Dagegen erhob das Unternehmen (erfolglos) eine Erkenntnisbeschwerde an den VfGH.

Der VfGH hat erwogen: Der VfGH hat keinen Zweifel, dass die Grundrechtsbestimmung des § 1 DSG auch juristische Personen als Grundrechtsträger erfasst, wobei auch Wirtschaftsdaten als personenbezogene Daten zu qualifizieren sind. Im konkreten Fall der Investorenwarnung gibt es jedoch einen eigenen Rechtsschutzweg an die FMA, der sowohl natürlichen als auch juristischen Personen offensteht. Das Unternehmen hätte nach Änderung der Sachlage erneut bei der FMA die Überprüfung auf Rechtmäßigkeit gemäß § 92 Abs 11 WAG beantragen müssen, in dessen Rahmen auch eine etwaige Verletzung des Grundrechts auf Datenschutz zu prüfen ist. Sollte eine solche Verletzung vorliegen, wäre die FMA dazu verpflichtet, die Veröffentlichung richtigzustellen, zu widerrufen oder zu entfernen. Die Begründung des BVwG, dass die DSB aufgrund der fehlenden Aktivlegitimation des Unternehmens unzuständig sei, war zwar unrichtig, jedoch würden daraus keine verfassungsrechtlichen Bedenken hervorgehen. Dies vor eben jenem Hintergrund, dass nicht die DSB, sondern ausschließlich die FMA zur Entscheidung über die Rechtmäßigkeit einer Investorenwarnung zuständig ist.

Rechtsprechung des VwGH

VwGH 01.02.2024, Ra 2021/04/0088

In das Vermögen des Verpflichteten einer Forderung sollte Exekution geführt werden, weshalb der Gerichtsvollzieher dessen Wohnung aufsuchte und, als er ihn nicht antraf, seine Visitenkarte hinterließ. Der Verpflichtete erhob gegen das BG Innsbruck, dem der Vollzieher zuzurechnen war, Beschwerde bei der DSB, die diese abwies. Das BG Innsbruck erhob dennoch Bescheidbeschwerde gegen diesen Bescheid, weil es der Ansicht war, dass die Tätigkeit des Vollziehers als "justizielle Tätigkeit" iSd Art 55 Abs 3 DSGVO zu qualifizieren ist und die DSB deshalb unzuständig war. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH schloss sich der Rechtsansicht des BVwG an, hob das Erkenntnis des BVwG aber dennoch auf, weil der Spruch des Erkenntnisses falsch formuliert war.

Der VwGH hat erwogen: Die Tätigkeit von Exekutivorganen bei einer gerichtlichen Vollstreckung nach der EO ist eine Tätigkeit der "Gerichtspolizei im engeren Sinn", die der Gerichtsbarkeit zuzuordnen ist; die zu setzenden Akte sind als "abgeleitete richterliche Akte" zu qualifizieren. Das Exekutionsverfahren und dessen Vollzug ist somit eine "justizielle Tätigkeit", in deren Zusammenhang die richterliche Unabhängigkeit zu wahren ist. Art 55 Abs 3 DSGVO ist so zu verstehen, dass Datenverarbeitungen im Rahmen einer "justiziellen Tätigkeit" nicht nur auf Verarbeitungen durch Gerichte in konkreten Rechtssachen beschränkt sind, sondern in weiterem Sinn alle Verarbeitungsvorgänge durch Gerichte bei "justiziellen Tätigkeiten" erfassen. Diese Verarbeitungen sind der Kontrolle durch die DSB nicht unterworfen.

Dennoch war das Erkenntnis des BVwG aufzuheben, weil das BVwG den Bescheid der DSB nur behoben hat und eine rein kassatorische Entscheidung des Verwaltungsgerichts nicht zulässig ist, wenn dem verwaltungsbehördlichen Bescheid ein Parteiantrag zugrunde liegt. Das BVwG hätte somit in der Sache entscheiden müssen.

Anm: Das BVwG hätte den Bescheid der DSB nicht "bloß" beheben dürfen, sondern hätte den Spruch des Bescheids auch dahingehend abzuändern gehabt, dass die Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird. Das wird im fortgesetzten Verfahren wohl auch geschehen.

VwGH 01.02.2024, Ro 2020/04/0016

Eine Rechtsanwältin verlangte die Übermittlung von Aktenkopien von der Staatsanwaltschaft (StA). Die StA übermittelte teilweise sensible Daten von zwei Personen, die zwar im angeforderten Akt geführt wurden, jedoch nicht die Eingabe der Rechtsanwältin betrafen. Die Rechtsanwältin leitete den Sachverhalt an die DSB weiter, die ein amtswegiges Prüfverfahren gegen die StA einleitete und eine Verletzung des Rechts auf Geheimhaltung der Betroffenen feststellte. Das BVwG wies die Bescheidbeschwerde der StA ab. Die StA erhob, vertreten durch die Finanzprokuratur, Revision an den VwGH. Der VwGH hegte Bedenken im Hinblick auf das Recht auf ein Verfahren vor dem gesetzlichen Richter (Art 83 Abs 2 B-VG) sowie den Trennungsgrundsatz (Art 94 B-VG) und stellte an den VfGH den Antrag, die Bestimmungen § 31 Abs 1 erster Satz, § 32 Abs 1 Z 3 sowie § 36 Abs 2 Z 15 DSG aufzuheben. Der VfGH teilte zwar die verfassungsgesetzlichen Bedenken des VwGH hinsichtlich des Trennungsgrundsatzes, sah jedoch wegen des Vorrangs des Unionsrechts keinen Raum die angefochtenen Bestimmungen aufzuheben, weil unter Wahrung des Unionsrechts keine verfassungskonforme Ersatzregelung möglich ist (VfGH 13.12.2023, G212/2023). Der VwGH hob das Erkenntnis des BVwG trotz richtiger Beurteilung der Zuständigkeit der DSB aus formalen Gründen dennoch auf.

Der VwGH hat erwogen: Die Staatsanwälte sind gemäß Art 90a B-VG Organe der ordentlichen Gerichtsbarkeit aber keine Gerichte. Trotz der Regelungen des GOG und des StAG sind sie auch keine unabhängigen Justizbehörden. Vor dem Hintergrund des Erkenntnisses des VfGH bestehen gegen diese Zuständigkeit der DSB auch für den Bereich der Verarbeitung personenbezogener Daten durch Staatsanwaltschaften keine verfassungsrechtlichen Bedenken (mehr).

Der VwGH hat allerdings bereits wiederholt ausgesprochen, dass die DSB in einem amtswegigen Prüfverfahren keine Befugnis hat die allfällige Rechtswidrigkeit eines Datenverarbeitungsvorgangs festzustellen. Da das BVwG den Bescheid der DSB, mit welchem eine Rechtsverletzung festgestellt wurde, bestätigte, war das Erkenntnis des BVwG aufzuheben.

VwGH 14.12.2021, Ro 2021/04/0006

Der Nationalrat setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) aufzuklären (BVT-Untersuchungsausschuss). Als Auskunftsperson wurde ein verdeckter Ermittler einvernommen, der die Anonymisierung seiner Aussage beantragte. Dennoch wurde das Protokoll seiner Befragung unter Nennung seines Klarnamens veröffentlicht. Die von der Auskunftsperson erhobene Datenschutzbeschwerde wurde von der DSB wegen Unzuständigkeit zurückgewiesen. Der Bescheidbeschwerde der Auskunftsperson gab das BVwG Folge. Die DSB erhob Amtsrevision an den VwGH. Der VwGH fragte den EuGH, (i) ob im Hinblick auf den Gewaltenteilungsgrundsatz die parlamentarische Kontrolltätigkeit durch einen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt und (ii) bejahendenfalls, ob diese Kontrolltätigkeit vom Anwendungsbereich der DSGVO ausgenommen ist, wenn eine Behörde kontrolliert wird, die dem Schutz der nationalen Sicherheit dient. Weiters fragte der VwGH, (iii) ob sofern bloß eine nationale Datenschutzbehörde eingerichtet ist, deren Zuständigkeit sich unmittelbar aus Art 77 DSGVO ergibt. Nachdem der EuGH diese Fragen beantwortete (EuGH 16.01.2024, C-33/22, Österreichische Datenschutzbehörde; siehe näher unser Datenschutzrechts-Update vom 24.01.2024), wies der VwGH die Amtsrevision der DSB ab.

Der VwGH hat erwogen: Ausgehend vom Urteil des EuGH ist bei der Frage, ob die Verarbeitung personenbezogener Daten vom sachlichen Anwendungsbereich der DSGVO ausgenommen ist, ausschließlich auf die Natur der Tätigkeiten abzustellen. Daher ist nicht jede Tätigkeit eines vom Nationalrat eingesetzten Untersuchungsausschuss vom Anwendungsbereich des Unionsrechts ausgenommen.

Gegenstand des BVT-Untersuchungsausschusses ist die parlamentarische Kontrolle der Aufgabenerfüllung des BVT, aber nicht unmittelbar die Gewährleistung der nationalen Sicherheit. Auch hinsichtlich des Schutzes der nationalen Sicherheit ist die Tätigkeit des BVT-Untersuchungsausschusses vom Anwendungsbereich der DSGVO daher nicht ausgenommen.

Die DSB ist für die Kontrolle des BVT-Untersuchungsausschusses zuständig, weil sie die einzige dafür eingerichtete Aufsichtsbehörde ist. Dies stößt auf keine verfassungsgesetzlichen Bedenken, weil nach den Ausführungen des VfGH im Erkenntnis vom 13.12.2023, G212/2023, kein Umsetzungsspielraum ersichtlich ist, eine mit dem verfassungsgesetzlichen Gewaltentrennungsprinzip vereinbare, für die Überprüfung der Verarbeitung personenbezogener Daten durch das Parlament zuständige Aufsichtsbehörde nach Art 51 Abs 1 DSGVO einzurichten.

Anm: Der VwGH räumt verfassungsrechtliche Bedenken mit Verweis auf das bereits oben erwähnte Erkenntnis des VfGH aus. Darin ging es allerdings um Staatsanwaltschaften. Ob eine vergleichbare Lösung für die Legislative wie für die Judikative verfassungsgesetzlich tatsächlich unzulässig ist, erscheint fraglich.

Die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung kann als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung angesehen werden. Die Verarbeitung der Daten einer vom Interesse des Verantwortlichen nicht unmittelbar betroffenen Person ist von diesem Zweck jedoch nicht gedeckt. Aus der Unzulässigkeit der Zusendung elektronischer Post ohne Einwilligung kann kein Umkehrschluss gezogen werden, dass die Zusendung einer persönlich adressierten Werbung per Post ohne Einwilligung zulässig wäre (VwGH 01.02.2024, Ro 2021/04/0016).

Rechtsprechung des OGH

Beamte und Vertragsbedienstete der Abgabenbehörden dürfen, sofern dienstlich begründet, aus den finanzinternen Datenbanken Abgabeninformationssystem (AIS), FinanzOnline Verfahren (FON), Grunddatenverwaltung und Jahresveranlagung (JVP) personenbezogene Daten abfragen. Abfragen aufgrund von Bitten von Bekannten, Freunden und Verwandten gehören jedoch nicht zu den einem Beamten oder Vertragsbediensteten übertragen Aufgaben. Ersuchen aus dem Freundes-, Bekannten- und Verwandtenkreis sind wegen Befangenheit abzulehnen (OGH 15.02.2024, 8ObA72/23f).

Rechtsprechung der BFG

Der materielle Schwerpunkt der Tätigkeit als Mitglied und somit der Tätigkeitsmittelpunkt des Gemeinderats/des Stadtrats liegt nicht in einem im Wohnungsverband gelegenen Arbeitszimmer. Das Arbeitszimmer wird auch dann nicht zum Mittelpunkt der Tätigkeit, wenn darin vertrauliche Informationen aufbewahrt werden. Vertrauliche Daten sind zwar unter Beachtung des Datenschutzgesetzes sowie der Datenschutzgrundverordnung sicher zu verwahren, die erforderlichen Vorbereitungshandlungen und Ablagemöglichkeiten können den Mittelpunkt der Kerntätigkeit jedoch nicht ins Arbeitszimmer verlagern (BFG 04.03.2024, RV/7103422/2020).

Rechtsprechung der DSB

DSB 10.08.2023, 2023-0.058.359

Drei deutsche Gesellschaften im Lebensmittelsektor verarbeiteten und übermittelten Daten einer österreichischen Kommanditgesellschaft (KG) an ein drittes Unternehmen. Konkret ging es dabei um die Daten zu den – von der KG bei den deutschen Gesellschaften – bestellten Produkten, zu Mengen dieser bestellten Produkte, zur geschätzten Absatzmenge sowie des Betriebsorts der KG. Die von der KG erhobene Datenschutzbeschwerde wurde von der DSB zurückgewiesen.

Die DSB hat erwogen: Nach § 1 Abs 1 DSG sind auch die Daten juristischer Personen geschützt. Gem § 3 Abs 1 DSG sind die Bestimmungen des DSG jedoch nur auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Hinsichtlich einer Datenverarbeitung und -übermittlung durch GmbHs in Deutschland gelangen die §  1 Abs  1 DSG sowie § 24 Abs 1 DSG folglich nicht zur Anwendung. Das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art 77 Abs 1 DSGVO kommt nur natürlichen Personen zu. Eine KG kann sich auf diese Bestimmung nicht stützen. Der KG steht es offen, eine Beschwerde in Deutschland einzubringen.

Vorschau EuGH-Rechtsprechung

Am 03.2024 wird das Urteil des EuGH in der Rs C-61/22, Landeshauptstadt Wiesbaden, verkündet. Der EuGH wird über die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten entscheiden. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Datenschutzrechts-Update 13.03.2024

Rechtsprechung des EuGH

EuGH 07.03.2024, C‑604/22, IAB Europe

Bei Online-Werbeauktionen können Werbeunternehmen anonym Werbeplätze ersteigern und personalisierte Werbung basierend auf Nutzerprofilen anzeigen. IAB Europe, eine EU-Branchenorganisation, die Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt, entwickelte für ihre Mitglieder einen Regelungsrahmen, um sicherzustellen, dass diese Auktionen DSGVO-konform sind (das Transparency & Consent Framework; TCF). Dazu wurde eine Einwilligungsplattform (Consent Management Plattform; CMP) in ein Pop-up-Fenster integriert, um die Einwilligungspräferenzen des Websitebesuchers in einem Transparency and Consent String (TC-String) zu speichern, der aus einer Folge von Buchstaben und Zeichen besteht. Dieser Code wird an Broker übermittelt, damit diese wissen, worin die Nutzer eingewilligt haben. Das CMP speichert auch ein Cookie auf dem Gerät des Nutzers. Miteinander kombiniert können der TC‑String und das Cookie der IP‑Adresse dieses Nutzers zugeordnet werden. Das vorlegende Gericht fragte den EuGH, ob es sich bei einer solchen Zeichenfolge um personenbezogene Daten handelt und ob es sich bei einer Branchenorganisation wie IAB Europe um einen gemeinsam Verantwortlichen iSd Art 26 DSGVO handelt.

Der EuGH hat erwogen: Eine Zeichenfolge, die individuelle Einwilligungspräferenzen eines Websitebesuchers enthält, ist eine Information, die sich auf eine Person bezieht und somit eine Information "über" eine Person. Eine solche Zeichenfolge ist ein personenbezogenes Datum, wenn sie mit vertretbarem Aufwand mit einer Kennung wie einer IP-Adresse verknüpft werden kann und somit eine Identifizierung der Person möglich ist. Sofern die Mitglieder der Branchenorganisation verpflichtet sind, auf Anfrage Identifizierungsinformationen bereitzustellen, ist es unerheblich, dass die Branchenorganisation selbst keinen Zugriff auf die verarbeiteten Daten hat bzw den TC-String nicht direkt mit einer Kennung verknüpfen kann, weil die Branchenorganisation dennoch über die Mittel verfügt, die Person zu identifizieren.

Die Branchenorganisation ist als gemeinsamer Verantwortlicher zu qualifizieren, wenn sie gemeinsam mit seinen Mitgliedern die Zwecke (Förderung des Handels von Werbeflächen im Internet) und Mittel (Regelungsrahmen und technische Spezifikationen für die Verarbeitung des TC-Strings) festlegt. Dass die Branchenorganisation selbst keinen unmittelbaren Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern innerhalb des Regelungsrahmens verarbeitet werden, hindert nicht daran, sie als Verantwortliche einzustufen. Dies gilt aber nur für die Speicherung der Einwilligungspräferenzen, nicht jedoch für die Weiterverarbeitung durch Dritte aufgrund dieser Präferenzen. Erst wenn eine Branchenorganisation Einfluss auf die Festlegung der Zwecke und Mittel dieser Weiterverarbeitungen ausübt, kann sie für diese Verarbeitung als Verantwortliche angesehen werden.

Anm: Als Folge dieses Urteils dürfte das TCF voraussichtlich überarbeitet werden.

EuGH 05.03.2024, C-755/21P, Kočner/Europol

Während der Ermittlung wegen des Mordes an einem slowakischen Journalisten und dessen Verlobten sicherte Europol die Daten auf zwei Mobiltelefonen des mutmaßlichen Mordauftraggebers (Beschuldigter). Europol übermittelte ihren Bericht an die slowakischen Behörden und übergab der Behörde eine Festplatte mit verschlüsselten Daten, die Europol aus den besagten Mobiltelefonen extrahiert hatte. Dem Bericht zufolge war der Beschuldigte wegen des Verdachts eines Finanzdelikts seit 2018 inhaftiert und sein Name stand ua mit "Mafia-Listen" und den "Panama Papers" in Verbindung. Kurze Zeit später kam es in verschiedenen Presseartikeln zur Veröffentlichung der Transkriptionen intimer Gespräche zwischen dem Beschuldigten und dessen Freundin, die von den beiden Mobiltelefonen stammten. Der Beschuldigte klagte Europol vor dem EuG auf immateriellen Schadenersatz iHv EUR 100.000, weil (i) Europol seinen Namen in die "Mafia-Listen" aufgenommen habe und (ii) die Transkription des Gesprächs mit seiner Freundin an die Medien gelangt sei. Das EuG wies die Klage ab. Der EuGH gab dem dagegen erhobenen Rechtsmittel des Beschuldigten hinsichtlich der Weitergabe der Transkription des intimen Gesprächs an die Medien statt. Das Rechtsmittel betreffend die Mafia-Listen wies der EuGH zurück.

Der EuGH hat erwogen: Nach Art 50 Abs 1 der VO (EU) 2016/794 hat der durch eine rechtswidrige Datenverarbeitung Geschädigte das Recht, entweder von Europol oder vom Mitgliedstaat, in dem der Schadensfall eingetreten ist, Ersatz für einen immateriellen Schaden zu fordern. Der Wortlaut dieser Bestimmung ist hinsichtlich der Natur der Haftung nicht eindeutig. Aus ErwGr 57 der VO (EU) 2016/794 ist aber zu schließen, dass die Regelung eine gesamtschuldnerische Haftung für Europol und den Mitgliedstaat vorsieht. Zwar ist ein ErwGr nicht verbindlich und kann er nicht herangezogen werden, um von den Bestimmungen eines Rechtsaktes abzuweichen, es kommt ihm aber ein hoher Auslegungswert zu.

Die außervertragliche Haftung von Europol setzt die Rechtswidrigkeit ihres Verhaltens, das Eintreten eines tatsächlichen und sicheren Schadens sowie einen Kausalzusammenhang zwischen dem Verhalten und dem geltend gemachten Schaden voraus. Der Beschuldigte konnte keinen Beweis erbringen, dass die "Mafia-Listen" tatsächlich von Europol erstellt oder geführt wurden und weswegen er kein rechtswidriges Verhalten nachweise konnte. Daher war dieser Rechtsmittelgrund unzulässig.

Hinsichtlich der Weitergabe des intimen Gesprächs des Beschuldigten mit seiner Freundin trug Europol vor, dass die slowakische Behörde für das Weitergeben der Informationen an die Medien verantwortlich war und Europol nur dazu verpflichtet war, geeignete technische und organisatorische Maßnahmen zu ergreifen. Gerade um solchen Beweisschwierigkeiten Rechnung zu tragen, ist jedoch mit der gesamtschuldnerischen Haftung ein zweistufiger Haftungsmechanismus vorgesehen, der den Geschädigten von der Bürde befreit, die Identität der Stelle nachzuweisen, die den Schaden verursacht hat. Europol kann sich gegebenenfalls bei der slowakischen Behörde regressieren.

Die Weitergabe der Informationen über das intime Gespräch des Beschuldigten mit seiner Freundin an die Medien war rechtswidrig. Durch diese Datenweitergabe wurde der Beschuldigte in seinem Recht auf Achtung des Privat- und Familienlebens sowie seiner Kommunikation verletzt und wurde zudem in seiner Ehre und seinem Ansehen beeinträchtigt. Unter diesen Umständen ist der erlittene Schaden durch Zahlung einer nach billigem Ermessen auf EUR 2.000 festgesetzten Entschädigung angemessen auszugleichen.

Beachte: Der EuGH verlangt einen tatsächlichen und sicheren Schaden.

EuGH 07.03.2024, C‑740/22, Endemol Shine Finland

Ein Unternehmen begehrte bei einem nationalen Gericht mündliche Auskunft darüber, ob ein Teilnehmer an einem von ihm organisierten Wettbewerb strafrechtlich in Erscheinung getreten ist. Das vorlegende Gericht fragte den EuGH, ob die mündliche Übermittlung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten eine Verarbeitung iSd DSGVO ist und ob sie mit dem (finnischen) Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten im Einklang steht.

Der EuGH hat erwogen: Der Verarbeitungsbegriff der DSGVO ist weit auszulegen und umfasst auch die mündliche Übermittlung. Der sachliche Anwendungsbereich der DSGVO ist aber nur dann eröffnet, wenn die Daten, die Gegenstand der mündlichen Übermittlung sind, in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten stellt einen besonders schweren Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar. Diese Rechte gehen dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten vor.

Nationale Regelungen können (iSd Art 6 Abs 1 lit e DSGVO) eine Übermittlung rechtfertigen, wenn sie ein im öffentlichen Interesse liegendes Ziel verfolgen und geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsehen. Daten im Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person dürfen jedoch nicht jeder Person mitgeteilt werden, ohne dass diese ein besonderes Interesse an diesen Daten geltend macht. Für die Beurteilung der Rechtmäßigkeit und Verhältnismäßigkeit der Übermittlung ist es unerheblich, ob die Person, die die Auskunft begehrt, ein Unternehmen oder eine Privatperson ist oder ob die Daten schriftlich oder mündlich mitgeteilt werden.

Rechtsprechung des BVwG

BVwG 22.12.2023, W292 2247003-1

Ein Kreditwerber erhob Datenschutzbeschwerde bei der DSB gegen eine Kreditauskunftei, weil die Kreditauskunftei Daten über ein gegen ihn geführtes Schuldenregulierungsverfahren zu lange speicherte. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG gab der dagegen erhobenen Bescheidbeschwerde – gestützt auf das in der Zwischenzeit ergangene Urteil des EuGH vom 12.2023, C‑26/22 und C‑64/22, SCHUFA Holding – teilweise statt, wobei es einmal den Zeitraum prüfte, in dem die Daten über das Schuldenregulierungsverfahren noch öffentlich einsehbar waren, und einmal den Zeitraum, in dem sie das nicht mehr waren.

Das BVwG hat erwogen: Die Verarbeitung (bonitätsrelevanter) personenbezogener Daten durch Kreditauskunfteien kann in datenschutzrechtlicher Hinsicht ausschließlich auf Art 6 Abs 1 lit f DSGVO gestützt werden. Die Verarbeitung muss zur Wahrung der wirtschaftlichen Interessen am Gewerbebetrieb selbst bzw an der Einschätzung der Bonität von potenziellen Kreditnehmern unbedingt erforderlich sein und die Interessen des Kreditwerbers dürfen nicht überwiegen. Die Interessen des Kreditsektors an Informationen über eine Restschuldbefreiung können keine Verarbeitung von Daten durch Kreditauskunfteien nach der Frist der Speicherung im öffentlichen Insolvenzregister rechtfertigen, weil dadurch das mit der Löschung aus dem Insolvenzregister verfolgte Ziel, dem Kreditwerber zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, gefährdet würde.

Während der öffentlichen Verfügbarkeit der Daten im öffentlichen Insolvenzregister überwiegt das Interesse der Kreditauskunftei und der Kreditgeber, weil die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft bilden.

Anm: Das BVwG ist aufgrund des Urteils des EuGH in der Rs SCHUFA Holding von seiner bisherigen Rsp abgegangen.

BVwG 22.01.2024, W211 2262943-1

Die Abonnentin eines österreichischen Medienunternehmens registrierte sich mit ihrer E-Mail-Adresse, um deren digitale Zeitungsausgabe zu erhalten. Bei der Registrierung waren AGB und Datenschutzinformationen hinterlegt. Die Datenschutzinformationen enthielten einen Hinweis, dass die im Zuge des Registrierungsprozesses vom Kunden hinterlegten Daten zu Werbezwecken "bis auf Widerruf" verarbeitet werden. Für die Verwaltung der Kundendaten war das Medienunternehmen mit einem IT-Unternehmen gemeinsam verantwortlich. Dieses IT-Unternehmen sandte an alle bestehenden Kunden, die keinen Widerspruch gegen die Verarbeitung ihrer Daten für Werbezwecke eingelegt hatten, eine E-Mail mit dem Hinweis auf einen neuen digitalen Newsletter. Der wegen Verletzung auf das Recht auf Geheimhaltung von der Abonnentin eingebrachten Datenschutzbeschwerde gab die DSB statt. Das BVwG wies die Bescheidbeschwerde des IT-Unternehmens ab.

Das BVwG hat erwogen: Der Versand von Werbeemails wird in § 174 TKG geregelt, der Art 13 der e-Privacy-RL ins innerstaatliche Recht umsetzt. Gemäß Art 95 DSGVO gehen die Umsetzungsvorschriften zur e-Privacy-RL der DSGVO unter den hier vorliegenden Umständen vor. § 174 TKG regelt jedoch "nur" die Zulässigkeit der Übermittlung von Werbemails. Die Abonnentin hat hingegen eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG geltend gemacht. Darüber durfte die DSB absprechen.

Die an die Abonnentin versandte E-Mail war Direktwerbung, weil sie eine Produktinformation zum digitalen Newsletter enthielt. Daher hätte die Werbeemail nur unter den Voraussetzungen des § 174 TKG versandt werden dürfen. Eine wirksame Einwilligung iSd § 174 Abs 1 TKG lag nicht vor, denn die "Einwilligung" zur Verwendung der E-Mail-Adresse war an den Vertragsabschluss gekoppelt.

Die E-Mail-Adresse hätte allenfalls gemäß § 174 Abs 4 TKG auch ohne Einwilligung für Direktwerbung verwendet werden dürfen. Hierfür müssten vier Voraussetzungen kumulativ erfüllt sein, von welchen drei Voraussetzungen erfüllt waren. Allerdings hätte die Abonnentin bei der Erhebung der E-Mail-Adresse, dh im Registrierungsprozess, klar und deutlich informiert werden müssen, dass sie der Verwendung ihrer E-Mail-Adresse für Direktwerbung widersprechen kann. Dieser Voraussetzung wurde mit der Information, die Daten werden "bis auf Widerruf" verarbeitet, nicht Genüge getan. Es lag nämlich nicht auf der Hand, wie der "Widerruf" einzubringen ist.

BVwG vom 16.02.2024, W221 2268420-1

Eine Versicherungsnehmerin verursachte einen Parkschaden und beging daraufhin Fahrerflucht. Durch einen Zeugen konnte die Polizei das Kennzeichen der Versicherungsnehmerin erheben und es wurde ein Verwaltungsstrafverfahren wegen Fahrerflucht eingeleitet. Die durch den Verkehrsunfall Geschädigte brachte Klage gegen die Versicherungsnehmerin und ihre Kfz-Haftpflichtversicherung auf Ersatz des Schadens ein. Die dafür notwendigen Daten stammten aus dem Verkehrsunfallsbericht der Landespolizeidirektion. Im Zuge der Schadensbearbeitung leitete der Rechtsanwalt der Versicherungsnehmerin ein Verhandlungsprotokoll an die Kfz-Haftpflichtversicherung der Versicherungsnehmerin weiter. Anschließend kündigte die KFZ-Haftpflichtversicherung das Versicherungsverhältnis auf.

Die Versicherungsnehmerin beschwerte sich bei der DSB wegen der Verwendung ihrer Daten aus dem Verkehrsunfallsbericht durch die Geschädigte und der Verarbeitung des Verhandlungsprotokolls durch eine Versicherungsangestellte. Die DSB und das BVwG wiesen die Datenschutzbeschwerde und die anschließende Bescheidbeschwerde der Versicherungsnehmerin ab.

Das BVwG hat erwogen: Die Geschädigte verwendete die Daten der Versicherungsnehmerin, um eine zivilgerichtliche Klage gegen diese einzubringen. Diese Datenverarbeitung war auf das berechtigte Interesse nach Art 6 Abs 1 lit f DSGVO gestützt, daher ist eine Interessenabwägung durchzuführen. Dabei sind die vernünftigen Erwartungen der Versicherungsnehmerin zu berücksichtigen. Das Konzept der vernünftigen Erwartungen der betroffenen Person ist nicht empirisch, sondern normativ zu verstehen, ansonsten würde man unzulässigerweise vom Sein auf das Sollen schließen; es kommt daher darauf an, ob die betroffene Person die subjektive Erwartung hat, geschützt sein zu sollen, und, ob diese Erwartung objektiv legitim ist.

Das berechtigte Interesse ist weit zu verstehen und umfasst grundsätzlich jedes von der Rechtsordnung gebilligte Interesse. Nach Art 9 Abs 2 lit f DSGVO ist selbst die Verarbeitung sensibler Daten für die Geltendmachung von Rechtsansprüchen zulässig. Im Größenschluss folgt daraus, dass diese Interessen die Verarbeitung "normaler" Daten erst recht rechtfertigen können. Die Datenverarbeitung zur Klagsführung diente dem berechtigten Interesse der Durchsetzung eines Rechtsanspruches und ist zur Erreichung dieses Zwecks auch geeignet und erforderlich. Ein überwiegendes Geheimhaltungsinteresse der Versicherungsnehmerin stand dem nicht entgegen.

In der Datenschutzbeschwerde der Versicherungsnehmerin wurde eine Versicherungsangestellte als zweite Beschwerdegegnerin (Verantwortliche) bezeichnet. Der datenschutzrechtlich Verantwortliche ist eine Person oder Einrichtung, die dafür zu sorgen hat, dass die DSGVO eingehalten wird und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zu Verantwortlichen einer Datenverarbeitung werden Angestellte eines Unternehmens nur, wenn sie Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten. Die Versicherungsangestellte hat keine Daten für ihre eigenen Zwecke verarbeitet, weswegen die Versicherung für die Datenverarbeitung verantwortlich war. Wird die Beschwerdegegnerin eindeutig bezeichnet, ist eine Umdeutung der Beschwerdegegnerin von Amts wegen unzulässig.

BVwG 19.01.2024, W108 2268760-1

Eine Nachbarin erhob eine Datenschutzbeschwerde bei der DSB, in der sie vorbrachte, durch die von den Eigentümern des Nachbargrundstücks installierten Kameras in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Die Überwachungskameras waren auf die Zuwege zu ihrem Haus, den Durchgang zwischen den Häusern sowie auf den Garten und die Parkflächen gerichtet und beeinträchtigten die Nachbarin bei der Ausübung ihres Servitutsrechts (Geh–, Fahrt- und Parkrecht). Nachdem die DSB der Datenschutzbeschwerde stattgab, erhoben die Eigentümer des Nachbargrundstücks eine (erfolglose) Bescheidbeschwerde beim BVwG.

Der BVwG hat erwogen: Soweit die Eigentümer vorbringen, das Beschwerderecht der Nachbarin sei gemäß § 24 Abs 4 DSG erloschen, weil die Videokameras ab dem Jahr 2015 installiert und der Nachbarin auch bekannt waren, ist ihnen entgegenzuhalten, dass der Dauerzustand der Videoüberwachung nicht abgeschlossen war und sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist erst mit Beendigung des Dauerzustands zu laufen beginnen.

Zum Vorbringen der Eigentümer, dass die Videoüberwachung berechtigt sei, weil die Nachbarin ihr Grundstück über die Servitut hinaus beanspruche, ist festzuhalten, dass aus diesem Grund keine andauernde Überwachung gerechtfertigt war, zumal die Eigentümer selbst vorbringen, nur ein Foto an die Nachbarin übergeben zu haben, um sie aufzufordern, das Waschen ihres Autos auf dem Privatgrundstück der Eigentümer einzustellen.

Zum Schutz ihres Eigentums dürfen die Eigentümer die Videokameras nach Einschränkung deren Aufnahmebereichs weiterbetreiben.

Wird bei der Protokollierung der mündlichen Verkündung eines Erkenntnisses eine teilweise falsche Wortfolge in den Spruch aufgenommen, kann diese offenkundige Unrichtigkeit/Fehlbezeichnung von Amts wegen berichtigt werden. Der Berichtigungsbeschluss fällt in die Zuständigkeit des Einzelrichters (BVwG 26.02.2024, W137 2248575-1).

Einer Bescheidbeschwerde gegen einen Aussetzungsbescheid der DSB wird die Grundlage entzogen, wenn die DSB den angefochtenen Bescheid behebt und das Verfahren fortsetzt. Das Verfahren ist mit Beschluss einzustellen (BVwG 23.02.2024, W211 2261563-1).

Rechtsprechung der BDB

BDB 08.03.2024, 2023-0.024.209

Ein Polizist führte über Ersuchen eines Freundes eine Suchabfrage im Zentralen Melderegister (ZMR) durch und gab dem Freund das Ergebnis der Abfrage telefonisch weiter. Der Polizist wurde ua wegen dieses Verhaltens von der zuständigen Dienstbehörde bei der Bundesdisziplinarbehörde (BDB) angezeigt. Die BDB verurteilte den Polizisten, weil dieser seinem Freund und somit einem unbefugten Dritten die Adresse aus dem ZMR mitgeteilt hat und damit Informationen weitergab, die ihm ausschließlich aus seiner amtlichen Tätigkeit bekannt wurden und nur einem beschränkten Personenkreis zugänglich waren.

Die BDB hat erwogen: Die Verarbeitung personenbezogener Daten unterliegt im Hinblick auf die Dienstanweisung "Datensicherheitsvorschrift der LPD" dem Auftragsprinzip. Demnach sind Verarbeitungen lediglich zur gesetzlichen Aufgabenerfüllung und aufgrund eines Auftrags erlaubt. Durch die Datenverarbeitung verstieß der Polizist gegen diese Dienstanweisung, worüber er sich als langjähriger Mitarbeiter einer Polizeiinspektion auch im Klaren sein musste.

 

Vorschau EuGH-Rechtsprechung

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-61/22, Landeshauptstadt Wiesbaden, verkündet. Der EuGH wird über die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten entscheiden.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

Datenschutzrechts-Update 06.03.2024

Rechtsprechung des VwGH

VwGH 01.02.2024, Ro 2020/04/0031

Über das Vermögen eines Kreditnehmers wurde ein Schuldenregulierungsverfahren eröffnet. Nach Erfüllung des Zahlungsplans durch den Kreditnehmer genehmigte das Insolvenzgericht die Löschung der entsprechenden Eintragungen aus der Insolvenzdatei. Daraufhin stellte der Kreditnehmer ein Löschungsersuchen an eine Kreditauskunftei, die die Löschung der Insolvenzdaten jedoch ablehnte.

Die DSB und das BVwG wiesen die Datenschutz- und Bescheidbeschwerden des Kreditnehmers ab. Das Erkenntnis des BVwG wurde vom VwGH unter Heranziehung eines zwischenzeitlich ergangenen Urteils des EuGH vom 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Restschuldbefreiung), aufgehoben.

Der VwGH hat erwogen: Die Verarbeitung personenbezogener Daten aus der Insolvenzdatei durch Kreditauskunfteien ist zur Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich rechtmäßig. Kreditauskunfteien und ihre Geschäftspartner haben ein berechtigtes Interesse an der Beurteilung von Kreditrisiken. Zudem besteht ein sozioökonomisches Interesse des Kreditsektors an der Verarbeitung von Bonitätsdaten und insbesondere von Insolvenzdaten.

Die Verarbeitung historischer Zahlungsinformationen stellt jedoch einen schweren Eingriff in die Grundrechte des Kreditnehmers dar. Je länger Insolvenzdaten durch die Kreditauskunftei gespeichert werden, desto größer sind die Folgen für den Kreditnehmer und desto höher sind die Anforderungen an die Speicherung dieser Informationen. Das Ziel des Zahlungsplans – die wirtschaftliche Gesundung des Kreditnehmers sicherzustellen – wäre gefährdet, wenn die Kreditauskunftei Daten über das Insolvenzverfahren des Kreditnehmers speichern und verwenden könnte, nachdem die Einsicht in die Insolvenzdatei nicht mehr möglich ist. Die berechtigten Interessen der Kreditauskunftei und ihrer Geschäftspartner über Informationen hinsichtlich des abgeschlossenen Insolvenzverfahrens zu verfügen, können die Verarbeitung der zuvor öffentlich einsehbaren personenbezogenen Daten nicht mehr rechtfertigen. Die Speicherung der aus der Insolvenzdatei gelöschten Daten wird nach der Rechtskraft des Beschlusses des Insolvenzgerichts rechtswidrig. Die Kreditauskunftei ist daher verpflichtet, die betreffenden Daten unverzüglich zu löschen.

Dieses Ergebnis steht im Einklang mit dem Erkenntnis des VwGH vom 09.05.2023, Ro 2020/04/0037, in dem, gestützt auf die EU-Kapitaladäquanzverordnung, eine Speicherdauer von zumindest fünf Jahren in Bezug auf die Speicherung von Zahlungserfahrungsdaten in der Bankenwarnliste grundsätzlich als rechtmäßig erachtet wurde. Denn die Bankenwarnliste ist eine von den Kreditauskunfteien gemeinsam betriebene Datenbank und die EU-Kapitaladäquanzverordnung gilt für Kreditinstitute, nicht aber für Kreditauskunfteien.

Rechtsprechung des OGH

Aus der Rechtsprechung des OGH (Strafrecht):

Die Bestimmungen der StPO zur Sicherstellung von Datenträgern aus Beweisgründen (§ 110 Abs 1 Z1 und Abs 4 sowie § 111 Abs 2 StPO) sind vom VfGH als verfassungswidrig aufgehoben worden. Die Aufhebung tritt jedoch erst mit 31.12.2024 in Kraft. Bis dahin sind diese Bestimmungen anzuwenden. Die Sicherstellung eines Mobiltelefons ist zulässig, wenn sie aus Beweisgründen erforderlich erscheint. Die Aufhebung der Sicherstellung ist nicht möglich, solange die Auswertung der Daten am Mobiltelefon (mangels Zugangsdaten) nicht möglich war. Die Überwachung von Nachrichten ist gegenüber der Sicherstellung des Mobiltelefons kein gelinderes Zwangsmittel (OGH 05.02.2024, 8Bs33/24z).

Rechtsprechung des BVwG

BVwG 29.01.2024, W605 2253671-1

Ein Viertel der Mitglieder des "ÖVP-Korruptions-Untersuchungsausschusses" ("U-Ausschuss") ersuchte die Wirtschafts- und Korruptionsstaatsanwaltschaft ("WKStA") um Auswertung eines Datenbestandes auf Korrespondenzen mit Bezug zu bestimmten Personen. Eine dieser Personen ("Auskunftsperson"), stellte an die DSB den Antrag, der WKStA die Auswertung und Übermittlung ihrer personenbezogenen Daten mit Mandatsbescheid zu untersagen, in eventu vorübergehend zu beschränken, bis beim U-Ausschuss ein wirksames Kontrollsystem zum Schutz personenbezogener Daten eingerichtet wird. Die DSB wies die Datenschutzbeschwerde ab. Die Auskunftsperson erhob Bescheidbeschwerde an das BVwG. Nachdem der U-Ausschuss beendet wurde, erklärte das BVwG die Bescheidbeschwerde für gegenstandslos und stellte das Verfahren ein.

Das BVwG hat erwogen: Zu den Prozessvoraussetzungen für das verwaltungsgerichtliche Verfahren zählt das Rechtsschutzinteresse. Dieses Interesse ist immer dann zu verneinen, wenn es für die Rechtsstellung des Rechtsmittelwerbers keinen Unterschied macht, ob die angefochtene Entscheidung aufrecht bleibt oder aufgehoben wird. Im Zeitpunkt der Erhebung der Bescheidbeschwerde war diese zwar zulässig, infolge der Beendigung des U-Ausschusses und folglich jedweder Aktenlieferung an diesen, ist aber das Rechtschutzinteresse der Auskunftsperson nachträglich weggefallen. Eine Übermittlung von personenbezogenen Daten an einen nicht mehr bestehenden U-Ausschuss kann unabhängig davon, ob eine solche während dessen Bestehens erfolgt ist oder nicht, nicht mehr untersagt werden. Mit einem Mandatsbescheid iSd § 22 Abs 4 DSG kann zwar die "Weiterführung" einer Datenverarbeitung untersagt werden, nicht aber eine allenfalls bereits erfolgte Datenverarbeitung für unzulässig erklärt werden.

BVwG 01.02.2024, W287 2242238-1

Ein Gemeindebewohner begehrte Auskunft gemäß Art 15 DSGVO bei seiner Heimatgemeinde. Die Gemeinde erteilte ihm eine Auskunft aus den Datenverarbeitungen "Kinderbetreuungsmanagement", "Lokales Melderegister" und "Lokales Melderegister – Wahladministration" samt dazugehörenden Metainformationen (ua Datenkategorien, Verarbeitungszwecke, Empfänger). Der Gemeindebewohner erachtete die Auskunft für unvollständig und erhielt weitere Ergänzungen der Auskunft, einschließlich einer Auflistung des behördlichen Schriftverkehrs, dessen Inhalt sich auf den Gemeindebewohner bezog (nicht aber über den Inhalt). Bezüglich seines Auskunftsersuchens zu Angelegenheiten des Bau- und Raumordnungsrechts wurde der Gemeindebewohner auf die Akteneinsicht gemäß § 17 AVG verwiesen.

Der wegen Verletzung im Recht auf Auskunft eingebrachten Datenschutzbeschwerde des Gemeindebewohners gab die DSB dahingehend teilweise statt, dass der Inhalt des behördlichen Schriftverkehrs, soweit es sich nicht um Schreiben des Gemeindebewohners handelte, zu beauskunften ist. Im Übrigen wurde die Datenschutzbeschwerde abgewiesen, weshalb der Gemeindebewohner Bescheidbeschwerde an das BVwG erhob. Vor dem BVwG war zu klären, ob dem Gemeindebewohner Auskunft über Daten in einem nur in Papierform aufbewahrten Bauakt zu erteilen ist und ob die Gemeinde weitere personenbezogene Daten des Gemeindebewohners verarbeitet. Das BVwG wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Die DSGVO gilt für die nichtautomatisierte Verarbeitung personenbezogener Daten nur dann, wenn Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach der DSGVO ist ein Dateisystem eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Der Ordnungsgrad in einem Dateisystems muss dabei so hoch sein, dass eine gezielte Suche nach personenbezogenen Daten möglich ist. Die Sortierung (bloß) nach Ordnungsnummern oder Zeit ist hierfür nicht ausreichend. Bei der Beurteilung, ob die DSGVO auf einen Papierakt anwendbar ist, kommt es auf das Kriterium der leichten Wiederauffindbarkeit an. Papierakten können damit zwar dem datenschutzrechtlichen Auskunftsrecht unterliegen, Akten von Behörden unterliegen jedoch keinem Auskunftsanspruch, auch wenn der entsprechende Text mit Hilfe automationsunterstützter Datenverarbeitung erstellt worden ist. Der Bauakt ist nur in physischen Ordnern abgelegt und eine gezielte Suche nach personenbezogenen Daten ist nicht möglich. Der für die Anwendung der DSGVO erforderliche Ordnungsgrad wird nicht erreicht. Über die Daten im Bauakt war von der Gemeinde daher keine Auskunft zu erteilen.

Soweit der Gemeindebewohner vermutet, die Gemeinde verarbeite weitere Daten über ihn, ist auf das Vorbringen der Gemeinde zu verweisen, dass sie keine weiteren personenbezogenen Daten des Gemeindebewohners verarbeite. Der Gemeindebewohner ist diesem Vorbringen nicht substantiiert entgegengetreten. Ein bloß allgemeines Vorbringen läuft idR auf einen unzulässigen Erkundungsbeweis hinaus. Da sich keine Anhaltspunkte für eine Unvollständigkeit der erteilten Auskunft ergaben, war die Bescheidbeschwerde abzuweisen.

Wird eine zulässige und begründete Säumnisbeschwerde an das BVwG erhoben, darf das BVwG aufgrund seiner sog "kondemnatorischen" Entscheidungsbefugnis die DSB zum Erlass eines Bescheides "verurteilen". Damit wird der DSB eine "dritte Chance" zur Bescheiderlassung eingeräumt (BVwG 13.02.2024, W256 2280818-1).

Im Einklang mit seiner nunmehr ständigen Rechtsprechung behob das BVwG einen Bescheid, mit dem die DSB ihr Verfahren bis zur Bestimmung der federführenden Aufsichtsbehörde aussetzte (BVwG 14.02.2024, W221 2280746-1).

Hat ein Bieter in einem Vergabeverfahren Bedenken hinsichtlich der Notwendigkeit der Vorlage einer Zertifizierung nach dem Qualitätsmanagementsystem gemäß ISO 9001 (oder einer gleichwertigen Zertifizierung) und einer Zertifizierung für Informationssicherheit, Cybersicherheit und Datenschutz gemäß ISO 27001 (oder einer gleichwertigen Zertifizierung), hat der Bieter ein Nachprüfungsverfahren betreffend die Ausschreibung zu beantragen. Sind die Ausschreibungsunterlagen bereits bestandsfest geworden, hat der Bieter ein entsprechendes Zertifikat nachzuweisen (BVwG 08.02.2024, W279 2278493-2).

Eine Bescheidbeschwerde, die nach Ablauf der vierwöchigen Frist zur Erhebung einer Bescheidbeschwerde eingebracht wird, ist zurückzuweisen (BVwG 01.02.2024, W287 2280832-1).

Rechtsprechung des BFG

Mit der Anschaffung eines Tablet-PCs, der über einen funktionierenden Akku verfügt, ist den Erfordernissen der Datensicherheit Genüge getan. Ein Stromgenerator (Notstromaggregat) ist für die Datensicherung nicht geeignet und wird als Werbungskosten für Arbeitsmittel im Homeoffice nicht anerkannt (BFG 05.02.02, RV/3100573/2022).

Rechtsprechung der DSB

DSB 26.06.2023, 2023-0.227.210

Gegen eine Rechtsanwältin sind mehrere Disziplinarverfahren eingeleitet worden und ihr wurde als einstweilige Maßnahme die Ausübung der Rechtsanwaltschaft vorläufig untersagt. Zu ihrer Vertretung bestellte die zuständige Rechtsanwaltskammer einen Kammerkommissär. Die Rechtsanwältin verweigerte die Zusammenarbeit mit dem Kammerkommissär, woraufhin dieser den elektronischen Rechtsverkehr (ERV) der Rechtsanwältin sperren und zu sich umleiten ließ sowie bei der Post einen Nachsendeauftrag stellte. Da der Kanzleisitz der Rechtsanwältin an ihrer Privatadresse war, wurde vom Nachsendeauftrag auch die private Post der Rechtsanwältin erfasst. Die Rechtsanwältin brachte für sich und eine Mandantin Datenschutzbeschwerde bei der DSB ein, weil ihre Korrespondenz per ERV und Post an den Kammerkommissär umgeleitet wurde. Die DSB wies die Datenschutzbeschwerde der Rechtsanwältin ab und jene der Mandantin zurück.

Die DSB hat erwogen: Ein Kammerkommissär ist zur Vertretung eines Rechtsanwalts zu bestellen, wenn dessen Berechtigung zur Ausübung der Rechtsanwaltschaft ruht. Den Kammerkommissär treffen Belehrungs- und Beratungspflichten gegenüber den Mandanten des zu vertretenden Rechtsanwalts. Die Rechtsanwältin verweigerte die Kooperation mit dem Kammerkommissär, wollte ihre Mandaten trotz vorläufiger Untersagung der Ausübung der Rechtsanwaltschaft weiterhin vertreten und übergab dem Kammerkommissär – entgegen ihrer gesetzlichen Verpflichtung – keine Akten. Die Umleitung der ERV-Zustellungen an den Kammerkommissär war rechtmäßig, weil dieser gesetzlich verpflichtet war, seiner Belehrungs- und Beratungspflicht gegenüber den Mandanten der Rechtsanwältin nachzukommen. Diese Pflicht konnte er mangels Kooperation der Rechtsanwältin anders nicht erfüllen.

Aus demselben Grund war auch der Nachsendeauftrag an die Post rechtmäßig. Die Rechtsanwältin behauptete zwar, dass der Kammerkommissär auch ihre privaten Briefe öffnete. Der Kammerkommissär ist dieser Behauptung jedoch substantiiert entgegengetreten. Ist eine Tatsache nicht feststellbar, ist vom Nichtvorliegen der Tatsache auszugehen. Der Nachweis für eine tatsächliche Öffnung der privaten Post wurde nicht erbracht.

Die Rechtsanwältin trat selbst im Verfahren vor der DSB als rechtsfreundliche Vertretung einer Mandantin auf. Da ihr die Ausübung der Rechtsanwaltschaft zu diesem Zeitpunkt untersagt war, durfte sie die Mandantin jedoch nicht vertreten, weshalb die Datenschutzbeschwerde der Mandantin zurückzuweisen war.

DSB 06.11.2023, 2023-0.722.005

Die Daten einer Staatsanwältin wurden trotz aufrechter Auskunftssperre aus dem Zentralen Melderegister (ZMR) von einer Meldebehörde an ein Detektivunternehmen weitergegeben. Die Staatsanwältin wurde von der Datenweitergabe nicht verständigt. Sie erfuhr durch ihre Mutter von der Datenweitergabe, weil diese Partei eines Verfahrens war, in dem das Detektivprotokoll mit den Meldedaten vorgelegt wurde. Die Meldebehörde gestand zu, dass die Daten der Staatsanwältin durch eine Mitarbeiterin der Meldebehörde – aufgrund einer Fehlinterpretation der Rechtslage – trotz der Auskunftssperre weitergegeben wurden. Die Mitarbeiterin habe sich für ihr Fehlverfahren entschuldigt. Die DSB gab der wegen Verletzung im Recht auf Geheimhaltung erhobenen Datenschutzbeschwerde der Staatsanwältin statt.

Die DSB hat erwogen: Zur Staatsanwältin bestand zum Zeitpunkt der Datenabfrage eine Auskunftssperre im ZMR. Besteht eine Auskunftssperre, dann hat die Auskunft der Meldebehörde grundsätzlich zu lauten, dass zur Meldepflichtigen keine Daten für eine Auskunft vorliegen. Liegen die Voraussetzungen vor, um trotz Auskunftssperre eine Auskunft über die Meldedaten der Meldepflichtigen zu erteilen, hat die Meldebehörde die Meldepflichtige vor Erteilung der Auskunft zu verständigen und hat ihr Gelegenheit zu einer Äußerung einzuräumen. Die Staatsanwältin wurde nicht verständigt und ihr wurde keine Gelegenheit zur Äußerung eingeräumt. Die Datenweitergabe erfolgte somit rechtswidrig.

Vorschau EuGH-Rechtsprechung

Am 03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten.

Rechtsvorschriften

Mit dem "Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert und ein Informationsfreiheitsgesetz erlassen wird", wird die verfassungsgesetzliche Amtsverschwiegenheit aufgehoben, eine verfassungsgesetzliche Informationsverpflichtung eingeführt und ein verfassungsgesetzlich gewährleistetes Recht (Grundrecht) auf Zugang zu Informationen geschaffen, das einfachgesetzlich durch das Informationsfreiheitsgesetz (IFG) ausgeführt wird. Das Gesetzespaket tritt im Wesentlichen – nach einer Legisvakanz – mit 01.09.2025 in Kraft (BGBl I 2024/5; ErlRV)

Mit dem "Bundesgesetz, mit dem das KommAustria-Gesetz und das Telekommunikationsgesetz 2021 geändert werden", ist eine Servicestelle für Künstliche Intelligenz bei der RTR-GmbH eingerichtet worden. Dieses Bundesgesetz trat rückwirkend mit 01.01.2024 in Kraft (BGBl I 2024/6; AB 2419). Anm: Die Europäische Kommission hat mit dem European AI Office ebenso eine Stelle für Informationen über künstliche Intelligenz eingerichtet.

 

 

Datenschutzrechts-Update 28.02.2024

Rechtsprechung des EGMR

EGMR 22.02.2024, 16974/14, Kaczmarek/Polen

Im Rahmen verdeckter Ermittlungen gegen einen ehemaligen polnischen Innenminister wurden auch die Telefongespräche seiner Ehefrau abgehört. Aufzeichnungen und Abschriften davon wurden der Staatsanwaltschaft übermittelt. Bei einer Pressekonferenz, die live im öffentlichen Fernsehen übertragen wurde, wurde ein Gespräch zwischen der Ehefrau und dem ehemaligen Obersten Polizeikommandant abgespielt, in dem die Hausnummer der Ehefrau enthüllt wurde. Dies wurde auf eine Bestimmung der polnischen Strafprozessordnung gestützt, die in Ausnahmefällen mit Genehmigung der Staatsanwaltschaft (die im konkreten Fall vorlag) die Einsichtnahme Dritter in die Ermittlungsakte erlaubte. Die Ehefrau beschwerte sich über die Veröffentlichung ihrer persönlichen Daten und die Aufbewahrung des Überwachungsmaterials beim EGMR. Der EGMR stellte eine Verletzung des Art 8 EMRK fest und sprach der Ehefrau eine Entschädigung iHv EUR 5.000 zu.

Der EGMR hat erwogen: Die Veröffentlichung der Aufzeichnung eines Telefongesprächs stellt einen Eingriff in das Recht auf Privatleben dar. Die Bestimmung der polnischen Strafprozessordnung sieht nicht explizit vor, dass Informationen oder Daten, die während der Untersuchung gesammelt wurden, auf einer Pressekonferenz veröffentlicht werden dürfen. Dies ist für Personen, die von den Ermittlungen selbst nicht betroffen sind, auch nicht vorhersehbar, weil das polnische Recht weder die Ausnahmefälle noch die Art und Weise der Gewährung der Akteneinsicht präzisiert. Aufzeichnungen über eine Person, die von den Ermittlungen selbst nicht betroffen war, deren Gespräche aber dennoch aufgezeichnet wurden, sind daher nicht vom nationalen Gesetz gedeckt, sodass eine Verletzung des Art 8 EMRK vorlag.

Die Speicherung von Informationen über das Privatleben einer Person durch eine Behörde gilt als Eingriff in das Recht auf Privatleben. Im Zusammenhang mit der Speicherung personenbezogener Daten sind klare und detaillierte Vorschriften über Mindestgarantien erforderlich, die ua Dauer der Speicherung, Verwendung, Zugang Dritter, Verfahren zur Wahrung der Integrität und Vertraulichkeit der Daten und Verfahren zu ihrer Vernichtung betreffen. Obwohl die Ehefrau selbst nicht das Ziel der Überwachung war, wurden Aufzeichnungen und Abschriften ihrer Telefongespräche angefertigt, sodass in ihr Recht auf Achtung des Privatlebens eingegriffen wurde. Mangels klar definierter rechtlicher Rahmenbedingungen und Verfahrensgarantien, die sich auf die Vernichtung der Aufzeichnungen beziehen, war dieser Eingriff unrechtmäßig. Die relevanten Rechtsvorschriften sahen keine ausreichenden Garantien zum Schutz von Personen vor, die nicht direkt von Sicherheitsmaßnahmen betroffen sind, deren Gespräche aber dennoch abgehört wurden.

Vorschau EuGH-Rechtsprechung

Am 22.02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten

Rechtsprechung des VwGH

VwGH 21.12.2023, Ro 2021/04/0010

Das Arbeitsmarktservice (AMS) bietet Dienstleistungen an, um Arbeitssuchende wieder in den Arbeitsmarkt einzugliedern. Die Vorgehensweise ist dabei in der "Bundesrichtlinie" des AMS "Kernprozess Arbeitskräfte unterstützen" festgelegt. Berater des AMS haben in Beratungsgesprächen mit Arbeitssuchenden ua deren Arbeitsmarktchancen zu erörtern. Zur Berechnung der Arbeitsmarktchancen wurde das automatisierte Arbeitsmarktchancen-Assistenzsystem (AMAS) entwickelt. Das AMAS teilt die Arbeitssuchenden anhand eines Algorithmus in drei (AMS-)Kundenkategorien hinsichtlich ihrer Arbeitsmarktchancen ein. Diese Einteilung soll als Grundlage der Beratungsstrategie dienen.

Die DSB leitete ein amtswegiges Prüfverfahren ein und untersagte dem AMS die Verwendung des AMAS. Das BVwG gab der Bescheidbeschwerde des AMS Folge. Über die Amtsrevision der DSB behob der VwGH das Erkenntnis des BVwG, weil dieses wegen sekundären Feststellungsmängeln mit Rechtswidrigkeit des Inhalts belastet war.

Der VwGH hat erwogen: Das AMAS dient der Beratung im Rahmen der Arbeitsvermittlung und der Erstellung des Betreuungsplans. Zur Erfüllung dieser Aufgaben ist das AMS in der Privatwirtschaftsverwaltung – dh weder hoheitlich noch schlicht hoheitlich – tätig. Aufgrund des funktionalen Behördenbegriffs des § 1 Abs 2 DSG ist der Maßstab des § 1 Abs 2 DSG, wonach staatliche Behörden, Daten nur auf Grundlage einer qualifizierten gesetzlichen Grundlage verarbeiten dürfen, nicht zu berücksichtigen.

Die für das AMAS erhobenen Daten dürfen gemäß Art 6 Abs 1 lit e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, sowie im Falle von sensiblen Daten aus Gründen eines erheblichen öffentlichen Interesses gemäß Art 9 Abs 2 lit g DSGVO verarbeitet werden. Die bestmögliche Integration Arbeitssuchender am Arbeitsmarkt ist ein erhebliches öffentliches Interesse.

Nach beiden genannten Bestimmungen darf eine Datenverarbeitung nur erfolgen, wenn sie eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats hat. Diese Rechtsgrundlage muss zwar eine besondere Qualität aufweisen und es dürfen darin auch spezifischere Regelungen enthalten sein, es ist aber kein spezifisches Gesetz für jede einzelne Verarbeitung erforderlich. Die die Verarbeitung rechtfertigende Rechtsgrundlage muss nicht jede darauf zu stützende Datenverarbeitung bezeichnen.

Die Bestimmung über die Verschwiegenheitspflicht der Organe in § 27 AMSG und die detaillierten Bestimmungen zur Offenlegung und Aufbewahrung der Daten in § 25 AMSG wahren in ausreichendem Maß die Grundrechte und Interessen der Arbeitssuchenden.

Profiling ist eine besondere Verarbeitungsform. Die Art 6 und 9 DSGVO stellen jedoch keine besonderen Anforderungen an die rechtfertigende Rechtsgrundlage für diese Verarbeitungsform. Die Besonderheit des Profiling wird in Art 22 DSGVO berücksichtigt.

Profiling ist laut dem Urteil des EuGH vom 07.12.23, C-634/21, SCHUFA Holding (Scoring), eine automatisierte Entscheidung, wenn das Ergebnis dieser automatisierten Verarbeitung für eine bestimmte – weitere – Entscheidung insofern maßgeblich ist, als das Handeln des Dritten vom betreffenden Profiling "maßgeblich geleitet" wird.

Demnach ist die Ermittlung eines Wahrscheinlichkeitswerts, wie der von der AMAS berechnete Wert, bereits eine automatisierte Entscheidung, sofern dieser Wahrscheinlichkeitswert maßgeblich die Zuordnung zu einer AMS-Kundengruppe bestimmt und so den Arbeitssuchenden gegenüber rechtliche Wirkung entfaltet oder sie auf ähnliche Weise erheblich beeinträchtigt. Auch wenn die Letztentscheidung bei einem Betreuer des AMS liegt, hindert dies nicht die Einordnung als automatisierte Entscheidung. Ist durch Handlungsanleitungen und Schulungen sichergestellt, dass die AMS-Berater das Ergebnis des Algorithmus nicht unhinterfragt übernehmen, kann dies zwar die Annahme rechtfertigen, die Einordnung erfolge nicht ausschließlich aufgrund des errechneten Wahrscheinlichkeitswerts. AMAS kann – als automatisierte Entscheidung – dennoch maßgeblich für die Einordnung in die Kundengruppe sein. Das BVwG traf jedoch insb keine Feststellungen zur Frage, welche anderen Parameter in welchen Ausmaß Berücksichtigung finden, daher kann die Frage nach der Maßgeblichkeit der automatisierten Verarbeitung nicht final beurteilt werden. Ebenso fehlen Feststellungen, um beurteilen zu können, ob eine hinreichend klare rechtliche Grundlage existiert, die iSd Öffnungsklausel gemäß Art 22 Abs 2 lit b DSGVO eine automatisierte Entscheidung durch das AMAS rechtfertigten könnte.

Anm: Ein sekundärer Feststellungsmangel liegt vor, wenn aufgrund einer (verfehlten) Rechtsansicht bestimmte Feststellungen fehlen, weil die Unterinstanzen sie nicht für erforderlich erachteten. Der VwGH ist keine Tatsacheninstanz, dh er ist auf die Tatsachenfeststellungen des BVwG angewiesen. Deshalb behebt der VwGH das Erkenntnis schon dann, wenn nach Vornahme entsprechender Feststellungen eine anders lautende rechtliche Beurteilung möglich ist. Das BVwG muss die fehlenden Feststellungen nachholen und seine neue Entscheidung an die Rechtsansicht des VwGH ausrichten.

Rechtsprechung des BVwG

Eine Vermieterin beauftragte ein Detektivunternehmen mit der Observierung ihres Mieters zur Dokumentation allfälliger Kündigungsgründe. Das Detektivunternehmen fertigte Fotos über den Mieter in dessen Wohnung sowie an dessen Arbeitsplatz an und übermittelte die Fotos der Vermieterin, die daraufhin eine Räumungsklage gegen den Mieter einbrachte. Der aufgrund dieser Datenverarbeitungen erhobenen Datenschutzbeschwerde des Mieters gab die DSB statt. Das BVwG wies die gegen den Bescheid der DSB erhobene Bescheidbeschwerde des Detektivunternehmens ab.

Das BVwG hat erwogen: Als Rechtfertigungsgrund kommt hier nur die Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO in Betracht. Daher ist eine Interessenabwägung durchzuführen. Die Aufnahmen zeigen den Mieter in seinem höchstpersönlichen Lebensbereich (in seiner Wohnung) sowie in einem anderen geschützten Bereich (an seinem Arbeitsplatz). Dem Geheimhaltungsinteresse des Mieters sind die Interessen des Detektivunternehmens an der Ausübung seines Gewerbes (geregelt in § 129 f GewO 1994) und das Interesse der Vermieterin an der vertragsgemäßen Nutzung ihrer Wohnung sowie an der Dokumentation potenzieller mietrechtlicher Kündigungsgründe gegenüberzustellen. Berufsdetektive dürfen gemäß § 129 Abs 1 Z 3 GewO 1994 für Zwecke eines gerichtlichen oder verwaltungsbehördlichen Verfahrens Beweismittel wie Fotoaufnahmen anfertigen. Die Aufnahmen am Arbeitsplatz des Mieters hatten jedoch keinen Bezug zu mietrechtlich relevanten Umständen.

Die Aufnahmen in der Wohnung standen im Zusammenhang mit der mietrechtlichen Angelegenheit. Privatwohnungen genießen jedoch einen speziellen Schutz, weil sie dem höchstpersönlichen Lebensbereich zuzuordnen sind. Obwohl Fotoaufnahmen im höchstpersönlichen Lebensbereich ohne Einwilligung nicht per se unzulässig sind, verstieß das Detektivunternehmen gegen den Grundsatz der Datenminimierung, weil die mögliche bestandswidrige Nutzung der Wohnung auch mit gelinderen Mitteln hätte nachgewiesen werden können.

Ein Hotelier beauftragte eine Web-Agentur mit der Erstellung des Internetauftritts seines Hotels. Er erhob Datenschutzbeschwerde bei der DSB, weil die Agentur personenbezogene Daten über den Hotelier sowie den Namen des Hotels auf einem FTP-Server gespeichert haben soll, der auch anderen Geschäftskunden zugänglich war. Die DSB wies die Datenschutzbeschwerde ab. Die dagegen gerichtete Bescheidbeschwerde des Hoteliers wurde vom BVwG ebenso abgewiesen.

Das BVwG hat erwogen: Auf dem FTP-Server waren nur technische Daten gespeichert, die für das Layout, die Schriftarten, das Aussehen und die Funktionalität der Website verarbeitet wurden. Der Name des Hoteliers als Teil des Firmennamens kam weder im Ordnernamen noch in einer Dateibezeichnung vor. Die auf dem Server gespeicherten Daten enthielten keine Identifikationsmerkmale. Ebensowenig handelte es sich um relevante sachliche Informationen über den Hotelier. Eine Schriftart, ein Programmiercode oder eine Vektorgraphik sind keine relevanten – und auch schützenswerten – Aussagen über eine Person. Über den Hotelier wurden keine personenbezogenen Daten verarbeitet.

Ein Patient begehrte von seinem Arzt im Jahr 2019 Auskunft gemäß Art 15 DSGVO sowie den Erhalt der Daten per Einschreiben aber auf einer beigelegten DVD, sohin in einem gängigen, maschinenlesbaren Format gemäß Art 20 DSGVO. Er erhielt die Auskunft per Einschreiben in Papierform und erhob Datenschutzbeschwerde wegen unvollständiger Auskunft, weil die Seiten der einzelnen Befunde nicht nummeriert waren und ein Fax von ihm an den Arzt aus dem Jahr 2009 nicht beigelegt worden war, sowie wegen Verletzung im Recht auf Datenübertragbarkeit. Die DSB wies die Datenschutzbeschwerde ab. Auch das BVwG wies die daraufhin erhobene Bescheidbeschwerde ab.

Das BVwG hat erwogen: Das Auskunftsrecht des Art 15 DSGVO bezieht sich auf aktuelle Datenverarbeitungen. Eine Unvollständigkeit der Auskunft lag nicht vor, weil der Arzt die Inhalte des Faxes in die Patientendokumentation aufgenommen und beauskunftet hat. Die Form der Übermittlung der Auskunft war nicht zu beanstanden, weil der Patient in seinem Begehren selbst die Übermittlung per Einschreiben verlangt hat. Es kann der DSGVO nicht entnommen werden, dass Daten für Betroffene derart aufbereitet werden müssen, dass sie leichter bearbeitet werden können. Ein Recht auf Erhalt von Daten in einem "strukturiert, gängigen und maschinenlesbaren" Format ist in Art 15 DSGVO nicht vorgesehen. Der Anspruch des Art 20 DSGVO bezieht sich nur auf Daten, die dem Verantwortlichen von Betroffenen aktiv und wissentlich bereitgestellt wurden. Abgeleitete oder aus Rückschlüssen erzeugte Daten, die also das Ergebnis einer Verarbeitung sind, gelten nicht als bereitgestellt. Das trifft auch auf Befunde zu. Das Recht auf Datenübertragbarkeit ist nicht dafür da, Betroffene zur Aneignung fremder Leistungen zu ermächtigen.

Ein Mieter ersuchte den Rechtsanwalt seiner ehemaligen Vermieterin um Auskunft über seine personenbezogenen Daten. Nach dem ihm die entsprechende Auskunft erteilt wurde, monierte der ehemalige Mieter, dass Kopien von Dokumenten, wie ein Grundbuchs- und ein Firmenbuchauszug sowie diverser Schriftverkehr fehlen würde. Die DSB und das BVwG teilten die Ansicht des Mieters – wie auch bereits die DSB im erstinstanzlichen Verfahren – nicht.

Das BVwG hat erwogen: Das "Recht auf Kopie" ist kein eigenständiges Recht. Die Herausgabe ganzer Dokumente ist nicht vorgesehen. Nur in Fällen, in denen der Kontext, in dem die Daten stehen für die Verständlichkeit der Auskunft von Bedeutung ist, kann die Übermittlung von Auszügen aus Dokumenten oder von ganzen Dokumenten erforderlich sein. Die erteilte Auskunft war für den Mieter auch ohne Dokumente verständlich.

Das Anwaltsgeheimnis steht dem Auskunftsrecht entgegen. Zwar darf sich der Rechtsanwalt nicht pauschal auf das Anwaltsgeheimnis berufen, die Korrespondenz mit der Mandantin ist aber durch das Anwaltsgeheimnis geschützt. Das Anwaltsgeheimnis und das Recht auf Auskunft sind im Rahmen einer Interessenabwägung gegeneinander abzuwägen. Ein Mandant, der sich an einen Rechtsanwalt wendet, muss darauf vertrauen können, dass er durch die Informationserteilung an den Rechtsanwalt keine Beweismittel gegen sich schafft. Der Rechtsanwalt durfte daher die Herausgabe der Korrespondenz verweigern, auch wenn diese personenbezogene Daten des Mieters enthielt.

Ein mehrstufiger Auskunftsprozess ist grundsätzlich zulässig. Darauf kann sich der Verantwortliche jedoch nicht berufen, wenn bereits mit dem ersten Auskunftsersuchen eine konkrete Information verlangt wird. Ein Recht auf Herausgabe ganzer Dokumente bzw Aktenkopien besteht grundsätzlich nicht. Das Recht auf Auskunft darf mit dem Recht auf Akteneinsicht nicht vermengt werden. Der Verantwortliche ist nicht verpflichtet, Betroffenen physische Datenträger zur Verfügung zu stellen bzw von diesen bereitgestellte Datenträger zu verwenden (BVwG 22.01.2024, W252 2247042-1).

Das Ausdrucken und Übergeben einer E-Mail an einen Sachbearbeiter innerhalb der Firmenstruktur ist zulässig (BVwG 18.01.2024, W137 2243176-1).

Ein zur Wiedereinsetzung in den vorigen Stand führendes Ereignis liegt nur dann vor, wenn das Hindernis für die Versäumung der Frist kausal war. Wartungsarbeiten an Servern, die in der Regel geplantermaßen stattfinden, begründen nach allgemeiner Lebenserfahrung keinen unabwendbaren oder unvorhersehbaren Umstand (BVwG 01.02.2024, W287 2280832-2).

Vorschau EuGH-Rechtsprechung

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten


Datenschutzrechts-Update 21.02.2024

Rechtsprechung des EGMR

Nummernunabhängige interpersonelle Kommunikationsdienste (zB Messenger-Dienste) sind in Russland in ein spezielles Register einzutragen. Dienste, die in dieses Register eingetragen sind, haben Metadaten über Internetkommunikationen für ein Jahr und Inhaltsdaten der Internetkommunikationen für sechs Monate aufzubewahren (= Vorratsdatenspeicherung). Auf Anfrage haben solche Dienste den Sicherheits- und Geheimdienstbehörden die gespeicherten Daten herauszugeben und, sofern die Daten verschlüsselt sind, auch die für die Entschlüsselung erforderlichen Daten mitzuliefern (= geheime Überwachung).

Telegram wurde 2017 in dieses Register eingetragen. Die Ende-zu-Ende Verschlüsselung war zwar nicht voreingestellt, konnte von den Nutzern aber ausgewählt werden. Der russische Geheimdienst (Federal Security Service; FSB) verlangte von Telegram die Herausgabe von mit sechs Telefonnummern verbundenen Daten sowie die zur Entschlüsselung der verschlüsselten Daten erforderlichen Informationen wegen Terrorismusverdachts und berief sich auf sechs Gerichtsurteile, die die Herausgabe dieser Daten angeordnet haben sollen. Telegram verweigerte die Herausgabe der für die Datenentschlüsselung erforderlichen Informationen, weil es unmöglich sei, dieser Anordnung Folge zu leisten, ohne eine Hintertür zu bauen, die den Verschlüsselungsmechanismus für alle Nutzer schwächt. Telegram wurde zu einer Strafe verurteilt und es wurde eine Sperranordnung an Telegram gerichtet. Dennoch blieb Telegram in Russland bis zum Urteil des EGMR verfügbar und funktionsfähig.

Die Offenlegungsanordnung des FSB wurde von 35 Telegramnutzern – darunter der spätere Beschwerdeführer vor dem EGMR – angefochten. Sie machten geltend, dass die geforderte Bereitstellung der Verschlüsselungsschlüssel (encryption keys) die Entschlüsselung der Kommunikation aller Nutzer ermöglichen würde und folglich auch ihr Recht auf Privatsphäre verletze. Die russischen Gerichte wiesen die Beschwerde als unzulässig zurück. Die dritte Kammer des EGMR stellte einstimmig eine Verletzung des Rechts auf Privatsphäre gemäß Art 8 EMRK fest.

Der EGMR hat erwogen: Der EGMR ist zuständig, weil sich der Sachverhalt vor dem 16.09.2022 ereignete, als Russland aufhörte, Vertragsstaat der EMRK zu sein.

Die bloße Vorratsdatenspeicherung stellt einen Eingriff in die Rechte nach Art 8 EMRK dar, unabhängig davon, ob die Behörden anschließend Zugriff auf die gespeicherten Daten erhalten. Die Speicherung ist, obgleich es von den privaten Diensteanbietern durchgeführt wird, gesetzlich vorgeschrieben und daher dem Staat zurechenbar. Ebenso ist die bloße Existenz eines Gesetzes, das die geheime Überwachung erlaubt, ein Eingriff in die Rechte gemäß Art 8 EMRK.

Die technischen Möglichkeiten wie auch die damit verbundenen Gefahren haben massiv zugenommen. Zu diesen Gefahren zählen ua der globale Terrorismus, Drogen- und Menschenhandel sowie die sexuelle Ausbeutung von Kindern. Verschlüsselung hilft jedoch Bürgern und Unternehmen, um sich gegen den Missbrauch von Informationstechnologien zur Wehr zu setzen. Um die Entschlüsselung der verschlüsselten Kommunikation zu ermöglichen, müsste die gesamte Verschlüsselungstechnologie von Telegram geschwächt werden. Der Einbau einer dafür erforderlichen Hintertür könnte auch von kriminellen Netzwerken ausgenutzt werden und könnte die Sicherheit aller Telegramnutzer ernsthaft gefährden.

Die russische Verpflichtung zur Vorratsdatenspeicherung umfasst ua die Speicherung der Stimm-, Text-, Bild-, Ton- und Videodaten. Der Eingriff ins Grundrecht ist damit äußerst weit und ernst. Die Diensteanbieter können auch verpflichtet werden, Equipment zu installieren, das den Behörden direkten Zugriff auf die gespeicherten Daten erlaubt. Der Datenzugriff bedarf zwar einer gerichtlichen Genehmigung, die Gerichtsentscheidung muss den Diensteanbietern jedoch nicht gezeigt werden und die entsprechenden Gerichtsentscheidungen wurden Telegram auch nicht gezeigt. Das Genehmigungsverfahren ist nicht geeignet, sicherzustellen, dass geheime Überwachungsmaßnahmen nur in Fällen angeordnet werden, in welchen dies in einer demokratischen Gesellschaft erforderlich ist. Die vorgesehenen Rechtsbehelfe sind nicht effektiv, weil die Betroffenen über die geheime Überwachung nicht informiert werden. Folglich liegt eine Verletzung des Art 8 EMRK vor.

Anm: Vorratsdatenspeicherung und Entschlüsselung sind auch innerhalb der EU ein Anliegen der Sicherheitsbehörden. Der EuGH hat die allgemeine Vorratsdatenspeicherung erstmals mit Urteil vom 08.04.2014, C‑293/12 und C‑594/12, Digital Rights Ireland Ltd, untersagt. Der VfGH lehnte mit Erkenntnis vom 11.12.2019 die Entschlüsselung verschlüsselter Kommunikationen ab (Stichwort: Bundestrojaner; VfSlG 20.356/2019).

Rechtsprechung des VwGH

Im Rahmen einer im Juli 2020 erhobenen Datenschutzbeschwerde behauptete ein Nachbar, in seinem Grundrecht auf Geheimhaltung verletzt worden zu sein, weil sein Grundstück vom Aufnahmebereich zweier Videokameras erfasst werde, die seine Nachbarin installiert hätte. Die Nachbarin bestritt die Möglichkeit einer unzulässigen Datenverarbeitung, weil es sich bei der einen Kamera um eine Attrappe handle und der Schwenkbereich der anderen Kamera nicht auch das Grundstück des Nachbars erfasse. Allein auf Basis von schriftlichen Stellungnahmen erließ die DSB einen die Datenschutzbeschwerde als unbegründet abweisenden Bescheid. Der dagegen erhobenen Bescheidbeschwerde gab das BVwG Folge, hob den Bescheid gemäß § 28 Abs 3 VwGVG auf und verwies die Angelegenheit zur Verfahrensergänzung und Erlassung eines neuen Bescheids an die DSB zurück. Die dagegen erhobene Amtsrevision der DSB wies der VwGH als unbegründet ab.

Der VwGH hat erwogen: In der Amtsrevision brachte die DSB vor, die AVG verpflichte sie zwar, zur Ermittlung der materiellen Wahrheit den vollen Beweis zu erbringen, Art 57 Abs 1 lit f DSGVO derogiere jedoch partiell den entsprechenden Bestimmungen des AVG, sodass für die Feststellung des maßgeblichen Sachverhalts nicht der "volle Beweis" gefordert werde, sondern die Beschwerdebehandlung – einzelfallbezogen – "in angemessenem Umfang" zu erfolgen habe. Entgegen der Ansicht der DSB besteht jedoch kein Anhaltspunkt für eine "partielle" Derogation der §§ 37 und 39 Abs 2 AVG.

Die DSB hat sich trotz einander widersprechender Behauptungen der Nachbarn zur Frage der Betriebsweise (Schwenkbarkeit) der Kameras bloß mit der Einholung schriftlicher Stellungnahmen begnügt und hat die Nachbarin, obwohl es geboten gewesen wäre, mündlich nicht einvernommen. Das BVwG ist daher vertretbar davon ausgegangen, dass die DSB ihrer Pflicht zur Bearbeitung der Datenschutzbeschwerde nicht mit aller gebotenen Sorgfalt nachgekommen ist.

Rechtsprechung des BVwG

Ein Offizier des Bundesheeres geriet mit Vorgesetzten und Untergebenen aufgrund unterschiedlicher Vorstellungen der Dienstausübung und des Umgangstons des Offiziers wiederholt aneinander. Die Folge waren zahlreiche Disziplinarbeschwerden bei der Bundesdisziplinarbehörde, Strafanzeigen bei der Staatsanwaltschaft und Datenschutzbeschwerden bei der DSB. Der Offizier wurde mit Disziplinarerkenntnis der Bundesdisziplinarbehörde (BDB) ua wegen unberechtigten Datenzugriffen im Aktensystem des Bundesheeres für schuldig befunden. Das BVwG bestätigte das Disziplinarerkenntnis ua wegen unrechtmäßigen Zugriffen im elektronischen Akt des Bundes (ELAK).

Das BVwG hat erwogen: Die Datenschutzbestimmungen des § 1 Abs 1 DSG iVm Art 6 Abs 1 lit e DSGVO lassen Datenverarbeitungen zur Wahrnehmung konkreter Verwaltungsaufgaben nur zu, wenn sie erforderlich sind. Der Offizier verarbeitete unrechtmäßig personenbezogene Daten, indem er auf die Mehrdienstleistungsanordnung eines Hauptmanns ohne dienstliche Notwendigkeit zugegriffen hat und diese samt der darin enthaltenen personenbezogenen Daten, Name und Personalnummer, mit weiteren Bediensteten teilte. Weiters verarbeitete der Offizier unrechtmäßig die Daten eines Obersts, indem er auf dessen Belohnungsantrag zugegriffen hat.

Dagegen handelte der Offizier rechtmäßig, als er einem Vorgesetzten vorschriftswidriges Verhalten vorwarf, weil ihm dieser die Einsicht in seinen Personalakt verweigerte. Beim Verlangen um Einsicht in den eigenen Personalakt handelt es sich um ein Auskunftsersuchen über die eigenen Daten. Die Einsicht darf nicht deshalb verweigert werden, weil man befürchtet, der Offizier könnte erneut einen Fehler finden und diesen bei der DSB zur Anzeige bringen. Der Offizier durfte einem Vorgesetzten auch einen Verstoß gegen Datenschutzbestimmungen anlasten, weil dieser auf einem Selbstauskunftsbogen des Offiziers bei der Frage nach Vorstrafen zur Angabe des Offiziers ("Nein") händisch "bereits verjährt" vermerkt hatte, obwohl verjährte Vorstrafen für den Zweck des Auskunftsbogens außer Acht bleiben mussten und dies dem Vorgesetzten bekannt war. Ebenfalls rechtmäßig handelte der Offizier, als er hinsichtlich der Empfängernennung in Auskunftsschreiben eine andere Rechtsansicht vertrat als ein Vorgesetzter und deshalb in einem der zahlreichen Verfahren vorbrachte, dass er durch die unvollständige Empfängernennung vom Vorgesetzten in seinen Rechten verletzt worden war. Der EuGH stützte später die Rechtsansicht des Offiziers, dass Empfänger konkret benannt werden müssen, und darüber hinaus dient das Disziplinarrecht nicht dazu, unliebige Meinungsäußerungen zu untersagen, sofern diese im Rahmen der freien Meinungsäußerung vertretbar sind.

Allein die missbräuchliche Beschaffung von dem Datenschutz unterliegenden personenbezogenen Daten, ohne darüberhinausgehenden Vorsatz, ein konkretes Recht des Staates oder einer Person zu schädigen, reicht für die Verwirklichung des Tatbestands von § 302 Abs 1 StGB (Amtsmissbrauch) zwar nicht aus. Eine missbräuchliche Datenbeschaffung indiziert aber in der Regel den Vorsatz, das Geheimhaltungsinteresse der betroffenen Person zu verletzen.

Bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, wird das Verfahren über die Rechtsfrage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung, die im Spannungsverhältnis zu einem Geschäftsgeheimnis stehen, zu erteilen sind, ausgesetzt (BVwG 26.01.2024, W221 2253358-1).

Ist vom BVwG in einer erheblichen Anzahl von anhängigen oder in naher Zukunft zu erwartenden Verfahren eine Rechtsfrage zu lösen und ist gleichzeitig beim Verwaltungsgerichtshof eine Revision zur selben Rechtsfrage anhängig, kann das BVwG das Verfahren aussetzen (BVwG 29.01.2024, W101 2248576-1).

Bis zur Entscheidung des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde, wird das Verfahren über die Rechtsfrage, ob über 300 Datenschutzbeschwerden mit gleichbleibendem Kern iSd Art 57 Abs 4 DSGVO exzessiv sind, ausgesetzt (BVwG 22.01.2024, W252 2280887-1).

Bis zur Entscheidung des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde, wird das Verfahren über die Rechtsfrage, ob die Datenschutzbeschwerde des Beschwerdeführers wegen ihres wiederholenden und rechtsmissbräuchlichen Charakters iSd Art 57 Abs 4 DSGVO exzessiv ist, ausgesetzt (BVwG 22.01.2024, W252 2280766-1).

Die Datenschutzbeschwerde kann in jeder Lage des Verfahrens mit der Wirkung zurückgezogen werden, dass die DSB unzuständig und der erlassene Bescheid nachträglich rechtswidrig wird. In solchen Fällen hat das BVwG den Bescheid ersatzlos zu beheben (BVwG 16.01.2024, W292 2248304-1).

Rechtsprechung des BFG

Gemäß § 5 WiEReg haben Rechtsträger bestimmte personenbezogene Daten über ihre wirtschaftlichen Eigentümer an die Bundesanstalt Statistik Österreich als Auftragsverarbeiterin der Registerbehörde (Bundesminister für Finanzen) zu melden. Die Meldung der Daten hat im elektronischen Weg über das Unternehmerserviceportal zu erfolgen. Wird eine Meldung nicht erstattet, kann das Finanzamt Österreich deren Vornahme durch Verhängung einer Zwangsstrafe erzwingen, solange die zu erzwingende Handlung noch nicht vorgenommen wurde (BFG 24.01.2024, RV/2100418/2023).

Rechtsprechung der DSB

Ein Nutzer besuchte die US-Website einer in den USA niedergelassenen Websitebetreiberin. Im Zuge des Websitebesuchs willigte der Nutzer in die Verwendung von Cookies ein. Anschließend brachte der Nutzer Datenschutzbeschwerde bei der DSB ein, weil die von ihm erteilte Einwilligung ungültig gewesen sei und beantragte ua, der Websitebetreiberin die Löschung der über ihn erhobenen Cookie-Werte aufzutragen sowie das US-Websitebetreiberin zu verpflichten, allfällige Empfänger der Cookie-Werte über die Löschung iSd Art 19 DSGVO zu informieren. Die DSB gab der Datenschutzbeschwerde teilweise statt und trug der Websitebetreiberin ua auf:

  1. Die Datenempfänger über die Löschung zu gemäß Art 19 DSGVO zu informieren.
  2. Auf der ersten Ebene des Cookie-Banners neben der Schaltfläche für das Akzeptieren der Cookies eine gleichwertige Option für das Ablehnen der Cookies vorzusehen.
  3. Einen ausdrücklichen Hinweis, wo das Recht auf Widerruf der Einwilligung ausgeübt werden kann, in den Cookie-Banner aufzunehmen.

Die DSB hat erwogen: Die US-Website ist zwar an kein europäisches Publikum gerichtet, sie verweist aber auf die Webshops anderer Unternehmen. Die britische Website bietet die Möglichkeit an, ein Printabonnement nach Österreich zu bestellen. Das bloße Zugänglichmachen der Website, einer E-Mail-Adresse oder von Kontaktdaten reichen jedoch nicht aus, um den räumlichen Anwendungsbereich der DSGVO zu eröffnen. Dennoch eröffnet ist der räumliche Anwendungsbereich der DSGVO deshalb, weil auf dem Endgerät des Nutzers Cookies ausgelesen wurden und durch Tracking auf Verhaltensprofilen basierte Personalisierungsfunktionen angeboten werden.

Die erhobenen Cookie-Werte sind personenbezogene Daten, weil die Cookies einzigartige, zufallsgenerierte Werte im Endgerät des Nutzers setzten und diese Werte an die Server der Cookie-Anbieter übermittelten.

Die eingeholte Einwilligung zum Setzen der Cookies war ungültig, weil es auf der ersten Ebene des Cookie-Banners keine Möglichkeit gab, die Einwilligung zu verweigern. Die Daten wurden daher unrechtmäßig verarbeitet und mussten von der Websitebetreiberin gelöscht werden. Dies hat sie auch getan, allerdings hätten gemäß Art 19 DSGVO auch die Empfänger der Informationen der Cookie-Werte über die erfolgte Löschung informiert werden müssen. Die US-Websitebetreiberin wendete zwar ein, dass dies mit einem unverhältnismäßigem Aufwand verbunden wäre, sie war für diese Behauptung jedoch beweispflichtig und hat keinen Nachweis erbracht.

Rechtsprechung der BDB

Eine Beamtin bewarb sich für eine Führungsfunktion. Aufgrund eines entsprechenden Erlasses (sog Logfileerlass) wurden im Rahmen des Bewerbungsprozesses ihre Datenbankzugriffe analysiert. Es stellte sich zunächst heraus, dass sie auf die Steuerdaten ihres Gatten und ihrer Arbeitszimmerkollegin mehrfach ohne dienstlichen Grund zugegriffen hat. Die Beamtin verteidigte sich damit, dass sie auf die entsprechenden Daten auch privat hätte zugreifen können, es aber praktischer und schneller gewesen sei, die Daten dienstlich abzufragen. Nach weiteren Untersuchungen stellte sich heraus, dass die Beamtin auch die Daten weiterer Personen, ua in Zusammenhang mit ihrer politischen Tätigkeit, ohne dienstlichen Grund und in vielen Fällen auch ohne Einverständnis der Betroffenen abgefragt hat. Die für die Beamtin zuständige Dienstbehörde erstattete Disziplinaranzeige an die Bundesdisziplinarbehörde (BDB) und auch Strafanzeige an die zuständige Staatsanwaltschaft (StA). Die Beamtin war geständig und es wurde über sie wegen Verletzung von Bestimmungen des Beamten-Dienstrechtsgesetzes (BDG), die solche Datenzugriffe untersagten, die Disziplinarstrafe der Geldbuße iHv EUR 2.800 verhängt. Die StA stellte das Verfahren diversionell ein.

Die BDB hat datenschutzrechtlich relevant erwogen: Die Beamtin stand zu den Personen, deren Daten sie abfragte, entweder in einem Angehörigenverhältnis oder es handelte sich um Bekannte, vorwiegend aus ihrem politischen Umfeld. Deshalb ist die Beamtin als befangenes Organ anzusehen und kann daher eine dienstliche Veranlassung zur Vornahme der dokumentierten Datenzugriffe nicht gegeben sein. Die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz (§ 1 DSG) zu durchbrechen, wird von einer Beamtin dann missbräuchlich in Anspruch genommen, wenn eine Ermittlung personenbezogener Daten ohne dienstliche Rechtfertigung erfolgt. Nach dem OGH führt der Befugnismissbrauch bei deliktspezifischem Schädigungsvorsatz zu einer strafrechtlichen Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch), ohne dass an sich ein tatsächlicher Schadenseintritt erforderlich wäre. In der Verletzung des Grundrechts auf Datenschutz nach § 1 DSG durch eine missbräuchliche Datenermittlung ist die konkrete Schädigung der Betroffenen zu erblicken. Der Beamtin war aufgrund der absolvierten internen Trainings und interner Weisungen die Rechtswidrigkeit ihres Verhaltens auch bekannt. Sie handelte zumindest mit bedingtem Vorsatz.

Vorschau EuGH-Rechtsprechung

Am 22.02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten


Datenschutzrechts-Update 14.02.2024

Rechtsprechung des VwGH

VwGH 14.12.2023, Ra 2023/13/0054

Die Erbin eines verstorbenen Erblassers richtete einen Auskunftsantrag nach § 4 Abs 4 KontRegG an den Bundesminister für Finanzen (BMF). Die Erbin stellte den Antrag, der BMF möge Auskunft darüber erteilen, welche den Erblasser betreffende Daten in das Kontenregister aufgenommen und welche Konten diesem konkret zugeordnet sind. Für den Fall der Nichterteilung der Auskunft ersuchte die Erbin – ua gestützt auf das AuskunftspflichtG – um Bescheiderlassung. Der BMF wies den Antrag der Erbin mit der Begründung ab, dass es sich bei den im Kontenregister erfassten Daten um personenbezogene Daten des Erblassers handelt. Mit dem Tod des Betroffenen erlösche das Recht auf Datenschutz; damit erlösche auch das Recht auf Auskunft. Gegen den Bescheid des BMF erhob die Erbin Bescheidbeschwerde an das BVwG, das die Bescheidbeschwerde gemäß § 6 AVG iVm § 17 VwGVG an das Bundesfinanzgericht (BFG) weiterleitete. Das BFG wies die Bescheidbeschwerde ab. Über die dagegen gerichtete Revision behob der VwGH das Erkenntnis des BFG wegen von Amts wegen aufzugreifender Rechtswidrigkeit infolge Unzuständigkeit.

Der VwGH hat erwogen: Die Bestimmung des § 4 Abs 4 KontRegG wurde aus Gründen des Datenschutzes in das KontRegG eingefügt. Daraus kann aber nicht abgeleitet werden, dass dieses Auskunftsrecht (nur) über ein auf das DSG oder die DSGVO gestützte Auskunftsersuchen durchgesetzt werden kann. Der BMF hat über die Nichterteilung der Auskunft mit Bescheid entschieden, es wäre unschlüssig, wenn der Auskunftsantrag auf Datenschutzrecht gestützt gewesen wäre, weil in diesem Fall vom BMF (lediglich) zu begründen gewesen wäre, warum die Auskunft nicht oder nicht vollständig erteilt wird. Das AuskunftspflichtG ist nicht anzuwenden, weil § 4 Abs 4 KontRegG eine besondere Auskunftspflicht vorsieht, es war aber – mangels anderer Regelung – bei sinngemäßer Anwendung des AuskunftspflichtG mit Bescheid abzusprechen.

Das BFG ist für Rechtssachen in Angelegenheiten der öffentlichen Abgaben oder des Finanzstrafrechts zuständig. Nach dem Gesetz besteht keine Verknüpfung zwischen einem Auskunftsantrag nach § 4 Abs 4 KontRegG und einer Abgabenangelegenheit. Das BFG war daher für die Entscheidung unzuständig.

Rechtsprechung des OGH

OGH 17.01.2024, 6Ob143/23g

Der Betroffene begehrte von der DSB gemäß Art 15 Abs 3 DSGVO eine Kopie von Protokollen von Gemeinde- und Stadtratssitzungen, die der DSB im Zuge eines amtswegigen Prüfverfahrens übermittelt worden waren und Ausführungen zur Person des Betroffenen und dessen Familie enthielten. Da die DSB das Begehren ablehnte, erhob der Betroffene Klage gegen die DSB vor einem Zivilgericht und beantragte die Herausgabe der Protokolle. Das Erstgericht erklärte den ordentlichen Rechtsweg auf Grundlage des Art 79 DSGVO für zulässig. Das Rekursgericht berichtigte die Parteienbezeichnung (auf "Republik Österreich [Bund]"), erklärte den ordentlichen Rechtsweg unter Abänderung des erstgerichtlichen Beschlusses für unzulässig, wies die Klage zurück, ließ aber den ordentlichen Revisionsrekurs zu. Der OGH erachtete den Revisionsrekurs für zulässig, aber nicht berechtigt.

Der OGH hat erwogen: Die Doppelgleisigkeit des Rechtsschutzes unter der DSGVO – dh der Rechtsschutz steht den Betroffenen im Verwaltungsrechtsweg und im Zivilrechtsweg offen – wird vom erkennenden Senat des OGH in ständiger Rechtsprechung für auf Gleichordnung beruhende bürgerlich-rechtliche Ansprüche zwischen Privaten bejaht. Die DSB agiert jedoch hoheitlich und der Rechtsschutz gegen Handlungen oder Unterlassungen der DSB hat der Gesetzgeber durch die Zuständigkeit des BVwG gewährt. Dies ist mit der Rechtsprechung des EuGH vereinbar, denn die Mitgliedstaaten sind frei beim Festlegen des Zusammenspiels der Rechtsbehelfe nach Art 77 bis Art 79 DSGVO. Das BVwG ist ein Gericht, das mit den richterlichen Garantien der Unabhängigkeit, Unabsetzbarkeit und Unversetzbarkeit ausgestattet ist. Den Anforderungen des EuGH an den Rechtsschutz ist damit entsprochen. Der ordentliche Rechtsweg ist gegen die DSB unzulässig.

OGH 17.01.2024, 6Ob38/23s

Ein Unternehmen nahm ein "internes Scoring" anhand der Bestelldaten vor, wenn ein Kunde im Fall von Online-Bestellungen eine "unsichere Zahlungsart", also einen Rechnungs- oder Ratenkauf, auswählte. Bei Neukunden erfolgte automatisch eine Anfrage bei einer externen Auskunftei. War der Kunde der Auskunftei unbekannt, wurde die unsichere Zahlungsart abgelehnt. War der Kunde der Auskunftei bekannt, gab es unterschiedliche Scoring-Bewertungen. Bei rot wurde die unsichere Zahlungsart automatisch abgelehnt, bei gelb prüfte ein Mitarbeiter des Unternehmens die Voraussetzungen für die Annahme der unsicheren Zahlungsart und bei grün wurde die Bestellung angenommen. Der Verein für Konsumenteninformation (VKI) begehrte das Verbot, "die Bonitätsprüfung anhand von Scoring vorzunehmen, ohne dem Verbraucher das Recht einzuräumen, seinen eigenen Standpunkt darzulegen und seine Einstufung anzufechten" und behauptete einen systematischen Verstoß des Unternehmens gegen Art 22 DSGVO bei der Vergabe von Teilzahlungskrediten an Verbraucher.

Der OGH hat erwogen: Ein Unterlassungsbegehren ist so zu konkretisieren, dass aufgrund des stattgebenden Urteils Exekution geführt werden kann. Dieser Anforderung genügte das Unterlassungsbegehren des VKI nicht, weil das darin gebrauchte Wort "Scoring" keine konkrete, im Fall der Klagestattgebung einer Exekution zugängliche Verhaltensweise beschrieb. Der VKI hätte die tatsächlichen Umstände zu konkretisieren gehabt, die der behaupteten automatisierten Entscheidung zu Grunde liegen. Das Unterlassungsbegehren war auch unschlüssig, weil es auf die bloße Vornahme der Bonitätsprüfung (Scoring) abstellte, während die Klageerzählung die Verweigerung bestimmter Zahlungsarten behandelte.

Bevor ein unbestimmtes oder unschlüssiges Begehren abgewiesen wird, ist vom Gericht dessen Verbesserung anzuregen, damit die Parteien von der Rechtsauffassung des Gerichts nicht überrascht werden. Dies gilt auch im Verfahren vor dem OGH. Daher ist die Rechtssache zur Vermeidung des Überraschungseffekts zur neuerlichen Entscheidung an das Erstgericht zurückzuverweisen.

Anm: Der OGH erklärt nicht, weshalb es überraschend ist, dass ein Klagebegehren bestimmt und schlüssig sein muss.

Rechtsprechung des BVwG

BVwG 04.01.2024, W298 2262840-1

Die Empfängerin einer Einladung zu einem COVID-19-Impftermin erhob Datenschutzbeschwerde an die DSB und machte eine Geheimhaltungsverletzung durch eine näher bezeichnete Stelle als Beschwerdegegnerin geltend. Die DSB holte in einem Parallelverfahren die Stellungnahme einer anderen (in der Datenschutzbeschwerde nicht bezeichneten) Stelle ein und führte das Verfahren gegen diese Stelle als Beschwerdegegnerin fort. Die DSB gab der Datenschutzbeschwerde statt und befand, dass die nunmehrige Beschwerdegegnerin unrechtmäßig auf die Daten der Empfängerin im zentralen Impfregister und im zentralen Patientenindex zugegriffen hat. Das BVwG behob den angefochtenen Bescheid ersatzlos.

Das BVwG hat erwogen: Die Feststellung der Rechtsverletzung einer Person, die in der Datenschutzbeschwerde nicht als Beschwerdegegnerin genannt wird, überschreitet die "Sache" des Verfahrens. Ist die in der Datenschutzbeschwerde benannte Beschwerdegegnerin für die Datenverarbeitung nicht verantwortlich und kann die verfehlte Bezeichnung der Beschwerdegegnerin im Wege einer vertretbaren Auslegung nicht bereinigt werden, ist die Datenschutzbeschwerde abzuweisen. Die Berichtigung der Beschwerdegegnerin kommt von Amts wegen nicht in Frage, weil der DSB im amtswegig eingeleiteten Verfahren keine Feststellungskompetenz zukommt.

Die DSB hat die "Sache" des Verfahrens überschritten, indem sie den Bescheid gegen eine Stelle erlassen hat, die in der Datenschutzbeschwerde nicht benannt war.

BVwG 06.12.2023, W221 2280884-1

Ein Vater machte für sich und seinen minderjährigen Sohn Betroffenenrechte geltend. Seit 2018 brachte der Vater in diesem Zusammenhang 313 Datenschutzbeschwerden ein. Die DSB stufte das Vorgehen des Vaters als exzessiv ein und lehnte die Behandlung der Datenschutzbeschwerde gemäß Art 57 Abs 4 DSGVO ab. Die Datenschutzbeschwerde für den minderjährigen Sohn wies die DSB zurück. Die vom Vater ergriffene Bescheidbeschwerde wurde vom BVwG hinsichtlich des minderjährigen Sohnes zurückgewiesen und betreffend den Vater ausgesetzt.

Das BVwG hat erwogen: Der VwGH fragte den EuGH mit Vorabentscheidungsersuchen vom 27.06.2023, Ra 2023/04/0002, wann eine Anfrage gemäß Art 57 Abs 4 DSGVO exzessiv ist. Die Vorlagefrage des VwGH ist beim EuGH noch anhängig. Verwaltungsverfahren, für die die zu entscheidende Vorlagefrage präjudiziell ist, sind gemäß § 38 AVG auszusetzen. Die vom VwGH zu Art 57 Abs 4 DSGVO gestellte Vorlagefrage ist präjudiziell, weil die DSB die Behandlung der Datenschutzbeschwerde wegen deren exzessiven Charakters ablehnte.

Hinsichtlich des minderjährigen Sohnes war der Vater nicht zur Vertretung legitimiert.

BVwG 11.01.2024, W258 2243523-1

Ein Immobilienentwickler erhob Daten über potenzielle Verkaufsinteressenten aus dem Grundbuch und schrieb Liegenschaftseigentümer an. Im Herbst 2019 schrieb der Immobilienentwickler die Eigentümerin einer Liegenschaft an, die den Immobilienentwickler daraufhin um Löschung ihrer Daten ersuchte. Der Immobilienmakler löschte die aus dem Grundbuch erhobenen Daten, bewahrte aber die Korrespondenz mit der Eigentümerin zur Verteidigung von Rechtsansprüchen auf. Im März 2023 führte der Immobilienentwickler erneut eine Grundbuchsabfrage durch und schrieb dieselbe Eigentümerin wieder an. Die Eigentümerin beschwerte sich bei der DSB, weil sie ihr Recht auf Geheimhaltung für verletzt erachtete. Die DSB gab der Datenschutzbeschwerde statt und ordnete die vollständige Löschung der personenbezogenen Daten der Eigentümerin an. Das BVwG gab der dagegen erhobenen Bescheidbeschwerde des Immobilienentwicklers statt.

Das BVwG hat erwogen: Der Immobilienentwickler löschte aufgrund des Löschungsersuchens die Stamm- und Liegenschaftsdaten der Eigentümerin und entsprach damit dem Löschungsersuchen von 2019. Die Verarbeitung der Korrespondenz betreffend das Löschungsersuchen war zur Verteidigung gegen Rechtsansprüchen und zur Dokumentation des Löschvorgangs erforderlich. Folglich steht der Eigentümerin hinsichtlich der Korrespondenz kein Recht auf Löschung zu. Die erneute Erfassung der Daten nach einer weiteren Grundbuchsabfrage ändert nichts daran, dass dem ursprünglichen Löschungsersuchen entsprochen wurde. Der Eigentümerin wäre es offen gestanden, die Unterlassung der Verarbeitung ihrer Daten zu verlangen.

Laut dem Vorbringen des Immobilienmaklers wird Löschungsersuchen (damals zwar noch nicht, aber nunmehr) entsprochen, indem nicht alle Daten gelöscht werden, sondern die Liegenschaftsadresse mit einem Sperrvermerk verarbeitet wird, um das mehrfache Anschreiben von Liegenschaftseigentümern zu verhindern. Das ist rechtmäßig.

Anm: Die vom BVwG für rechtmäßig befundene Löschung per Sperrvermerk ist für das Adressverlagswesen gemäß § 151 Abs 8 GewO gesetzlich angeordnet. Der Gesetzgeber verlangt dort aber, die Betroffenen zu informieren und ihnen die Möglichkeit einzuräumen, auf die physische Löschung ihrer Daten zu bestehen. Die Löschung per Sperrvermerk bedeutet, dass Personen, die für einen bestimmten Zweck (zB Werbung) der Verarbeitung ihrer Daten widersprechen, in eine Liste eingetragen werden. Mit dieser Sperrliste oder "schwarzen Liste" wird vor dem Versand von Werbematerial ein Abgleich durchgeführt.

Weist die DSB eine Datenschutzbeschwerde zurück, spricht das BVwG nur über die Rechtmäßigkeit der Zurückweisung ab. Die Zurückweisung ist nicht rechtmäßig, wenn der Zurückweisungsbescheid vor Ablauf der in einem Mangelbehebungsauftrag gesetzten Frist erlassen wird. Die DSB wird im fortzusetzenden Verfahren zu beachten haben, dass das Bundesamt für Fremdenwesen und Asyl (BFA), die für die Datenverarbeitung verantwortliche Stelle ist, ua weil das BFA die Daten der Asylwerberin ins Zentrale Fremdenregister eingetragen hat (BVwG 22.01.2024, W101 2277417-1).

Rechtsprechung des LVwG

Grundstücksadressen sind personenbezogene Daten, weil mit Einsicht in das Grundbuch, das ein öffentliches Register ist, auf die Eigentümer geschlossen werden kann. Das öffentliche Interesse an Umweltinformationen überwiegt das Geheimhaltungsinteresse des Liegenschaftseigentümers an der Geheimhaltung des Umstands, dass für seine Liegenschaft ein umweltrechtliches Verfahren wegen Baumentfernungen anhängig ist, weil diese Information im Regelfall keinen Rückschluss auf höchstpersönliche Lebensumstände zulässt (LVwG Wien 04.07.2023, VGW-101/060/1619/2023).

Rechtsprechung der DSB

DSB 26.04.2023, 2023-0.072.284

Ein spanisches Unternehmen sowie dessen Geschäftsführer erachteten sich in ihrem Geheimhaltungsrecht verletzt, weil ein Handelsunternehmen, bei dem das spanische Unternehmen zuvor einen Computer erworben hatte, in seiner internen Kundendatenbank die Information hinterlegte, dass von weiteren Geschäftsbeziehungen mit dem spanischen Unternehmen abgesehen wird. Der Eintrag enthielt eine (Kurz-)Bezeichnung, eine interne Nummer, die Adresse des Geschäftsführers sowie einen als "Sonderinformation" bezeichneten Text, wonach der Kunde (das spanische Unternehmen) am Telefon massiv stresst, mit Anwalt droht und keine Ausweiskopie zulässt. Die DSB wies die Datenschutzbeschwerde ab.

Die DSB hat erwogen: Das Handelsunternehmen verfügt über mehrere Niederlassungen in Österreich und die verfahrensgegenständliche Verarbeitung erfolgte im Rahmen der Tätigkeit von Niederlassungen in Österreich, die DSB ist daher örtlich zuständig. Das spanische Unternehmen ist zwar eine juristische Person, § 1 DSB schützt aber auch juristische Personen und dürfen diese Datenschutzbeschwerde bei der DSB einbringen. Die DSB ist daher auch sachlich zuständig.

Der Vermerk in der Kundendatenbank ist keine strafrechtliche Unterstellung und kann im Vermerk keine rechtswidrige Datenverarbeitung erblickt werden. Das Handelsunternehmen hat ein berechtigtes Interesse, in seiner internen Kundendatenbank zu vermerken, dass es mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen will.

Anm: Das BVwG hat in der Zwischenzeit (nach diesem Bescheid der DSB) die Aktivlegitimation juristischer Personen auf Beschwerde vor der DSB verneint (BVwG 19.09.2023, W298 2261568-1).

DSB 18.09.2023, 2023-0.336.563

Der Finder eines offenkundig vergessenen Pakets begab sich zu einer Polizeiinspektion, um eine Rechtsauskunft hinsichtlich des Finderlohns zu erhalten. Ihm wurde mitgeteilt, dass er sich mit dem Paket zum Fundamt begeben sollte und er wurde über die Konsequenzen der Nichtabgabe (Fundunterschlagung) belehrt. Der Finder verweigerte die Angabe seiner Identifikationsdaten. Da er jedoch amtsbekannt war, fuhr eine Polizeistreife zu seiner Wohnadresse und stellte das Paket sicher. Dem Finder wurde eine Ladung zur Vernehmung aufgrund des Verdachts der Fundunterschlagung zugestellt. Bei der Vernehmung wurde er unter Androhung von Zwangsgewalt erkennungsdienstlich behandelt (Fingerabdrücke, Maße und Fotos).

Der Finder erhob Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Geheimhaltung (wegen Erhebung seiner erkennungsdienstlichen Daten) und Verletzung im Recht auf Löschung (weil sein darauf gerichtetes Ersuchen abgelehnt wurde). Der Finder erhob auch Beschwerde beim LVwG OÖ, das die Löschung der Daten anordnete. Die DSB gab der Datenschutzbeschwerde hinsichtlich der Verletzung des Geheimhaltungsrechts statt.

Die DSB hat erwogen: Es ist das 3. Hauptstück des DSG anzuwenden, weil es sich um eine Datenverarbeitung durch einen Verantwortlichen des öffentlichen Bereichs zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten handelt. Nach § 38 DSG ist eine Datenverarbeitung ua dann zulässig, wenn sie gesetzlich vorgesehen und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist. Gemäß § 65 SPG sind Sicherheitsbehörden befugt, eine Person unter bestimmten Voraussetzungen erkennungsdienstlich zu behandeln. Der Finder war jedoch amtsbekannt, hat sich aus freien Stücken zur Polizeiinspektion begeben und konnte an seiner Adresse angetroffen werden. Die Voraussetzungen für die erkennungsdienstliche Behandlung lagen somit nicht vor.

Vorschau EuGH-Rechtsprechung

Am 02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 02.2024 wird in den verbundenen Rs C-17/22 und